ITmedia総合  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

Windowsにゼロデイの脆弱性、MSは放置も専門家は「深刻」と指摘
Microsoftは毎月の累積更新プログラムでセキュリティの脆弱性を修正しているが、中には外部からリスクを指摘されても正式に脆弱性として認識されず、放置されたものもある。(2021/12/1)

Zoomに深刻度「重要」の脆弱性 アプリケーションにクラッシュを引き起こす可能性
Web会議ツールZoomに複数の脆弱性が見つかった。脆弱性のうち1つは深刻度が「重要」に該当し、任意のコード実行を引き起こす危険性がある。該当製品を確認し、迅速にアップデートを適用してほしい。(2021/11/30)

TechTarget発 世界のITニュース
Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは?
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。(2021/11/30)

Linuxセキュリティ専門家に聞く【前編】
「99%のランサムウェア攻撃を防げる手段」を書いた専門家が本当に伝えたいこと
IT管理者はセキュリティ確保のためにバックアップやパッチ管理、定期的な脆弱性スキャンが欠かせない。Linuxセキュリティの専門家にシステムを守るこつを聞いた。(2021/11/26)

vCenter Serverに「重要」の脆弱性 迅速にアップデートを
VMware vCenter ServerとVMware Cloud Foundationに脆弱性が発見された。そのうち一つは深刻度が重要(Important)に分類される。該当製品を使用している場合は、迅速にアップデートを適用してほしい。(2021/11/25)

Windows 10、11などのゼロデイ脆弱性、パッチ公開前に報告者が概念実証コード公開
Microsoftが11月のセキュリティ更新で修正したはずの脆弱性がまだ悪用できると、報告者が概念実証をGitHubで公開した。既にマルウェアサンプルが検出されているという報告もある。(2021/11/25)

Windowsに特権昇格のゼロデイ脆弱性 研究者がPoCコードを公開
Windows Installerにおける特権昇格のゼロデイ脆弱性を利用したエクスプロイトが見つかった。現時点ではMicrosoftはアップデートを提供していない。(2021/11/25)

Apple、iPhoneスパイウェア「Pegasus」のNSOを提訴
Appleは、スパイウェア「Pegasus」を提供するイスラエル企業NSO Groupを提訴した。iPhoneの脆弱性を悪用し、ユーザーを監視したとして、NSOによるApple製品とサービスの使用を禁止する恒久的差止命令を求めている。(2021/11/24)

犯罪者の楽園はどこなのか
意外? 「データベースの脆弱性を最も放置している国」が判明
Impervaの5年にわたる調査によって、脆弱性が放置されているデータベースの利用率が明らかになった。世界ワースト1として名指しされた国とはどこか。アジア太平洋地域ではどこが危険なのか。(2021/11/22)

44種類のNETGEAR製品に「重要」に該当する脆弱性 迅速に対処を
NETGEARのルーターやモデム、中継機に脆弱性が発見された。root権限で任意のコードが実行される危険性がある。該当製品を使用している場合には最新のファームウェアにアップデートする必要がある。(2021/11/20)

Exchange Server、FortiOSを悪用した攻撃に要注意 CISAらが共同でセキュリティアラートを発表
Exchange ServerやFortiOSの脆弱性を利用したサイバー攻撃に注意が必要だ。CISAとFBI、ACSC、NCSCは共同でセキュリティアラートを発表した。迅速に緩和策を実施してほしい。(2021/11/19)

パッチ適用が難しい6つの理由【第1回】
企業が「パッチ」を適用しない理由と、“脆弱性放置企業”を責められない理由
パッチの重要性を理解している企業の全てが、パッチを十分に適用できているわけではない。リスクがあるにもかかわらず、パッチ未適用のIT製品は至る所にある。それはなぜか。(2021/11/18)

Google Chromeの最新バージョンが公開 7件の「重要」な脆弱性を修正
Googleは最新バージョンの「Google Chrome version 96.0.4664.45」を配信し、深刻度「重要」(High)に該当する7件の脆弱性を修正した。(2021/11/17)

VMware Tanzuに脆弱性 DoS攻撃を受けるおそれ
VMware Tanzu Application Service for VMsに脆弱性が発見されており、米コンピュータ緊急事態対策チームが情報の確認とアップデートの実施を呼びかけている。(2021/11/15)

FBIのメールアカウントが乗っ取られ、フェイクメールを大量配信(原因発表)
米連邦捜査局(FBI)の公式アカウントから11月12日午後から不審なメールが10万人以上に届き、セキュリティ組織がそれはフェイクだと警告した。FBIもこの問題を認識している。攻撃したと名乗るPompompurinは「脆弱性を指摘するのが目的」と語った。(2021/11/14)

iCloud for Windowsに深刻度「重要」の脆弱性 迅速なアップデートを
「Windows 10」や「Windows 11」で「iCloud」を使用している場合には注意が必要だ。Foundationで任意のコードが実行される危険性が見つかっており、CISAがアップデートの適用を推奨している。(2021/11/13)

Appleが9月に修正したCatalinaの脆弱性は香港市民への攻撃に悪用されていたとGoogle
GoogleのセキュリティチームTAGは、Appleが9月に修正したCatalinaのゼロデイ脆弱性について報告した。国家の支援を受ける犯罪者がこの脆弱性を悪用し、香港市民を攻撃していたとしている。(2021/11/12)

Microsoftが2021年11月の累積更新プログラムを配信 迅速に確認と適用を
Microsoftは2021年11月の累積更新プログラムを配信した。深刻度が緊急(Critical)に分類される脆弱性が修正されており、該当プロダクトを使っている場合には迅速な対応が望まれる。(2021/11/12)

Sambaに8件の脆弱性が見つかる CISAが迅速なアップデートの適用を呼び掛け
OSS「Samba」に影響を受けたシステムの制御権が乗っ取られる危険性がある脆弱性が見つかった。CISAは迅速なアップデートの適用を呼び掛けている。(2021/11/11)

抽選でAmazonギフト券が当たる
「脆弱性・パッチ管理」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフト券(3000円分)をプレゼント。(2021/11/9)

Exchange「Autodiscover」の脆弱性とは【後編】
「Exchange」の脆弱性公開の裏で起きていた“ある論争”とは?
Guardicoreは、Microsoftの「Exchange Server」「Exchange Online」の機能に脆弱性が存在することを報告した。その報告を受けてMicrosoftとGuardicoreの間には、ある“論争”が起こった。何が起きたのか。(2021/11/9)

「Apple Pay」悪用攻撃の影響と原因【後編】
Apple Payに不正決済の脆弱性 「AppleにもVisaにも責任」と専門家が語る理由
セキュリティ研究者が「Apple Pay」のVisaカード決済に潜む脆弱性を発見した。AppleとVisaの両者は、それぞれ独立してこの脆弱性を修正できると研究者は指摘する。それはどういうことなのか。(2021/11/8)

Ciscoがセキュリティアドバイザリを公開 深刻度が「緊急」の脆弱性も
Ciscoは複数製品のセキュリティアップデートを公開した。脆弱性の中には深刻度が緊急(Critical)に分類されているものも2つ含まれている。該当の製品を利用しているかどうかを確認してほしい。(2021/11/6)

理研が不正アクセス被害、1万4000件の個人情報が流出か 指摘済みの脆弱性を悪用される
理化学研究所は、職員の研修などに利用している学習管理システムが不正アクセスされ、1万4000件の個人情報が流出した可能性があると発表した。(2021/11/5)

発生し得る攻撃の詳細と対策
「Apache HTTP Server」に脆弱性 専門家がパッチ適用を“強く推奨”の理由
「Apache HTTP Server」の脆弱性を悪用する攻撃を観測したという発表を受け、セキュリティ専門家は、利用者に対してパッチの適用を強く推奨している。その理由とは。(2021/11/5)

FirefoxとThunderbirdに複数の重要度「高」の脆弱性、アップデートを呼び掛け
FirefoxとThunderbirdに脆弱性が発見された。最悪の場合、システム制御権を奪われるリスクがあるため、急いで対応してほしい。(2021/11/4)

ランサムウェア「Hello Kitty」が活発化 標的にされる脆弱性は?
FBIは2021年1月に観測されたランサムウェア「Hello Kitty」に関する民間企業通知を発行した。これを利用する脅威アクターは「二重の脅迫」とDDoS攻撃を組み合わせてくるとし、注意を促している。(2021/11/3)

ソースコードに脆弱性を潜ませられるUnicode悪用攻撃法「Trojan Source」を研究者が発表
英ケンブリッジ大学コンピュータ研究所が、「Trojan Source」と名付けた攻撃法を発表した。Unicodeの脆弱性を悪用するもので、C、C++、C#、JavaScript、Java、Rust、Go、Pythonに対して機能した。「他のほとんどの言語に対しても機能すると思われる」としている。(2021/11/2)

