ITmedia総合  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

サイバー攻撃者に悪用されやすい脆弱性タイプは? 2022年版「CWE Top 25」が公開
HSSEDIは「CWE Top 25 Most Dangerous Software Weaknesses」の2022年版を公開した。サイバー攻撃者が悪用する脆弱性タイプがランキング形式で紹介されている。参考の上、対処することが望まれる。(2022/7/2)

経産省が改善命令:
「脆弱性なし」と改ざんし行政処分 クレカ情報46万件流出のメタップスが謝罪
クレジットカードの決済システムに「脆弱性がない」と報告書を改ざんし、経済産業省から行政処分を受けたメタップスペイメント(東京都港区)が7月1日、公式Webサイトで謝罪文を公表した。(2022/7/1)

脆弱性情報を隠匿、被害後の原因調査もなし…… クレカ情報漏えいのメタップス子会社に行政指導
経済産業省は、大量のクレジットカード情報を流出させたとして、クレジットカード決済システムを提供するメタップスペイメントに行政指導した。同社は情報セキュリティの監査において、脆弱性情報やシステム変更の事実を適切に共有していなかった。(2022/7/1)

Firefox、Thunderbirdの最新版が公開 深刻度「重要」の脆弱性を複数修正
MozillaはMozilla Firefox、Firefox ESR、Thunderbirdのセキュリティアップデートを公開した。脆弱性の中には深刻度「重要」(High)と分類されるものも含まれているため直ちにアップデートを適用することが望まれる。(2022/7/1)

深刻化する攻撃にどう対処すればいいのか
セキュリティ製品にこそ「透明性」が必要な納得の理由
EmotetやRoaming Mantisなど、メールやSMSを用いたサイバー攻撃が深刻化している。ユーザー企業が使うIT製品が、脆弱性を突かれて企業システムへの侵入のきっかけになることもある。高度化するサイバー攻撃を防ぐために必要な視点とは。(2022/6/30)

Citrix Hypervisorに複数の脆弱性 迅速にアップデートの適用を
CitrixはCitrix Hypervisorに関する複数の脆弱性について報告した。Citrix Hypervisorに影響を与えるIntelのCPUに関連する脆弱性にも対処している。迅速にアップデートを適用してほしい。(2022/6/28)

CISAアドバイザリーに学ぶセキュリティ強化策【後編】
“ポート開けっ放し”は禁物 軽視してはいけない「脆弱性」の危険性とは
企業がシステムを守る際に注目しなければならないのは、システムの脆弱性だ。脆弱性を進める上で、CISAが特に注意を促していることは何か。どのような技術で脆弱性悪用のリスクを減らせるのか。(2022/6/27)

攻撃者集団AvosLockerの手口から考える脆弱性対策【後編】
Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは?
トレンドマイクロの研究者は、攻撃者集団「AvosLocker」がAvast Softwareのセキュリティソフトウェアを無効化する際、ある脆弱性を悪用したとみる。その脆弱性とは。(2022/6/27)

Log4Shellはまだ現役? VMware Horizonを対象にしたサイバー攻撃を確認
CISAとCGCYBERはVMware HorizonおよびUnified Access Gateway(UAG)に関するセキュリティアドバイザリーを公開した。これによると複数の脅威アクターが、Apache Log4jの脆弱性である通称「Log4Shell」を利用してこれらのVMware製品にサイバー攻撃を仕掛けている。(2022/6/25)

Cloud Nativeチートシート(17):
コンテナ/Kubernetesの脆弱性、機密情報、設定間違いが分かるOSS「Trivy」徹底解説〜もうイメージスキャンだけとは言わせない
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、コンテナ/Kubernetesの脆弱性、機密情報、設定間違いを診断、検出するOSS「Trivy」を紹介する。(2022/6/24)

Chromeの最新バージョンが配信 「緊急」含む合計14個の脆弱性を修正
Googleは「Google Chrome version 103.0.5060.53」の配信を開始した。合計14個の脆弱性が修正されている。迅速にアップデートを適用してほしい。(2022/6/22)

この頃、セキュリティ界隈で:
悪用多発のゼロデイ脆弱性「Follina」 外部の研究者が危険性指摘、Microsoftの対応巡り批判も
「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は、いったんはセキュリティ問題ではないと見なしていたことも判明。Microsoftの脆弱性に対する対応や情報開示の在り方に関する論議も起きている。(2022/6/22)

WordPress.orgが強制セキュリティアップデートを発動 Ninja Formsの脆弱性に対処
WordPress.orgは、プラグイン「Ninja Forms」の強制セキュリティアップデートを実施した。同アップデートは脆弱性が特に深刻で影響範囲が広い場合に適用される軽減措置とされており、注意が必要だ。(2022/6/22)

100万インストールのWordPressプラグイン「Ninja Forms」にCVSSv3スコア9.8の脆弱性
WordPressの入力フォーム生成プラグイン「Ninja Forms」にCVSSv3スコア9.8の脆弱性が見つかった。該当のプラグインを使用している場合は迅速なアップデート適用が求められる。(2022/6/18)

SAPが6月のセキュリティパッチを公開 「緊急」の脆弱性含むため直ちに確認と更新を
SAPは2022年6月のセキュリティパッチを公開した。セキュリティノートのうち1つはCVSSスコア10、優先度「緊急」(Very High)に分類されている。(2022/6/17)

Microsoft、5月末発表の悪用されたゼロデイ脆弱性「Follina」を修正
Microsoftが5月末に発表した「悪用されたことが確認された」ゼロデイ脆弱性を修正した。6月の月例更新ではこの他、3件の重要度最高のものを含む多数の脆弱性に対処。Microsoftは、可能な限り早く適用するよう勧めている。(2022/6/16)

Microsoftが6月の累積更新プログラムを配信 ゼロデイ脆弱性「Follina」に対処
Microsoftは2022年6月の累積更新プログラムを配信した。今回のアップデートには先日明らかになったゼロデイ脆弱性「Follina」への対応が含まれている。(2022/6/16)

CPUの「周波数スケーリング」技術を狙った「Hertzbleed」脆弱性 リモートで暗号化キーが抽出される可能性
テキサス大学やイリノイ大学、ワシントン大学の研究者らが、CPUの周波数スケーリングを対象にした新たなサイドチャネル脆弱(ぜいじゃく)性である「Hertzbleed」を発表した。(2022/6/15)

