ITmedia総合  >  キーワード一覧  > 

  • 関連の記事

「権限昇格」関連の最新 ニュース・レビュー・解説 記事 まとめ

「権限昇格」に関する情報が集まったページです。

Ciscoが2022年1月に合計13のセキュリティアドバイザリを発行 「緊急」の脆弱性2つに対処
Ciscoは複数のセキュリティアドバイザリを発行した。2022年1月以降に発行されたものだけでも深刻度が「緊急」(Critical)に分類される脆弱性がすでに2つ修正されている。(2022/1/15)

Citrix Workspace App for Linuxに、一般ユーザが特権昇格する脆弱性 直ちにアップデートを
Citrixは「Citrix Workspace App for Linux」に特権昇格の脆弱性が存在すると伝えた。該当プロダクトを使用している場合は直ちにアップデートを適用してほしい。(2022/1/14)

管理者権限を不正に取得可能
「Windows Installer」に“凶悪”な脆弱性 専門家が危惧する理由は?
「Windows Installer」の脆弱性「CVE-2021-41379」に亜種が見つかった。専門家によると、CVE-2021-41379のパッチとしてMicrosoftが配布した更新プログラムでも、この亜種を修正できない。その危険性とは。(2021/12/31)

「Pwn2Own Austin 2021」レポート
ハッキング大会で攻撃がことごとく成功してしまった“不名誉”なIT製品とは?
ハッキング技術コンテスト「Pwn2Own Austin 2021」では、セキュリティ研究者が名声と賞金を懸け、NASやスマートフォン、ルーター、プリンタなどのデバイスの攻撃に挑戦した。どのような結果になったのか。(2021/12/25)

WordPressのSEO対策プラグインに「緊急」の脆弱性 早急な対処を
WordPressのSEO対策プラグイン「All In One SEO Plugin」に2つの脆弱性が見つかった。深刻度は一つが「緊急」、もう一つが「重要」に分類される。該当プラグインを使用している場合には直ちにアップデートを適用することが望まれる。(2021/12/23)

Appleの脆弱性への姿勢に疑問の声【前編】
Appleの「macOS」修正姿勢に専門家が批判 「なぜパッチをすぐ配布しないのか」
Appleが脆弱性を修正する一連の行動について、セキュリティベンダーMalwarebytesが問題を提起した。批判の焦点はどこにあるのか。(2021/12/22)

狙われる教育機関 その理由と対策【後編】
教育機関がサイバー攻撃を受けやすい納得の理由と、データを守り切る方法
攻撃者が教育機関を狙うのはなぜなのか。教育機関がサイバー攻撃からデータを守るためにすべきことは何か。それぞれの答えを探る。(2021/12/22)

Windowsにゼロデイの脆弱性、MSは放置も専門家は「深刻」と指摘
Microsoftは毎月の累積更新プログラムでセキュリティの脆弱性を修正しているが、中には外部からリスクを指摘されても正式に脆弱性として認識されず、放置されたものもある。(2021/12/1)

Windowsに特権昇格のゼロデイ脆弱性 研究者がPoCコードを公開
Windows Installerにおける特権昇格のゼロデイ脆弱性を利用したエクスプロイトが見つかった。現時点ではMicrosoftはアップデートを提供していない。(2021/11/25)

Cisco IOS XR Softwareのセキュリティアドバイザリがリリース 迅速にアップデートを
ネットワーキングソフトウェアCisco IOS XR Softwareに関するセキュリティアドバイザリが公開された。今回の発表は、9つのセキュリティアドバイザリで構成され、合計12個の脆弱性が修正されている。(2021/9/14)

2021年8月のWindows Updateが配信開始 悪用の報告がある脆弱性にも対応
Microsoftは、2021年8月の累積更新プログラムを配信した。今回の累積更新プログラムはすでに悪用が確認されている脆弱性の修正を含んでいる。可能な限り迅速にアップデートを適用してほしい。(2021/8/13)

意思疎通のためのセキュリティ用語集【第4回】
「クラウドテスト」「ホストベーステスト」とは? 何を実行するのか
侵入テストに関する比較的新しい用語に「クラウドテスト」「ホストベーステスト」がある。それぞれ何を対象とした、どのような侵入テストなのか。基本的な事項を解説する。(2021/7/23)

