ITmedia総合  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

Adobe AcrobatとReaderに複数の脆弱性 直ちにアップデートを
Adobe AcrobatとAdobe Acrobat Readerに脆弱性が発見された。任意のコード実行を引き起こす危険性がある脆弱性も含まれるため注意が必要だ。(2021/9/17)

Microsoftが2021年9月の累積更新プログラムを公開 Windowsの37製品や機能に脆弱性
Microsoftは、2021年9月の累積更新プログラムを配信した。該当するプロダクトは37種にわたる。深刻度が重要(Important)に分類される脆弱性の修正も多数含まれるため、迅速なアップデートの適用が必要だ。(2021/9/16)

「iPhone」「iPad」「Mac」に複数の脆弱性 すでにサイバー攻撃を確認済み
「iPhone」「iPad」「Mac」「Apple Watch」など複数のApple製品に脆弱性が発見された。すでにこれらの脆弱性を利用したサイバー攻撃が確認されているため、迅速にアップデートをしてほしい。(2021/9/15)

適用をためらわせる“あの理由”
Exchange Server脆弱性問題で考える「なぜパッチの適用は進まないのか」
中国の攻撃者集団による、「Exchange Server」の脆弱性悪用が明らかになった。Microsoftはパッチを公開したものの、その後も攻撃は続いているという。その背景にあるのが、パッチ適用の遅れだ。(2021/9/15)

「iMessage」に脆弱性、スパイウェア「Pegasus」の感染から発覚 AppleがiOSやmac OSなどに対策アップデート配信
カナダのセキュリティ機関「The Citizen Lab」がスパイウェア「Pegasus」に感染したデバイスを調べたところ、Appleのメッセージアプリ「iMessage」に脆弱性を確認した。Appleは対策として、iOS/iPad OS/mac OSなどでアップデートを配信した。(2021/9/14)

iOS、iPadOS、watchOS、macOSの緊急更新 “既に悪用された可能性のある脆弱性”を修正
Appleは“既に悪用された可能性のある脆弱性”を修正するアップデートをiPhone、iPad、Apple Watch、Mac向けにリリースした。これらの脆弱性をAppleに報告したCitizen Labは、至急更新することを強く勧めている。(2021/9/14)

Cisco IOS XR Softwareのセキュリティアドバイザリがリリース 迅速にアップデートを
ネットワーキングソフトウェアCisco IOS XR Softwareに関するセキュリティアドバイザリが公開された。今回の発表は、9つのセキュリティアドバイザリで構成され、合計12個の脆弱性が修正されている。(2021/9/14)

Active Directoryのアカウント管理ツールに脆弱性 すでにサイバー攻撃の利用を確認
Active Directoryやクラウドアプリケーションのアカウント管理に利用される「ManageEngine ADSelfService Plus」にリモートコード実行の脆弱性が発見された。これを利用したサイバー攻撃も既に確認されているため、迅速に対処してほしい。(2021/9/9)

ちょっとした設定ミスが不正アクセスのターゲットに:
PR:クラウドのセキュリティ診断で本番環境、開発環境の脆弱性を洗い出し、安全な活用を支援
テレワークの広がりとともに、場所を問わずに利用できるクラウドサービスの活用が一段と加速した。ただその際、ちょっとしたミスや油断で、本来公開すべきではない情報が公開され、不正アクセスを受けてしまう事件が増えている。これを防ぐには、専門的な知見やツールを生かした脆弱性診断が有効だ。(2021/9/9)

Windowsにリモートコード実行の脆弱性、既に標的型攻撃への利用が観測される
Microsoft Windowsにリモートコード実行の脆弱性が存在することが明らかになった。深刻度は「重要」と評価されているが、執筆時点では修正プログラムが提供されていないが、この脆弱性を突くOfficeドキュメントが出回り、標的型攻撃に使われているため、警戒が必要だ。(2021/9/8)

Androidの9月月例更新開始 「Pixel 5a(5G)」も対象
GoogleがAndroidの9月の月例更新をリリースした。今月から「Pixel 5a(5G)」も対象になる。重要度が最も高い「重大」7件を含む40件の脆弱性に対処する。(2021/9/8)

安全なWeb/モバイルアプリ開発【前編】
アプリ開発者が実践すべきセキュアコーディングの初歩の初歩
Webアプリケーションやモバイルアプリケーションの脆弱性のほとんどは、ごく当たり前な処理の欠落に起因しているという。開発者が絶対にやるべきこととは何か。(2021/9/8)

Bluetoothスタックに16個の脆弱性が見つかる 1400以上の製品に影響か
複数の市販製品が搭載するBluetoothプロトコルスタック実装に16個の脆弱性が発見された。これらは総称して「BrakTooth」と呼ばれる。1400以上の製品に影響が及ぶとみられており、各ベンダーの対処も異なるため注意が必要だ。(2021/9/6)

CIO Dive:
SolarWindsのCISO「あの時、私たちは条件反射で動いた」全米が震えた大インシデントの教訓
SolarWinds製品の脆弱性を利用した一連のサプライチェーン攻撃は、多くの企業に迅速なインシデント対応の重要性を再認識させた。だがインシデントへの備えが具体的に何を指すのか分からない企業も多い。SolarWindsのCISOが語る条件反射でインシデントに対応するコツとは。(2021/9/6)

Atlassian Confluenceの脆弱性修正パッチを至急適用するよう米政府が警告
Atlassianが8月末にパッチを公開したConfluenceの脆弱性を悪用する攻撃が拡大していると、米当局が警告した。米国はLabor Dayの3連休だが「週明けまで待つことはできない」と米サイバー軍は至急パッチを適用するよう呼び掛けた。(2021/9/5)

Gartner Insights Pickup(222):
セキュリティの脆弱性を妥当な時間で効果的に修正するには
セキュリティとリスク管理のリーダーは、脆弱(ぜいじゃく)性管理プラクティスを形式的な基準ではなく、自社の具体的なニーズに対応させる必要がある。(2021/9/3)

Chromeの最新版セキュリティアップデートが公開 27件の脆弱性を修正
GoogleはGoogle Chromeのセキュリティアップデートを公開した。今回のアップデートは27件の脆弱性を修正している。深刻度が重要の脆弱性も5件含まれているため迅速にアップデートを適用してほしい。(2021/9/2)

Cisco製品に複数の脆弱性 セキュリティアドバイザリの確認を
Ciscoは、複数の製品に関するセキュリティドバイザリを発行した。今回発表された脆弱性の中には深刻度が緊急(Critical)に分類されるものもあるため注意が必要だ。必要に応じてアップデートを適用してほしい。(2021/8/28)

サイバー攻撃にも“働き方改革”?
サイバー犯罪者が土日休みの「ホワイト勤務」を好む“ブラックな狙い”
Barracuda Networksの調査によると、脆弱性を悪用した攻撃が平日に集中している。攻撃者が週末に“休む”のはワークライフバランスのためではない。彼らはなぜ、平日に活動するのか。(2021/8/28)

OpenSSLにDoS攻撃を引き起こす脆弱性 迅速なアップデートの適用を
US-CERTは、広く利用されるSSL/TSLライブラリ「OpenSSL」に脆弱性が発見されたと伝えた。脆弱性を利用されるとサービス運用妨害(DoS:Denial of Service)が引き起こされる危険性がある。(2021/8/27)

Microsoftのローコードアプリ開発ツールPower Appsポータルの設定ミスで約3800万件の個人情報漏えい
Microsoftのローコードアプリ開発スイート「Apower Apps」の「Power Appsポータル」で作成された47組織のアプリで、合計3800万件の個人情報がアクセス可能になっていたとUpGuardが報告した。脆弱性ではなく、初期設定のままツールを使うと公開する仕様になっていたため。Microsoftは初期設定を変更し、自己診断ツールを配布した。(2021/8/24)

BINDにDoS攻撃を可能にする脆弱性 影響は広範囲に及ぶ恐れ
全世界で広く利用されるDNSサーバのプログラム「BIND」に脆弱性が見つかった。脆弱性を利用されるとDoS攻撃を引き起こされる可能性があるため、迅速にアップデートを適用してほしい。(2021/8/21)

重要機能をほぼ網羅した優れたツール群:
脆弱性を探し出す7つの主要コード検査ツールとは
Comparitech.comは公式ブログで、コード検査ツールに求められる機能を解説し、それらの機能をほぼカバーする主要な7製品を紹介した。いずれも幅広いプログラミング言語に対応し、部分的なコードであっても脆弱性を検知できるという。(2021/8/19)

Exchange Serverの脆弱性に新情報 これを利用したサイバー攻撃が活発化
アップデートしていない「Microsoft Exchange Server」を運用しているなら注意が必要だ。Exchange Serverの脆弱性に関する新情報が公開されたことでサイバー攻撃者の動きが活発化している。日本にも該当したExchange Serverがあるため、迅速にアップデートしてほしい。(2021/8/17)

