ITmedia総合  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

関連キーワード

組み込み開発ニュース:
IoT機器向けLinuxと脆弱性パッチを10年間提供するサービスを開始
サイバートラストは、IoT機器向けLinuxと製品の長期利用を支援するサービス「EM+PLS」の提供を開始した。長期間の脆弱性パッチ提供をはじめ、IoT機器の本物性を担保するトラストサービスなどを提供する。(2019/11/12)

無線LANのセキュリティプロトコルを知る【前編】
「WEP」を無線LANのセキュリティに使ってはいけない理由 専門家の推奨は?
無線LANセキュリティプロトコル「WEP」「WPA」「WPA2」は、それぞれ異なる特徴を持つ。だがWEPには複数の脆弱性が見つかっており、利用が推奨されていない。何が危険なのか。(2019/11/9)

ブラウザのタブもウィンドウも閉じられない――Firefoxに未解決の脆弱性、既に悪用も
Mozilla Firefoxに、未解決の脆弱性が発見された。既に悪用した詐欺サイトも登場しているという。(2019/11/6)

Android11月の定例パッチで深刻度「重大」8件を含む修正 「Pixel 4」の「スムースディスプレイ」も改善
GoogleがAndroid向けの11月の月例パッチを公開した。深刻度「重大」8件を含む多数の脆弱性を修正する。「Pixel 4にとっての初の機能アップデートとして、「スムースディスプレイ」と「カメラ」が改善される。(2019/11/5)

脆弱性「BlueKeep」を悪用するマルウェア発見、「次のWannaCry」に警鐘
Microsoftやセキュリティ業界が再三にわたって注意を喚起していた、脆弱性を突くマルウェアが出回っていることが確認された。(2019/11/5)

既に悪用の報告も――GoogleがChrome 78の脆弱性を修正
2件の脆弱性のうちの1件は、脆弱性を突く攻撃の発生が報告されているという。(2019/11/1)

Apple、iOSやmacOS更新版のセキュリティ情報公開 Windows向けiTunesとiCloudの脆弱性にも対処
iOSやmacOS、Windows向けiTunesとiCloudに共通するグラフィックスドライバの脆弱性は、悪用されればシステム特権で任意のコードを実行される恐れがある。(2019/10/31)

WhatsApp、NSO Groupを提訴 脆弱性突いたマルウェア攻撃に関与か
WhatsAppは、狙った相手に電話をかけるだけでスパイウェアを仕込める脆弱(ぜいじゃく)性を、NSO Groupが悪用したと主張している。(2019/10/30)

ITの過去から紡ぐIoTセキュリティ:
「変なホテル舞浜」卵型ロボの脆弱性報告、なぜ「不審扱い」された? 不幸なすれ違いの背景
「変なホテル舞浜 東京ベイ」のロボット「Tapia」に、不正操作につながる脆弱性が存在していたことが明らかになりました。運営会社はセキュリティを強化する旨を発表しましたが、一連のプロセスから考えさせられることは多そうです。(2019/10/30)

修正されたばかりの「PHP7」の脆弱性、早くもコンセプト実証コードが公開
特定の状況下で悪用された場合、リモートでコードを実行される恐れがある。(2019/10/29)

Gartnerに聞く「iOS」の脆弱性がもたらす影響【後編】
「iPhoneは絶対に安全」だという思い込みはなぜ危険なのか
2019年2月に複数の脆弱性が見つかった「iOS」。この件をきっかけに、モバイルデバイスのセキュリティに対する人々の意識が変わりつつあるとGartnerは話す。モバイルデバイスを安全に運用するには何が必要なのか。(2019/10/29)

ローマ法王庁のスマートロザリオに脆弱性
eRosaryはサインイン時のPINコード処理に脆弱性があり、簡単にユーザー情報が取得できた。(2019/10/23)

「Chrome 78」の安定版公開 タブの内容説明や37件の脆弱性修正
GoogleがWebブラウザ安定版「Chrome 78」を公開した。危険度「High」2件を含む37件の脆弱性修正の他、タブを開きすぎた際にタブにカーソルを合わせると表示される内容説明カードが少し詳しくなった。(2019/10/23)

Gartnerに聞く「iOS」の脆弱性がもたらす影響【前編】
iPhoneの“安全神話”はGoogleが見つけた脆弱性で崩壊か?
複数の脆弱性が「iOS」に存在していたことが、Googleのセキュリティチームの調査で判明した。Appleはパッチを配布済みだが、この問題を受けてiOSのセキュリティに注目が集まっている。Gartnerに実情を聞いた。(2019/10/22)

卵型ロボ「Tapia」、家庭用モデルにも「変なホテル」と同じ脆弱性 NFC経由で乗っ取られる恐れ
卵型コミュニケーションロボット「Tapia」の家庭用モデルにも、第三者が不正に操作できる脆弱性が存在することが分かった。NFC経由で乗っ取られ、不正なソフトなどをインストールされる恐れがあるという。開発元のMJIはセキュリティ強化に向け、ソフトウェアの自動アップデートを早急に行う方針だ。(2019/10/18)

「変なホテル舞浜」、客室ロボの脆弱性が発覚 Twitterでの指摘受け対策済み
セキュリティエンジニアを名乗る人物から、「NFCを介してカメラやマイクにアクセスできる」と指摘されていました。(2019/10/18)

「変なホテル舞浜」の卵型ロボ「Tapia」に脆弱性 不正操作が可能な状況 Twitter上の指摘で発覚
「変なホテル舞浜 東京ベイ」の全100室に設置中の卵型コミュニケーションロボット「Tapia」に脆弱性が発見。悪意のある宿泊者がプログラムに攻撃を加えると、不正に操作できる状況だったという。Twitter上の指摘で発覚した。調査の結果、同ロボットに不正なプログラムが仕掛けられた形跡はなかった。(2019/10/17)

Adobe製品のセキュリティアップデート公開、AcrobatとReaderでは68件の脆弱性に対処
AcrobatとReaderの他、Experience Manager、Experience Manager Forms、Download Managerの各製品でアップデートが公開された。(2019/10/16)

Oracleの四半期パッチ公開、NoSQLデータベースなどに重大な脆弱性
特に、NoSQL Databaseの脆弱性は、ユーザー認証なしでネットワークを介して悪用される恐れがあり、危険度が極めて高い。(2019/10/16)

その知識、ホントに正しい? Windowsにまつわる都市伝説(146):
Windows Updateの不都合な現実、再び──IE向け緊急パッチの混乱
2019年9月の第4週に「Internet Explorer(IE)」の緊急レベルのセキュリティパッチがMicrosoft Updateカタログを通じてダウンロード提供され、その翌日にオプションの累積更新プログラムがWindows Updateで配布される、そして10月初めにさらに新しい累積更新プログラムが自動配布されるという、とてもユーザーを混乱させることがありました。緊急レベルのセキュリティパッチは、9月の公開時になぜにWindows Updateで自動配布されなかったのでしょうか、振り返ってみましょう。なお、IEの脆弱性問題は、10月8日(米国時間)のセキュリティ更新でも解決されています。(2019/10/16)

問題のあるペンテスターも
ペネトレーションテスターは信頼できるのか
システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。(2019/10/16)

Appleが修正したWindows版iTunesの脆弱性、ランサムウェアに悪用されていた
脆弱性が存在していたBonjourのコンポーネントは、iTunesとは別にアンインストールする必要がある。Bonjourがアップデートされないまま残り、バックグラウンドで動作し続けているコンピュータも多数見つかった。(2019/10/11)

今さらメール?:
PR:今だからこそ必要な「メッセージングセキュリティ」、他社の生の声を聞くには
セキュリティというとまず攻撃手法や脆弱性の話題が思い浮かぶ。だが、つながる先のネットワーク側でも、何らかの対策が必要だ。事後の対策だけでなく、予防的な対策を通じて、安心してネットワークを利用できる世界を実現していくための議論の場がないだろうか。2019年11月に開催される「JPAAWG 2nd General Meeting」がその場だといえるだろう。メッセージングセキュリティについて幅広い話題を扱う予定だ。(2019/10/11)

脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠に:
「CNC」も「CODESYS」も脆弱性とは無縁ではない
CNCやCODESYSなど製造現場で活躍するシステムも、常にセキュリティリスクに晒されている。ロシアのセキュリティ企業、Kasperskyによるリサーチによると、製造現場においても脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠であることが示された。(2019/10/10)