Chromeに悪用確認済みの脆弱性、特権昇格を許す可能性も
Google Chromeに脆弱性が発見された。今回発見された脆弱性の深刻度は「重要」とされており、最も深刻な「緊急」よりは低い扱いだが、すでにサイバー攻撃に使われていることが確認されているため、対策を急いでほしい。(2021/7/19)

”質の高い”ランサムウェアが大企業を襲う マカフィーが2021年第1四半期の脅威動向と今後の予測を発表
マカフィーは、2021年第1四半期の脅威動向を発表した。「二重の脅迫」や「RaaS」などランサムウェアがますます高度化する中、企業はどのような対策を講じればいいのだろうか。過去のトレンドを振り返り対策につなげていく。(2021/7/14)

WordPressのファイル管理プラグイン「Frontend File Manager」に複数の脆弱性 直ちにアップデートを
「WordPress」でファイル管理プラグイン「Frontend File Manager」を利用しているのであれば早急に対処が必要だ。同プラグインには深刻度が緊急(Critical)に分類される脆弱性が複数存在することが指摘されている。(2021/7/13)

Cisco製品に複数の脆弱性 迅速なアップデートを
Ciscoは、2021年7月に複数のセキュリティアドバイザリを発行した。このうち幾つかのセキュリティ脆弱性は深刻度が重要(High)とされており注意が必要だ。スピーディーな確認とアップデートが求められる。(2021/7/9)

ランサムウェアが病院に及ぼす危機【第3回】
医療機関を狙うランサムウェア攻撃の手口 スタッフが休む週末は危険?
医療機関を狙うランサムウェア攻撃の手順を知っておくことは、被害を防ぐ第一歩だ。専門家は「最近のランサムウェア攻撃はファイルの暗号化だけでなく業務の妨害を目的としている」と話す。攻撃者の戦略とは。(2021/6/24)

「NVIDIA Jetson」のSDKに複数の脆弱性 影響は数百万台か
NVIDIAのJetson向けのSDKに複数の脆弱性が見つかった。数百万台が出荷済みと考えられる。(2021/6/22)

一部のLinuxディストリビューションに特権昇格の脆弱性、RHEL 8などに影響
Linuxに特権昇格の脆弱性が発見された。この脆弱性自体は7年前から存在していたが、該当する脆弱性があるpolkitを含むディストリビューションがなかったため最近ようやく発見されたようだ。(2021/6/14)

iPhoneやmacOSの特権昇格の脆弱性「CVE-2021-30724」についてトレンドマイクロが詳細を公開
2021年5月に配信されたiPhoneやiPad、macOSのアップデートには、特権昇格が可能な脆弱性「CVE-2021-30724」を修正する変更が含まれていた。この問題を発見したTrend Microが脆弱性の概要と概念実証(PoC:Proof of Concept)を公開した。(2021/6/7)

DRAMの微細化で脅威が増すサイバー攻撃:
メモリに繰り返しアクセスするだけで権限のないメモリ内容を変更可能、Googleが攻撃手法を発見
DRAMが持っていたハードウェアの脆弱性を悪用する「ローハンマー」というサイバー攻撃は、2014年に見つかった古い手法だ。既に対策が講じられているものの、2021年にGoogleが発見した「ハーフダブル」攻撃にはまだ対策が見つかっていない。(2021/6/4)

Dell PCに特権昇格の脆弱性、アップデートを
DellのPCに特権昇格の脆弱性が存在することが研究者らによって指摘された。影響を受けるユーザーは数百万人にのぼると見られる。一般ユーザーが特権昇格できるとされており、今後悪用が進む可能性があるため、アップデートの適用を急いでほしい。(2021/5/6)

WordPress人気の検索プラグインに脆弱性、6万以上のWebサイトに影響か
WordPressで人気のある検索プラグインに脆弱性が発見された。脆弱性が利用されれば、攻撃者に悪意あるJavaScriptのコードを実行される危険性があるとされている。影響を受けるWebサイトは6万件以上と推定され、注意が必要だ。(2021/3/31)

