ITmedia総合  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

Microsoft、IDサービスや「OpenID」規格の脆弱性情報募る 最高賞金1100万円
多要素認証バイパスの脆弱性や、標準設計の脆弱性については、最高で10万ドルの賞金を支払う。(2018/7/19)

Oracleの四半期パッチ公開、データベースやJavaの深刻な脆弱性を修正
今回のパッチでは計334件の脆弱性に対処した。データベースやJavaなど多数の製品に、危険度の極めて高い脆弱性が存在している。(2018/7/18)

定番の攻撃が拡大:
キヤノンITSが2018年6月のマルウェア検出状況を公開、複数のワールドカップ関連詐欺メールも
キヤノンITソリューションズは、2018年6月のマルウェア検出状況を公開した。「VBA/TrojanDownloader.Agent」が継続して数多く検出されていることや、WannaCryが突いてきたWindowsの脆弱性に対する攻撃が増加していることに注意を呼び掛けた。(2018/7/18)

機密データに不正アクセスされる可能性
CPU脆弱性「Meltdown」「Spectre」がセキュリティに及ぼす決定的な影響
MeltdownとSpectreという脆弱(ぜいじゃく)性は、システムの物理セキュリティとハードウェアセキュリティに影響しており、検出は極めて難しい。これらの攻撃を防ぐ方法とは。(2018/7/17)

不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方(前編)
2017年12月に不正アクセスを発表した大阪大学。原因の究明を行い、再発防止に向けて歩み出した同大学は、脆弱性スキャナーの「Tenable.io」を導入した。事件を通じて、彼らが気付いたこととは。(2018/7/17)

「Spectre」関連の脆弱性、また新たに発覚 IntelやARMのプロセッサに影響
Intelなどのプロセッサに搭載されている投機的実行という機能に関連して、マサチューセッツ工科大学(MIT)などの研究者が新たな脆弱性を報告した。(2018/7/12)

OpenSCAPで脆弱性対策はどう変わる?(1):
SCAP(セキュリティ設定共通化手順)とは何か――CVE、CVSS、CPEについて
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。初回は、SCAPの概要について。(2018/7/12)

AcrobatやReader、Flash Playerなどの脆弱性に対処、Adobeがアップデートを公開
AcrobatとReaderの更新版では100件余りの脆弱性に対処。Flash Playerの更新版では2件の脆弱性を修正した。(2018/7/11)

Apple、iOSやmacOS、Windows向けiCloudなどのセキュリティ情報公開
iOS 11.4.1で修正された絵文字関連の脆弱性では、「台湾」という単語を入力するたびに、アプリケーションがクラッシュすると報告されていたという。(2018/7/11)

Microsoft、7月の月例セキュリティ更新プログラムを公開
WebブラウザのMicrosoft EdgeやスクリプティングエンジンのChakraには、リモートで任意のコードを実行される恐れのある深刻な脆弱性が多数存在している。(2018/7/11)

IoTセキュリティ:
SCADAツールユーザーの危機を未然に防いだテナブル、日本市場を重要視
 クラウド型脆弱性管理プラットフォーム「Tenable.io」を提供する、Tenable Network Security(以下、テナブル)が、同社のパートナー企業であるSchneider Electricにおける最新事例を明かしている。(2018/7/11)

Apple、Boot CampのWi-Fiアップデート公開 「KRACK」の脆弱性を修正
「KRACK」の脆弱性は、Wi-Fiの通信範囲内にいる攻撃者に悪用される恐れがあり、センシティブな情報が流出する可能性が指摘されている。(2018/7/9)

仕組みを解説
「Meltdown」と「Spectre」は本当にCPUの脆弱性か、それとも単なる欠陥か
「Meltdown」と「Spectre」は本当に脆弱(ぜいじゃく)性なのかという議論がある。本稿では、何を持って脆弱性と見なすか、そしてこの2つは脆弱性なのかを考える。(2018/7/5)

実は穴だらけ
多くの企業が抱える致命的なオープンソースリスク
商用コードを監査した結果、多くのオープンソースコードが含まれていることが分かった。問題は、そのコードが内包している脆弱性が放置されていることだ。(2018/7/5)

Android月例セキュリティ情報公開、複数の深刻な脆弱性に対処
メディアフレームワークやシステムなどに、深刻な脆弱(ぜいじゃく)性が存在する。(2018/7/3)

「重要インフラ」のIoT機器、150件に脆弱性 総務省が調査
総務省の調査で、「重要インフラ」で利用されている150件のIoT機器に、パスワード設定が不適切といった脆弱性があると分かった。(2018/7/2)

OSSの活用が広がるIoT分野、潜むリスクは
米Synopsysの「2018 Open Source Security and Risk Analysis」レポートによると、IoTも含め、さまざまな業界の商用ソフトウェアでオープンソースソフトウェア・コンポーネントの活用が広がっている。一方で、脆弱性やライセンス違反のリスクも存在する。(2018/6/30)

Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ
RAMpageは「Rowhammer」と呼ばれるDRAMの設計上の問題に関連して、欧州や米国の研究チームが発見した脆弱性だ。(2018/6/29)

新しいWi-Fiセキュリティ規格「WPA3」登場
無線LANの業界団体であるWi-Fi Allianceが新しいWi-Fiセキュリティ規格「Wi-Fi CERTIFIED WPA3」を発表した。WPA2で指摘された脆弱性への対策に加え、普及が見込まれるIoT機器での利用も想定した規格となった。(2018/6/28)

「Firefox 61」公開 18件の脆弱性に対処、FTPリソースの読み込みブロックも
Firefox 61では、HTTP(S)ページによるFTPサブリソースの読み込みをブロックする措置が実装された。(2018/6/28)

採用が広がるOSS、脆弱性を管理すべきだ:
Synopsysが調査、対象コードの78%にオープンソース由来の脆弱性あり
Synopsys(シノプシス)のBlack Duckグループによると、さまざまなソースコードが含むオープンソースソフトウェア(OSS)の比率が高まっているという。それに伴い、OSSに起因する脆弱(ぜいじゃく)性をも取り込んでしまっている場合が少なくない。(2018/6/28)

IoTマルウェア「サトリ」の攻撃が激化、新手のワームも出現
D-Link製ルータの脆弱性を突く新手のワームが、IoTマルウェア「Satori」の形成するボットネットを通じて拡散しているという。(2018/6/21)

Chrome拡張「5000兆円コンバーター」にXSS脆弱性 最新版にアップデートを
「5000兆円欲しい!」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」にXSS脆弱性が見つかったとJVNが注意喚起している。(2018/6/15)

Intelプロセッサに新たな脆弱性、投機的実行機能に関連
脆弱性は、Coreベースプロセッサの「Lazy FP state restore」という機能に存在する。「Spectre」「Meltdown」と同様に、投機的実行の仕組みに関連しているという。(2018/6/15)

Google、デスクトップ向け「Chrome 67」の脆弱性を修正
脆弱性を修正した「Chrome 67.0.3396.87」が、Windows、Mac、Linux向けにリリースされた。(2018/6/13)

計50件の脆弱性に対処:
Microsoft、月例更新プログラム公開 IEやWindowsに深刻な脆弱性
6月の更新プログラムでは計50件の脆弱性が修正された。うち11件が「緊急」に分類されている。(2018/6/13)

「LINE」Windows版にDLL読み込みの脆弱性 既に修正済み
Windows版「LINE」アプリに、意図しないDLLを読み込む脆弱性があった。LINEは5月31日に修正版をリリースし、全ユーザーに対して自動アップデートを行ったという。(2018/6/12)