Innovative Tech:
Bluetoothから個別のスマートフォンを識別し追跡するサイバー攻撃 米国チームが論文発表
米University of California, San Diegoの研究チームは、Bluetoothの脆弱性を突いて、スマートフォンを識別し追跡できることを実証した論文を発表した。(2022/6/15)

Chromeで「重要」に分類される4つの脆弱性が見つかる 迅速な対処を
GoogleはGoogle Chromeの最新バージョン「Google Chrome version 102.0.5005.115」の配信を開始した。今回のアップデートは、合計7個の脆弱性を修正している。迅速にアップデートを適用してほしい。(2022/6/14)

ゼロデイ脆弱性にも対応可
ブラウザの脆弱性を保護する「ブラウザアイソレーション」とは何か
Webブラウザのゼロデイ脆弱性にも対応できるセキュリティ対策が「ブラウザアイソレーション」だ。一元管理できるのでエンドポイント管理に煩わされることもない。(2022/6/14)

IEから切り替えのタイミングで……:
Microsoft Edgeの最新版が公開 深刻度「重要」の脆弱性に対処
Microsoftは、最新版となる「Microsoft Edge version 102.0.1245.39」を公開した。深刻度「重要」の脆弱性が修正され、迅速なアップデートの適用が求められる。(2022/6/11)

サポート終了目前のIEの脆弱性も対象:
「既知の悪用された脆弱性カタログ」に36個の脆弱性が追加 迅速にアップデートの適用を
「既知の悪用された脆弱性カタログ」に36個の脆弱性が追加された。複数のAdobe製品やMicrosoft製品などに影響を及ぼす脆弱性が含まれるため注意が必要だ。内容を確認し、迅速に対処してほしい。(2022/6/10)

Azure Functionsにも対応予定:
Contrast Securityが、AWS Lambda用脆弱性検査ツールを無償で提供開始
Contrast Securityがサーバレスの脆弱性ツールを正式リリースした。AWS Lambdaに対応し、最小権限構成をはじめとしたチェックを行う。開発者がセルフサービスで利用できる。(2022/6/9)

中国の支援を受けた脅威アクターが悪用する16の脆弱性とは? CISAらが共同アラート
CISAらは共同でセキュリティアラートを発表した。中国が支援する脅威アクターが頻繁に悪用する脆弱性とベストプラクティスをまとめている。(2022/6/9)

日清紡Gでもセキュリティコードなどクレカ情報1000件漏えいか ECサイト改ざんで
日清紡のグループ企業が運営するECサイトが不正アクセスを受け、セキュリティコードを含むクレジットカード情報など計2218人分が漏えいした可能性がある。ECサイトの脆弱性を突かれ、利用していたWebアプリを改ざんされたという。(2022/6/8)

富士通の“政府認定クラウド”への不正アクセス、ロードバランサー内で任意のコマンドが実行できる状態だった 被害状況の調査結果
クラウドサービス「ニフクラ」「FJcloud-V」が不正アクセスを受け、ユーザーの認証情報などが盗まれた可能性がある件を巡り、脆弱性のあったロードバランサー内で任意のコマンドが実行できる状態だったことが分かった。(2022/6/8)

AndroidとPixelに6月の月例更新 Pixelでは多数の改善も
Googleが6月の月例セキュリティ情報を公開し、パッチの配信を開始した。Androidでは41件の、Pixelでは79件の脆弱性が修正される。Pixelでは多数の問題修正や改善も行われる。(2022/6/7)

Atlassian Confluence ServerにRCEの脆弱性 悪用したサイバー攻撃に警戒を
Atlassian製品にリモートコード実行の脆弱性が発見された。同脆弱性は既にサイバー攻撃への悪用が確認されているため注意が必要だ。迅速にアップデートを適用してほしい。(2022/6/7)

Appleの残念な歴史
脆弱性を放置するAppleに高まる批判──同社の反論は?
macOSに脆弱性があることを知りながら、Appleはそれを放置している。Catalina/Big Surユーザーは危険にさらされている。本件についてAppleに問い合わせてみたが……。(2022/6/6)

CISAがVMware製品の脆弱性アラートを更新 サイバー攻撃確認済みのため急ぎ対処を
CISAは2022年5月に公開したVMware製品に関する脆弱性アラートをアップデートした。脆弱性を利用したサイバー攻撃者のシステムへの侵入手口などが追加されている。該当製品を使用している場合は、アラートの更新内容を確認してほしい。(2022/6/4)

「Confluence」に“最高レベル”のゼロデイ脆弱性 遠隔地から任意のコードを実行される恐れ
豪Atlassianのコラボレーションツール「Confluence」に関する一部製品で、遠隔地から任意のコードを認証不要で実行できてしまう脆弱性が見つかった。深刻度は同社基準の最高値である「Critical」で、修正プログラムは未公開。(2022/6/3)

FirefoxとThunderbirdの新バージョンが公開 深刻度「重要」の脆弱性に対処
Mozillaは、FirefoxとThunderbirdに脆弱性が存在するとして修正版を公開した。脆弱性の深刻度「重要」のものも含まれる。該当ソフトウェアを使用している場合には迅速にアップデートを適用することが望まれる。(2022/6/3)

攻撃者集団AvosLockerの手口から考える脆弱性対策【前編】
Avastのセキュリティソフトを無効化 研究者が明かした“驚きの手口”
攻撃者集団「AvosLocker」は、既存の脆弱性を悪用してマルウェア対策ソフトウェアを無効化する手口で攻撃を仕掛けている。具体的な攻撃方法を、トレンドマイクロの研究者の解説に沿って説明する。(2022/6/2)

Microsoftの診断ツールにゼロデイ脆弱性 Wordなどでリモートコード実行の恐れがあり回避策を公開
米Microsoftが、Windowsの診断ツールであるMicrosoft Support Diagnostic Tool(MSDT)に未修正のゼロデイ脆弱性(CVE-2022-30190)が見つかったとして、その回避策を公開した。(2022/6/1)

OfficeにRCEを引き起こすゼロデイ脆弱性 マクロ無効化を回避する動きも確認
Microsoft Officeにリモートコードの実行を可能にするゼロデイ脆弱性が発見された。同脆弱性は研究者によって「Follina」と呼ばれている。Microsoftから公開された緩和策を迅速に適用してほしい。(2022/6/1)

