ITmedia総合  >  キーワード一覧  > 

「脆弱性」最新記事一覧

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

NTPの更新版公開、DoSなどの脆弱性に対処
悪用されればリモートの攻撃者にサービス妨害(DoS)状態を誘発されたり、不正なコードを仕込まれたりする可能性が指摘されている。(2017/3/23)

Firefox、ハッキングコンペで使われた脆弱性を修正
「Firefox 52.0.1」では、中国のChaitin Security Research LabがPwn2OwnでFirefox破りに使った脆弱性を修正した。(2017/3/21)

Cisco IOSの重大な脆弱性、WikiLeaks情報で発覚 数百種類のスイッチに影響
米Ciscoのスイッチなど何百種類もの製品に搭載されている「Cisco IOS」と「Cisco IOS XE Software」に重大な脆弱性が発覚した。(2017/3/21)

Intelも脆弱性情報に賞金贈呈、バグバウンティ開始 最大3万ドル
Intelのソフトウェアとファームウェア、ハードウェアの脆弱性を発見して報告を寄せた研究者に対し、悪用の難易度に応じて500ドル〜3万ドルの賞金を贈呈する。(2017/3/17)

「安全なウェブサイト運営入門」に脆弱性 使用停止を
IPAが2008年に公開した無料ゲーム「安全なウェブサイト運営入門」に脆弱性が見つかったとして、使用しないよう呼び掛けている。(2017/3/16)

セキュリティ・アディッショナルタイム(16):
「脆弱性情報」をどう扱うか――見つける人、流通させる人、対処する人、それぞれの視点
連日公表されるソフトウェアなどの脆弱(ぜいじゃく)性情報。2016年12月1日に行われた「Internet Week 2016」では、「脆弱性情報と賢く付き合う〜発見から対策までの最前線〜」と題したプログラムが開催された。(2017/3/16)

Shockwave Playerにも更新版:
Flash Playerの深刻な脆弱性を修正、直ちに更新を
AdobeはFlash PlayerとShockwave Playerのセキュリティアップデートを公開し、複数の深刻な脆弱性に対処した。(2017/3/15)

Microsoft、2月と3月の月例更新プログラムを併せて公開
公開が延期されていた2月の分を含め、18件の月例セキュリティ更新プログラムを公開。既に攻撃が発生している脆弱性や、情報が公開されていた脆弱性も含まれる。(2017/3/15)

とにかく速いWordPress(17):
WordPressのバージョンアップを自動化して、最新アップデートを正しく適用する方法
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、先日、WordPressの過去バージョンに存在した脆弱性によって多くのページ改ざん被害が発覚した事案を踏まえ、WordPressのバージョンアップを自動化して、最新のアップデートを「正しく」適用する方法を解説します。(2017/3/15)

トレンドマイクロ 2016年 年間セキュリティラウンドアップ:
SCADAにも多くの脆弱性、製造業IoTにセキュリティの重要性増す
注目される製造業IoTだが、トレンドマイクロらの調査で産業制御システム「SCADA」関連製品の脆弱性も多く発見された。製造業IoTの存在感が増すに従い、セキュリティリスクも高まっている。(2017/3/15)

国際郵便マイページサービスからメアドなど約3万件流出の恐れ Struts 2の脆弱性を利用した不正アクセス
日本郵便が提供する「国際郵便マイページサービス」に不正アクセスがあり、送り状やメールアドレスの情報が流出した可能性があることが判明。「Apache Struts 2」の脆弱性を利用した不正アクセスだった。(2017/3/14)

脆弱性別ではCSRFとSQLインジェクション、言語ではPHPが多く狙われた:
CDNetworksが2016年第4四半期サイバー攻撃の分析レポートを公開
シーディーネットワークス・ジャパンは、「2016年第4四半期サイバー攻撃の分析レポート」を公開した。脆弱性タイプ別で最も多かったものは、クロスサイトリクエストフォージェリー。最も頻繁に狙われる言語はPHPだった。(2017/3/14)

セキュリティクラスタ まとめのまとめ 2017年2月版:
WordPressサイトが書き換えられまくり、SHA-1が衝突した2月
WordPressの脆弱性に「SHA-1」衝突。2017年の「サイバーセキュリティ月間」は波乱の幕開けとなったのでした。(2017/3/14)

都税と住宅金融支援機構のクレジット支払サイトに不正アクセス 個人情報流出の可能性
ソフトの脆弱性を悪用した不正アクセスにより、70万件を超える個人情報が流出した可能性がある。(2017/3/11)

Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。(2017/3/10)

WordPressのアップデート公開、直ちに更新を 脆弱性悪用でWebサイト制御の恐れも
最新バージョンのWordPress 4.7.3では6件の脆弱性が修正された。(2017/3/8)

Google、Androidの月例セキュリティパッチ公開、多数の深刻な脆弱性を修正
OpenSSLやBoringSSL、Mediaserverに深刻な脆弱性が存在し、メールやWeb閲覧、MMS経由で不正なメディアファイルを処理させる手口でリモートからコードを実行される恐れがある。(2017/3/8)

その知識、ホントに正しい? Windowsにまつわる都市伝説(78):
Adobe Flash Playerの緊急のセキュリティ更新をサーバにインストールできない?
Windows Server 2012以降のWindows Serverに「Adobe Flash Playerのセキュリティ更新が来ないのはなぜ?」「手動でもインストールできないのはどうして?」と疑問に思っている管理者の方はいないでしょうか。Adobe Flash Playerが入っていれば更新されるし、入っていなければ当然、更新されません。そして、脆弱性の影響を受けないのだから、入っていないに越したことはありません。(2017/3/8)

悪質コードのばらまきに悪用される恐れも
「Internet Explorer」の“非常に危険な”脆弱性をGoogleが発見、「Edge」にも影響か
「Microsoft Edge」と「Internet Explorer」に新たな脆弱(ぜいじゃく)性が見つかった。Googleのセキュリティ調査チームが発見した、この脆弱性が及ぼす影響とは。(2017/3/8)

Cloudflareの脆弱性、発覚前に悪用された形跡はなし
米Cloudflareから顧客などの情報が大量に流出した問題で、脆弱性が公になる前に悪用されていた形跡は見つからなかったと同社が報告した。(2017/3/3)

ネットワーク内にあるIoTデバイスの脆弱性発見、危険なサイトへのアクセス制限などを行う「Bitdefender BOX」
家庭内を始め、身の回りに急激に増えたIoTデバイスのセキュリティを守ることを、ユーザーも意識しなくてはならない時代がやってきている。BBソフトサービスが間もなく発売する「Bitdefender BOX」も、そんなIoTデバイスの安全を守る機器だ。(2017/3/2)

ぬいぐるみから80万人のユーザー情報が流出、つながる玩具に警鐘
「ほかにも多数のつながる玩具に深刻な脆弱性が存在しているのは間違いない。メーカーや保護者の知らないうちに不正アクセスされ、データが盗まれているかもしれない」と研究者は警鐘を鳴らしている。(2017/3/2)

アイ・オー・データ機器製ネットワークカメラに脆弱性 任意のOSコマンド実行などの危険が判明
アイ・オー・データ機器製のネットワークカメラに複数の脆弱(ぜいじゃく)性があることが判明。メーカーが公開している最新のファームウェアにアップデートすることで対処できる。(2017/3/2)

