「JVN」関連の最新 ニュース・レビュー・解説 記事 まとめ

バッファロー製Wi-Fiルーターに脆弱性　IPAなどが注意呼び掛け　「最新版ファームウェアへ更新を」
バッファロー製Wi-Fiルーターに複数の脆弱（ぜいじゃく）性が判明した。対象となる製品を使用している場合、ファームウェアを最新版にアップデートする必要がある。（2024/4/18）

バッファロー製Wi-Fiルーターに脆弱性　対象機種は今すぐファームウェア更新を
バッファローが過去に販売したWi-Fiルーターに「警告」レベルの脆弱性が報告された。ファームウェアを最新版にすれば解消できるので、対象機種を使っている場合は急ぎ確認したい。（2024/4/17）

無線LANルーター「Aterm」シリーズの一部に複数の脆弱性　設定変更や買い替えをアナウンス
NECプラットフォームズの無線LANルーター「Aterm」製品の一部に、複数の脆弱（ぜいじゃく）性があることが明らかになった。（2024/4/11）

NEC「Aterm」シリーズ59製品に脆弱性　IPAなどが注意呼びかけ　設定変更や買い替えを
NECのWi-Fiルーター「Aterm」シリーズの59製品に複数の脆弱（ぜいじゃく）性が判明した。対象となる製品を使用している場合、管理者パスワードや暗号化キーの変更、設定の変更などの対処をする必要がある。（2024/4/9）

半径300メートルのIT：
「セキュリティ人材が足りない……」と嘆く前に　企業に必要なのは“懐の深さ”だ
セキュリティ人材の不足が世の中で叫ばれていますが、人材不足を嘆く前に自社が従業員の才能を伸ばせる環境かどうかを再考してみるといいかもしれません。（2024/2/6）

SBOM基礎知識：
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。（2024/1/19）

アイドル、炎上からの“音信不通＆無断アカ削除”で解雇処分　過去にはプロデューサーのパワハラも報道され波紋
男性地下アイドルとデートしていたとの内容で炎上。（2023/11/28）

「サポート詐欺」「ランサムウェア」「偽Wi-Fi」に要注意：
「サイバー攻撃の被害は警察署に通報を」――警視庁が解説する最新の脅威動向、セキュリティ対策の基本
サイバー攻撃の脅威を対岸の火事と捉える経営者は珍しくない。だが現実は、企業規模を問わず、脆弱性のあるシステムを標的にサイバー攻撃が仕掛けられ、システムを使用していた自社はもちろん、取引先にまで影響を及ぼすケースが起きている。東京商工会議所が主催したセミナーに登壇した警視庁の担当者が、最新の脅威動向、サイバーセキュリティ対策の基本を解説した。（2023/9/22）

マウリッツハイス美術館が「真珠の耳飾りの少女」のオマージュ作品公募→AIアート選出で議論呼ぶ
美術館としての姿勢を問う声も。（2023/3/11）

こっそり始めるパッチマネジメント自動化入門（終）：
パッチマネジメントを自動化する際に考えておきたい脆弱性管理の課題とは
パッチ適用の時間を短縮する「自動化」について解説する連載。最終回は、パッチマネジメントサイクルについて振り返り、脆弱性管理の課題や最新動向などについて解説します。（2022/11/10）

半径300メートルのIT：
ネットにつながる家電が抱える課題　セキュリティはどうなっている？
意外なところで脆弱（ぜいじゃく）性が見つかっています。サプライチェーンでのサイバー攻撃を防ぐために、企業はどのように取り組むべきなのでしょうか。（2022/10/4）

MITRE ATT&CKで始める脅威ベースのセキュリティ対策入門（5）：
MITRE ATT&CK徹底活用――クラウドセキュリティでの活用例、利用上の5つの注意点、ベースラインアプローチとの使い分け
ここ数年一気に注目度が高まり進化した「脅威ベースのセキュリティ対策」。その実現を支援する「MITRE ATT&CK」（マイターアタック）について解説する連載。今回は、クラウドセキュリティでの活用例、利用上の5つの注意点、ベースラインアプローチとの使い分けなどを紹介する。（2022/9/8）

特集：1P情シスのための脆弱性管理／対策の現実解（2）：
piyokango氏に聞く、ハードウェア脆弱性やクラウド誤設定はどうすべき？　CISA公開リスト「KEVC」とは？――ゼロデイそして「Nデイ」対策へ
いまの時代に即した脆弱性管理／対策の在り方を探る特集「Log4j 2、クラウド設定ミスだけじゃない―1P情シスのための脆弱性管理／対策の現実解」。初回に続き、インシデント情報をまとめて記録する「piyolog」を運営するpiyokango氏に、“脆弱性”をどう認識すべきか、そして新たな情報ソースから考える脆弱性対策の在り方について聞いた。（2022/9/2）