Officeに未修正のゼロデイ脆弱性 Microsoftは回避策を公開
現行のすべてのWindowsに影響するゼロデイ脆弱性について、Microsoftが回避策を公開した。Wordファイルをプレビューするだけでも悪意あるコマンドが実行される可能性がある。(2022/6/1)

「Appleセキュリティバウンティ」は改善したのか【第4回】
「Appleのバグ報奨金は安過ぎる」と語るセキュリティ研究者の言い分
Appleは脆弱性報告プログラム「Appleセキュリティバウンティ」の改善を進めているものの、さらなる改善を望む研究者は少なくない。研究者が注視するのが「報奨金の金額」だ。(2022/6/1)

半径300メートルのIT:
NASをなるべく安全に運用するには? “まずやるべきこと”を考えた
NASを標的にしたサイバー攻撃がたびたび話題になっています。CISAの「既知の悪用された脆弱性カタログ」にもNASの脆弱性が登録されている今、これに向けた対策は個人、組織を問わず喫緊の課題です。では、まず何から始めればいいのでしょうか。(2022/5/31)

OSSとの「上手な付き合い方」【第1回】
知らないと危険な「OSSのリスク」 “脆弱性祭り”への対処法とは?
OSSはアプリケーションを開発する際に「利用しないわけにはいかない」ほど重要な存在になった。一方でOSSの脆弱性を悪用した攻撃が跡を絶たない。OSSを安全に利用するには、どうすればいいのか。(2022/6/20)

Citrix製品にDoS攻撃を引き起こす脆弱性 迅速にアップデートの適用を
Citrix ADCやCitrix Gatewayにサービスを妨害する攻撃を引き起こす脆弱性が見つかった。脆弱性を悪用するには幾つかの条件があるため、被害に遭わないためにも迅速にアップデートを適用してほしい。(2022/5/28)

GoogleがChrome バージョン102をリリース 「Critical」を含む32件の脆弱性に対応
米Googleが、デスクトップ向けChromeのバージョン102を安定(Stable)チャネルで公開した。(2022/5/27)

Chromeに「緊急」および「重要」に分類される脆弱性 迅速にアップデートを
Googleは、Google Chrome version 102.0.5005.61の配信を開始した。合計32個の脆弱性が修正されており、深刻度「緊急」の脆弱性も含まれる。迅速な対処が望まれる。(2022/5/27)

QNAP製NASの脆弱性も 「既知の悪用された脆弱性カタログ」に新たに20個が加わる
先日に引き続き、CISAは「既知の悪用された脆弱性カタログ」にQNAP製NASやiOS、Windowsなどに存在する20個の脆弱性を追加した。(2022/5/26)

ChromeやiOSなどが該当 CISAが「既知の悪用された脆弱性カタログ」に21個の脆弱性を追加
CISAは「既知の悪用された脆弱性カタログ」にGoogle ChromeやiOSなどに存在する21個の脆弱性を追加した。確認の上、必要に応じてアップデートや緩和策を適用することが望まれる。(2022/5/25)

WordPressテーマにCVSSスコア9.9の脆弱性が見つかる 直ちに確認を
WordPressテーマに複数の脆弱性が見つかった。脆弱性の中にはCVSSv3スコアで9.9、深刻度「緊急」(Critical)に分類されるものがあり注意が必要だ。(2022/5/24)

半径300メートルのIT:
パスワードの使い回し禁止も大事だけど、もっと大事なID防御策をオンにしよう
「既知の悪用された脆弱性カタログ」を公開するCISAは、5月を「MFAMay」、つまり多要素認証の強化月間に設定しています。これを機に皆さん、多要素認証を導入しませんか。(2022/5/24)

「Appleセキュリティバウンティ」は改善したのか【第3回】
「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念”
Appleは「Appleセキュリティバウンティ」で脆弱性の報告を受け付け、報告者への応対の改善に取り組んでいる。一方でいまだに不信感を抱く研究者の声は消えない。どのような懸念があるのか。(2022/5/24)

VMwareの複数製品にCVSSv3スコア9.8の脆弱性 早急な対応を
VMware製品に複数の脆弱性が見つかった。既にサイバー攻撃に悪用されているものとは別の脆弱性であることに加え、CVSSv3スコア9.8に該当する脆弱性もあるため迅速に対処してほしい。(2022/5/21)

Apple製品に複数の脆弱性 既にサイバー攻撃への悪用を確認済み
AppleのOSで複数の脆弱性が見つかった。特にmacOS Big SurやwatchOS、tvOSでは今回修正された脆弱性を利用したアクティブなサイバー攻撃が確認されている。(2022/5/20)

IoTセキュリティ:
米国大統領令の影響か? 商用ソフトウェアのOSS由来脆弱性が減少傾向に
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2022年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。(2022/5/20)

Chromeゼロデイ脆弱性悪用 その狙いと手口【後編】
北朝鮮の攻撃者グループが悪用か 「Chrome」脆弱性を突く2種類の攻撃とは
北朝鮮の攻撃者グループが悪用したとみられる、「Chrome」の脆弱性「CVE-2022-0609」。実際の攻撃の手口として、Googleは2種類の攻撃を明かした。それぞれどのような攻撃なのか。(2022/5/20)

Windows版iTunesに脆弱性 Appleが修正版を配信開始
Appleは5月18日(現地時間)、Windows向けの「iTunes 12.12.4 for Windows」の配信を開始した。(2022/5/19)

VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示
米サイバーセキュリティインフラストラクチャ安全保障局が、米VMware製品に認証回避や権限昇格の脆弱性があるとして、政府・行政機関に対策を指示した。脆弱性の深刻度は10点中9.8点に及ぶ。(2022/5/19)

富士通の“政府認定クラウド”に不正アクセス 認証情報など盗まれた可能性 ロードバランサーの脆弱性悪用
富士通クラウドテクノロジーズのクラウド基盤サービス「ニフクラ」「FJcloud-V」のロードバランサーが不正アクセスを受けた。一部ユーザーのデータや認証情報を盗まれる可能性があったが、クラウド基盤内部への侵入や情報の流出などは見つかっていない。(2022/5/18)

Apache Tomcatに情報漏えいを引き起こす脆弱性 迅速なアップデートを
Apache Tomcatに深刻度が「重要」(High)に分類される脆弱性が見つかった。実装によっては脆弱性の影響を受けない可能性があるが、アップデートが提供されていることから迅速に適用してほしい。(2022/5/18)

iPhoneとiPadのOSが「15.5」に Podcastの新機能や34件の脆弱性対処
Appleは「iOS 15.5」および「iPadOS 15.5」をリリースした。Podcast関連の新機能が追加された。セキュリティ関連では34件の脆弱性に対処した。(2022/5/17)