ウイルス対策ソフトESETのmacOS版に深刻な脆弱性、更新版で対処
危険度は最も高い「Critical」に分類されおり、ESETではmacOS向け製品のユーザーに対してできるだけ早く更新版をインストールするよう呼びかけている(※3月3日17時40分追記)。(2017/3/2)

セキュリティ・アディッショナルタイム(15):
先駆者に聞く、「バグ報奨金制度」のメリットと課題
日本国内でも幾つかの企業が採用し始めている「脆弱性報奨金制度」(バグバウンティプログラム)。果たしてどれだけの効果があるのか。また課題は? 実際に制度を運営する3社に聞いた。(2017/3/2)

山市良のうぃんどうず日記(85):
トラブルシューター泣かせのイベントログメッセージ(その2)──「システム時刻の変更」に脆弱性あり?
前回に続き、今回もWindowsの「イベントログ」に記録された不可思議なイベントを紹介します。今回は不可思議というよりも、本当だったらちょっと怖いお話です。(2017/3/1)

Microsoftの更新プログラム公開延期で相次ぐ未解決の脆弱性、今度はEdgeとIEにも
米Googleの研究者が、EdgeとIEの未解決の脆弱性を突くコンセプト実証コードを公開した。(2017/2/27)

10年以上前から脆弱性が存在:
Linuxカーネルに脆弱性、主要ディストリビューションが更新版で対処
LinuxカーネルのDCCPプロトコルにダブルフリーの脆弱性があり、非特権プロセスからのカーネルコード実行に悪用される恐れがあることが分かった。(2017/2/24)

GarageBandオンザラン:
GarageBand「任意のコードを実行できる脆弱性」を試してみた(検証動画あり)
iOS版で試してみたが、ある意味危険だった。(2017/2/23)

Apple、Logic Pro Xの更新版を公開 メモリ破損の脆弱性を修正
この問題を悪用すれば、細工を施したGarageBandプロジェクトファイルを開かせることによって、任意のコードを実行できてしまう恐れがある。(2017/2/23)

Microsoftの更新プログラム、Flash Playerの脆弱性のみ対処
Adobeが14日にリリースしていたFlash Playerの更新版のみWindows向けに配信したが、既に公になっているWindowsの脆弱性は未解決のまま残されている。(2017/2/23)

「iOS 10.1」と「iOS 10.2」では修正済み
一体なぜ? 数分で破られた「iOS 10」ローカルバックアップパスワードの脆弱性
2016年、「iOS 10」のパスワード照合システムに不備があり、ハッカーがローカルバックアップを容易に解読できてしまうという問題が発覚した。どうすればこの問題は防げたのだろうか。(2017/2/23)

JavaとPythonに脆弱性、ファイアウォールを突破される恐れ
たとえユーザーがブラウザのJavaプラグインを無効にしていた場合でも、脆弱性を突いた攻撃を仕掛けられる恐れがあるという。(2017/2/22)

Windowsに未解決の脆弱性、Google研究者が情報公開
この問題は、公開が延期された2月の月例セキュリティ更新プログラムで対応される予定だったのではないかとGoogle研究者は推測している。(2017/2/21)

「お名前.comレンタルサーバー」でWAFを標準提供:
PR:GMOインターネット×ラック対談――「Webサーバ防御の課題」とは
脆弱なWebサーバ、特に「WordPress」の脆弱性を狙った不正アクセスが後を絶たない。そんな中GMOインターネットでは、サービス事業者として「安心して利用できる環境」の実現を目指し、ジェイピー・セキュアの「SiteGuard」を用いてデフォルトでWAF機能の提供を開始した。(2017/2/20)

OpenSSLの更新版公開、危険度「高」の脆弱性に対処
更新版の「OpenSSL 1.1.0e」では、認証暗号化方式「Encrypt-Then-Mac」(EtM)の拡張機能に関する脆弱性に対処した。(2017/2/17)

Apple、GarageBandのセキュリティアップデートを公開
脆弱性を悪用すれば、細工を施したGarageBandプロジェクトファイルを開かせることによって、任意のコードを実行できてしまう可能性がある。(2017/2/15)

Adobe、Flash Playerなどの脆弱性に対処 直ちに更新を
特にWindowsやMac向けのFlash Playerでは、差し迫った悪用の恐れがあることから、更新を急ぐ必要がある。(2017/2/15)

OpenSSLが公開予告、深刻度「高」の脆弱性が存在
日本時間では2月16日夜以降にリリースされる見込みだ。(2017/2/14)

Intel、「Threat Landscape Dashboard」発表 攻撃多発の脅威情報を提供
ソフトウェアの脆弱性を突く攻撃や、ランサムウェアなどの攻撃が相次いで浮上する中、管理者が優先的に対処すべき脆弱性を見極められるよう支援する。(2017/2/14)

WordPressサイトの改ざん被害は150万件超に 「最悪級の脆弱性」
「今回、被害に遭っているサイトは、WordPress 4.7.2にアップグレードするまで何度も何度も改ざんされ続ける」とセキュリティ企業は警告している。(2017/2/13)

Android向けのFirefoxに重大な脆弱性、更新版で対処
Android向けに更新版の「Firefox 51.0.3」が公開。1件の重大な脆弱性に対処した。(2017/2/13)

Vistaも終了:
Office 2007のサポート終了まで6カ月 「移行」など対策迫る
これまで127件の脆弱性情報が登録され、IPAは「サポート終了後も引き続き脆弱性が発見される懸念がある」と指摘する。(2017/2/10)

脆弱性をレポートで報告:
「EC-CUBE」特化のECサイト脆弱性診断サービス、ロックオンとHASHコンサルティングが提供
ロックオンは、セキュリティ企業のHASHコンサルティングと協業し、「EC-CUBE」のユーザー向けに「EC-CUBEセキュリティ診断サービス」の提供を開始した。(2017/2/10)

「Ticketbleed」と命名:
F5の「BIG-IP」にメモリ流出の脆弱性、「Heartbleed」との類似点も
F5のアプライアンス「BIG-IP」で「Session Tickets」というオプションの実装に問題があり、1度に最大31バイトの初期化されていないメモリが流出する可能性がある。(2017/2/10)

BIND 9にDoS誘発の脆弱性、特定の条件下で影響の恐れ
「DNS64」と「RPZ」を有効に設定(デフォルトでは無効)している場合に影響を受ける恐れがあるという。(2017/2/9)

IPAの脆弱性体験学習ツールに4件の脆弱性、修正版が公開
脆弱性体験学習ツール「AppGoat」で任意のコードが実行されてしまうなどの複数の脆弱性が報告され、IPAが修正版へのアップデートを呼び掛けている(2017/2/9)

WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害
脆弱性情報が公開されてから48時間足らずの間に悪用コードが投稿され、脆弱性のあるサイトを探して攻撃を試す動きはインターネット全体に広がった。ハッキングされたWebサイトの数は6万6000以上にのぼり、現在も増え続けている。(2017/2/9)