Webページを閲覧しただけで全てを奪われる:
複数の脆弱性を突く攻撃チェーンの構築法とは、GitHubがAndroidシステムの実例を解説
GitHubは複数の脆弱性攻撃を組み合わせることで、カーネルコードの実行に至る実験に成功したことを発表した。Androidシステムコンポーネントのさまざまな脆弱性攻撃を組み合わせて、「Google Chrome」ブラウザのエクスプロイトから権限昇格へ、さらにAndroidデバイス上でのカーネルコード実行へと進んだ。(2021/3/31)

sudoにパスワード不要で特権昇格が可能な脆弱性が見つかる
sudoにヒープバッファオーバーフローの脆弱性が存在することが明らかになった。攻撃者はユーザーのパスワードを知らなくても特権昇格できるとされる。sudoはmacOSやLinux、UNIX系OSでプリインストールされるコマンドとして広く利用されており、影響範囲が大きい。(2021/1/28)

WordPressプラグイン「Orbit Fox」に特権昇格の脆弱性、アップデートの確認を
WordPressのプラグイン「Orbit Fox」に2つの脆弱性が発見された。そのうち一つは特権昇格が可能なため、Webサイトが乗っ取られる危険性があるとされている。(2021/1/14)

不適切なsyscallアクセスを防ぐ:
面倒なアクセス制御を自動化、米大学がポリシーの自動作成ツールを開発
ミシガン大学とテキサス大学オースティン校の研究チームはOSや他のプログラムを危険にさらすことのないように、アプリケーションのポリシーを自動的に作成するツール「Abhaya」を開発した。脆弱性を突いたサイバー攻撃に対応できる。(2020/12/18)

クラウドサービスへの攻撃が増加:
2021年のサイバーセキュリティ動向を予測 ファイア・アイ
FireEyeは2020年11月、2021年における世界のサイバーセキュリティ動向を予測した報告書「グローバル・リセット:サイバーセキュリティ予測2021」を発表した。日本法人執行役副社長兼CTOの岩間優仁氏に、同書が示す2021年のセキュリティトレンドなどを聞いた。(2020/12/14)

「レッドチーム演習」入門【前編】
いまさら聞けない「レッドチーム演習」の基礎 そもそもレッドチームとは?
「レッドチーム演習」は、企業がサイバー攻撃のシミュレーションを通じて自社の防御強化につなげるセキュリティ対策だ。演習ではどのようなことをするのか。そもそもレッドチームとは何なのか。(2020/12/11)

Kubernetesが付与する権限に要注意:
Kubernetesクラスタのセキュリティ問題の根本原因は何か、Alcideが概説
「Kubernetes」ネイティブのセキュリティプラットフォームを手掛けるAlcideは、Kubernetesクラスタのセキュリティを確保する上での課題を概説したブログを公開した。Kubernetesのセキュリティ問題の根本原因と原因を絶つコツを紹介している。(2020/12/10)

企業の脅威に:
カプコンも襲撃「ランサムウェア」、この数年で“手口に異変” どう対策?
11月、ゲーム大手のカプコンが「ランサムウェア」の被害を受けました。ランサムウェア自体は昔から存在していました。しかしこの数年、ランサムウェアは少しずつやり方を変え、ターゲットを変え、今や多くの企業の脅威となっています。(2020/12/2)

この頃、セキュリティ界隈で:
カプコンは氷山の一角 狙われる日本企業、ダークネットで流出情報の取引も
ランサムウェアによる情報流出被害に遭ったカプコンだけでなく、多くの日本企業がマルウェアのターゲットとなっている。(2020/11/30)

Windows 7とServer 2008 R2にゼロデイ脆弱性、0patchがマイクロパッチ提供
Windows 7とWindows Server 2008 R2にゼロデイのセキュリティ脆弱性が見つかった。ローカルでの特権昇格が可能というものだ。ESUでもアップデートはまだ提供されていない。自己責任となるが、0patchが提供しているマイクロパッチを適用するという対策方法もある。(2020/11/27)

この頃、セキュリティ界隈で:
ランサムウェアが見せつけたWindowsの脆弱性「Zerologon」の威力
わずかな時間で組織内で感染が広がる危険性をはらむWindows Active Directoryの脆弱性。(2020/10/26)