CodeQL、Dependabot、GitHub Actionsなどを活用:
Log4j脆弱性に55万件のアラート送信も――GitHubで安全なソフトウェアを作成する5つの簡単な方法とは
GitHubは、「GitHub」のネイティブツールや機能を活用してより安全なソフトウェアを作成する5つの方法を紹介した。(2022/5/17)

異例の対応? CISAがカタログに追加した脆弱性を一度取り下げた理由
CISAは「既知の悪用された脆弱性カタログ」に追加した脆弱性について、一時的に登録を解除するという異例の措置を発表した。なぜ同脆弱性は取り下げられたのだろうか。(2022/5/17)

「Appleセキュリティバウンティ」は改善したのか【第2回】
「Appleに脆弱性を報告しても放置される」問題は本当になくなったのか?
セキュリティ研究者の間で、「Appleセキュリティバウンティ」におけるAppleの応対が改善したという意見がある一方、懸念点も指摘されている。何が問題なのか。(2022/5/17)

Adobeの複数製品に深刻度「緊急」の脆弱性 迅速な対処を
Adobeは複数製品に脆弱性が存在するとし、セキュリティアドバイザリを発行した。深刻度「緊急」(Critical)に分類される脆弱性も見つかっており迅速な対処が求められる。(2022/5/14)

SOMPOホールディングス、グループ全体のサイバーハイジーンを強化 Tenableを活用し脆弱性を管理
SOMPOホールディングスは、グループ全体のIT資産へのサイバー攻撃リスクを軽減するため、脆弱性管理製品の「Tenable」を導入し、サイバーハイジーンとサイバーリスクの一元管理を開始した。(2022/5/12)

データ分析サービス「Azure Data Factory」に「緊急」の脆弱性 手動アップデートが必要なケースも
Azure Data FactoryおよびAzure Synapse Pipelineに深刻度「緊急」に分類される脆弱性が見つかった。ユーザー自身でアップデートを適用する必要があるケースもあるため確認が急がれる。(2022/5/12)

F5 BIG-IPの脆弱性を利用するサイバー攻撃を確認 直ちにアップデートを
F5のBIG-IPを使用している場合には注意が必要だ。BIG-IPに深刻度「緊急」に分類される脆弱性が報告された。既にアップデートが提供されているため迅速に適用してほしい。(2022/5/11)

自社資産の棚卸しやログの退避も重要:
マルウェアの痕跡が見つかるのはまれ トレンドマイクロが2021年の国内標的型攻撃を分析
トレンドマイクロは「国内標的型攻撃分析レポート2022年版」を公開した。被害が発生している恐れが高い攻撃では、その多くがVPNなどのネットワーク機器や公開サーバの脆弱性が悪用されていた。(2022/5/11)

「Microsoft Remote Procedure Call」に脆弱性
Windowsに見つかった「RPC」の危ない脆弱性 パッチ未適用PCは全滅か?
「Windows」の重要なネットワークコンポーネントである「RPC」に脆弱性が見つかった。急速な被害拡大の可能性があると専門家は警鐘を鳴らす。何が危険なのか。実害を防ぐにはどうすればいいのか。(2022/5/11)

Active Directoryの脆弱性対策は万全ですか? Tenableが自社製品の日本語版を発表
Tenableは、同社の脆弱性リスク管理ソリューションを日本語で提供すると発表した。ADの脆弱性管理に特化したTenable.adや自社のIT/OT環境全体を可視化するTenable.otなどが対象となる。(2022/5/9)

Innovative Tech:
「赤信号」を「青信号」だと錯覚させる自動運転車へのサイバー攻撃 中国などの研究チームが脆弱性指摘
中国の浙江大学、香港中文大学、米シカゴ大学による研究チームは、自動運転車に搭載されるカメラをレーザー光で攻撃し、信号機の認識を錯覚させる方法を実証し、脆弱性を指摘した論文を発表した。(2022/5/9)

QNAP製NASで「Netatalk」に起因した脆弱性 アップデートは未提供
QNAP製のNASを使用している場合、アップデートが提供されるまではAFPの無効化を検討した方がよさそうだ。先日修正されたNetatalkの脆弱性の影響を受けることが確認されており、現在QNAPが修正に取り組んでいる。(2022/5/6)

AndroidとPixelに5月の月例更新 Pixel 6/6 Proの触覚フィードバック改善も
GoogleはAndroidおよびPixelの月例アップデートの5月版を公開した。Android向けでは1件の、Pixel向けでは2件の重大度が最も高い脆弱性に対処した。Pixel 6シリーズで報告されていた触覚フィードバックの問題も改善される。(2022/5/4)

全世界で悪用される脆弱性トップ15は? 各国当局が共同アラートを公開
米国やオーストラリア、カナダ、ニュージーランド、英国のセキュリティ当局らが共同で日常的に悪用されている脆弱性トップ15を発表した。該当の脆弱性が存在しているかどうかを直ちに確認し、更新することが望まれる。(2022/4/29)

サイロ化から脱却してデータを統合管理
オンプレミスに残る個別最適化したシステム群 どうすれば運用を効率化できる?
サイロ化したシステムを管理する状況では運用を効率化できず、セキュリティホールが生まれたり増設や拡張に手間が掛かったりする可能性もある。これを解消し、簡単かつ効率的な運用を実現する鍵とは何か。(2022/4/28)

「既知の悪用された脆弱性カタログ」に新たに7個が追加 WSO2製品の脆弱性も対象に
CISAが公開する「既知の悪用された脆弱性カタログ」に7個の脆弱性が追加された。脆弱性を再度確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。(2022/4/27)

Innovative Tech:
電気自動車の充電を停止するサイバー攻撃 40m以上先からワイヤレスで可能 英オックスフォード大などが指摘
英オックスフォード大学とスイスのArmasuisse S+Tの研究チームは、電気自動車(EV)と充電ステーションのやりとりを電磁干渉を用いて、離れた場所から攻撃する新しい脆弱性を指摘した論文を発表した。(2022/4/26)

複雑性のキーは「状態管理」
Netflixも採用しているアプリケーション状態管理プラットフォーム
状態管理はアプリケーション開発において重要かつ面倒な機能だ。バグやセキュリティホールの温床であり、トラックは難しい。この部分が簡便化される意義は極めて大きい。(2022/4/26)