既に10万以上のサイトで改ざん被害 背景と対処方法を解説:
WordPress脆弱性発覚、その後の状況 4.7.2リリース時に脆弱性が公開されなかった理由
2017年2月に発覚したWordPressの脆弱性により、既に約10万件ものサイトで改ざん被害が発生しているという。セキュリティ企業 ESETが、公式ブログで背景と現状、対処方法を解説した。(2017/2/9)

人気iOSアプリ76本に中間者攻撃の脆弱性、TLS通信傍受や改ざんの恐れ
人気iOSアプリ76本で、TLSで守られているはずの接続に対して中間者攻撃を仕掛けて、移動中のデータの傍受や改ざんができてしまうことが分かった。(2017/2/8)

「WordPressのアップデートは大至急」 攻撃発生でIPAが注意喚起
Webサイトをマルウェア配布に悪用するために脆弱性が悪用される恐れがあることから、コンテンツ管理でユーザーの多いWordPressの更新を急いで適用してほしいとしている。(2017/2/6)

Windowsの未解決の脆弱性、次回月例更新プログラムで対処の見通し 危険度評価は引き下げ
CERT/CCは当初、任意のコードを実行できる可能性も指摘していたが、この部分を削除して危険度評価を引き下げた。(2017/2/6)

WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り
WordPressは1月26日に更新版の4.7.2が公開されたが、この時点では意図的に深刻な脆弱性の存在を明らかにしていなかった。(2017/2/3)

コンセプト実証コードも公開:
Windowsに未解決の脆弱性、クラッシュ誘発の恐れ
コンセプト実証コードも公開されており、不正なSMBサーバにクライアントが接続すると、Windowsがクラッシュしてブルースクリーン状態に陥るという。(2017/2/3)

開発者必須のツールとなるか
Googleがファジングを自動実行する脆弱性検知ツール「OSS-Fuzz」を公開
Googleがファジングテストを行うツールを発表。GitHubでβ版が公開されている。ファジングテストとは何か。OSS-Fuzzを利用することで何が得られるのか。(2017/2/3)

Web改ざん攻撃に変化、ランサムウェア配布などの温床に
Webサイト閲覧者をマルウェアに感染させる改ざん攻撃では、攻撃者が使うツールに変化がみられるという。セキュリティ機関ではWebサイト運営者に脆弱性対策などの取り組みを求めている。(2017/2/2)

「tcpdump」に多数の脆弱性、任意コード実行の恐れも
「ライブの攻撃トラフィック監視にtcpdumpを使っている場合は特に憂慮される」と米セキュリティ機関は指摘している。(2017/2/2)

Netgearのルータにパスワード開示の脆弱性、多数のモデルに影響
Netgearのルータでパスワードを忘れた場合に復元する仕組みに脆弱性があり、Web管理サーバへの単純なリクエストを通じて、パスワードを開示させることが可能だという。(2017/2/2)

「WebEx」プラグインの脆弱性はFirefoxとIEにも影響、Ciscoが更新版で対処
CiscoはGoogle ChromeとMozilla Firefox、MicrosoftのInternet Explorer(IE)向けのソフトウェアアップデートを公開して「WebEx」の脆弱性に対処したことを明らかにした。(2017/1/30)

山市良のうぃんどうず日記(83):
再チェック! ファイル共有プロトコル「SMB」のためのセキュリティ対策
2017年1月、SMBの脆弱性に関するニュースが取り上げられました。そのニュースは、米国のセキュリティ機関の情報を日本語化して伝えているだけのようですが、何だか裏がありそうで、なさそうで……。(2017/1/30)

IPA、Webサイトの脆弱性点検を呼び掛け 中国サイトに約400件の情報登録
SQLインジェクションの脆弱性が存在する約400サイトの情報が中国のポータルサイトに登録されていたといい、悪用の恐れもあることから緊急点検や改修の実施を呼び掛けている。(2017/1/25)

Cisco、Google Chrome向け拡張機能「WebEx」の深刻な脆弱性を修正
悪用された場合、攻撃者が特定のパターンのURLをWebサイトに仕込んでユーザーに参照させ、WebExセッションを開始させることによって任意のコードを実行できてしまう恐れがある。(2017/1/25)

OpenSSLの脆弱性「Heartbleed」、約20万のサーバやサービスでいまだに放置
Shodanの報告書によると、1月22日の時点でHeartbleedの脆弱性が修正されないまま放置されているサーバやサービスは19万9594件に上る。(2017/1/24)

Apple、iOSやmacOS Sierraをアップデート 多数の脆弱性を修正
「iOS 10.2.1」「watchOS 3.1.3」「tvOS 10.1.1」「macOS Sierra 10.12.3」「Safari 10.0.3」およびWindows向けの「iCloud for Windows 6.1.1」が公開された。(2017/1/24)

コンプライアンス基準への理解度が顕著な低さ
社長がセキュリティリスク? 調査で見えた“経営層の脆弱性”
経営幹部の間で、ガバナンス、リスク、コンプライアンス、さらに企業に影響するセキュリティのコンプライアンス要件に対する考えが曖昧であると、最新の調査で明らかになった。(2017/1/20)

ネットワークカメラ「Samsung SmartCam」に脆弱性報告、リモートでコマンド実行の恐れ
セキュリティ研究者が「SmartCam」カメラの脆弱性を突いて、管理者権限でリモートからコマンドを実行できることを実証したとして、詳細情報や実証ビデオを公開した。(2017/1/19)

Apple、作曲ソフト「GarageBand」の深刻な脆弱性を修正
更新版の「GarageBand 10.1.5」と「Logic Pro X 10.3」では、それぞれ1件のメモリ破損問題を修正した。(2017/1/19)

Oracleの四半期セキュリティパッチ公開、計270件の脆弱性に対処
Oracle DatabaseやFusion Middleware、Javaなど多数製品でセキュリティアップデートをリリースした。(2017/1/18)

Windowsの通信プロトコルに脆弱性報告、SMB v1は無効化を
SMBの潜在的な脆弱性に関する情報が公開されたとして、SMBのレガシーバージョンを無効にするなどの対策を徹底するよう米US-CERTが呼び掛けた。(2017/1/18)

BIND 9で4件の脆弱性報告、いずれも深刻度は「高」
影響を受けるバージョンは脆弱性によって異なるが、悪用されると、いずれもDoS状態を誘発されてしまうという。(2017/1/12)

遠隔操作でペースを乱せる可能性:
心臓ペースメーカーのモニタ装置に脆弱性、メーカーがパッチ配信
悪用されれば、心臓ペースメーカーのペースを乱したり、ショックを与えたりすることができてしまう恐れがあるという。(2017/1/11)

Flash Playerの更新版、直ちに適用を Acrobat/Readerの脆弱性も修正
AdobeはFlash Playerを直ちに最新版に更新するよう呼び掛けている。Acrobat/Readerのセキュリティアップデートも公開された。(2017/1/11)

セキュリティクラスタ まとめのまとめ 2016年12月版:
米Yahoo! 情報漏えい、メール送信ライブラリに脆弱性――2016年末のセキュリティニュースまとめ
何事もなくお休みに入れるかと思いきや、クリスマス直後に大きなニュースが飛び込んできたセキュリティクラスタだったのでした……。(2017/1/11)

IBMが発見したAndroidブートモードの脆弱性、1月の月例パッチで修正
Androidの月例パッチを米Googleが1月3日付で公開。深刻な脆弱性が多数修正されている。(2017/1/10)

