「ブルートフォース攻撃」関連の最新 ニュース・レビュー・解説 記事 まとめ

“全パスワードを一括管理”の落とし穴：
「パスワード管理ツール」の安全性を揺るがす6つのリスク、ESETが指摘
1人のユーザーが利用するパスワードが多岐にわたる中、パスワード管理ツールの利用が推奨されることがある。だがESETは、パスワード管理ツール自体が侵害されることがあるとして警鐘を鳴らした。（2025/11/27）

パスワード管理を安全に進める
あなたのPW、狙われている――パスワードマネジャーの「6つの落とし穴」
複数のパスワードを安全かつ効率的に管理するパスワードマネジャーだが、その利便性と裏腹に、セキュリティのリスクも指摘されている。リスクや対策を紹介する。（2025/11/19）

攻撃者の3分の1は比較的単純な手口を用いる：
ランサムウェア攻撃が相次ぐ今、100兆件超の兆候を分析したMicrosoftが10のセキュリティ対策を提言
Microsoftはサイバーセキュリティ動向に関する年次レポート「Microsoft Digital Defense Report 2025」を公開した。サイバー攻撃の現状、主要な標的、国家が関与する攻撃の脅威、AI活用の動向に焦点を当て、組織に求められる10の取り組みを紹介したものだ。（2025/10/21）

セキュリティニュースアラート：
まだまだ対策として現役　強力なパスワードをつくるための“3つのルール”とは？
AIの進化によってサイバー攻撃が高度化しているが、依然としてパスワードは第一の防衛線として機能している。人が弱いパスワードを使用してしまう背景と、強力なパスワードを作成する“3つのルール”を解説する。（2025/10/8）

通知メール操作、ブルートフォース攻撃、不正アクセスの可能性：
VMware vCenter/NSXに重大な脆弱性、Broadcomが修正版を公開
影響はVMware Cloud FoundationやTelco Cloudにも。（2025/10/1）

セキュリティニュースアラート：
VPS悪用によるフィッシングが活発化　SaaS環境で被害拡大の恐れ
Darktraceは、VPSを悪用したSaaSアカウント侵害事例を報告した。HyonixなどのVPS経由で不審ログインや受信トレイルール不正操作、フィッシング隠ぺいなどが確認されているという。これに対処するにはどうすればいいのか。（2025/8/28）

詐欺電話や迷惑電話ともおさらばできる!?　次期バージョン「iOS 26」で電話対応が劇的に変わる理由
iPhoneに採用される次期バージョン「iOS 26」で、新たな「安全・安心」機能が追加される。一足先に内容を見ていこう。（2025/8/20）

MFA認証要素の違いと設計方法【前編】
本当に安全な「多要素認証」とは？　MFA基本要素と巧妙化する攻撃への対抗手段
巧妙化する攻撃からアカウントを守るには、認証要素の強弱を押さえた上で多要素認証（MFA）を設計することが重要だ。MFAの主要認証要素の比較や、フィッシング耐性のあるMFAについて解説する。（2025/8/12）

コンピュータにおけるビットとは何か【前編】
「０」と「１」で世界が動く　すべての始まり“ビット”の正体
コンピュータが扱う最小の情報単位「ビット」は、0と1の組み合わせによって数値や文字、画像、音声などあらゆるデータを表現する。2進数の基本原理から活用例まで、ビットの重要性を解説する。（2025/7/27）

ルーターを基本から理解する【第4回】
「放置状態のルーター」はなぜ危ない？　狙われる“4つの侵入口”
ルーターは、家庭から企業まであらゆるネットワークに欠かせない機器だが、利便性の裏に見逃せないセキュリティリスクが潜んでいることには注意が必要だ。特に対策が必要な点は何か。（2025/7/19）

止まらないクレカ不正利用、今必要な対策：
自社に合った“クレカ不正ログイン対策”はどれ？　メリデメ徹底解説
クレジットカードの不正利用被害が激増している今、EC事業者は自社に合った適切な不正ログイン対策や不正利用対策を講じることが重要です。今回は代表的な不正ログイン対策のメリット／デメリットを徹底解説します。（2025/7/14）

連載：海外製パワコンは本当に危険なのか？（2）：
太陽光発電へのサイバー攻撃で大規模停電は可能？　技術的脅威の実態と検証可能性
太陽光発電のセキュリティ課題について、技術的・実務的な観点から検証していく本連載。第2回の今回は、ちまたで噂されるパワコンの「隠された通信機能」と、太陽光発電へのサイバー攻撃による大規模停電の可能性について検証していきます。（2025/7/11）