守りが薄いWebアプリケーション(2):
常に偵察にさらされるWebアプリケーション、脆弱性が見つかるまで
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。前回はインターネットにはクリーンではないトラフィックが常にまん延していることを実証し、攻撃対象となる領域と、領域ごとの被害例について簡単に整理した。今回は、攻撃者の目線を交えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスに沿って、順に解説していく。(2019/10/10)

Microsoft、月例更新プログラム公開 59件の脆弱性に対処
59件の脆弱性のうち、XML Core ServicesやWindows Remote Desktop Clientに存在する9件は危険度「Critical」に分類されている。(2019/10/9)

Google、Android月例パッチ公開 深刻度「重大」9件を含む修正 Pixelではジェスチャーナビゲーション改善なども
Googleが、Android端末の10月の月例セキュリティパッチの配信を開始した。危険度が最も高い「Critical(重大)」11件を含む29件の脆弱性に対処する。Pixel端末では、「ジェスチャーナビゲーション」改善などの機能アップデートも配信される。(2019/10/9)

Appleがセキュリティ情報公開、macOS CatalinaやWindows向けiCloud、iTunesの脆弱性に対処
対処された脆弱性の件数は、macOS Catalinaでは16件。Windows向けiCloudおよびiTunesでは、それぞれUIFoundationとWebKitに存在する8〜9件。(2019/10/9)

「Pixel 2」には未解決の脆弱性が――Androidが10月の月例セキュリティ情報を公開
Googleの「Pixel 2」に存在する未解決の脆弱性が悪用されていた形跡があることが分かった。(2019/10/8)

ビルシステムのセキュリティ:
経産省ガイドラインに準じ、内外部からのサイバー攻撃に対応した三菱電機の「OTGUARD」
三菱電機は、ビルシステム向けのサイバーセキュリティソリューションの提供を開始した。経産省が2019年6月に策定したビルシステムに関するサイバーセキュリティのガイドラインにも準じ、外部からだけでなく、過失や故意による内部脅威も含めたサイバー攻撃の防御策として有効で、システムの脆弱性診断から改善提案までをワンストップでサポートする。(2019/10/4)

iOSデバイスに「修正不可能な脆弱性」、研究者が脱獄用の悪用コードを公開
iPhoneやiPadなどに存在する脆弱性を突くコードがGitHubで公開された。端末の起動プロセスの中核にあるメモリを攻撃するため、ソフトウェアアップデートによる対応は不可能だという。(2019/10/1)

OpenSCAPで脆弱性対策はどう変わる?(5):
OSがCentOS 7かどうかを判定するサンプルで、SCAPの構成要素XCCDFとOVALの構造を理解する
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OSがCentOS 7かどうかを判定するサンプルで、SCAPの構成要素XCCDFとOVALの構造を理解する。(2019/10/1)

ITの過去から紡ぐIoTセキュリティ:
年間6200万ドル規模「バグ報告への報酬金」 IoT・ICS領域にも拡大?
企業が自社のサービスの脆弱性を、外部の専門家や「バグハンター」にチェックしてもらい、報酬を支払う制度が拡大。年間6200万ドル規模という。この動きはITの世界に限らず、IoT/ICS/OTの領域にも広がりつつあるようだ。(2019/9/30)

CPU脆弱性「MDS」の脅威と対策【後編】
「ハイパースレッディング」の無効化が必要? Intel製CPUの脆弱性対策とは
悪用されると、本来見えないはずのデータが見えてしまう可能性もあるという、Intel製プロセッサの脆弱性「Microarchitectural Data Sampling」(MDS)。その対策はどう進めればよいのか。専門家に聞いた。(2019/9/30)

OS更新やメッセージアプリに潜む脅威
iPhoneユーザーが知っておくべき「iOS」の危険な脆弱性と対策
「Android」と比べて安全だといわれてきた「iOS」も、脅威と無縁ではない。企業のセキュリティを脅かすiOSの脆弱性について、IT部門は何をすればよいだろうか。(2019/9/30)

「iOS 13」のセキュリティ情報公開、深刻な脆弱性を修正 対象外の機種向けには「iOS 12.4.2」配信
「iOS 13」「iOS 13.1」の対象機種はiPhone 6s以降。iPhone 5sやiPhone 6向けには「iOS 12.4.2」が配信される。(2019/9/27)

なぜ、セキュリティを意識したサイトでも「認証に不安が残る」のか
セキュアスカイ・テクノロジーが、Webサービスの認証を取り巻く「攻撃」と、それに付け入れられる隙となる「脆弱性」の実態を紹介するセミナーを開催。積極的に脆弱性診断を受けるほどセキュリティに気を配っているサイトでも、不備が多々見つかったという。(2019/9/27)

IoTセキュリティ:
VxWorksの脆弱性「URGENT/11」が浮き彫りにしたTCP/IPスタックの“残念な実装”
20億個以上のデバイスに用いられている、ウインドリバーのRTOS「VxWorks」のTCP/IPスタック「IPnet」で発見された11個の脆弱性「URGENT/11」。URGENT/11を発見したIoTセキュリティベンダーのアーミスのリサーチャーが「Black Hat USA 2019」で講演し、URGENT/11やTCP/IPスタックの実装問題について説明した。(2019/9/26)

パッチ未公開の脆弱性に関する脅威
「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」の違いとは?
セキュリティ分野に「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」という2つの専門用語がある。一見すると同じような単語だが、両者の違いは何か。(2019/9/26)

山市良のうぃんどうず日記(162):
「Invoke-WebRequest」コマンドレットをTLS 1.2対応にする2つの方法
WebサイトやWebアプリのセキュリティの要である「SSL/TLS」は、SSL 3.0以前のレガシーなプロトコルの脆弱(ぜいじゃく)性が問題視され、より新しいプロトコルに移行することが求められてきました。SSLの後継であるTLS 1.0/1.1も脆弱性があることが明らかになり、最近ではTLS 1.2以降を要求するWebサイトやサービスも増えてきています(例:2019年7月下旬のTwitterサービスなど)。今回は、TLS 1.2以降への移行の影響で失敗するようになった「Invoke-WebRequest」コマンドレットの回避策について。(2019/9/25)

IEに緊急の更新プログラム 遠隔操作や乗っ取りの脆弱性で
米MicrosoftがInternet Explorer(IE)の更新プログラムを公開した。深刻度は緊急扱い。(2019/9/24)

IEに重大な脆弱性、定例外の更新プログラムで対処 既に攻撃が発生
Microsoftが定例外のセキュリティパッチを公開した。IEで発見された脆弱性は既に攻撃が確認されたとして、急ぎの対応を呼びかけている。(2019/9/24)

宮田健の「セキュリティの道も一歩から」(41):
「脆弱性検索エンジン」が必要な理由は
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、ネットに接続された端末機器がセキュリティ的にどのような状況に置かれているかを考えてみます。(2019/9/24)

Android版のLINEアプリに整数オーバーフローの脆弱性 アップデート呼びかけ
脆弱性対策情報データベース「JVN」は、Android版のLINEアプリに脆弱性が見つかったと発表し、ユーザーに対しアプリをアップデートするよう呼びかけた。(2019/9/19)

デスクトップ向け「Chrome 77」に重大な脆弱性、更新版で対処
4件の脆弱性のうち1件は、危険度が最も高い「重大」に、残る3件は上から2番目に高い「高」に分類されている。(2019/9/19)

こうしす! こちら京姫鉄道 広報部システム課 @IT支線(17):
アカネちゃん、JVNに謝辞が載る
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第17列車は「もしも脆弱性を発見したら」です。※このマンガはフィクションです。(2019/9/19)

両者の意外なつながり
Windows「RDP」の脆弱性が「Hyper-V」に影響か VMからホストを攻撃可能に
2019年2月、Microsoftの「リモートデスクトッププロトコル」(RDP)に脆弱性が見つかった。それが「Hyper-V」にも影響を及ぼすという。どのような危険性があるのか。(2019/9/18)

パスワード管理ツール「LastPass」に脆弱性、更新版で対処
悪用されれば、攻撃者が細工したWebサイトによって、被害者が直前に閲覧していたWebサイトの認証情報を入手できてしまう恐れがあった。(2019/9/17)

