「ブルートフォース攻撃」関連の最新 ニュース・レビュー・解説 記事 まとめ

連載：海外製パワコンは本当に危険なのか？（2）：
太陽光発電へのサイバー攻撃で大規模停電は可能？　技術的脅威の実態と検証可能性
太陽光発電のセキュリティ課題について、技術的・実務的な観点から検証していく本連載。第2回の今回は、ちまたで噂されるパワコンの「隠された通信機能」と、太陽光発電へのサイバー攻撃による大規模停電の可能性について検証していきます。（2025/7/11）

74％の企業が「APIファースト」を採用：
APIセキュリティ徹底ガイド　脅威に備えるための「13の実践ポイント」を解説
TechTargetは「APIセキュリティのベストプラクティス」に関する記事を公開した。APIセキュリティを確保するために有用な13個の施策を紹介している。（2025/7/3）

総当たり攻撃の痕跡や、システム更新不備が判明──1カ月ぶり復旧の滋賀県立図書館公式サイト、原因調査の結果を公開
滋賀県教育委員会は7月1日、不正アクセスによる改ざんを受けて5月末から閉鎖している県立図書館のWebサイトについて、調査結果を公表した。管理用IDへの総当たり攻撃の痕跡や、システム更新の不備が確認されたといい、システムの再構築とセキュリティ対策の強化を実施した。Webサイトは7月2日午前10時に再開する。（2025/7/1）

パスワードは安全か【前編】
いまさら聞けない「パスワード」　やってはいけない設定は？
パスワードは、デバイスやアプリケーション、Webサイトに安全にアクセスするために欠かせない手段だ。業務にも生活にも欠かせないパスワードについて、その基本や安全に利用するこつを解説する。（2025/6/25）

セキュリティニュースアラート：
Microsoft 365、セキュリティ強化で旧式認証を遮断へ　2025年7月から適用
Microsoftは2025年7月から、Microsoft 365においてRPSやFPRPCといった旧式認証方式を遮断し、サードパーティー製アプリのアクセス制御も強化すると発表した。組織への影響はどのくらいあるのか。（2025/6/22）

パスキーに期待し過ぎはダメ？
パスワード不要の「パスキー」のメリットと“見過ごせない注意点”を解説
パスワードを使わずに認証できるパスキー。セキュリティやユーザー体験（UX）にメリットがある一方で、課題もある。どのようなものか。（2025/6/17）

物理的な攻撃にも発展
ロシアの「Fancy Bear」が標的にするMicrosoft製品とは？　被害拡大を狙う手口
ロシア政府が首謀するとみられるサイバー攻撃集団の標的が拡大し、物理的な損害にまで発展していることを、米英他20を超える政府機関が共同勧告で明らかにした。サイバー攻撃集団の狙いと、その“定番”の手口とは。（2025/6/18）

高性能なコンピューティングの現状と未来【中編】
「スーパーコンピュータ」と「量子コンピュータ」でできる“問題解決”の違い
いずれスーパーコンピュータの計算能力を大幅に上回る可能性を秘める量子コンピュータ。両者は何が違うのか。用途の観点から解説する。（2025/6/3）

破られにくいパスフレーズ入門【後編】
パスワードより安全で覚えやすい「パスフレーズ」の作り方
パスワードは長く複雑にするほど、覚えにくいといった課題がある。パスフレーズを使用することで、こうした従来型パスワードの課題を克服できる可能性がある。どのように作ればいいのか。（2025/5/19）

破られにくいパスフレーズ入門【前編】
“複雑なパスワード”より「パスフレーズ」を専門家が勧める理由
サービスを安全に使うために長くて複雑なパスワードは欠かせない。だが、パスワードに長さや複雑さを求めるとさまざまな問題が生じる。そうした中で注目されているパスフレーズとは。（2025/5/12）

セキュリティニュースアラート：
Nmap 7.96がリリース　ドメイン名の名前解決が49時間から1時間へと劇的高速化
ポートスキャンツールNmapの最新版「Nmap 7.96」がリリースされた。今回のアップデートでは、DNS処理の並列化によりスキャン速度が大幅に向上し、従来49時間かかっていた100万件のドメイン名の名前解決がが約1時間で完了するようになったという。（2025/5/10）