74％の企業が「APIファースト」を採用：
APIセキュリティ徹底ガイド　脅威に備えるための「13の実践ポイント」を解説
TechTargetは「APIセキュリティのベストプラクティス」に関する記事を公開した。APIセキュリティを確保するために有用な13個の施策を紹介している。（2025/7/3）

総当たり攻撃の痕跡や、システム更新不備が判明──1カ月ぶり復旧の滋賀県立図書館公式サイト、原因調査の結果を公開
滋賀県教育委員会は7月1日、不正アクセスによる改ざんを受けて5月末から閉鎖している県立図書館のWebサイトについて、調査結果を公表した。管理用IDへの総当たり攻撃の痕跡や、システム更新の不備が確認されたといい、システムの再構築とセキュリティ対策の強化を実施した。Webサイトは7月2日午前10時に再開する。（2025/7/1）

パスワードは安全か【前編】
いまさら聞けない「パスワード」　やってはいけない設定は？
パスワードは、デバイスやアプリケーション、Webサイトに安全にアクセスするために欠かせない手段だ。業務にも生活にも欠かせないパスワードについて、その基本や安全に利用するこつを解説する。（2025/6/25）

セキュリティニュースアラート：
Microsoft 365、セキュリティ強化で旧式認証を遮断へ　2025年7月から適用
Microsoftは2025年7月から、Microsoft 365においてRPSやFPRPCといった旧式認証方式を遮断し、サードパーティー製アプリのアクセス制御も強化すると発表した。組織への影響はどのくらいあるのか。（2025/6/22）

パスキーに期待し過ぎはダメ？
パスワード不要の「パスキー」のメリットと“見過ごせない注意点”を解説
パスワードを使わずに認証できるパスキー。セキュリティやユーザー体験（UX）にメリットがある一方で、課題もある。どのようなものか。（2025/6/17）

物理的な攻撃にも発展
ロシアの「Fancy Bear」が標的にするMicrosoft製品とは？　被害拡大を狙う手口
ロシア政府が首謀するとみられるサイバー攻撃集団の標的が拡大し、物理的な損害にまで発展していることを、米英他20を超える政府機関が共同勧告で明らかにした。サイバー攻撃集団の狙いと、その“定番”の手口とは。（2025/6/18）

高性能なコンピューティングの現状と未来【中編】
「スーパーコンピュータ」と「量子コンピュータ」でできる“問題解決”の違い
いずれスーパーコンピュータの計算能力を大幅に上回る可能性を秘める量子コンピュータ。両者は何が違うのか。用途の観点から解説する。（2025/6/3）

破られにくいパスフレーズ入門【後編】
パスワードより安全で覚えやすい「パスフレーズ」の作り方
パスワードは長く複雑にするほど、覚えにくいといった課題がある。パスフレーズを使用することで、こうした従来型パスワードの課題を克服できる可能性がある。どのように作ればいいのか。（2025/5/19）

破られにくいパスフレーズ入門【前編】
“複雑なパスワード”より「パスフレーズ」を専門家が勧める理由
サービスを安全に使うために長くて複雑なパスワードは欠かせない。だが、パスワードに長さや複雑さを求めるとさまざまな問題が生じる。そうした中で注目されているパスフレーズとは。（2025/5/12）

セキュリティニュースアラート：
Nmap 7.96がリリース　ドメイン名の名前解決が49時間から1時間へと劇的高速化
ポートスキャンツールNmapの最新版「Nmap 7.96」がリリースされた。今回のアップデートでは、DNS処理の並列化によりスキャン速度が大幅に向上し、従来49時間かかっていた100万件のドメイン名の名前解決がが約1時間で完了するようになったという。（2025/5/10）

セキュリティニュースアラート：
修正済みのWindows脆弱性を悪用　NTLMの欠陥を悪用する攻撃が急増中
Check Point Researchは、WindowsのNTLM認証に関連する脆弱性（CVE-2025-24054）が既に悪用されていると報告した。パッチ公開後わずか8日で複数のターゲットを狙った攻撃が確認されている。（2025/4/24）

企業の意外な盲点
ランサムウェアの半数以上が“あの侵入経路”を悪用――見過ごされたリスクとは？
サイバー保険会社Coalitionの調査レポートによると、ランサムウェア攻撃の侵入経路には”ある傾向”が見られたという。攻撃のトレンドや、ますます高まる脅威リスクへの備え方と併せて解説する。（2025/4/10）