Cisco、Spring Frameworkの脆弱性の影響を受ける製品を公開 迅速に対処を
Cisco製品に深刻度「緊急」および「重要」に分類される複数の脆弱性が見つかった。既にセキュリティアドバイザリが公開されているため、同製品を使用している場合は迅速に対処してほしい。(2022/4/23)

Javaに認証なしで不正操作できる脆弱性 影響範囲広く「早急に修正プログラム適用を」
情報処理推進機構が、Javaの基本的な実行環境「Java SE」に重大な脆弱性があるとして注意喚起した。活用範囲が広く攻撃された場合の影響が大きいため、早急に修正プログラムを適用するよう呼び掛けている。(2022/4/21)

合計520の脆弱性に対処 Oracleが2022年4月のクリティカルパッチアップデートを公開
Oracleは2022年4月の「Oracle Critical Patch Update Advisory」を公開した。多岐にわたる製品で脆弱性が発見されており、CVSSv3スコア10.0に分類されるものもあり迅速にアップデートを適用してほしい。(2022/4/21)

働き方改革時代の「ゼロトラスト」セキュリティ(18):
脆弱性、攻撃界面、脅威情報が膨大な今欠かせない「モダンSOC」とは――ゼロトラスト時代の可視化と分析
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラスト時代の可視化と分析、モダンSOCについて解説する。(2022/4/22)

Chromeゼロデイ脆弱性悪用 その狙いと手口【前編】
北朝鮮の攻撃者グループが「Chrome」脆弱性を悪用か 経済制裁の抜け穴に?
「Chrome」のゼロデイ脆弱性を北朝鮮の攻撃者グループが悪用したとGoogleが明かした。攻撃の詳細は。攻撃者グループの意図とは。(2022/4/21)

「見えないWeb攻撃」──情報漏えい対策の盲点:
セキュリティベンダーはLog4j脆弱性攻撃にどう対応したか 舞台裏からゼロデイ攻撃対策を再考する
2021年末に発見された「Apache Log4j」の脆弱性。この脆弱性を悪用する攻撃に対峙したセキュリティベンダーは、どんな対処を取ったのか。実際の対応を参考に、ゼロデイ攻撃への対策を考える。(2022/4/20)

Google ChromeとMicrosoft Edgeに新版 ゼロデイ脆弱性を修正
米Googleは「Google Chrome」の新版である「バージョン100.0.4896.127」の配布を始めた。(2022/4/19)

CISAが脆弱性カタログに9個の脆弱性を追加 Chrome、VMware製品などが対象に
CISAは「既知の悪用された脆弱性カタログ」に新たに9個の脆弱性を追加した。追加された脆弱性を再度確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。(2022/4/19)

最も悪用された脆弱性は「Apache Log4j」:
2022年3月時点で最も流行しているマルウェアは「Emotet」 チェック・ポイント・リサーチが世界脅威インデックスを発表
チェック・ポイント・リサーチは、2022年3月の世界脅威インデックスを発表した。最も流行しているマルウェアは、国内と世界のいずれも前月と同様に「Emotet」。悪用された脆弱性の第1位は「Apache Log4j」だった。(2022/4/16)

VMwareの複数製品に「緊急」の脆弱性 サイバー攻撃への悪用を確認済み
VMwareは複数の自社製品に脆弱性が存在すると発表した。既にサイバー攻撃に悪用されている深刻度「緊急」(Critical)に分類される脆弱性も含まれており注意が必要だ。(2022/4/16)

WordPressプラグインにCVSSv3スコア9.9の脆弱性 500万のWebサイトに影響か
WordPressで広く利用されるプラグイン「Elementor Website Builder」にCVSSv3スコア9.9の脆弱性が見つかった。リモートコード実行が可能になる脆弱性で、500万を超えるWebサイトが影響を受けると見られており注意が必要だ。(2022/4/15)

2022年4月の累積更新プログラムが配信 複数のMicrosoftプロダクトが対象
Microsoftは2022年4月の累積更新プログラムを配信した。今回のアップデートには深刻度「緊急」に分類される脆弱性の修正が含まれている他、既に悪用が確認されているゼロデイ脆弱性も含まれている。(2022/4/14)

米政府は必要性を強調:
CHIPS法成立に向け米政府とチップメーカーが取り組み強化
米国政府と同国のチップメーカーは2022年4月4日(米国時間)の週、520億米ドル規模の刺激策から成る「CHIPS Act」を通過させるための取り組みをそれぞれ強化した。CHIPS Actは、現在そして将来の戦略的脆弱性を警告するものであり、現在、議会の承認を待っている状況にある。(2022/4/18)

nginxのLDAPリファレンス実装にゼロデイの脆弱性 迅速な緩和策の適用を
Webサーバ「nginx」にゼロデイ脆弱性が見つかった。緩和策が公開されたことから、該当ソフトウェアを使用している場合には確認および緩和策の適用を急いでほしい。(2022/4/13)

株式会社ビットフォレスト提供Webキャスト:
スキル不要で誰でも使える、クラウドベースのWebアプリケーション脆弱性診断
Webアプリケーションの脆弱性を狙うサイバー攻撃が増加しており、システム開発者にとって脆弱性診断は喫緊の課題となっている。そんな中、従来製品とは違い、スキル不要で誰でも使用できるツールが登場し、注目されているという。(2022/4/13)

Chromeブラウザ安定版に11件の脆弱性修正アップデート Edgeにも
GoogleはChromeブラウザの安定版の最新アップデートの配信を開始した。バージョン100.0.4896.88で11件の脆弱性に対処する。MicrosoftもEdgeのバージョン100.0.1185.39を配信中だ。(2022/4/12)

SMBv1のリモートコード実行の脆弱性も対象 CISAの脆弱性カタログに新たに3件が加わる
CISAが「既知の悪用された脆弱性カタログ」に3個の脆弱性を追加した。サイバー攻撃にアクティブに利用される脆弱性のため、必要に応じてアップデートや緩和策を適用することが望まれる。(2022/4/8)

ペネトレーションテストは手動か自動か【第1回】
「手動ペネトレーションテスト」でしか調べられない脆弱性とは?
手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。(2022/4/8)