ネットワーク管理権限をまるごと乗っ取る攻撃「Zerologon」が流行のきざし Active Directoryユーザーはパッチ適用状況を確認を
Active Directoryのパッチ適用が遅れている企業は注意が必要だ。パッチを適用していない場合、「一撃で」ネットワーク内の全てを乗っ取られかねないリスクがある。既にこの脆弱性を突く機能が攻撃ツールに組み込まれ始めているという。(2020/10/22)

「RDP」を安全に利用する【前編】
「Remote Desktop Protocol」(RDP)を危険にする脅威とは?
「Windows」の標準機能「リモートデスクトッププロトコル」(RDP)利用時のセキュリティ確保は、新型コロナウイルス感染症対策でテレワークが続く間は特に重要だ。どのような攻撃に気を付ける必要があるのか。(2020/10/5)

ワンクリックで権限奪取が可能:
「Netlogon」の脆弱性突く攻撃が発生、攻撃コードが流通
Microsoftが8月の月例パッチで対応した脆弱性「Zerologon」を悪用する攻撃が確認された。CISAは「全ドメインコントローラが更新されるまで、インフラ全体が脆弱な状態となる」と警告している。(2020/9/25)

Windows Serverの脆弱性を狙う悪用コード公開 セキュリティ機関が警戒呼び掛け
悪用されれば、内部ネットワークに足掛かりを持つ攻撃者が実質的にワンクリックでドメイン管理者になってしまうという。(2020/9/16)

Windowsフロントライン:
Microsoft 365のIE11対応とEdge Legacy サポート終了の意味を改めて考える
Internet Explorer 11と旧Microsoft Edge(Edge Legacy)のサポートに関する話題が注目を集めている。その動向を追った。(2020/9/2)

Microsoft、8月の月例セキュリティ更新プログラム公開 既に悪用の脆弱性も
今回修正された120件の脆弱性のうち、2件については既に悪用が確認されており、Internet Explorer(IE)を介して悪用される恐れもある。(2020/8/12)

Citrix製品の脆弱性、パッチ公開後に悪用探る動きを検出
Citrixが2020年7月7日に修正パッチを公開したばかりの脆弱性について、悪用を試みる動きが検出された。(2020/7/10)

PR:「侵入されている前提」で考えるセキュリティ診断のあり方──脅威が既にそこにあるとしたら
(2020/6/24)

Androidの月例セキュリティ情報公開、システムなどに重大な脆弱性
システムの脆弱性を悪用されれば、リモートの攻撃者が細工を施した通信を使って特権プロセス内で任意のコードを実行できてしまう恐れがある。(2020/6/2)

IT基礎英語:
身内に潜む敵? 実はリモートより怖いlocal攻撃
脅威が潜んでいるのはremoteに限らないのだ。(2020/6/1)

Androidの月例セキュリティ情報公開、システムコンポーネントなどに重大な脆弱性
システムコンポーネントの脆弱性は、リモートの攻撃者が細工を施した通信によって特権プロセスで任意のコードを実行できてしまう恐れがある。(2020/5/7)

保健所かたる詐欺メール、病院狙うランサムウェアーー新型コロナ禍に便乗したサイバー攻撃に腹が立って仕方ない話
新型コロナウイルスの感染拡大に便乗し、個人や企業、病院を狙うサイバー攻撃が増えている。その傾向はどのようなものなのか。海外のセキュリティベンダーの資料などを踏まえながら解説する。(2020/4/23)

「Windows 7」含む4件の脆弱性で悪用を確認 Microsoftが月例更新プログラム公開
4月の月例セキュリティ更新プログラムで対処した113件の脆弱性のうち、4件については既に悪用が確認されている。(2020/4/15)

iOSやmacOSのアップデート、多数の脆弱性を修正 Appleがセキュリティ情報公開
「iOS 13.4」「iPadOS 13.4」で30件の脆弱性を修正。macOSは「Catalina 10.15.4」と、MojaveおよびHigh Sierra向けのセキュリティアップデートが公開された。(2020/3/25)

Adobe、AcrobatとReaderのセキュリティアップデートを公開
今回のアップデートでは計13件の脆弱性が修正された。悪用されれば任意のコードを実行される可能性もあるという。(2020/3/18)

Google、3月のAndroid月例セキュリティ情報公開
ディアフレームワークの脆弱性のうち1件は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがある。(2020/3/3)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。