セキュリティニュースアラート：
修正済みのWindows脆弱性を悪用　NTLMの欠陥を悪用する攻撃が急増中
Check Point Researchは、WindowsのNTLM認証に関連する脆弱性（CVE-2025-24054）が既に悪用されていると報告した。パッチ公開後わずか8日で複数のターゲットを狙った攻撃が確認されている。（2025/4/24）

企業の意外な盲点
ランサムウェアの半数以上が“あの侵入経路”を悪用――見過ごされたリスクとは？
サイバー保険会社Coalitionの調査レポートによると、ランサムウェア攻撃の侵入経路には”ある傾向”が見られたという。攻撃のトレンドや、ますます高まる脅威リスクへの備え方と併せて解説する。（2025/4/10）

Cybersecurity Dive：
ランサムウェア集団の内情暴露　彼らが開発した“ヤバいフレームワーク”の実態
ランサムウェアグループBlack Bastaのプライベートなチャットログが流出し、その内情が明らかになった。彼らはVPNなどに使われている脆弱なパスワードを推測する自動化フレームワークを開発していたという。（2025/3/28）

メールをセキュリティの弱点にしない【前編】
パスワードに“複雑さ”は不要だった？　メールセキュリティの基本的な対策5選
安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。（2025/3/26）

Cybersecurity Dive：
3万台以上の大規模botネットがDDoS攻撃を開始　有効な3つの防御策
Nokia DeepfieldとGreyNoiseの研究者たちは、botネット「Eleven11bot」が3万台以上のデバイスを含む規模に成長していると警告した。このbotネットはDDoS攻撃に使用されているという。防御に向けた3つの対策を紹介する。（2025/3/19）

今日から始めるMicrosoft Entra ID入門（5）：
安全なID管理を実現するための第一歩……Microsoft Entra IDで「パスワード」を管理する方法
「Microsoft Entra ID」は、Microsoftのクラウドサービスを利用する際に欠かせないIDおよびアクセス管理サービスです。今回は、デジタル時代において依然として多くのシステムやサービスで利用される主要な認証手段「パスワード」の管理について解説します。（2025/3/11）

英数字だけでは安全性に限界：
PR：弱点だらけの「パスワード」、まだ使い続けますか？　楽で強固な代替手段を解説
パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。（2025/3/3）

“面倒くささ”こそが最大の敵：
PR：パスワード地獄から脱却しよう　ユーザーと情シスの負担を低減する代替策
パスワードによる認証は広く普及しているものの、利便性の観点からユーザーと情シスに負担がかかっている。これを脱却するには人間の根本に潜む“面倒くささ”をいかに解消するかが重要だ。本稿で適切な代替手段を紹介する。（2025/2/21）

セキュリティニュースアラート：
Azureを標的にした新型ブルートフォース攻撃を確認　fasthttpを悪用
SpearTipは「fasthttp」ライブラリがブルートフォース攻撃やMFAスパムに悪用されていると報告した。特にAzure Active Directory Graph APIが標的となっていることが判明している。（2025/1/17）

製造セキュリティの最前線（6）：
「パスワード」はIoT／OT環境でもまだ安全？　強固な防御実現に必要な対策
最も身近なセキュリティ対策手法である「パスワード」。しかし、製造業でIoTとOTシステムの統合が進むなか、果たしてパスワードは十分な安全性を提供し続けてくれるでしょうか。（2024/12/20）

最新サーバOSを最大限に活用するために：
PR：移行から構築、運用、保守まで――中堅中小企業のサーバにまつわる「お困りごと」をワンストップで解決
「Windows Server 2025 」がリリースされたが、サーバ運用担当者はどのような進化や新機能に着目すべきなのか。また、企業のあらゆる「お困りごと」をITの力で解決することを目指す大塚商会では、どのようなサポートを提供するのか。（2024/12/16）

月間セキュリティニュース：
クレジットカードを少額で不正利用？　その狡かつな手口【セキュリティニュースまとめ】
2024年11月は、Androidユーザーを狙うマルウェアやEDR製品による検知を回避する技術、クレジットカードの不正利用など最新の攻撃手法などが話題を集めた。前月の注目ニュースを一気に振り返る。（2024/12/3）

Innovative Tech：
ロシアのハッカー、ターゲットの建物に“隣人のWi-Fi経由”で侵入　攻撃元は数千km離れた場所　ウクライナ侵攻直前に実行
サイバーセキュリティ企業の米Volexityは、ロシアのハッカー集団「GruesomeLarch」（APT28、Forest Blizzard、Sofacyなどの別名を持つ）が、標的に物理的に近接するWi-Fiネットワークを悪用する新しい攻撃手法を展開していたこと発表した。（2024/12/2）

