ITmedia総合  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

@IT脆弱性対応セミナー2018:
サイバーセキュリティは防御、検知、対応、予測の“プロセス”――エフセキュア
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、エフセキュアの講演「攻撃者にとって、いくつもの脆弱性は必要ありません。1つあれば十分です。」の内容をお伝えする。(2018/11/16)

@IT脆弱性対応セミナー2018:
拡大を続けるアタックサーフェースのセキュリティリスクに対応するには――テナブル
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、テナブルネットワークセキュリティジャパンの講演「IT/IOT環境で実施する継続的脆弱性管理―サイバーエクスポージャー」の内容をお伝えする。(2018/11/16)

「Spectre」「Meltdown」関連で新たに7件の脆弱性
研究チームはSpectreとMeltdownに関連する一連の攻撃について体形的に検証し、7件の脆弱性を新たに発見。Intel、AMD、ARMの大手3社のプロセッサについて影響を確認した。(2018/11/15)

Adobe、Flash Playerなどの更新版公開 Acrobat/Readerは優先度高
Windows版のAcrobatとReaderに存在する脆弱性は、既にコンセプト実証コードが公開されているという。(2018/11/14)

Microsoft、11月の月例セキュリティ更新プログラム公開 既に悪用の脆弱性も
今回修正された脆弱性のうち2件は事前に情報が公開され、1件については既に攻撃が発生している。(2018/11/14)

Cisco製品に「Dirty COW」の悪用コード、誤って出荷しちゃった
Linuxの脆弱性「Dirty COW」の悪用コードが入った製品が、誤って出荷されていたことが分かった。(2018/11/9)

情シスも開発者もWebデザイナーも使える
Webサービスの安全性を底上げする脆弱性診断、誰でも手軽に実施できる時代に
自社のWebサービスやWebアプリケーションの安全性を高める必要性は理解していても、開発スケジュールや予算の制約で脆弱(ぜいじゃく)性診断を行うのは容易ではない――この前提を覆し、時間や費用を抑えた診断ができるとしたら?(2018/11/6)

“仮想パッチで攻撃防御×サイバー保険付き”の「サーバ脆弱性対策サービス」――NECが12月から提供開始
NECは、サーバ脆弱性対策にサイバー保険を付帯させた「サーバ脆弱性対策サービス」の提供を開始する。仮想パッチを用いた脆弱性対策をクラウドサービスとして提供するとともに、インシデント対応にかかる費用を補償する。(2018/11/8)

CrucialやSamsung製のSSDでも脆弱性を確認:
自己暗号化ドライブに複数の脆弱性、WindowsのBitLockerなどに影響
悪用されればドライブの暗号が解読される恐れがある。Crucial(Micron)やSamsungのSSD、そしてWindowsのBitLockerなどが影響を受ける。(2018/11/8)

Google、2018年11月のAndroid月例セキュリティ情報公開
最も深刻な脆弱性については、細工を施したファイルを使って、特権で任意のコードを実行される可能性が指摘されている。(2018/11/7)

「Apache Struts 2」のライブラリに脆弱性、直ちに更新を
「Commons FileUpload」については2016年11月に脆弱性が見つかってパッチが公開されていたが、Struts 2.3.xには古いバージョンのCommons FileUploadが使われていた。(2018/11/7)

「Skylake」「Kaby Lake」で確認:
IntelのCPUに新たな脆弱性、研究チームが実証コード公開
脆弱性はIntelのCPU「Skylake」「Kaby Lake」で確認され、研究チームはこの問題を突いて、TLSサーバからOpenSSL秘密鍵を盗むことに成功したという。(2018/11/6)

Ciscoのセキュリティ製品に未解決の脆弱性、悪用する攻撃が発生
Ciscoのセキュリティアプライアンスやファイアウォールなどに存在する、未解決の脆弱性が悪用されていることが分かった。(2018/11/5)

Tech TIPS:
Windows 10でWindows Updateに失敗する場合の対処方法
Windows Updateでエラーが生じて、更新プログラムが適用されなくなることがある。このような状態を放置しておくと、脆弱性が残ったままとなってしまう。そこで、Windows 10でWindows Updateがエラーを起こした場合の対処方法を解説しよう。(2018/11/5)

Texas InstrumentsのBLEチップに脆弱性、CiscoなどのWi-Fiアクセスポイントに影響
攻撃者が密かにエンタープライズネットワークに侵入し、脆弱性のあるチップにバックドアを仕込んだり、デバイスを制御したりすることが可能とされる。(2018/11/2)

動的診断と静的診断の使い分け
加速するWebサービスに追い付けない脆弱性検査、解決の鍵は?
Webアプリケーションの価値がビジネスを左右するほど重要になる一方で、脆弱性を突かれたセキュリティ被害は後を絶たない。脆弱性検査にまつわる課題を解決する鍵は。(2018/10/31)

X.Orgに特権昇格の脆弱性、LinuxやOpenBSDに影響
悪用されれば権限を昇格されたり、任意のファイルを上書きされたりする恐れがある。(2018/10/30)

IoTセキュリティ:
オフラインでも脆弱性をリアルタイム修復、脆弱性評価ソリューションの最新版
Tenable Network Securityは、脆弱性評価ソリューション「Nessus Professional」の最新版「Nessus 8」を発表した。オフラインでの脆弱性評価や作業の効率化など、機能を強化している。(2018/10/30)

キャッシュを複数のバケットに分割:
MITの研究チーム、「Meltdown」や「Spectre」の脆弱性に新しい対策を考案
マサチューセッツ工科大学(MIT)のComputer Science and Artificial Intelligence Laboratory(CSAIL)の研究チームが、「Meltdown」や「Spectre」のような脆弱性を悪用しにくくする新しいアプローチ「DAWG(Dynamically Allocated Way Guard)」を開発した。(2018/10/30)

Windows 10に未解決の脆弱性、任意のファイルが削除される恐れ
この問題を悪用すれば、攻撃者が任意のファイルを削除できてしまう恐れがある。(2018/10/25)

「Firefox 63」公開 トラッキングの防止機能追加、危険度最高を含む15件の脆弱性に対処
MozillaがWebブラウザ「Firefox 63」をリリースした。予告通り、Webサイトのトラッキングを防止する機能を追加。有効にすると動画広告などが表示されなくなる。(2018/10/24)

Facebook、大手セキュリティ企業を買収か──The Information報道
Faceookが複数のセキュリティ企業に買収を持ち掛けていると、The Informationが報じた。同社は9月、脆弱性を突かれて約5000万人のアカウント情報に影響があったと発表している。(2018/10/22)

@IT脆弱性対応セミナー2018:
ゲヒルン石森氏が明かす、セキュリティ会社が行っている脆弱性対策とは
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、特別講演「攻撃者視点で解説――「脆弱性を突く攻撃」とはいかなるものか」の内容をお伝えする。(2018/10/29)

@IT脆弱性対応セミナー2018:
IT部門にとっての「2020年問題」Windows 10導入に伴う脆弱性対策への課題とは――住友電工情報システム
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、住友電工情報システムの講演「企業にとっての2020年問題〜Windows 10導入に伴う脆弱性対策への新たな課題〜」の内容をお伝えする。(2018/10/19)

「誤った位置情報で事故に」 船舶や鉄道にも脆弱性のリスク
クルマの他、船舶、鉄道などの「乗り物」もまた「Connected」であり、リスクにさらされています。中にはメーカーが脆弱性を修正していなかったり、セキュリティがあまり考慮されていなかったりするケースも。(2018/10/19)