2021年8月のWindows Updateが配信開始 悪用の報告がある脆弱性にも対応
Microsoftは、2021年8月の累積更新プログラムを配信した。今回の累積更新プログラムはすでに悪用が確認されている脆弱性の修正を含んでいる。可能な限り迅速にアップデートを適用してほしい。(2021/8/13)

富士通製ツール「ProjectWEB」への不正アクセス調査、129組織での情報流出が判明 「正規のIDとパスワードでログインされた」
富士通製のプロジェクト情報共有ツール「ProjectWEB」を導入していた官公庁などから情報が流出していた問題で、計129組織から情報が流出していたことが明らかになった。第三者が同ツールの脆弱性を突き、正規のID・パスワードを不正に取得し、ログインしていたという。(2021/8/12)

暗号資産、一時660億円流出も4割返還 攻撃者は送金権限を改ざんか
Poly Networkから約6億ドル(日本円で約660億円)の暗号資産が流出した問題で、約4割が返還された。ブロックチェーン推進協会の専門家は、原因について「プラットフォームに脆弱性があり、攻撃者が送金権限を改ざんした」とみているという。(2021/8/12)

現状では解決策なし IoTデバイスのハードウェア乱数ジェネレータに脆弱性
研究者らがIoTデバイスのハードウェア乱数ジェネレータが適切に使われていないと指摘した。350億台に及ぶIoTデバイスが影響を受ける可能性がある。(2021/8/11)

Microsoft、「PrintNightmare」対策で「ポイントアンドプリント」を管理者権限に
Microsoftは「PrintNightmare」と呼ばれる脆弱性に対処するため、「ポイントアンドプリント」で管理者権限を要求するよう仕様を変更した。8月10日のセキュリティ更新で適用される。(2021/8/11)

VPN製品「Pulse Connect Secure」に複数の脆弱性 乗っ取りの危険性あり
VPN製品「Pulse Connect Secure」に複数の脆弱性が発見された。修正版は配布済みのため迅速にアップデートを適用してほしい。(2021/8/10)

Ciscoのルーター製品に「緊急」の脆弱性 直ちにアップデートを
Ciscoのルーターに深刻度が「緊急」の脆弱性が見つかった。該当の製品を利用している場合には直ちに情報を確認するとともに、アップデートを適用することが望まれる。(2021/8/6)

Black Hat USA 2021:
Webスケールの脆弱性調査が可能なオープンソースツール「WARCannon」が公開
インターネットを間接的に「grep」することでWeb脆弱性を調査する作業をよりシンプルに、より速く、より安く実行できるオープンソースツール「WARCannon」が公開された。(2021/8/6)

エストニアで全人口約2割の顔写真データが流出 国のデータベースに脆弱性
エストニアの国家情報システム局が、国民情報の管理や電子手続きに使う「国民IDカード」にひも付いた顔写真データ約29万枚が不正にダウンロードされたと発表した。同局が運営する身分証明データベースの脆弱性が悪用されたという。犯人は逮捕済み。(2021/8/5)

IoTセキュリティ:
数百万の制御システムに影響も、組み込みTCP/IPスタック「NicheStack」に脆弱性
JFrogのセキュリティリサーチチームとForescout Research Labsは、制御システムに広く利用されているTCP/IPネットワークスタック「NicheStack」に14件の脆弱性を発見したと発表。リモートでのコード実行、サービス拒否、情報漏えい、TCPスプーフィング、DNSキャッシュポイズニングなどのサイバー攻撃につながる可能性がある。(2021/8/5)

東芝とPeraton Labsが脆弱性評価ツールをOSSで公開 「Black Hat USA 2021 Arsenal」で発表も
東芝とPeraton Labsは、脆弱性評価ツール「Automated Attack Path Planning and Validation」(A2P2V)を開発した。サイバー攻撃シナリオを自動生成して、システムを模擬的に攻撃することでセキュリティ強度を検証する。(2021/8/5)

GW中に発見されたWordPressプラグインの脆弱性 アップデートは適用済み?
長期休暇中には、アップデートの適用を怠ってしまうこともある。2021年5月4日にWordPressのプラグイン「WordPress Download Manager」で2つの脆弱性が見つかった。修正版はリリース済みのため迅速にアップデートを適用してほしい。(2021/8/3)

産業制御システムのセキュリティ:
東芝が制御システム向け脆弱性評価ツールを開発、オープンソース化で展開拡大へ
東芝と米国のPeraton Labsは、発電所や受変電設備、上下水道や交通、工場・ビル施設などで稼働する産業制御システムへのサイバー攻撃に対する脆弱性評価ツール「Automated Attack Path Planning and Validation(A2P2V)」を開発。「Black Hat USA 2021 Arsenal」で発表するとともに、オープンソースソフトウェアとして公開する。(2021/8/3)

「IE」の脆弱性を利用した新たなサイバー攻撃が見つかる ソーシャルエンジニアリングとの併用も確認
Malwarebytesの研究者が既知の脆弱性とソーシャルエンジニアリングを併用した攻撃手法を発見した。この攻撃は、テンプレートインジェクション手法を利用しているが、サポート終了が迫る「Internet Explorer」の脆弱性を利用している点が珍しい。(2021/7/31)

TechTarget発 世界のITニュース
Windows脆弱性「PrintNightmare」に緊急パッチ提供 Microsoftはなぜ急いだのか
Windowsの印刷関連の脆弱性「PrintNightmare」に対処すべく、Microsoftは定例外のスケジュールでパッチを提供した。なぜMicrosoftはパッチ提供を急いだのか。パッチをすぐに適用できない場合の対処法とは。(2021/7/30)

意思疎通のためのセキュリティ用語集【第5回】
「脅威モデリング」はなぜ必要か? 侵入テストだけでは不十分な理由
侵入テストは、企業のシステムに存在するさまざまな脆弱性をあぶり出すのに役立つ。だがそれだけでは発見しづらい脆弱性があるという。そうした脆弱性の特定で効力を発揮する「脅威モデリング」とは何か。(2021/7/30)

IPカメラのファームウェアに緊急の脆弱性 複数ベンダーの製品に利用されており注意が必要
多くのIPカメラベンダーにソフトウェアを提供するUDP TechnologyのIPカメラファームウェアに複数の脆弱性が見つかった。範囲は明らかになっていないが、多くのデバイスが影響を受けるものとみられる。推奨された緩和策の実施を急いでほしい。(2021/7/29)

複数のApple製品にゼロデイ脆弱性が見つかる 直ちにアップデートを
Appleからゼロデイ脆弱性を修正するアップデートの配信が始まった。同脆弱性はカーネル権限で任意のコードが実行できるというもので注意が必要だ。(2021/7/28)

Apple、「macOS Big Sur 11.5.1」を公開 致命的な脆弱性を修正
Appleは、「macOS Big Sur」の最新アップデートとなる「11.5.1」を公開した。(2021/7/27)

抜本的な対策がない脆弱性「PetitPotam」が見つかる Microsoftが緩和策を公開
Windowsにソフトウェア側での抜本的な対策が難しい脆弱性「PetitPotam」が発見された。Microsoftはこれに対する適切な運用と推奨される緩和策を文書化している。(2021/7/27)

Apple、iOSとiPadOSの「14.7.1」緊急更新 “既に悪用された可能性のある脆弱性”を修正
AppleがiOSとiPadOSの「14.7.1」をリリースした。iOSではApple Watchのロックを解除できない問題を修正。ゼロデイ攻撃に利用された脆弱性の修正も行われる。(2021/7/27)

16年間潜んでいたプリンタドライバの脆弱性が明らかに 影響は数百万台に登る可能性
16年間にわたって、HPとSamsung、Xeroxのプリンタソフトウェアに深刻度の高い脆弱性が存在していたことが明らかになった。何百万台ものプリンタがこの脆弱性の影響を受けると考えられており注意が必要だ。(2021/7/22)

米、英、EU、NATO、日本など、サイバー攻撃で中国を非難
米、英、EU、NATO、日本などが7月19日、3月に発生したMicrosoft Exchange Serverの脆弱性を悪用したサイバー攻撃について、中国を非難した。米司法省は同日、中国政府とつながりがあると見られるハッカー4人を指名手配したと発表した。(2021/7/20)

Chromeに悪用確認済みの脆弱性、特権昇格を許す可能性も
Google Chromeに脆弱性が発見された。今回発見された脆弱性の深刻度は「重要」とされており、最も深刻な「緊急」よりは低い扱いだが、すでにサイバー攻撃に使われていることが確認されているため、対策を急いでほしい。(2021/7/19)

PR:日本マクドナルドに学ぶ、「人の脆弱性」を狙ったサイバー攻撃をいかにして防ぐか?
日本マクドナルドでは、自社で対処すべき固有の情報セキュリティリスクとして「メールを介した脅威」を挙げ、その対処のために予算や人員を確保して対策を強化している。「メールを悪用した攻撃」が増加し、手口も高度化・巧妙化の一途をたどっているからだ。その対処方法とは?(2021/7/19)