Spring4Shellを悪用したサイバー攻撃が全世界で拡大中 迅速な対処を
Check Point ResearchはSpringに存在する脆弱性、通称「Spring4Shell」を悪用したサイバー攻撃が全世界で拡大していると発表した。既に3万7000件に及ぶ悪用を確認しているという。(2022/4/6)

公開したWebサイト全てが狙われる時代、セキュリティ対策効率化のヒント:
PR:脆弱性、対応する人も時間もない――エキスパートに聞く解決策
社会全体でデジタル化が加速し、Webサイトは重要な顧客接点の一つになっている。一方で、サイバー攻撃による企業の被害は事業継続を脅かすほどに深刻化しており、迅速な対策の見直し、強化が求められている。ソフトウェアからミドルウェアまで日々多数の脆弱性が発覚する一方、企業の人材や予算は限定的だ。ビジネスを確実に守る方法はあるのか。(2022/4/18)

製造マネジメントニュース:
小島プレスが調査報告書、外部企業とのリモート接続機器に脆弱性
小島プレス工業は2022年3月31日、同年2月末に発生したシステム停止事案の調査報告書を公開した。(2022/4/5)

GitLabにアカウント乗っ取りの脆弱性 直ちにアップデート適用を
GitLabに「緊急」(Critical)に分類される脆弱性が見つかった。アカウント乗っ取りの可能性もあることから直ちにアップデートを適用することが推奨される。(2022/4/5)

深刻度は「9.8」:
Spring Frameworkにリモートコード実行の脆弱性 即時アップデートの適用を
Spring Frameworkにリモートコード実行の脆弱性が見つかった。同フレームワークはWebアプリケーションやエンタープライズアプリケーション開発に広く利用されており、広範囲の影響が予想される。(2022/4/4)

QNAP製NASにOpenSSL起因の脆弱性 現時点でアップデートは未提供
QNAP製NASがOpenSSLにおける無限ループの脆弱性の影響を受けることが判明した。現時点ではアップデートが提供されていないため、今後の続報が待たれる。(2022/4/2)

iPhoneにゼロデイ脆弱性 修正のiOS 15.4.1配信開始
米AppleがiOS、iPad OS、macOSのアップデートの配布を開始した。iOSとiPad OSは15.4.1、macOSは12.3.1。バッテリー問題を改善した他、ゼロデイ脆弱性を修正している。(2022/4/1)

iPhoneとiPadに悪用された可能性のある脆弱性対処の「15.4.1」 バッテリー問題改善も
Appleは「iOS 15.4.1」「iPadOS 15.4.1」「macOS Monterey 12.3.1」をリリースした。いずれも共通する「悪用された可能性のある」2件のゼロデイ脆弱性を修正する。iPhoneとiPadは前回のアップデート後にバッテリー消耗が早くなった問題にも対処する。(2022/4/1)

合計28の脆弱性に対処 Google Chromeの最新バージョンが公開
Googleは最新版の「Google Chrome version 100.0.4896.60」を公開した。合計28の脆弱性が修正されており、迅速なアップデート適用が求められる。(2022/4/1)

Trend Microのセキュリティ製品に「重要」の脆弱性 すでに悪用を確認済み
Trend Microの複数製品に脆弱性が見つかった。深刻度は「重要」と分類されている。同脆弱性はすでに悪用が確認されており注意が必要だ。該当製品を使っている場合には迅速なアップデート適用が求められる。(2022/3/31)

2012年のFlash Player脆弱性もいまだ現役? CISAが整備中の「既知の悪用された脆弱性カタログ」に32件が追加
CISAは「既知の悪用された脆弱性カタログ」に32個の脆弱性を追加した。これらの脆弱性は、サイバー攻撃で積極的に悪用されており注意が必要だ。迅速な確認および対処が望まれる。(2022/3/30)

「Web 3.0」を狙う“古い手口”【後編】
攻撃者自身もはまる? 「ソーシャルエンジニアリング」を軽視してはいけない
「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。(2022/3/30)

トレンドマイクロ製品に任意のコードを実行できる脆弱性 修正パッチ適用呼び掛け
情報セキュリティ製品「Trend Micro Apex Central」の脆弱性を悪用したサイバー攻撃が発生している。トレンドマイクロはリリース済みの修正パッチを適用するよう呼び掛けている。(2022/3/29)

Innovative Tech:
自動運転車へのサイバー攻撃、米国の研究チームが実証 レーザー銃で「偽物の車が前から突っ込んでくる」錯覚攻撃
米デューク大学と米ミシガン大学の研究チームは、自動運転車のセンサーをだまして、周囲の物体が検出距離よりも近い(または遠い)と信じ込ませる攻撃に成功し、搭載するカメラやセンサーの脆弱性を実証した。(2022/3/29)

VMware Carbon Black App Controlに「緊急」の脆弱性 迅速なアップデートを
VMware Carbon Black App Controlに複数の脆弱性が見つかった。深刻度は「緊急」に分類されており注意が必要だ。該当製品を使用している場合には直ちにアップデートしてほしい。(2022/3/29)

理論的に「ReDoS脆弱性がないこと」を保証:
正規表現の脆弱性を自動修正するアルゴリズムを開発 NTTと早稲田大学
NTTと早稲田大学は、正規表現の脆弱性に対する実用的な自動修正技術を開発した。論理モデルを定義し、脆弱性がないことを保証した正規表現を出力するアルゴリズムを考案した。(2022/3/28)

Chromeブラウザに緊急セキュリティ更新 悪用されたゼロデイ脆弱性を修正
ChromeとEdgeの緊急セキュリティ更新がリリースされた。実際に悪用された重要度「High」のゼロデイ脆弱性1件に対処する。(2022/3/27)

日立とServiceNowが製品セキュリティでタッグ 脆弱性を一元把握できる「PSIRT運用プラットフォーム」を提供開始
日立とServiceNowは、製造業向けに、製品セキュリティの向上を効率化する「PSIRT運用プラットフォーム」の提供を開始した。脆弱性情報と製品構成情報を一元管理し、PSIRTの業務を省力化しながら、セキュリティリスクの早期発見や対策を強化できる。(2022/3/25)

鈴木ケンイチ「自動車市場を読み解く」:
EVは電力不足の敵か救世主か
日本の電力供給体制の脆弱性を明らかにした昨日の電力ひっ迫。ここで気になるのがEVという存在です。電気で走るEVはどのような存在になるのでしょうか。ポジティブなのか、はたまたネガティブなのか?(2022/3/24)