@IT脆弱性対応セミナー2018:
企業の健全な成長を考えたときに欠かせない、サーバ脆弱性対策の考え方とは――NEC
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、NECの講演「企業成長の鍵 サーバの脆弱性リスク管理がいま必要とされる理由」の内容をお伝えする。(2018/10/19)

OpenSCAPで脆弱性対策はどう変わる?(3):
SCAPの構成要素、XCCDF(セキュリティ設定チェックリスト記述形式)、OVAL(セキュリティ検査言語)とは
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、XCCDF(セキュリティ設定チェックリスト記述形式)、OVAL(セキュリティ検査言語)について。(2018/10/18)

Oracle、Javaやデータベースなど301件の脆弱性を修正 速やかに適用を
Oracle製品では、既知の脆弱性の悪用を試みる事案も相次いでおり、ユーザーがパッチの適用を怠ったことが原因で攻撃を受ける場合もある。(2018/10/17)

@ITセキュリティセミナー2018.6-7:
OSS脆弱性管理の課題とベストプラクティスとは――日本シノプシス
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。(2018/10/16)

IoTセキュリティ:
IoT製品の脆弱性リスクを最小限に抑えるプログラムを提供開始
トレンドマイクロは、IoT製品の開発段階で脆弱性リスクを最小限に抑えるプログラムを発表した。同社が運営する脆弱性発見コミュニティー「Zero Day Initiative」で提供する。(2018/10/15)

@IT脆弱性対応セミナー2018:
“Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、基調講演「リクルートにおける脆弱性対応の今と未来」の内容をお伝えする。(2018/10/16)

車載セキュリティ:
結合テスト段階でECUの脆弱性を早期発見、実際にサイバー攻撃を受けさせる
アズジェントは2018年10月11日、ECU(電子制御ユニット)の脆弱性を早期発見するためのサービス「ThreatHive」を2019年第1四半期から提供を開始すると発表した。(2018/10/12)

計49件の脆弱性を修正:
Microsoftの月例更新プログラム公開、IEやWindowsに深刻な脆弱性
IEやEdge、Windows Hyper-Vの脆弱性など12件が「緊急」に指定されている。(2018/10/10)

架空世界で「認証」を知る:
「のばら」には脆弱性がある? 「ファイナルファンタジー」で学ぶ知識認証
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第1回のテーマは「合言葉」。(2018/10/10)

「iOS 12.0.1」で「iPhone XS」の充電とWi-Fi接続問題修正
Appleが「iOS 12.0.1」を配信した。「iPhone XS/XS Max」ユーザーからの報告が多かった、充電とWi-fi接続に関する問題の修正した。「VoiceOver」と「Quick Look」の脆弱性も修正した。(2018/10/9)

Apple、iOSとWindows向けiCloudの脆弱性を修正
「iOS 12.0.1」と「iCloud for Windows 7.7」が公開され、それぞれ複数の脆弱性が修正された。(2018/10/9)

OSS脆弱性ウォッチ(9):
脆弱性とは呼べない?――OpenSSHでリモートからユーザー名を列挙できる脆弱性
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、OpenSSHでリモートからユーザー名を列挙できる脆弱性について。(2018/10/5)

AcrobatとReaderに86件の脆弱性、Adobeがアップデートで対処
86件の脆弱性のうち、半数以上が「クリティカル」に分類されている。(2018/10/3)

Wi-Fiルータの83%で既知の脆弱性放置、米NPOの実態調査で判明
米国の家庭で使われているWi-Fiルータ186台を調べた結果、83%に当たる155台でファームウェアに既知の脆弱性が存在していた。(2018/10/3)

Google、2018年10月のAndroidセキュリティ情報を公開 フレームワーク関連の脆弱性に対処
フレームワーク関連の脆弱性は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがある。(2018/10/2)

約70億件のソースコードと比較:
流用したOSSコードのライセンスや脆弱性を高速検索、テクマトリックスが管理ツール発売
テクマトリックスは、自社開発のソースコードに流用されているオープンソースソフトウェアを検出し、そのライセンスポリシーやセキュリティ脆弱(ぜいじゃく)性などを確認できるツール「FOSSID」の販売を開始した。(2018/10/1)

約9000万アカウントを強制ログアウト:
Facebook、約5000万人分のアクセストークン流出 「特定のユーザーへのプレビュー」機能に脆弱性
何者かがFacebookの「特定のユーザーへのプレビュー」機能の脆弱性を突いて、アクセストークンを盗み、ユーザーのアカウントを乗っ取っていたことが分かった。(2018/9/30)

電子ブックレット:
根本的解決はCPUの世代交代か、脆弱性問題
アイティメディアがモノづくり分野の読者向けに提供する「EE Times Japan」「EDN Japan」「MONOist」に掲載した主要な記事を、読みやすいPDF形式の電子ブックレットに再編集した「エンジニア電子ブックレット」。今回は、2018年初めに業界を揺さぶった「Spectre」「Meltdown」問題を振り返ります。(2018/9/30)

Facebook、5000万人の情報が流出か 脆弱性突かれアクセストークン流出
Facebookで重大なセキュリティインシデント。脆弱性を突かれてユーザーのアクセストークンが不正に入手され、約5000万人のアカウントに影響があったという。(2018/9/29)

Facebook、サイバー攻撃で情報流出の可能性 5000万人のアカウントに影響
問題となっていた脆弱性は既に修正済みとのこと。(2018/9/29)

Adobe Acrobat/Readerに脆弱性、Adobeがセキュリティアップデート公開を予告
セキュリティアップデートは米国時間の2018年10月2日に公開され、複数の脆弱性の修正を予定している。(2018/9/28)

「優れたセキュリティ人材はめったに見つからない」は間違い:
PR:「人がいない」「予算がない」でやりたくてもやれない脆弱性検査を実施するための現実的な施策とは
脆弱性の存在を把握し、対処することが重要だとは分かっていても、肝心の脆弱性検査を実施できる人がいない――そんな状況につけ込むサイバー攻撃が増えている。脆弱性検査を行えるスキルを持った人材を育て、根本的に問題を解決するため、CompTIAでは新たな資格を設けた。(2018/9/26)

macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘
macOS Mojaveにユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、セキュリティ研究者がデモ映像を公開した。(2018/9/25)

2017年比で約6倍のスピード:
IoTマルウェアが激増 Telnetのパスワードや脆弱性を悪用
Telnetパスワードクラッキング攻撃の発信源を国別にみると、1位がブラジルの23%、2位の中国は17%、日本は9%で3位だった。(2018/9/21)

「Vuls祭り#4」で披露:
フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ
フューチャーは、2018年8月末にオープンソースソフトウェアの脆弱性スキャナー「Vuls」のv0.5.0をリリースし、Vulsを基にした商用サービス「FutureVuls」も大幅にバージョンアップした。(2018/9/20)

Adobe、AcrobatとReaderの定例外セキュリティアップデートを公開
任意のコード実行に利用される恐れのある深刻な脆弱性を含め、7件の脆弱性を修正した。(2018/9/20)

OEMメーカーNUUOの防犯カメラに重大な脆弱性、日本の家電メーカーにも影響の恐れ
悪用されればひそかに防犯カメラを操作される恐れがある。NUUOのウェブサイトには、パートナーとして日本の主要家電メーカーを含む世界各地のメーカー名が記載されている。(2018/9/19)

「iOS 12」のセキュリティ情報公開、16件の脆弱性を修正
同時に「tvOS 12」「watchOS 5」「Safari 12」「Apple Support 2.4 for iOS」のセキュリティ情報も公開された。(2018/9/18)