TechTarget発 世界のITニュース
報告者に報酬 脆弱性情報を集めるためにCISAが開始したプログラムとは?
米国で官民連携によって幅広く脆弱性情報を収集し、サイバー攻撃を未然に防ぐことを目指したプログラムが始動した。クラウドソーシングを使い、脆弱性の報告者に報酬を支払うこの仕組みはどのようなものか。(2021/7/17)

VMware製品に脆弱性が見つかる アップデート未適用のプロダクトも
複数のVMware製品に脆弱性が発見された。影響を受けたシステムの制御権が乗っ取られる危険性があるため注意してほしい。迅速なアップデートの適用が推奨される。(2021/7/16)

GitHubのバグ発見報奨金、2020年の支払額は約5700万円 報告件数は過去最多
米GitHubの日本法人は、脆弱性やバグを報告したユーザーに謝礼を支払う「セキュリティバグ報奨金プログラム」の支払額が、2020年は約5700万円だったと発表した。(2021/7/16)

細工したUSBで顔認証をだます? Windows Helloに脆弱性が発見される
パスワードレス認証システム「Windows Hello」に、USBを利用して認証を突破できる脆弱性が見つかった。現在、多くの企業が生体認証を採用した認証基盤の構築に注力しているが、その危険性についても十分に認識しておくべきだろう。(2021/7/15)

Windowsの月例アップデートが配信開始 適用プロダクトは?
Microsoftは2021年7月の累積更新プログラムの配信を開始した。月例累積更新プログラムは多くの脆弱性を修正するため、迅速にアップデートを適用してほしい。(2021/7/15)

WordPressのファイル管理プラグイン「Frontend File Manager」に複数の脆弱性 直ちにアップデートを
「WordPress」でファイル管理プラグイン「Frontend File Manager」を利用しているのであれば早急に対処が必要だ。同プラグインには深刻度が緊急(Critical)に分類される脆弱性が複数存在することが指摘されている。(2021/7/13)

Kaseya VSAの脆弱性、アップデートを装ったフィッシング攻撃にも注意
2021年7月に入ってから、Kaseya VSAの脆弱性を利用した大規模なサプライチェーンランサムウェア攻撃が続いている。さらに修正パッチのアップデートを装ったフィッシング詐欺も新たに登場した。(2021/7/12)

4種類のツールを使う:
企業のセキュリティ維持にはなぜペネトレーションテストが重要なのか
WhiteSourceはペネトレーションテストに関する解説記事を公開した。テストの目的と重要性の他、ペネトレーションテストと脆弱性評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。(2021/7/12)

Cisco製品に複数の脆弱性 迅速なアップデートを
Ciscoは、2021年7月に複数のセキュリティアドバイザリを発行した。このうち幾つかのセキュリティ脆弱性は深刻度が重要(High)とされており注意が必要だ。スピーディーな確認とアップデートが求められる。(2021/7/9)

直ちにアップデートを:
Microsoft、脆弱性「PrintNightmare」に向けた累積更新プログラムを配信開始
Microsoftは、Windowsの印刷スプーラーに存在するリモートコード実行の脆弱性、通称「PrintNightmare」の修正プログラムを配信した。迅速なアップデートが望まれる。(2021/7/8)

Androidの7月月例更新開始 Pixelでは再起動を繰り返すバグの修正も
Googleが7月の月例セキュリティ更新の配信を開始した。重要度「最高」を7件を含む多数の脆弱性に対処した。Pixelでは2件のバグ修正も行われる。(2021/7/8)

エレコムのルーター製品に脆弱性 選択肢は利用停止と買い替えのみ
エレコムのルーター製品に脆弱性が見つかった。コマンドインジェクションや任意コマンドの実行が可能だと指摘されている。脆弱性が存在するルーター製品はすでにサポートが終了しているため、修正プログラムは提供されない。該当する製品の使用を停止し、現行製品へ移行することが推奨されている。(2021/7/7)

Microsoft、Windowsの緊急パッチ公開 「PrintNightmare」に対処
Microsoftが7月1日に認めたWindowsの印刷スプーラーの脆弱性に対処する緊急パッチを公開した。「PrintNightmare」と呼ばれるこの脆弱性を悪用されると、SYSTEM権限で任意のコードを実行されてしまう。Windows 7向けのパッチも公開された。(2021/7/7)

Kaseya VSAサプライチェーンランサムウェア攻撃、CISAとFBIが強く対策呼びかけ
Kaseya VSAの脆弱性を利用したサプライチェーンランサムウェア攻撃が活発化している。米CISA、FBIが共同で対策ガイダンスを発表しており、直ちに対策するよう求めている状況だ。(2021/7/7)

エレコムの一部ルーターに脆弱性 サポート終了のため使用中止・現行製品への切り替えを推奨
「任意のOSコマンドを実行される」などのリスクがあるとのこと。(2021/7/6)

ほぼ日刊ITトレンドワード:
エレコム製ルーターに脆弱性、「ウマ娘」はGII以下で体操服……7月6日のITトレンドをサクッとおさらい
7月6日は「エレコム製ルーター」「体操服」がネット上で話題に。その理由や背景をサクっとおさらい。(2021/7/6)

エレコムのルーターに脆弱性、利用停止を呼び掛け 「OSコマンドインジェクション」 を受ける可能性
エレコムが、2017年11月から12月にかけて発売した無線LANルーター3種類に脆弱性があると発表。ファームウェアの更新を終了した機種であることから、製品の利用を停止するよう呼び掛けている。(2021/7/6)

Microsoft AzureチームがPowerShell 7.0/7.1の脆弱性に警告 直ちにアップデートを
Microsoft AzureのリソースをPowerShell 7.0またはPowerShell 7.1から操作する環境を管理している場合は注意してほしい。このバージョンは.NET Coreに発見されたリモートコード実行の脆弱性の影響を受けることが分かっているからだ。(2021/7/5)

Windowsの印刷スプーラーにリモートコード実行の脆弱性「PrintNightmare」の報告、修正提供はまだ
Windowsの印刷スプーラーにリモートコード実行の脆弱性が存在することが明らかになった。この脆弱性を利用されると、遠隔からSYSTEM権限で任意のコードが実行される危険性がある。執筆時点で修正方法はなく、当面は回避策の適用が必要だ。(2021/7/6)

無線LANの脅威「FragAttacks」を解剖する【後編】
Wi-Fiデバイスの脆弱性「FragAttacks」にMicrosoftやCiscoはどう対処したのか
無線LANデバイスに存在し得る脆弱性群「FragAttacks」による実害を防ぐべく、さまざまなベンダーが対処を進めた。各社はその危険性をどう判断し、どう動いたのか。主要ベンダーの取り組みを整理する。(2021/7/8)

今後は通信機器のファームウェアなどが狙われやすくなる Microsoft 365 Defender Research Teamの指摘
Microsoftが2021年12月に公開されたNETGEARルーターの脆弱性に関する情報を公開した。Microsoftはルーターを狙ったサイバー攻撃の増加を指摘している。(2021/7/3)

Dell PCのBIOSに脆弱性の報告、確実なアップデートの適用を
129モデルのDell PCに脆弱性が存在することが明らかになった。BIOSConnectというBIOSレベルのベンダーアップデートツールの脆弱性で、BIOSレベルで任意コードが実行される危険性がある。アップデートの提供が始まったことから、迅速に適用することが望まれる。(2021/7/1)

マクロとミクロで考えるセキュリティの近未来:
PR:ゼロトラスト、SASE、脆弱性アセスメント、NGAV、EDR――新常態におけるセキュリティ課題と、その変革に必要な認識、技術とは
ビジネスを革新するセキュリティの在り方を考えるライブ配信セミナー「ITmedia Security Week 2021夏」が開催され、次世代のセキュリティ技術をさまざまな角度から見直す講演が行われた。本稿では、その内容をお届けする。(2021/7/1)

SonicWallのVPN製品に脆弱性、チェックとアップデートを
SonicWallのVPNアプライアンスで情報リークの脆弱性が存在することが明らかになった。以前発覚した脆弱性の修正で漏れではないかと指摘されている。(2021/6/24)

トヨタ「ハイラックス」に深刻(?)な脆弱性 海外YouTuberのトンデモ実験で「上空1万フィートから落下したらペシャンコになる」ことが判明
約3000メートルの高さから落とされるハイラックス。(2021/6/23)

「NVIDIA Jetson」のSDKに複数の脆弱性 影響は数百万台か
NVIDIAのJetson向けのSDKに複数の脆弱性が見つかった。数百万台が出荷済みと考えられる。(2021/6/22)

Microsoft Teamsに脆弱性の報告、実装の一部に「甘さ」の指摘
Tenableのセキュリティ研究者は、Microsoft Teamsにメッセージやファイル窃取などの可能性がある脆弱性が存在したことを公表した。現在、問題は解消済みだが、脆弱性の内容はいろいろな意味で深刻なものだった。(2021/6/21)