Cybersecurity Dive：
ランサムウェア集団の内情暴露　彼らが開発した“ヤバいフレームワーク”の実態
ランサムウェアグループBlack Bastaのプライベートなチャットログが流出し、その内情が明らかになった。彼らはVPNなどに使われている脆弱なパスワードを推測する自動化フレームワークを開発していたという。（2025/3/28）

メールをセキュリティの弱点にしない【前編】
パスワードに“複雑さ”は不要だった？　メールセキュリティの基本的な対策5選
安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。（2025/3/26）

Cybersecurity Dive：
3万台以上の大規模botネットがDDoS攻撃を開始　有効な3つの防御策
Nokia DeepfieldとGreyNoiseの研究者たちは、botネット「Eleven11bot」が3万台以上のデバイスを含む規模に成長していると警告した。このbotネットはDDoS攻撃に使用されているという。防御に向けた3つの対策を紹介する。（2025/3/19）

今日から始めるMicrosoft Entra ID入門（5）：
安全なID管理を実現するための第一歩……Microsoft Entra IDで「パスワード」を管理する方法
「Microsoft Entra ID」は、Microsoftのクラウドサービスを利用する際に欠かせないIDおよびアクセス管理サービスです。今回は、デジタル時代において依然として多くのシステムやサービスで利用される主要な認証手段「パスワード」の管理について解説します。（2025/3/11）

英数字だけでは安全性に限界：
PR：弱点だらけの「パスワード」、まだ使い続けますか？　楽で強固な代替手段を解説
パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。（2025/3/3）

“面倒くささ”こそが最大の敵：
PR：パスワード地獄から脱却しよう　ユーザーと情シスの負担を低減する代替策
パスワードによる認証は広く普及しているものの、利便性の観点からユーザーと情シスに負担がかかっている。これを脱却するには人間の根本に潜む“面倒くささ”をいかに解消するかが重要だ。本稿で適切な代替手段を紹介する。（2025/2/21）

セキュリティニュースアラート：
Azureを標的にした新型ブルートフォース攻撃を確認　fasthttpを悪用
SpearTipは「fasthttp」ライブラリがブルートフォース攻撃やMFAスパムに悪用されていると報告した。特にAzure Active Directory Graph APIが標的となっていることが判明している。（2025/1/17）

製造セキュリティの最前線（6）：
「パスワード」はIoT／OT環境でもまだ安全？　強固な防御実現に必要な対策
最も身近なセキュリティ対策手法である「パスワード」。しかし、製造業でIoTとOTシステムの統合が進むなか、果たしてパスワードは十分な安全性を提供し続けてくれるでしょうか。（2024/12/20）

最新サーバOSを最大限に活用するために：
PR：移行から構築、運用、保守まで――中堅中小企業のサーバにまつわる「お困りごと」をワンストップで解決
「Windows Server 2025 」がリリースされたが、サーバ運用担当者はどのような進化や新機能に着目すべきなのか。また、企業のあらゆる「お困りごと」をITの力で解決することを目指す大塚商会では、どのようなサポートを提供するのか。（2024/12/16）

月間セキュリティニュース：
クレジットカードを少額で不正利用？　その狡かつな手口【セキュリティニュースまとめ】
2024年11月は、Androidユーザーを狙うマルウェアやEDR製品による検知を回避する技術、クレジットカードの不正利用など最新の攻撃手法などが話題を集めた。前月の注目ニュースを一気に振り返る。（2024/12/3）

Innovative Tech：
ロシアのハッカー、ターゲットの建物に“隣人のWi-Fi経由”で侵入　攻撃元は数千km離れた場所　ウクライナ侵攻直前に実行
サイバーセキュリティ企業の米Volexityは、ロシアのハッカー集団「GruesomeLarch」（APT28、Forest Blizzard、Sofacyなどの別名を持つ）が、標的に物理的に近接するWi-Fiネットワークを悪用する新しい攻撃手法を展開していたこと発表した。（2024/12/2）

Tech TIPS：
その筋のプロが勧める簡単で強力なパスワードの作り方
パスワードが破られると、大変なことになるという認識は多くの人が共有していると思う。破られにくい「強力なパスワード」を設定するのがよいのは分かっているが、実際には難しいと感じているのではないだろうか。そこで、本Tech TIPSでは、セキュリティベンダーやサイバーセキュリティの専門家が推奨する「強力なパスワード」の作り方を簡単に解説する。（2024/11/29）

セキュリティニュースアラート：
FortiClient VPNサーバに見つかった“ヤバい問題”　Fortinetは脆弱性と認めず
FortiClient VPNサーバから認証成功ログを記録しない問題が発見された。この欠陥はFortinetに報告されたが脆弱性として認められていない。この問題を悪用されるとどのようなリスクが生じるのか。（2024/11/26）