Androidの11月月例更新開始 「致命的」な2件を含む多数の脆弱性修正 Pixelでは機能改善も
GoogleはAndroidおよびPixelの月例アップデートを発表した。Androidでは重要度が最も高い2件と、悪用された可能性のある1件を含む脆弱性に対処。Pixelではキーボードや通知音の問題も修正した。(2021/11/2)

BINDにDoS攻撃を引き起こす脆弱性が見つかる CISAが対策を呼びかけ
BINDにDoS攻撃を引き起こす可能性がある脆弱性が見つかった。CISAはユーザーにセキュリティ情報を確認するとともに、必要に応じたアップデートの適用を推奨している。(2021/11/2)

Exchange「Autodiscover」の脆弱性とは【中編】
「Exchange Server」「Exchange Online」の情報漏えいを防ぐ2つの対策
「Exchange Server」「Exchange Online」の自動設定検出機能「Autodiscover」の脆弱性は、情報漏えいを招く恐れがある。この問題を指摘したGuardicoreは、どのような対策を呼び掛けているのか。(2021/11/2)

「Apple Pay」悪用攻撃の影響と原因【前編】
「Apple Pay」の「Visaカード」決済に不正決済の脆弱性 その悪用の手口とは
研究者チームが「Apple Pay」のVisaカード決済に潜む脆弱性と、それを悪用する方法を見つけた。特定の条件下で不正決済が可能になるという。その仕組みはどのようなものか。(2021/11/1)

Appleとバグハンターの“対立”【後編】
脆弱性を探すバグハンターは、なぜAppleにうんざりするのか
「iOS」脆弱性の詳細公表に踏み切ったセキュリティ研究者は、脆弱性に対するAppleの姿勢を批判した。これまでもバグハンターの間では、Appleへの不満がくすぶっていたという。どういうことなのか。(2021/10/31)

Appleとバグハンターの“対立”【中編】
セキュリティ研究者が「iOS」脆弱性“怒りの公表”に踏み切った理由
脆弱性に対するAppleの姿勢に不満を持ったあるセキュリティ研究者が、「iOS」に存在する脆弱性の公表に踏み切った。Appleのどのような対処が、セキュリティ研究者をいら立たせたのか。(2021/10/30)

Chromeに“野に放たれた”エクスプロイト対策を含むアップデート
GoogleはChromeブラウザのセキュリティアップデート「95.0.4638.69」をリリースした。8件の脆弱性を修正する。そのうち2件は実際に悪用されたことが確認されている。(2021/10/29)

Appleとバグハンターの“対立”【前編】
セキュリティ研究家が“怒り”の公開 Apple「iOS」3つの脆弱性とは
あるセキュリティ研究者が、「iOS」に存在する3件の脆弱性の詳細を公表した。それぞれどのような脆弱性なのか。悪用されるとどのような影響があるのか。(2021/10/29)

Exchange「Autodiscover」の脆弱性とは【前編】
「Exchange」の“設計上のミス”が招いた情報漏えいとは?
セキュリティベンダーGuardicoreは、「Exchange Server」「Exchange Online」の自動検出機能「Autodiscover」の脆弱性を発見した。同社の検証から分かった情報漏えいの仕組みや規模はどのようなものか。(2021/10/26)

Ciscoが複数製品のアップデートを発表 合計20の脆弱性を修正
Ciscoから複数製品のセキュリティアドバイザリが発行された。特に「IOS XE SD-WAN Software」に関する脆弱性は深刻度が重要(High)に分類されており注意が必要だ。(2021/10/23)

Google Chromeの最新バージョンが公開 19件の脆弱性を修正
Google Chromeに複数の脆弱性が発見された。Google Chromeを再起動するなどしてアップデートを適用してほしい。脆弱性の中には影響を受けたシステムの制御権が乗っ取られる危険性があるものも含まれるため注意が必要だ。(2021/10/22)

PowerShell 7に情報漏えいの脆弱性 迅速にアップデートを
PowerShell 7に情報漏えいの脆弱性が見つかった。Windows以外のOSを利用している場合、脆弱性の影響を受ける可能性があるため迅速にアップデートを適用してほしい。(2021/10/21)

「Chrome 95」の安定版公開 FTPサポート終了、19の脆弱性に対処
GoogleはWEbブラウザ安定版のアップデート「Chrome 95」をリリースした。19件の脆弱性に対処した他、FTPのサポートを終了した。(2021/10/20)

Google Chromeがセキュリティアップデートを公開 緊急度の高い4つの脆弱性に対応
Google Chromeのセキュリティアップデート版が公開された。最新版以外のプログラムにはバッファオーバーフローにつながる脆弱性が含まれるため、急いでアップデートしてほしい。(2021/10/14)

Microsoftが2021年10月の累積更新プログラムを配信 迅速にアップデートを
Microsoftは2021年10月の累積更新プログラムを配信した。「緊急」(Critical)に分類される脆弱性の修正が含まれるため、迅速なアップデート適用が望まれる。(2021/10/14)

公開情報が少なく対策が不十分:
多数のWebサイトにJavaScriptプロトタイプ汚染の脆弱性あり、セキュリティ研究者が発見
サイバーセキュリティツールベンダーのPortSwiggerは、セキュリティ研究者「s1r1us」氏のブログで発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱性があることが明らかになったという。(2021/10/12)

「iOS 15.0.2」配信 AirTagや“既に悪用された可能性のある脆弱性”などの修正
Appleは「iOS 15.0.2」と「iPadOS 15.0.2」をリリースした。複数のバグ修正と、セキュリティ関連の脆弱性対処が含まれる。脆弱性は“既に悪用された可能性がある”ものだ。(2021/10/12)

Apple、「iOS 15.0.2」「iPadOS 15.0.2」を配布開始 ゼロデイ脆弱性を修正
iPhone、iPadのOSで指摘されていた脆弱性が修正された。(2021/10/12)

企業の3分の1がセキュリティ問題を経験:
SolarWindsのケースから見る、クラウドセキュリティ接続の脆弱性
FireEyeは2020年12月に、SolarWindsの大規模なデータ侵害について報告したが、この時はまだ、「これらのデータ侵害は、既に定着しているクラウド接続の存在なしには発生し得なかった」ということがすぐには分からなかった。(2021/10/14)

IoTセキュリティ:
TCP/IPスタックの脆弱性「INFRA:HALT」に見る、組み込み業界の課題と対策
2021年8月に発表された制御機器で広く利用されているTCP/IPスタック「NicheStack」の脆弱性「INFRA:HALT」。この脆弱性を発見したForescoutのダニエル・ドス・サントス氏とJFrogのシャハール・メナーシュ氏の講演では、INFRA:HALTや組み込みシステムのサプライチェーンが抱えるセキュリティリスクの解説に加えて、セキュリティリスクに強い仕組み作りへの提案などが行われた。(2021/10/12)

前回バージョンからわずか3日、Apache HTTP Server 2.4.51が公開 脆弱性を利用した攻撃を確認済み
Apache HTTP Server 2.4.50のリリースから3日後、新バージョンの「Apache HTTP Server version 2.4.51」が公開された。Apache Software Foundationによれば前回の脆弱性の修正が不十分だったという。(2021/10/9)

Firefoxに任意のコード実行が可能になる脆弱性、迅速にアップデートを
Webブラウザ「Firefox」とエンタープライズ向けのFirefox「Firefox ESR」に複数のメモリ関連バグが発見された。脆弱性の中には任意のコード実行が可能になるものも含まれており注意が必要だ。(2021/10/8)

Apache HTTP Server 2.49に悪用確認済みの脆弱性 迅速にアップデートを
Apache Software Foundationは「Apache HTTP Server 2.4.50」を公開した。修正された脆弱性はすでに悪用が確認されており注意が必要だ。(2021/10/7)

この頃、セキュリティ界隈で:
Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表
Appleのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイの脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。(2021/10/7)

Google Chromeの最新バージョンが配信開始 すでに脆弱性を突いた攻撃プログラムも確認済み
Googleは「Google Chrome version 94.0.4606.71」の配信を開始した。影響を受けたシステムの制御権が乗っ取られる危険性がある脆弱性も含まれるため迅速に対処してほしい。(2021/10/5)

需給は高まるが脆弱性も増加:
OSSのサプライチェーン、脆弱性に課題あり
オープンソースソフトウェアは供給、需要のどちらも大幅な伸びを見せている。しかし脆弱性の管理に弱点がある。ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeが発表した年次調査の報告書によれば、人気の高いプロジェクトでより多くの脆弱性が見つかっている。(2021/10/4)

