ITmedia総合  >  キーワード一覧  > 

「脆弱性」最新記事一覧

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

関連キーワード

Windows Analyticsで「Spectre」「Meltdown」の脆弱性対策チェックが可能に
Microsoftはプロセッサ脆弱性問題の「Spectre」および「Meltdown」について、ファームウェア、Windows OS、アンチウイルスソフトの対策状況がチェックできる機能を、デバイス監視ツール「Windows Analytics」に追加した。(2018/2/15)

メッセージアプリ「Telegram」の脆弱性突く攻撃、「右から左」に読むテキスト表示機能を悪用
例えば「gnp.js」というマルウェアのファイル名を逆向きに表示すれば、「sj.png」という画像ファイルに見せかけることができてしまう。(2018/2/15)

その知識、ホントに正しい? Windowsにまつわる都市伝説(103):
Windows 10の「このPCを初期状態に戻す」「新たに開始」を実行して後悔する前に……
2018年はプロセッサの脆弱性問題から始まり、その対策に追われた(まだ追われている)人も多いと思います。この問題への対策でWindows Updateでコンピュータが正常に起動しなくなったり、再起動を繰り返すようになったりして、途方に暮れた(暮れている)人もいるかもしれません。そんなトラブルから抜け出す手段として、Windows 10には幾つか回復機能がありますが、ご使用上の注意(今回の記事)をよく読んでお使いください。(2018/2/15)

Adobe、AcrobatとReaderの深刻な脆弱性を修正
Adobe Acrobat/Readerのセキュリティアップデートでは、多数の深刻な脆弱性に対処した。(2018/2/14)

メールをプレビュー表示しただけで攻撃される?:
Microsoft、2月の月例セキュリティ更新プログラム公開 計50件の脆弱性を修正
EdgeやOutlookなどに存在する14件の脆弱性を「緊急」に分類。中でもOutlookのメモリ破損の脆弱性では、メールをプレビュー表示しただけで攻撃コードを実行される恐れがある。(2018/2/14)

セキュリティ・アディッショナルタイム(21):
10分で脆弱性が見つかった、バグハンターと開発者が共同合宿で得たこと
缶詰め状態で集中して脆弱(ぜいじゃく)性を見つけてもらう「バグハンター合宿」を、サイボウズが2017年11月3〜4日に実施。予想以上に多くの報告を受理しただけでなく、サービス開発者とバグハンターの双方に気付きが生まれた。(2018/2/14)

Ciscoセキュリティ製品の脆弱性突く攻撃を確認、直ちに対応を
Ciscoのセキュリティ担当者は、「直ちにパッチ適用を。今のところ下手なDoSだが、現実に悪用が観測された」と呼び掛けている。(2018/2/13)

企業動向を振り返る 2018年1月版:
チップ再設計に踏み切ったIntel、「Spectre」「Meltdown」の余波は収まらず
2018年1月に報告されたプロセッサの脆弱性「Spectre」「Meltdown」に対応すべく、Intelはチップの再設計に踏み切った。他社は追従するか。(2018/2/9)

不具合発生のIntel脆弱性対策パッチ、修正版の提供開始
「Skylake」用のマイクロコードアップデート正式版が、2月5日の週からOEMや業界パートナー向けにリリースされた。(2018/2/9)

「プロセッサ脆弱性」公表から1カ月 アップデートの不具合がさらなる混乱を招く
「Spectre」「Meltdown」と呼ばれるプロセッサの脆弱性が公になり1カ月が過ぎた。その間に情報提供や対策パッチの配布などが進んだが、アップデート自体の不具合やベンダーの対応の仕方が新たな混乱を招いている。(2018/2/8)

Flash Playerの臨時アップデート公開、未解決だった脆弱性に対処
「Flash Player 28.0.0.161」では、標的型攻撃に利用されていた脆弱性を含め、2件の重大な脆弱性を修正した。(2018/2/7)

Ciscoのセキュリティ製品に極めて重大な脆弱性、修正版のアップデート公開
危険度は最大の「10.0」。当初公開していたアップデートでは不十分だったことも分かり、修正版のアップデートが2月5日に公開された。(2018/2/7)

脆弱性の総数と深刻なものの件数がともに急増:
2017年の脆弱性報告件数は過去最高の約1万4700件、まだ隠れた脆弱性がある可能性も:ESET
ESETによると、2017年は脆弱性の報告件数が前年比で2倍以上に増えて過去最高となり、中でも重大な脆弱性が近年の傾向に沿って急激に増加した。(2018/2/7)

Google、Androidの月例セキュリティ情報を公開 計26件の脆弱性を修正
MediaフレームワークやQualcommコンポーネントなどに存在する重大な脆弱性が修正された。(2018/2/6)

特選ブックレットガイド:
組み込みプロセッサも内包する「Spectre」「Meltdown」の脆弱性、その正体と本質的な問題
「Spectre」「Meltdown」と呼ばれる脆弱性は、Intel や AMD だけではなく、Arm 製品にも影響することから組み込みにも大きな問題である。しかし、対処には内部実装についての理解も必要である。ここではMeltdownを中心に詳細を解説する。(2018/2/6)

認証を受けた状態と認証を受けない状態を比較
Windows脆弱性スキャンで“見えなかった欠陥”が見えるようになるチェックリスト
Windowsの脆弱性をスキャンする場合、IT担当者はあらゆる角度から確認できるよう、認証を受けた状態と認証を受けない状態の両方でスキャンを実行する必要がある。(2018/2/3)

北朝鮮からの攻撃?:
Flash Playerに未解決の脆弱性、Windows狙う攻撃に利用
Adobeも未解決の脆弱性を突く標的型攻撃の発生を確認、修正のためのアップデートを2月5日の週にリリースすると予告した。(2018/2/2)

サーバレス、PaaS製品が再注目される結果に
「Meltdown」と「Spectre」で明らかになったクラウドベンダーの対応能力
CPU脆弱性「Meltdown」「Spectre」は、クラウド利用に甚大な影響を及ぼすことが危惧されていた。クラウドベンダーの対応により、想定よりも影響は小さくなりそうだ。(2018/2/1)

CiscoのASAソフトウェアに重大な脆弱性、多数の製品に影響
危険度を示すCVSSベーススコアは最高値の10.0。間もなく開幕するセキュリティカンファレンスで詳しい内容の発表が予定されているという。(2018/1/31)

バグ対策:
マイクロソフト、緊急アップデートを公開 インテルパッチ無効化
Intelが自社の半導体の脆弱性対策として配布したパッチにバグが生じている問題で、米Microsoftは同パッチを無効化する緊急アップデートを公開した。(2018/1/30)

業績は好調だが対応に追われる:
脆弱性問題に対処するチップを18年内に発表 Intel
2017年の業績が好調だったIntelだが、CPUのセキュリティ脆弱性の対処には追われているようだ。同社CEOは、この脆弱性問題に対処するチップを2018年後半にリリースする予定だという。(2018/1/30)

Windowsの臨時アップデート公開、「Spectre」の脆弱性緩和策を無効に
Intelパッチの不具合発覚を受けて、MicrosoftがWindows向けの臨時アップデートを公開。Spectreの脆弱性に対する緩和策を無効にする措置を講じた。(2018/1/30)

ホワイトハットハッカーを有効活用
失効したユーザーでもログイン可能、Slackも影響を受けたSAMLの脆弱性とは?
失効したログイン認証情報を使用してシステムの利用許可権限が与えられてしまうSAMLに関する重大な脆弱(ぜいじゃく)性の問題がSlackにおいて発見された。「Confused Deputy」と名付けられた問題の解決方法とは?(2018/1/30)

Cxクラウド:
ソースコードの脆弱性をクラウド上で解析するサービス
東陽テクニカは、ソースコードの脆弱性解析をクラウド上で実施できる「Cxクラウド」の提供を開始した。コンパイル前、ビルド前のソースコードの脆弱性を開発者自身で診断して安全性を早期に把握できるため、修正によるコストを削減する。(2018/1/29)