「PHPMailer」に重大な脆弱性、直ちにパッチ適用を
PHPからのメール送信に使われている、「世界一人気の高いコード」に重大な脆弱性が見つかった。「パッチを適用しないまま放置すれば悪用される」と専門家は警告している。(2016/12/27)

SKYの資産管理ツールにリモートコード実行の脆弱性、緊急パッチが公開
SKYSEA Client Viewに深刻な脆弱性が見つかり、同社がユーザーにパッチ適用を呼び掛けた。JPCERT/CCや警察庁も緊急で注意喚起している。(2016/12/22)

機内システムの脆弱性報告にパナソニック子会社が反論
機内エンターテインメント(IFE)システムの脆弱性を指摘したIOActiveの調査結果について、パナソニックアビオニクスが「不正確で誤解を招く内容が多数含まれている」と反論した。(2016/12/22)

飛行中の航空機をハッキング――機内システムの脆弱性を突く攻撃、セキュリティ研究者が実験
航空機の機内エンターテインメントシステムの脆弱性を突けば、機内を混乱に陥れることもできるかもしれない、とセキュリティ企業のIOActiveが検証。「高度なスキルを持った人物の攻撃に対し、機内システムが抵抗できるとは思えない」と研究者は指摘する。(2016/12/21)

必要なのは、技術的な知見と「あれ、おかしいな」と気付く感性:
千葉大学、学生対象の「セキュリティバグ発見コンテスト」を開催 「きちんと伝える力」を備えたセキュリティ人材の育成に向け
千葉大学が、セキュリティ人材の育成を目的とした「セキュリティバグハンティングコンテスト」を実施する。技術と法律/倫理面で講習を受けた学生に「ライセンス」を与え、実際の大学システムに存在する脆弱性を発見してもらう。独自のルールや仕組みの下で行われる学生向けバグバウンティは国内の大学として初の試みという。(2016/12/16)

「特技はバグ探し」で就活も期待? 千葉大が国内大学初の脆弱性発見イベント
千葉大学は、国内の大学では初という「セキュリティバグハンティングコンテスト」をスタートさせた。学生限定の取り組みながら、セキュリティの向上と人材の育成につなげるのが狙いだ。(2016/12/16)

Firefoxの更新版「50.1」公開、深刻な脆弱性を修正
「Firefox 50.1」「Firefox ESR 45.6」では13件の脆弱性が修正された。(2016/12/15)

Netgear、ルータの脆弱性に対処するBETAファームウェアを公開
Netgearのルータの脆弱性を突くコードが公開されていた問題で、同社がBETAファームウェアを公開し、脆弱性を修正したことを明らかにした。(2016/12/14)

macOS SierraやSafari、Windows向けiCloudとiTunesの更新版公開 深刻な脆弱性が多数
「macOS Sierra 10.12.2」「Safari 10.0.2」、Windows向けの「iCloud for Windows 6.1」「iTunes 12.5.4 for Windows」では深刻な脆弱性が多数修正された。(2016/12/14)

IEユーザーを狙った標的型攻撃も:
Flash Playerの脆弱性突く攻撃を確認、直ちにアップデート適用を
AdobeはFlash Playerなど複数の製品の脆弱性を修正するアップデートを公開した。FlashではIEを狙った攻撃の発生も確認されている。(2016/12/14)

Microsoft、12件の月例セキュリティ情報を公開 IEやEdgeに「緊急」の脆弱性
最大深刻度は12件のうち6件を同社の4段階評価で最も高い「緊急」、残る6件は上から2番目の「重要」に指定している。(2016/12/14)

その知識、ホントに正しい? Windowsにまつわる都市伝説(73):
Shift+F10キーの仕様が危ない理由――Windows 10の機能更新で表面化した脆弱性問題とは?
Windowsセットアップの実行中に使える[Shift]+[F10]キーは、コマンドプロンプトを開いて作業できるという、古くからある裏技的な仕様です。Windows 10の機能更新では、この古くからの仕様が重大な脆弱性になることが専門家から指摘されました。(2016/12/14)

ロック画面から写真や連絡先にアクセスされる恐れ:
「iOS 10.2」、iPhoneやiPad向けに公開 計12件の脆弱性を修正
「iOS 10.2」「watchOS 3.1.1」「tvOS 10.1」ではロック画面からのアクセスに関する脆弱性や、任意のコード実行の脆弱性などが修正された。(2016/12/13)

任天堂が3DSの脆弱性情報提供者に最大230万円の報奨金 海賊版や改造への対策に
海外で実施されたプログラムだが、英文での報告であれば日本からでも参加可能。(2016/12/13)

Netgearのルータに脆弱性、米CERT/CCが当面の使用停止を勧告【更新】
脆弱性は簡単に悪用できてしまうことから、可能であれば修正パッチが提供されるまで、脆弱性のあるデバイスの使用を中止するようCERT/CCでは強く勧告している。ネットギアジャパンは、近日中にファームウェアを公開するとしている(12月12日18時40分追記)。(2016/12/12)

増加するカードのスキミング
「オンラインショップはセキュリティホールまみれ」と研究者が警告
複数の研究者が、オンラインショップの現状に警鐘を鳴らしている。多くのオンラインショップにセキュリティ上の脆弱性が存在し、カード情報を入手するためのコードが埋め込まれたサイトもあるという。(2016/12/9)

BSDの標準ライブラリに脆弱性、FreeBSDやAppleに影響
影響や危険度は悪用の手段やアプリケーションによる同ライブラリの使われ方によって異なるものの、最悪の場合、root権限で任意のコードを実行される恐れも指摘されている。(2016/12/8)

ソニーの防犯カメラにバックドア、遠隔操作で攻撃に利用される恐れも
カメラの画像や映像を操作したり、Miraiのようなマルウェアに感染させてボットネットのネットワークに組み込んだり、カメラの使用者を監視する目的で使われたりする可能性も指摘されている。ソニーは脆弱性に対処するファームウェアアップデートを公開した。(2016/12/7)

Linuxカーネルの脆弱性「Dirty COW」を修正するパッチ、Android向けにも配信
10月に発覚した「Dirty COW」と呼ばれるLinuxカーネルの脆弱性を修正するパッチが、Android端末メーカーなどのパートナーや、Googleの端末向けに配信された。(2016/12/7)

Google、Androidの月例セキュリティパッチを公開 多数の深刻な脆弱性に対処
カーネルやドライバなどに存在する極めて深刻な脆弱性を修正している。(2016/12/6)

より大量/複雑になりつつあるVMのセキュリティ対策を支援:
マイクロソフト、Azureセキュリティセンターに「Qualys」ベースのVM脆弱性評価機能を実装
マイクロソフトがAzureセキュリティセンターに「仮想マシン(VM)の脆弱性評価機能」のプレビュー版を実装。QualysベースのVM脆弱性統合管理/監視機能を利用できるようになった。(2016/12/6)

Tor匿名解除の攻撃に利用の脆弱性、FirefoxやThunderbirdも修正
攻撃コードは不正なWebページを読み込ませて任意のコードを実行し、標的とするシステムのIPアドレスとMACアドレスを収集して中央のサーバに送信させる内容だった。(2016/12/2)