「iMessage」でマルウェアを送り込む
「iOS」を勝手に操作できる複数の脆弱性をGoogleのセキュリティチームが発見
Googleのセキュリティチーム「Project Zero」が、「iOS」の6つの脆弱性に関する情報を公開した。その中には、ユーザーの操作なしで攻撃が実行される脆弱性のPoCコードが含まれる。(2019/9/16)

「tvOS」「watchOS」のバグ報告にも報奨金
iPhoneの脆弱性に1億円、macOSも報告対象に Appleがバグ報奨金を大幅変更
Appleはバグ報奨金プログラムの対象を「macOS」の脆弱(ぜいじゃく)性にも拡大し、同時に報奨金を引き上げる方針だ。脆弱性の種類によっては、報奨金の金額は100万ドルにもなる。(2019/9/14)

SMSを密かに送信し、位置情報を追跡するエクスプロイト「Simjacker」が発見される
SIMカードの脆弱性を悪用し、密かにSMSを送りつけた相手の位置情報を追跡するエクスプロイト「Simjacker」が発見された。AdaptiveMobile Securityは「政府と協力して個人を監視する特定の民間企業が開発したものと確信している」としている。(2019/9/13)

悪質SMSでスマホの位置情報を「気付かれずに」奪取する手口 何年も個人監視に悪用か
セキュリティ企業によると、「Simjacker」と命名されたSIMカードの脆弱性は、ユーザーの位置情報を監視する目的で何年も前から悪用されていた。(2019/9/13)

Google、「Chrome 77」の安定版をリリース 多数の深刻な脆弱性を修正
デスクトップ向けのChrome 77では多数の深刻な脆弱性を修正した。数日から数週間かけてユーザーに配信される。(2019/9/12)

IntelのCPUに「NetCAT」の脆弱性、重要情報流出の恐れ
発見者は「ネットワークベースのキャッシュサイドチャネル攻撃が、現実の脅威であることが示された」と解説している。(2019/9/12)

「Chrome 77」の安定版公開 証明書表示変更や52件の脆弱性修正
Googleが「Chrome 77」をWindows、Mac、Linux、Android向けに公開した。危険度最高の「Critical」1件を含む52件の脆弱性を修正した他、AndroidではURLの送信が手軽になった。(2019/9/12)

Flash Playerの更新版リリース、深刻な脆弱性を修正
今回修正された脆弱性は2件とも、Adobeの3段階評価で最も高い「Critical」に分類され、悪用されれば攻撃者に任意のコードを実行される恐れがある。(2019/9/11)

Microsoft、9月の月例セキュリティ情報公開 既に悪用の脆弱性も
今回修正された脆弱性のうち、2件は既に攻撃に利用され、3件は事前に情報が公開されていた。(2019/9/11)

法人向け「ウイルスバスター」の脆弱性を狙った攻撃 トレンドマイクロが修正プログラムの導入を呼びかけ
トレンドマイクロが、同社のセキュリティソフトの脆弱(ぜいじゃく)性を悪用した攻撃があったと発表し、最新の修正プログラムを適用するよう呼びかけた。(2019/9/10)

トレンドマイクロが法人向け「ウイルスバスター」の脆弱性が攻撃に利用されているとしてアップデートを呼びかけ
管理コンソールへ管理者権限でログオンできてしまい、検索設定など任意の設定を変更されてしまう恐れがあります。(2019/9/10)

「GoogleがiPhoneユーザーの不安あおった」、iOSの脆弱性悪用報告にAppleが反論
Googleは修正前のiOSの脆弱性が攻撃に利用されていた実態を報告し、Appleはその報告に対して「GoogleがiPhoneユーザーの不安をあおった」と非難している。(2019/9/10)

ファームウェアの課題が浮き彫りに
OS再インストールでも防げない、ファームウェアの脆弱性が判明
多くのマザーボードに採用されているVertiv Group製BMCファームウェアに深刻な脆弱性が見つかった。BMCは独立したプロセッサなのでOSの再インストールでは防ぐことができない。(2019/9/9)

Androidに未解決の脆弱性を発見、ZDIが公開
Androidに存在する権限昇格の脆弱性に関する情報を、ZDIが公開した。Googleが9月のAndroid月例パッチで修正した脆弱性の中には、この問題は含まれていなかった。(2019/9/6)

LINE、プロフ画像が第三者に変更される脆弱性 「プロフ画像、変えられてないか確認を」とユーザーに呼び掛け
LINEアプリのプロフ画像を第三者が変更できる脆弱性があり、この脆弱性を利用してプロフ画像を不正に変更する攻撃もあった。LINEは脆弱性を修正し、被害を受けたユーザーには個別に連絡をしているが、同社が把握できていない被害もあり得るとし、ユーザー自身で確認するよう呼び掛けている。(2019/9/4)

Google、2019年9月のAndroid月例パッチ公開 メディアフレームワークなどに深刻な脆弱性
脆弱性を悪用されればリモートの攻撃者に任意のコードを実行される恐れもある。ユーザーにはパートナー経由で脆弱性修正パッチが配信される。(2019/9/4)

「Firefox 69」公開 サードパーティトラッカーと暗号通貨マイニングをデフォルトブロック
Webブラウザ「Firefox 69」が公開された。サードパーティトラッカーと暗号通貨マイニングをデフォルト(初期設定)でブロックするようになった。セキュリティ関連では最も重要な「Critical」2件を含む21件の脆弱性を修正した。(2019/9/4)

Appleが「iOS 12.1.4」で対処した脆弱性の詳細をGoogleが明らかに iPhoneへの無差別攻撃に長年悪用されていた
Googleの脆弱性調査プロジェクト「Project Zero」が、Appleが2月の「iOS 12.1.4」で対処した脆弱性について説明した。これらの脆弱性を悪用するエクスプロイトは幾つかのWebサイトに仕込まれ、訪問するiOS 10以降搭載のiPhoneを無差別に攻撃していた。(2019/9/1)

バグバウンティプログラムを新設:
Googleが脆弱性発見の賞金を拡張 Google Playでインストール1億回以上のアプリも対象に
「Google Play」で1億回以上インストールされているアプリについても、脆弱性の発見者に賞金を支払う。また、アプリによるデータの不正利用発見を目的としたプログラムも新設する。(2019/8/30)

Google Playの脆弱性報酬プログラム、対象がダウンロード1億以上のアプリに拡大
Googleが、、脆弱性報酬プログラム「Google Play Security Reward Program」の拡大と、新たなプログラム「Developer Data Protection Reward Program」の立ち上げを発表した。GPSRPの対象が、1億ダウンロード以上のすべてのアプリに拡大した。(2019/8/30)

脆弱なIoT機器への「偵察行為」激化 正体不明のスキャンシステムが多数存在
安易なパスワードが設定されていたり、脆弱性が存在したりする状態のIoT機器を探し出す「偵察行為」が激化。横浜国立大学大学院の吉岡克成准教授によると、世の中には、実態が分からないスキャンシステムも存在するという。(2019/8/30)

転職サイトのビズリーチ、OSSの脆弱性管理ツールを開発 きっかけは「社内の悩み」
ビズリーチが、オープンソースソフトウェア(OSS)の脆弱性管理ツール「yamory」を公開。サイバーセキュリティ事業に参入した。このyamoryは、現場の悩みから生まれたツールだという。(2019/8/29)

対応優先度と対応策を自動通知:
脆弱性管理ツール「yamory」でエンジニア支援 ビズリーチ
ビズリーチは、オープンソースソフトウェアの脆弱(ぜいじゃく)性管理ツール「yamory」の提供を開始した。システムが利用しているOSSの状況を自動的に把握し、脆弱性を管理する。(2019/8/28)

再浮上した脆弱性を修正:
Apple、iOSとmacOS Mojaveの更新版リリース 脱獄ツールに利用の脆弱性を修正
一回修正された脆弱(ぜいじゃく)性が「iOS 12.4」で再浮上し、修正された。この脆弱性を突く脱獄ツールも公開されていたという。(2019/8/27)

「iOS 12.4.1」配信開始 脱獄可能な脆弱性を再修正
AppleがiPhoneおよびiPad向けのセキュリティアップデート「iOS 12.4.1」をリリースした。「iOS 12.3」で修正されたはずの脱獄(jailbreak)を可能にする脆弱性が、「iOS 12.4」で復活していたため。(2019/8/27)