セキュリティクラスタ まとめのまとめ 2018年5月版:
魔の手が伸びる「仮想通貨」、新手の攻撃
2018年5月のセキュリティクラスタは、引き続き「仮想通貨」関連の話題に注目が集まりました。ブロックチェーンの仕組み自体の弱点を突いた攻撃や、プラグインの改変などさまざまな手段を使って犯罪者がお金をかすめ取ろうとしています。加えて、仮想通貨を採掘させるスクリプトをサイトに設置すること自体が違法だという指摘がありました。仮想通貨以外では、情報漏えい事件の原因が「WAFの設定ミス」なのか「脆弱性」なのかという議論がありました。(2018/6/13)

「Firefox 60」のアップデート公開、深刻な脆弱性に対処
最新版の「Firefox 60.0.2」で脆弱性が修正されたほか、延長サポート版のFirefox ESRもアップデートが公開された。(2018/6/8)

Flash Playerの脆弱性を突く攻撃発生、臨時アップデートで対処
脆弱性を突く攻撃の発生が確認されていることから、最優先で対応するよう呼び掛けている。(2018/6/8)

Androidの月例セキュリティ情報公開、メディアフレームワークに深刻な脆弱性
脆弱性修正のためのセキュリティパッチは、メーカーや携帯電話会社からユーザー向けに配信される。(2018/6/6)

アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響
セキュリティ企業Snykによると、Zip Slipの脆弱性は、HPやAmazon、Apache、Pivotalなどを含め、数千ものプロジェクトに影響を及ぼすという。(2018/6/6)

Siriの通知読み上げ問題にも対処:
Apple、「iOS 11.4」のセキュリティ情報を公開 計35件の脆弱性
iOS 11.4では計35件の脆弱性に対処した。WebKitやフォント解析、カーネルなどに関係する脆弱性は、watchOSやtvOSおよびmacOSにも共通している。(2018/6/5)

Apple、MacとSafari、Windows向けiCloudのセキュリティアップデート公開
「macOS High Sierra 10.13.5」では、AMDやIntelグラフィックスドライバなどプロセッサ関連の脆弱性も修正された。(2018/6/4)

「Git」に任意のコード実行の脆弱性、更新版で対処
悪用された場合、標的とするシステム上で任意のコードを実行されたり、システムメモリの一部を取得されたりする恐れがある。(2018/6/1)

プロバイダーの選定からエンドポイント管理まで
クラウドの脆弱性に潜む9つの脅威、対策は?
クラウドコンピューティングは業務効率を向上させたが、セキュリティが課題であることは変わっていない。本稿では、クラウドの脆弱(ぜいじゃく)性に潜む9つの脅威と、そのセキュリティ対策について取り上げる。(2018/6/1)

「Chrome 67」の安定版公開、脆弱性修正やSpectre対策の拡大も
CPUに存在する脆弱性「Spectre」「Meltdown」のリスク緩和策として、引き続き「Site Isolation」機能の実験的導入を拡大している。(2018/5/31)

修正パッチを早急に公開:
シュナイダーのSCADAソフトなどに脆弱性、Tenable Researchが発見
Tenable Network Securityのデータサイエンスチームは、シュナイダーエレクトリックの「InduSoft Web Studio」や「InTouch Machine Edition」に重大な影響を及ぼす脆弱性を発見。これを受け、シュナイダーエレクトリックは修正パッチを早急に公開した。(2018/5/24)

Netgearのルータが標的に:
IoTデバイスの脆弱性を突くマルウェア「Wicked」、Miraiの新手の亜種
「Mirai」をベースにした新手のボットネット型マルウェア「Wicked」は、ルータなど特定のIoTデバイスの脆弱性を悪用する。(2018/5/22)

新たに「Meltdown」「Spectre」関連の脆弱性、IntelはBIOSアップデートの準備
Intelなどのプロセッサに発覚した「Meltdown」「Spectre」と呼ばれる脆弱性に関連して、新たに2件の脆弱性が確認された。(2018/5/22)

脅威の現実性に疑問も:
暗号化メールが読み取られる? 平文を抽出する脆弱性「EFAIL」をESETが解説
電子メール暗号化プロトコル「OpenPGP」と「S/MIME」には脆弱性があり、攻撃者がこれを悪用して、暗号化されたメッセージの平文を抽出して入手する恐れがある。(2018/5/17)

OSS脆弱性ウォッチ(6):
PostgreSQLの“仕様”による、運用者にとって悩み深い脆弱性とは
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は、2018年3月1日に公開されたPostgreSQLの脆弱性情報(CVE-2018-1058)を取り上げる。(2018/5/16)

Photoshop CCもアップデート:
AcrobatとReaderのアップデート公開、多数の深刻な脆弱性に対処
AcrobatとReaderのセキュリティアップデートでは、計47件の脆弱性を修正した。Photoshop CCについても、重大な脆弱性を修正するアップデートを公開している。(2018/5/15)

暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性
電子メールの暗号化に広く使われている規格に、暗号化されたメッセージを攻撃者が平文で入手できてしまう脆弱性が報告された。特にApple Mail、iOS Mail、Mozilla Thunderbirdなどのメールクライアントが危険だという。(2018/5/15)

半径300メートルのIT:
だからCMSは狙われる WordPressやDrupalに攻撃が相次ぐわけ
このところ相次いでいるCMSの脆弱性を突いた攻撃。なぜCMSは攻撃者の餌食になっているのでしょうか。(2018/5/15)

山市良のうぃんどうず日記(127):
Windows Updateは適切な更新サイクルで――CredSSP脆弱性対策について
本連載では「Windows Update」のトラブルや回避方法をよく取り上げていますが、今回は更新をしばらく怠ったときの副作用の話です。それをよく示す事例が、2018年5月の定例更新後に発生する可能性があります。更新サイクルを調整している個人や企業は、今後、近いうちに影響を受けるかもしれません。実は“Microsoftが想定している最大の更新間隔の期間内”に更新されていれば、影響を受けることはありません。(2018/5/15)

4件のセキュリティ問題を修正:
Google、「Chrome 66」安定版のアップデート公開
デスクトップ向けの更新版で修正された脆弱性は、組み合わせるとサンドボックス脱出に利用される恐れがある。(2018/5/14)

Adobe、Flash Playerなどの脆弱性を修正
Flash PlayerとCreative Cloud Desktop Application、及びConnectの脆弱性を修正するセキュリティアップデートが公開された。(2018/5/9)

Microsoftの月例更新プログラム公開、既に悪用の脆弱性も
一部の脆弱性は既に悪用が確認されていることから、対応を急ぐ必要がある。(2018/5/9)

Google、5月のAndroidセキュリティ情報を公開 NVIDIAコンポーネントの脆弱性などを修正
端末メーカーなどのパートナーには、少なくとも1カ月前に通知済み。パートナー各社からユーザーの端末向けにパッチが配信される。(2018/5/8)

LenovoのWebサイトも標的に:
脆弱性放置のDrupalサイト、相次ぎ仮想通貨採掘攻撃の被害に
世界各国の政府機関や教育機関などのWebサイト、さらにはLenovoのWebサイトなどで、「クリプトジャッキング攻撃」の被害が確認された。(2018/5/8)

Android端末に「Rowhammer攻撃」、ChromeやFirefoxに脆弱性
DRAMの設計上の弱点を突く「Rowhammer攻撃」を仕掛け、Webブラウザのセキュリティ対策をかわせてしまう脆弱性が発見された。(2018/5/7)

WebLogicの脆弱性を突く攻撃が横行、パッチ公開の直後から
脆弱性情報が公開されてから悪用されるまでの期間は、ますますます短くなっている。(2018/5/7)

Microsoftの「hcsshim」に深刻な脆弱性、臨時更新プログラムで対処
攻撃者が不正なコードを仕込んだコンテナイメージを管理者がインポートすると、Windowsホスト上で悪質なコードが実行される恐れがある。(2018/5/7)

猫好きを狙うマルウェア「Kitty」、Drupalの脆弱性突き仮想通貨を採掘
Kittyマルウェアは『お願いだから削除しないで。私は無害な可愛い子猫なの』と訴える。(2018/5/7)