OSサポート、更新プログラムサポートがそれぞれ終了：
「Windows 7」「Windows 8.1」もサポート終了へ、使い続けるとどれだけ危険？
IPAは、2023年1月にサポートが終了する「Windows 8.1」などについて注意を促した。対象のOSで動作するソフトウェアのサポートも終了することもあるため、「計画的な移行が必要だ」としている。（2022/7/12）

Trend Microのセキュリティ製品に「重要」の脆弱性　すでに悪用を確認済み
Trend Microの複数製品に脆弱性が見つかった。深刻度は「重要」と分類されている。同脆弱性はすでに悪用が確認されており注意が必要だ。該当製品を使っている場合には迅速なアップデート適用が求められる。（2022/3/31）

日立とServiceNowが製品セキュリティでタッグ　脆弱性を一元把握できる「PSIRT運用プラットフォーム」を提供開始
日立とServiceNowは、製造業向けに、製品セキュリティの向上を効率化する「PSIRT運用プラットフォーム」の提供を開始した。脆弱性情報と製品構成情報を一元管理し、PSIRTの業務を省力化しながら、セキュリティリスクの早期発見や対策を強化できる。（2022/3/25）

製造ITニュース：
日立とサービスナウがPSIRT運用基盤を提供、製造業向けに協業を深化
日立製作所とServiceNow Japan（サービスナウ）は、製造業が開発、生産しユーザーに提供する製品やサービスについてのサイバー攻撃対策やセキュリティの向上を担うPSIRT分野で協業する。協業成果の第1弾としてPSIRT運用プラットフォームの提供を開始する。（2022/3/22）

セキュリティ人材不足の企業が安全を「保ち続ける」には：
PR：100以上のWebサイトの脆弱性と改ざんを可視化し、リスクを手軽に排除する方法
Webサイトはエンドユーザーとの接点として重要な役割を果たす。複数のWebサイトを運用する企業が自社サイトのリスクを発見してセキュリティを継続的に確保する方法とは。（2022/3/22）

いまさら聞けないOSSの基礎知識（終）：
「ソースコードは全て公開が条件」の衝撃――OSSを賢く利用するための勘所
「当たり前のように使っていたOSSのせいで訴えられた！」なんてことがないように、OSSを賢く利用するためのポイントを解説します。（2020/12/24）

宮田健の「セキュリティの道も一歩から」（52）：
自動車“が”脆弱性を突く？ あっと驚く攻撃手法から学べること
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け！ 今回は、身近なIoTとして「自動車のセキュリティ」についてお話しします。（2020/8/21）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（23）：
ハッカーはとんでもないものを見てしまいました。あなたのジャージーです
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第23列車は「ビデオ会議のセキュリティ」です。（2020/5/11）

多額の投資を行う前に：
PR：「基本に忠実、が一番強い」　企業を標的とするランサムウェア対策の第一歩は「自社の分析」
カスペルスキーのマルウェアリサーチャー、石丸傑氏によると、2019年に目立ったのは一般企業などを狙う標的型ランサムウェアによる被害だった。重要なのは基本的な予防策を徹底することに尽きると強調した。（2019/12/25）

WP29サイバーセキュリティ最新動向（3）：
出荷後の車両や部品の脆弱性に、あなたの会社はどう行動すべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。前回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について紹介した。今回は生産フェーズ以降のサイバーセキュリティマネジメントシステム（Cyber Security Management System、CSMS）のプロセス構築について説明していく。（2019/11/18）

Android版のLINEアプリに整数オーバーフローの脆弱性　アップデート呼びかけ
脆弱性対策情報データベース「JVN」は、Android版のLINEアプリに脆弱性が見つかったと発表し、ユーザーに対しアプリをアップデートするよう呼びかけた。（2019/9/19）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（17）：
アカネちゃん、JVNに謝辞が載る
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第17列車は「もしも脆弱性を発見したら」です。※このマンガはフィクションです。（2019/9/19）

いまさら聞けないCIP入門（前編）：
持続可能な産業グレードのOSS基盤を実現する「CIP」とは何か
CIP（Civil Infrastructure Platform）は、Linux FoundationのOSSプロジェクトであり、その目的の1つは産業グレード機器に対して長期的なサポートを達成することです。「いまさら聞けないCIP入門」の前編では、CIPがどのような背景で発足したのか、現在どのような活動を行っているかについて説明します。（2019/7/17）