Windows向けiTunesとiCloudの更新版公開、深刻な脆弱性に対処
悪用された場合、細工を施したWebコンテンツを処理させることによって、任意のコードを実行される恐れがある。(2018/1/25)

「Google Chrome 64」が安定版に サイトごとの音声ミュート機能や53件の脆弱性修正
GoogleがWebブラウザ「Chrome 64」の安定版を公開した。バージョン64で見送られてたWebサイトごとの音声ミュート機能やリダイレクトブロック機能が追加され、危険度「高」3件を含む53件の脆弱性を修正した。(2018/1/25)

「Firefox Quantum」(バージョン58)公開 さらに高速化、多数の脆弱性修正
Mozilla Foundationが、「Firefox Quantum」と呼ぶWebブラウザの初のアップデート「バージョン58」を公開した。画像処理機能強化でさらに読み込みが速くなり、Android版ではPWA機能が追加された。(2018/1/24)

iOSやmacOSのアップデート公開、「Meltdown」の脆弱性などに対処
不正なリンクを受信するとiPhoneがクラッシュすると伝えられた問題を修正したほか、macOS SierraとEl Capitan向けのアップデートで「Meltdown」と呼ばれるCPU関連の脆弱性に対処した。(2018/1/24)

「iOS 11.2.5」アップデートでHomePodサポートとSiriでのニュース読み上げ追加(日本はまだ)
Appleが「iOS 11.2.5」の配信を開始した。スマートスピーカー「HomePod」販売国ではHomePodのサポートとSiriのニュース読み上げ機能が追加された。日本では多数の脆弱性修正が中心だ。(2018/1/24)

「Broadwell」「Haswell」搭載システムの再起動問題対策が前進:
Intel、システム再起動問題で現行ファームウェアアップデートの展開中止を推奨
Intelは、CPU脆弱性対策のファームウェアアップデート適用後に特定のシステムで発生していた再起動問題の一部について、根本原因を特定し、最新情報を発表した。(2018/1/24)

Mostly Harmless:
プロセッサの脆弱性問題が炙り出した“IoT機器”のリスク
Intelが発表したプロセッサの脆弱性問題で見えてきたIoT機器のセキュリティリスクとは。(2018/1/24)

アップデート版をリリース予定:
脆弱性対策パッチの導入中止を――「リブート問題」でIntelが呼び掛け
Intelは、現在出回っている脆弱性対策パッチについて、「リブートが予想以上に増えるなど、予想外のシステムの挙動を発生させる可能性がある」として、導入の中止を呼び掛けた。(2018/1/23)

組み込み開発ニュース:
ソースコードの脆弱性をクラウド上で解析できるサービスを提供
東陽テクニカは、ソースコードの脆弱性解析をクラウド上で実施できる「Cxクラウド」の提供を開始した。コンパイル前、ビルド前のソースコードの脆弱性を開発者自身で診断して安全性を早期に把握できるため、修正によるコストを削減する。(2018/1/23)

頭脳放談:
第212回 大騒ぎのSpectreとMeltdownの脆弱性をざっくりと解説
2018年の年明けから大騒ぎとなっているSpectreとMeltdownの脆弱(ぜいじゃく)性をざっくりと解説する。プロセッサの何が問題となって脆弱性が起きているのだろうか?(2018/1/23)

現代的なCPUの脆弱性:
組み込みプロセッサにも影響大「Spectre」「Meltdown」の背景を探る
「Spectre」「Meltdown」と呼ばれる脆弱性は、IntelやAMDだけではなく、Arm製品にも影響することから組み込みにも大きな問題である。しかし、A75は影響を受けるがA72は受けにくく、A73は影響しないなど、対処には内部実装についての理解も必要である。ここではMeltdownを中心に詳細を解説する。(2018/1/23)

各社の対策法まとめ:
根本的解決はCPUの世代交代か、脆弱性問題
2018年の年明けすぐに、CPU業界で発生した「Spectre」「Meltdown」問題。Googleのチームなどが同年1月3日に報告した当初、情報が錯綜(さくそう)して混乱したものの、情報が公開されるにつれて落ち着きを取り戻しつつある。本稿では、主要ベンダーが用意した最新の対策情報と、いまひとつ分かりにくい「分岐先予測」「投機的実行」「データキャッシュ」に脆弱性が潜んでいた理由を解説する。(2018/1/22)

Intel、脆弱性対策パッチによるリブート増加問題やパフォーマンスへの影響について説明
「Meltdown」「Spectre」と呼ばれるCPUの脆弱性の対策パッチによってリブートが増加する問題や、サーバのパフォーマンスに及ぼす影響を調べたベンチマークの結果について報告した。(2018/1/19)

リスクを明らかにする努力は足りているか
モバイルアプリの脆弱性:組織で対策すべき5つのリスクとは
モバイルアプリに関わるリスクには最優先で取り組む必要がある。安全性が確認されていないモバイルアプリの危険性について、専門家が解説する。(2018/1/19)

AWS、Microsoft、Googleの対策は
「Meltdown」「Spectre」の脆弱性、大手クラウドサービスが格好の標的に
クラウド環境が「Meltdown」「Spectre」の脆弱性によって狙われる恐れがある。だがAWS、Microsoft、Googleは、攻撃を防ぐ対策は万全と説明している。(2018/1/18)

Oracleが四半期パッチ公開、Intel CPUの脆弱性に対処
Spectreと呼ばれる脆弱性の緩和策は、Sun Systems製品とOracle Virtualization向けのパッチに含まれている。(2018/1/17)

山市良のうぃんどうず日記(117:緊急特別編):
緊急パッチだけではプロセッサ脆弱性対策は不十分――Spectre&Meltdown対策状況を再チェック
2018年早々、プロセッサに影響する脆弱性が公表されました。そして、Microsoftは1月の定例日(1月10日)を待たずにこの脆弱性を軽減する緊急のセキュリティパッチを含む更新プログラムの提供を開始しました。この緊急パッチをインストールしたことで安心してはいませんか。今回の問題は、OSのパッチだけでは不十分です。(2018/1/17)

脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。(2018/1/16)

幻冬舎のWebサイト、不正アクセスで個人情報流出の可能性 対象は登録者9万人以上
システムの脆弱性をついた不正アクセスの痕跡が認められました。(2018/1/15)

Intelの一部CPU搭載マシン、脆弱性対策パッチ適用でリブート増加
CPUの脆弱性対策パッチを適用した後に、IntelのCPU「Broadwell」および「Haswell」を搭載したマシンで、リブートの回数が増える現象が報告された。(2018/1/15)

AMD、RyzenとEPYCのSpectre対策を今週中に提供へ GPUには影響なし
AMDがプロセッサ脆弱性「Spectre」の対策状況を説明した。「Ryzen」と「EPYC」は今週中に、古いプロセッサについては向う数週間中に更新を提供する計画。「Meltdown」の影響はないとしている。(2018/1/12)

脆弱性対策パッチで6〜8%のパフォーマンス低下 Intelがベンチマーク公表
「Meltdown」「Spectre」と呼ばれるCPUの脆弱性の対策パッチがパフォーマンス与える影響について、第6〜第8世代の「Core」プロセッサとWindows 10を搭載したマシンのベンチマーク結果を公表した。(2018/1/12)

Google、Chromebookの「Meltdown」対策リストを公開
Googleが、現行の全Chromebookのプロセッサの脆弱性「Meltdown」の対策状況一覧を公開した。ユーザーは要チェックだ。(2018/1/12)

NVIDIA、CPUの脆弱性対応でドライバのアップデート公開 GPUは影響受けず
NVIDIAのGPUハードウェアについては、今回報告されたセキュリティ問題の影響は受けないと強調している。(2018/1/11)

ランサムウェアは増加の一途、脆弱性の見直しが急務――トレンドマイクロ、「2017年国内サイバー犯罪動向」を発表
トレンドマイクロが、「2017年国内サイバー犯罪動向」を発表。企業における2017年のサイバー攻撃の三大脅威は、ランサムウェア「WannaCry」、公開サーバからの情報漏えい、ビジネスメール詐欺(BEC)だった。(2018/1/11)