年金機構のインストーラに脆弱性、最新版の利用を
仕様チェックや届書印刷などのプログラムの古いインストーラに脆弱性があり、最新版の利用が呼び掛けられている。(2016/12/1)

Firefoxに脆弱性報告、「Tor Browser」狙う攻撃に利用
匿名化ツールの「Tor Browser」を標的として、Firefoxの脆弱性を悪用する攻撃が発生している。(2016/12/1)

iPhone 7に「世界最強の酸」をぶっかけてみた結果、また新たな脆弱性が判明……しないだと!?
YouTubeにてまたもや検証実験されています。(2016/12/1)

「Firefox 50」に深刻な脆弱性、更新版で修正
更新版の「Firefox 50.0.1」が公開され、重要度「最高」の脆弱性が修正された。(2016/11/30)

NTPにDoSの脆弱性、更新版で対処
最新版となる「ntp-4.2.8p9」では危険度「高」の1件を含めて合計10件の脆弱性が修正された。(2016/11/22)

Android向けファームウェアに深刻な脆弱性、米機関は「もはやrootkit」と断言
脆弱性はOTAによるアップデート時に暗号化通信が行われないというものだが、実行を隠す複数の方法が使用され、CERT/CCは「挙動はもはやrootkitだ」と指摘している。(2016/11/18)

「Firefox 50」公開、深刻な脆弱性に対処
最新バージョンの「Firefox 50」では計29件の脆弱性を修正した。(2016/11/17)

専門家から疑問の声
Googleが暴いたWindowsのゼロデイ脆弱性、Microsoftは虚をつかれた?
GoogleはMicrosoftのパッチサイクルの間隙にWindowsのゼロデイ脆弱(ぜいじゃく)性を公表した。専門家の間では、Microsoftがこの脆弱性の深刻度を軽視しているのではないかという声が上がっている。(2016/11/17)

「ソフトウェアセキュリティを諦めない」チームを作る
ソフトウェア脆弱性のビジネスリスクを劇的に下げる手段はあるのか
セキュリティインシデントの92%はソフトウェアの脆弱性が起因だ。しかし解決策となる開発工程のセキュリティ対策を諦める企業も少なくない。この状況を大きく変える解決策はないのだろうか。(2016/11/15)

OpenSSLの更新版公開、DoSの脆弱性を修正
「OpenSSL 1.1.0c」ではバージョン1.1.0に存在するDoSの脆弱性など3件の問題を修正した。(2016/11/11)

Google、デスクトップ向け「Chrome 54」の脆弱性を修正
今回のアップデートでは4件のセキュリティ問題を修正した。(2016/11/11)

日本型セキュリティの現実と理想:
第35回 いまIoTで”コンシューマー向け機器”が危ない理由
日本ネットワーク協会(JNSA)が、コンシューマー向け機器の脆弱性に警鐘を鳴らすために「コンシューマ向けIoTセキュリティガイド」を公開した。今回はコンシューマー向けIoTの状況から現在のIoTセキュリティの脅威がどこにあるかを解説する。(2016/11/10)

Adobe、Flash Playerの更新版リリース 深刻な脆弱性を修正
Flash Playerの更新版では9件の脆弱性に対処した。悪用されれば攻撃者にコードを実行され、システムを制御される恐れがある。(2016/11/9)

Microsoft、14件の月例セキュリティ情報を公開 「緊急」は6件
14件のうち6件が「緊急」の分類。Googleに情報を公開された脆弱性も含め、攻撃の発生が確認された複数の脆弱性にも対処している。(2016/11/9)

上野動物園・葛西臨海水族園などの公式サイトが復旧 7月から不正アクセスを受け停止していた
不正アクセスの原因はWebアプリケーションの脆弱性。プログラムの改修やサーバー監視体制の強化などを経て復旧を遂げた。(2016/11/8)

Google、Androidの月例パッチを公開 「Dirty COW」の脆弱性にも対処
Mediaserverなどに存在する極めて深刻な脆弱性を修正したほか、10月に発覚した「Dirty COW」と呼ばれるLinuxカーネルの脆弱性にも対処した。(2016/11/8)

「BIND 9」の更新版公開、危険度「高」の脆弱性に対処
悪用された場合、サーバでアサーションエラーが発生してサービス妨害(DoS)状態に陥る可能性。国内でも攻撃が観測されていることから、対応を急ぐ必要がある。(2016/11/4)

米Google、「Chrome 54」安定版の脆弱性を修正 DoS誘発の恐れ
更新版ではV8における境界外メモリアクセスの脆弱性が修正された。悪用されればサービス妨害(DoS)状態を誘発される恐れがある。(2016/11/4)

「Googleのやり方にはがっかりだ」:
Microsoft、Googleが暴いたWindowsの脆弱性修正パッチを8日に提供へ
Microsoftは、Googleが10月31日に公表したWindowsの脆弱性を修正するパッチを11月8日にリリースすると発表した。(2016/11/2)

Joomla!の脆弱性突く攻撃、パッチ公開直後から発生 既にハッキングの恐れも
Joomla!使用サイトが直ちに更新を済ませなかった場合、既にハッキングされている公算が大きいとセキュリティ企業は警告している。(2016/11/2)

Windowsに未解決の脆弱性、Googleが独自方針で情報を公開
Googleは「攻撃が発生している重大な脆弱性については、報告から7日たってもパッチがリリースされなければ公表する」という独自のポリシーに基づいて、Windowsの未解決の脆弱性に関する情報を公表した。(2016/11/1)

Appleが「iOS 10.1.1」公開、不具合やセキュリティ問題を修正
米セキュリティ機関のUS-CERTによると、一部の脆弱性を悪用されればリモートの攻撃者にシステムを制御される可能性がある。(2016/11/1)

Windowsの設計に起因する攻撃手法「AtomBombing」、セキュリティ企業が発見
名称はこの攻撃がWindowsの「アトムテーブル」と呼ばれる仕組みを突いていることに起因する。コードの脆弱性を突くわけではないため、修正パッチでは対応できないという。(2016/10/31)

Apple、Windows向けiCloudとXcodeの脆弱性を修正
脆弱性を悪用された場合、攻撃者に任意のコードを実行される恐れがある。(2016/10/28)

Flashの未解決の脆弱性突く攻撃発生、Adobeが臨時パッチ公開
この問題を突くコードが既に出回っていて、Windows 7、8.1および10を狙った限定的な標的型攻撃に使われているという。(2016/10/27)

CMSの「Joomla!」に深刻な脆弱性、直ちに更新を
「Joomla! 3.6.4」では2件の深刻な脆弱性が修正され、開発元はユーザーへ直ちに更新するよう、強く勧告している。(2016/10/26)

Apple、「iOS 10.1」で深刻な脆弱性も修正 macOSやwatchOSなども
iOSやmacOS、watchOS、tvOS、Safariの深刻な脆弱性が多数修正された。(2016/10/25)

Linuxカーネルに脆弱性「Dirty COW」発覚、管理者権限を取得される恐れ
悪用は比較的容易とされ、この問題を悪用した攻撃が既に出回っているという。しかし攻撃を受けたとしてもログに痕跡が残らないことから検出は難しい。(2016/10/24)