複数のIntel製品に脆弱性、修正版が公開　一部製品では利用中止を呼びかけ
3月12日、米Intelは複数の同社製品について脆弱（ぜいじゃく）性を公開した。情報漏洩やサービス運用妨害、権限昇格などにつながる恐れがあるなど、最大深刻度が“HIGH”のものも含まれている。（2019/3/15）

「Vuls祭り#4」で披露：
フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ
フューチャーは、2018年8月末にオープンソースソフトウェアの脆弱性スキャナー「Vuls」のv0.5.0をリリースし、Vulsを基にした商用サービス「FutureVuls」も大幅にバージョンアップした。（2018/9/20）

神戸市教育委員会、化学工業メーカーによるユーザー事例も：
PR：不適切なIT資産管理によりデジタルビジネスを失敗させないためには、どうすればいいのか――ITAM World 2018レポート
ビジネスとITの融合が進む中、SAM/ITAMの対象領域は大きく拡大し、ビジネスを遂行する上で欠かせない考え方になっている。そのような中で、IT資産管理とリスク管理、ビジネスの成長に向けて企業が押さえるべきポイントは何か。標準化の動向から、ツールやソリューションの使い方のポイント、人材育成、最新テクノロジーの対応までを対象に実施されたITAM World 2018からそのヒントを探る。（2018/8/6）

Chrome拡張「5000兆円コンバーター」にXSS脆弱性　最新版にアップデートを
「5000兆円欲しい！」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」にXSS脆弱性が見つかったとJVNが注意喚起している。（2018/6/15）

PR：働き方改革で増えるセキュリティの脅威　限られた人材で備える方法とは？
働き方改革を背景に急速に利用が進むモバイル活用。セキュリティ対策の重要性も高まっているが、そこにはセキュリティ人材不足が大きな問題として横たわっている。この状況を打破するには、セキュリティ対策の“自動化”がカギになるという。（2018/4/16）

老舗画像ビューワ「ViX」・FTPサーバ「Tiny FTP Daemon」に脆弱性　「使用中止の検討を」
Windows向け画像ビューワの老舗「ViX」と、FTPサーバの老舗「Tiny FTP Daemon」にそれぞれ脆弱性が見つかったとして、JVNが使用中止を検討するよう呼び掛けている。（2018/3/14）

半径300メートルのIT：
「あなたのルーターに脆弱性あり、買い換えを」　そんなのアリ？
一見、理不尽に思えるこの対策ですが、実際のところは……。（2018/3/13）

Windows Server 2008のサポート終了に備えよ（1）：
サポートが終了するサーバOSを使い続けるリスクを考える
Windows Server 2008／2008 R2のサポート終了日まで後2年を切った。今後、さまざまなところでサポート終了に関するトピックを目にする機会が増えるだろう。そもそも、サーバOSのサポートが終了する影響とは、どのようなものなのだろうか。本連載では、Windows Server 2008／2008 R2を新しいサーバOSへ切り替える必要性やメリットなどを解説する。（2018/2/16）

TLS実装の脆弱性「ROBOT」、19年前の攻撃が再来　大手各社の製品に影響
TLSの実装に関して1998年に発見された攻撃手法が、わずかに手を加えるだけで、現代のHTTPSに対して通用してしまうことが分かった。（2017/12/14）

外注したシステムの脆弱性は誰のせい？　連日の「深刻な脆弱性」にどう向き合い、どう対応するか？
連日のように公開される脆弱性情報の中から自分たちに関係するものを見つけ、適切な優先順位で対応するのは容易ではない。この状況に、企業はどう向き合えばよいのだろうか？　＠ITは、2017年8月30日にセミナー『連日の「深刻な脆弱性」どう向き合い、どう対応するか』を東京で開催した。多数の専門家やセキュリティベンダーが登壇した同セミナーの模様をお届けしよう。（2017/10/3）

IPAがWindowsのアプリケーション利用に関して注意喚起　“DLL 読み込み”の脆弱性が今年4月から急増へ
アプリケーション実行時に「悪意ある任意のコード」が実行されてしまう可能性があります。（2017/9/28）