モノづくり総合版メルマガ 編集後記:
より下層の脆弱性を狙うサイバー攻撃にIoTデバイスは耐えられるのか
新年早々からCPUの脆弱性が問題になっています。(2018/1/11)

IoTセキュリティ:
「WannaCry」の拡散続く「クローズドな環境だから安全という思い込みが脆弱性」
トレンドマイクロが「2017年国内サイバー犯罪動向」の調査結果について解説。製造業と関わる大規模なサイバー攻撃事例となるランサムウェア「WannaCry(ワナクライ)」は現在も拡散が続いている。「IoT活用やITシステムとの連携を考慮すれば、クローズドな環境だから安全という思い込みは脆弱性に成り得る」(同社)という。(2018/1/11)

CES 2018:
過去5年間の製品へのパッチ提供は1月末までに完了――Intel・クルザニッチCEOが「プロセッサ脆弱性」問題に言及
昨今世間をにぎわせているプロセッサの脆弱(ぜいじゃく)性問題。「CES 2018」の基調講演において、“渦中”にあるIntelのクルザニッチCEOがこれに言及。過去5年間に発売した全てのIntelプロセッサに対するパッチを1月中に完了するという。(2018/1/10)

Adobe、Flash Playerの脆弱性に対処 悪用されれば情報流出の恐れ
脆弱性を悪用されれば情報流出の恐れがあるとされ、緊急度は同社の3段階評価で中間の「重要」、優先度は「2」と位置付けている。(2018/1/10)

Microsoft、1月の月例更新プログラムを公開 56件の脆弱性を修正
今回の更新プログラムでは計56件の脆弱性が修正された。このうち16件が最大の深刻度である「緊急」に指定されている。(2018/1/10)

更新プログラムの配信を一時停止:
Windowsパッチで一部AMDマシンに不具合、Microsoftが対応説明
AMDマシンで「Meltdown」「Spectre」と呼ばれる脆弱性に対処するWindows向けのパッチをインストールしたところ、起動できなくなったという報告が相次ぎ、Microsoftがパッチの配信を停止した。(2018/1/10)

プロセッサの脆弱性、Microsoftの対策パッチでパフォーマンス大幅低下も
Microsoftによると、2015年代以前のプロセッサを搭載したPCや、Windows Serverでは、対策パッチを適用すると、パフォーマンスに相当な影響が出ることが分かった。(2018/1/10)

半径300メートルのIT:
もはや「OSの自動更新」だけでは守れない? 「Meltdown」と「Spectre」のベストな対策は
新年早々、世間を騒がせている脆弱性、「Meltdown」と「Spectre」。この対応策、ちょっと一筋縄ではいかないようで……。(2018/1/10)

Microsoft Azure最新機能フォローアップ(46):
プロセッサの脆弱性問題、Azureは対策済み、オンプレミスの対応策は?――Windows関連のまとめ
2018年の年明け早々、「Meltdown」や「Spectre」と呼ばれるプロセッサの脆弱性問題が公表され、IT業界全体でゼロデイ攻撃のリスクが高まっています。Microsoft AzureおよびMicrosoftのその他のクラウドサービスは、2018年1月4日時点で既に対策が完了しているとのことです。(2018/1/10)

「iOS 11.2.2」配信 CPUの脆弱性「Spectre」に対処
Appleが「iOS 11.2.2」を配信。CPUの脆弱性「Spectre」の影響を緩和する。Appleは「全てのユーザーに推奨されます」と案内している。(2018/1/9)

Apple、「Spectre」の緩和策もリリース SafariとWebKitのセキュリティ対策強化
「macOS High Sierra 10.13.2補足アップデート」「iOS 11.2.2」「Safari 11.0.2」では、それぞれSpectreの脆弱性の影響を緩和するため、セキュリティ対策を改善した。(2018/1/9)

世間を騒がす「プロセッサ脆弱性」 何が本当の問題なのか
2018年の年明け早々、新たに発見されたプロセッサの脆弱性「Meltdown」「Spectre」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。この問題の概要、影響や対策についてまとめた。(2018/1/6)

IoTセキュリティ:
IoTデバイスも対象、“現代的な”CPUの脆弱性「Meltdown」と「Spectre」
投機的実行機能を持つ現代的な(Modern)CPUの脆弱性が見つかった。インテル、AMD、アームのCPUが対象になっており「Meltdown」「Spectre」と呼ばれている。IoTデバイスに広く用いられている「Cortex-Aシリーズ」も含まれており、OSやアプリケーションのアップデートによる対策が必要だ。(2018/1/5)

Apple、プロセッサ脆弱性「Meltdown」と「Spectre」の対策について説明
Appleが、1月3日に発表されたプロセッサの脆弱性「Meltdown」と「Spectre」の対策について説明した。MeltdownについてはMac、iPhone、iPad、Apple TVでの「緩和策」をリリース済みで、Spectreについても近く緩和策をリリースする計画だ。(2018/1/5)

Intel、プロセッサ脆弱性対策で「来週末までに過去5年に製造したプロセッサの9割に更新実行」
プロセッサの脆弱性「Meltdown」と「Spectre」について、Intelが過去5年以内に製造した大部分のプロセッサの90%に対し、来週末までに更新プログラムの発行作業を完了すると説明した。(2018/1/5)

プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
Intelが「他社のプロセッサも影響する」と発表したプロセッサの重大な脆弱性「Meltdown」と「Spectre」についての情報がまとまったWebサイトを、これらの脆弱性を発見したグラーツ工科大学が開設した。(2018/1/4)

Intel、プロセッサ脆弱性はAMDやArmにもあり、対策で協力中と説明
Intelが、複数のセキュリティ研究者が発表したプロセッサの重大な脆弱性は同社製品固有のものではなく、「AMDやArmなどと対策について協力している」と説明した。(2018/1/4)

2018年に取り組みたいセキュリティやプライバシーの懸念払拭
Windows 10ユーザーなら笑えない5つの「困った」、解決策は?
見落としがちなWindows 10のセキュリティホールなどへの対策をどうするか。ここで挙げる課題への対策ができていれば、IT担当者にとって2018年はいい年になるだろう。(2017/12/29)

「Mirai」の亜種:
Huaweiルータの脆弱性突くマルウェア「オキル/サトリ」、世界各地で攻撃発生
Huaweiルータの脆弱性を突くマルウェアは「Mirai」の亜種で、「Okiru」「Satori」「Okiku」などと呼ばれている。(2017/12/26)

パートナー連携によるNFVで実現:
IoTセキュリティはデバイス防御のみにあらず! 「分散連携防御」という考え方
リソースの限られるIoTデバイスは、一度運用を開始するとアップデートもままならず、セキュリティリスクが残ってしまう。そのため、運用開始後に脆弱性が見つかった場合、IoTデバイスが悪意ある第三者の管理下に置かれ、大きな被害をもたらす可能性もある。こうした状況を打破する最良のアプローチは何か? それは「IoT機器のセキュリティをデバイス単体で考えること」から脱却することだ。その考え方を紹介しよう。(2017/12/25)

「ザ・たっち」を判別できないiPhone Xの顔認証、X-GUN西尾の動画に驚嘆の声集まる
深刻な脆弱性だな。(2017/12/23)

Google、「Chrome 63」の脆弱性を修正 発見者に7500ドルの賞金
デスクトップ向けの最新版となる「Chrome 63.0.3239.108」では2件のセキュリティ問題を修正した。(2017/12/18)

TLS実装の脆弱性「ROBOT」、19年前の攻撃が再来 大手各社の製品に影響
TLSの実装に関して1998年に発見された攻撃手法が、わずかに手を加えるだけで、現代のHTTPSに対して通用してしまうことが分かった。(2017/12/14)

Apple、iOSやAirPortの更新版公開 HomeKit不正操作の恐れ
iOSとtvOSの更新版では、iPhoneやiPadを家電用のリモコンとして使える「HomeKit」の脆弱性を修正。AirPort Base Station向けのファームウェアアップデートでは、「KRACK」と呼ばれるWi-Fi関連の脆弱性に対処した。(2017/12/14)