セキュリティ対策を成功させる“必要不可欠な組み合わせ”:
PR:サイバー攻撃の85%を予防できる「5つの緩和策」とは
2016年8月に協業を発表したIT資産管理ツール「LanScope Cat」を展開するエムオーテックスと、脆弱性データベース「Secunia」を運営する米フレクセラ・ソフトウェア。両社が共同で提供していく脆弱性管理ソリューションによって、ユーザー企業にはどんなメリットがもたらされるのか? 両社のキーマンに聞いた。(2016/10/20)

e-Taxソフトのインストーラに脆弱性、導入・更新は一時中止を
脆弱性の悪用は限定的だが、任意のコードを実行される恐れがあり、国税庁が修正作業を進めている。(2016/10/19)

エフセキュア、脆弱性の自動スキャン・管理ツールをリリース
ITシステムやネットワーク接続機器などの資産の把握と脆弱性の評価などを行える。(2016/10/19)

無料暗号化ソフト「VeraCrypt」に深刻な脆弱性、更新版で修正
TrueCryptを起源とする暗号化ソフト「VeraCrypt」のセキュリティ監査で、複数の重大な脆弱性が見つかった。(2016/10/19)

Oracleが定例セキュリティパッチ公開、Javaなど253件の脆弱性を修正
Java SEやDatabase Serverに存在する計253件の脆弱性が修正された。(2016/10/19)

iPhone 7にまたも脆弱性 50口径ライフルで撃たれるとあっさり壊れる
傷つきやすさは変わってなかったか……。(2016/10/15)

Google、デスクトップ向け「Chrome 54」の安定版を公開
危険度「高」の脆弱性など21件の問題が修正された。(2016/10/14)

“バグハンター”共通の苦労も:
トリップワイヤの脆弱性調査チーム「VERT」が語る、脆弱性悪用の傾向
最近のサイバー犯罪に用いられるマルウェアや攻撃コードは、数年前に指摘された古い脆弱性がいまだに悪用されることが多いという。最近の脆弱性の傾向と、企業や組織が向き合うべき姿勢とは。トリップワイヤの脆弱性調査チーム「VERT」のエンジニア2人に話を聞いた。(2016/10/14)

Cisco、多数製品のセキュリティアップデート公開 深刻な脆弱性も
Cisco Meeting Serverではクライアント認証を迂回されてしまう恐れがあるという。(2016/10/13)

カスペルスキーが個人向けセキュリティソフトの新版、脆弱性対策を強化
主要なソフトウェアの更新を一括してできる機能などを追加した。(2016/10/12)

Microsoft、10件の月例セキュリティ情報を公開 新しい更新モデルもスタート
深刻度が最大の「緊急」は5件。IEやEdge、Officeでは既に脆弱性の悪用も確認されている。(2016/10/12)

明らかになった脆弱性の50%が「致命的」
深刻な脆弱性まみれの大手メーカー自動車、Wi-Fi経由で乗っ取られる恐れ
コンピュータ化が進む現代の自動車。これを調査した結果、深刻な脆弱性が多数発見された。Wi-FiやBluetooth経由で車載ネットワークやECUが乗っ取られる可能性もあるという。(2016/10/11)

セキュリティのアレ(35):
脆弱性情報を読み解く際の必須用語、exploit(エクスプロイト)とは
セキュリティ専門家が時事ネタを語る本連載。第35回はセキュリティ用語としての「exploit(エクスプロイト)」について解説します。(2016/10/11)

Windows 7までにDoS誘発の脆弱性、MSの推奨対策はアップグレード
Windows 7までのWindowsに含まれる「Cryptography API: Next Generation」に脆弱性がある。(2016/10/7)

BINDの脆弱性を狙う攻撃発生を確認、警察庁も注意喚起
警察庁の定点観測システムでBINDの脆弱性を抱えたシステムを狙う無差別攻撃が確認された。(2016/10/6)

医療機器に脆弱性、糖尿病患者に不正な薬剤投与が可能に
近くにいる攻撃者が遠隔操作でシステムを操作して不正なインスリン注入を誘発させ、低血糖症を起こさせることもあり得るという。(2016/10/6)

総当たり攻撃が40倍容易に
新iPhoneは大丈夫? 「iOS 10」のパスワード照合に脆弱性で心配の声
Appleの最新モバイルOS「iOS 10」のパスワード照合に脆弱性があることが分かった。ローカルバックアップのセキュリティが大きく低下し、攻撃者がパスワードなどの機密データを入手する危険性がある。(2016/10/5)

Google、Androidの月例セキュリティパッチ公開、深刻な脆弱性を解決
危険度「Critical」に指定された7件を含む計58件の脆弱性を修正した。(2016/10/4)

エンファクトリーで個人情報約3万8000件流出の可能性 クレジットカード情報も流出か
プログラムの脆弱性が原因だったとのこと。(2016/10/3)

「BIND 9」の攻撃コード公開、IPAが緊急更新を呼び掛け
DNSサーバソフト「BIND 9」の脆弱性を突く攻撃実証コードの存在が確認された。(2016/10/3)

Google、Chromeブラウザのデスクトップ版で脆弱性を修正
危険度「高」の脆弱性を含む3件のセキュリティ問題が修正された。(2016/9/30)

「BIND 9」の更新版公開、DoSの脆弱性に対処
悪用されればサービス妨害(DoS)攻撃を仕掛けられる恐れがあるとして、米セキュリティ機関のUS-CERTも更新版の適用を呼び掛けている。(2016/9/29)

OpenSSLにまた更新版、前回更新版に深刻な脆弱性
米国時間9月22日に公開されたパッチのうち、一部に問題が見つかった。(2016/9/28)

半径300メートルのIT:
「macOSをアップデートするな」 そんなウイルス対策ソフトで大丈夫か?
65件の脆弱性が修正されていると発表されたmacOS Sierra。早速、OSをアップデートしようと思ったら思わぬ事態に……。(2016/9/27)

「iOS 10」のiTunes経由バックアップに脆弱性、「アップデートで修正する」とApple
iPhone あるいはiPadのデータをMacあるいはPCにバックアップする際のアルゴリズムが「iOS 10」で変更され、クラックが従来より容易になったと、ロシアのセキュリティ企業が指摘した。Appleは今後のアップデートでこの脆弱性を修正するとしている。(2016/9/26)

OpenSSLの更新版公開、DoSの脆弱性など修正
「OpenSSL 1.1.0a」「同1.0.2i」「同1.0.1u」が公開され、14件の脆弱性が修正された。(2016/9/23)

Tesla車に“乗っ取り操作”の脆弱性、走行中にブレーキも セキュリティ研究チームが実証
Teslaの「Model S」で複数の脆弱性を突いて、駐車中の車のサンルーフなどを操作したり走行中の車を停車させたりできてしまうことを実証した。(2016/9/21)

「Firefox 49」安定版リリース 日本語対応の読み上げ機能や18項目の脆弱性修正
MozillaがWebブラウザ「Firefox」をバージョン49に更新した。「リーダービュー」の新機能として日本語にも対応する音声読み上げ機能が追加され、「最高」4項目を含む18項目の脆弱性修正などが行われた。(2016/9/21)

Apple、「macOS Sierra 10.12」で深刻な脆弱性多数を修正
同時に「macOS Server 5.2」「Safari 10」「iCloud for Windows 6.0」も公開された。(2016/9/21)