Intel暗号鍵に危険度「高」の脆弱性、ファームウェア更新で対処
Intel MEの暗号鍵に関連する脆弱性が発見された。重要な情報の改ざんや流出の可能性が指摘されている。(2018/9/14)

@ITセキュリティセミナー2018.6-7:
「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、freeeの講演「脆弱性なおさないと攻撃しちゃうぞ〜CISOからの挑戦状〜」の内容をお伝えする。(2018/9/19)

Adobe、Flash PlayerとColdFusionの脆弱性を修正
AdobeがFlash PlayerとColdFusionのセキュリティアップデートを公開した。(2018/9/12)

未解決の脆弱性に関する情報も公開:
Microsoft、9月の月例セキュリティ更新プログラム公開 計61件の脆弱性を修正
深刻度が「緊急」の脆弱性は18件。悪用される危険性が大きく、事前に情報が公開されていた脆弱性も複数ある。(2018/9/12)

セキュリティクラスタ まとめのまとめ 2018年8月版:
「サマータイム」はセキュリティホールなのか?
8月のセキュリティクラスタをにぎわせた大きな話題は3つありました。「東京オリンピック開催時のサマータイム」「DEFCONやBlack Hat USAなどのサイバーセキュリティ関連のカンファレンス」「Apache Struts 2で見つかった新たな脆弱(ぜいじゃく)性」です。(2018/9/12)

IoTマルウェア「Mirai」がApache Strutsの脆弱性を標的に 脆弱性放置に警鐘
「IoTボットネットがパッチのバージョンが古いエンタープライズデバイスを狙う傾向を強めている」とPalo Alto Networksは指摘する。(2018/9/11)

セキュリティ・アディッショナルタイム(24):
目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ
2018年8月にセキュリティカンファレンス「Black Hat USA 2018」が開催された。Googleによる基調講演や、「モグラたたきを終わらせ、根本的な原因を解決する」ための取り組みを実践した企業による講演の模様をお届けする。(2018/9/7)

重大な脆弱性をいかに公開するか
Meltdown/Spectreはこうして公開された――Google、Microsoft、Red Hatが明かす真実
「Black Hat 2018」のセッションの中で、GoogleとMicrosoft、Red Hatの担当者が、「Meltdown」と「Spectre」の脆弱性に関する情報を公開するまでの内幕を披露した。(2018/9/7)

「Apache Struts 2」の脆弱性、仮想通貨採掘攻撃に悪用される
「企業はこれまで以上に警戒を強め、影響を受けるシステムには直ちにパッチを適用しなければならない」とF5は呼び掛けている。(2018/9/6)

Windowsタスクスケジューラに発覚した脆弱性、たった2日で悪用マルウェアが出回る
この脆弱性を突くコンセプト実証コードのソースコードも公開されていて、誰でもこれに手を加え、自分のコードに取り込むことができてしまう状態にあるという。(2018/9/6)

中間者攻撃で患者データの改ざんが可能:
カリフォルニア大の研究チーム、古い医療システムの脆弱性を突く攻撃を警告
米カリフォルニア大学の研究チームが、病院の検査機器と医療記録システムの接続を攻撃することで、医療検査結果を簡単にリモートで変更できることを実証した。(2018/9/6)

Google、Androidの月例セキュリティ情報公開 メディアフレームワークに深刻な脆弱性
メディアフレームワークに存在する2件の脆弱性は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがある。(2018/9/5)

「Chrome 69」安定版、10周年でパスワード自動生成など多数の新機能
GoogleがWebブラウザ「Chrome 69」の安定版をリリースした。10周年を記念して、デザイン変更やパスワード関連の新機能などが盛り込まれ、セキュリティ関連では40件の脆弱性を修正した。(2018/9/5)

OpenSCAPで脆弱性対策はどう変わる?(2):
SCAPの構成要素、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)とは
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)について。(2018/9/5)

企業ネットへの侵入許す脆弱性を狙った攻撃が増加:
2018年7月の脆弱性順位でIoT関係が3件ランクイン――チェック・ポイント調べ
チェック・ポイント・ソフトウェア・テクノロジーズは、既知の脆弱(ぜいじゃく)性を狙った攻撃検出数とマルウェアのランキングを発表した。対象期間は2018年7月。マルウェアの上位は仮想通貨関連が占めた。脆弱性悪用ランキングの上位10種には、IoT関連の脆弱性が新たに3件ランクインした。(2018/8/30)

任意のコードが実行される恐れ:
「Apache Struts 2」の新たな脆弱性を悪用するPoCコード、セキュリティ企業が発見
2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードが見つかった。(2018/8/30)

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開
ローカルユーザーに悪用された場合、権限を昇格されてシステム特権を獲得される恐れがある。(2018/8/29)

Android版「フォートナイト」にインストール乗っ取りの脆弱性、情報公開のタイミング巡りEpicがGoogle批判
Samsungのデバイスでは、Fortnite Installerがデバイス上のアプリに乗っ取られ、偽のAPKが密かにインストールされてしまう恐れがあった。(2018/8/28)

その知識、ホントに正しい? Windowsにまつわる都市伝説(117):
Intelプロセッサ向けマイクロコードアップデートのニュースをファクトチェック!
2018年8月22日、MicrosoftがWindows UpdateやMicrosoft Updateカタログを通じて、Intelプロセッサの脆弱性に対策する「Intelマイクロコードアップデート」の提供を開始したというニュースを目にした人は多いでしょう。そのニュース、あるいはそのニュースの元であるMicrosoftのサポート情報をうのみにして、対策したつもりになってはいませんか。(2018/8/28)

Playストア外で提供の「Fortnite Android Beta」のセキュリティ問題をGoogleが指摘
Epic Gamesが自社サイトで限定公開したバトルロイヤルゲーム「Fortnite Android Beta」のインストーラアプリに脆弱性があるとGoogleが指摘し、Epic Gamesは2日後に修正。Googleは脆弱性の詳細を既に公表している。(2018/8/27)

Adobe、Photoshop CCの深刻な脆弱性を修正
WindowsとMac向けに公開されたPhotoshop CCのバージョン19.1.6と同18.1.6で、脆弱性が修正された。(2018/8/23)

Strutsを使う全てのアプリケーションに影響:
「Apache Struts 2」に重大な脆弱性、直ちに更新を
「過去に同様の重大な脆弱性が発覚した際は、その日のうちに悪用コードが公開され、重要インフラや顧客情報が危険にさらされた」とセキュリティ企業は指摘している。(2018/8/23)

「パンドラの箱が開いた」 IoT機器の脆弱性対策、残された希望は
「2016年のMiraiの登場によって『パンドラの箱』が開き、例を見ない規模の攻撃が登場した」――横浜国立大学の吉岡克成准教授はそう話します。DDoS攻撃を仕掛ける「踏み台」としてIoT機器が悪用されるケースが顕著ですが、その前はごく普通のPCが踏み台化されていました。そんな過去から考えられる対策は。(2018/8/23)

ゲストアカウントから攻撃できる場合も:
「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ
パスワードマネージャーなど、コンピュータセキュリティにとって重要な10以上のアプリケーションに、プロセス間通信を横取りする攻撃に対する脆弱(ぜいじゃく)性があることが分かった。(2018/8/20)

仮想化利用時に課題あり:
Intelが発表、キャッシュタイミングを利用したサイドチャネル攻撃の脆弱性「L1TF」
IntelとGoogleなどの業界パートナーは、投機的実行機能を持つIntelプロセッサに見つかったサイドチャネル攻撃の脆弱(ぜいじゃく)性「L1TF」と、対応策について発表した。(2018/8/16)

