「Black Hat Briefings」関連の最新 ニュース・レビュー・解説 記事 まとめ

未経験から挑戦できる場所がここにある：
PR：手厚い育成と「外資系らしからぬ」文化で華開く、セキュリティコンサルタントというキャリア
エンジニア経験を生かし、資格取得支援やメンター指導でプロフェッショナルへ成長する。多様な業務で自分を磨き続けられるキャリアが、ここにある。（2025/10/8）

AIエージェント防御の要諦
次なる標的は「AIエージェント」　なぜ狙われるのか？
生成AIの武器化が進み、企業の「AIエージェント」が新たな攻撃面になっている。サイバーセキュリティの国際会議「Black Hat USA 2025」でCrowdStrikeが最新の脅威動向を示した。（2025/9/19）

「言葉」が武器になる時代　プロンプトインジェクション成立の流れを徹底深堀り
近年、生成AIを標的にした新たな攻撃が続々と登場している。特に自然言語で巧妙に設計した入力（プロンプト）によって生成AIをハックするプロンプトインジェクションには要注意だ。この攻撃が成立する流れを徹底的に深堀りする。（2025/9/3）

Cybersecurity Dive：
AIエージェントの普及に“待った”？　研究者らが脆弱性を調査
Zenity Labsの専門家は、広く使われている生成AIを攻撃者が悪用し、データを窃取したり改ざんしたりできると証明した。研究において、各社のAIエージェントが露呈した脆弱性について確認しよう。（2025/8/23）

Cybersecurity Dive：
崩壊の危機は去ったが……　有識者が語るCVEプログラムが抱える構造的欠陥
製品の脆弱性情報を管理している共通脆弱性識別子（CVE）は、MITREと政府の間の契約に問題が発生し、2025年4月には閉鎖寸前にまで追い込まれた。この問題から有識者たちはCVEには構造的な欠陥があり、その解消が必要だと主張している。（2025/8/23）

セキュリティニュースアラート：
BitLockerを完全回避する4つのゼロデイが見つかる　Microsoftが発表
MicrosoftはBlack Hat USA 2025で、WinREの設計変更を悪用し、BitLockerを回避する4件のゼロデイ脆弱性を公開した。物理アクセスで認証不要の攻撃が可能とされている。（2025/8/14）

セキュリティニュースアラート：
Active Directory＋Entra ID構成にセキュリティリスク　研究者が報告
セキュリティ研究者がActive DirectoryとEntra IDのハイブリッド環境における新たな横展開手法を発表した。MFA回避や検知困難な権限奪取を可能にする設計上の脆弱性と、その対策の必要性を示している。（2025/8/13）

セキュリティニュースアラート：
BIOSに隠れて常駐する高度な新型マルウェア「Shade BIOS」の脅威
FFRIセキュリティの松尾和輝氏がBIOS上でOSに依存せず動作するマルウェア「Shade BIOS」についてBlack Hat USA 2025で発表する。Shade BIOSは、BIOSの環境をOS起動後も維持し、従来のUEFIマルウェアを超える検出困難な構造を持つ。（2025/8/6）

Cybersecurity Dive：
MicrosoftやCrowdStrikeらがサイバー攻撃者の分類方法を共同構築　その詳細は？
MicrosoftとCrowdStrike、Googleらはハッカーグループの関係を整理し、可視化するための共同プロジェクトを立ち上げた。これによって、脅威への迅速な対応の実現が期待されている。（2025/6/15）

車載セキュリティ：
コネクテッドカーの規制対応やセキュリティに欠かせない「SBOM」
VicOneは「コネクテッドカー規制とSBOM」をテーマにオンラインでセミナーを開いた。Astemo、ティアフォー、VicOneから出席した立場の異なる3人の登壇者が、コネクテッドカーに求められるセキュリティとソフトウェア部品表（SBOM）について語った。（2025/5/7）

ハードウェアハッカーが警鐘
Appleをだます“あの詐欺”の手口と危険性
ハードウェアの開発や製造の専門家が、高度な技術を持つ攻撃者を育成する土壌となり得るある詐欺を紹介した。誰もが引っかかる可能性があるその詐欺の内容は。（2025/5/9）

生成AIツールは無防備？
Copilotが危ない？　生成AIから「認証情報が盗まれる」手口が明らかに
生成AIツールの普及に伴って新しい脅威として広がりつつあるのが、プロンプトインジェクション攻撃だ。「Copilot」などの生成AIツールのどのような機能や欠点が狙われるのか。（2024/10/17）