「iOS 15.0.1」配信 Apple WatchでiPhone 13のロック解除できない問題修正
Appleは「iOS 15.0.1」と「iPadOS 15.0.1」をリリースした。Apple WatchでiPhone 13シリーズのロック解除ができないことがある問題などを修正。脆弱性修正はない。(2021/10/2)

vCenter Serverの脆弱性、完全なエクスプロイトが公開 影響拡大の懸念
「VMware vSphere」のサーバ管理ソフトウェア「VMware vCenter Server」の脆弱性(CVE-2021-22005)に対する完全なエクスプロイトが開発された。これを利用したサイバー攻撃は広範囲に及ぶ見込みだ。(2021/9/30)

vCenter Serverに任意ファイルアップロードの脆弱性 広範囲なサイバー攻撃の懸念
「VMware vSphere」のサーバ管理ソフトウェア「VMware vCenter Server」に任意のファイルアップロードが可能になる脆弱性が発見された。同脆弱性を利用したサイバー攻撃が確認されているため、迅速にアップグレードや回避策を適用してほしい。(2021/9/29)

運用フローを維持しながらセキュリティ強化
SOMPOグループのセキュリティレベルを底上げするセキュリティインテリジェンス
グループ企業数十社のセキュリティ対策を支えるSOMPOホールディングスのIT企画部は、攻撃と脆弱性の動向を知るためにセキュリティインテリジェンスを活用している。導入に至るまでの背景と、実際の活用方法を同社に聞いた。(2021/9/30)

iOSのゼロデイ脆弱性4件のPoCが公開される、Appleの対応不備を指摘
外部の研究者やユーザーにバグの発見と報告を促す「バグ報奨金プログラム」は脆弱性の発見と修正に大きな効果を上げている。だが必ずしもその取り組みは正しく進んでいるわけではないのかもしれない。(2021/9/28)

TechTarget発 世界のITニュース
無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する“穴”とは?
無料でSSLサーバ証明書を発行する「Let's Encrypt」に脆弱性が見つかった。不正発行を防ぐための仕組みにある落とし穴を、サイバー犯罪者はどう悪用しているのか。(2021/9/25)

「iOS 12.5.5」セキュリティ更新 「積極的に悪用された可能性がある」脆弱性に対処
AppleがiPhoneの旧モデル対象のセキュリティ更新をリリースした。「iOS 12.5.5」は3つの脆弱性に対処する。いずれも“既に悪用された可能性のある”ものだ。(2021/9/24)

EDR導入後のメンテナンスも重要:
PR:企業間取引の脆弱性には、侵入前対策や従来のEDRでは不十分――コスト、運用の課題を解決するには
取引先や子会社を経由する「サプライチェーン攻撃」に対応するには、侵入前対策に加え、侵入後対策が欠かせない。EDRは侵入後対策として有効だ。だがコストや運用に課題がある。従来のアンチウイルスソフトウェアのように導入のハードルが低いEDRはないだろうか。(2021/9/24)

「iOS 15」「iPad OS 15」「watchOS 8」の配信開始 脆弱性修正も
Appleが「iOS 15」「iPad OS 15」「watchOS 8」の配信を開始した。「FaceTime」にApple製品以外からも参加できるようになるなどの新機能が使えるようになる。また、22件の脆弱性にも対処した。(2021/9/21)

Adobe AcrobatとReaderに複数の脆弱性 直ちにアップデートを
Adobe AcrobatとAdobe Acrobat Readerに脆弱性が発見された。任意のコード実行を引き起こす危険性がある脆弱性も含まれるため注意が必要だ。(2021/9/17)

Microsoftが2021年9月の累積更新プログラムを公開 Windowsの37製品や機能に脆弱性
Microsoftは、2021年9月の累積更新プログラムを配信した。該当するプロダクトは37種にわたる。深刻度が重要(Important)に分類される脆弱性の修正も多数含まれるため、迅速なアップデートの適用が必要だ。(2021/9/16)

「iPhone」「iPad」「Mac」に複数の脆弱性 すでにサイバー攻撃を確認済み
「iPhone」「iPad」「Mac」「Apple Watch」など複数のApple製品に脆弱性が発見された。すでにこれらの脆弱性を利用したサイバー攻撃が確認されているため、迅速にアップデートをしてほしい。(2021/9/15)

適用をためらわせる“あの理由”
Exchange Server脆弱性問題で考える「なぜパッチの適用は進まないのか」
中国の攻撃者集団による、「Exchange Server」の脆弱性悪用が明らかになった。Microsoftはパッチを公開したものの、その後も攻撃は続いているという。その背景にあるのが、パッチ適用の遅れだ。(2021/9/15)

「iMessage」に脆弱性、スパイウェア「Pegasus」の感染から発覚 AppleがiOSやmac OSなどに対策アップデート配信
カナダのセキュリティ機関「The Citizen Lab」がスパイウェア「Pegasus」に感染したデバイスを調べたところ、Appleのメッセージアプリ「iMessage」に脆弱性を確認した。Appleは対策として、iOS/iPad OS/mac OSなどでアップデートを配信した。(2021/9/14)

iOS、iPadOS、watchOS、macOSの緊急更新 “既に悪用された可能性のある脆弱性”を修正
Appleは“既に悪用された可能性のある脆弱性”を修正するアップデートをiPhone、iPad、Apple Watch、Mac向けにリリースした。これらの脆弱性をAppleに報告したCitizen Labは、至急更新することを強く勧めている。(2021/9/14)

Cisco IOS XR Softwareのセキュリティアドバイザリがリリース 迅速にアップデートを
ネットワーキングソフトウェアCisco IOS XR Softwareに関するセキュリティアドバイザリが公開された。今回の発表は、9つのセキュリティアドバイザリで構成され、合計12個の脆弱性が修正されている。(2021/9/14)

Active Directoryのアカウント管理ツールに脆弱性 すでにサイバー攻撃の利用を確認
Active Directoryやクラウドアプリケーションのアカウント管理に利用される「ManageEngine ADSelfService Plus」にリモートコード実行の脆弱性が発見された。これを利用したサイバー攻撃も既に確認されているため、迅速に対処してほしい。(2021/9/9)

ちょっとした設定ミスが不正アクセスのターゲットに:
PR:クラウドのセキュリティ診断で本番環境、開発環境の脆弱性を洗い出し、安全な活用を支援
テレワークの広がりとともに、場所を問わずに利用できるクラウドサービスの活用が一段と加速した。ただその際、ちょっとしたミスや油断で、本来公開すべきではない情報が公開され、不正アクセスを受けてしまう事件が増えている。これを防ぐには、専門的な知見やツールを生かした脆弱性診断が有効だ。(2021/9/9)

Windowsにリモートコード実行の脆弱性、既に標的型攻撃への利用が観測される
Microsoft Windowsにリモートコード実行の脆弱性が存在することが明らかになった。深刻度は「重要」と評価されているが、執筆時点では修正プログラムが提供されていないが、この脆弱性を突くOfficeドキュメントが出回り、標的型攻撃に使われているため、警戒が必要だ。(2021/9/8)

Androidの9月月例更新開始 「Pixel 5a(5G)」も対象
GoogleがAndroidの9月の月例更新をリリースした。今月から「Pixel 5a(5G)」も対象になる。重要度が最も高い「重大」7件を含む40件の脆弱性に対処する。(2021/9/8)

安全なWeb/モバイルアプリ開発【前編】
アプリ開発者が実践すべきセキュアコーディングの初歩の初歩
Webアプリケーションやモバイルアプリケーションの脆弱性のほとんどは、ごく当たり前な処理の欠落に起因しているという。開発者が絶対にやるべきこととは何か。(2021/9/8)

Bluetoothスタックに16個の脆弱性が見つかる 1400以上の製品に影響か
複数の市販製品が搭載するBluetoothプロトコルスタック実装に16個の脆弱性が発見された。これらは総称して「BrakTooth」と呼ばれる。1400以上の製品に影響が及ぶとみられており、各ベンダーの対処も異なるため注意が必要だ。(2021/9/6)

CIO Dive:
SolarWindsのCISO「あの時、私たちは条件反射で動いた」全米が震えた大インシデントの教訓
SolarWinds製品の脆弱性を利用した一連のサプライチェーン攻撃は、多くの企業に迅速なインシデント対応の重要性を再認識させた。だがインシデントへの備えが具体的に何を指すのか分からない企業も多い。SolarWindsのCISOが語る条件反射でインシデントに対応するコツとは。(2021/9/6)