宮田健の「セキュリティの道も一歩から」(40):
デジタルカメラの脆弱性から「IoTデバイスの守り方」を考える
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、先日報道のあった「デジタルカメラの脆弱性」の事象から、IoT機器の製造に携わる人が学ぶべきものを探っていきます。(2019/8/23)

ホワイトペーパー:
Computer Weekly日本語版:今すぐできるクラウドコストダイエット
特集は、基本的なところから手軽に始められるクラウドコスト削減術(IaaS編)。他にクラウドがもたらしたオープンソースビジネスの転換点、ウェアラブル技術の業務利用の課題、4G/5Gネットワークプロトコルの脆弱性などの記事をお届けする。(2019/8/23)

次期バージョン「Edge」のβ版がリリース、脆弱性発見者に最大3万ドルの賞金
次期バージョン「Edge」のβ版がリリースに併せて、外部の研究者から脆弱性報告を募る「Microsoft Edge Insider Bounty Program」が発表された。脆弱性の発見者には賞金を贈呈する。(2019/8/21)

OSS脆弱性ウォッチ(15):
QEMU脆弱性を利用したVMエスケープ攻撃の検証のまとめ
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例を紹介するシリーズの最終回。(2019/8/16)

Microsoft、「BlueKeep同様に危険」なリモートデスクトップサービスの脆弱性修正の早期適用を呼び掛け
Microsoftが、月例セキュリティ更新プログラムを公開し、その中でも重大なリモートコード実行の脆弱性を修正する更新プログラムについて説明した。これらの脆弱性は、「BlueKeep」と同様に、ワーム化する恐れがあるとしている。(2019/8/14)

iOSおよびAndroidアプリを調査
モバイルアプリの大半は脆弱性まみれ、それでもデータを守る方法は?
iOSおよびAndroidアプリを調査した結果、いまだに「驚くほど多くのアプリケーションの安全性が非常に低い」ことが分かった。安全なアプリがないに等しい状況でデータを守るにはどうすればいいのか。(2019/8/13)

WhatsAppの脆弱性をセキュリティ企業が発表 Facebookは反論
セキュリティ企業Check Pointによると、脆弱性を悪用されれば個人が送ったメッセージやグループチャットの会話を傍受され、改ざんされる恐れがある。(2019/8/9)

MSやIntel、Red Hatなど各社も対応:
CPUの脆弱性「Spectre」に新たな亜種、これまでの対策は通用せず
Spectreは、これまでのSpectreとMeltdownに対して実装された対策を全てかわすことが可能とされ、悪用されればシステムメモリに存在する重要な情報が盗まれる恐れがある。(2019/8/8)

8月のAndroid月例セキュリティ情報公開、Qualcommの脆弱性は無線経由で悪用の恐れ
Qualcommのチップセットに発見された脆弱性は、悪用されれば無線経由で無線LANとモデムをハッキングされる恐れがある。(2019/8/7)

IaaS攻撃の実践に挑む、Microsoftが「Azure Security Lab」の参加者募集
セキュリティ研究者に「Azureの脆弱性を悪用する場」を提供し、Microsoftの専門家と直接対決する機会も設ける。(2019/8/6)

イランのハッカー集団が関与か
「Outlook」の脆弱性を悪用する攻撃 米サイバー軍が警告
米サイバー軍が、「Microsoft Outlook」の脆弱性を悪用した攻撃が頻発していると警告した。専門家からは、イランのハッカー集団がこの攻撃に関与しているとの指摘が出ている。(2019/8/6)

大量のbotが作った「架空の交通渋滞」 イスラエルで起きたハッキングと人間の「反脆弱性」
2014年にイスラエルで起きたハッキングを例に、AIとサイバーセキュリティの関係について考える。(2019/8/5)

「企業を狙うサイバー攻撃に国境はない」:
PR:精鋭ホワイトハッカー1000人の力を世界から結集 日本企業を強くするペネトレーションテストとは
IoTや自動運転など、ビジネスにおけるデータの活用価値の向上と同時に危険性を増しているのがサイバーセキュリティだ。優良顧客の獲得を目的に、信頼性の強化と脆弱性検査に取り組む企業が増えている。ただし、その多くは特定のセキュリティツールやシナリオに依存した各社独自の内容で、本当の意味で攻撃者の視点に立った防御や、顧客が安心できるレベルの対策に至っていない。国内でも政府調達におけるガイドライン対応の義務付けが始まった今、この課題をクラウドソーシングで解決するサービスが日本にあることをご存じだろうか。(2019/8/5)

「Chrome 76」の安定版公開 FlashデフォルトブロックやPWAのインストールボタン
GoogleがWebブラウザ「Chrome 76」を公開した。2020年には完全にサポートを終了する予定のFlashのブロックをデフォルト化した。セキュリティ関連では43件の脆弱性に対処した。(2019/7/31)

2億台のデバイスに影響か――組み込み用リアルタイムOS「VxWorks」に11件の脆弱性を発見
VxWorksはルーターやプリンタ、SCADA、エレベーターなど幅広い機器に使われている。発見された脆弱性は「WannaCryマルウェアの拡散に利用されたEternalBlueの脆弱性に似ている」という。(2019/7/30)

IoTセキュリティ:
「VxWorks」にゼロデイ脆弱性、「URGENT/11」は2億個のデバイスに影響
米国のIoTセキュリティベンダーであるアーミスは、ウインドリバーのRTOS「VxWorks」のゼロデイ脆弱性を発見したと発表。バージョン6.5以降のVxWorksで、IPnetスタックを用いるものが対象となる。(2019/7/30)

Apple、Windows版iCloudとiTunesの脆弱性を修正
Windows向けのiCloudおよびiTunesのセキュリティアップデートが公開され、多数の脆弱性が修正された。(2019/7/24)

Palo Alto NetworksのVPN製品に脆弱性、Uberでも使用
Palo Alto Networksは更新版を公開してこの問題に対処したが、研究者によれば、脆弱性が修正されていないバージョンのGlobalProtectが、Uberで使われていたことが判明した。(2019/7/24)

無料動画プレーヤー「VLC」に未解決の脆弱性、不正な動画ファイルで悪用の恐れも
「唯一の対策は、パッチがリリースされるまでこのプレーヤーの使用を控えることかもしれない」とESETは勧告している。(2019/7/24)

iOSやmacOSのアップデート公開、多数の脆弱性を修正
「iOS 12.4」では、Apple Watchのトランシーバー機能に関するセキュリティ問題を修正。HomePodは日本語に対応した。(2019/7/23)

Google、デスクトップ向け「Chrome 75」のアップデート公開
最新バージョンでは2件の脆弱性を修正した。悪用された場合、攻撃者にシステムを制御される可能性もあるとされる。(2019/7/17)

Oracleの四半期パッチ公開、データベースなどに極めて深刻な脆弱性
データベースやJava SE(Standard Edition)を含む多数の製品を対象として、計319件の脆弱性が修正された。(2019/7/17)

CPU脆弱性「MDS」の脅威と対策【前編】
Intel製CPUを攻撃する「ZombieLoad」の脅威 見えないはずのデータが見える?
セキュリティ研究者が、Intel製プロセッサの脆弱性「Microarchitectural Data Sampling」(MDS)を突く4種のPoC攻撃を開発した。そのうち研究者が最も深刻だと考えているのが「ZombieLoad」だという。その脅威とは。(2019/7/16)

Apple Watchのトランシーバー機能が一時停止 脆弱性対策で
Apple Watch同士で音声会話ができるトランシーバー機能が使えなくなっている。その理由は?(2019/7/12)

医療機関のセキュリティ製品選定で重要な8つのポイント【後編】
医療機関に適した「メール保護」「脆弱性対策」「ネットワーク保護」製品は?
システムの脆弱性チェック機能やセキュリティ対策の自動化機能など、さまざまな機能や特徴を持つセキュリティ製品がある。これらのセキュリティ製品を、医療機関が適切に選定するためのポイントを説明する。(2019/7/12)