ITmedia Security Week 2024 夏：
ググっても出てこない「サイバー攻撃者のAI活用」のリアル――AI時代の「アタックサーフェス」再定義
2024年8月30日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」における「アタックサーフェス管理」ゾーンで、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「攻撃者はAIを使ってここを狙う。今知るべき最新攻撃事情」と題して講演した。（2024/9/25）

Cybersecurity Dive：
進む顧客の“CrowdStrike離れ”　競合他社SentinelOneの需要拡大を後押しか
CrowdStrikeによるソフトウェアアップデートの不具合を原因とした世界的なIT障害発生後、顧客はリスク分散に向けてベンダーの分散を図っている。これは競合他社のSentinelOneやPalo Alto Networksにとって有利に働く可能性がある。（2024/9/16）

LLMのリスクが明らかに
「RAG」が特に危ない？　NVIDIAが指摘した生成AIの“2大脅威”
生成AIの利用が広がる中、大規模言語モデル（LLM）を狙った攻撃も活発になりつつある。NVIDIAの研究者が生成AIの“2大脅威”について語った。生成AIを安全に使うために知っておきたい点とは。（2024/9/12）

Cybersecurity Dive：
脅威グループに名前は必要か？　名付けることで懸念されるデメリット
脅威グループはあくまで防御側と同じで人間にすぎないが、セキュリティ業界では彼らに特有の名前を付けて特別な組織であるかのように扱ってしまう。この風潮に対して有識者たちがコメントした。（2024/8/29）

週末の「気になるニュース」一気読み！：
OSを古い状態へ巻き戻す「Windows Downdate」攻撃に注意喚起／延期されたAI機能「Recall」が10月公開へ
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月18日週を中心に公開された主なニュースを一気にチェックしましょう！（2024/8/25）

Innovative Tech：
Windowsを“古いバージョン”に戻す「ダウングレード攻撃」　修正済みの脆弱性をゼロデイ化、“最新の状態”を偽り検出も困難
イスラエルのサイバーセキュリティ企業の米SafeBreachの研究者は、セキュリティカンファレンス「Black Hat USA 2024」でWindowsアップデートプロセスを悪用してシステムを古い脆弱なバージョンに戻すダウングレード攻撃「Windows Downdate」を発表した。（2024/8/21）

セキュリティニュースアラート：
Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性　マルウェア検出機能を悪用
Microsoft DefenderとKaspersky EDRにリモートからのファイル削除を可能とする脆弱性が見つかった。この問題はセキュリティソフトウェアのマルウェア検出機能が悪用されている他、問題の完全な解決は困難だと研究者は指摘している。（2024/4/24）

ChatGPTプラグインではなく、GPTsの利用を推奨：
「ChatGPTプラグイン」の脆弱性についてセキュリティ研究者が開発者に警告
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。（2024/4/10）

“わざと自社にサイバー攻撃”のシナリオを自動生成するツール　三菱電機が開発　ペネトレーションテスト支援
三菱電機が「ペネトレーションテスト」のシナリオを自動生成するツール「CATSploit」（キャッツプロイト）を発表した。同様のツールは世界初という。（2023/12/5）

Cybersecurity Dive：
“Go言語”がランサムウェア攻撃者にとって“食える言語”である理由
SentinelOneの研究者によると、サイバー攻撃者はWindowsやLinux、ESXiに対する攻撃のためにRustやGoのようなプログラミング言語を使用している。（2023/10/7）

脆弱性「組み合わせ」でSAP攻撃【前編】
SAP製品を狙った“深刻な手口”が判明　複数ツールの脆弱性を悪用か
既知の脆弱性をうまく組み合わせれば、SAP製品への攻撃ができると、セキュリティベンダーOnapsisは警鐘を鳴らす。同社が発見した恐ろしい攻撃手法とは何か。（2023/10/4）

CPU脆弱性「Downfall」の危険性と対策【第1回】
Intel製CPUの危険な脆弱性「Downfall」とは？　あのMeltdownの“再来”か
Googleが発見した「Downfall」は、2018年に公開した「Spectre」「Meltdown」に続くIntel製CPUの脆弱性だ。Downfallは、何が危険なのか。発見者であるGoogleの研究者が明かす。（2023/9/27）

半径300メートルのIT：
パスワードの使い回しはNGで“ちょっと変えても”意味がない　ではどうする？
このコラムではパスワードの使い回しはNGだと口が酸っぱくなるまで言っています。では、ちょっと変更すれば問題ないのかというと、そうでもないようで……一体どうすればいいのでしょうか。（2023/9/26）