ランサムウェア被害対応の専門家とpiyokango氏が議論：
増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
ランサムウェア感染をはじめとするサイバー攻撃に日頃からどう備えておくべきなのか。年間数百件の相談に対応してきたYONAの三国貴正氏や、セキュリティブログ「piyolog」で知られるpiyokango氏が、現実的で実効性のあるインシデント対応をどう進めるべきか、語り合った。（2024/11/22）

Cybersecurity Dive：
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性　積極的な悪用を確認済み
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性が見つかった。既にこの脆弱性は積極的に悪用されていることが分かっている。この他のVPN製品についても脆弱性を狙った攻撃が増加しており注意が必要だ。（2024/11/11）

高度なセキュリティ、性能向上、クラウドの俊敏性を実現：
「Windows Server 2025」一般提供開始　セキュリティを強化し、サーバ運用を効率化する新機能とは？
Microsoftは、Windows Serverの最新バージョンとなる「Windows Server 2025」の一般提供を開始した。（2024/11/8）

アカウントパスワードを推測し窃取：
MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告　検知／防御方法は？
Microsoftは、Active Directoryの認証情報を盗むことを目的としたサイバー攻撃、Kerberoasting攻撃とその対策について解説するブログエントリを公開した。（2024/10/28）

Cybersecurity Dive：
アカウントを奪われたら“打つ手なし”？　イランの攻撃者の“巧妙すぎる手口”
FBIやCISAらはイランのサイバー攻撃者の攻撃手法について注意喚起を促した。攻撃者らはブルートフォース手法を使ってユーザーのサービスアカウントを窃取した後、正規のユーザーがアクセスできないような巧妙な仕掛けを施すという。（2024/10/27）

セキュリティニュースアラート：
IBMがクラウドセキュリティ調査を公開　最も警戒が必要な攻撃は何か？
IBMは「2024 IBM X-Force Cloud Threat Landscape Report」を公開し、クラウドインフラを狙うサイバー攻撃について解説した。最も注意すべき攻撃は何か。（2024/10/17）

セキュリティニュースアラート：
CTCが委託先のランサムウェア被害について詳細を報告　侵入の原因とは？
伊藤忠テクノソリューションズは2024年8月13日に公表した同社における一部業務の委託先がランサムウェア被害に遭った件について詳細を報告した。委託先が管理するPCへの不正アクセスは発生したものの、情報漏えいの痕跡はなかったという。（2024/10/9）

セキュリティニュースアラート：
Cloudflareが最新の脅威インテリジェンス機能を無償で提供　対象製品・機能は？
Cloudflareは全てのユーザーに対して無償で提供する脅威インテリジェンスおよびセキュリティ機能を発表した。ユーザーはSASEソリューションやWebセキュリティ機能などを活用できる。（2024/9/26）

PR：PCでできるサイバー攻撃対策が重要な理由
（2024/8/26）

ITmedia Security Week 2024 春：
名和利男氏が83もの“多種多様な”アイデンティティー（ID）不正取得手法を紹介した理由
「ITmedia Security Week 2024 春」の「多要素認証から始めるID管理・統制」ゾーンで、サイバーディフェンス研究所などに所属する名和利男氏が「脅威アクターが関心を急激に高める『標的のアイデンティティー』」と題して講演した。本稿では、アイデンティティー（ID）が狙われる背景、83もの代表的な不正取得手法、取得したIDの用途、現状から得られる教訓などを紹介する。（2024/8/20）

Cybersecurity Dive：
サイバー攻撃の初期アクセス経路の約半数は脆弱な認証情報を狙っている
Google Cloudのレポートによると、2024年の上半期におけるクラウド環境への攻撃の最初のアクセス経路として最も多かったのは、認証情報に対する誤った管理を原因とするものだった。（2024/8/10）

macOSの脅威と保護方法【後編】
Macを守るならどれ？　macOS向け「アンチマルウェア」6選
「macOS」を狙った攻撃に備えるためにマルウェア対策ツールが必要だが、何を選べばいいか分からない――。そんな組織のために、マルウェア対策ツール6製品を選んだ。（2024/7/19）

組み込みストレージの保護：
e.MMCが提供する5つのセキュリティ機能
e.MMC（embedded Multi Media Card）は、NANDフラッシュメモリとメモリを制御するコントローラーをワンパッケージ化した小型ストレージ製品です。本稿では、e.MMC 5.1デバイスが提供するセキュリティ機能について紹介します。（2024/7/2）