Atlassian Confluenceの脆弱性修正パッチを至急適用するよう米政府が警告
Atlassianが8月末にパッチを公開したConfluenceの脆弱性を悪用する攻撃が拡大していると、米当局が警告した。米国はLabor Dayの3連休だが「週明けまで待つことはできない」と米サイバー軍は至急パッチを適用するよう呼び掛けた。(2021/9/5)

Gartner Insights Pickup(222):
セキュリティの脆弱性を妥当な時間で効果的に修正するには
セキュリティとリスク管理のリーダーは、脆弱(ぜいじゃく)性管理プラクティスを形式的な基準ではなく、自社の具体的なニーズに対応させる必要がある。(2021/9/3)

Chromeの最新版セキュリティアップデートが公開 27件の脆弱性を修正
GoogleはGoogle Chromeのセキュリティアップデートを公開した。今回のアップデートは27件の脆弱性を修正している。深刻度が重要の脆弱性も5件含まれているため迅速にアップデートを適用してほしい。(2021/9/2)

Cisco製品に複数の脆弱性 セキュリティアドバイザリの確認を
Ciscoは、複数の製品に関するセキュリティドバイザリを発行した。今回発表された脆弱性の中には深刻度が緊急(Critical)に分類されるものもあるため注意が必要だ。必要に応じてアップデートを適用してほしい。(2021/8/28)

サイバー攻撃にも“働き方改革”?
サイバー犯罪者が土日休みの「ホワイト勤務」を好む“ブラックな狙い”
Barracuda Networksの調査によると、脆弱性を悪用した攻撃が平日に集中している。攻撃者が週末に“休む”のはワークライフバランスのためではない。彼らはなぜ、平日に活動するのか。(2021/8/28)

OpenSSLにDoS攻撃を引き起こす脆弱性 迅速なアップデートの適用を
US-CERTは、広く利用されるSSL/TSLライブラリ「OpenSSL」に脆弱性が発見されたと伝えた。脆弱性を利用されるとサービス運用妨害(DoS:Denial of Service)が引き起こされる危険性がある。(2021/8/27)

Microsoftのローコードアプリ開発ツールPower Appsポータルの設定ミスで約3800万件の個人情報漏えい
Microsoftのローコードアプリ開発スイート「Apower Apps」の「Power Appsポータル」で作成された47組織のアプリで、合計3800万件の個人情報がアクセス可能になっていたとUpGuardが報告した。脆弱性ではなく、初期設定のままツールを使うと公開する仕様になっていたため。Microsoftは初期設定を変更し、自己診断ツールを配布した。(2021/8/24)

BINDにDoS攻撃を可能にする脆弱性 影響は広範囲に及ぶ恐れ
全世界で広く利用されるDNSサーバのプログラム「BIND」に脆弱性が見つかった。脆弱性を利用されるとDoS攻撃を引き起こされる可能性があるため、迅速にアップデートを適用してほしい。(2021/8/21)

重要機能をほぼ網羅した優れたツール群:
脆弱性を探し出す7つの主要コード検査ツールとは
Comparitech.comは公式ブログで、コード検査ツールに求められる機能を解説し、それらの機能をほぼカバーする主要な7製品を紹介した。いずれも幅広いプログラミング言語に対応し、部分的なコードであっても脆弱性を検知できるという。(2021/8/19)

Exchange Serverの脆弱性に新情報 これを利用したサイバー攻撃が活発化
アップデートしていない「Microsoft Exchange Server」を運用しているなら注意が必要だ。Exchange Serverの脆弱性に関する新情報が公開されたことでサイバー攻撃者の動きが活発化している。日本にも該当したExchange Serverがあるため、迅速にアップデートしてほしい。(2021/8/17)

2021年8月のWindows Updateが配信開始 悪用の報告がある脆弱性にも対応
Microsoftは、2021年8月の累積更新プログラムを配信した。今回の累積更新プログラムはすでに悪用が確認されている脆弱性の修正を含んでいる。可能な限り迅速にアップデートを適用してほしい。(2021/8/13)

富士通製ツール「ProjectWEB」への不正アクセス調査、129組織での情報流出が判明 「正規のIDとパスワードでログインされた」
富士通製のプロジェクト情報共有ツール「ProjectWEB」を導入していた官公庁などから情報が流出していた問題で、計129組織から情報が流出していたことが明らかになった。第三者が同ツールの脆弱性を突き、正規のID・パスワードを不正に取得し、ログインしていたという。(2021/8/12)

暗号資産、一時660億円流出も4割返還 攻撃者は送金権限を改ざんか
Poly Networkから約6億ドル(日本円で約660億円)の暗号資産が流出した問題で、約4割が返還された。ブロックチェーン推進協会の専門家は、原因について「プラットフォームに脆弱性があり、攻撃者が送金権限を改ざんした」とみているという。(2021/8/12)

現状では解決策なし IoTデバイスのハードウェア乱数ジェネレータに脆弱性
研究者らがIoTデバイスのハードウェア乱数ジェネレータが適切に使われていないと指摘した。350億台に及ぶIoTデバイスが影響を受ける可能性がある。(2021/8/11)

Microsoft、「PrintNightmare」対策で「ポイントアンドプリント」を管理者権限に
Microsoftは「PrintNightmare」と呼ばれる脆弱性に対処するため、「ポイントアンドプリント」で管理者権限を要求するよう仕様を変更した。8月10日のセキュリティ更新で適用される。(2021/8/11)

VPN製品「Pulse Connect Secure」に複数の脆弱性 乗っ取りの危険性あり
VPN製品「Pulse Connect Secure」に複数の脆弱性が発見された。修正版は配布済みのため迅速にアップデートを適用してほしい。(2021/8/10)

Ciscoのルーター製品に「緊急」の脆弱性 直ちにアップデートを
Ciscoのルーターに深刻度が「緊急」の脆弱性が見つかった。該当の製品を利用している場合には直ちに情報を確認するとともに、アップデートを適用することが望まれる。(2021/8/6)

Black Hat USA 2021:
Webスケールの脆弱性調査が可能なオープンソースツール「WARCannon」が公開
インターネットを間接的に「grep」することでWeb脆弱性を調査する作業をよりシンプルに、より速く、より安く実行できるオープンソースツール「WARCannon」が公開された。(2021/8/6)

エストニアで全人口約2割の顔写真データが流出 国のデータベースに脆弱性
エストニアの国家情報システム局が、国民情報の管理や電子手続きに使う「国民IDカード」にひも付いた顔写真データ約29万枚が不正にダウンロードされたと発表した。同局が運営する身分証明データベースの脆弱性が悪用されたという。犯人は逮捕済み。(2021/8/5)

IoTセキュリティ:
数百万の制御システムに影響も、組み込みTCP/IPスタック「NicheStack」に脆弱性
JFrogのセキュリティリサーチチームとForescout Research Labsは、制御システムに広く利用されているTCP/IPネットワークスタック「NicheStack」に14件の脆弱性を発見したと発表。リモートでのコード実行、サービス拒否、情報漏えい、TCPスプーフィング、DNSキャッシュポイズニングなどのサイバー攻撃につながる可能性がある。(2021/8/5)

東芝とPeraton Labsが脆弱性評価ツールをOSSで公開 「Black Hat USA 2021 Arsenal」で発表も
東芝とPeraton Labsは、脆弱性評価ツール「Automated Attack Path Planning and Validation」(A2P2V)を開発した。サイバー攻撃シナリオを自動生成して、システムを模擬的に攻撃することでセキュリティ強度を検証する。(2021/8/5)

GW中に発見されたWordPressプラグインの脆弱性 アップデートは適用済み?
長期休暇中には、アップデートの適用を怠ってしまうこともある。2021年5月4日にWordPressのプラグイン「WordPress Download Manager」で2つの脆弱性が見つかった。修正版はリリース済みのため迅速にアップデートを適用してほしい。(2021/8/3)

産業制御システムのセキュリティ:
東芝が制御システム向け脆弱性評価ツールを開発、オープンソース化で展開拡大へ
東芝と米国のPeraton Labsは、発電所や受変電設備、上下水道や交通、工場・ビル施設などで稼働する産業制御システムへのサイバー攻撃に対する脆弱性評価ツール「Automated Attack Path Planning and Validation(A2P2V)」を開発。「Black Hat USA 2021 Arsenal」で発表するとともに、オープンソースソフトウェアとして公開する。(2021/8/3)

「IE」の脆弱性を利用した新たなサイバー攻撃が見つかる ソーシャルエンジニアリングとの併用も確認
Malwarebytesの研究者が既知の脆弱性とソーシャルエンジニアリングを併用した攻撃手法を発見した。この攻撃は、テンプレートインジェクション手法を利用しているが、サポート終了が迫る「Internet Explorer」の脆弱性を利用している点が珍しい。(2021/7/31)