Cybersecurity Dive：
サイバーセキュリティの「基本」は意外と“ムズい”　何からやるべきか
基本的なサイバーセキュリティ対策を怠った結果、情報漏えいやサイバー攻撃の被害に遭うケースが後を絶たない。しかし、セキュリティの「基本」は思っているより難しいようだ。（2023/9/23）

Cybersecurity Dive：
AWSユーザーが“やりがち”なセキュリティ上のミスとは？　同社のCISOが語る
パブリッククラウド利用を進める上で、セキュリティの観点から注意すべきことは何か。AWSのCISO室のディレクターが顧客が“やりがちなミス”を明らかにした。（2023/9/23）

Cybersecurity Dive：
「ムダだった」と思わないために　脅威インテリジェンスにお金を払う前にすべきこと
脅威インテリジェンスを有効に活用して防御を構築するためには、まず何から始めればいいのだろうか。組織及びCISOがやるべきことをまとめた。（2023/9/17）

Cybersecurity Dive：
攻撃者から優位性を取り戻せ　開発運用における“4つの極意”
サイバーセキュリティ業界において、攻撃者と防御者のいたちごっこが続く中、防御側が優位に立つためにはどうすればいいのか。（2023/9/17）

Innovative Tech：
テスラ車の有料機能を“タダ”で使うサイバー攻撃　ドイツの研究者らが発表
ドイツのベルリン工科大学などに所属する研究者らは、テスラ（Tesla）をハッキングし、有料機能をアンロックするなどの攻撃が行える脆弱性を提案した研究報告を発表した。（2023/8/21）

Innovative Tech：
カジノの“カードシャッフルマシン”を不正操作するサイバー攻撃　小型機器をUSBに差し込むだけ
サイバーセキュリティ会社の米IOActiveに所属する研究者らは、カジノのカードシャッフルマシンをハッキングする手法を発表した。（2023/8/16）

自分のマルウェアに感染して情報漏えい　サイバー犯罪者の正体がバレる
イスラエルの脅威情報企業Hudson Rockは、自身のマルウェアに感染したサイバーセキュリティ脅威者「La_Citrix」の正体を特定したと報じた。今後同様の事例の増加する可能性が指摘されている。（2023/7/21）

半径300メートルのIT：
筆者がオススメする次のプライムデーで買うべき、“セキュリティツール3選”
今回のコラムでは、個人のセキュリティ対策で役立つ買い物を3つピックアップしたいと思います。ぜひ次のプライムデーで購入を検討してみてはいかがでしょうか。（2023/7/18）

Innovative Tech：
工場出荷前に数百万台のスマホがすでにマルウェアに感染　Trend Microが発表　安価なAndroid端末が対象
Trend Microの研究者らは、5月に開催したセキュリティイベントで「舞台裏：犯罪企業が数百万台のモバイル機器を事前に感染させる方法」という講演を行った。（2023/5/23）

どうなった「Exchange Server」の“あの脆弱性”【第3回】
消えないExchange Server脆弱性「ProxyLogon」の脅威　パッチがあるのになぜ？
「ProxyLogon」は始まりにすぎなかった。2020年末からMicrosoftの「Exchange Server」に見つかった脆弱性は、ProxyLogonだけではない。（2023/2/17）

ウクライナ政府の「対ロシア」セキュリティ対策【後編】
ロシアのサイバー攻撃に全力対抗　ウクライナが生かした“準備期間”とは
ウクライナは活発化するロシアのサイバー攻撃にさらされながらも、抵抗を続けている。その背景には、ウクライナ政府にとっての“準備期間”の存在があるという。どういうことなのか。（2023/1/11）

組み込み開発 年間ランキング2022：
半導体不足にも光明が？ 問題企業の立て直しを目指すおじさんに頑張ってほしい
2022年に公開したMONOist組み込み開発フォーラムの記事をランキング形式で振り返る。1位に輝いたのは、2021年も1位になった半導体不足の記事でしたが、問題解消に向けた光明も見えつつあります。（2022/12/28）

CODE BLUE 2022レポート：
脅威ハンティングのプロが語る、6つの“残念な”セキュリティ事例
2022年10月27〜28日にCODE BLUE 2022が開催された。本稿は、IBM X-Forceのニール・ワイラー氏による基調講演の様子をレポートする。同氏の講演からは6つの残念なセキュリティ事例と推奨される7つの対策が明らかになった。（2022/11/16）