「訴えてやる!」の前に読む IT訴訟 徹底解説(89):
従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです
契約したのは弊社ですが、セキュリティホールを作ったのは従業員です。悪いのはアイツです!(2021/6/21)

無線LANの脅威「FragAttacks」を解剖する【前編】
Wi-Fiデバイスのほぼ全てに影響 無線LANの脆弱性「FragAttacks」とは?
セキュリティ研究者が、無線LANデバイスに存在し得る脆弱性群「FragAttacks」を発見した。どのような脆弱性の組み合わせなのか。簡潔に説明する。(2021/6/19)

ネットワークレベルでエンドポイントの脆弱性に対処:
「仮想パッチ」は通常のパッチと何が異なるのか
仮想パッチは脆弱性パッチの一種だが、脆弱性のあるソフトウェアへ直接パッチを当てるのではなく、ネットワークレベルで脆弱性に対応する。Compritech.comによれば、ネットワークやシステムの管理者は業務の一環として仮想パッチに取り組むべきだという。(2021/6/17)

ThroughTek P2P SDKでWebカメラの映像にアクセスできる脆弱性、深刻度は緊急
またWebカメラに脆弱性が報告された。該当するデバイスを使っていないか確認しておこう。(2021/6/17)

TechTarget発 世界のITニュース
Appleが「WebKit」の脆弱性を修正 ユーザーがやるべきことは?
Appleは「iOS」や「macOS」が搭載するレンダリングエンジン群「WebKit」の脆弱性を修正した。同社はユーザーや管理者に対象となるOSを更新するよう呼び掛けている。(2021/6/16)

一部のLinuxディストリビューションに特権昇格の脆弱性、RHEL 8などに影響
Linuxに特権昇格の脆弱性が発見された。この脆弱性自体は7年前から存在していたが、該当する脆弱性があるpolkitを含むディストリビューションがなかったため最近ようやく発見されたようだ。(2021/6/14)

Chromeに緊急の脆弱性、サイバー攻撃での利用もすでに観測
GoogleからChromeのセキュリティアップデート版の配信が開始された。今回のアップデートで修正対象になっている脆弱性の一つはすでにサイバー攻撃で使われていることが明らかになった。(2021/6/11)

NAME:WRECKの衝撃
多数のIoT機器が抱えるDNS脆弱性 パッチ適用できない機器はどうする?
メジャーなTCP/IPスタックで脆弱性が発見され、膨大な数のIoT機器が影響を受けることが判明した。パッチの適用が最善策だが、適用できないIoT機器を保護する方法はあるのか。(2021/6/11)

Microsoft Officeに数年にわたって存在した4つの脆弱性が発見される
Microsoft Officeに4つの脆弱性が見つかった。Microsoft Officeエコシステムのほぼ全てに影響するという。しかも、この脆弱性は数年にわたって存在していたと考えられている。(2021/6/10)

iPhoneやmacOSの特権昇格の脆弱性「CVE-2021-30724」についてトレンドマイクロが詳細を公開
2021年5月に配信されたiPhoneやiPad、macOSのアップデートには、特権昇格が可能な脆弱性「CVE-2021-30724」を修正する変更が含まれていた。この問題を発見したTrend Microが脆弱性の概要と概念実証(PoC:Proof of Concept)を公開した。(2021/6/7)

この頃、セキュリティ界隈で:
今そこにある 分業制「サイバー脅迫エコノミー」 企業を狙うマルウェア、脆弱性の放置は格好の標的に
サイバー犯罪の分業システムという、嫌な経済圏が既に動いているようだ。(2021/6/7)

DRAMの微細化で脅威が増すサイバー攻撃:
メモリに繰り返しアクセスするだけで権限のないメモリ内容を変更可能、Googleが攻撃手法を発見
DRAMが持っていたハードウェアの脆弱性を悪用する「ローハンマー」というサイバー攻撃は、2014年に見つかった古い手法だ。既に対策が講じられているものの、2021年にGoogleが発見した「ハーフダブル」攻撃にはまだ対策が見つかっていない。(2021/6/4)

WordPressプラグインにゼロデイの緊急脆弱性、すでに悪用確認で要対応
またWordPressプラグインの1つにゼロデイの脆弱性が発見された。深刻度は緊急(Critical)に分類されている。しかもすでにサイバー攻撃が確認されている。(2021/6/4)

PDFの認証文書を書き換える脆弱性、回避できたのは26アプリ中たった2つ
PDFドキュメントには不正変更を防止する認証機能が用意されているが、この認証機能を攻撃する方法が発見された。認証された文書であるにもかかわらず可視コンテンツを変更することができるという。26のアプリケーションで検証され、攻撃に対して安全だったのは2つだけだったと報告されている。(2021/5/31)

TechTarget発 世界のITニュース
SonicWallのメールセキュリティ製品にゼロデイ攻撃 侵入の手口は?
SonicWallのメールセキュリティ製品「Email Security」のゼロデイ脆弱性が悪用された。攻撃者はどのように攻撃を仕掛けたのか。詳細を追った。(2021/5/29)

Bluetooth CoreとMeshの仕様に脆弱性、影響範囲の広さはまだ不明
最近のデバイスでよく使われている無線機能であるBluetoothの仕様に脆弱性があることが発見された。この脆弱性を利用されると、なりすまし攻撃を受けたりAuthValueの漏えいなどが発生する危険性があるとされる。まだどの程度の製品が影響を受けるのかの全体像は明らかになっておらず、ベンダー各社の対応も含め、今後の動向が注目される。(2021/5/31)

Apple M1プロセッサの設計上の脆弱性、Linux移植の過程で偶然発見
Appleが2020年に発表したApple M1プロセッサの評判は良好だ。その設計特性からパワフルで高速な上に消費電力面でも優れていると評価される。この新プロセッサLinux移植を試みていた開発者が設計上の脆弱性を発見してしまった。(2021/5/28)

「監視ツールで守られていると思っていたら、攻撃条件がそろっていました」:
Nagiosに13個の非常に強力なアップストリーム攻撃が可能な脆弱性の報告
人気の高いセキュリティツールであるNagiosに非常に強力なアップストリーム攻撃が可能な複数の脆弱性が存在していたことが明らかになった。サードパーティー製のテクノロジーハブへの攻撃にも注意が必要になりそうだ。(2021/5/25)

macOS Big Surが11.4にアップデート 多数の脆弱性と不具合が修正
米Appleは、macOSの最新版「macOS Big Sur 11.4」を公開した。(2021/5/25)

iOS 14.6の配信開始 Podcastサブスク対応、AirTagのプライバシー改善、38件の脆弱性修正も
Appleが「iOS 14.6」の配信を開始した。Podcastアプリでのサブスクリプションに対応した。AirTagのプライバシー改善や38件の脆弱性修正も行われる。(2021/5/25)

Ciscoの複数の製品に脆弱性の報告 アップデート適用を
2021年5月20日(現地時間)に米コンピュータ緊急事態対策チームがCisco製品のセキュリティ脆弱性に関して注意喚起を行った。この前後にも複数のセキュリティアドバイザリが発行されているため、見落としがないか確認してほしい。(2021/5/24)

人気のWordPress統計情報プラグインに脆弱性、アカウント窃取に注意
WordPressのプラグイン「WP Statistics」で、認証されていないユーザーアカウントデータなどの機密情報を窃取できる脆弱性が存在することが明らかになった。該当するプラグインを使っている場合には迅速にアップデートを適用してほしい。(2021/5/24)

IoTセキュリティ:
オープンソースソフトウェアの採用率は98%に拡大、脆弱性含む割合も増加の一途
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。(2021/5/24)

脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」【訂正あり】
大規模会場を使った新型コロナワクチンの接種予約システムの欠陥を巡り、情報公開の在り方で議論が起きている。IPA(情報処理推進機構)は5月18日、取材に対し「一般論ではあるが、脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。(2021/5/18)

TechTarget発 世界のITニュース
FBIが警鐘を鳴らす「FortiOS」の脆弱性 “パッチ未適用”の製品が標的に
FBIとCISAによると、Fortinet製品が搭載する「FortiOS」の脆弱性を悪用したAPT攻撃が発生している。アップデートしていない製品が狙われているとみられる。(2021/5/18)

8割超が「アウト」も 脆弱な通信プロトコルを使い続ける企業の割合に関する残念な調査結果
一般的な通信プロコトルに脆弱性が発見されると、影響範囲の大きさから対策を急ぐものと考えがちだが、ある調査によると、「まさか」と思うような脆弱性を放置する企業もあるようだ。リスクの高いプロトコルとリスクの割合が明らかになった。(2021/5/15)