TechTarget発 世界のITニュース
Windows脆弱性「PrintNightmare」に緊急パッチ提供 Microsoftはなぜ急いだのか
Windowsの印刷関連の脆弱性「PrintNightmare」に対処すべく、Microsoftは定例外のスケジュールでパッチを提供した。なぜMicrosoftはパッチ提供を急いだのか。パッチをすぐに適用できない場合の対処法とは。(2021/7/30)

意思疎通のためのセキュリティ用語集【第5回】
「脅威モデリング」はなぜ必要か? 侵入テストだけでは不十分な理由
侵入テストは、企業のシステムに存在するさまざまな脆弱性をあぶり出すのに役立つ。だがそれだけでは発見しづらい脆弱性があるという。そうした脆弱性の特定で効力を発揮する「脅威モデリング」とは何か。(2021/7/30)

IPカメラのファームウェアに緊急の脆弱性 複数ベンダーの製品に利用されており注意が必要
多くのIPカメラベンダーにソフトウェアを提供するUDP TechnologyのIPカメラファームウェアに複数の脆弱性が見つかった。範囲は明らかになっていないが、多くのデバイスが影響を受けるものとみられる。推奨された緩和策の実施を急いでほしい。(2021/7/29)

複数のApple製品にゼロデイ脆弱性が見つかる 直ちにアップデートを
Appleからゼロデイ脆弱性を修正するアップデートの配信が始まった。同脆弱性はカーネル権限で任意のコードが実行できるというもので注意が必要だ。(2021/7/28)

Apple、「macOS Big Sur 11.5.1」を公開 致命的な脆弱性を修正
Appleは、「macOS Big Sur」の最新アップデートとなる「11.5.1」を公開した。(2021/7/27)

抜本的な対策がない脆弱性「PetitPotam」が見つかる Microsoftが緩和策を公開
Windowsにソフトウェア側での抜本的な対策が難しい脆弱性「PetitPotam」が発見された。Microsoftはこれに対する適切な運用と推奨される緩和策を文書化している。(2021/7/27)

Apple、iOSとiPadOSの「14.7.1」緊急更新 “既に悪用された可能性のある脆弱性”を修正
AppleがiOSとiPadOSの「14.7.1」をリリースした。iOSではApple Watchのロックを解除できない問題を修正。ゼロデイ攻撃に利用された脆弱性の修正も行われる。(2021/7/27)

16年間潜んでいたプリンタドライバの脆弱性が明らかに 影響は数百万台に登る可能性
16年間にわたって、HPとSamsung、Xeroxのプリンタソフトウェアに深刻度の高い脆弱性が存在していたことが明らかになった。何百万台ものプリンタがこの脆弱性の影響を受けると考えられており注意が必要だ。(2021/7/22)

米、英、EU、NATO、日本など、サイバー攻撃で中国を非難
米、英、EU、NATO、日本などが7月19日、3月に発生したMicrosoft Exchange Serverの脆弱性を悪用したサイバー攻撃について、中国を非難した。米司法省は同日、中国政府とつながりがあると見られるハッカー4人を指名手配したと発表した。(2021/7/20)

Chromeに悪用確認済みの脆弱性、特権昇格を許す可能性も
Google Chromeに脆弱性が発見された。今回発見された脆弱性の深刻度は「重要」とされており、最も深刻な「緊急」よりは低い扱いだが、すでにサイバー攻撃に使われていることが確認されているため、対策を急いでほしい。(2021/7/19)

PR:日本マクドナルドに学ぶ、「人の脆弱性」を狙ったサイバー攻撃をいかにして防ぐか?
日本マクドナルドでは、自社で対処すべき固有の情報セキュリティリスクとして「メールを介した脅威」を挙げ、その対処のために予算や人員を確保して対策を強化している。「メールを悪用した攻撃」が増加し、手口も高度化・巧妙化の一途をたどっているからだ。その対処方法とは?(2021/7/19)

TechTarget発 世界のITニュース
報告者に報酬 脆弱性情報を集めるためにCISAが開始したプログラムとは?
米国で官民連携によって幅広く脆弱性情報を収集し、サイバー攻撃を未然に防ぐことを目指したプログラムが始動した。クラウドソーシングを使い、脆弱性の報告者に報酬を支払うこの仕組みはどのようなものか。(2021/7/17)

VMware製品に脆弱性が見つかる アップデート未適用のプロダクトも
複数のVMware製品に脆弱性が発見された。影響を受けたシステムの制御権が乗っ取られる危険性があるため注意してほしい。迅速なアップデートの適用が推奨される。(2021/7/16)

GitHubのバグ発見報奨金、2020年の支払額は約5700万円 報告件数は過去最多
米GitHubの日本法人は、脆弱性やバグを報告したユーザーに謝礼を支払う「セキュリティバグ報奨金プログラム」の支払額が、2020年は約5700万円だったと発表した。(2021/7/16)

細工したUSBで顔認証をだます? Windows Helloに脆弱性が発見される
パスワードレス認証システム「Windows Hello」に、USBを利用して認証を突破できる脆弱性が見つかった。現在、多くの企業が生体認証を採用した認証基盤の構築に注力しているが、その危険性についても十分に認識しておくべきだろう。(2021/7/15)

Windowsの月例アップデートが配信開始 適用プロダクトは?
Microsoftは2021年7月の累積更新プログラムの配信を開始した。月例累積更新プログラムは多くの脆弱性を修正するため、迅速にアップデートを適用してほしい。(2021/7/15)

WordPressのファイル管理プラグイン「Frontend File Manager」に複数の脆弱性 直ちにアップデートを
「WordPress」でファイル管理プラグイン「Frontend File Manager」を利用しているのであれば早急に対処が必要だ。同プラグインには深刻度が緊急(Critical)に分類される脆弱性が複数存在することが指摘されている。(2021/7/13)

Kaseya VSAの脆弱性、アップデートを装ったフィッシング攻撃にも注意
2021年7月に入ってから、Kaseya VSAの脆弱性を利用した大規模なサプライチェーンランサムウェア攻撃が続いている。さらに修正パッチのアップデートを装ったフィッシング詐欺も新たに登場した。(2021/7/12)

4種類のツールを使う:
企業のセキュリティ維持にはなぜペネトレーションテストが重要なのか
WhiteSourceはペネトレーションテストに関する解説記事を公開した。テストの目的と重要性の他、ペネトレーションテストと脆弱性評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。(2021/7/12)

Cisco製品に複数の脆弱性 迅速なアップデートを
Ciscoは、2021年7月に複数のセキュリティアドバイザリを発行した。このうち幾つかのセキュリティ脆弱性は深刻度が重要(High)とされており注意が必要だ。スピーディーな確認とアップデートが求められる。(2021/7/9)

直ちにアップデートを:
Microsoft、脆弱性「PrintNightmare」に向けた累積更新プログラムを配信開始
Microsoftは、Windowsの印刷スプーラーに存在するリモートコード実行の脆弱性、通称「PrintNightmare」の修正プログラムを配信した。迅速なアップデートが望まれる。(2021/7/8)

Androidの7月月例更新開始 Pixelでは再起動を繰り返すバグの修正も
Googleが7月の月例セキュリティ更新の配信を開始した。重要度「最高」を7件を含む多数の脆弱性に対処した。Pixelでは2件のバグ修正も行われる。(2021/7/8)

エレコムのルーター製品に脆弱性 選択肢は利用停止と買い替えのみ
エレコムのルーター製品に脆弱性が見つかった。コマンドインジェクションや任意コマンドの実行が可能だと指摘されている。脆弱性が存在するルーター製品はすでにサポートが終了しているため、修正プログラムは提供されない。該当する製品の使用を停止し、現行製品へ移行することが推奨されている。(2021/7/7)

Microsoft、Windowsの緊急パッチ公開 「PrintNightmare」に対処
Microsoftが7月1日に認めたWindowsの印刷スプーラーの脆弱性に対処する緊急パッチを公開した。「PrintNightmare」と呼ばれるこの脆弱性を悪用されると、SYSTEM権限で任意のコードを実行されてしまう。Windows 7向けのパッチも公開された。(2021/7/7)

Kaseya VSAサプライチェーンランサムウェア攻撃、CISAとFBIが強く対策呼びかけ
Kaseya VSAの脆弱性を利用したサプライチェーンランサムウェア攻撃が活発化している。米CISA、FBIが共同で対策ガイダンスを発表しており、直ちに対策するよう求めている状況だ。(2021/7/7)