サイバー攻撃、ライセンス違反も明日はわが身：
PR：IT資産管理の全てがここにある――ITAM World 2017レポート
仮想化、クラウドが多くの企業に浸透した近年、ITシステムは大幅に複雑化し、確実な把握・管理が年々難しくなっている。一方でサイバー攻撃はますます巧妙化し、われわれは常に甚大なセキュリティ、コンプライアンスリスクにさらされている状況だ。では一体どうすれば膨大なIT資産を確実に管理し、「攻めのIT」を支えることができるのだろうか？　ITAM World 2017にその答えを探る。（2017/7/27）

piyokango氏に総務大臣奨励賞　ブログ「piyolog」で「セキュリティ向上に貢献」
セキュリティ情報ブログ「piyolog」のpiyokango氏などが「サイバーセキュリティに関する総務大臣奨励賞」初の受賞者に。（2017/5/30）

一生、エンジニアで食べていける？：
グリーCTO藤本氏が明かす、エンジニアリングの観点をマネジメントに生かす具体的な方法
開発の効率を高め、より良いサービスを実現し、価値を高めていくために、開発者には何ができるのか――そんなテーマを追求する「明日の開発カンファレンス」が2017年4月14日に開催された。その中から2つのセッションの模様を紹介する。（2017/5/30）

毎日のように来る「重要度“緊急”な脆弱性」は人ごとじゃない：
PR：脆弱性にはパッチ適用――分かっちゃいるけどうまくいかない時代の「脆弱性対策」を考える
今、単なる資産管理だけではなく、パッチマネジメントや脆弱性管理など、ITセキュリティを含めた管理に対するニーズが高まっている。脆弱性をタイムリーに把握し、公開された脆弱性が自社にとってどの程度のリスクを持つのか、アップデート対応しなければならない端末がどこにどれだけ存在し、パッチ適用のスケジュールを展開できるか――本稿では、このような脆弱性対策が可能になるソリューションを紹介しよう。（2017/5/18）

ECサイト構築ソフト「CS-Cart」日本語版に複数の脆弱性 個人情報を不正に取得される恐れ
IPAが、ECサイト構築に利用する「CS-Cart」日本語版に発見された脆弱（ぜいじゃく）性を公表。悪用されると個人情報を不正に取得されたり、意図しない商品を購入させられたりする可能性があるという。最新バージョンに更新することで修正できる。（2017/4/6）

Vistaも終了：
Office 2007のサポート終了まで6カ月　「移行」など対策迫る
これまで127件の脆弱性情報が登録され、IPAは「サポート終了後も引き続き脆弱性が発見される懸念がある」と指摘する。（2017/2/10）

IPAの脆弱性体験学習ツールに4件の脆弱性、修正版が公開
脆弱性体験学習ツール「AppGoat」で任意のコードが実行されてしまうなどの複数の脆弱性が報告され、IPAが修正版へのアップデートを呼び掛けている（2017/2/9）

SKYの資産管理ツールにリモートコード実行の脆弱性、緊急パッチが公開
SKYSEA Client Viewに深刻な脆弱性が見つかり、同社がユーザーにパッチ適用を呼び掛けた。JPCERT/CCや警察庁も緊急で注意喚起している。（2016/12/22）

IPA、無償のソフトウェア更新確認ツールを機能拡充
新たにGoogle ChromeやiTunes、LibreOfficeに対応した。（2016/12/21）

年金機構のインストーラに脆弱性、最新版の利用を
仕様チェックや届書印刷などのプログラムの古いインストーラに脆弱性があり、最新版の利用が呼び掛けられている。（2016/12/1）

Android向けファームウェアに深刻な脆弱性、米機関は「もはやrootkit」と断言
脆弱性はOTAによるアップデート時に暗号化通信が行われないというものだが、実行を隠す複数の方法が使用され、CERT/CCは「挙動はもはやrootkitだ」と指摘している。（2016/11/18）

PDFの仕様を悪用する攻撃の可能性、IPAとJPCERT/CCが注意喚起
PDFにFormCalcで書かれたスクリプトを埋め込むことで、PDFがホストされているサーバと同一オリジン上の任意のコンテンツが取得できる仕様が悪用された場合、サーバ上の機密情報が窃取される可能性があるという。（2016/11/14）

セキュリティ・ミニキャンプ in 中国 2016 レポート（後編）：
セキュリティって奥が深い！ 目を輝かせた若者たちの濃厚な2日間
地方向けに最新のセキュリティ動向や技術を伝える「セキュリティ・キャンプ地方大会」。本稿では2016年9月23日から25日にかけて広島県で開催された「セキュリティ・ミニキャンプ in 中国 2016」の中から、専門講座の模様をレポートする。（2016/11/1）