「Twitterで手口公開」に批判も
macOSに“パスワードなしでrootになれる”脆弱性、悪用されたら何が起きていたのか?
Appleの「macOS High Sierra」に、完全な管理者権限をもつユーザーとしてシステムにログイン可能になる脆弱性が見つかった。既に修正済みのこの脆弱性を攻撃者が悪用すると、どのような被害につながったのか。(2017/12/14)

Microsoft、12月の月例セキュリティ更新プログラム公開 32件の脆弱性を修正
Internet Explorer(IE)やEdge、Windowsなどに深刻な脆弱性が存在する。(2017/12/13)

Adobe、Flash Playerのアップデート公開 リグレッションの脆弱性に対処
今回のリグレッション問題では、グローバル設定プリファレンスファイルが意図せずリセットされる可能性がある。(2017/12/13)

Microsoft、マルウェア対策エンジンの脆弱性情報を連日公開
Microsoftは12月6日から7日にかけて、マルウェア対策エンジンの脆弱性に関する情報を相次いで公開した。月例セキュリティ情報は予定通り12日(日本時間13日)に公開予定。(2017/12/11)

「Firefox 57」のセキュリティアップデート公開、深刻な脆弱性に対処
脆弱性を悪用されれば、潜在的に悪用可能なクラッシュにつながる恐れがある。影響を受けるのはWindowsのみで、他のOSは影響を受けないという。(2017/12/11)

Microsoftのマルウェア対策エンジンに重大な脆弱性、定例外で更新プログラム公開
細工を施したファイルをマルウェア対策エンジンがスキャンすると、リモートで攻撃コードを実行される可能性がある。(2017/12/8)

Apple、KRACKの脆弱性に対処 「iOS 11.2」などのセキュリティ情報を公開
「iOS 11.2」「watchOS 4.2」「tvOS 11.2」では、「KRACK」と呼ばれるWi-Fi関連の脆弱性などが修正された。(2017/12/7)

Mac向けのセキュリティアップデート公開、管理者ログイン問題に再び対処
「High Sierra 10.13.2」では、11月29日のアップデートで対処したのと同じく、ディレクトリユーティリティの脆弱性が再度修正された。(2017/12/7)

「Apache Struts 2」の更新版公開、複数の脆弱性に対処
Struts 2.5.14までのバージョンに脆弱性があり、不正なリクエストを使ってサービス妨害(DoS)攻撃を仕掛けられる恐れがある。(2017/12/6)

Google、Androidの月例セキュリティ情報公開 47件の脆弱性を修正
Androidのメディアフレームワークや、Qualcommコンポーネントなどに重大な脆弱性が存在する。(2017/12/5)

Trend Micro DIRECTION 講演レポート:
脆弱性はなくならない、事故発生を前提とした対策があなたの工場を脅威から守る
トレンドマイクロ主催の情報セキュリティカンファレンス「Trend Micro DIRECTION」の講演「製造業の工場システム担当者が知っておくべき最新の工場セキュリティ動向」では、近年のランサムウェアの動向と製造業への影響、工場における具体的なセキュリティ対策の考え方について語られた。(2017/12/4)

「Google Play」にマルウェア感染アプリ、古い脆弱性やパーミッションを悪用
Tizi感染アプリは、古いバージョンのAndroidやチップセットなどの脆弱性を突いて、管理者権限を獲得していた。(2017/12/1)

早急に最新アップデートの適用を:
「macOS High Sierra」管理者権限に重大な脆弱性、JPCERTが対策を呼び掛け
macOS High Sierra 10.13.1に、誰でも簡単に管理者権限を乗っ取れてしまうバグが見つかった。JPCERT/CCは、Appleによる最新のセキュリティアップデートの適用を呼び掛けている。(2017/11/30)

アップデートを自動配信:
Apple、パスワードなしで管理者ログインできる脆弱性を修正 ユーザーに謝罪
パスワードを入力しなくても、管理者権限でMacにログインできてしまう問題が修正された。アップデートはmacOS High Sierra向けに、自動的に配信される。(2017/11/30)

「macOS High Sierra」に脆弱性 パスワードなしでログイン可能に
Appleは対応中。【追記あり】(2017/11/29)

IoTマルウェア「Mirai」の亜種が急拡大、日本でも感染か?
ZyXEL製モデムの脆弱性などを悪用するトラフィックは、アルゼンチンを中心に、日本の大手通信事業者やプロバイダーのIPアドレスも検知されている。(2017/11/28)

HPの法人向けプリンタに脆弱性、セキュリティ研究者が実証マルウェアを作成
HPはファームウェアの更新版を公開し、ユーザーに対してできるだけ早く対応するよう呼び掛けている。(2017/11/24)

Symantec、エンタープライズ向け管理コンソールの脆弱性を修正
「Symantec Management Console」に存在する危険度「高」の脆弱性が修正された。(2017/11/22)

PCやサーバ、IoTプラットフォームに影響:
Intelプロセッサの管理エンジンに脆弱性、直ちにファームウェアの更新を
Intelのプロセッサを搭載したPCやサーバ、IoTプラットフォームに影響が及ぶ恐れがあり、OEMから更新版のファームウェアを入手するよう強く勧告している。(2017/11/22)

車載ソフトウェア:
QNXは車載ソフトの安全とセキュリティを重視「AndroidやLinuxは脆弱性だらけ」
ブラックベリーは、車載分野を中心に組み込みソフトウェアを展開するBlackBerry QNXの事業戦略について説明。QNXが得意としてきた安全に関わる機能に加えて、新生ブラックベリーが重視するセキュリティの機能も車載分野に提案していく方針を示した。(2017/11/22)

現実的な解決策はまだなし:
WindowsのASLRに脆弱性、米セキュリティ機関が対策呼び掛け
Windows 8からASLRの実装方法が変更されたことに伴って問題が発生し、脆弱性の悪用が容易になる可能性が指摘されている。(2017/11/21)

PeopleSoftに影響する重大な脆弱性、Oracleが臨時パッチで対処
PeopleSoftに含まれる「Tuxedo」に極めて深刻な脆弱性が発見された。Oracleでは、できるだけ早くパッチを適用するよう強く勧告している。(2017/11/17)

「Mobile Pwn2Own 2017」レポート
「iPhone」を無線LANにつなぐだけでデータ流出の恐れ――脆弱性発見コンテストで判明
脆弱性発見コンテストの「Mobile Pwn2Own 2017」では、セキュリティ研究者がコードの実行と賞金の獲得を目指して腕を競った。中でも注目すべきは、「iOS 11」の脆弱性を突いたハッキングが成功したことだ。(2017/11/17)

シャープのお掃除ロボ「COCOROBO」に脆弱性 第三者による操作や情報漏えいの危険、アップデートを呼びかけ
対策しましょう。(2017/11/16)

セキュリティパッチ配信でトラブルか
Androidの無線LANはまだ危険? WPA2脆弱性「KRACK」問題の終わりが見えない
GoogleはAndroidのアップデートを公開し、無線LANセキュリティプロトコルの脆弱性「KRACK」に対処した。だがアップデートを巡って混乱があり、エンドユーザーは自分のデバイスが安全かどうか分からない状況にある。(2017/11/16)

システムが過去の経験から学習し、脆弱性発見を支援:
Microsoft、ソフトウェアのセキュリティテストに機械学習を適用するニューラルファジング研究を推進
Microsoftの研究者は、機械学習とディープニューラルネットワークをソフトウェアのセキュリティ脆弱性発見に利用する「ニューラルファジング」という研究プロジェクトを進めている。初期の実験では有望な結果を示している。(2017/11/15)

Microsoft、11月の月例セキュリティ更新プログラム公開 53件の脆弱性を修正
ZDIによると、今回の更新プログラムでは計53件の脆弱性が修正された。中でもEdgeとIEおよびJavaScriptエンジンのChakra Coreには深刻な脆弱性が多数ある。(2017/11/15)

Flash PlayerやAcrobat、Readerなどのアップデート一挙公開 深刻な脆弱性に対処
AdobeはFlash PlayerやAcrobat、Reader、Photoshop CCなど多数の製品を対象とするセキュリティアップデートを公開し、多数の脆弱性を修正した。(2017/11/15)