CPUパッチ適用以外の5つの対策を整理
Spectre/Meltdown問題で脚光 「CPU脆弱性」の影響と対策
影響範囲の広さから世界中のセキュリティ担当者に衝撃を与えた「Spectre」「Meltdown」。これらによって認識が広がった「CPU脆弱性」とは、どのような脆弱性なのか。対策はあるのか。あらためて整理した。(2018/5/7)

カーネギーメロン大学が報告
「SSD」の寿命を縮め、データを壊すセキュリティの脆弱性とは
SSDは慎重に扱わないと、思わぬリスクを招く恐れがある。データの安全性を確保するために、知っておくべきことを取り上げる。(2018/5/1)

Drupalの脆弱性を突く攻撃を確認、直ちに対応を
Drupalの更新版(バージョン7.59、8.5.3、8.4.8)が公開された。既にこの脆弱性を突く攻撃が確認されていることから、まだ更新を済ませていないサイトは直ちに対応する必要がある。(2018/4/27)

「平成生まれのハッカー社長」が考える、働き方改革に潜む“脆弱性”とは?
働き方改革のために、セキュリティをどうすべきか――。ITmedia エンタープライズが開催したセミナー「働き方改革のリアル」で行われた講演では、この難題をクリアするための考え方やさまざまなツールが紹介された。(2018/5/1)

iOSとmacOS、Safariの更新版リリース WebKitなどの脆弱性を修正
米Appleは、「iOS 11.3.1」「Safari 11.1」および「macOS High Sierra 10.13.4」向けのセキュリティアップデート「2018-001」を公開した。(2018/4/25)

NVIDIAのTegraプロセッサに脆弱性の情報、Nintendo Switchなどに影響
Nintendo Switchでこの脆弱性を実証するためのコンセプト実証コードも公開された。ユーザーが手持ちのデバイスの脆弱性を修正することは不可能とされる。(2018/4/25)

IEに未解決の脆弱性、APT攻撃に利用 最新バージョンにも影響
脆弱性はIEのエンジンに存在すると思われ、不正なWebページを仕込んだOffice文書を送り付ける手口が使われているという。(2018/4/24)

254件の脆弱性を修正:
Oracleの四半期パッチ公開、データベースやJavaなどの脆弱性に対処
今回の定例パッチでは計254件の脆弱性を修正した。Database Server、Fusion Middleware、Java SE、MySQL、Oracle Virtualizationなど多数の製品が対象となる。(2018/4/19)

「Google Chrome 66」安定版 動画の自動再生がなくなり、62件の脆弱性に対処
GoogleのWebブラウザ「Chrome」の安定版がバージョン66になり、動画が自動再生設定になっているWebページを開いても自動再生されないようになった。また、深刻度が5段階で最高の「Critical」2件を含む66件の脆弱性が修正された。(2018/4/18)

OSS脆弱性ウォッチ(5):
ADドメインコントローラーとして動作しているSamba 4.xに関する脆弱性とは
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は2018年3月13日に公開されたSambaの脆弱性情報(CVE-2018-1050、CVE-2018-1057)のうち、特にCVE-2018-1057について解説する。(2018/4/17)

大部分のAndroid端末、Google配信のセキュリティパッチを完全には網羅せず――独セキュリティ企業の調査
Googleが月例パッチに含めた重大な脆弱性への対応が抜け落ちていることがある――。ドイツのセキュリティ企業Security Research Labsが調査結果を発表した。(2018/4/13)

OSS脆弱性ウォッチ(4):
libcのRealpathバッファーアンダーフローに関する脆弱性とは
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。2018年1月4日に「libcのRealpathバッファーアンダーフロー」との脆弱性が報告された。今回は、この脆弱性のPoCを見ていく上で重要な「Realpathのバッファーアンダーフロー」に注目して、詳しく見ていく。(2018/4/12)

Googleは「VPNを使わない安全な通信」を既に利用中
VPNの安全神話は崩壊? 次に利用を検討すべきVPN代替製品
大手ベンダーのVPN製品に脆弱(ぜいじゃく)性が見つかった。この脆弱性は深刻なセキュリティリスクをもたらす可能性があるという。脆弱性に対し、企業はどんな対策を取ればいいのか? VPNに代わるサービス情報と併せて解説する。(2018/4/12)

Flash Playerの更新版公開、複数の深刻な脆弱性を修正
危険度「Critical」の脆弱性3件を含め、6件の脆弱性が修正された。(2018/4/11)

スマート家電の脆弱性を診断――トレンドマイクロ、ホームネットワークの安全性を診断する無償ツールに新機能を追加
トレンドマイクロが無償提供するホームネットワークの安全性診断ツール「オンラインスキャン for Home Network」に、スマート家電の脆弱性の有無を診断する新機能を追加。スマート家電に潜む脆弱性の有無や、ホームネットワークにつながる不正デバイスの有無などを確認できる。(2018/4/11)

Microsoftが月例セキュリティ更新プログラム公開、60件以上の脆弱性に対処
IEやWindowsの脆弱性など24件が、最大深刻度の「緊急」に指定されている。(2018/4/11)

Ciscoのスイッチを狙う攻撃が急増、Smart Install機能の脆弱性を悪用
脆弱性を突くコンセプト実証コードが既に出回っていて、Smart Install機能が使用するTCP 4786番ポートに対するスキャンが急増しているという。(2018/4/10)

大原雄介のエレ・組み込みプレイバック:
収束しない現代的CPUの脆弱性と、苦境を脱せないQualcomm
2018年3月のエレクトロニクス/組み込み業界は話題豊富だった。「現代的CPU」の脆弱性は収束の気配を見せず、Qualcommは大統領令で買収の危機を乗り切ったように見えるが、実はまだ苦境から脱していない。(2018/4/9)

人集めに成功する秘訣とは?:
20人規模のCSIRTを持つリクルート、立ち上げ当初は「募集しても人が来なかった」?
セキュリティエンジニアの不足が叫ばれる中、インシデントレスポンスだけでなく、脆弱性検査やフォレンジックなど、さまざまな一芸を持つ人材を集め、自社を超えて、セキュリティコミュニティー全体にも貢献しているRecruit-CSIRT。しかし、立ち上げ当初は「募集をしても全く人が来なかった」という。(2018/4/9)

Intel、古いプロセッサ向けのSpectre対策パッチは提供せず
発売からほぼ10年以上たった古いプロセッサについては、「Variant 2(Spectre)」と呼ばれる脆弱性の対策パッチを提供しない方針。(2018/4/6)

Microsoftのマルウェア対策エンジンに深刻な脆弱性、臨時アップデートで対処
細工を施したファイルをMalware Protection Engineにスキャンさせる手口で、攻撃者がシステムを制御できてしまう恐れがある。(2018/4/5)

Google、Androidの月例セキュリティ情報公開 多数の脆弱性を修正
Mediaフレームワークとシステムには、危険度が最も高い「重大」(Critical)の脆弱性が複数存在する。(2018/4/3)

直ちにアップデートを:
Windows 7とServer 2008の臨時アップデート公開 Meltdownの対策パッチで生まれた脆弱性に対処
Windows 7とWindows Server 2008 R2で2018年1月以降にリリースされた更新プログラムをインストールしていた場合は、直ちに今回の更新プログラムをインストールする必要がある。(2018/4/2)

この10年で起こったこと、次の10年で起こること(23):
AMDは2016、Intelは2014……。最新CPUチップの刻印が意味するもの
今回は、脆弱性問題で揺れるAMDやIntelの最新プロセッサのチップに刻まれた刻印を観察する。チップに刻まれた文字からも、両社の違いが透けて見えてくる。(2018/4/2)

「SNSがダークWebに取って代わる」:
RSA、2018年のサイバー犯罪について4つの傾向を予想
RSAは、ホワイトペーパー「2018年のサイバー犯罪の現状」を発表し、「アカウント乗っ取りの増加」「サイバー犯罪は新しいインフラに拡大」「新たな脆弱性が登場」「3D SECURE 2.0導入準備」の4つの動きが今後顕著になると予想した。(2018/3/30)