Adobe、Acrobat/ReaderやFlashの脆弱性を修正
Acrobat/ReaderとFlash Player、Creative Cloud Desktop Application、Experience Managerのセキュリティアップデートが公開された。(2018/8/15)

Microsoftが月例セキュリティ更新プログラムを公開 既に悪用されているIEの脆弱性も
IEやWindows Shellの脆弱性については、現時点で攻撃が確認されていることから、優先的に対応する必要がある。(2018/8/15)

Intel CPUの「SGX」機能に新たな脆弱性、仮想マシンなどにも影響
脆弱性はIntelのSGX機能をサポートしているプロセッサが影響を受けるほか、他のOSやシステム管理モード(SMM)、仮想化ソフトウェア(VMM)などに影響を及ぼす可能性のある脆弱性も見つかった。(2018/8/15)

IoTセキュリティ:
コンバージドIT、OT環境のセキュリティリスク軽減ソリューションを発表
Tenable Network Securityは、コンバージドIT、OT(制御技術)環境におけるサイバーセキュリティリスクを軽減するソリューションを発表した。IT、OT領域におけるサイバーエクスポージャーの横断的管理、資産の脆弱性に関する効率的な改善を行える。(2018/8/15)

DEF CON 2018で発表:
macOSに未解決の脆弱性、クリック操作偽造の恐れ
クリック操作を合成してさまざまなセキュリティの仕組みをかわし、サードパーティーのカーネル拡張機能をロードするなどの操作ができてしまう脆弱性が発見された。(2018/8/14)

システム面でも「安心・安全」を後押し
セブン&アイ・ネットメディア OSSを含む網羅的な脆弱性チェックを導入
「omni7」などのシステム開発に携わるセブン&アイ・ネットメディアは、脆弱性チェックツールを採用し、オープンソースも含む網羅的なセキュリティ対策に取り組んでいる。(2018/8/10)

OSS脆弱性ウォッチ(8):
2018年上半期に話題になったSpectreとその変異、Linuxカーネルでの対応まとめ
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。2018年の上半期は、「Meltdown」「Spectre」とその変異(Variant)の脆弱性に悩まされた。今回はいつもとは異なり、上半期のまとめも兼ねて、Meltdown/Spectreの各変異をバージョンを追いかけながら整理する。(2018/8/14)

最新版では修正済み
「iOS 11」のApple純正カメラアプリで見つかった脆弱性 悪用例と対策を解説
「iOS 11」のカメラアプリに脆弱性が見つかった。最新版では修正済みであるこの脆弱性は、どのように悪用される可能性があるのか。どうすれば問題を回避できるのか。(2018/8/8)

OSS脆弱性ウォッチ(7):
OSSのメールリーダーなどに使われる暗号化ソフト「GNU Privacy Guard」の脆弱性
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は、2018年6月9日に公開された「GNU Privacy Guard」の脆弱性(CVE-2018-12020)を取り上げる。(2018/8/7)

脆弱性のある監視カメラやルーターが標的に
「Mirai」亜種、「Wicked」ボットネットはどのようにIoTデバイスを狙うのか
「Wicked」ボットネットはマルウェア「Mirai」の新たな亜種だ。脆弱なIoTデバイスを標的にして、既存の複数の脆弱性を悪用する。「Owari」「Sora」「Omni」など、他の亜種との関係性は。(2018/8/7)

HP、プリンタの脆弱性情報に報奨金 業界初のバウンティプログラムを実施
最大1万ドル(約110万円)の賞金をかけて脆弱性情報を募ることで、「世界一安全なプリンタ」を追求する。(2018/8/1)

今度は「NetSpectre」の脆弱性、Spectreより広範な影響の恐れ
「NetSpectreは標的とするデバイス上で攻撃者がコントロールするコードを一切必要とせず、従って何十億ものデバイスに影響が及ぶ」と研究チームは解説している。(2018/7/30)

ERPを狙うサイバー攻撃が激増、壊滅的な被害招く恐れも
SAPやOracleのERPに存在する既知の脆弱性が悪用された件数は、過去3年の間に100%増え、SAP HANAのような貴重な資産が狙われていることが分かった。(2018/7/26)

Androidは影響不明、Windowsは影響なし:
Bluetoothの実装に傍受や改ざんを招く脆弱性、AppleとBroadcomはパッチ公開済み
イスラエル工科大学の研究者がBluetoothの実装の新たな脆弱(ぜいじゃく)性を発見した。悪用されると、デバイス間でやりとりしたデータを傍受されたり、改ざんされたりする恐れがある。(2018/7/26)

Bluetoothの実装に脆弱性、AppleやIntelの製品に影響
無線通信の圏内にいる攻撃者が中間者攻撃を仕掛けて暗号鍵を入手し、デバイスメッセージの傍受や復号、改ざんなどを行うことができてしまう恐れがある。(2018/7/25)

「Spectre」関連の新たな脆弱性、米研究チームが発表
今回の脆弱性は、これまでの「Spectre」のような分岐予測ユニットではなく、リターンアドレスの予測に使われる「Return Stack Buffer(RSB)」という機能に存在するという。(2018/7/24)

ルーターの脆弱性を突くbotネットが相次ぐ、攻撃に加担させられる恐れも
ルーターなど、IoT機器の脆弱性は修正されないまま放置されることも多く、攻撃者がその気になれば簡単に悪用されてしまう現実が浮き彫りになった。(2018/7/23)

CSIRTとは異なる「PSIRT」:
コンピュータソフトウェア協会、「PSIRT Services Framework 1.0 Draft」の日本語版を公開
コンピュータソフトウェア協会は、ソフトウェア製品やサービスの脆弱(ぜいじゃく)性管理のノウハウである「PSIRT Services Framework 1.0 Draft」の日本語翻訳文書を公開した。企業などが自社の製品やサービスに関する脆弱性やインシデントへの対応、品質の管理や向上を目的とした組織を設置する際に参考になるノウハウを提供する。(2018/7/23)

Microsoft、IDサービスや「OpenID」規格の脆弱性情報募る 最高賞金1100万円
多要素認証バイパスの脆弱性や、標準設計の脆弱性については、最高で10万ドルの賞金を支払う。(2018/7/19)

Oracleの四半期パッチ公開、データベースやJavaの深刻な脆弱性を修正
今回のパッチでは計334件の脆弱性に対処した。データベースやJavaなど多数の製品に、危険度の極めて高い脆弱性が存在している。(2018/7/18)

定番の攻撃が拡大:
キヤノンITSが2018年6月のマルウェア検出状況を公開、複数のワールドカップ関連詐欺メールも
キヤノンITソリューションズは、2018年6月のマルウェア検出状況を公開した。「VBA/TrojanDownloader.Agent」が継続して数多く検出されていることや、WannaCryが突いてきたWindowsの脆弱性に対する攻撃が増加していることに注意を呼び掛けた。(2018/7/18)

機密データに不正アクセスされる可能性
CPU脆弱性「Meltdown」「Spectre」がセキュリティに及ぼす決定的な影響
MeltdownとSpectreという脆弱(ぜいじゃく)性は、システムの物理セキュリティとハードウェアセキュリティに影響しており、検出は極めて難しい。これらの攻撃を防ぐ方法とは。(2018/7/17)

不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方(前編)
2017年12月に不正アクセスを発表した大阪大学。原因の究明を行い、再発防止に向けて歩み出した同大学は、脆弱性スキャナーの「Tenable.io」を導入した。事件を通じて、彼らが気付いたこととは。(2018/7/17)