Black Hatでハードウェアハック！（2）：
BadUSBを赤外線リモコンで遠隔操作する「IR-BadUSB」
筆者の今岡通博氏がハッカーの祭典「Black Hat」に投稿した、ハードウェアの改変を中心にしたハッキングの事例を紹介する本連載。第2回は、赤外線リモコンを使ってBadUSBを遠隔操作する「IR-BadUSB」だ。（2022/9/21）

Black Hatでハードウェアハック！（1）：
LANケーブルから直接パケットを取得するワイヤタッピングプローブ
筆者の今岡通博氏がハッカーの祭典「Black Hat」に投稿した、ハードウェアの改変を中心にしたハッキングの事例を紹介する本連載。第1回は、LANケーブルからのスニッフィング（パケット取得）を可能とする「LANケーブルから直接パケットを取得するワイヤタッピングプローブ」だ。（2022/8/31）

ペネトレーションテストのためのPython【後編】
「Python」だけじゃなく「JavaScript」「Go」「Ruby」を学ぶべき理由
「Python」はペネトレーションテスト担当者が学ぶのに適したプログラミング言語だと専門家は主張する。Python以外にも目を向けるべきコンピュータ言語や、学習を継続させるために重要なこととは。（2022/2/9）

ペネトレーションテストのためのPython【中編】
「Python 3」と「Python 2」の“決定的な違い”とは？
「Python 2」と「Python 3」にはさまざまな違いがある。ペネトレーションテストでの「Python」活用を推奨する有識者が、特筆すべき両者の違いを解説する。（2022/2/2）

ペネトレーションテストのためのPython【前編】
初めてのプログラミングには「Python」を選ぶべき“セキュリティ的な理由”
ペネトレーションテスト担当者にとって、「Python」は優先して習得すべきプログラミング言語だと専門家は推奨する。それはなぜなのか。そもそもPythonは学びやすいのか。（2022/1/26）

「OWASP API Security Top 10」に沿ったテストができる：
APIセキュリティについて学習できるオープンソースラボ環境「vAPI」、なぜ必要なのか
「OWASP API Security Top 10」に含まれるAPIの脆弱性の挙動を観察できるオープンソースツール「vAPI」が登場した。どのように役立つのだろうか。（2022/1/24）

クラウドサービスの脆弱性にCVEは必要か【第4回】
クラウドセキュリティ団体CSAトップが語る「脆弱性公開の仕組み」に必要な2条件
クラウドサービスの脆弱性が見えにくい現状を打破するため、セキュリティ専門家がクラウドサービスの脆弱性公開の枠組みを考案した。その要件とは何か。どのようなメリットをもたらすのか。（2021/12/28）

「Pwn2Own Austin 2021」レポート
ハッキング大会で攻撃がことごとく成功してしまった“不名誉”なIT製品とは？
ハッキング技術コンテスト「Pwn2Own Austin 2021」では、セキュリティ研究者が名声と賞金を懸け、NASやスマートフォン、ルーター、プリンタなどのデバイスの攻撃に挑戦した。どのような結果になったのか。（2021/12/25）

IIJがセキュリティスペシャリストを育成する「IIJセキュリティ教習所」を開設
IIJが「IIJセキュリティ教習所」を開設する。インシデントが発生時の判断、対処能力を備えたセキュリティスペシャリストを育成する。（2021/12/21）

Exchange「Autodiscover」の脆弱性とは【後編】
「Exchange」の脆弱性公開の裏で起きていた“ある論争”とは？
Guardicoreは、Microsoftの「Exchange Server」「Exchange Online」の機能に脆弱性が存在することを報告した。その報告を受けてMicrosoftとGuardicoreの間には、ある“論争”が起こった。何が起きたのか。（2021/11/9）

Exchange「Autodiscover」の脆弱性とは【中編】
「Exchange Server」「Exchange Online」の情報漏えいを防ぐ2つの対策
「Exchange Server」「Exchange Online」の自動設定検出機能「Autodiscover」の脆弱性は、情報漏えいを招く恐れがある。この問題を指摘したGuardicoreは、どのような対策を呼び掛けているのか。（2021/11/2）

セキュリティの敵「アクションバイアス」の正体と回避策【後編】
「サイバー攻撃を二度と受けない」が“最悪の目標”であるこれだけの根拠
強いストレスを感じる状況に置かれ、すぐに行動する衝動を抑え切れない「アクションバイアス」。企業はサイバー攻撃を受けたとき、どうすればアクションバイアスを避け、冷静に対処できるのか。（2021/9/27）