PR:Windows 10に移行したらセキュリティ対策もできちゃった!?――知られざる「安全Windows」の仕組み
さまざまなセキュリティインシデントが日々発生する中で、企業での新たなセキュリティ対策が叫ばれている。「脆弱性の少なさ」、「新たなセキュリティシステムの追加」、「定期更新による防御手法のアップデート」など、Windows 10ではセキュリティ機能が大幅に進化している。Windows 10への移行を“攻めのセキュリティ対策”として考えてみよう。(2018/3/30)

「QRコード問題」は解消されず?:
「iOS 11.3」のセキュリティ情報公開、カーネルやWebKitの深刻な脆弱性に対処
Appleのセキュリティ情報によると、iOS 11.3では計43件の脆弱性を修正した。(2018/3/30)

Drupal、極めて重大な脆弱性を修正 直ちに対応を
現時点で悪用は確認されていないものの、脆弱性の性質を考えると、攻撃コードが開発されている可能性もあり、Drupalを使っているWebサイトは直ちにパッチを適用する必要がある。(2018/3/29)

可視化ツールで学ぶWAN入門(1):
BGPハイジャックの怖さを、目で見てみよう
本連載では、ツールによる可視化を通じ、WANの世界を垣間見てみます。初回である本記事では、インターネット接続を支える役割を果たしているものの、脆弱性が指摘されるBGPプロトコルを扱います。(2018/3/28)

OSS脆弱性ウォッチ(3):
memcachedをDDoS攻撃に使われないための基本的な心掛け
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は、memcachedを用いたDDos攻撃について詳しく見ていきます。(2018/3/28)

Drupalに「極めて重大な脆弱性」、29日のセキュリティリリースを予告
脆弱性は、数時間から数日中に悪用される可能性もある。問題の重大性を考慮して、既にサポートが終了している8.3.xと8.4.xも対象に含める。(2018/3/23)

AMD、プロセッサの脆弱性に関する検証結果を公表 修正パッチで対応へ
いずれの脆弱性も、悪用するためには攻撃者が管理者特権を獲得する必要がある。修正のためのファームウェアパッチは数週間以内にリリース予定。(2018/3/22)

Spectre/Meltdownを受け:
米Microsoft、「投機的実行」攻撃の研究を奨励 賞金2600万円
Microsoftは、CPUの投機的実行機能に対する攻撃手法を「脅威環境の変化」と位置付け、こうした脆弱性や緩和策に関する研究を促す目的で、研究者に賞金を贈呈する。(2018/3/20)

「Firefox 59」の更新版リリース、Pwn2Ownで発見された脆弱性を修正
「Firefox 59.0.1」では、音声データ処理に関する2件の深刻な脆弱性を修正した。(2018/3/19)

株価操作が目的?:
AMDプロセッサの“重大な脆弱性”情報、業界から疑問の声
CTS-Labsが行った発表は、セキュリティ企業による誇大宣伝だったのではないかという声が相次いでいる。AMD株の取引にかかわる組織が価格操作を狙ったという説も浮上した。(2018/3/19)

投機的実行に関する脆弱性に対処するマイクロコード提供も大きく前進:
Intel、2018年後半投入のCPUで「Meltdown」「Spectre」対策の新設計を導入
Intelは、投機的実行に関する脆弱性に対して保護する必要がある、発売後5年以内の全Intel製品についてマイクロコードアップデートをリリース。2018年後半出荷の製品から導入する設計変更も明らかにした。(2018/3/19)

IT部門ができること
スマートフォンのマルウェア感染をなくすには?
スマートフォンを狙うマルウェアの最新情報を入手し、セキュリティポリシーを策定して脆弱性に対処するための、基礎的なポイントを整理した。(2018/3/18)

Intel、プロセッサの設計変更で「Spectre」「Meltdown」の脆弱性に対応
次世代の「Xeon スケーラブル・プロセッサ」と、第8世代 Coreプロセッサーでは、プロセッサの設計を一部変更して、新たな対策を導入する。(2018/3/16)

Flash Playerに深刻な脆弱性、更新版で対処
「Flash Player 29.0.0.113」では、2件の深刻な脆弱性を修正した。(2018/3/14)

老舗画像ビューワ「ViX」・FTPサーバ「Tiny FTP Daemon」に脆弱性 「使用中止の検討を」
Windows向け画像ビューワの老舗「ViX」と、FTPサーバの老舗「Tiny FTP Daemon」にそれぞれ脆弱性が見つかったとして、JVNが使用中止を検討するよう呼び掛けている。(2018/3/14)

Microsoft、3月の月例セキュリティ更新プログラムを公開 75件の脆弱性を修正
ChakraCoreやEdge、Internet Explorer(IE)9〜11になどに存在する深刻な脆弱性が修正された。(2018/3/14)

AMDのプロセッサ「Ryzen」と「EPYC」に重大な脆弱性、セキュリティ企業が公開
イスラエルのセキュリティ企業CTS-Labsによると、AMDのプロセッサ「Ryzen」と「EPYC」に13件の重大な脆弱性が存在する。ただし、脆弱性を突く攻撃には管理者権限が必要との見方が出ている。(3/14 12:00追記)(2018/3/14)

「Firefox Quantum」(バージョン59)公開 プライベートモードでのリファラのパス情報削除機能など
MozillaのWebブラウザ「Firefox 59」がリリースされた。さらに高速化された他、危険度「最高」4件を含む多数の脆弱性が修正された。(2018/3/14)

半径300メートルのIT:
「あなたのルーターに脆弱性あり、買い換えを」 そんなのアリ?
一見、理不尽に思えるこの対策ですが、実際のところは……。(2018/3/13)

「Chrome 65」の安定版公開、情報流出などの脆弱性に対処
米セキュリティ機関によると、脆弱性を悪用されればセンシティブな情報が流出する恐れもある。(2018/3/9)

直ちに最新バージョンへ:
メール転送エージェント「Exim」の脆弱性、サーバ40万台に影響
最新バージョンの4.90.1で脆弱性が修正された。それより前の全バージョンが影響を受ける。(2018/3/8)

初の悪用事例
Meltdown&Spectre用の「偽の修正パッチ」に注意
MeltdownとSpectreの脆弱性がついに悪用された。それは、偽の修正パッチを配布してマルウェアに感染させるというものだった。(2018/3/8)

3月のAndroidセキュリティ情報公開、Mediaフレームワークなどに深刻な脆弱性
Mediaフレームワークの脆弱性は、細工を施したファイルを送り付ける手口で任意の攻撃コードを実行される恐れがあり、特に危険度が高い。(2018/3/6)

システムの脆弱性を可視化し、リスクマネジメントを支援――NTT Com、「脆弱性見える化ソリューション」を提供開始
NTTコミュニケーションズ(NTT Com)が、新しいリスクマネジメント管理サービス「脆弱性見える化ソリューション」を開始。セキュリティリスクを可視化することで、経営者の事業継続に関わる判断を支援するとともに、CSIRTの管理業務の効率化、システム管理者の作業負荷軽減などを実現するという。(2018/3/1)

Flashの脆弱性を仕込んだ不正Word文書見つかる 大量の迷惑メールを送る攻撃に利用
攻撃者は当初の標的型攻撃にわずかに手を加えただけで、静的な防御をかわしていたという。(2018/3/1)

シングルサインオンのSAMLライブラリに脆弱性、認証かわされる恐れ
脆弱性を悪用された場合、リモートの攻撃者によってSAMLコンテンツが改ざんされ、SAMLサービスプロバイダーの認証をかわされてしまう恐れがある。(2018/2/28)

バッファロー製無線LANルーター「WXR-1900DHP2」に複数の脆弱性 IPAが報告
IPAおよびJPCERT/CCは、バッファロー製無線LANルーター「WXR-1900DHP2」に複数の脆弱性が存在すると報告を行った。(2018/2/26)