特集:EDRの理想と現実(2):
ツールありきではなく、運用ありきで――DeNAがEDRを導入した理由と製品選定のポイント
「防御」の次を見据え、脆弱性検査やCSIRTなどのセキュリティ対策を内製化してきたDeNAでは、2018年にEDR製品を導入し、自社での運用を開始した。背景には、さまざまなゲームやWebサービス開発に必要な多様な環境でも誤検知を減らし、スピードや利便性を損なうことなくセキュリティを一歩一歩高めていきたいという同社ならではの考え方があったという。(2019/7/12)

「Firefox 68」公開、アドオン管理やダークモードの機能強化
脆弱性は計21件が修正された。このうちメモリ安全性に関する2件の脆弱性は、任意のコード実行に利用される恐れがある。(2019/7/11)

Microsoft、7月のセキュリティ更新プログラム公開 既に攻撃発生の脆弱性も
2件の権限昇格の脆弱性についてはゼロデイ攻撃に利用されていたほか、6件については事前に情報が公開されていた。(2019/7/10)

Windowsのリモートデスクトップが狙われる
Windows XPにもパッチを提供 脆弱性「BlueKeep」はなぜ危険か
Windowsの「リモートデスクトップサービス」で「BlueKeep」という脆弱性が発見された。100万台近いエンドポイントが依然として無防備だという報告を受け、Microsoftはパッチの適用を再度呼び掛けた。(2019/7/5)

「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、運営元のセブン・ペイが緊急会見を開いた。(2019/7/4)

7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も
セブン・ペイがこのほど、ログインパスワードの再設定手順を変更したことが分かった。ネット上では「解決していない」という声も上がっている。(2019/7/4)

Outlookの脆弱性突くマルウェアが横行、米サイバー軍が警戒呼び掛け
Outlookの既知の脆弱性を突くマルウェアが出回っているという。FireEyeは、特定のハッカー集団が関与しているとの見方を示した。(2019/7/4)

企業での脆弱性対策に有用:
Microsoft、「Microsoft Defender ATP」の「脅威および脆弱性管理」機能を正式リリース
Microsoftは、「Microsoft Defender Advanced Threat Protection(ATP)」の「脅威および脆弱性管理」機能の一般提供を開始した。企業におけるエンドポイントの脆弱(ぜいじゃく)性管理を容易にするという。(2019/7/4)

Go AbekawaのGo Global!〜Renaud Deraison編(前):
脆弱性検査ツール「Nessus」開発者が考える、セキュリティが成し遂げるものとは
セキュリティへの関心がまだ低かった約20年前、画期的な脆弱(ぜいじゃく)性検査ツールを発表した若きエンジニアがいる。ユーザーコミュニティーの多くの支持を受け、成長を続けている企業を先導する彼が考える「セキュリティが成し遂げるもの」とは?(2019/7/3)

Androidの月例セキュリティ情報公開、メディアフレームワークなどに重大な脆弱性
Androidの月例セキュリティ情報が公開された。脆弱性を修正するセキュリティパッチは、端末のメーカーや携帯電話会社などのパートナーを通じてユーザーに配信される。(2019/7/2)

Google、Android月例パッチ公開 深刻度「重大」9件を含む修正 Pixelでは機能強化も
GoogleがAndroidの月例セキュリティ情報を公開した。深刻度が4段階評価で最も高い「重大」9件を含む多数の脆弱性が修正される。Pixelシリーズの場合は音楽解析や日本語ユニコードなどの改善も行われる。(2019/7/2)

コンテナセキュリティの基礎知識【後編】
「コンテナ」「オーケストレーター」のセキュリティを脅かす4大脆弱性
コンテナとオーケストレーターを安全に運用する上で、対処すべき代表的な4種類の脆弱性がある。それらの概要と、脅威を軽減する手段を紹介する。(2019/6/28)

macOSの「Gatekeeper」に未解決の脆弱性、悪用試みるマルウェア発見
Gatekeeperの脆弱性については研究者が5月に情報を公開していたが、未解決のままだった。その脆弱性を悪用とするマルウェアが登場している。(2019/6/26)

データベースサーバの開放ポートから侵入
MySQLの脆弱性を悪用して拡散 ランサムウェア「GandCrab」攻撃の手口
攻撃者がランサムウェア「GandCrab」の標的を探して、WindowsのMySQLサーバをスキャンしていることをセキュリティ研究者が発見した。対策は比較的簡単にできる。(2019/6/26)

「Outlook for Android」に脆弱性、Microsoftが更新版リリース
攻撃者が細工を施した電子メールを送り付けることによって、脆弱性を悪用される恐れがある。(2019/6/25)

Windowsリモートデスクトップサービスを狙う脆弱性
Windows 7やXPも無関係ではない脆弱性「BlueKeep」、PoCエクスプロイトが続々登場
複数のセキュリティ研究者が、Windowsのリモートデスクトップサービスの脆弱性「BlueKeep」を突く概念実証(PoC)エクスプロイトを作成した。その中には、リモートからコードを実行するものも含まれていた。(2019/6/25)

VAIO用アップデートソフト「VAIO Update」に複数の脆弱性 IPAが報告
IPAとJPCERT/CCが、「VAIO Update」に複数の脆弱(ぜいじゃく)性が存在するとの公表を行った。(2019/6/21)

Firefoxのゼロデイ脆弱性、Macマルウェアに利用 Coinbaseも攻撃されていた
Firefoxの脆弱性は修正される前にゼロデイ攻撃の対象となり、Coinbaseの従業員を狙う攻撃や、Macに感染するマルウェアに利用されていた。(2019/6/21)

Oracle、WebLogicの臨時アップデート公開 既に攻撃が発生
米セキュリティ機関によれば、この脆弱性については既に悪用の横行が伝えられていた。(2019/6/21)

Firefoxに高危険度の脆弱性、既に攻撃が確認 セキュリティ団体が最新版へのアップデートを呼びかけ
開発元のMozillaは修正版を公開しています。(2019/6/19)

「BlueKeep」の脆弱性、Windows 2000やVistaにも存在と判明 米国土安全保障省が確認
WannaCryの再来も危惧される脆弱性「BlueKeep」は、Windows 2000やVistaにも存在していることが分かった。(2019/6/19)

最悪クラッシュにつながる恐れも――Firefoxの未解決の脆弱性突く攻撃が発生、更新版で対処
Firefoxの脆弱性を悪用する標的型攻撃の発生が確認され、Mozillaが更新版をリリースして対処した。(2019/6/19)

Firefoxに危険度最高の脆弱性、既に攻撃を確認 Mozillaはアップデート呼び掛け
Mozillaが、Firefoxの緊急セキュリティアップデートをリリースした。危険度最高の脆弱性に対処する。既にこの脆弱性を悪用した攻撃が確認されており、至急アップデートするよう呼び掛けている。(2019/6/19)

Linuxメールサーバ「Exim」の脆弱性を突くワームが拡散、Microsoftも対応呼び掛け
Eximの脆弱性を突くワームが各国で感染を広げている。MicrosoftはAzure顧客に対し、VMでEximを使っている場合はバージョン4.92に更新するよう促した。(2019/6/18)

半径300メートルのIT:
「偽メールかどうかのチェック」よりも重要? “1億総脆弱性診断”NOTICEの結果通知を開く前に見直すべきこと
東京五輪のチケット抽せんや、総務省主導の脆弱性チェック「NOTICE」の結果通知について、“当局を装った偽メール”に注意を呼び掛ける報道が相次いでいます。攻撃に対抗するために、ユーザーにできることをまとめました。(2019/6/18)

メモリ内のデータを読み取られる恐れ、“Rowhammer”利用した新手の攻撃手法「RAMBleed」が判明
DRAMの設計に起因する脆弱性「Rowhammer」を使った「RAMBleed」と呼ばれる攻撃が発見された。発見した研究チームによると「Rowhammerが整合性を脅かすだけでなく、機密性をも脅かすことが実証された」としている。(2019/6/13)

生産活動の停止に追い込まれないために:
PR:調査で分かった工場の実態 生産設備をサイバー攻撃から守るには?
「スマートファクトリー」や「Connected Industries」は、製造業において避けては通れない。そのためには情報系システムなどとの接続が必要だが、マルウェア感染や脆弱性を突く攻撃のリスクも高まる。工場の安全神話は、もはや過去の話だ。(2019/6/25)