DELL製PCのBIOSに深刻度「重要」の脆弱性 対象は40モデル超 今すぐ確認を
DELLのPCに5つの脆弱性が発見された。脆弱性の深刻度は「重要」とされており、任意のコードが実行可能になるとされている。対象製品が多いことから、早期の確認とアップデートの適用が望まれる。(2022/3/24)

ReDoS脆弱性を自動修正する技術、NTTと早稲田大が「世界に先駆けて」開発
NTTと早稲田大学は、「ReDoS脆弱性」を自動修正する技術を、世界に先駆けて開発したと発表した。専門知識のない開発者でも、ReDoS脆弱性を容易に修正できるという。(2022/3/23)

セキュリティ人材不足の企業が安全を「保ち続ける」には:
PR:100以上のWebサイトの脆弱性と改ざんを可視化し、リスクを手軽に排除する方法
Webサイトはエンドユーザーとの接点として重要な役割を果たす。複数のWebサイトを運用する企業が自社サイトのリスクを発見してセキュリティを継続的に確保する方法とは。(2022/3/22)

深刻度「緊急」の脆弱性に対処 Google Chrome version 99.0.4844.74が公開
Googleは、Google Chrome version 99.0.4844.74を公開した。合計11個の脆弱性が修正されており、そのうち1つが深刻度「緊急」、8つが深刻度「重要」に該当するため注意が必要だ。(2022/3/18)

複数のMicrosoft製品が対象に CISAがサイバー攻撃に積極的に悪用される15個の脆弱性を発表
CISAは「既知の悪用された脆弱性カタログ」に新たに15個の脆弱性を追加した。複数のMicrosoft製品が対象になっているため注意してほしい。(2022/3/17)

Linuxカーネルのnetfilterに深刻度「重要」の脆弱性 確認とアップデートを
Linuxカーネルのnetfilterに特権昇格の脆弱性が存在することが明らかになった。CVSSv3スコア7.8で深刻度が「重要」(High)に分類されているため注意が必要だ。(2022/3/16)

Linuxに特権昇格の脆弱性「Dirty Pipe」が見つかる 迅速な対応を
Linuxカーネルに特権昇格の脆弱性が存在することが明らかになった。この脆弱性は「Dirty Pipe」と呼ばれており、2016年に発見された類似する脆弱性よりも悪用が簡単だと言われている。確認とアップデートの実施が推奨される。(2022/3/15)

ITmedia エグゼクティブセミナーリポート:
継続的な情報収集により脆弱性を正しく理解し、適時判断するのが危機対応のポイント――Armoris 取締役専務 CTO 鎌田敬介氏
危機対応にはベストプラクティスは存在しない。国内外の企業で実際に起きたサイバー危機対応事例をベースに、組織的な対応としてどのようなポイントが課題となりやすいのか、平常時にはどのような備えが必要なのだろうか。(2022/3/14)

IPA、専門家による脆弱性診断を無料提供 中小運営のECサイト向け
IPAが、ECサイトを運営する中小企業向けに、専門家による脆弱性診断を無料で提供する。通常は100万円程度の費用が掛かるサービスだが、脆弱性を巡る現状把握に向け、経済産業省の補助を受け無料で実施するという。(2022/3/10)

Microsoft、2022年3月の累積更新プログラムを配信 Exchange Serverの深刻度「緊急」への対応が含まれる
Microsoftは2022年3月の累積更新プログラムの配信を開始した。幾つかの脆弱性は深刻度が「緊急」(Critical)に分類されているため、迅速にアップデートを適用してほしい。(2022/3/9)

Firefox、Thunderbirdに深刻度「緊急」の脆弱性 直ちにバージョンの確認を
「Firefox」と「Thunderbird」に「緊急」(Critical)の脆弱性が見つかった。既に広く悪用が確認されており注意が必要だ。該当する製品を使っている場合には直ちにアップデートを適用することが望まれる。(2022/3/8)

Androidの3月月例更新開始 「致命的」な3件含む41件の脆弱性修正
Googleが3月の月例更新の配信を開始した。Androidでは「致命的」3件を含む41件の脆弱性を、Pixelではさらに「致命的」6件を含む41件の脆弱性を修正する。Pixel 6/6 Proへの配信は遅れる見込みだ。(2022/3/8)

Linuxにコンテナエスケープの脆弱性 該当条件の確認と更新を
Linuxのコンテナをエスケープできる脆弱性が発見された。正しくセキュリティ機能を適用していればエスケープを回避できるが、条件を満たす場合はエスケープやユーザーの特権昇格が可能になるという。(2022/3/8)

TechTarget発 世界のITニュース
Microsoft署名の脆弱性を悪用 「Zloader」の驚くほどシンプルな手口とは
マルウェア「Zloader」のハッカー集団はMicrosoftのデジタル署名の脆弱性を悪用し、攻撃活動をしている。企業はシステムを守るために、どうすればいいのか。(2022/3/7)

サイバー攻撃に悪用される既知の脆弱性95個とは? CISAが新たにカタログに追加
CISAは「既知の悪用された脆弱性カタログ」に新規で95個の脆弱性を追加した。OfficeやAdobeなど日々利用している複数の製品が該当するため注意が必要だ。(2022/3/5)

Google Chromeのバージョンが「99」に到達 28件の脆弱性を修正
米Googleは、Webブラウザ「Google Chrome」のバージョン99を一般公開した。(2022/3/4)

Google Chromeの最新バージョン99.0.4844.51が公開 合計28個の脆弱性を修正
Googleは「Google Chrome version 99.0.4844.51」を配信した。合計28個の脆弱性が修正されており、迅速なアップデート適用が求められる。(2022/3/4)

「Google Chrome 99」の安定版公開 28件の脆弱性修正やダウンロードショートカットの移動など
Googleは、WebブラウザChromeの最後の2桁バージョン「99」をリリースした。28件の脆弱性に対処した。バージョン100へのアップデートは3月22日の予定だ。(2022/3/2)

「Zoom」を安全に使うこつ【後編】
無料で簡単にできる「Zoom」のセキュリティ対策6選
「Zoom」を安全に使うためには、何をすればよいのか。ポイントとなる“人間の脆弱性”にどう対処すべきなのか。セキュリティ向上のためのこつを紹介する。(2022/2/24)