「Spectre」関連の脆弱性、また新たに発覚 IntelやARMのプロセッサに影響
Intelなどのプロセッサに搭載されている投機的実行という機能に関連して、マサチューセッツ工科大学(MIT)などの研究者が新たな脆弱性を報告した。(2018/7/12)

OpenSCAPで脆弱性対策はどう変わる?(1):
SCAP(セキュリティ設定共通化手順)とは何か――CVE、CVSS、CPEについて
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。初回は、SCAPの概要について。(2018/7/12)

AcrobatやReader、Flash Playerなどの脆弱性に対処、Adobeがアップデートを公開
AcrobatとReaderの更新版では100件余りの脆弱性に対処。Flash Playerの更新版では2件の脆弱性を修正した。(2018/7/11)

Apple、iOSやmacOS、Windows向けiCloudなどのセキュリティ情報公開
iOS 11.4.1で修正された絵文字関連の脆弱性では、「台湾」という単語を入力するたびに、アプリケーションがクラッシュすると報告されていたという。(2018/7/11)

Microsoft、7月の月例セキュリティ更新プログラムを公開
WebブラウザのMicrosoft EdgeやスクリプティングエンジンのChakraには、リモートで任意のコードを実行される恐れのある深刻な脆弱性が多数存在している。(2018/7/11)

IoTセキュリティ:
SCADAツールユーザーの危機を未然に防いだテナブル、日本市場を重要視
 クラウド型脆弱性管理プラットフォーム「Tenable.io」を提供する、Tenable Network Security(以下、テナブル)が、同社のパートナー企業であるSchneider Electricにおける最新事例を明かしている。(2018/7/11)

Apple、Boot CampのWi-Fiアップデート公開 「KRACK」の脆弱性を修正
「KRACK」の脆弱性は、Wi-Fiの通信範囲内にいる攻撃者に悪用される恐れがあり、センシティブな情報が流出する可能性が指摘されている。(2018/7/9)

仕組みを解説
「Meltdown」と「Spectre」は本当にCPUの脆弱性か、それとも単なる欠陥か
「Meltdown」と「Spectre」は本当に脆弱(ぜいじゃく)性なのかという議論がある。本稿では、何を持って脆弱性と見なすか、そしてこの2つは脆弱性なのかを考える。(2018/7/5)

実は穴だらけ
多くの企業が抱える致命的なオープンソースリスク
商用コードを監査した結果、多くのオープンソースコードが含まれていることが分かった。問題は、そのコードが内包している脆弱性が放置されていることだ。(2018/7/5)

Android月例セキュリティ情報公開、複数の深刻な脆弱性に対処
メディアフレームワークやシステムなどに、深刻な脆弱(ぜいじゃく)性が存在する。(2018/7/3)

「重要インフラ」のIoT機器、150件に脆弱性 総務省が調査
総務省の調査で、「重要インフラ」で利用されている150件のIoT機器に、パスワード設定が不適切といった脆弱性があると分かった。(2018/7/2)

OSSの活用が広がるIoT分野、潜むリスクは
米Synopsysの「2018 Open Source Security and Risk Analysis」レポートによると、IoTも含め、さまざまな業界の商用ソフトウェアでオープンソースソフトウェア・コンポーネントの活用が広がっている。一方で、脆弱性やライセンス違反のリスクも存在する。(2018/6/30)

Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ
RAMpageは「Rowhammer」と呼ばれるDRAMの設計上の問題に関連して、欧州や米国の研究チームが発見した脆弱性だ。(2018/6/29)

新しいWi-Fiセキュリティ規格「WPA3」登場
無線LANの業界団体であるWi-Fi Allianceが新しいWi-Fiセキュリティ規格「Wi-Fi CERTIFIED WPA3」を発表した。WPA2で指摘された脆弱性への対策に加え、普及が見込まれるIoT機器での利用も想定した規格となった。(2018/6/28)

「Firefox 61」公開 18件の脆弱性に対処、FTPリソースの読み込みブロックも
Firefox 61では、HTTP(S)ページによるFTPサブリソースの読み込みをブロックする措置が実装された。(2018/6/28)

採用が広がるOSS、脆弱性を管理すべきだ:
Synopsysが調査、対象コードの78%にオープンソース由来の脆弱性あり
Synopsys(シノプシス)のBlack Duckグループによると、さまざまなソースコードが含むオープンソースソフトウェア(OSS)の比率が高まっているという。それに伴い、OSSに起因する脆弱(ぜいじゃく)性をも取り込んでしまっている場合が少なくない。(2018/6/28)

IoTマルウェア「サトリ」の攻撃が激化、新手のワームも出現
D-Link製ルータの脆弱性を突く新手のワームが、IoTマルウェア「Satori」の形成するボットネットを通じて拡散しているという。(2018/6/21)

Chrome拡張「5000兆円コンバーター」にXSS脆弱性 最新版にアップデートを
「5000兆円欲しい!」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」にXSS脆弱性が見つかったとJVNが注意喚起している。(2018/6/15)

Intelプロセッサに新たな脆弱性、投機的実行機能に関連
脆弱性は、Coreベースプロセッサの「Lazy FP state restore」という機能に存在する。「Spectre」「Meltdown」と同様に、投機的実行の仕組みに関連しているという。(2018/6/15)

Google、デスクトップ向け「Chrome 67」の脆弱性を修正
脆弱性を修正した「Chrome 67.0.3396.87」が、Windows、Mac、Linux向けにリリースされた。(2018/6/13)

計50件の脆弱性に対処:
Microsoft、月例更新プログラム公開 IEやWindowsに深刻な脆弱性
6月の更新プログラムでは計50件の脆弱性が修正された。うち11件が「緊急」に分類されている。(2018/6/13)

「LINE」Windows版にDLL読み込みの脆弱性 既に修正済み
Windows版「LINE」アプリに、意図しないDLLを読み込む脆弱性があった。LINEは5月31日に修正版をリリースし、全ユーザーに対して自動アップデートを行ったという。(2018/6/12)

セキュリティクラスタ まとめのまとめ 2018年5月版:
魔の手が伸びる「仮想通貨」、新手の攻撃
2018年5月のセキュリティクラスタは、引き続き「仮想通貨」関連の話題に注目が集まりました。ブロックチェーンの仕組み自体の弱点を突いた攻撃や、プラグインの改変などさまざまな手段を使って犯罪者がお金をかすめ取ろうとしています。加えて、仮想通貨を採掘させるスクリプトをサイトに設置すること自体が違法だという指摘がありました。仮想通貨以外では、情報漏えい事件の原因が「WAFの設定ミス」なのか「脆弱性」なのかという議論がありました。(2018/6/13)

「Firefox 60」のアップデート公開、深刻な脆弱性に対処
最新版の「Firefox 60.0.2」で脆弱性が修正されたほか、延長サポート版のFirefox ESRもアップデートが公開された。(2018/6/8)

Flash Playerの脆弱性を突く攻撃発生、臨時アップデートで対処
脆弱性を突く攻撃の発生が確認されていることから、最優先で対応するよう呼び掛けている。(2018/6/8)

Androidの月例セキュリティ情報公開、メディアフレームワークに深刻な脆弱性
脆弱性修正のためのセキュリティパッチは、メーカーや携帯電話会社からユーザー向けに配信される。(2018/6/6)

アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響
セキュリティ企業Snykによると、Zip Slipの脆弱性は、HPやAmazon、Apache、Pivotalなどを含め、数千ものプロジェクトに影響を及ぼすという。(2018/6/6)