すでに攻撃確認、5月のMicrosoft累積アップデートは緊急脆弱性対応が盛り込まれる
Windows Updateで修正される脆弱性に「緊急(Critical)」と分類されるものが増えている。Microsoft2021年5月の累積アップデートには緊急の脆弱性に対応するものが含まれる。すでに脆弱性を突く攻撃が確認されているので注意してほしい。(2021/5/13)

Adobe Acrobat、Acrobat Readerに任意コード実行の脆弱性が報告される
AdobeのAcrobatとAcrobat Readerに緊急の脆弱性が発見された。この脆弱性を突かれると任意のコードが実行される危険性がある。すでに悪用が確認されていることから、該当する製品を使用している場合には直ちにアップデートを適用してほしい。(2021/5/12)

WordPressのアンチスパムプラグインにSQLインジェクションの脆弱性、アップデートで対応を
WordPressプラグインにSQLインジェクションの脆弱性が見つかった。この脆弱性を利用されると、ユーザー電子メールアドレスやハッシュ化されたパスワードなど任意のデータを窃取される危険性があるため、アップデートを急いでほしい。(2021/5/10)

Eximに緊急の脆弱性、400万台のMTAサーバに影響
メール転送エージェントEximに21個の緊急の脆弱性が発見された。遠隔から制御権を乗っ取ることが可能とされている。該当するソフトウェアを使用している場合には可能な限り迅速にアップデートが望まれる。(2021/5/8)

Dell PCに特権昇格の脆弱性、アップデートを
DellのPCに特権昇格の脆弱性が存在することが研究者らによって指摘された。影響を受けるユーザーは数百万人にのぼると見られる。一般ユーザーが特権昇格できるとされており、今後悪用が進む可能性があるため、アップデートの適用を急いでほしい。(2021/5/6)

Apple、悪用される可能性のあるWebKitの脆弱性を修正するiOS、iPadOS、macOS、watchOSのアップデート
AppleがiOS、iPadOS、macOS、watchOSのアップデートをリリースした。いずれも同じWebKitの脆弱性を修正するもの。既に悪用された可能性があるとしている。(2021/5/4)

「kintoneの脆弱性ではない」 東京都医療者向けワクチン予約サイトの個人情報問題でサイボウズが見解
東京都が医療従事者向けに公開した新型コロナワクチンの接種予約サイトに、第三者から個人情報が閲覧できる不具合があった問題を受け、システムのベースとなるソフトウェア「kintone」(キントーン)を開発したサイボウズがkintone自体に脆弱性はないと発表。(2021/4/27)

iOS 14.5とwatchOS 7.4配信開始 マスクのままロック解除やトラッキング許可など盛りだくさん
Appleが「iOS 14.5」と「watchOS 7.4」をリリースした。これでマスクのままのロック解除機能や「AirTag」を探すなど多数の機能が使えるようになり、50件以上の脆弱性も修正される。(2021/4/27)

TechTarget発 世界のITニュース
SolarWinds製品の脆弱性を悪用 メールセキュリティベンダーが被害を公開
Mimecastは、同社のデジタル証明書に不正アクセスがあった攻撃について侵害調査の結果を公開した。攻撃者の侵入経路が判明するとともに、被害がデジタル証明書以外にも及んでいることが分かった。(2021/4/27)

持続的標的型攻撃はどのように実行されたか――CISAが対応した事例の分析レポートを公開
VPNアプライアンスの脆弱性を突き、リスクある「SolarWinds Orion」サーバに侵入してWebシェル「Supernova」を仕込む――。直近で実際に発生した実際の持続的標的型攻撃について、対応にあたったCISAがレポートをまとめた。どのように侵入され攻撃されたのかが簡潔にまとまっている。(2021/4/27)

内閣府の共有ストレージに不正アクセス 231人分の個人情報が流出
内閣府は職員らが使用するファイル共有ストレージに不正アクセスがあり、231人の個人情報が外部に流出したと発表した。内閣府は攻撃の痕跡などから、開発元も認知していない脆弱性を突いたサイバー攻撃「ゼロデイ攻撃」とみている。(2021/4/23)

Linuxカーネルへの意図的な脆弱性混入、ミネソタ大が証明してしまったリスク
Linuxカーネルに研究者が悪意あるコードを故意にコミットしていたことが明らかになり、波紋を呼んでいる。カーネル開発者は同グループからのコミットを全て差し戻して再検証し、大学側も研究の停止を発表した。(2021/4/23)

【情報更新あり】VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供までは回避策を推奨
CISAがPulse Connect Secureの脆弱性を利用した攻撃に関する注意喚起を発表した。侵入を許した場合、Webシェルを仕込まれている可能性がある。場合によってはかなりの数のアカウントのパスワードリセットと、システム全体のチェックと対処が必要になる。(2021/4/22)

TechTarget発 世界のITニュース
「Exchange Server」にゼロデイ攻撃 Microsoftが定例外のパッチ公開
「Exchange Server」の脆弱性に対して、Microsoftは2021年3月2日にセキュリティ更新プログラムを公開し、公式のブログで脆弱性や関連する攻撃について報告した。(2021/4/20)

この頃、セキュリティ界隈で:
医療機器や制御システムに影響する脆弱性「NAME:WRECK」 つながるモノがはらむ危険性に警鐘
DNDプロトコルが脆弱性につながっているという。(2021/4/19)

VLCやOpenOfficeなどにワンクリックコード実行の脆弱性 アプリ開発におけるURI処理に課題
人気の高いソフトウェアにワンクリックコード実行の脆弱性が見つかった。ソフトウェア側の実装に問題があるため、今回発見されたソフトウェア以外にもリスクがある可能性があるという。(2021/4/16)

「ぐるなび」アプリに脆弱性、フィッシング詐欺被害の恐れ 「最新版へ更新を」IPAが呼び掛け
「ぐるなび」のアプリにアクセス制限の不備があり、フィッシング詐欺などの被害にあう恐れがあるとして、IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)がアプリを最新版にアップデートするよう注意を促した。(2021/4/15)

1億台のデバイスにDoSやリモートコード実行の脆弱性「NAME:WRECK」、研究者ら報告
100億台を超えるデバイスに「NAME:WRECK」と呼ばれる脆弱性が存在する可能性が発表された。技術標準仕様を定めたRFCの複雑さがセキュリティリスクになっているとの見解を示した。(2021/4/14)

FBI、「Exchange Server」攻撃を受けた未対策サーバのWebシェル削除を“代行”
米司法省は、1月ごろから拡散している「Microsoft Exchange Server」の脆弱性を悪用する大規模な攻撃で悪意あるWebシェルを仕込まれ、自ら対処できていない米国内の数百のサーバからリモートでWebシェルを削除したと発表した。(2021/4/14)

Microsoft、4月の月例更新で悪用されたExchange問題を含む多数の脆弱性に対処 「Edge Legacy」は消滅
Microsoftが月例更新“Patch Tuesday”の配信を開始した。危険度最高19件を含む100以上の脆弱性が修正される。また、「Edge Legacy」はこの更新で消滅する。(2021/4/14)

サポート切れCisco Small Businessルーターに緊急の脆弱性、アップデートの提供予定はなし
古いCisco Small Businessルーターシリーズにリモートコード実行の脆弱性が存在するというセキュリティアドバイザリが発行された。この脆弱性に関してはEoLを理由にセキュリティアップデートは提供されない見込みだ。サポート対応のある製品への切り替えが推奨されている。(2021/4/12)

macOSメールにあったゼロクリック脆弱性の詳細を研究者が公表
macOSのメールアプリケーションにゼロクリックのセキュリティ脆弱性が存在していた。この脆弱性自体は2020年7月のアップデートで修正されているが、修正が適用される前のメールアプリケーションは細工された2つのzipファイルを添付したメールを受信するだけで個人情報が漏えいするリスクがあったようだ。(2021/4/6)

古いQNAPに別の脆弱性、ネットワーク経由で乗っ取り可能との情報が公開される
人気のNAS製品「QNAP」の古いモデルに、直近のセキュリティアップデートを適用していても防げない脆弱性が報告された。悪用されるとリモートから完全に乗っ取られる可能性もあるという。(2021/4/6)

ワークロードを可視化して適切に保護
クラウドをサイバー攻撃から守るカギ、DevSecOpsを実現する2つのポイントとは?
DXの推進に伴いクラウドやコンテナの採用が増える一方、設定ミスや、ホストの脆弱性が放置されていることにより、セキュリティリスクが高まっているケースは多い。これを解消するにはDevSecOpsを実現することが不可欠だが、その方法とは?(2021/4/13)

5.33億人のFacebookユーザーの電話番号を含む個人情報、犯罪フォーラムで公開
Facebookの日本を含む世界のユーザー5億3300万人の個人情報が、サイバー犯罪フォーラムで公開されているとセキュリティ研究者が警告した。Facebookは、このデータは2019年に流出した古いもので、原因の脆弱性は修正済みだと語った。(2021/4/4)