生産活動の停止に追い込まれないために
調査で分かった工場の実態 生産設備をサイバー攻撃から守るには?
「スマートファクトリー」や「Connected Industries」は、製造業において避けては通れない。そのためには情報系システムなどとの接続が必要だが、マルウェア感染や脆弱性を突く攻撃のリスクも高まる。工場の安全神話は、もはや過去の話だ。(2019/6/25)

「Flash Player」を含む3製品の脆弱性を修正、Adobe Systems
Adobe Systemsは、「Adobe Flash Player」「Adobe ColdFusion」「Adobe Campaign」のセキュリティアップデートを公開した。Adobe Flash Playerの脆弱(ぜいじゃく)性は、悪用されれば攻撃者に任意のコードを実行される恐れがある。(2019/6/12)

「すぐにでも悪用されるのは確実」――Microsoftが2019年6月の月例セキュリティ情報公開
計88件の脆弱性が修正された。中でも「タスクスケジューラの特権昇格の脆弱性」は事前に情報が公開され、セキュリティベンダーはマルウェアに悪用される可能性が大きいと指摘する。(2019/6/12)

Officeの既知の脆弱性を悪用した攻撃が活発化、不正なメールに注意呼び掛け――Microsoft
悪用されたOfficeの脆弱性については、Microsoftが2017年11月のセキュリティ更新プログラムで対処済みだが、いまだに攻撃が続いていた。(2019/6/11)

OSS脆弱性ウォッチ(14):
QEMU脆弱性を利用したVMエスケープ攻撃の検証:ヒープベースのオーバーフロー脆弱性編
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例のうち、ヒープベースのオーバーフロー脆弱性(CVE-2015-7504)を紹介する。(2019/6/10)

この頃、セキュリティ界隈で:
因縁のNSAが警告を出した脆弱性「BlueKeep」、WannaCryの再来は阻止できるか
Microsoft、NSAがBlueKeepに警告を発している。その異例な対応の根幹にあるものとは?(2019/6/10)

CERT/CC、WindowsのRDPに関する脆弱性を公開 Microsoftは反論
脆弱性を悪用されればリモートセッション上でロック画面を回避される恐れがあるとCERT/CCは指摘。これに対してMicrosoftは、修正すべきセキュリティ問題とはみなさないという見解を示した。(2019/6/10)

「Google Chrome 75」が安定版に 多数の脆弱性修正、Androidでは強いパスワード作成をサポート
デスクトップ向けのChrome 75では72件の脆弱(ぜいじゃく)性を修正。Androidでは内蔵のパスワードマネジャーを使って強いパスワードを作成できる機能などが盛り込まれた。(2019/6/6)

WannaCryの悪夢再来はあるのか――「BlueKeep」に危機感強める業界 コンセプト実証映像公開で米国家安全保障局も警告
「WannaCry」の悪夢再来も予想される「BlueKeep」の脆弱性。危険すぎるMetasploitのモジュールの開発が伝えられ、米国家安全保障局(NSA)も対応を急ぐよう強く勧告した。(2019/6/6)

Apple、AirMacの脆弱性を修正
脆弱性を悪用されれば、リモートの攻撃者に任意のコードを実行される恐れもあるという。(2019/6/4)

Androidの月例セキュリティ情報公開、メディアフレームワークなどに重大な脆弱性
細工を施したファイルを使ってリモートで悪用される恐れのある脆弱性が、メディアフレームワークなどに存在する。(2019/6/4)

セキュリティ・アディッショナルタイム(32):
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。(2019/6/6)

IoTセキュリティ:
大規模ソフトの99%に用いられるOSS「今は脆弱性なくても将来必ず見つかる」
日本シノプシスが各種産業におけるOSS(オープンソースソフトウェア)の利用状況を調査した「2019オープンソース・セキュリティ&リスク分析レポート」の結果について説明した。(2019/5/31)

OSSのセキュリティリスクをどう低減するか?:
PR:OSS脆弱性情報の収集・管理・適用を、シンプル・確実にする方法
厳しいコスト削減要請やデジタルトランスフォーメーション(DX: Digital transformation)を背景に、オープンソースソフトウェア(OSS: Open Source Software)の活用が拡大している。コストを抑えながら、必要なソフトウェアを自由に利用したり組み合わせたりできる点はOSSの大きな利点だが、脆弱性情報の収集・管理をはじめ、セキュリティリスクにもしっかりと対応しなければ甚大なダメージを被るリスクも隠れている。だが、ただでさえ多忙な業務の中、一体どうすれば多種多様なOSSの脆弱性情報を確実に収集・管理できるのだろうか? 日立製作所(以下、日立) に話を聞いた。(2019/6/5)

Apple、Windows向け「iTunes」と「iCloud」の脆弱性を修正
更新版の「iTunes for Windows 12.9.5」と「iCloud for Windows 7.12」では、計25件の脆弱性を修正した。(2019/5/29)

WannaCryの悪夢が再び? 脆弱性「BlueKeep」は約100万台に存在
「『WannaCry』や『notPetya』のように破壊的な事態、恐らくはもっと悪い事態につながる公算が大きい」とセキュリティ企業は警告する。(2019/5/29)

「Firefox 67」安定版公開、プライバシー保護機能を強化
ユーザーの希望に応じたプライバシー保護機能を新たに追加した他、複数の脆弱性を修正した。(2019/5/24)

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開
コンセプト実証の悪用コードをGitHubで公開した人物は、さらに複数の未解決の脆弱性情報を公開すると予告している。(2019/5/23)

サーバ改ざんが可能な状態に――SharePoint Serverの脆弱性、悪用する攻撃が発生
SharePoint Serverの脆弱性が悪用され、リモート操作ツールの「China Chopper」がサーバに仕掛けられていた。(2019/5/21)

半径300メートルのIT:
MSが“おきて破り”の緊急対応 今さらXPのパッチを出した深刻な脆弱性とは
Microsoftはこのほど、早急な対策が必要な脆弱性情報「CVE-2019-0708」と対応パッチを公開しました。同社が採った「例外的な対応」からは、今回の脆弱性の深刻度がうかがえます。(2019/5/21)

山市良のうぃんどうず日記(153):
あのマルウェアの悪夢が再び? Windows XPに3回目のセキュリティパッチが緊急公開
既にサポートが終了したWindows XPとWindows Server 2003/2003 R2に対し、異例のセキュリティパッチが提供されました。古いバージョンの「リモートデスクトップサービス」に存在するリモートコード実行の脆弱性を修正するもので、この脆弱(ぜいじゃく)性はマルウェアの感染拡大に悪用される危険性があります。(2019/5/21)

電話するだけでスパイウェアをダウンロード――WhatsAppが重大な脆弱性を修正
WhatsAppの通話機能を使って標的とする相手に電話をかけるだけで、iPhoneとAndroidに監視ソフトウェアをインストールすることが可能だった。(2019/5/17)

Apple、macOSやiOSのアップデートを公開 IntelのCPUに発覚した脆弱性の対策も
Appleは、IntelのCPUに発覚した「MDS」と呼ばれる脆弱性について、新たなセキュリティアップデートで対策を講じた。(2019/5/16)

Adobe SystemsがAcrobatやFlash Playerなど複数製品のセキュリティアップデートを公開
Adobe AcrobatおよびAcrobat Reader、Flash Playerのセキュリティアップデートでは、多数の深刻な脆弱性が修正された。いずれも優先度は「2」と位置付けている。(2019/5/16)

「WannaCry」型マルウェア再来の恐れも Microsoftが5月の月例更新プログラムを公開
Microsoftは、5月の月例更新プログラムで79件の脆弱性に対処した。2017年に猛威を振るった「WannaCry」のようなマルウェアに利用されかねない脆弱性も含まれる。(2019/5/15)

パスワードが盗まれる恐れも――IntelのCPUに重要情報流出につながる新たな脆弱性が発覚
「Meltdown」「Spectre」と同様、現代的な設計のプロセッサに含まれる投機的実行の仕組みが悪用され、パスワードやWebブラウザの閲覧履歴、暗号鍵といった重要な情報が流出する恐れがある。(2019/5/15)

ITりてらしぃのすゝめ:
改元でシステム不具合よりも深刻だった“人間の脆弱性”
改元に伴い、心配されていたITシステム関連のトラブルはどうだったのか。何が起こったのかをあらためて振り返ってみる。(2019/5/15)