セキュアなモバイルアプリ開発の10大ベストプラクティス【後編】
「モバイルアプリ」を社内システムと安全に連携させるには? 脆弱性のつぶし方は?
モバイルアプリを開発する際に重要なのは、セキュリティだ。本稿ではコードレベルのセキュリティ確保や、バックエンドシステム/各種サービスとの接続時のセキュリティなどを取り上げる。(2018/2/26)

IoTセキュリティ:
ランサムウェアを未然につぶす、つながらない古い機器を狙う脅威も可視化して分析「Tenable.io」
脆弱性スキャナー「Nessus」を開発するテナブルは、クラウド型脆弱性管理プラットフォーム「Tenable.io」を国内で本格展開する。同製品は、社内ネットワークやインターネットにつながった機器やシステムだけではなく、クラウド上のアプリケーションや、コンテナ、インターネット接続されていない機器まで管理対象に含め、それぞれの脆弱性や対処すべき優先順位を分かりやすく可視化し、かつ経営判断で利用しやすくレポーティングする仕組みを備える。(2018/2/23)

北朝鮮のハッカー集団「APT37」、日本も標的に
APT37は主に韓国を標的として、日本やベトナム、中東にも活動範囲を広げ、未解決の脆弱性やマルウェアを駆使するなどの手口を高度化させているという。(2018/2/22)

Intel、不具合修正の脆弱性対策パッチを追加リリース Kaby Lake以降の世代に対応
Intelは「Skylake」「Kaby Lake」「Coffee Lake」を搭載したプラットフォーム向けのマイクロコードアップデート正式版を、OEM向けにリリースした。(2018/2/22)

Microsoft Edgeに未解決の脆弱性、Google Project Zeroが詳細を公表
今回の脆弱性を悪用した場合、Edgeのセキュリティ機能「Arbitrary Code Guard」(ACG)をかわすことが可能とされる。危険度は「中程度」。(2018/2/21)

改変OSのPC販売 不正送金の踏み台に 脆弱性知りつつ対策放置のツケ
Windowsを改変したPCを販売したとして、商標法違反容疑でIT会社「ビレイ」の社長らが逮捕された。改変によって生じたソフトの脆弱性が中国人犯罪グループに目をつけられ、不正送金の「中継点」として利用されていた。(2018/2/21)

社長ら逮捕:
改変OSのPC販売 不正送金の踏み台に 脆弱性知りつつ対策放置のツケ
Windowsを改変したPCを販売したとして、商標法違反容疑でIT会社の社長らが逮捕された。(2018/2/20)

Windows Analyticsで「Spectre」「Meltdown」の脆弱性対策チェックが可能に
Microsoftはプロセッサ脆弱性問題の「Spectre」および「Meltdown」について、ファームウェア、Windows OS、アンチウイルスソフトの対策状況がチェックできる機能を、デバイス監視ツール「Windows Analytics」に追加した。(2018/2/15)

メッセージアプリ「Telegram」の脆弱性突く攻撃、「右から左」に読むテキスト表示機能を悪用
例えば「gnp.js」というマルウェアのファイル名を逆向きに表示すれば、「sj.png」という画像ファイルに見せかけることができてしまう。(2018/2/15)

その知識、ホントに正しい? Windowsにまつわる都市伝説(103):
Windows 10の「このPCを初期状態に戻す」「新たに開始」を実行して後悔する前に……
2018年はプロセッサの脆弱性問題から始まり、その対策に追われた(まだ追われている)人も多いと思います。この問題への対策でWindows Updateでコンピュータが正常に起動しなくなったり、再起動を繰り返すようになったりして、途方に暮れた(暮れている)人もいるかもしれません。そんなトラブルから抜け出す手段として、Windows 10には幾つか回復機能がありますが、ご使用上の注意(今回の記事)をよく読んでお使いください。(2018/2/15)

Adobe、AcrobatとReaderの深刻な脆弱性を修正
Adobe Acrobat/Readerのセキュリティアップデートでは、多数の深刻な脆弱性に対処した。(2018/2/14)

メールをプレビュー表示しただけで攻撃される?:
Microsoft、2月の月例セキュリティ更新プログラム公開 計50件の脆弱性を修正
EdgeやOutlookなどに存在する14件の脆弱性を「緊急」に分類。中でもOutlookのメモリ破損の脆弱性では、メールをプレビュー表示しただけで攻撃コードを実行される恐れがある。(2018/2/14)

セキュリティ・アディッショナルタイム(21):
10分で脆弱性が見つかった、バグハンターと開発者が共同合宿で得たこと
缶詰め状態で集中して脆弱(ぜいじゃく)性を見つけてもらう「バグハンター合宿」を、サイボウズが2017年11月3〜4日に実施。予想以上に多くの報告を受理しただけでなく、サービス開発者とバグハンターの双方に気付きが生まれた。(2018/2/14)

Ciscoセキュリティ製品の脆弱性突く攻撃を確認、直ちに対応を
Ciscoのセキュリティ担当者は、「直ちにパッチ適用を。今のところ下手なDoSだが、現実に悪用が観測された」と呼び掛けている。(2018/2/13)

企業動向を振り返る 2018年1月版:
チップ再設計に踏み切ったIntel、「Spectre」「Meltdown」の余波は収まらず
2018年1月に報告されたプロセッサの脆弱性「Spectre」「Meltdown」に対応すべく、Intelはチップの再設計に踏み切った。他社は追従するか。(2018/2/9)

不具合発生のIntel脆弱性対策パッチ、修正版の提供開始
「Skylake」用のマイクロコードアップデート正式版が、2月5日の週からOEMや業界パートナー向けにリリースされた。(2018/2/9)

「プロセッサ脆弱性」公表から1カ月 アップデートの不具合がさらなる混乱を招く
「Spectre」「Meltdown」と呼ばれるプロセッサの脆弱性が公になり1カ月が過ぎた。その間に情報提供や対策パッチの配布などが進んだが、アップデート自体の不具合やベンダーの対応の仕方が新たな混乱を招いている。(2018/2/8)

Flash Playerの臨時アップデート公開、未解決だった脆弱性に対処
「Flash Player 28.0.0.161」では、標的型攻撃に利用されていた脆弱性を含め、2件の重大な脆弱性を修正した。(2018/2/7)

Ciscoのセキュリティ製品に極めて重大な脆弱性、修正版のアップデート公開
危険度は最大の「10.0」。当初公開していたアップデートでは不十分だったことも分かり、修正版のアップデートが2月5日に公開された。(2018/2/7)

脆弱性の総数と深刻なものの件数がともに急増:
2017年の脆弱性報告件数は過去最高の約1万4700件、まだ隠れた脆弱性がある可能性も:ESET
ESETによると、2017年は脆弱性の報告件数が前年比で2倍以上に増えて過去最高となり、中でも重大な脆弱性が近年の傾向に沿って急激に増加した。(2018/2/7)

Google、Androidの月例セキュリティ情報を公開 計26件の脆弱性を修正
MediaフレームワークやQualcommコンポーネントなどに存在する重大な脆弱性が修正された。(2018/2/6)

特選ブックレットガイド:
組み込みプロセッサも内包する「Spectre」「Meltdown」の脆弱性、その正体と本質的な問題
「Spectre」「Meltdown」と呼ばれる脆弱性は、Intel や AMD だけではなく、Arm 製品にも影響することから組み込みにも大きな問題である。しかし、対処には内部実装についての理解も必要である。ここではMeltdownを中心に詳細を解説する。(2018/2/6)

認証を受けた状態と認証を受けない状態を比較
Windows脆弱性スキャンで“見えなかった欠陥”が見えるようになるチェックリスト
Windowsの脆弱性をスキャンする場合、IT担当者はあらゆる角度から確認できるよう、認証を受けた状態と認証を受けない状態の両方でスキャンを実行する必要がある。(2018/2/3)