米セキュリティ企業、ブラザー製プリンタの脆弱性情報を公開
脆弱性を悪用すれば、細工を施したHTTPリクエストを送り付ける手口でリモートからDoS攻撃を仕掛け、プリンタ内蔵のWebサーバをフリーズさせることが可能とされる(追記あり)。(2017/11/8)

IEEEの電子設計暗号規格に脆弱性、半導体大手の製品に影響の恐れ
まだ未確認ながら、半導体大手の製品が影響を受ける可能性が指摘されている。(2017/11/7)

Google、デスクトップ向け「Chrome 62」の深刻な脆弱性に対処
最新版となる「Chrome 62.0.3202.89」では外部の研究者から報告された2件の脆弱性を修正した。(2017/11/7)

Androidの月例セキュリティ情報公開、「KRACK」の脆弱性に対処
Androidで特に深刻な影響が指摘されていたWi-Fiの暗号化技術「WPA2」の脆弱性(通称KRACK)に対処した。(2017/11/7)

2017年5月に発覚し、修正済み
Windows標準のマルウェア対策エンジンに「最悪」の脆弱性、どうしてこうなった?
Microsoftのウイルス対策ツール「Windows Defender」には、リモートでコードが実行できる脆弱(ぜいじゃく)性が含まれていた。Microsoftが2017年5月8日に緊急対応を実施した、この脆弱性の背景とは。(2017/11/7)

macOSとLinux向けの「Tor Browser」に脆弱性、IPアドレス流出の恐れ
細工を施したURLにユーザーが誘導されると、Tor Browserを迂回して、OSがリモートのホストに直接接続してしまう可能性があるという。(2017/11/6)

WordPressの更新版「4.8.3」公開、SQLインジェクション誘発の恐れ
米セキュリティ機関US-CERTも、脆弱性を悪用されればリモートの攻撃者にセンシティブな情報を取得される恐れがあるとして、ユーザーや管理者に対応を呼び掛けた。(2017/11/2)

Apple、iOS 11やHigh Sierraのセキュリティ情報公開 KRACKの脆弱性に対処
iOSやmacOS、tvOS、watchOSの更新版で、「KRACK」と呼ばれるWi-Fi関連の脆弱性が修正された。(2017/11/1)

Google製品の脆弱性情報筒抜けも 社内情報管理ツールに重大な問題、外部の研究者が報告
今回発見した手口を使えば、Google製品の脆弱性に関する全情報を開示させてしまうこともできると思ったと研究者は報告している。(2017/10/31)

Oracleの「Identity Manager」に重大な脆弱性、緊急パッチ公開 すぐに適用を
危険度はCVSSのベーススコアで最も高い10.0。悪用されれば認証なしのネットワーク攻撃を通じてIdentity Managerを完全に制御される恐れがある。(2017/10/31)

GoogleのChrome OS更新版、WPA2の脆弱性に対処
「Chrome OS 62.0.3202.74」では、通称KRACKと呼ばれるWPA2の脆弱性10件を修正した。(2017/10/30)

Google、「Chrome 62」の脆弱性を修正 DoS誘発の恐れ
米US-CERTはこの問題について、悪用されればサービス妨害(DoS)状態を誘発される恐れがあるとして、アップデートの適用を呼び掛けている。(2017/10/30)

膨大な数のデバイスに影響
Bluetoothが危ない 背筋が凍る8つの脆弱性「BlueBorne」とは?
Bluetoothには8つの脆弱(ぜいじゃく)性があり、総称してBlueBorneと呼ぶ。専門家によれば、BlueBorneは膨大な数のデバイスに影響を及ぼし、深刻な問題を引き起こす恐れがあるという。(2017/10/31)

ITりてらしぃのすゝめ:
WPA2の脆弱性は“大げさ”だった? 「初報だけ盛り上がる問題」を考える
先日話題となった、WPA2の脆弱性に関する問題。初報は「やや大きく取りあげられすぎている」という印象だったが……。(2017/10/27)

Androidでは深刻な影響
「無線LANはもう安全に使えない」は誤解? WPA2脆弱性「KRACK」を正しく恐れる
無線LANのセキュリティプロトコルに見つかった脆弱性「KRACK」は、潜在的な影響の広さから動揺が広がった。だが専門家によれば、KRACKを巡る初期の報道は「リスクを誇張している」という。(2017/10/26)

脆弱性と未知の攻撃検知でCSIRT運用の時間を大幅短縮 NECの新セキュリティサービス
システム内に潜む脆弱性を悪用することが多いサイバー攻撃に対応するため、システムに潜む脆弱性を早期発見する「セキュリティリスク管理サービス」と、AIで未知のサイバー攻撃に対応する「セキュリティ異常検知サービス」の提供を開始する。(2017/10/25)

「社内ネットワークなら安全だ」は脆弱性の根源:
PR:「働き方改革」がサイバー犯罪者の標的に――セキュリティ専門家が指摘する脅威と対策
@IT編集部が2017年9月21日に開催した、セミナー「狙われる働き方改革〜攻撃者視点で明かす、モバイルワークの脆弱性〜」で、基調講演にゲヒルンの代表取締役であり、さくらインターネットのフェロー・CISOとセキュリティ・キャンプ実施協議会の顧問・企画実行委員も兼務する石森大貴氏が登壇した。石森氏は『狙われる働き方改革〜攻撃者とCSIRT、攻守の視点で語るモバイルワークの脆弱性〜』というテーマで、モバイルを活用したリモートワークの危険性と、そうした脅威に対して先進的な企業が行っている対策を紹介した。(2017/10/25)

デジタルID最新動向(2):
図解:OAuth 2.0に潜む「5つの脆弱性」と解決法
SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱(ぜいじゃく)性と攻撃手法、対策についてシーケンス図を使って解説する。(2017/10/24)

Google Play、人気Androidアプリの脆弱性発見に報奨金1000ドル
現時点での対象は、Dropbox、LINE、Snapchatなどの一部アプリに限定。研究者がアプリ開発者に報告して問題が解決されると、Google Playから報奨金が贈呈される。(2017/10/20)

「Google Chrome 62」が安定版に、35件の脆弱性を修正
デスクトップ向けWebブラウザ「Chrome 62」の安定版が公開され、35件のセキュリティ問題が修正された。(2017/10/20)

252件の脆弱性を修正:
米Oracleの四半期パッチ公開、Javaなどの脆弱性に対処
今回のパッチでは計252件の脆弱性を修正した。中でもSiebel CRMやFusion Middlewareなどには極めて深刻な脆弱性が存在する。(2017/10/19)

セキュリティチップにRSA暗号鍵の脆弱性、GoogleやMicrosoftの製品にも影響
Infineon製のセキュリティチップに、RSA秘密鍵を取得されてしまう脆弱性が発覚。問題のセキュリティチップはGoogleやMicrosoftなど幅広いメーカーの製品に使われている。(2017/10/18)

「WPA2」の脆弱性、メーカー各社が対応表明 MicrosoftとLinuxは対応済み
Microsoftは10月10日に公開した月例セキュリティ更新プログラムで対応済み。特に深刻な影響が指摘されるAndroidは数週間以内に対応予定だという。(2017/10/17)

特にAndroidに深刻な影響:
「WPA2」の脆弱性情報、セキュリティ機関が公開 パッチ適用を呼び掛け
影響はAndroidやLinux、Windowsなど広範に及ぶことから、修正パッチが公開され次第、適用するようユーザーに呼び掛けている。(2017/10/17)

WPA2の脆弱性「KRACK」対処パッチ、Microsoftは対応済み、AppleのOSとAndroidは数週間中
Wi-Fi暗号化技術「WPA2」の脆弱性対処について、Microsoftは10月10日の月例セキュリティ更新で対処済みと語った。AppleとGoogleは向う数週間中にパッチを提供するとしている。(2017/10/17)

Wi-Fiの暗号化技術「WPA2」に脆弱性が見つかる ユーザーは速やかにデバイスのアップデートを
WPA2は暗号化技術の中でも特に安全性が高いとされており、ネット上でも衝撃が走っていました。(2017/10/16)

WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解
「WPA2」の脆弱性は、ソフトウェアアップデートで解決できる――Wi-Fiの規格標準化団体が見解を発表。(2017/10/16)

Wi-Fiの暗号化技術「WPA2」に脆弱性発見か 専門家が公開を予告
「WPA2」で使われている暗号化技術の仕様自体に問題があるという。【続報あり】(2017/10/16)

日本企業を狙う中国のサイバースパイ集団、知的財産や製品情報が被害に
Secureworksによると、「BRONZE BUTLER」と呼ばれるサイバースパイ集団は、日本語を使いこなし、日本企業がよく使うツールの未解決の脆弱性を突くなどの手口で機密情報を盗み出す。(2017/10/16)

米Microsoft、10月の月例セキュリティ更新プログラム公開 IEやWindowsなど62件の脆弱性を修正
Internet ExplorerやEdge、Windowsなどに深刻な脆弱性が存在する。(2017/10/11)

セキュリティクラスタ まとめのまとめ 2017年9月版:
Struts 2の脆弱性、三度目の正直なのか
2017年9月のセキュリティクラスタ、話題の中心は「Apache Struts 2」でした。リモートからサーバOSのコマンドが実行できる脆弱(ぜいじゃく)性が見つかったのは、2017年に限っても3度目です。未成年者のネットを使った犯罪では、中学生とは思えないほど手の込んでいたチケットの販売詐欺と、メルカリを使ったウイルス情報販売が話題になりました。またBluetoothをオンにしているだけで乗っ取られるという「BlueBorne」脆弱性が公表されてAndroidユーザーを中心に騒ぎとなりました。(2017/10/11)

1人で脆弱性試験ができる:
Raspberry Piでホワイトハッカー育成、スペクトラム・テクノロジーが「ホワイトハッカ育成ツール」を発売
スペクトラム・テクノロジーは「ホワイトハッカ育成ツール」を発売した。ポートスキャンやWebの脆弱性診断、パスワードクラッキング、ハッキングなどの各種ソフトウェアを備え、ホワイトハッカーの育成ツールとして使用できるという。(2017/10/10)

攻撃者のこれまでの手口とは
iPhoneのパスワード自動入力「iCloud キーチェーン」が安全とは言い切れない理由
iPhoneやMacのパスワード管理「iCloud キーチェーン」の過去のバージョンには脆弱性が存在した。攻撃者はどのようにデータを盗み取ることが可能だったのか。(2017/10/9)

Apple、High Sierraのアップデート公開 パスワード露呈の問題に対処
「APFS」と「キーチェーン」に関連して外部の研究者に指摘されていた2件の脆弱性に対処した。(2017/10/6)

不正アクセスを検知できず:
Equifaxの情報流出は「人為ミスと技術的失敗」、前CEOが証言
Equifaxのセキュリティ部門が行ったスキャンではApache Strutsの脆弱性を発見できず、同社のセキュリティツールも不正アクセスを検出できなかった。(2017/10/4)

連日の「深刻な脆弱性」の報道から何を得て、情報をいかに咀嚼していくべきなのか
連日のように公開される脆弱性情報の中から自分たちに関係するものを見つけ、適切な優先順位で対応するのは容易ではない。この状況に、企業はどう向き合えばよいのだろうか? @ITが、2017年8月30日に開催したセミナー『連日の「深刻な脆弱性」どう向き合い、どう対応するか』のレポート、後編をお届けする。(2017/10/5)

Androidの月例セキュリティ情報公開、Dnsmasqの脆弱性などに対処
10月の月例パッチは「2017-10-01」「2017-10-05」の2本が公開された。端末メーカーなどのパートナー向けには少なくとも1カ月前に通知されている。(2017/10/3)

Dnsmasqに7件の脆弱性、AndroidやLinuxなど広範に影響の恐れ パッチ適用を
Androidやデスクトップ向けLinuxディストリビューション、ホームルータ、IoTデバイスなどの幅広いシステムに使われている「Dnsmasq」に脆弱性が見つかり、パッチが公開された。(2017/10/3)

外注したシステムの脆弱性は誰のせい? 連日の「深刻な脆弱性」にどう向き合い、どう対応するか?
連日のように公開される脆弱性情報の中から自分たちに関係するものを見つけ、適切な優先順位で対応するのは容易ではない。この状況に、企業はどう向き合えばよいのだろうか? @ITは、2017年8月30日にセミナー『連日の「深刻な脆弱性」どう向き合い、どう対応するか』を東京で開催した。多数の専門家やセキュリティベンダーが登壇した同セミナーの模様をお届けしよう。(2017/10/3)

「Firefox 56」公開、Android版はFlashのサポート終了
「Firefox 56」「Firefox ESR52.4」では多数の深刻な脆弱性に対処。Android版ではFlashのサポートが打ち切られた。(2017/10/2)

「Firefox 56」公開、スクリーンショット機能やAndroidでのFlashサポート終了など
「Firefox 56」は、表示しているWebページのスクリーンショットを手軽に保存・共有できる機能やタブを他の端末に送る機能などが追加された。「最高」2件を含む複数の脆弱性にも対処した。Android版ではFlashのサポートを終了した。(2017/10/2)

PR:セキュリティは健康管理と同じ? 脆弱性対策でサイバー攻撃の大半は防げる
「企業にとってのサイバーセキュリティ対策は、人の健康管理に例えると分かりやすい」と話すのはNECの石井サイバーセキュリティ戦略本部長だ。セキュリティパッチ適用のような、基本的な対策を実施しておけば、かなりの安全性は確保できるという。サイバーセキュリティ対策の本来の目的は「事業の継続性」だ。その原点を今一度見直すべき時にきている。(2017/10/4)

IPAがWindowsのアプリケーション利用に関して注意喚起 “DLL 読み込み”の脆弱性が今年4月から急増へ
アプリケーション実行時に「悪意ある任意のコード」が実行されてしまう可能性があります。(2017/9/28)

OracleやCisco、Apache Strutsの脆弱性に関する臨時セキュリティ情報を公開
米Oracleや米Ciscoが臨時のセキュリティ情報を公開。Apache Strutsの脆弱性に対処した。(2017/9/28)

OSS脆弱性ウォッチ:
10年以上前からあるLinux Kernelの懸念点が脆弱性として発見された「Stack Clash」――意図的に公開が遅らされた理由
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は、2017年9月14〜15日に開催された「Linux Security Summit」でも話題になっていた「Stack Clash」の詳しい説明と情報をまとめる。(2017/9/28)

セキュリティの落とし穴:
PR:「外付けフラッシュメモリ」は組み込み認証で守る
フラッシュメモリは、セキュリティ上の脆弱性により、IPの盗難による商業的損害や、悪質なリバースエンジニアリングによる模造品の製造などの危機にさらされています。そこで、フラッシュメモリを正当なホストコントローラとユニークかつ、安全にペア接続させる方法について概説します。(2017/9/27)

「Dirty COW」の脆弱性を突くAndroidマルウェア出現、日本でも感染
「Dirty COW」と呼ばれるLinuxの脆弱性を突くAndroidマルウェアが、日本を含む40カ国あまりで発見された。(2017/9/27)

Apple、「High Sierra」や「iOS 11.0.1」のセキュリティ情報公開
「High Sierra 10.13」では、OS X Lion 10.8以降のバージョンに存在していた多数の脆弱性に対処した。「iOS 11.0.1」「iCloud for Windows 7.0」も公開された。(2017/9/27)

Appleの「macOS High Sierra」に未解決の脆弱性情報、パスワード盗まれる恐れ
「キーチェーン」からパスワードを盗むことができてしまう未解決の脆弱性をセキュリティ研究者が発見し、デモ映像を公開した。(2017/9/26)

WordPressの更新版公開、直ちに適用を
最新版となる「WordPress 4.8.2」では、SQLインジェクションの脆弱性や、複数のクロスサイトスクリプティング(XSS)の脆弱性などが修正された。(2017/9/21)

Apache Tomcat、リモートコード実行の脆弱性など修正
2件の脆弱性はTomcat 7.0.81以降のバージョンで修正された。(2017/9/20)