Cisco製品にハードウェア改ざんの脆弱性、「Secure Boot」実装のルーターやスイッチなど多数に影響
Cisco Systemsは自社製品に組み込む「Secure Boot」にファームウェア改ざんのリスクがある脆弱性が発見されたと発表した。情報を開示して対策を促す。(2019/5/14)

OSS脆弱性ウォッチ(13):
QEMU脆弱性を利用したVMエスケープ攻撃の検証:メモリ情報漏えいの脆弱性編
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、前回から紹介している「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例のうち、メモリ情報漏えいの脆弱性(CVE-2015-5165)を紹介する。(2019/5/13)

Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ機関が発表
オープンソースCIツール「Jenkins」の脆弱性を突いて仮想通貨Moneroを採掘しようとするマルウェアが出回っているという。また、Jenkinsのプラグインの多くで脆弱性が放置されている問題も指摘された。(2019/5/9)

製造ITニュース:
クラウドでOSSの脆弱性を管理、IoTデバイス向けセキュリティサービス
日本システムウエアは、トレンドマイクロのIoT機器向けセキュリティソリューション「Trend Micro IoT Security」を活用したIoTデバイス用セキュリティソリューション「Toami Edge Security」を提供開始した。(2019/5/8)

影響と危険度を解説
無線LANを安全にするはずのWPA3に見つかった脆弱性「Dragonblood」とは?
無線LANのセキュリティ規格「WPA3」に脆弱性が見つかった。「Dragonblood」の名が付いたその脆弱性は、攻撃者が「ダウングレード攻撃」「サイドチャネル攻撃」に悪用する恐れがある。(2019/5/8)

Androidの月例セキュリティ情報公開、リモート攻撃につながる脆弱性に対処へ
特に危険性が大きいメディアフレームワークの脆弱性は、リモートの攻撃者が細工を施したファイルを使って任意のコードを実行できてしまう可能性がある。(2019/5/7)

OracleのWebLogicに未解決の脆弱性報告、4月に公開した対策パッチが不完全だった可能性も
OracleのWebLogicに未解決の脆弱性があったとセキュリティ機関SANS Internet Storm Centerが同社のブログで報告した。Oracleが2018年4月に公開した対策パッチが不完全だった可能性が指摘されている。(2019/4/26)

複雑なデジタル署名の仕組みが裏目に
PDFを気付かれずに改ざん? デジタル署名を無意味化する手口
ボーフム大学の調査によって、PDFビュワーの署名検証機能に脆弱性があることが判明した。PDFのデジタル署名機能は、ファイルや署名の改ざんを検出できない可能性がある。(2019/4/20)

あなたのスマホが危ないかも――BroadcomのWi-Fiチップセットに脆弱性、CERT/CCが注意喚起
BroadcomのWi-FiチップはスマートフォンからノートPC、スマートTV、IoTデバイスに至るまで幅広い製品に使われているため、脆弱性が見つかった場合のリスクは大きい。(2019/4/19)

簡単で低コスト……なのか?
4Gおよび5Gのネットワークプロトコルに脆弱性
4Gおよび5Gのネットワークプロトコルに、端末のIMSI(国際移動体加入者識別番号)を攻撃者に取得されてしまう欠陥があることが判明した。(2019/4/19)

米Oracle、定例セキュリティ更新プログラム公開 データベースやFusion Middlewareに深刻な脆弱性
Oracle Databaseをはじめ、Fusion MiddlewareやMySQL、Java SEなど多数の製品を対象に、計297件の脆弱性が修正された。(2019/4/18)

Computer Weekly日本語版のお知らせ
4Gおよび5Gのネットワークプロトコルに脆弱性
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!(2019/4/17)

実行のハードルが低い:
「WPA3」に脆弱性、最新のWi-Fiセキュリティプロトコルにもパスワード盗難の恐れあり
Wi-Fiセキュリティプロトコル「WPA3」に複数の脆弱性があり、これらを悪用した攻撃により、無線ネットワークのパスワードが盗まれる恐れがあることが明らかになった。(2019/4/15)

Wi-Fiセキュリティ新規格「WPA3」の脆弱性、対処するソフトウェアアップデートが公開
Wi-Fi Allianceは、2018年に発見されたWi-Fiセキュリティの新規格「WPA3」の脆弱性に対処するためのソフトウェアアップデートが公開されたことを明らかにした。(2019/4/12)

ものづくりの現場で押さえておきたい脆弱性管理:
PR:製造現場で比重増すソフトウェア、企業リスクになり得る脆弱性をどう把握するか
ものづくりにおけるソフトウェアの重要性が増す中、ソフトウェアに脆弱性がないかどうかを速やかに確認し、適切に対処することは製造者の責務になる。その管理作業を効率的に進めるすべはないだろうか。(2019/4/12)

「緊急」の脆弱性16件が修正――Microsoftが4月の月例セキュリティ更新プログラムを公開
Microsoftは、4月の月例セキュリティ更新プログラムを公開した。今回の更新プログラムでは計74件の脆弱性が修正された。このうち2件については事前に攻撃の発生が確認されていた。(2019/4/10)

イスラエル発の“IoT機器開発者が喜ぶ仕組み”:
PR:「脆弱性の自動分析」と「デバイス固有のエージェント」がIoT機器の世界を守る
いま、「IoT機器」がサイバー攻撃者に狙われている。この脅威への対策としては、設計時からセキュリティを組み込んでそもそもの脆弱性をなくすこと、さらには攻撃を受けたとしても被害拡大を防ぐ根本的な仕組みを取り入れることだが、具体的にどのようなことを行うべきかはなかなか浸透していない。“IoT機器の脅威を根本から取り除く仕組みを取り入れる”ための対策とは?(2019/4/19)

Google Chrome安定版に脆弱性の恐れ、実証コードを研究者が公開――オープンソース開発で生じる空白期間に警鐘
研究者は、オープンソース開発の過程で行われた脆弱性の修正が、安定版に反映されるまでの時間差を突いて攻撃される可能性を指摘している。(2019/4/5)

4月のAndroidの月例セキュリティ情報公開、メディアフレームワークに重大な脆弱性
Androidのメディアフレームワークの脆弱性は、悪用されればリモートの攻撃者が細工を施したファイルを使って、特権プロセスで任意のコードを実行できてしまう恐れがある。Googleはその脆弱性に対するセキュリティパッチを公開した。(2019/4/3)

事例で分かる、中堅・中小企業のセキュリティ対策【第17回】
「人の脆弱性」がセキュリティ最大のリスク どうやって「最悪の事態」を想定する?
どれだけシステムにセキュリティ対策を施しても、最後に残るのは「人の脆弱性」。全社員に「情報漏えいが起きたら大変なことになる」と意識付けるにはどうすればよいか――ポイントは「情報の洗い出し」です。(2019/4/1)

Cisco IOS XE、半年に1度のセキュリティ情報公開 危険度「高」の脆弱性対応も
Ciscoはルーターなど多数の製品に搭載されている「IOS」「IOS XE」の脆弱性に対処した。これとは別に、スモールビジネス向けルーターの未解決の脆弱性に関する情報も公開した。(2019/3/29)

IoTセキュリティ:
コンバージドITとOT環境で包括的に脆弱性を管理するソリューション
Tenable Network Securityは、コンバージドIT、OT環境で包括的な脆弱性管理ができる業界初のサイバー・エクスポージャー・ソリューションを発表した。IT、OTにまたがるサイバーリスクを統合的に管理する。(2019/3/29)

Apple、macOSやWindows向けiCloudなどの脆弱性を修正
macOSやiOS、Windows向けiTunesおよびiCloudに共通するWebKitの脆弱性は、悪用されれば細工を施したWebコンテンツを使って任意のコードを実行される恐れがある。(2019/3/28)

Mostly Harmless:
拾ったUSBメモリをPCに挿す人は何割いる?
企業のセキュリティ対策が進んだ昨今、あえて、アナログな方法ともいえる「ソーシャルエンジニアリング」で人間の“脆弱性”を狙う手口が増えているとか。その危険性をおさらいしましょう。(2019/3/27)

ものづくりの現場で押さえておきたい脆弱性管理
製造現場で比重増すソフトウェア、企業リスクになり得る脆弱性をどう把握するか
ものづくりにおけるソフトウェアの重要性が増す中、ソフトウェアに脆弱性がないかどうかを速やかに確認し、適切に対処することは製造者の責務になる。その管理作業を効率的に進めるすべはないだろうか。(2019/3/29)