エレコムの一部ルーターに脆弱性 サポート終了のため使用中止・現行製品への切り替えを推奨
「任意のOSコマンドを実行される」などのリスクがあるとのこと。(2021/7/6)

ほぼ日刊ITトレンドワード:
エレコム製ルーターに脆弱性、「ウマ娘」はGII以下で体操服……7月6日のITトレンドをサクッとおさらい
7月6日は「エレコム製ルーター」「体操服」がネット上で話題に。その理由や背景をサクっとおさらい。(2021/7/6)

エレコムのルーターに脆弱性、利用停止を呼び掛け 「OSコマンドインジェクション」 を受ける可能性
エレコムが、2017年11月から12月にかけて発売した無線LANルーター3種類に脆弱性があると発表。ファームウェアの更新を終了した機種であることから、製品の利用を停止するよう呼び掛けている。(2021/7/6)

Microsoft AzureチームがPowerShell 7.0/7.1の脆弱性に警告 直ちにアップデートを
Microsoft AzureのリソースをPowerShell 7.0またはPowerShell 7.1から操作する環境を管理している場合は注意してほしい。このバージョンは.NET Coreに発見されたリモートコード実行の脆弱性の影響を受けることが分かっているからだ。(2021/7/5)

Windowsの印刷スプーラーにリモートコード実行の脆弱性「PrintNightmare」の報告、修正提供はまだ
Windowsの印刷スプーラーにリモートコード実行の脆弱性が存在することが明らかになった。この脆弱性を利用されると、遠隔からSYSTEM権限で任意のコードが実行される危険性がある。執筆時点で修正方法はなく、当面は回避策の適用が必要だ。(2021/7/6)

無線LANの脅威「FragAttacks」を解剖する【後編】
Wi-Fiデバイスの脆弱性「FragAttacks」にMicrosoftやCiscoはどう対処したのか
無線LANデバイスに存在し得る脆弱性群「FragAttacks」による実害を防ぐべく、さまざまなベンダーが対処を進めた。各社はその危険性をどう判断し、どう動いたのか。主要ベンダーの取り組みを整理する。(2021/7/8)

今後は通信機器のファームウェアなどが狙われやすくなる Microsoft 365 Defender Research Teamの指摘
Microsoftが2021年12月に公開されたNETGEARルーターの脆弱性に関する情報を公開した。Microsoftはルーターを狙ったサイバー攻撃の増加を指摘している。(2021/7/3)

Dell PCのBIOSに脆弱性の報告、確実なアップデートの適用を
129モデルのDell PCに脆弱性が存在することが明らかになった。BIOSConnectというBIOSレベルのベンダーアップデートツールの脆弱性で、BIOSレベルで任意コードが実行される危険性がある。アップデートの提供が始まったことから、迅速に適用することが望まれる。(2021/7/1)

マクロとミクロで考えるセキュリティの近未来:
PR:ゼロトラスト、SASE、脆弱性アセスメント、NGAV、EDR――新常態におけるセキュリティ課題と、その変革に必要な認識、技術とは
ビジネスを革新するセキュリティの在り方を考えるライブ配信セミナー「ITmedia Security Week 2021夏」が開催され、次世代のセキュリティ技術をさまざまな角度から見直す講演が行われた。本稿では、その内容をお届けする。(2021/7/1)

SonicWallのVPN製品に脆弱性、チェックとアップデートを
SonicWallのVPNアプライアンスで情報リークの脆弱性が存在することが明らかになった。以前発覚した脆弱性の修正で漏れではないかと指摘されている。(2021/6/24)

トヨタ「ハイラックス」に深刻(?)な脆弱性 海外YouTuberのトンデモ実験で「上空1万フィートから落下したらペシャンコになる」ことが判明
約3000メートルの高さから落とされるハイラックス。(2021/6/23)

「NVIDIA Jetson」のSDKに複数の脆弱性 影響は数百万台か
NVIDIAのJetson向けのSDKに複数の脆弱性が見つかった。数百万台が出荷済みと考えられる。(2021/6/22)

Microsoft Teamsに脆弱性の報告、実装の一部に「甘さ」の指摘
Tenableのセキュリティ研究者は、Microsoft Teamsにメッセージやファイル窃取などの可能性がある脆弱性が存在したことを公表した。現在、問題は解消済みだが、脆弱性の内容はいろいろな意味で深刻なものだった。(2021/6/21)

「訴えてやる!」の前に読む IT訴訟 徹底解説(89):
従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです
契約したのは弊社ですが、セキュリティホールを作ったのは従業員です。悪いのはアイツです!(2021/6/21)

無線LANの脅威「FragAttacks」を解剖する【前編】
Wi-Fiデバイスのほぼ全てに影響 無線LANの脆弱性「FragAttacks」とは?
セキュリティ研究者が、無線LANデバイスに存在し得る脆弱性群「FragAttacks」を発見した。どのような脆弱性の組み合わせなのか。簡潔に説明する。(2021/6/19)

ネットワークレベルでエンドポイントの脆弱性に対処:
「仮想パッチ」は通常のパッチと何が異なるのか
仮想パッチは脆弱性パッチの一種だが、脆弱性のあるソフトウェアへ直接パッチを当てるのではなく、ネットワークレベルで脆弱性に対応する。Compritech.comによれば、ネットワークやシステムの管理者は業務の一環として仮想パッチに取り組むべきだという。(2021/6/17)

ThroughTek P2P SDKでWebカメラの映像にアクセスできる脆弱性、深刻度は緊急
またWebカメラに脆弱性が報告された。該当するデバイスを使っていないか確認しておこう。(2021/6/17)

TechTarget発 世界のITニュース
Appleが「WebKit」の脆弱性を修正 ユーザーがやるべきことは?
Appleは「iOS」や「macOS」が搭載するレンダリングエンジン群「WebKit」の脆弱性を修正した。同社はユーザーや管理者に対象となるOSを更新するよう呼び掛けている。(2021/6/16)

一部のLinuxディストリビューションに特権昇格の脆弱性、RHEL 8などに影響
Linuxに特権昇格の脆弱性が発見された。この脆弱性自体は7年前から存在していたが、該当する脆弱性があるpolkitを含むディストリビューションがなかったため最近ようやく発見されたようだ。(2021/6/14)

Chromeに緊急の脆弱性、サイバー攻撃での利用もすでに観測
GoogleからChromeのセキュリティアップデート版の配信が開始された。今回のアップデートで修正対象になっている脆弱性の一つはすでにサイバー攻撃で使われていることが明らかになった。(2021/6/11)

NAME:WRECKの衝撃
多数のIoT機器が抱えるDNS脆弱性 パッチ適用できない機器はどうする?
メジャーなTCP/IPスタックで脆弱性が発見され、膨大な数のIoT機器が影響を受けることが判明した。パッチの適用が最善策だが、適用できないIoT機器を保護する方法はあるのか。(2021/6/11)

Microsoft Officeに数年にわたって存在した4つの脆弱性が発見される
Microsoft Officeに4つの脆弱性が見つかった。Microsoft Officeエコシステムのほぼ全てに影響するという。しかも、この脆弱性は数年にわたって存在していたと考えられている。(2021/6/10)

iPhoneやmacOSの特権昇格の脆弱性「CVE-2021-30724」についてトレンドマイクロが詳細を公開
2021年5月に配信されたiPhoneやiPad、macOSのアップデートには、特権昇格が可能な脆弱性「CVE-2021-30724」を修正する変更が含まれていた。この問題を発見したTrend Microが脆弱性の概要と概念実証(PoC:Proof of Concept)を公開した。(2021/6/7)

この頃、セキュリティ界隈で:
今そこにある 分業制「サイバー脅迫エコノミー」 企業を狙うマルウェア、脆弱性の放置は格好の標的に
サイバー犯罪の分業システムという、嫌な経済圏が既に動いているようだ。(2021/6/7)

DRAMの微細化で脅威が増すサイバー攻撃:
メモリに繰り返しアクセスするだけで権限のないメモリ内容を変更可能、Googleが攻撃手法を発見
DRAMが持っていたハードウェアの脆弱性を悪用する「ローハンマー」というサイバー攻撃は、2014年に見つかった古い手法だ。既に対策が講じられているものの、2021年にGoogleが発見した「ハーフダブル」攻撃にはまだ対策が見つかっていない。(2021/6/4)

WordPressプラグインにゼロデイの緊急脆弱性、すでに悪用確認で要対応
またWordPressプラグインの1つにゼロデイの脆弱性が発見された。深刻度は緊急(Critical)に分類されている。しかもすでにサイバー攻撃が確認されている。(2021/6/4)