WordPress人気の検索プラグインに脆弱性、6万以上のWebサイトに影響か
WordPressで人気のある検索プラグインに脆弱性が発見された。脆弱性が利用されれば、攻撃者に悪意あるJavaScriptのコードを実行される危険性があるとされている。影響を受けるWebサイトは6万件以上と推定され、注意が必要だ。(2021/3/31)

Webページを閲覧しただけで全てを奪われる:
複数の脆弱性を突く攻撃チェーンの構築法とは、GitHubがAndroidシステムの実例を解説
GitHubは複数の脆弱性攻撃を組み合わせることで、カーネルコードの実行に至る実験に成功したことを発表した。Androidシステムコンポーネントのさまざまな脆弱性攻撃を組み合わせて、「Google Chrome」ブラウザのエクスプロイトから権限昇格へ、さらにAndroidデバイス上でのカーネルコード実行へと進んだ。(2021/3/31)

Mobile Weekly Top10:
iOSやiPadOSなどに脆弱性対策の修正/WebViewの不具合でAndroidユーザーが大混乱
iOS/iPadOS 14やiOS 12などにセキュリティ上の脆弱(ぜいじゃく)性を修正する更新が行われました。iOS 12の更新はiOS 14の適用対象外機種を対象とするものです。(2021/3/29)

「Exchange Server」攻撃対策、92%以上が適用 まだ3万以上のインスタンスが不適用
Microsoftが「Exchange Server」の脆弱性を突く攻撃への対策状況を説明した。世界中の脆弱性のあるExchange Serverの92%以上にパッチの適用または緩和策の適用が行われたとしている。(2021/3/29)

自社のテレワークPCは安全と言い切れる?
SSL VPNの脆弱性も狙われる――識者が語るテレワーク環境の最新脅威と対処法
新型コロナウイルス感染症の影響でテレワークが普及する中、SSL VPNの脆弱性を突く標的型ランサムウェア攻撃や、拡散を狙うばらまきメール攻撃など新たな脅威が顕在化している。これらに企業はどう対処すべきか、有識者が語り合った。(2021/3/29)

iOSの14.4.2と12.5.2配信 「悪用された可能性のあるWebKitの重要なセキュリティアップデート」
Appleが、iOS、iPadOS、watchOSのアップデートをリリースした。悪用された可能性のあるWebKitの脆弱性を修正するものだ。iPhone向けは「iOS 14.4.2」だけでなく、旧モデル向けの「iOS 12.5.2」も出ている。(2021/3/27)

リスクあるExchange Serverは世界に6万2000台も残る、日本の台数は
Exchange Serverの脆弱性が現在進行系で悪用されている。脆弱な状態のExchange Serverは特に米国に多いが、日本も世界で13番目に多いようだ。(2021/3/27)

WordPressのテーマに緊急脆弱性、既に攻撃の痕跡も
WordPressで人気の高いテーマの脆弱性がサイバー攻撃に使われていることが発見された。この脆弱性はセキュリティパッチが提供されていないテーマのものだ。このテーマを利用したWebサイトはインターネット上に10万ほど存在すると推測される。(2021/3/25)

ロイヤルダッチシェル、保守切れ直前アプライアンスのゼロデイ脆弱性を突かれる
石油大手Royal Dutch Shellがサイバー攻撃を受けた。保守切れ直前の古いアプライアンスが抱えた脆弱性を突かれた。影響範囲は調査中だとしている。(2021/3/24)

ゼロデイ脆弱性「少なくとも11は使われていた」 Google Project Zero指摘
ソフトウェアを常に最新の状態に保っていてもゼロデイの脆弱性を狙ったサイバー攻撃は防御し切れない。2020年は少なくとも1年間で11のゼロデイ脆弱性がサイバー攻撃者に使われたことが明らかになった。複数のゼロデイ脆弱性を組み合わせた攻撃も見つかっているという。(2021/3/22)

WordPressの人気プラグイン「Elementor」に脆弱性、クロスサイトスクリプティングが可能な状態に
WordPressで非常に人気の高いエディタプラグインである「Elementor」にクロスサイトスクリプティングの脆弱性が存在することが公開された。すでに修正したバージョンが公開されていることから、該当するプラグインを使用している場合にはアップデートを適用してほしい。(2021/3/19)

この頃、セキュリティ界隈で:
Microsoft、ワンクリックの脆弱性緩和ツール公開 「Exchange Server」の脆弱性悪用続く
MicrosoftはExchange Serverの脆弱性を突いた攻撃に、さらなる方策を打ち出した。(2021/3/17)

シュナイダー製スマートメーターに緊急の脆弱性情報、狙われるスマート機器
世界的に普及が進むスマートメーターは、ソフトウェアを搭載し、リモート通信機能を持つことからサイバー攻撃の評価的になり得る。実際、スマートメーターのセキュリティアドバイザリも発行される状況だ。(2021/3/16)

半径300メートルのIT:
Exchange Serverに見つかった複数の脆弱性 企業に今求められる対策は
「Microsoft Exchange Server」における複数の深刻な脆弱性が発見されました。これらは「ProxyLogon」と名前が付けられています。影響範囲も大きく長期的な対応が求められる今回の脆弱性に対して、企業はどのように向き合っていけば良いのでしょうか。(2021/3/16)

「見えないWeb攻撃」──情報漏えい対策の盲点:
「普通の企業サイト」がいま攻撃に晒されているワケ ”見て見ぬふり”のわずかなスキに忍び寄る影
Webサーバやサービスの脆弱性を狙った、SQLインジェクションなどの一般的なWebアプリケーション攻撃は相変わらず猛威を振るっている。そしてこの背景には、闇市場で最近流通している「ある品目」が関係していそうなことが見えてきた。(2021/3/15)

iOSとiPadOSの14.4.1とwatchOSの7.3.2配信 「重要なセキュリティアップデート」
Appleは、「iOS 14.4.1」「iPadOS 14.4.1」「watchOS 7.3.2」「macOS Big Sur 11.2.3」の配信を開始した。WeKitの脆弱性を修正するものだ。この脆弱性を悪用したWebコンテンツを利用すると、任意のコードを実行される可能性がある。(2021/3/9)

半径300メートルのIT:
バズワードに惑わされない セキュリティ対策の基本は情報の「収集」と「棚卸し」だ
アイティメディア主催の「ITmedia Security Week 2021春」(2021年3月1〜5日)が開催されました。本稿は、最新の脆弱性情報を取り上げつつ、多数の講演者が語ったセキュリティ対策のポイントを筆者なりに解釈します。(2021/3/9)

Exchange Serverの脆弱性情報まとめ US-CERTが連日注意喚起を発する異例の事態に
2021年3月に入ってからMicrosoft Exchange Serverの脆弱性に関する発表が続いている。次々と新しい情報がでていることから、対応済みの場合も、新しいセキュリティアドバイザリや当局からの発表をくまなく確認する必要がある。(2021/3/8)

日立、AIでIoT機器の脅威・脆弱性情報の収集・分析を迅速化する新サービスを開始
日立は、製造業などで増加するIoT機器の脆弱性を狙うサイバー攻撃の脅威・脆弱性情報をAIで迅速、高精度に収集・分析するアウトソーシングサービス「脅威インテリジェンス提供サービス」を開始する。月数万件に及ぶ情報収集・分析時間を80%削減し、早期の製品セキュリティ対策を支援する。(2021/3/8)

VMware vCenterに緊急度の高い脆弱性 PoCは既に公開
VMwareからvCenterやESXiに関するセキュリティアドバイザリが発行された。vCenterに関する脆弱性の深刻度は「緊急」だ。脆弱性のす概念実証(PoC:Proof of Concept)が公開されいることから、今後サイバー攻撃に使われる可能性が高い。(2021/2/26)

EoL間近のファイル転送アプライアンスがサイバー攻撃に使われている
そろそろEoLに達するレガシーなファイル転送アプライアンスにゼロデイの脆弱性が発見された。攻撃者が企業内データを窃取して、データ公開と引き換えに身代金を要求する脅迫も確認されている。(2021/2/24)

Clubhouseが利用する開発キット「Agora SDK」に脆弱性 修正バージョンを適用していないアプリも
マカフィーは、ビデオ通話ソフトウェアの開発キット「Agora SDK」に脆弱性を発見した。修正バージョンは公開済みだが、SDKをアップデートしていないアプリがあるとして注意を呼びかけている。(2021/2/24)

IEにゼロデイの脆弱性、第三者保守ベンダーが報じる
Internet Explorerにゼロデイのセキュリティ脆弱性が発見された。今後のサポート終了が見込まれることから世界的にはシェアが2%を切るだが、日本のデスクトップ向けWebブラウザにおいてはシェア4位を維持する。(2021/2/20)

ScamClub攻撃とは? 身に覚えのない「当選のお知らせ」広告の裏側
「macOS Big Sur 11.2」に半年前に発見されていたWebKitの脆弱性の修正が盛り込まれた。身に覚えのない「当選のお知らせ」広告をきっかけとした攻撃への対策だ。(2021/2/18)