Tech TIPS：
その筋のプロが勧める簡単で強力なパスワードの作り方
パスワードが破られると、大変なことになるという認識は多くの人が共有していると思う。破られにくい「強力なパスワード」を設定するのがよいのは分かっているが、実際には難しいと感じているのではないだろうか。そこで、本Tech TIPSでは、セキュリティベンダーやサイバーセキュリティの専門家が推奨する「強力なパスワード」の作り方を簡単に解説する。（2024/11/29）

セキュリティニュースアラート：
FortiClient VPNサーバに見つかった“ヤバい問題”　Fortinetは脆弱性と認めず
FortiClient VPNサーバから認証成功ログを記録しない問題が発見された。この欠陥はFortinetに報告されたが脆弱性として認められていない。この問題を悪用されるとどのようなリスクが生じるのか。（2024/11/26）

ランサムウェア被害対応の専門家とpiyokango氏が議論：
増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
ランサムウェア感染をはじめとするサイバー攻撃に日頃からどう備えておくべきなのか。年間数百件の相談に対応してきたYONAの三国貴正氏や、セキュリティブログ「piyolog」で知られるpiyokango氏が、現実的で実効性のあるインシデント対応をどう進めるべきか、語り合った。（2024/11/22）

Cybersecurity Dive：
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性　積極的な悪用を確認済み
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性が見つかった。既にこの脆弱性は積極的に悪用されていることが分かっている。この他のVPN製品についても脆弱性を狙った攻撃が増加しており注意が必要だ。（2024/11/11）

高度なセキュリティ、性能向上、クラウドの俊敏性を実現：
「Windows Server 2025」一般提供開始　セキュリティを強化し、サーバ運用を効率化する新機能とは？
Microsoftは、Windows Serverの最新バージョンとなる「Windows Server 2025」の一般提供を開始した。（2024/11/8）

アカウントパスワードを推測し窃取：
MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告　検知／防御方法は？
Microsoftは、Active Directoryの認証情報を盗むことを目的としたサイバー攻撃、Kerberoasting攻撃とその対策について解説するブログエントリを公開した。（2024/10/28）

Cybersecurity Dive：
アカウントを奪われたら“打つ手なし”？　イランの攻撃者の“巧妙すぎる手口”
FBIやCISAらはイランのサイバー攻撃者の攻撃手法について注意喚起を促した。攻撃者らはブルートフォース手法を使ってユーザーのサービスアカウントを窃取した後、正規のユーザーがアクセスできないような巧妙な仕掛けを施すという。（2024/10/27）

セキュリティニュースアラート：
IBMがクラウドセキュリティ調査を公開　最も警戒が必要な攻撃は何か？
IBMは「2024 IBM X-Force Cloud Threat Landscape Report」を公開し、クラウドインフラを狙うサイバー攻撃について解説した。最も注意すべき攻撃は何か。（2024/10/17）

セキュリティニュースアラート：
CTCが委託先のランサムウェア被害について詳細を報告　侵入の原因とは？
伊藤忠テクノソリューションズは2024年8月13日に公表した同社における一部業務の委託先がランサムウェア被害に遭った件について詳細を報告した。委託先が管理するPCへの不正アクセスは発生したものの、情報漏えいの痕跡はなかったという。（2024/10/9）

セキュリティニュースアラート：
Cloudflareが最新の脅威インテリジェンス機能を無償で提供　対象製品・機能は？
Cloudflareは全てのユーザーに対して無償で提供する脅威インテリジェンスおよびセキュリティ機能を発表した。ユーザーはSASEソリューションやWebセキュリティ機能などを活用できる。（2024/9/26）

PR：PCでできるサイバー攻撃対策が重要な理由
（2024/8/26）

ITmedia Security Week 2024 春：
名和利男氏が83もの“多種多様な”アイデンティティー（ID）不正取得手法を紹介した理由
「ITmedia Security Week 2024 春」の「多要素認証から始めるID管理・統制」ゾーンで、サイバーディフェンス研究所などに所属する名和利男氏が「脅威アクターが関心を急激に高める『標的のアイデンティティー』」と題して講演した。本稿では、アイデンティティー（ID）が狙われる背景、83もの代表的な不正取得手法、取得したIDの用途、現状から得られる教訓などを紹介する。（2024/8/20）