IoTセキュリティ:
Bluetoothの脆弱性「BlueBorne」はIoT機器を狙う!?
Bluetoothの脆弱性「BlueBorne」は、PCやスマートフォンだけでなく、IoT機器にも大きな影響を与える可能性がある。製造業の技術者は、生産ラインで用いているPCだけでなく、開発したIoT機器についてもBlueBorneへの対処を行う必要がある。(2017/9/15)

米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因
今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。(2017/9/15)

Bluetooth実装の脆弱性「BlueBorne」、82億台に影響 無線経由で攻撃の恐れ
AndroidやiOS、Windows、Linuxなど主要OSのBluetooth実装に起因する脆弱性が発見された。近隣の端末を無線経由で攻撃し、相手の端末を制御したりマルウェアに感染させたりすることが可能とされる。(2017/9/14)

Adobe、Flash Playerの深刻な脆弱性を修正
Flash Playerに加えて、RoboHelpとColdFusionのセキュリティアップデートもそれぞれ公開した。(2017/9/13)

Microsoft、9月の月例更新プログラム公開 IEやEdgeに深刻な脆弱性
今回は合計81件の脆弱性が修正された。このうち26件は最大深刻度が4段階で最も高い「緊急」に分類されている。(2017/9/13)

ドコモのモバイルルーター「Wi-Fi STATION L-02F」にバックドア、アクセス制限不備の恐れ
IPAとJPCERT/CCは9月12日、NTTドコモが販売するLG Electronics製のモバイルルーター「Wi-Fi STATION L-02F」の脆弱性について指摘。6月28日から提供中のソフトウェアアップデートで予防と改善が行える。(2017/9/12)

一部Android端末のブートローダーに脆弱性、設計や実装に起因
研究チームがQualcomm、HiSilicon、NVIDIAおよびMediaTekの大手4社が提供するブートローダーを調べた結果、これまでに知られていなかった脆弱性6件が見つかったという。(2017/9/8)

Google、「Chrome 61」の安定版公開 危険度「高」6件を含む多数の脆弱性に対処
Webブラウザ安定版のアップデートとなる「Chrome 61」がWindows、Mac、Linux向けに公開された。22件の脆弱(ぜいじゃく)性に対処した他、開発者は「WebUSB API」や「PaymentRequest API」などを利用できるようになった。(2017/9/6)

Apache Strutsに重大な脆弱性、直ちに更新を
2008年以降にリリースされたStrutsの全バージョンに脆弱性があり、RESTプラグインを使っている全てのWebアプリが影響を受ける。(2017/9/6)

米FDA、心臓ペースメーカーのリコール発表 脆弱性を突かれ患者に危害が及ぶ恐れ
脆弱(ぜいじゃく)性を悪用されれば、患者のペースメーカーに他人が不正アクセスしてプログラミングコマンドを改ざんできてしまう恐れがある。(2017/8/31)

「SMBv2」「SMBv3」の無効化は得策ではない
「Windows 10 Fall Creators Update」リリース日までにやっておきたいSMBプロトコル脆弱性対策
「Windows 10」の次期大型アップデート「Fall Creators Update」では、「EternalBlue」というエクスプロイト(脆弱性攻撃プログラム)の悪用を可能にしていた弱点が修正される。アップデート適用日までにできる対策とは。(2017/8/31)

ドローンの意外な脆弱性発覚 高速ロケット推進する日本刀と衝突すると空中で粉々になる
な、なんだってー!(棒読み)(2017/8/29)

ロボットの同僚が人間に危害を加える可能性 セキュリティ企業が警鐘
人間と一緒に働く作業用ロボットの脆弱性を突いて安全設定を改ざんされれば、人命が脅かされる恐れもあるとセキュリティ企業は指摘する。(2017/8/24)

事例で分かる、中堅・中小企業のセキュリティ対策【第11回】
一人情シスが“Windows Update放置PC”を守るための武器とは?
ウイルス対策ソフトでは防ぎきれないサイバー攻撃の1つが、「Java」や「Adobe Flash Player」などの脆弱性を突いた攻撃です。対策は最新版にアップデートして脆弱性をつぶすこと。一人情シスでもできる対策とは?(2017/8/22)

脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。(2017/8/23)

セキュリティクラスタ まとめのまとめ 2017年7月版:
Flash Playerが廃止、影響は?
2017年7月のセキュリティクラスタでは、「Adobe Flash Player」が話題になりました。脆弱性によってユーザーが攻撃にさらされることが多く、2020年末に廃止されることが発表されて、ようやくかとほっとするツイート、さらには移行について考えるツイートが多数ありました。7月はあまり大きなセキュリティインシデントが発生せず、無事に米国の「Black Hat USA」「DEF CON 25」に遠征できた方が多かったようです。どちらもとても盛り上がったようでした。(2017/8/17)

SCSKとベリサーブが提供する、ソースコード診断サービスの狙い:
PR:「ものづくり」においてもソフトウェアが重要な今、ソースコードに「品質」プラス「セキュリティ」で企業の価値向上に
10年以上にわたって脆弱性診断サービスを提供してきたSCSKと、そのグループ会社で、製造業を中心にソースコードの品質検査サービスを実施してきたベリサーブ。両社はFortify SCAといった診断ツールを活用してソースコードの脆弱性検査サービスを提供し、ソフトウェアがもたらす価値をさらに高めようとしている。(2017/8/17)

情報セキュリティの深層:
Webサイトを守るために企業が実施すべき対策とは?
ITmedia エンタープライズでも頻繁にニュースとして取り上げる「脆弱性」の情報。ソフトウェアに脆弱性があると、どんな影響があるのでしょうか。企業にとっては、この脆弱性が非常に深刻な脅威なのです。(2017/8/15)

「パスコードロックをかけない従業員」が災いを招く
iPhone最大のセキュリティリスクは「ダメなユーザー」 徹底したい安全3カ条とは
iOS端末の安全は高い評価を誇るが、警戒すべき“脆弱性”を抱えている。それは、「どのような行動が危険を招くか」を理解していないユーザーの存在だ。(2017/8/10)

「Firefox 55」公開、「WebVR」対応や高速化など
「Firefox 55」はWebVRをサポートし、Oculus RiftやHTC ViveなどのVR HMDでVR対応WebゲームやWebアプリを利用できるようになった。「最高」2件を含む脆弱性にも対処した。(2017/8/9)

Androidの月例セキュリティ情報公開、メディアフレームワークに深刻な脆弱性
メディアフレームワークの脆弱(ぜいじゃく)性が悪用されれば、リモートの攻撃者が細工を施したファイルを使って任意のコードを実行できてしまう恐れがある。(2017/8/9)

Microsoft、8月の月例更新プログラムを公開 48件の脆弱性に対処
IE 9〜11とEdge、Windows 7〜10、Windows Server 2008〜2016の各製品に、最大深刻度が4段階で最も高い「緊急」の脆弱(ぜいじゃく)性が存在する。(2017/8/9)

Windowsの脆弱性突くコード公開、米セキュリティ機関が注意喚起
Microsoft Windowsのショートカットファイル処理の脆弱(ぜいじゃく)性を突くコードが公開された。CERT/CCでは、Microsoftが6月に公開した更新プログラムの適用を促している。(2017/8/7)

Microsoft Edgeに深刻な脆弱性、Microsoftが新たに情報公開【訂正あり】
この脆弱(ぜいじゃく)性を悪用すれば、攻撃者が細工を施したWebサイトをEdgeで閲覧するようユーザーを仕向けることによって、任意のコードを実行できてしまう恐れがある。(2017/8/7)

SMBの新たな脆弱性、研究者がDEF CONで発表 Microsoftは対処予定なし
悪用された場合、標的とするマシンにDoS攻撃を仕掛けてメモリとCPUリソースを枯渇させ、サービスを妨害することが可能とされる。(2017/8/1)

Microsoft、Outlookのセキュリティ更新プログラムを公開
今回の更新プログラムでは、Outlookのメモリ破損の脆弱(ぜいじゃく)性と、セキュリティ機能バイパスの脆弱性、情報流出の脆弱性にそれぞれ対処した。(2017/7/31)