北朝鮮からの攻撃?:
Flash Playerに未解決の脆弱性、Windows狙う攻撃に利用
Adobeも未解決の脆弱性を突く標的型攻撃の発生を確認、修正のためのアップデートを2月5日の週にリリースすると予告した。(2018/2/2)

サーバレス、PaaS製品が再注目される結果に
「Meltdown」と「Spectre」で明らかになったクラウドベンダーの対応能力
CPU脆弱性「Meltdown」「Spectre」は、クラウド利用に甚大な影響を及ぼすことが危惧されていた。クラウドベンダーの対応により、想定よりも影響は小さくなりそうだ。(2018/2/1)

CiscoのASAソフトウェアに重大な脆弱性、多数の製品に影響
危険度を示すCVSSベーススコアは最高値の10.0。間もなく開幕するセキュリティカンファレンスで詳しい内容の発表が予定されているという。(2018/1/31)

バグ対策:
マイクロソフト、緊急アップデートを公開 インテルパッチ無効化
Intelが自社の半導体の脆弱性対策として配布したパッチにバグが生じている問題で、米Microsoftは同パッチを無効化する緊急アップデートを公開した。(2018/1/30)

業績は好調だが対応に追われる:
脆弱性問題に対処するチップを18年内に発表 Intel
2017年の業績が好調だったIntelだが、CPUのセキュリティ脆弱性の対処には追われているようだ。同社CEOは、この脆弱性問題に対処するチップを2018年後半にリリースする予定だという。(2018/1/30)

Windowsの臨時アップデート公開、「Spectre」の脆弱性緩和策を無効に
Intelパッチの不具合発覚を受けて、MicrosoftがWindows向けの臨時アップデートを公開。Spectreの脆弱性に対する緩和策を無効にする措置を講じた。(2018/1/30)

ホワイトハットハッカーを有効活用
失効したユーザーでもログイン可能、Slackも影響を受けたSAMLの脆弱性とは?
失効したログイン認証情報を使用してシステムの利用許可権限が与えられてしまうSAMLに関する重大な脆弱(ぜいじゃく)性の問題がSlackにおいて発見された。「Confused Deputy」と名付けられた問題の解決方法とは?(2018/1/30)

Cxクラウド:
ソースコードの脆弱性をクラウド上で解析するサービス
東陽テクニカは、ソースコードの脆弱性解析をクラウド上で実施できる「Cxクラウド」の提供を開始した。コンパイル前、ビルド前のソースコードの脆弱性を開発者自身で診断して安全性を早期に把握できるため、修正によるコストを削減する。(2018/1/29)

Windows向けiTunesとiCloudの更新版公開、深刻な脆弱性に対処
悪用された場合、細工を施したWebコンテンツを処理させることによって、任意のコードを実行される恐れがある。(2018/1/25)

「Google Chrome 64」が安定版に サイトごとの音声ミュート機能や53件の脆弱性修正
GoogleがWebブラウザ「Chrome 64」の安定版を公開した。バージョン64で見送られてたWebサイトごとの音声ミュート機能やリダイレクトブロック機能が追加され、危険度「高」3件を含む53件の脆弱性を修正した。(2018/1/25)

「Firefox Quantum」(バージョン58)公開 さらに高速化、多数の脆弱性修正
Mozilla Foundationが、「Firefox Quantum」と呼ぶWebブラウザの初のアップデート「バージョン58」を公開した。画像処理機能強化でさらに読み込みが速くなり、Android版ではPWA機能が追加された。(2018/1/24)

iOSやmacOSのアップデート公開、「Meltdown」の脆弱性などに対処
不正なリンクを受信するとiPhoneがクラッシュすると伝えられた問題を修正したほか、macOS SierraとEl Capitan向けのアップデートで「Meltdown」と呼ばれるCPU関連の脆弱性に対処した。(2018/1/24)

「iOS 11.2.5」アップデートでHomePodサポートとSiriでのニュース読み上げ追加(日本はまだ)
Appleが「iOS 11.2.5」の配信を開始した。スマートスピーカー「HomePod」販売国ではHomePodのサポートとSiriのニュース読み上げ機能が追加された。日本では多数の脆弱性修正が中心だ。(2018/1/24)

「Broadwell」「Haswell」搭載システムの再起動問題対策が前進:
Intel、システム再起動問題で現行ファームウェアアップデートの展開中止を推奨
Intelは、CPU脆弱性対策のファームウェアアップデート適用後に特定のシステムで発生していた再起動問題の一部について、根本原因を特定し、最新情報を発表した。(2018/1/24)

Mostly Harmless:
プロセッサの脆弱性問題が炙り出した“IoT機器”のリスク
Intelが発表したプロセッサの脆弱性問題で見えてきたIoT機器のセキュリティリスクとは。(2018/1/24)

アップデート版をリリース予定:
脆弱性対策パッチの導入中止を――「リブート問題」でIntelが呼び掛け
Intelは、現在出回っている脆弱性対策パッチについて、「リブートが予想以上に増えるなど、予想外のシステムの挙動を発生させる可能性がある」として、導入の中止を呼び掛けた。(2018/1/23)

組み込み開発ニュース:
ソースコードの脆弱性をクラウド上で解析できるサービスを提供
東陽テクニカは、ソースコードの脆弱性解析をクラウド上で実施できる「Cxクラウド」の提供を開始した。コンパイル前、ビルド前のソースコードの脆弱性を開発者自身で診断して安全性を早期に把握できるため、修正によるコストを削減する。(2018/1/23)

頭脳放談:
第212回 大騒ぎのSpectreとMeltdownの脆弱性をざっくりと解説
2018年の年明けから大騒ぎとなっているSpectreとMeltdownの脆弱(ぜいじゃく)性をざっくりと解説する。プロセッサの何が問題となって脆弱性が起きているのだろうか?(2018/1/23)

現代的なCPUの脆弱性:
組み込みプロセッサにも影響大「Spectre」「Meltdown」の背景を探る
「Spectre」「Meltdown」と呼ばれる脆弱性は、IntelやAMDだけではなく、Arm製品にも影響することから組み込みにも大きな問題である。しかし、A75は影響を受けるがA72は受けにくく、A73は影響しないなど、対処には内部実装についての理解も必要である。ここではMeltdownを中心に詳細を解説する。(2018/1/23)

各社の対策法まとめ:
根本的解決はCPUの世代交代か、脆弱性問題
2018年の年明けすぐに、CPU業界で発生した「Spectre」「Meltdown」問題。Googleのチームなどが同年1月3日に報告した当初、情報が錯綜(さくそう)して混乱したものの、情報が公開されるにつれて落ち着きを取り戻しつつある。本稿では、主要ベンダーが用意した最新の対策情報と、いまひとつ分かりにくい「分岐先予測」「投機的実行」「データキャッシュ」に脆弱性が潜んでいた理由を解説する。(2018/1/22)

Intel、脆弱性対策パッチによるリブート増加問題やパフォーマンスへの影響について説明
「Meltdown」「Spectre」と呼ばれるCPUの脆弱性の対策パッチによってリブートが増加する問題や、サーバのパフォーマンスに及ぼす影響を調べたベンチマークの結果について報告した。(2018/1/19)

リスクを明らかにする努力は足りているか
モバイルアプリの脆弱性:組織で対策すべき5つのリスクとは
モバイルアプリに関わるリスクには最優先で取り組む必要がある。安全性が確認されていないモバイルアプリの危険性について、専門家が解説する。(2018/1/19)

AWS、Microsoft、Googleの対策は
「Meltdown」「Spectre」の脆弱性、大手クラウドサービスが格好の標的に
クラウド環境が「Meltdown」「Spectre」の脆弱性によって狙われる恐れがある。だがAWS、Microsoft、Googleは、攻撃を防ぐ対策は万全と説明している。(2018/1/18)