PDFの認証文書を書き換える脆弱性、回避できたのは26アプリ中たった2つ
PDFドキュメントには不正変更を防止する認証機能が用意されているが、この認証機能を攻撃する方法が発見された。認証された文書であるにもかかわらず可視コンテンツを変更することができるという。26のアプリケーションで検証され、攻撃に対して安全だったのは2つだけだったと報告されている。(2021/5/31)

TechTarget発 世界のITニュース
SonicWallのメールセキュリティ製品にゼロデイ攻撃 侵入の手口は?
SonicWallのメールセキュリティ製品「Email Security」のゼロデイ脆弱性が悪用された。攻撃者はどのように攻撃を仕掛けたのか。詳細を追った。(2021/5/29)

Bluetooth CoreとMeshの仕様に脆弱性、影響範囲の広さはまだ不明
最近のデバイスでよく使われている無線機能であるBluetoothの仕様に脆弱性があることが発見された。この脆弱性を利用されると、なりすまし攻撃を受けたりAuthValueの漏えいなどが発生する危険性があるとされる。まだどの程度の製品が影響を受けるのかの全体像は明らかになっておらず、ベンダー各社の対応も含め、今後の動向が注目される。(2021/5/31)

Apple M1プロセッサの設計上の脆弱性、Linux移植の過程で偶然発見
Appleが2020年に発表したApple M1プロセッサの評判は良好だ。その設計特性からパワフルで高速な上に消費電力面でも優れていると評価される。この新プロセッサLinux移植を試みていた開発者が設計上の脆弱性を発見してしまった。(2021/5/28)

「監視ツールで守られていると思っていたら、攻撃条件がそろっていました」:
Nagiosに13個の非常に強力なアップストリーム攻撃が可能な脆弱性の報告
人気の高いセキュリティツールであるNagiosに非常に強力なアップストリーム攻撃が可能な複数の脆弱性が存在していたことが明らかになった。サードパーティー製のテクノロジーハブへの攻撃にも注意が必要になりそうだ。(2021/5/25)

macOS Big Surが11.4にアップデート 多数の脆弱性と不具合が修正
米Appleは、macOSの最新版「macOS Big Sur 11.4」を公開した。(2021/5/25)

iOS 14.6の配信開始 Podcastサブスク対応、AirTagのプライバシー改善、38件の脆弱性修正も
Appleが「iOS 14.6」の配信を開始した。Podcastアプリでのサブスクリプションに対応した。AirTagのプライバシー改善や38件の脆弱性修正も行われる。(2021/5/25)

Ciscoの複数の製品に脆弱性の報告 アップデート適用を
2021年5月20日(現地時間)に米コンピュータ緊急事態対策チームがCisco製品のセキュリティ脆弱性に関して注意喚起を行った。この前後にも複数のセキュリティアドバイザリが発行されているため、見落としがないか確認してほしい。(2021/5/24)

人気のWordPress統計情報プラグインに脆弱性、アカウント窃取に注意
WordPressのプラグイン「WP Statistics」で、認証されていないユーザーアカウントデータなどの機密情報を窃取できる脆弱性が存在することが明らかになった。該当するプラグインを使っている場合には迅速にアップデートを適用してほしい。(2021/5/24)

IoTセキュリティ:
オープンソースソフトウェアの採用率は98%に拡大、脆弱性含む割合も増加の一途
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。(2021/5/24)

脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」【訂正あり】
大規模会場を使った新型コロナワクチンの接種予約システムの欠陥を巡り、情報公開の在り方で議論が起きている。IPA(情報処理推進機構)は5月18日、取材に対し「一般論ではあるが、脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。(2021/5/18)

TechTarget発 世界のITニュース
FBIが警鐘を鳴らす「FortiOS」の脆弱性 “パッチ未適用”の製品が標的に
FBIとCISAによると、Fortinet製品が搭載する「FortiOS」の脆弱性を悪用したAPT攻撃が発生している。アップデートしていない製品が狙われているとみられる。(2021/5/18)

8割超が「アウト」も 脆弱な通信プロトコルを使い続ける企業の割合に関する残念な調査結果
一般的な通信プロコトルに脆弱性が発見されると、影響範囲の大きさから対策を急ぐものと考えがちだが、ある調査によると、「まさか」と思うような脆弱性を放置する企業もあるようだ。リスクの高いプロトコルとリスクの割合が明らかになった。(2021/5/15)

すでに攻撃確認、5月のMicrosoft累積アップデートは緊急脆弱性対応が盛り込まれる
Windows Updateで修正される脆弱性に「緊急(Critical)」と分類されるものが増えている。Microsoft2021年5月の累積アップデートには緊急の脆弱性に対応するものが含まれる。すでに脆弱性を突く攻撃が確認されているので注意してほしい。(2021/5/13)

Adobe Acrobat、Acrobat Readerに任意コード実行の脆弱性が報告される
AdobeのAcrobatとAcrobat Readerに緊急の脆弱性が発見された。この脆弱性を突かれると任意のコードが実行される危険性がある。すでに悪用が確認されていることから、該当する製品を使用している場合には直ちにアップデートを適用してほしい。(2021/5/12)

WordPressのアンチスパムプラグインにSQLインジェクションの脆弱性、アップデートで対応を
WordPressプラグインにSQLインジェクションの脆弱性が見つかった。この脆弱性を利用されると、ユーザー電子メールアドレスやハッシュ化されたパスワードなど任意のデータを窃取される危険性があるため、アップデートを急いでほしい。(2021/5/10)

Eximに緊急の脆弱性、400万台のMTAサーバに影響
メール転送エージェントEximに21個の緊急の脆弱性が発見された。遠隔から制御権を乗っ取ることが可能とされている。該当するソフトウェアを使用している場合には可能な限り迅速にアップデートが望まれる。(2021/5/8)

Dell PCに特権昇格の脆弱性、アップデートを
DellのPCに特権昇格の脆弱性が存在することが研究者らによって指摘された。影響を受けるユーザーは数百万人にのぼると見られる。一般ユーザーが特権昇格できるとされており、今後悪用が進む可能性があるため、アップデートの適用を急いでほしい。(2021/5/6)

Apple、悪用される可能性のあるWebKitの脆弱性を修正するiOS、iPadOS、macOS、watchOSのアップデート
AppleがiOS、iPadOS、macOS、watchOSのアップデートをリリースした。いずれも同じWebKitの脆弱性を修正するもの。既に悪用された可能性があるとしている。(2021/5/4)

「kintoneの脆弱性ではない」 東京都医療者向けワクチン予約サイトの個人情報問題でサイボウズが見解
東京都が医療従事者向けに公開した新型コロナワクチンの接種予約サイトに、第三者から個人情報が閲覧できる不具合があった問題を受け、システムのベースとなるソフトウェア「kintone」(キントーン)を開発したサイボウズがkintone自体に脆弱性はないと発表。(2021/4/27)

iOS 14.5とwatchOS 7.4配信開始 マスクのままロック解除やトラッキング許可など盛りだくさん
Appleが「iOS 14.5」と「watchOS 7.4」をリリースした。これでマスクのままのロック解除機能や「AirTag」を探すなど多数の機能が使えるようになり、50件以上の脆弱性も修正される。(2021/4/27)

TechTarget発 世界のITニュース
SolarWinds製品の脆弱性を悪用 メールセキュリティベンダーが被害を公開
Mimecastは、同社のデジタル証明書に不正アクセスがあった攻撃について侵害調査の結果を公開した。攻撃者の侵入経路が判明するとともに、被害がデジタル証明書以外にも及んでいることが分かった。(2021/4/27)

持続的標的型攻撃はどのように実行されたか――CISAが対応した事例の分析レポートを公開
VPNアプライアンスの脆弱性を突き、リスクある「SolarWinds Orion」サーバに侵入してWebシェル「Supernova」を仕込む――。直近で実際に発生した実際の持続的標的型攻撃について、対応にあたったCISAがレポートをまとめた。どのように侵入され攻撃されたのかが簡潔にまとまっている。(2021/4/27)

内閣府の共有ストレージに不正アクセス 231人分の個人情報が流出
内閣府は職員らが使用するファイル共有ストレージに不正アクセスがあり、231人の個人情報が外部に流出したと発表した。内閣府は攻撃の痕跡などから、開発元も認知していない脆弱性を突いたサイバー攻撃「ゼロデイ攻撃」とみている。(2021/4/23)

Linuxカーネルへの意図的な脆弱性混入、ミネソタ大が証明してしまったリスク
Linuxカーネルに研究者が悪意あるコードを故意にコミットしていたことが明らかになり、波紋を呼んでいる。カーネル開発者は同グループからのコミットを全て差し戻して再検証し、大学側も研究の停止を発表した。(2021/4/23)