Cybersecurity Dive：
サイバー攻撃の初期アクセス経路の約半数は脆弱な認証情報を狙っている
Google Cloudのレポートによると、2024年の上半期におけるクラウド環境への攻撃の最初のアクセス経路として最も多かったのは、認証情報に対する誤った管理を原因とするものだった。（2024/8/10）

macOSの脅威と保護方法【後編】
Macを守るならどれ？　macOS向け「アンチマルウェア」6選
「macOS」を狙った攻撃に備えるためにマルウェア対策ツールが必要だが、何を選べばいいか分からない――。そんな組織のために、マルウェア対策ツール6製品を選んだ。（2024/7/19）

組み込みストレージの保護：
e.MMCが提供する5つのセキュリティ機能
e.MMC（embedded Multi Media Card）は、NANDフラッシュメモリとメモリを制御するコントローラーをワンパッケージ化した小型ストレージ製品です。本稿では、e.MMC 5.1デバイスが提供するセキュリティ機能について紹介します。（2024/7/2）

2024年中に一般提供開始：
Microsoft、「Windows Server 2025」のパブリックプレビュー版をリリース　AIワークロード向けなど追加機能は？
Microsoftは、Windows Serverの最新のLTSC（長期サービスチャネル）リリースとなる「Windows Server 2025」のパブリックプレビュー版のダウンロード配布を開始した。（2024/6/4）

破られ方は4つ：
パスワードは「123……」でいいの？　管理者が“少しずつ”変えるべきこと
PCやスマホのパスワードは破られる可能性があります。方法はいろいろありますが、どのように対応すればいいのでしょうか。まとめてみました。（2024/5/23）

セキュリティニュースアラート：
企業の資産セキュリティ状況　現代ネットワークのダークマターとは
runZeroが企業の資産セキュリティに関する調査を報告した。ネットワークセグメンテーションの崩壊や攻撃対象領域の管理課題、ダークマターの増加などが明らかにされ、未管理デバイスや旧式システムの問題が取り上げられている。（2024/5/21）

セキュリティニュースアラート：
2023年に最も狙われたリモートデスクトップツールは？
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。（2024/5/7）

「AirDrop」暗号文が解読された問題【前編】
iPhoneのファイル共有機能「AirDrop」の暗号を破った中国当局の狙い
Appleのデータ共有機能「AirDrop」の暗号化されたデータが、中国で解読された。きっかけは攻撃ではなかった。中国当局が解読を実施した経緯から整理しておこう。（2024/5/1）

セキュリティニュースアラート：
検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは　Mandiantが調査を公開
Mandiantは「M-Trends 2024 Special Report」を公開した。サイバー攻撃者は、検出回避に焦点を当ててネットワークに長くとどまることに重点を置いているという。（2024/4/26）

セキュリティニュースアラート：
数字6文字は“一瞬”で解読される　Hive Systemsがパスワード強度を調査
Hive Systemsはブルートフォース攻撃に対するパスワードの解読時間をまとめた「Hive Systems Password Table」の2024年版を公開した。調査によると、数字6文字のパスワードは"一瞬"で解読されるという。（2024/4/26）

セキュリティニュースアラート：
VPNやSSHを狙ったブルートフォース攻撃が増加中　対象となる製品は？
Cisco TalosはVPNやSSHサービスを標的とした大規模な総当り攻撃（ブルートフォース攻撃）が増加していると報告した。攻撃は匿名化ネットワークから発信され、複数のVPNサービスが攻撃の対象となっている。（2024/4/18）

セキュリティニュースアラート：
Azureを使う組織は要注意　管理職などを狙うアカウント乗っ取りキャンペーンが進行中
日本プルーフポイントはAzure環境のクラウドアカウント乗っ取りキャンペーンを新たに確認した。このキャンペーンはさまざまな組織が標的になっている。（2024/2/15）

相次ぐ「X企業アカウント」の乗っ取り【前編】
Google系ベンダーも“わな”に落ちた「Xアカウント乗っ取り」の実態
2024年に入り、著名企業の「X」（旧Twitter）アカウントが暗号資産（仮想通貨）詐欺に悪用されるケースが目立ってきた。被害はセキュリティベンダーにも広がっている。（2024/2/15）

リリース時期は言及なし：
次期Windows Serverの正式名称、「Windows Server 2025」に
Microsoftは、次期Windows Serverの正式名称が「Windows Server 2025」になると発表した。（2024/1/31）