Cisco IOSなどに新たな脆弱性、ファイアウォールにも影響
ハッカー集団から流出したハッキングツールで悪用されていたのと同様の脆弱性がその後の調査で発覚した。Ciscoはソフトウェアアップデートの公開を予定している。(2016/9/20)

iPhone 7に新たな脆弱性発覚 「日本刀で斬ると壊れる」
年々巧妙化する攻撃の手口に、Appleはいかに対策するのか(しない)。(2016/9/19)

iPhone 7に早くも脆弱性が見つかる 「油圧プレス機でプレスすると壊れる」
防水機能がついてもダメだったか……。(2016/9/17)

ICチップカードにも脆弱性
銀行やクレジットカード決済で利用機会の多いICカード。安全性は高いのですが、意外な攻撃に弱いようです。対策もまた意外かしもれません。それは――。(2016/9/17)

GoogleがAndroidの脆弱性を募る新コンペ、優勝者に2000万円
Android端末の電話番号と電子メールアドレスが分かっただけでリモートからコードを実行できてしまう脆弱性や不具合の報告を募る。(2016/9/15)

Google、デスクトップ向けChromeを更新 危険度「高」の脆弱性を修正
最新版となる「Chrome 53.0.2785.113」では危険度の高い脆弱性も含め、複数のセキュリティ問題が修正された。(2016/9/14)

Apple、iOSの脆弱性を修正 アップデート配信にHTTPSを導入
Appleは「iOS 10」と「iOS 10.0.1」、「Xcode 8」、「watchOS 3」を公開し、深刻な脆弱性に対処した。(2016/9/14)

Adobe Flash Playerのアップデート公開、脆弱性多数で早急に更新を
併せてAdobe Digital Editionsと、Adobe AIR SDK & Compilerの脆弱性に対処するセキュリティアップデートもそれぞれ公開された。(2016/9/14)

Microsoft、14件の月例セキュリティ情報を公開 半分は「緊急」指定
深刻度が最大の「緊急」は7件あり、IEやOfficeに存在する深刻な脆弱性に対処した。(2016/9/14)

8月のアップデートで対応
iPhone、iPadの「iOS」に致命的な脆弱性、Appleの対応が絶賛されるワケ
企業にとってモバイルセキュリティの弱点の1つはユーザーだ。2016年8月に判明した「iOS」の脆弱性はそれを如実に表すものだった。(2016/9/14)

iPhoneのロック解除に25万ドルの賞金、都内でハッキング競技会を開催
トレンドマイクロ傘下の米Zero Day Initiativeは、モバイル機器対象の脆弱性発見コンテスト「Mobile Pwn2Own 2016」を10月下旬に都内で開催する。(2016/9/13)

MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。(2016/9/13)

2016年上半期はマルウェアメールが16.4倍増に――IBM報告書
不正メールの件数は2015年下半期と比較し16.4倍に急増しており、企業の脆弱性対策の強化により、脆弱性を悪用しない攻撃手法のメール攻撃へと移行していると指摘する。(2016/9/12)

セキュリティ、いまさら聞いてもいいですか?(11):
なぜ、「脆弱性」はなくならないの?
サイバーセキュリティの“基礎の基礎”をおさらいする本連載。今回はソフトウェアに「脆弱(ぜいじゃく)性」が生まれてしまう理由や、開発者/利用者として可能な脆弱性への対処方法について解説します。(2016/9/8)

ワンクリでユーザーの秘密を暴けるiOSの脆弱性、半数がいまも危険に
Appleが「iOS 9.3.5」で解決した脆弱性が無差別攻撃に悪用されれば、多くのユーザーのプライベートが暴かれかねないが、アップデートしたユーザーは半分程度という。(2016/9/7)

Google、Androidの月例セキュリティパッチ公開、8月発覚の脆弱性も解決
8月にセキュリティ企業が報告していた深刻な脆弱性も修正された。(2016/9/7)

Microsoft、脆弱性報告の報奨金対象を拡大 .NET CoreやASP.NET Coreにも
「.NET Core」「ASP.NET Core」の脆弱性を発見し、Microsoftに報告した研究者に500ドル〜1万5000ドルの報奨金を提供する。(2016/9/6)

iOS攻撃で発覚の脆弱性、OS XとSafariでも修正される
「iOS 9.3.5」で修正されたのと同じ脆弱性が、OS X YosemiteとEl Capitanでも修正された。この脆弱性を突く高度な標的型攻撃の発生が報告されていた。(2016/9/2)

Google、「Chrome 53」の安定版を公開 Flashブロック開始
GoogleがChromeブラウザをバージョン53にアップデートした。予告していたバックグラウンドで稼働するFlashのブロック機能が追加された。修正された脆弱性は計33件だ。(2016/9/1)

セキュリティ・アディッショナルタイム(12):
電球からインフラ制御システムまで、ありとあらゆる「モノ」がハッキングの対象に――米国セキュリティカンファレンスレポート
2016年8月に米国ラスベガスで開催されたセキュリティカンファレンス「Black Hat Briefings」と「DEF CON 24」では、ありとあらゆるモノを対象に、脆弱性の存在と今後の改善の必要性を呼び掛けるセッションが繰り広げられた。(2016/9/1)

1分30秒で解説するiOSの「脱獄」とは?
iOSの脆弱性を悪用してユーザーの端末を「脱獄」状態にさせてしまうサイバー攻撃が確認されています。iOSの「脱獄」はどのようなものでしょうか。(2016/8/31)

Adobe ColdFusionに脆弱性、修正版が公開
脆弱性はXMLの解析に関連していて、情報流出を引き起こす恐れがあり、Adobeでは「重大な」(Critical)脆弱性と形容している。(2016/8/31)

Kaspersky製品に脆弱性、セキュリティソフト利用のサイバー攻撃に警鐘
「セキュリティシステムは攻撃の一部に利用される可能性があることを認識し、常にパッチを当てておく必要がある」と専門家は指摘している。(2016/8/30)

「iOSを至急更新して」 IPAが緊急で呼び掛け
サイバー攻撃に悪用された3件の脆弱性を修正する「iOS 9.3.5」へのアップデートを急いでほしいと呼び掛けている(2016/8/29)

企業へのスパイ活動に使われる恐れも:
Apple、iOSの脆弱性を修正 iPhoneを遠隔で脱獄させる標的型攻撃が発覚
iOSの未知の脆弱性を突くスパイウェアが存在し、人権活動家の行動を監視する目的で使われていたことが分かった。iPhoneを遠隔で脱獄させる手口が、実際の標的型攻撃に使われた事例が確認されたのは初めて。企業に対するスパイ活動にも使われる恐れがある。(2016/8/26)

PC版LINE、自動アップデートで不正なファイルを実行される脆弱性 自動アップデートではなく再インストールを
IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC(一般社団法人 JPCERTコーディネーションセンター)は8月25日、PC版LINEにダウンロードファイル検証不備の脆弱性が存在することを発表した。(2016/8/25)

掲示板サイトから相次ぐ情報流出、パッチ管理の不手際に専門家が警鐘
パスワードなどの情報が流出する事件が起きた掲示板サイトは、ほとんどがフォーラムソフトウェアのパッチを適用せずに脆弱性を放置した状態だったという。(2016/8/25)