【情報更新あり】VPN製品「Pulse Connect Secure」に脆弱性、パッチ提供までは回避策を推奨
CISAがPulse Connect Secureの脆弱性を利用した攻撃に関する注意喚起を発表した。侵入を許した場合、Webシェルを仕込まれている可能性がある。場合によってはかなりの数のアカウントのパスワードリセットと、システム全体のチェックと対処が必要になる。(2021/4/22)

TechTarget発 世界のITニュース
「Exchange Server」にゼロデイ攻撃 Microsoftが定例外のパッチ公開
「Exchange Server」の脆弱性に対して、Microsoftは2021年3月2日にセキュリティ更新プログラムを公開し、公式のブログで脆弱性や関連する攻撃について報告した。(2021/4/20)

この頃、セキュリティ界隈で:
医療機器や制御システムに影響する脆弱性「NAME:WRECK」 つながるモノがはらむ危険性に警鐘
DNDプロトコルが脆弱性につながっているという。(2021/4/19)

VLCやOpenOfficeなどにワンクリックコード実行の脆弱性 アプリ開発におけるURI処理に課題
人気の高いソフトウェアにワンクリックコード実行の脆弱性が見つかった。ソフトウェア側の実装に問題があるため、今回発見されたソフトウェア以外にもリスクがある可能性があるという。(2021/4/16)

「ぐるなび」アプリに脆弱性、フィッシング詐欺被害の恐れ 「最新版へ更新を」IPAが呼び掛け
「ぐるなび」のアプリにアクセス制限の不備があり、フィッシング詐欺などの被害にあう恐れがあるとして、IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)がアプリを最新版にアップデートするよう注意を促した。(2021/4/15)

1億台のデバイスにDoSやリモートコード実行の脆弱性「NAME:WRECK」、研究者ら報告
100億台を超えるデバイスに「NAME:WRECK」と呼ばれる脆弱性が存在する可能性が発表された。技術標準仕様を定めたRFCの複雑さがセキュリティリスクになっているとの見解を示した。(2021/4/14)

FBI、「Exchange Server」攻撃を受けた未対策サーバのWebシェル削除を“代行”
米司法省は、1月ごろから拡散している「Microsoft Exchange Server」の脆弱性を悪用する大規模な攻撃で悪意あるWebシェルを仕込まれ、自ら対処できていない米国内の数百のサーバからリモートでWebシェルを削除したと発表した。(2021/4/14)

Microsoft、4月の月例更新で悪用されたExchange問題を含む多数の脆弱性に対処 「Edge Legacy」は消滅
Microsoftが月例更新“Patch Tuesday”の配信を開始した。危険度最高19件を含む100以上の脆弱性が修正される。また、「Edge Legacy」はこの更新で消滅する。(2021/4/14)

サポート切れCisco Small Businessルーターに緊急の脆弱性、アップデートの提供予定はなし
古いCisco Small Businessルーターシリーズにリモートコード実行の脆弱性が存在するというセキュリティアドバイザリが発行された。この脆弱性に関してはEoLを理由にセキュリティアップデートは提供されない見込みだ。サポート対応のある製品への切り替えが推奨されている。(2021/4/12)

macOSメールにあったゼロクリック脆弱性の詳細を研究者が公表
macOSのメールアプリケーションにゼロクリックのセキュリティ脆弱性が存在していた。この脆弱性自体は2020年7月のアップデートで修正されているが、修正が適用される前のメールアプリケーションは細工された2つのzipファイルを添付したメールを受信するだけで個人情報が漏えいするリスクがあったようだ。(2021/4/6)

古いQNAPに別の脆弱性、ネットワーク経由で乗っ取り可能との情報が公開される
人気のNAS製品「QNAP」の古いモデルに、直近のセキュリティアップデートを適用していても防げない脆弱性が報告された。悪用されるとリモートから完全に乗っ取られる可能性もあるという。(2021/4/6)

ワークロードを可視化して適切に保護
クラウドをサイバー攻撃から守るカギ、DevSecOpsを実現する2つのポイントとは?
DXの推進に伴いクラウドやコンテナの採用が増える一方、設定ミスや、ホストの脆弱性が放置されていることにより、セキュリティリスクが高まっているケースは多い。これを解消するにはDevSecOpsを実現することが不可欠だが、その方法とは?(2021/4/13)

5.33億人のFacebookユーザーの電話番号を含む個人情報、犯罪フォーラムで公開
Facebookの日本を含む世界のユーザー5億3300万人の個人情報が、サイバー犯罪フォーラムで公開されているとセキュリティ研究者が警告した。Facebookは、このデータは2019年に流出した古いもので、原因の脆弱性は修正済みだと語った。(2021/4/4)

WordPress人気の検索プラグインに脆弱性、6万以上のWebサイトに影響か
WordPressで人気のある検索プラグインに脆弱性が発見された。脆弱性が利用されれば、攻撃者に悪意あるJavaScriptのコードを実行される危険性があるとされている。影響を受けるWebサイトは6万件以上と推定され、注意が必要だ。(2021/3/31)

Webページを閲覧しただけで全てを奪われる:
複数の脆弱性を突く攻撃チェーンの構築法とは、GitHubがAndroidシステムの実例を解説
GitHubは複数の脆弱性攻撃を組み合わせることで、カーネルコードの実行に至る実験に成功したことを発表した。Androidシステムコンポーネントのさまざまな脆弱性攻撃を組み合わせて、「Google Chrome」ブラウザのエクスプロイトから権限昇格へ、さらにAndroidデバイス上でのカーネルコード実行へと進んだ。(2021/3/31)

Mobile Weekly Top10:
iOSやiPadOSなどに脆弱性対策の修正/WebViewの不具合でAndroidユーザーが大混乱
iOS/iPadOS 14やiOS 12などにセキュリティ上の脆弱(ぜいじゃく)性を修正する更新が行われました。iOS 12の更新はiOS 14の適用対象外機種を対象とするものです。(2021/3/29)

「Exchange Server」攻撃対策、92%以上が適用 まだ3万以上のインスタンスが不適用
Microsoftが「Exchange Server」の脆弱性を突く攻撃への対策状況を説明した。世界中の脆弱性のあるExchange Serverの92%以上にパッチの適用または緩和策の適用が行われたとしている。(2021/3/29)

自社のテレワークPCは安全と言い切れる?
SSL VPNの脆弱性も狙われる――識者が語るテレワーク環境の最新脅威と対処法
新型コロナウイルス感染症の影響でテレワークが普及する中、SSL VPNの脆弱性を突く標的型ランサムウェア攻撃や、拡散を狙うばらまきメール攻撃など新たな脅威が顕在化している。これらに企業はどう対処すべきか、有識者が語り合った。(2021/3/29)

iOSの14.4.2と12.5.2配信 「悪用された可能性のあるWebKitの重要なセキュリティアップデート」
Appleが、iOS、iPadOS、watchOSのアップデートをリリースした。悪用された可能性のあるWebKitの脆弱性を修正するものだ。iPhone向けは「iOS 14.4.2」だけでなく、旧モデル向けの「iOS 12.5.2」も出ている。(2021/3/27)

リスクあるExchange Serverは世界に6万2000台も残る、日本の台数は
Exchange Serverの脆弱性が現在進行系で悪用されている。脆弱な状態のExchange Serverは特に米国に多いが、日本も世界で13番目に多いようだ。(2021/3/27)

WordPressのテーマに緊急脆弱性、既に攻撃の痕跡も
WordPressで人気の高いテーマの脆弱性がサイバー攻撃に使われていることが発見された。この脆弱性はセキュリティパッチが提供されていないテーマのものだ。このテーマを利用したWebサイトはインターネット上に10万ほど存在すると推測される。(2021/3/25)

ロイヤルダッチシェル、保守切れ直前アプライアンスのゼロデイ脆弱性を突かれる
石油大手Royal Dutch Shellがサイバー攻撃を受けた。保守切れ直前の古いアプライアンスが抱えた脆弱性を突かれた。影響範囲は調査中だとしている。(2021/3/24)

ゼロデイ脆弱性「少なくとも11は使われていた」 Google Project Zero指摘
ソフトウェアを常に最新の状態に保っていてもゼロデイの脆弱性を狙ったサイバー攻撃は防御し切れない。2020年は少なくとも1年間で11のゼロデイ脆弱性がサイバー攻撃者に使われたことが明らかになった。複数のゼロデイ脆弱性を組み合わせた攻撃も見つかっているという。(2021/3/22)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。