Webシェル攻撃とはどんなものか Microsoft 365 Defenderが月間14万件も検出する脅威
Microsoftの分析によってサイバー攻撃にWebシェルが使われる件数が増加していることが分かった。Webシェルはこれまでもサイバー攻撃者に人気の高い攻撃方法だったが、この半年間で使用件数が加速的に増えているようだ。WebシェルはWebアプリケーションの脆弱性を突く形で設置されることが多い。アップデートを適用していないサーバを運用している場合には注意が必要だ。(2021/2/15)

プレミアムコンテンツ:
Computer Weekly日本語版:AWS、MS、Googleどれにする?
特集は3大クラウドベンダーのオンプレミスハードウェアおよびストレージオプション、Surface Go 2レビュー、APIスキーマの解説。他にPythonコードの脆弱性チェックツール、行動的生体認証技術などの記事をお届けする。(2021/2/11)

GoogleがOSSの脆弱性DB「OSV」を開始、セキュリティリスク取りこぼしは減るか
オープンソースソフトウェアのセキュリティ脆弱性対策は手間がかかる上に対処に慎重さと迅速さが求められ、開発者の重荷となっている。こうした状況に対してGoogleが新しい取り組み「OSV」を開始した。(2021/2/9)

API実装の落とし穴に要注意:
APIの脆弱性はどの程度危険なのか、どうすれば攻撃を防げるのか
サイバーセキュリティツールベンダーのPortSwiggerは、APIの脆弱性対策について解説したブログ記事を公開し、警鐘を鳴らした。設計時からAPIの脆弱性に注意を払うこと、さらに攻撃者の立場でAPIをテストすることが重要だという。(2021/2/5)

SolarWinds製品に新たに3つの脆弱性、アップデートを
収束の気配が見えないSolarWinds問題。新たにリモートからのコード実行や機密情報の窃取などが可能になる3つの脆弱性が見つかったとの報告が出た。すでに修正版やパッチが公開されているので対応を急いでほしい。(2021/2/4)

プレミアムコンテンツ:
Computer Weekly日本語版:コンポーザブルインフラがデータセンターを変える
特集はCPUやメモリも構成可能な要素にして柔軟なコンピューティングを実現するコンポーザブルインフラ解説、自治体のAI&RPA事例、コンテナストレージ技術の本命「Rook」。他に5Gの健康問題、脆弱性が多い言語などの記事をお届けする。(2021/2/4)

汎用暗号化ライブラリLibgcryptに緊急のセキュリティ脆弱性、すぐにアップデートを
暗号化ライブラリ「Libgcrypt」に緊急リリースがあった。公開されたばかりのLibgcrypt 1.9.0にセキュリティ脆弱性が発見されたためだ。深刻度の評価値はまだ公開されていないが、脆弱性の種類と攻撃の容易さを考慮すると、深刻度は高い値になる可能性が高い。(2021/2/3)

車載セキュリティ:
PR:コネクテッドカーの進化で拡大するサイバーリスク、いかに対処すべきか
デジタルの力を駆使し、クラウドとも連携しながら新たな運転体験を提供しようと進化を続ける自動車だが、万が一サイバーセキュリティの脆弱性があれば深刻な問題となる。この課題をハードウェアレベル、半導体レベルから解決すべく、加賀FEIとエフセキュアが手を組んだ。(2021/2/3)

sudoにパスワード不要で特権昇格が可能な脆弱性が見つかる
sudoにヒープバッファオーバーフローの脆弱性が存在することが明らかになった。攻撃者はユーザーのパスワードを知らなくても特権昇格できるとされる。sudoはmacOSやLinux、UNIX系OSでプリインストールされるコマンドとして広く利用されており、影響範囲が大きい。(2021/1/28)

「iOS 14.4」配信 「watchOS 7.3」で心電図アプリ、「悪用された可能性のある」脆弱性修正
Appleが「iOS 14.4」「iPadOS 14.4」「watchOS 7.3」の配信を開始した。Apple Watch 4以降のモデルで「心電図」アプリが利用できるようになる他、Appleが「悪用された可能性がある」とする3件の脆弱性の修正も適用される。(2021/1/27)

どれか1つミスがあれば攻撃可能?:
FreakOut攻撃とは? 攻撃が成功する確率を高めたマルウェアに注意
Linuxベースのサーバやデバイスを侵害し、botネットを構築する新しい攻撃キャンペーンおよびマルウェア「FreakOut」が発見された。複数のソフトウェアの脆弱性を利用しており、どれか一つでも該当すれば侵害を受ける可能性がある。(2021/1/21)

デバイス組み込みで人気のDNSソフトウェアに脆弱性、知らぬうちに利用している可能性も
世界中で使われるDNSソフトウェアに複数の脆弱性が発見された。遠隔からキャッシュポイズニング、リモートコード実行、サービス妨害攻撃などを引き起こされる危険性がある。(2021/1/21)

第4のマルウェア「Raindrop」発見 続くSolarWindsサイバー攻撃の解析
SolarWinds製品の脆弱性に端を発する大規模なサイバーインシデントは未だに全貌がつかめていない状況だ。これまでに発見された3つのマルウェアに加え、第4のマルウェアが発見された。(2021/1/20)

不正アクセスでペイメントアプリ改ざん 「柿安オンラインショップ」カード情報集出、不正利用も
ECサイト「柿安オンラインショップ」が不正アクセスを受けて顧客のクレジットカード情報が流出し、一部の顧客のカード情報が不正利用された可能性。第三者によってシステムの脆弱性が突かれ、ペイメントアプリを改ざんされたためという。(2021/1/20)

WordPressプラグイン「Orbit Fox」に特権昇格の脆弱性、アップデートの確認を
WordPressのプラグイン「Orbit Fox」に2つの脆弱性が発見された。そのうち一つは特権昇格が可能なため、Webサイトが乗っ取られる危険性があるとされている。(2021/1/14)

TechTarget発 世界のITニュース
OSSのTCP/IPスタックに33種類の脆弱性「Amnesia:33」を報告 Forescout
IoTデバイスなど各種デバイスに広く採用されているオープンソースのTCP/IPスタック4種類に、リモートコード実行を含む複数の脆弱性があることが判明した。その影響は。(2021/1/13)

テスラ「モデル3」に新たな脆弱性が発覚 ハイウェイで隣を走るトラックの急な割り込みに対応できない
これはドライバーが人間でも防げない可能性が高いケース。(2021/1/11)

電力サイドチャネル攻撃が可能
IntelおよびAMDプロセッサに新たなサイドチャネル攻撃の脆弱性
IntelとAMDのプロセッサでまた脆弱性が発見された。両社のプロセッサを搭載したPCやクラウドサーバがこの影響を受ける。新たなサイドチャネル攻撃はどのように行われるのか。(2021/1/8)

MONOist 2021年展望:
不確実性の時代に向けしなやかなサプライチェーンを、“攻めのIT”の一策に
新型コロナウイルス感染症(COVID-19)の世界的な感染拡大があぶり出したのが、パンデミックという想定外の事態に対応できない製造業のサプライチェーンの脆弱性だった。2021年は、製造業に求められているDXの一環となる“攻めのIT”として「しなやかなサプライチェーン」を実現する端緒の年になるかもしれない。(2021/1/7)

TechTarget発 世界のITニュース
NSAがVMware製品の脆弱性に注意喚起 「Workspace One Access」などに影響
NSAは、攻撃者が「Workspace One Access」をはじめとするVMware製品の脆弱性を悪用していると報告した。VMwareは既にパッチを公開しており、NSAは政府機関に早急適用を勧告した。(2021/1/5)

「Sunburst」の被害はどこまで? SolarWinds Orionを介した攻撃の詳細と対策方法
SolarWinds製品の脆弱性に端を発する一覧のサイバー攻撃に関して毎日新しい情報が発表されている。依然として不明な点が多いこのサイバーインシデントは現在進行性で進化しており迅速な対応が必要な状況になっている。(2020/12/23)

TechTarget発 世界のITニュース
マルウェア「TrickBot」にUEFI/BIOS脆弱性を検出する新モジュール 研究で明らかに
「TrickBot」を用いた攻撃者は、Microsoftなど各社の遮断措置により活動を停止したとみられていた。しかしUEFI準拠ファームウェアやBIOSの脆弱性を検出する新モジュールの存在が明らかになった。(2020/12/21)

本物の攻撃ツールでサイバー攻撃を体験 攻撃者の心理を学べる「セキュリティ講座」開催
講座で攻撃テクニックを習得し、実際に架空の企業ネットワークに侵入することで脆弱性を見つけ出します。(2020/12/20)

WordPressの人気プラグインに脆弱性、バックドアを仕込まれるおそれも
CMS「WordPress」で人気のプラグイン「Contact Form 7」に、無制限にファイルをアップロードできる脆弱性が見つかった。悪用されるとバックドアを仕込まれるリスクがある。(2020/12/19)