Windows 10の脆弱性情報に最大2700万円、Microsoftが新たな報奨金制度
リモートコード実行など、ユーザーのプライバシーやセキュリティを脅かすWindowsの脆弱(ぜいじゃく)性について、500ドル〜25万ドルの報奨金を支払う。(2017/7/27)

リモートで悪用可能なWi-Fiチップセットの脆弱性、Black Hatで詳細発表
問題のチップセットは、幅広いAndroid端末やiOS端末に搭載されている。AppleとGoogleはそれぞれ、7月に公開したセキュリティアップデートでこの脆弱性に対処した。(2017/7/24)

米Appleがセキュリティアップデート一挙公開、iOSやmacOSの脆弱性を修正
iOS、macOS、watchOS、Safari、tvOS、およびWindows向けのiCloudとiTunesのセキュリティアップデートが公開された。(2017/7/20)

米Oracleの四半期パッチ公開、データベースやJavaの極めて深刻な脆弱性に対処
Fusion MiddlewareのWebLogic Serverには、危険度が最も高い脆弱性が存在するほか、データベースやJava SEでも極めて深刻な脆弱性が修正された。(2017/7/19)

WannaCryが突いた脆弱性、多くのマシンで放置 無料スキャンツール公開へ
あるネットワークでは、1万台近いホストのうち2台に脆弱(ぜいじゃく)性が見つかった。こうしたホストが1台でもあれば、ネットワーク全体が危険にさらされかねない。(2017/7/14)

Adobe、Flash PlayerとAdobe Connectの脆弱性を修正
Flash Playerの脆弱(ぜいじゃく)性では、リモートの攻撃者にコードを実行される恐れがあり、できるだけ早く最新版に更新する必要がある。(2017/7/12)

Microsoft、月例セキュリティ情報を公開 Windows Searchに脆弱性
IEやWindows向けの更新プログラムは、多数が「緊急」に指定されている。Windows Searchに存在するリモートコード実行の脆弱(ぜいじゃく)性は、SMB経由でも悪用される恐れがある。(2017/7/12)

「Petya」亜種の被害を防ぐには
“WannaCryショック”の再来か? MBRを暗号化する新ランサムウェアが猛威
「WannaCry」と同じ脆弱性を悪用する、新しいランサムウェアを使った攻撃が急速に広がっている。感染拡大を図る巧妙な仕組みを備えるが、被害を防ぐ方法は幾つかある。(2017/7/12)

7月のAndroidセキュリティ情報公開、メディアフレームワークに深刻な脆弱性
メディアフレームワークの脆弱性は、10件が「Critical(重大)」に分類。リモートからの任意のコード実行に利用される恐れがある。(2017/7/6)

「スマートコントラクト」の脆弱性を診断:
NRIセキュアテクノロジーズ、国内初の「ブロックチェーン診断サービス」を開始
NRIセキュアテクノロジーズが、ブロックチェーンを対象としたセキュリティ診断サービスを開始。「改ざんが困難」とされるブロックチェーンだが、穴がないわけではない。まず「スマートコントラクト」の脆弱性を診断するメニューを用意した。(2017/7/5)

WordPress用プラグインにXSS脆弱性 最新版へアップデートを
脆弱性は最新版で修正されている。(2017/7/4)

OSS脆弱性ウォッチ:
「sudoコマンドの脆弱性はSELinuxが有効になっていたため」が誤解であるワケ
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を定期的に取り上げ、解説していく。2017年5月30日、Linuxのsudoコマンドに全特権取得の脆弱性が報告された。連載初回は、こちらの詳しい説明と情報をまとめる。(2017/6/29)

Microsoftのマルウェア対策エンジンにまた新たな脆弱性、更新プログラムで対処
攻撃者が不正なファイルをWebサイトに仕込んだり、電子メールなどで送り付けたりする手口を使ってマルウェア対策エンジンにスキャンさせれば、システムを制御することも可能とされる。(2017/6/27)

Microsoft Edgeの報奨金プログラム、今後は期限設けず
MicrosoftはEdgeの脆弱性を発見した研究者に報奨金を支払うプログラムを無期限で継続すると発表した。発見者には500ドル〜1万5000ドルの報奨金を支払う。(2017/6/22)

最大のセキュリティリスクはやはり「人間」?
ロシアが米大統領選で地方職員にサイバー攻撃、“人の脆弱性”を悪用か
米大統領選中に発生した地方自治体職員へのサイバー攻撃は、新たな流出文書でロシアの関与が明らかになった。投票改ざんの有無は不明だが、攻撃者は地方特有の“隙”を狙ったのではないか、という見方がある。(2017/6/21)

過去のiOS 10.2で発生か
「Super Mario Run」配信通知で判明、iOS脆弱性はどのように見つかったか
Appleの通知機能と「iTunes」の脆弱(ぜいじゃく)性を悪用すると、アプリケーション側に有害なスクリプトを挿入する攻撃が可能になることが分かった。専門家のマイケル・コッブ氏がその仕組みを解説する。(2017/6/21)

Google、「Chrome 59」の脆弱性を修正
「Chrome 59.0.3071.104」では5件のセキュリティ問題を修正した。(2017/6/16)

「史上最高のFirefox」――「Firefox 54」公開、32件の脆弱性に対処
Firefox 54では32件の脆弱性が修正され、うち3件については重要度「最高」に分類されている。(2017/6/15)

Adobe、Flash Playerの脆弱性を修正 直ちにアップデートを
Flash Playerの25.0.0.171までのバージョンに、複数の深刻な脆弱(ぜいじゃく)性が存在する。(2017/6/14)

IoTセキュリティ:
オープンソースの採用広がる車載ソフトは「脆弱性も管理すべき」
Black Duck Software CEOのルー・シップリー(Lou Shipley)氏が「自動車業界におけるオープンソースソフトウェア(OSS)の管理と安全確保」について説明。製造業の中でも、ソフトウェア規模の増加が著しい自動車でのOSS採用が拡大しており、「OSSに含まれる脆弱性についてもしっかり管理しなければならない」(同氏)と主張した。(2017/6/13)

古賀政純の「攻めのITのためのDocker塾」:
第43回 Dockerイメージを「Quay.io」で管理する(セキュリティ編)
ホステッドレジストリには、アップロードしたDockerイメージのセキュリティ脆弱性をチェックする機能もあります。「Quay.io」を実際に操作しながら、セキュリティチェックの方法を確認します。(2017/6/12)

脆弱性の大多数、正式公表前に情報露呈 闇サイトや中国サイトで先に公開されるケースも
脆弱(ぜいじゃく)性の75%は、脆弱性情報データベースで公表される前から情報が出回っていたことが判明。5%は公表前に、ディープWebやダークWebに詳しい情報が掲載されていた。(2017/6/9)



Twitter&TweetDeckライクなSNS。オープンソースで誰でもインスタンス(サーバ)を立てられる分散型プラットフォームを採用している。日本国内でも4月になって大きくユーザー数を増やしており、黎明期ならではの熱さが感じられる展開を見せている。+ こういったモノが大好きなITmedia NEWS編集部を中心に、当社でもインスタンス/アカウントを立ち上げました! →お知らせ記事

意欲的なメディアミックスプロジェクトとしてスタートしたものの、先行したスマホゲームはあえなくクローズ。しかしその後に放映されたTVアニメが大ヒットとなり、多くのフレンズ(ファン)が生まれた。動物園の賑わい、サーバルキャットの写真集完売、主題歌ユニットのミュージックステーション出演など、アニメ最終回後もその影響は続いている。

ITを活用したビジネスの革新、という意味ではこれまでも多くのバズワードが生まれているが、デジタルトランスフォーメーションについては競争の観点で語られることも多い。よくAmazonやUberが例として挙げられるが、自社の競合がこれまでとは異なるIT企業となり、ビジネスモデルレベルで革新的なサービスとの競争を余儀なくされる。つまり「IT活用の度合いが競争優位を左右する」という今や当たり前の事実を、より強調して表現した言葉と言えるだろう。