これからは継続的な脆弱性チェックが必須に:
PR:日常化するWebサイトの脆弱性を突く攻撃――“すぐそこにある脅威”に企業がとる最善の方法とは?
FinTechやIoTなど、デジタル変革の取り組みが進む中、Webサイトの更新サイクルはますます速まっている。同時に、攻撃者が新しいサービスに潜む脆弱性を見つけ出し、それを悪用する動きも加速している。これまでの手動の脆弱性検査では追随できなくなっているのが現状だ。そうしたWebサイトの現状にいま、求められるセキュリティサービスとはどのようなものなのか。(2019/3/27)

Apple、「iOS 12.2」配信開始 新しいAirPodsサポートや4つの新アニ文字など
Appleが、「iOS 12.2」を配信開始した。新しいAirPodsサポートや4つの新アニ文字の追加、Safariのセキュリティ強化などが行われた。計51件の脆弱性にも対処した。(2019/3/26)

「BitLocker」が状況を悪化させる
「自己暗号化SSD」の脆弱性を回避するにはどうすればいいのか?
オランダの研究者が、自己暗号化SSDに潜む脆弱性を発見した。脆弱性のあるSSDに保存したデータを保護するには、どうすればよいかのか、対策を紹介する。(2019/3/26)

セキュリティ勉強会休止、「攻撃コードの研究発表でも逮捕されかねない」と懸念 いたずらURL事件受け
セキュリティ勉強会「すみだセキュリティ勉強会」が休止。いたずらURL投稿者がウイルス供用未遂の疑いで摘発された事件などで警察に不信感を募らせており、「単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねない」と懸念したためという。(2019/3/20)

「Firefox 66」公開 音声付き動画の自動再生ブロックや多数の脆弱性修正
MozillaがWebブラウザの最新版「Firefox 66」を公開した。Webサイト側が動画を音声付きで自動再生する設定にしていてもユーザーがクリックするまで自動再生をブロックする機能が追加された。セキュリティ関連では「critical」6件を含む22件の脆弱性に対処した。(2019/3/20)

OSS脆弱性ウォッチ(12):
QEMU脆弱性を利用したVMエスケープ攻撃の検証:概要&テスト環境構築編
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回から数回に分けて、OSSのプロセッサエミュレータである「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例を紹介する。(2019/4/3)

IoTマルウェア「Mirai」の標的が企業にシフト、攻撃の威力さらに増大の恐れ
今回見つかったMiraiの亜種には、新たに法人向けのワイヤレスプレゼンテーションシステムなどの脆弱性を突くコードが組み込まれていた。(2019/3/19)

複数のIntel製品に脆弱性、修正版が公開 一部製品では利用中止を呼びかけ
3月12日、米Intelは複数の同社製品について脆弱(ぜいじゃく)性を公開した。情報漏洩やサービス運用妨害、権限昇格などにつながる恐れがあるなど、最大深刻度が“HIGH”のものも含まれている。(2019/3/15)

ユーザー5億人への影響は
WinRARで見つかった「19年間放置されていた脆弱性」の正体は?
WinRARの全バージョンに、2000年よりも前から存在していたとみられる脆弱性が発見され、修正された。数億人ともいわれるWinRARユーザーが、修正パッチを受け取れるかどうかは不透明だ。(2019/3/14)

「Google Chrome 73」の安定版公開、macOSのダークモードに対応
GoogleがChromeの最新版バージョン73をWindows、Mac、Linux向けにリリースした。Mac版ではダークモードに対応。セキュリティ関連では「High」6件を含む60件の脆弱性を修正した。(2019/3/13)

Microsoft、3月の月例セキュリティ更新プログラム公開 攻撃に利用の脆弱性を修正
WindowsのWin32kに存在する2件の特権昇格の脆弱性は、事前に攻撃の発生が報告されていた。(2019/3/13)

Windows 7に未解決の脆弱性、Google Chromeのゼロデイ攻撃で組み合わせて悪用
Google Chromeで発覚したゼロデイ攻撃では、その時点で未解決だったChromeの脆弱性と、Windowsの未解決の脆弱性を組み合わせて悪用していた。(2019/3/12)

ランサムウェア+標的型攻撃=? 新たな攻撃、被害は数百万ドル
海外で「標的型ランサムウェア」による被害が広がっている。ランサムウェアというと「脆弱性が存在するPCやIT機器を無差別に襲うもの」というイメージもあるが、違うタイプという。対策は。(2019/3/12)

Google Chromeの脆弱性、実は「ゼロデイ」だった
Googleは「Chrome 72」の更新版で修正した脆弱性について、悪用コードが出回っているとの報告が入っていたことを明らかにした。(2019/3/7)

Docker関連の脆弱性、仮想通貨「Monero」の採掘に悪用か
2019年2月に発覚した脆弱性が悪用され、仮想通貨の採掘に利用されているDockerホストが多数見つかったと伝えた。(2019/3/6)

Google、「Chrome 72」の脆弱性を修正 デスクトップとAndroid向けのアップデート公開
デスクトップ向けのアップデートでは、危険度「高」の脆弱性が修正された。(2019/3/5)

AppleのmacOSカーネルに未解決の脆弱性、Google Project Zeroが情報公開
Google側が指定した90日の期限を過ぎても、Appleがパッチを提供しなかったとして、Project Zeroが脆弱性情報の公開に踏み切った。(2019/3/5)

Google、Androidの3月の月例セキュリティ情報を公開
Androidの3月の月例セキュリティアップデートでは、11件の「Critical」を含む多数の脆弱性が修正される。(2019/3/5)

Google Chromeに脆弱性か、ユーザー追跡の不審なPDF発見
Google Chromeで問題のPDFファイルを開くと、そのユーザーの情報が、本人の知らないうちに外部に送られてしまう可能性があるという。(2019/3/1)

約443万人がフィッシングサイトに誘導:
システムの脆弱性からユーザーの心理的弱点へ、サイバー攻撃の手口が変化
トレンドマイクロが公開した最新のセキュリティ動向によると、ユーザーをだます攻撃が増加している実態が明らかになった。フィッシング詐欺や偽装SMSなどが、2018年後半に急増した。(2019/3/1)

Drupalに脆弱性、アップデート公開直後から攻撃横行 早急に更新を
Drupalの「極めて重大」な脆弱性を修正する更新版が公開されたのは2月20日。翌日にはこの脆弱性を突くコードが公開され、25日には集中的な攻撃の横行が報告された。(2019/2/28)

約23万回線のホームネットワークから明らかに:
日本の家庭では多くのスマート機器が脆弱なまま放置、Avastが調査
Avastの調査によると、日本の家庭にあるスマート機器は、認証に関して世界で最も脆弱な状態にあった。また、全世界にある約1100万台のルーターの内、57%に脆弱な認証情報またはソフトウェアの脆弱性が見つかった。(2019/2/28)

「ベアメタルクラウド」の弱点、セキュリティ企業が指摘 情報盗まれる恐れも
セキュリティ企業の米Eclypsiumによると、クラウド各社が提供する「ベアメタルクラウド」の弱点と、以前から指摘されていたBMCファームウェアの脆弱性を組み合わせれば、DoS攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるという。(2019/2/27)



2013年のα7発売から5年経ち、キヤノン、ニコン、パナソニック、シグマがフルサイズミラーレスを相次いで発表した。デジタルだからこそのミラーレス方式は、技術改良を積み重ねて一眼レフ方式に劣っていた点を克服してきており、高級カメラとしても勢いは明らかだ。

言葉としてもはや真新しいものではないが、半導体、デバイス、ネットワーク等のインフラが成熟し、過去の夢想であったクラウドのコンセプトが真に現実化する段階に来ている。
【こちらもご覧ください】
Cloud USER by ITmedia NEWS
クラウドサービスのレビューサイト:ITreview

これからの世の中を大きく変えるであろうテクノロジーのひとつが自動運転だろう。現状のトップランナーにはIT企業が目立ち、自動車市場/交通・輸送サービス市場を中心に激変は避けられない。日本の産業構造にも大きな影響を持つ、まさに破壊的イノベーションとなりそうだ。