Oracleが四半期パッチ公開、Intel CPUの脆弱性に対処
Spectreと呼ばれる脆弱性の緩和策は、Sun Systems製品とOracle Virtualization向けのパッチに含まれている。(2018/1/17)

山市良のうぃんどうず日記(117:緊急特別編):
緊急パッチだけではプロセッサ脆弱性対策は不十分――Spectre&Meltdown対策状況を再チェック
2018年早々、プロセッサに影響する脆弱性が公表されました。そして、Microsoftは1月の定例日(1月10日)を待たずにこの脆弱性を軽減する緊急のセキュリティパッチを含む更新プログラムの提供を開始しました。この緊急パッチをインストールしたことで安心してはいませんか。今回の問題は、OSのパッチだけでは不十分です。(2018/1/17)

脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。(2018/1/16)

幻冬舎のWebサイト、不正アクセスで個人情報流出の可能性 対象は登録者9万人以上
システムの脆弱性をついた不正アクセスの痕跡が認められました。(2018/1/15)

Intelの一部CPU搭載マシン、脆弱性対策パッチ適用でリブート増加
CPUの脆弱性対策パッチを適用した後に、IntelのCPU「Broadwell」および「Haswell」を搭載したマシンで、リブートの回数が増える現象が報告された。(2018/1/15)

AMD、RyzenとEPYCのSpectre対策を今週中に提供へ GPUには影響なし
AMDがプロセッサ脆弱性「Spectre」の対策状況を説明した。「Ryzen」と「EPYC」は今週中に、古いプロセッサについては向う数週間中に更新を提供する計画。「Meltdown」の影響はないとしている。(2018/1/12)

脆弱性対策パッチで6〜8%のパフォーマンス低下 Intelがベンチマーク公表
「Meltdown」「Spectre」と呼ばれるCPUの脆弱性の対策パッチがパフォーマンス与える影響について、第6〜第8世代の「Core」プロセッサとWindows 10を搭載したマシンのベンチマーク結果を公表した。(2018/1/12)

Google、Chromebookの「Meltdown」対策リストを公開
Googleが、現行の全Chromebookのプロセッサの脆弱性「Meltdown」の対策状況一覧を公開した。ユーザーは要チェックだ。(2018/1/12)

NVIDIA、CPUの脆弱性対応でドライバのアップデート公開 GPUは影響受けず
NVIDIAのGPUハードウェアについては、今回報告されたセキュリティ問題の影響は受けないと強調している。(2018/1/11)

ランサムウェアは増加の一途、脆弱性の見直しが急務――トレンドマイクロ、「2017年国内サイバー犯罪動向」を発表
トレンドマイクロが、「2017年国内サイバー犯罪動向」を発表。企業における2017年のサイバー攻撃の三大脅威は、ランサムウェア「WannaCry」、公開サーバからの情報漏えい、ビジネスメール詐欺(BEC)だった。(2018/1/11)

モノづくり総合版メルマガ 編集後記:
より下層の脆弱性を狙うサイバー攻撃にIoTデバイスは耐えられるのか
新年早々からCPUの脆弱性が問題になっています。(2018/1/11)

IoTセキュリティ:
「WannaCry」の拡散続く「クローズドな環境だから安全という思い込みが脆弱性」
トレンドマイクロが「2017年国内サイバー犯罪動向」の調査結果について解説。製造業と関わる大規模なサイバー攻撃事例となるランサムウェア「WannaCry(ワナクライ)」は現在も拡散が続いている。「IoT活用やITシステムとの連携を考慮すれば、クローズドな環境だから安全という思い込みは脆弱性に成り得る」(同社)という。(2018/1/11)

CES 2018:
過去5年間の製品へのパッチ提供は1月末までに完了――Intel・クルザニッチCEOが「プロセッサ脆弱性」問題に言及
昨今世間をにぎわせているプロセッサの脆弱(ぜいじゃく)性問題。「CES 2018」の基調講演において、“渦中”にあるIntelのクルザニッチCEOがこれに言及。過去5年間に発売した全てのIntelプロセッサに対するパッチを1月中に完了するという。(2018/1/10)

Adobe、Flash Playerの脆弱性に対処 悪用されれば情報流出の恐れ
脆弱性を悪用されれば情報流出の恐れがあるとされ、緊急度は同社の3段階評価で中間の「重要」、優先度は「2」と位置付けている。(2018/1/10)

Microsoft、1月の月例更新プログラムを公開 56件の脆弱性を修正
今回の更新プログラムでは計56件の脆弱性が修正された。このうち16件が最大の深刻度である「緊急」に指定されている。(2018/1/10)

更新プログラムの配信を一時停止:
Windowsパッチで一部AMDマシンに不具合、Microsoftが対応説明
AMDマシンで「Meltdown」「Spectre」と呼ばれる脆弱性に対処するWindows向けのパッチをインストールしたところ、起動できなくなったという報告が相次ぎ、Microsoftがパッチの配信を停止した。(2018/1/10)

プロセッサの脆弱性、Microsoftの対策パッチでパフォーマンス大幅低下も
Microsoftによると、2015年代以前のプロセッサを搭載したPCや、Windows Serverでは、対策パッチを適用すると、パフォーマンスに相当な影響が出ることが分かった。(2018/1/10)

半径300メートルのIT:
もはや「OSの自動更新」だけでは守れない? 「Meltdown」と「Spectre」のベストな対策は
新年早々、世間を騒がせている脆弱性、「Meltdown」と「Spectre」。この対応策、ちょっと一筋縄ではいかないようで……。(2018/1/10)

Microsoft Azure最新機能フォローアップ(46):
プロセッサの脆弱性問題、Azureは対策済み、オンプレミスの対応策は?――Windows関連のまとめ
2018年の年明け早々、「Meltdown」や「Spectre」と呼ばれるプロセッサの脆弱性問題が公表され、IT業界全体でゼロデイ攻撃のリスクが高まっています。Microsoft AzureおよびMicrosoftのその他のクラウドサービスは、2018年1月4日時点で既に対策が完了しているとのことです。(2018/1/10)

「iOS 11.2.2」配信 CPUの脆弱性「Spectre」に対処
Appleが「iOS 11.2.2」を配信。CPUの脆弱性「Spectre」の影響を緩和する。Appleは「全てのユーザーに推奨されます」と案内している。(2018/1/9)

Apple、「Spectre」の緩和策もリリース SafariとWebKitのセキュリティ対策強化
「macOS High Sierra 10.13.2補足アップデート」「iOS 11.2.2」「Safari 11.0.2」では、それぞれSpectreの脆弱性の影響を緩和するため、セキュリティ対策を改善した。(2018/1/9)

世間を騒がす「プロセッサ脆弱性」 何が本当の問題なのか
2018年の年明け早々、新たに発見されたプロセッサの脆弱性「Meltdown」「Spectre」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。この問題の概要、影響や対策についてまとめた。(2018/1/6)

IoTセキュリティ:
IoTデバイスも対象、“現代的な”CPUの脆弱性「Meltdown」と「Spectre」
投機的実行機能を持つ現代的な(Modern)CPUの脆弱性が見つかった。インテル、AMD、アームのCPUが対象になっており「Meltdown」「Spectre」と呼ばれている。IoTデバイスに広く用いられている「Cortex-Aシリーズ」も含まれており、OSやアプリケーションのアップデートによる対策が必要だ。(2018/1/5)

Apple、プロセッサ脆弱性「Meltdown」と「Spectre」の対策について説明
Appleが、1月3日に発表されたプロセッサの脆弱性「Meltdown」と「Spectre」の対策について説明した。MeltdownについてはMac、iPhone、iPad、Apple TVでの「緩和策」をリリース済みで、Spectreについても近く緩和策をリリースする計画だ。(2018/1/5)

Intel、プロセッサ脆弱性対策で「来週末までに過去5年に製造したプロセッサの9割に更新実行」
プロセッサの脆弱性「Meltdown」と「Spectre」について、Intelが過去5年以内に製造した大部分のプロセッサの90%に対し、来週末までに更新プログラムの発行作業を完了すると説明した。(2018/1/5)

プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
Intelが「他社のプロセッサも影響する」と発表したプロセッサの重大な脆弱性「Meltdown」と「Spectre」についての情報がまとまったWebサイトを、これらの脆弱性を発見したグラーツ工科大学が開設した。(2018/1/4)

Intel、プロセッサ脆弱性はAMDやArmにもあり、対策で協力中と説明
Intelが、複数のセキュリティ研究者が発表したプロセッサの重大な脆弱性は同社製品固有のものではなく、「AMDやArmなどと対策について協力している」と説明した。(2018/1/4)

2018年に取り組みたいセキュリティやプライバシーの懸念払拭
Windows 10ユーザーなら笑えない5つの「困った」、解決策は?
見落としがちなWindows 10のセキュリティホールなどへの対策をどうするか。ここで挙げる課題への対策ができていれば、IT担当者にとって2018年はいい年になるだろう。(2017/12/29)

「Mirai」の亜種:
Huaweiルータの脆弱性突くマルウェア「オキル/サトリ」、世界各地で攻撃発生
Huaweiルータの脆弱性を突くマルウェアは「Mirai」の亜種で、「Okiru」「Satori」「Okiku」などと呼ばれている。(2017/12/26)

パートナー連携によるNFVで実現:
IoTセキュリティはデバイス防御のみにあらず! 「分散連携防御」という考え方
リソースの限られるIoTデバイスは、一度運用を開始するとアップデートもままならず、セキュリティリスクが残ってしまう。そのため、運用開始後に脆弱性が見つかった場合、IoTデバイスが悪意ある第三者の管理下に置かれ、大きな被害をもたらす可能性もある。こうした状況を打破する最良のアプローチは何か? それは「IoT機器のセキュリティをデバイス単体で考えること」から脱却することだ。その考え方を紹介しよう。(2017/12/25)

「ザ・たっち」を判別できないiPhone Xの顔認証、X-GUN西尾の動画に驚嘆の声集まる
深刻な脆弱性だな。(2017/12/23)

Google、「Chrome 63」の脆弱性を修正 発見者に7500ドルの賞金
デスクトップ向けの最新版となる「Chrome 63.0.3239.108」では2件のセキュリティ問題を修正した。(2017/12/18)

TLS実装の脆弱性「ROBOT」、19年前の攻撃が再来 大手各社の製品に影響
TLSの実装に関して1998年に発見された攻撃手法が、わずかに手を加えるだけで、現代のHTTPSに対して通用してしまうことが分かった。(2017/12/14)

Apple、iOSやAirPortの更新版公開 HomeKit不正操作の恐れ
iOSとtvOSの更新版では、iPhoneやiPadを家電用のリモコンとして使える「HomeKit」の脆弱性を修正。AirPort Base Station向けのファームウェアアップデートでは、「KRACK」と呼ばれるWi-Fi関連の脆弱性に対処した。(2017/12/14)

「Twitterで手口公開」に批判も
macOSに“パスワードなしでrootになれる”脆弱性、悪用されたら何が起きていたのか?
Appleの「macOS High Sierra」に、完全な管理者権限をもつユーザーとしてシステムにログイン可能になる脆弱性が見つかった。既に修正済みのこの脆弱性を攻撃者が悪用すると、どのような被害につながったのか。(2017/12/14)

Microsoft、12月の月例セキュリティ更新プログラム公開 32件の脆弱性を修正
Internet Explorer(IE)やEdge、Windowsなどに深刻な脆弱性が存在する。(2017/12/13)

Adobe、Flash Playerのアップデート公開 リグレッションの脆弱性に対処
今回のリグレッション問題では、グローバル設定プリファレンスファイルが意図せずリセットされる可能性がある。(2017/12/13)

Microsoft、マルウェア対策エンジンの脆弱性情報を連日公開
Microsoftは12月6日から7日にかけて、マルウェア対策エンジンの脆弱性に関する情報を相次いで公開した。月例セキュリティ情報は予定通り12日(日本時間13日)に公開予定。(2017/12/11)

「Firefox 57」のセキュリティアップデート公開、深刻な脆弱性に対処
脆弱性を悪用されれば、潜在的に悪用可能なクラッシュにつながる恐れがある。影響を受けるのはWindowsのみで、他のOSは影響を受けないという。(2017/12/11)

Microsoftのマルウェア対策エンジンに重大な脆弱性、定例外で更新プログラム公開
細工を施したファイルをマルウェア対策エンジンがスキャンすると、リモートで攻撃コードを実行される可能性がある。(2017/12/8)

Apple、KRACKの脆弱性に対処 「iOS 11.2」などのセキュリティ情報を公開
「iOS 11.2」「watchOS 4.2」「tvOS 11.2」では、「KRACK」と呼ばれるWi-Fi関連の脆弱性などが修正された。(2017/12/7)

Mac向けのセキュリティアップデート公開、管理者ログイン問題に再び対処
「High Sierra 10.13.2」では、11月29日のアップデートで対処したのと同じく、ディレクトリユーティリティの脆弱性が再度修正された。(2017/12/7)

「Apache Struts 2」の更新版公開、複数の脆弱性に対処
Struts 2.5.14までのバージョンに脆弱性があり、不正なリクエストを使ってサービス妨害(DoS)攻撃を仕掛けられる恐れがある。(2017/12/6)

Google、Androidの月例セキュリティ情報公開 47件の脆弱性を修正
Androidのメディアフレームワークや、Qualcommコンポーネントなどに重大な脆弱性が存在する。(2017/12/5)

Trend Micro DIRECTION 講演レポート:
脆弱性はなくならない、事故発生を前提とした対策があなたの工場を脅威から守る
トレンドマイクロ主催の情報セキュリティカンファレンス「Trend Micro DIRECTION」の講演「製造業の工場システム担当者が知っておくべき最新の工場セキュリティ動向」では、近年のランサムウェアの動向と製造業への影響、工場における具体的なセキュリティ対策の考え方について語られた。(2017/12/4)

「Google Play」にマルウェア感染アプリ、古い脆弱性やパーミッションを悪用
Tizi感染アプリは、古いバージョンのAndroidやチップセットなどの脆弱性を突いて、管理者権限を獲得していた。(2017/12/1)

早急に最新アップデートの適用を:
「macOS High Sierra」管理者権限に重大な脆弱性、JPCERTが対策を呼び掛け
macOS High Sierra 10.13.1に、誰でも簡単に管理者権限を乗っ取れてしまうバグが見つかった。JPCERT/CCは、Appleによる最新のセキュリティアップデートの適用を呼び掛けている。(2017/11/30)



ビットコインの大暴騰、「億り人」と呼ばれる仮想通貨長者の誕生、マウントゴックス以来の大事件となったNEM流出など、派手な話題に事欠かない。世界各国政府も対応に手を焼いているようだが、中には政府が公式に仮想通貨を発行する動きも出てきており、国家と通貨の関係性にも大きな変化が起こりつつある。

Amazonが先鞭をつけたAIスピーカープラットフォーム。スマホのアプリが巨大な市場を成したように、スマートスピーカー向けのスキル/アプリ、関連機器についても、大きな市場が生まれる可能性がある。ガジェットフリークのものと思われがちだが、画面とにらめっこが必要なスマホよりも優しいUIであり、子どもやシニアにもなじみやすいようだ。

「若者のテレビ離れが進んでいる」と言われるが、子どもが将来なりたい職業としてYouTuberがランクインする時代になった。Twitter上でのトレンドトピックがテレビから大きな影響を受けていることからも、マスメディア代表としてのテレビの地位はまだまだ盤石に感じるが、テレビよりもYouTubeを好む今の子ども達が大きくなっていくにつけ、少なくとも誰もが同じ情報に触れることは少なくなっていくのだろう。