Siriの通知読み上げ問題にも対処:
Apple、「iOS 11.4」のセキュリティ情報を公開 計35件の脆弱性
iOS 11.4では計35件の脆弱性に対処した。WebKitやフォント解析、カーネルなどに関係する脆弱性は、watchOSやtvOSおよびmacOSにも共通している。(2018/6/5)

Apple、MacとSafari、Windows向けiCloudのセキュリティアップデート公開
「macOS High Sierra 10.13.5」では、AMDやIntelグラフィックスドライバなどプロセッサ関連の脆弱性も修正された。(2018/6/4)

「Git」に任意のコード実行の脆弱性、更新版で対処
悪用された場合、標的とするシステム上で任意のコードを実行されたり、システムメモリの一部を取得されたりする恐れがある。(2018/6/1)

プロバイダーの選定からエンドポイント管理まで
クラウドの脆弱性に潜む9つの脅威、対策は?
クラウドコンピューティングは業務効率を向上させたが、セキュリティが課題であることは変わっていない。本稿では、クラウドの脆弱(ぜいじゃく)性に潜む9つの脅威と、そのセキュリティ対策について取り上げる。(2018/6/1)

「Chrome 67」の安定版公開、脆弱性修正やSpectre対策の拡大も
CPUに存在する脆弱性「Spectre」「Meltdown」のリスク緩和策として、引き続き「Site Isolation」機能の実験的導入を拡大している。(2018/5/31)

修正パッチを早急に公開:
シュナイダーのSCADAソフトなどに脆弱性、Tenable Researchが発見
Tenable Network Securityのデータサイエンスチームは、シュナイダーエレクトリックの「InduSoft Web Studio」や「InTouch Machine Edition」に重大な影響を及ぼす脆弱性を発見。これを受け、シュナイダーエレクトリックは修正パッチを早急に公開した。(2018/5/24)

Netgearのルータが標的に:
IoTデバイスの脆弱性を突くマルウェア「Wicked」、Miraiの新手の亜種
「Mirai」をベースにした新手のボットネット型マルウェア「Wicked」は、ルータなど特定のIoTデバイスの脆弱性を悪用する。(2018/5/22)

新たに「Meltdown」「Spectre」関連の脆弱性、IntelはBIOSアップデートの準備
Intelなどのプロセッサに発覚した「Meltdown」「Spectre」と呼ばれる脆弱性に関連して、新たに2件の脆弱性が確認された。(2018/5/22)

脅威の現実性に疑問も:
暗号化メールが読み取られる? 平文を抽出する脆弱性「EFAIL」をESETが解説
電子メール暗号化プロトコル「OpenPGP」と「S/MIME」には脆弱性があり、攻撃者がこれを悪用して、暗号化されたメッセージの平文を抽出して入手する恐れがある。(2018/5/17)

OSS脆弱性ウォッチ(6):
PostgreSQLの“仕様”による、運用者にとって悩み深い脆弱性とは
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は、2018年3月1日に公開されたPostgreSQLの脆弱性情報(CVE-2018-1058)を取り上げる。(2018/5/16)

Photoshop CCもアップデート:
AcrobatとReaderのアップデート公開、多数の深刻な脆弱性に対処
AcrobatとReaderのセキュリティアップデートでは、計47件の脆弱性を修正した。Photoshop CCについても、重大な脆弱性を修正するアップデートを公開している。(2018/5/15)

暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性
電子メールの暗号化に広く使われている規格に、暗号化されたメッセージを攻撃者が平文で入手できてしまう脆弱性が報告された。特にApple Mail、iOS Mail、Mozilla Thunderbirdなどのメールクライアントが危険だという。(2018/5/15)

半径300メートルのIT:
だからCMSは狙われる WordPressやDrupalに攻撃が相次ぐわけ
このところ相次いでいるCMSの脆弱性を突いた攻撃。なぜCMSは攻撃者の餌食になっているのでしょうか。(2018/5/15)

山市良のうぃんどうず日記(127):
Windows Updateは適切な更新サイクルで――CredSSP脆弱性対策について
本連載では「Windows Update」のトラブルや回避方法をよく取り上げていますが、今回は更新をしばらく怠ったときの副作用の話です。それをよく示す事例が、2018年5月の定例更新後に発生する可能性があります。更新サイクルを調整している個人や企業は、今後、近いうちに影響を受けるかもしれません。実は“Microsoftが想定している最大の更新間隔の期間内”に更新されていれば、影響を受けることはありません。(2018/5/15)

4件のセキュリティ問題を修正:
Google、「Chrome 66」安定版のアップデート公開
デスクトップ向けの更新版で修正された脆弱性は、組み合わせるとサンドボックス脱出に利用される恐れがある。(2018/5/14)

Adobe、Flash Playerなどの脆弱性を修正
Flash PlayerとCreative Cloud Desktop Application、及びConnectの脆弱性を修正するセキュリティアップデートが公開された。(2018/5/9)

Microsoftの月例更新プログラム公開、既に悪用の脆弱性も
一部の脆弱性は既に悪用が確認されていることから、対応を急ぐ必要がある。(2018/5/9)

Google、5月のAndroidセキュリティ情報を公開 NVIDIAコンポーネントの脆弱性などを修正
端末メーカーなどのパートナーには、少なくとも1カ月前に通知済み。パートナー各社からユーザーの端末向けにパッチが配信される。(2018/5/8)

LenovoのWebサイトも標的に:
脆弱性放置のDrupalサイト、相次ぎ仮想通貨採掘攻撃の被害に
世界各国の政府機関や教育機関などのWebサイト、さらにはLenovoのWebサイトなどで、「クリプトジャッキング攻撃」の被害が確認された。(2018/5/8)

Android端末に「Rowhammer攻撃」、ChromeやFirefoxに脆弱性
DRAMの設計上の弱点を突く「Rowhammer攻撃」を仕掛け、Webブラウザのセキュリティ対策をかわせてしまう脆弱性が発見された。(2018/5/7)

WebLogicの脆弱性を突く攻撃が横行、パッチ公開の直後から
脆弱性情報が公開されてから悪用されるまでの期間は、ますますます短くなっている。(2018/5/7)

Microsoftの「hcsshim」に深刻な脆弱性、臨時更新プログラムで対処
攻撃者が不正なコードを仕込んだコンテナイメージを管理者がインポートすると、Windowsホスト上で悪質なコードが実行される恐れがある。(2018/5/7)

猫好きを狙うマルウェア「Kitty」、Drupalの脆弱性突き仮想通貨を採掘
Kittyマルウェアは『お願いだから削除しないで。私は無害な可愛い子猫なの』と訴える。(2018/5/7)

CPUパッチ適用以外の5つの対策を整理
Spectre/Meltdown問題で脚光 「CPU脆弱性」の影響と対策
影響範囲の広さから世界中のセキュリティ担当者に衝撃を与えた「Spectre」「Meltdown」。これらによって認識が広がった「CPU脆弱性」とは、どのような脆弱性なのか。対策はあるのか。あらためて整理した。(2018/5/7)

カーネギーメロン大学が報告
「SSD」の寿命を縮め、データを壊すセキュリティの脆弱性とは
SSDは慎重に扱わないと、思わぬリスクを招く恐れがある。データの安全性を確保するために、知っておくべきことを取り上げる。(2018/5/1)

Drupalの脆弱性を突く攻撃を確認、直ちに対応を
Drupalの更新版(バージョン7.59、8.5.3、8.4.8)が公開された。既にこの脆弱性を突く攻撃が確認されていることから、まだ更新を済ませていないサイトは直ちに対応する必要がある。(2018/4/27)