不適切なsyscallアクセスを防ぐ:
面倒なアクセス制御を自動化、米大学がポリシーの自動作成ツールを開発
ミシガン大学とテキサス大学オースティン校の研究チームはOSや他のプログラムを危険にさらすことのないように、アプリケーションのポリシーを自動的に作成するツール「Abhaya」を開発した。脆弱性を突いたサイバー攻撃に対応できる。(2020/12/18)

HPEのサーバ管理ツールにリモートコード実行の緊急脆弱性の報告
HPEのリモート管理ツールに脆弱性が見つかった。深刻度は緊急(Critical)だ。現段階では修正版はでておらず、緩和策が提示されている。(2020/12/17)

SolarWindsが2つ目の修正版公開、ただちにアップグレードを
SolarWindsから「Orion Platform」に発見された脆弱性を修正する2つ目のアップデートが公開された。この脆弱性は高度で洗練された標的型の「手動サプライチェーン攻撃」に使われているため、リスクが高い。利用している場合は速やかにアップデートをして対処しよう。(2020/12/17)

脆弱性管理の実践ポイント(終):
日々増える「脆弱性」を何とかしたい企業に贈る、脆弱性管理を導入する前に検討すべき5ステップ
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。最終回となる今回は、脆弱性管理を導入するための具体的なステップについて。(2020/12/17)

「iOS 14.3」配信 写真規格「Pro RAW」追加や「AirPods Max」対応他、多数の機能追加
Appleが「iOS 14.3」をリリースした。「iPhone 12 Pro/Pro Max」のカメラの目玉機能「Pro RAW」が利用できるようになる。オーバーイヤー型ヘッドフォン「AirPod Max」にも対応した。セキュリティ関連では11の脆弱性に対処した。(2020/12/15)

Apache Struts 2に遠隔から任意コード実行の脆弱性、アップデートを
Apache Struts 2に任意のコードが実行できる脆弱性が報告された。Apache Struts 2は国内のWebサイトの多くで採用されており注意が必要。該当するプロダクトを使用している場合には迅速にアップデートを適用することが望まれる。(2020/12/14)

OpenSSLに「重大」な脆弱性 DoS攻撃のリスクも
さまざまなシステムで広く利用されるOpenSSLに新たな脆弱性が見つかった。DoS攻撃につながりかねないリスクがあるあため、アップグレードや修正バージョンの入手を急ぎたい。(2020/12/10)

12月のMicrosoftセキュリティ更新プログラムは6個の緊急脆弱性に対処
Microsoftから2020年12月のセキュリティ更新プログラムが提供された。修正対象の脆弱性は58件、このうち6件は深刻度が緊急に分類されている。PCを乗っ取られる危険性などがあることから、迅速なアップデートが推奨されている。(2020/12/10)

OSSのTCP/IPスタックに広範囲の脆弱性「AMNESIA:33」の影響範囲は
150を超えるベンダーのルータや組み込み機器、制御機器に影響を与えるセキュリティ脆弱性が発見された。この脆弱性は「AMNESIA:33」と呼ばれ、その影響対象の広さが懸念されている。(2020/12/9)

Microsoft Teamsにゼロクリックのリモートコード実行脆弱性、詳細を公開
Microsoft Teamsにゼロクリックのリモートコード実行の脆弱性が存在していたことが明らかになった。問題はすでに修正済みだが、この脆弱性が悪用されていた場合はユーザーが気付くことなくさまざまな攻撃を受けていた可能性がある。(2020/12/9)

VMware Workspace Oneの既知の脆弱性を突く攻撃が発生、データの窃取も確認
VMware Workspace One Accessなどの既知の脆弱性が、ロシアが支援するサイバー攻撃に使用されていたことが判明した。現時点で、機密データへのアクセスが確認されている。(2020/12/8)

TechTarget発 世界のITニュース
「Webex」のWeb会議に隠れて参加できる脆弱性 Ciscoがパッチ適用
「Webex」に脆弱性が見つかった。悪意のある攻撃者が「ゴースト」として会議に参加し、排除された後もそのまま会議に居残ることを可能にする脆弱性だ。Cisco Systemsはこの脆弱性にパッチを適用した。(2020/12/8)

iPhoneをリモートで乗っ取れた脆弱性の恐怖をGoogleのProject Zeroが動画で紹介
Appleが5月に修正したiOSの脆弱性を悪用するエクスプロイトを、この脆弱性を報告したGoogleのセキュリティ専門家が動画付きで解説した。Wi-FiにつながったiPhoneをリモートから乗っ取り、操作できる。(2020/12/3)

Windows 7とServer 2008 R2にゼロデイ脆弱性、0patchがマイクロパッチ提供
Windows 7とWindows Server 2008 R2にゼロデイのセキュリティ脆弱性が見つかった。ローカルでの特権昇格が可能というものだ。ESUでもアップデートはまだ提供されていない。自己責任となるが、0patchが提供しているマイクロパッチを適用するという対策方法もある。(2020/11/27)

サーバ管理ツール「cPanel & WHM」に2要素認証回避の脆弱性、更新を
20年以上に渡ってLinuxサーバの管理に使われてきたcPanel & WHMにセキュリティ脆弱性が発見された。ブルートフォース攻撃によって2要素認証を回避できるとされており注意が必要だ。(2020/11/26)

「説明書」でプラグインのバージョンを把握:
WordPress用File ManagerとDockerAPIを標的としたアクセスが増加 警察庁が注意喚起
警察庁は、WordPress用「File Manager」プラグインの脆弱性を標的としたアクセスと、「DockerAPI」を標的とした探索行為の増加を観測したと発表した。WordPress用FileManagerプラグインがバージョン6.9以降であることを確認するよう促している。(2020/11/25)

安全、安心を通して新たな「IoT」を確立
IoTで高まる“傍受・改ざん”リスク、データの安全性と信頼性はどう確立する?
IoTが急速に普及し、建物設備や産業機器の脆弱性を突いた攻撃や、データ流出・改ざんの被害に遭うケースが増えている。これを防ぐには、ネットワークレベルにとどまらず、機器の製造/物流から廃棄までライフサイクル全体の保護が必要だ。(2020/11/25)

「Cicada」が日本企業を標的としたサイバー攻撃か MSのバグを使い1年にわたって継続との情報
2020年8月に明らかになったMicrosoftのゼロデイ脆弱性が、場合によっては10カ月にわたって攻撃に使われいていた可能性が出てきた。この脆弱性は日本の有名企業を標的としたサイバー攻撃に使われたとされているため、注意が必要だ。(2020/11/20)

Cisco Webex Meetingsに「見えない攻撃者」が潜む可能性 アップデートの確認を
「Cisco Webex Meetings」「Cisco Webex Meetings Server」に脆弱性が発見された。この脆弱性を悪用されると、認証されていないリモートの攻撃者が参加者リストに表示されないままWebexセッションに参加する可能性があるという。(2020/11/20)

脆弱性管理の実践ポイント(2):
脆弱性管理をどのように成熟させていくべきか――成熟度向上における6つのポイント
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。今回は、いかにして脆弱性管理の成熟度を向上させるかについて。(2020/11/16)

「Apple T2セキュリティチップ」に脆弱性
Mac搭載のApple独自チップ「T2」に見つかった脆弱性は、なぜ厄介なのか
「Mac」が搭載する「Apple T2セキュリティチップ」に脆弱性が見つかった。この脆弱性は従来のセキュリティ製品では対策が難しいという。それはなぜなのか。どのような対策が役立つのか。専門家の話を基に解説する。(2020/11/14)

特集:withコロナ時代のクラウドセキュリティ最前線(2):
IaaSの設定ミスによる脆弱性を減らす「CSPM」(Cloud Security Posture Management)とは?
主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。(2020/11/17)

プレミアムコンテンツ:
Computer Weekly日本語版:いまさら聞けないCI/CD入門
特集はCI/CDの効果的な導入方法とQLC SSDの基礎解説&最適な用途、業種/用途特化型検索サービスの3本。他にGoogleが放置したAndroidの脆弱性、量子コンピュータ&量子プロセッサ開発動向、Apacheのディープラーニング基盤プロジェクトなどの記事をお届けする。(2020/11/10)

この頃、セキュリティ界隈で:
脆弱性探しはハッカーが頼り バグ報奨金制度、新型コロナ対応が普及後押し
企業が「賞金稼ぎ」に依頼することへの抵抗がなくなってきたという。(2020/11/9)

「iOS 14.2」「iPadOS 14.2」配信 新EmojiやAirPods充電最適化、Shazam機能追加など
AppleがiOSとiPadOSの14.2の配信を開始した。Unicode Emoji 13.0の新Emojiが100点以上追加された他、多数の機能改善、バグ修正、脆弱性修正が行われた。Shazamを「ミュージック認識」としてコントロールセンターに追加できるようにもなった。(2020/11/6)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。