Mac OS X向けのTwitterクライアント「夜フクロウ」に脆弱性 最新版にアップデートを
IPAセキュリティセンターおよび JPCERT/CCは、Mac OS X向けのTwitterクライアント「夜フクロウ」にサービス運用妨害の脆弱性が存在することを発表した。この脆弱性はアプリのアップデートで対策できる。(2016/8/24)

Epic Gamesのフォーラムから80万アカウントのユーザー情報流出、vBulletinの脆弱性悪用か
「Unreal Engine」や「Unreal Tournament」といったゲームのフォーラムが不正アクセスされ、80万を超えるユーザーの情報が流出したと伝えられている。今回の攻撃ではフォーラムソフトウェア「vBulletin」のSQL絡みの脆弱性が悪用されたようだ。(2016/8/24)

セキュリティクラスタ まとめのまとめ 2016年7月版:
買いたたかれるセキュリティ人材は本当に不足しているのか?
2016年7月のセキュリティクラスタは、世間と一緒に「ポケモンGO」を楽しむ一方で、「セキュリティスペシャリスト日給8000円」問題や「httpoxy」脆弱性についてしきりに議論が交わされたのでした。(2016/8/22)

ネット売り出しの攻撃ツールにCisco製品の脆弱性、悪用を確認
NSAの関与が噂される「Equation Group」から流出させたというハッキングツールが売りに出された問題で、Ciscoのファイアウォールの脆弱性を突くコードが含まれていたことを同社が確認した。(2016/8/18)

車載セキュリティイベントレポート:
新たなジープハッキングは速度制限なし、自動運転車はセンサーが攻撃対象に
世界最大のセキュリティイベントである「Black Hat USA」では近年、自動車のセキュリティに関する発表に注目が集まっている。2015年の同イベントで「ジープ・チェロキー」にリモート制御が可能な脆弱性が発表されたが、2016年も同じくジープ・チェロキーに新たな脆弱性が見つかった。(2016/8/18)

LinuxのTCPの脆弱性、14億台のAndroid端末に影響
セキュリティ企業によると、今回報告されたLinuxの脆弱性の影響は、Androidのほぼ80%に当たる14億台に及ぶという。(2016/8/16)

車のキーレスエントリーシステムに脆弱性報告、他人にロック解除される恐れ
脆弱性のうち1件は、Volkswagen Group傘下のほぼ全メーカーの車に影響する。もう1件の脆弱性は、三菱自動車や日産も含む各国のメーカー多数の車に使われている「Hitag2」規格に指摘されている。(2016/8/15)

フェイルオーバー計画が必要な理由
機械学習に起こり得る3つの障害、外部からの攻撃にどう対処すべきか?
機械学習モデルには脆弱性と障害がつきものだ。本稿では障害の発生原因と、障害発生時にもユーザーの作業を中断させないためのフェイルオーバー計画について説明する。(2016/8/15)

LinuxのTCPに脆弱性、トラフィックを乗っ取られる恐れ
攻撃は簡単に仕掛けることができ、約90%の確率で成功すると研究チームは解説している。(2016/8/12)

脆弱性の発見・修正を自動化し、レスポンスの迅速化を目指す:
コンピュータ同士が競うCTFがついに実現、その後人間との“共闘”も
米国時間の2016年8月5日、「参加者が全てコンピュータ」というこれまでにないセキュリティ競技会が開催された。コンピュータたちが脆弱性の発見、検証、修正に関する能力を競い合った。(2016/8/12)

Adobe、「Experience Manager」の脆弱性を修正
入力値検証やバックアップなどの機能に4件の脆弱性があり、悪用されればクロスサイトスクリプティング(XSS)攻撃を仕掛けられたり情報が流出したりする恐れがある。(2016/8/10)

Microsoft、9件のセキュリティ情報を公開 「緊急」は5件
最大深刻度は9件のうち5件を「緊急」、残る4件を「重要」に分類。IEやEdge、Office、 PDFライブラリなどに深刻な脆弱性が存在する。(2016/8/10)

Android端末に影響するQualcomm製チップセットの脆弱性、セキュリティ企業が詳細公表
悪用されればAndroid端末を制御される恐れもある。4件の脆弱性のうち3件についてはGoogleの月例パッチで8月までに対処され、残る1件のパッチも9月に配信予定だという。(2016/8/9)

米Appleが初の報奨金制度、脆弱性発見者に最大20万ドル
AppleがBlack Hatで脆弱性情報の提供者に報奨金を支払う同社初のバグバウンティプログラムを発表した。(2016/8/8)

オンデマンド型の脆弱性発見サービスを提供:
IBM、セキュリティ専門家とエシカルハッカーで構成するセキュリティテストグループ「X-Force Red」を結成
米IBMセキュリティーが、セキュリティの専門家とエシカル・ハッカー・グループ「IBM X-Force Red」を結成。「アプリケーション」「ネットワーク」「ハードウェア」「ヒューマン」の4分野のセキュリティ対策とテストに重点を置き、オンデマンド型の脆弱性発見サービスを提供する。(2016/8/5)

Apple、iOS 9の更新版を公開 脱獄に利用の脆弱性を修正か
脆弱性を悪用された場合、アプリケーションがカーネル特権で任意のコードを実行できてしまう可能性がある。(2016/8/5)

対策はBluetoothキーボードへの買い替え
“安物”無線キーボードの打鍵内容が傍受される脆弱性「KeySniffer」とは
「KeySniffer」という、入力内容が暗号化されていないワイヤレスキーボードの脆弱(ぜいじゃく)性は、ユーザーのキーストロークが傍受されたり挿入攻撃にさらされたりする恐れがある。(2016/8/5)

Google、デスクトップ向け「Chrome 52」の脆弱性を修正
最新版となる「Chrome 52.0.2743.116」では10件のセキュリティ問題を修正した。(2016/8/4)

「Firefox 48」、マルチプロセスウィンドウ機能がいよいよロールアウト
MozillaがWebブラウザ「Firefox」をバージョン48に更新した。1つのタブの問題をブラウザ全体から切り離す「マルチプロセスウィンドウ」が一部のユーザーで有効になった(数週間かけてローリングアウトの予定)。脆弱性修正は、「最高」3項目を含む23項目実施された。(2016/8/3)

Androidの月例パッチ公開、多数の深刻な脆弱性に対処
MediaserverやQualcommコンポーネントなどに極めて深刻な脆弱性が多数存在する。(2016/8/2)



多くの予想を裏切り、第45代アメリカ合衆国大統領選挙に勝利。貿易に関しては明らかに保護主義的になり、海外人材の活用も難しくなる見込みであり、特にグローバル企業にとっては逆風となるかもしれない。

携帯機としても据え置き機としても使える、任天堂の最新ゲーム機。本体+ディスプレイ、分解可能なコントローラ、テレビに接続するためのドックといった構成で、特に携帯機としての複数人プレイの幅が広くなる印象だ。

アベノミクスの中でも大きなテーマとされている働き方改革と労働生産性の向上。その実現のためには人工知能等も含むITの活用も重要であり、IT業界では自ら率先して新たな取り組みを行う企業も増えてきている。