「平成生まれのハッカー社長」が考える、働き方改革に潜む“脆弱性”とは?
働き方改革のために、セキュリティをどうすべきか――。ITmedia エンタープライズが開催したセミナー「働き方改革のリアル」で行われた講演では、この難題をクリアするための考え方やさまざまなツールが紹介された。(2018/5/1)

iOSとmacOS、Safariの更新版リリース WebKitなどの脆弱性を修正
米Appleは、「iOS 11.3.1」「Safari 11.1」および「macOS High Sierra 10.13.4」向けのセキュリティアップデート「2018-001」を公開した。(2018/4/25)

NVIDIAのTegraプロセッサに脆弱性の情報、Nintendo Switchなどに影響
Nintendo Switchでこの脆弱性を実証するためのコンセプト実証コードも公開された。ユーザーが手持ちのデバイスの脆弱性を修正することは不可能とされる。(2018/4/25)

IEに未解決の脆弱性、APT攻撃に利用 最新バージョンにも影響
脆弱性はIEのエンジンに存在すると思われ、不正なWebページを仕込んだOffice文書を送り付ける手口が使われているという。(2018/4/24)

254件の脆弱性を修正:
Oracleの四半期パッチ公開、データベースやJavaなどの脆弱性に対処
今回の定例パッチでは計254件の脆弱性を修正した。Database Server、Fusion Middleware、Java SE、MySQL、Oracle Virtualizationなど多数の製品が対象となる。(2018/4/19)

「Google Chrome 66」安定版 動画の自動再生がなくなり、62件の脆弱性に対処
GoogleのWebブラウザ「Chrome」の安定版がバージョン66になり、動画が自動再生設定になっているWebページを開いても自動再生されないようになった。また、深刻度が5段階で最高の「Critical」2件を含む66件の脆弱性が修正された。(2018/4/18)

OSS脆弱性ウォッチ(5):
ADドメインコントローラーとして動作しているSamba 4.xに関する脆弱性とは
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は2018年3月13日に公開されたSambaの脆弱性情報(CVE-2018-1050、CVE-2018-1057)のうち、特にCVE-2018-1057について解説する。(2018/4/17)

大部分のAndroid端末、Google配信のセキュリティパッチを完全には網羅せず――独セキュリティ企業の調査
Googleが月例パッチに含めた重大な脆弱性への対応が抜け落ちていることがある――。ドイツのセキュリティ企業Security Research Labsが調査結果を発表した。(2018/4/13)

OSS脆弱性ウォッチ(4):
libcのRealpathバッファーアンダーフローに関する脆弱性とは
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。2018年1月4日に「libcのRealpathバッファーアンダーフロー」との脆弱性が報告された。今回は、この脆弱性のPoCを見ていく上で重要な「Realpathのバッファーアンダーフロー」に注目して、詳しく見ていく。(2018/4/12)

Googleは「VPNを使わない安全な通信」を既に利用中
VPNの安全神話は崩壊? 次に利用を検討すべきVPN代替製品
大手ベンダーのVPN製品に脆弱(ぜいじゃく)性が見つかった。この脆弱性は深刻なセキュリティリスクをもたらす可能性があるという。脆弱性に対し、企業はどんな対策を取ればいいのか? VPNに代わるサービス情報と併せて解説する。(2018/4/12)

Flash Playerの更新版公開、複数の深刻な脆弱性を修正
危険度「Critical」の脆弱性3件を含め、6件の脆弱性が修正された。(2018/4/11)

スマート家電の脆弱性を診断――トレンドマイクロ、ホームネットワークの安全性を診断する無償ツールに新機能を追加
トレンドマイクロが無償提供するホームネットワークの安全性診断ツール「オンラインスキャン for Home Network」に、スマート家電の脆弱性の有無を診断する新機能を追加。スマート家電に潜む脆弱性の有無や、ホームネットワークにつながる不正デバイスの有無などを確認できる。(2018/4/11)

Microsoftが月例セキュリティ更新プログラム公開、60件以上の脆弱性に対処
IEやWindowsの脆弱性など24件が、最大深刻度の「緊急」に指定されている。(2018/4/11)

Ciscoのスイッチを狙う攻撃が急増、Smart Install機能の脆弱性を悪用
脆弱性を突くコンセプト実証コードが既に出回っていて、Smart Install機能が使用するTCP 4786番ポートに対するスキャンが急増しているという。(2018/4/10)

大原雄介のエレ・組み込みプレイバック:
収束しない現代的CPUの脆弱性と、苦境を脱せないQualcomm
2018年3月のエレクトロニクス/組み込み業界は話題豊富だった。「現代的CPU」の脆弱性は収束の気配を見せず、Qualcommは大統領令で買収の危機を乗り切ったように見えるが、実はまだ苦境から脱していない。(2018/4/9)

人集めに成功する秘訣とは?:
20人規模のCSIRTを持つリクルート、立ち上げ当初は「募集しても人が来なかった」?
セキュリティエンジニアの不足が叫ばれる中、インシデントレスポンスだけでなく、脆弱性検査やフォレンジックなど、さまざまな一芸を持つ人材を集め、自社を超えて、セキュリティコミュニティー全体にも貢献しているRecruit-CSIRT。しかし、立ち上げ当初は「募集をしても全く人が来なかった」という。(2018/4/9)

Intel、古いプロセッサ向けのSpectre対策パッチは提供せず
発売からほぼ10年以上たった古いプロセッサについては、「Variant 2(Spectre)」と呼ばれる脆弱性の対策パッチを提供しない方針。(2018/4/6)

Microsoftのマルウェア対策エンジンに深刻な脆弱性、臨時アップデートで対処
細工を施したファイルをMalware Protection Engineにスキャンさせる手口で、攻撃者がシステムを制御できてしまう恐れがある。(2018/4/5)

Google、Androidの月例セキュリティ情報公開 多数の脆弱性を修正
Mediaフレームワークとシステムには、危険度が最も高い「重大」(Critical)の脆弱性が複数存在する。(2018/4/3)

直ちにアップデートを:
Windows 7とServer 2008の臨時アップデート公開 Meltdownの対策パッチで生まれた脆弱性に対処
Windows 7とWindows Server 2008 R2で2018年1月以降にリリースされた更新プログラムをインストールしていた場合は、直ちに今回の更新プログラムをインストールする必要がある。(2018/4/2)

この10年で起こったこと、次の10年で起こること(23):
AMDは2016、Intelは2014……。最新CPUチップの刻印が意味するもの
今回は、脆弱性問題で揺れるAMDやIntelの最新プロセッサのチップに刻まれた刻印を観察する。チップに刻まれた文字からも、両社の違いが透けて見えてくる。(2018/4/2)

「SNSがダークWebに取って代わる」:
RSA、2018年のサイバー犯罪について4つの傾向を予想
RSAは、ホワイトペーパー「2018年のサイバー犯罪の現状」を発表し、「アカウント乗っ取りの増加」「サイバー犯罪は新しいインフラに拡大」「新たな脆弱性が登場」「3D SECURE 2.0導入準備」の4つの動きが今後顕著になると予想した。(2018/3/30)

PR:Windows 10に移行したらセキュリティ対策もできちゃった!?――知られざる「安全Windows」の仕組み
さまざまなセキュリティインシデントが日々発生する中で、企業での新たなセキュリティ対策が叫ばれている。「脆弱性の少なさ」、「新たなセキュリティシステムの追加」、「定期更新による防御手法のアップデート」など、Windows 10ではセキュリティ機能が大幅に進化している。Windows 10への移行を“攻めのセキュリティ対策”として考えてみよう。(2018/3/30)

「QRコード問題」は解消されず?:
「iOS 11.3」のセキュリティ情報公開、カーネルやWebKitの深刻な脆弱性に対処
Appleのセキュリティ情報によると、iOS 11.3では計43件の脆弱性を修正した。(2018/3/30)

Drupal、極めて重大な脆弱性を修正 直ちに対応を
現時点で悪用は確認されていないものの、脆弱性の性質を考えると、攻撃コードが開発されている可能性もあり、Drupalを使っているWebサイトは直ちにパッチを適用する必要がある。(2018/3/29)

可視化ツールで学ぶWAN入門(1):
BGPハイジャックの怖さを、目で見てみよう
本連載では、ツールによる可視化を通じ、WANの世界を垣間見てみます。初回である本記事では、インターネット接続を支える役割を果たしているものの、脆弱性が指摘されるBGPプロトコルを扱います。(2018/3/28)

OSS脆弱性ウォッチ(3):
memcachedをDDoS攻撃に使われないための基本的な心掛け
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は、memcachedを用いたDDos攻撃について詳しく見ていきます。(2018/3/28)

Drupalに「極めて重大な脆弱性」、29日のセキュリティリリースを予告
脆弱性は、数時間から数日中に悪用される可能性もある。問題の重大性を考慮して、既にサポートが終了している8.3.xと8.4.xも対象に含める。(2018/3/23)

AMD、プロセッサの脆弱性に関する検証結果を公表 修正パッチで対応へ
いずれの脆弱性も、悪用するためには攻撃者が管理者特権を獲得する必要がある。修正のためのファームウェアパッチは数週間以内にリリース予定。(2018/3/22)

Spectre/Meltdownを受け:
米Microsoft、「投機的実行」攻撃の研究を奨励 賞金2600万円
Microsoftは、CPUの投機的実行機能に対する攻撃手法を「脅威環境の変化」と位置付け、こうした脆弱性や緩和策に関する研究を促す目的で、研究者に賞金を贈呈する。(2018/3/20)

「Firefox 59」の更新版リリース、Pwn2Ownで発見された脆弱性を修正
「Firefox 59.0.1」では、音声データ処理に関する2件の深刻な脆弱性を修正した。(2018/3/19)

株価操作が目的?:
AMDプロセッサの“重大な脆弱性”情報、業界から疑問の声
CTS-Labsが行った発表は、セキュリティ企業による誇大宣伝だったのではないかという声が相次いでいる。AMD株の取引にかかわる組織が価格操作を狙ったという説も浮上した。(2018/3/19)

投機的実行に関する脆弱性に対処するマイクロコード提供も大きく前進:
Intel、2018年後半投入のCPUで「Meltdown」「Spectre」対策の新設計を導入
Intelは、投機的実行に関する脆弱性に対して保護する必要がある、発売後5年以内の全Intel製品についてマイクロコードアップデートをリリース。2018年後半出荷の製品から導入する設計変更も明らかにした。(2018/3/19)

IT部門ができること
スマートフォンのマルウェア感染をなくすには?
スマートフォンを狙うマルウェアの最新情報を入手し、セキュリティポリシーを策定して脆弱性に対処するための、基礎的なポイントを整理した。(2018/3/18)

Intel、プロセッサの設計変更で「Spectre」「Meltdown」の脆弱性に対応
次世代の「Xeon スケーラブル・プロセッサ」と、第8世代 Coreプロセッサーでは、プロセッサの設計を一部変更して、新たな対策を導入する。(2018/3/16)

Flash Playerに深刻な脆弱性、更新版で対処
「Flash Player 29.0.0.113」では、2件の深刻な脆弱性を修正した。(2018/3/14)

老舗画像ビューワ「ViX」・FTPサーバ「Tiny FTP Daemon」に脆弱性 「使用中止の検討を」
Windows向け画像ビューワの老舗「ViX」と、FTPサーバの老舗「Tiny FTP Daemon」にそれぞれ脆弱性が見つかったとして、JVNが使用中止を検討するよう呼び掛けている。(2018/3/14)

Microsoft、3月の月例セキュリティ更新プログラムを公開 75件の脆弱性を修正
ChakraCoreやEdge、Internet Explorer(IE)9〜11になどに存在する深刻な脆弱性が修正された。(2018/3/14)

AMDのプロセッサ「Ryzen」と「EPYC」に重大な脆弱性、セキュリティ企業が公開
イスラエルのセキュリティ企業CTS-Labsによると、AMDのプロセッサ「Ryzen」と「EPYC」に13件の重大な脆弱性が存在する。ただし、脆弱性を突く攻撃には管理者権限が必要との見方が出ている。(3/14 12:00追記)(2018/3/14)

「Firefox Quantum」(バージョン59)公開 プライベートモードでのリファラのパス情報削除機能など
MozillaのWebブラウザ「Firefox 59」がリリースされた。さらに高速化された他、危険度「最高」4件を含む多数の脆弱性が修正された。(2018/3/14)

半径300メートルのIT:
「あなたのルーターに脆弱性あり、買い換えを」 そんなのアリ?
一見、理不尽に思えるこの対策ですが、実際のところは……。(2018/3/13)

「Chrome 65」の安定版公開、情報流出などの脆弱性に対処
米セキュリティ機関によると、脆弱性を悪用されればセンシティブな情報が流出する恐れもある。(2018/3/9)

直ちに最新バージョンへ:
メール転送エージェント「Exim」の脆弱性、サーバ40万台に影響
最新バージョンの4.90.1で脆弱性が修正された。それより前の全バージョンが影響を受ける。(2018/3/8)

初の悪用事例
Meltdown&Spectre用の「偽の修正パッチ」に注意
MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。(2018/3/8)

3月のAndroidセキュリティ情報公開、Mediaフレームワークなどに深刻な脆弱性
Mediaフレームワークの脆弱性は、細工を施したファイルを送り付ける手口で任意の攻撃コードを実行される恐れがあり、特に危険度が高い。(2018/3/6)

システムの脆弱性を可視化し、リスクマネジメントを支援――NTT Com、「脆弱性見える化ソリューション」を提供開始
NTTコミュニケーションズ(NTT Com)が、新しいリスクマネジメント管理サービス「脆弱性見える化ソリューション」を開始。セキュリティリスクを可視化することで、経営者の事業継続に関わる判断を支援するとともに、CSIRTの管理業務の効率化、システム管理者の作業負荷軽減などを実現するという。(2018/3/1)



ビットコインの大暴騰、「億り人」と呼ばれる仮想通貨長者の誕生、マウントゴックス以来の大事件となったNEM流出など、派手な話題に事欠かない。世界各国政府も対応に手を焼いているようだが、中には政府が公式に仮想通貨を発行する動きも出てきており、国家と通貨の関係性にも大きな変化が起こりつつある。

Amazonが先鞭をつけたAIスピーカープラットフォーム。スマホのアプリが巨大な市場を成したように、スマートスピーカー向けのスキル/アプリ、関連機器についても、大きな市場が生まれる可能性がある。ガジェットフリークのものと思われがちだが、画面とにらめっこが必要なスマホよりも優しいUIであり、子どもやシニアにもなじみやすいようだ。

「若者のテレビ離れが進んでいる」と言われるが、子どもが将来なりたい職業としてYouTuberがランクインする時代になった。Twitter上でのトレンドトピックがテレビから大きな影響を受けていることからも、マスメディア代表としてのテレビの地位はまだまだ盤石に感じるが、テレビよりもYouTubeを好む今の子ども達が大きくなっていくにつけ、少なくとも誰もが同じ情報に触れることは少なくなっていくのだろう。