脆弱性修正に要する時間は年々短縮ーーGoogleのProject Zeroが調査結果を発表
米Googleのセキュリティチーム「Project Zero」が、ゼロデイ脆弱(ぜいじゃく)性の発見から修正プログラムの提供までにかかった時間をベンダーごとにまとめた報告書を公開した。(2022/2/22)

CMS「Drupal」にデータ改ざんの脆弱性 迅速にアップデートを
CMS「Drupal」に2つの脆弱性が見つかった。深刻度は「警告」(Moderately critital)に分類されており、情報窃取やデータ改ざんの危険性がある。Drupalセキュリティチームのセキュリティアドバイザリを確認してほしい。(2022/2/18)

VMware主要製品に「緊急」の脆弱性 ESXiやWorkstation、Cloud Foundation、NSXも対象
VMwareの複数の製品に脆弱性が見つかった。総合して深刻度が「緊急」(Critical)に分類されるため、速やかにアップデートを適用してほしい。(2022/2/18)

修正に必要な時間が年ごとに減少:
ベンダーの脆弱性修正、何日かかる?
Googleの脆弱性調査専門チーム「Project Zero」は、セキュリティ脆弱性の修正状況について、ベンダーやプロジェクト別に調査した結果を発表した。2019〜2021年の3年間にProject Zeroが開発元に報告した脆弱性が対象だ。(2022/2/16)

15個の危険な脆弱性をCISAが指摘 迅速な確認とアップデートを
CISAはサイバー攻撃によく利用される既知の脆弱性15個を発表した。これらの中にはMicrosoftやAppleの製品が挙がる他、ルーターなども対象に含まれている。該当製品を使用しているかどうかを確認するとともに、迅速にアップデートすることが望まれる。(2022/2/15)

「iOS」と「iPadOS」の「15.3.1」配信開始 悪用された可能性のある脆弱性の対処など
Appleは「iOS」と「iPadOS」の「15.3.1」をリリースした。「悪用された可能性があるという報告」のあるWebKit関連のゼロデイ脆弱性の修正を含む。MacOSでも同じ脆弱性を修正するアップデートがリリースされた。(2022/2/11)

Adobeの複数製品に特権昇格などの脆弱性 該当バージョンの確認を
Adobe PhotoshopをはじめとしたAdobe製品に複数の脆弱性が発見された。深刻度が「緊急」(Critical)に分類されるものも含まれているため、該当製品を使用している場合には迅速なアップデートの適用が求められる。(2022/2/11)

Firefoxに深刻度「重要」の脆弱性 迅速にアップデートを
Firefox 97とFirefox ESR 91.6が公開された。複数の脆弱(ぜいじゃく)性が修正されており、幾つかは深刻度が「重要」(High)に分類される。Firefoxを使用している場合には最新版にアップデートすることが望まれる。(2022/2/10)

株式会社ビットフォレスト提供Webキャスト:
手動かツールかどちらが最適? Webアプリケーション脆弱性診断の正しい選び方
Webアプリケーションの品質を高める手段として脆弱性診断が注目される一方、手動で行うか、ツールを利用するか迷う企業は少なくない。自社に最適な方法を選択するため、それぞれの違いやメリット/デメリットを正しく理解しておきたい。(2022/2/9)

株式会社ビットフォレスト提供Webキャスト:
脆弱性診断の新たな選択肢、“非セキュリティ部門”でもできる内製化の実現方法
アプリケーションの脆弱性診断を行うことの重要性は理解しつつも、これまでは費用や時間、人材といった問題がハードルとなり、実施できない企業も多かった。これらを一挙に解決する、“非セキュリティ部門による内製化”の実現方法とは?(2022/2/9)

Pixelの2月月例更新開始 6/6 ProのカメラやBluetoothのバグ修正も
Googleは2月7日、Pixelの月例更新をリリースした。脆弱性修正に加えて、Pixel 6シリーズの複数のバグ修正、旧モデルのキャリア接続問題にも対処した。(2022/2/8)

Androidの2月月例更新開始 「致命的」な2件含む38件の脆弱性修正
Googleは2月7日、Androidの月齢セキュリティ情報の2月版を公開した。重要度が最も高い「致命的」2件を含む38軒の脆弱性に対処した。(2022/2/8)

TechTarget発 世界のITニュース
「Log4Shell」を悪用した攻撃 実は脆弱性の公表前から始まっていた?
話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。(2022/2/8)

TechTarget発 世界のITニュース
中国、イラン、北朝鮮……「Log4Shell」を使った“官製ハッカー”の動きとは
国家が関わっている複数のハッカー集団が「Apache Log4j」の脆弱性「Log4Shell」を使い、攻撃を仕掛けている。今「誰」が「どう」動いているのか。(2022/2/7)

TechTarget発 世界のITニュース
脆弱性「Log4Shell」にこれで対処 攻撃を防ぐために知っておきたい措置
企業は引き続き、「Apache Log4j」の脆弱性「Log4Shell」を悪用した攻撃に注意する必要がある。自社の防御に役立つノウハウやツールは何か。(2022/2/4)

Google Chromeの最新版がリリース 合計で27の脆弱性を修正
Googleは最新バージョンのChromeを配信した。合計27個の脆弱性が修正されているため迅速にアップデートを適用してほしい。(2022/2/3)

100万インストールのWordPressプラグインに「緊急」の脆弱性 直ちにアップデートを
100万以上のアクティブサイトにインストールされる人気のWordPressプラグイン「Essential Addons for Elementor」に「緊急」の脆弱性が発見された。直ちにアップデートを適用してほしい。(2022/2/3)

SambaにCVSSv3スコア値9.9の脆弱性 迅速にアップデートを
Sambaチームは3つの脆弱性を修正した「Samba」の最新版を公開した。脆弱性のうち1つは深刻度が「緊急」(Critical)に分類されており注意が必要だ。内容を確認するとともに迅速にアップデートを適用してほしい。(2022/2/2)

TechTarget発 世界のITニュース
「Log4Shell」攻撃活動はなぜ“尋常ではない”のか 企業が打つべき対策とは?
「Apache Log4j」の脆弱性「Log4Shell」の攻撃は専門家も驚くほどの勢いを見せ、企業を狙っている。なぜ、これほど猛烈なのか。企業はどうすればいいのか。(2022/2/1)

Log4Shellバスターズはまだ眠れない
あの日見つけたLog4Shellの本当の恐ろしさを僕達はまだ知らない。
Apache Log4j 2の脆弱性「Log4Shell」の危険性は既にご存じだろう。その真の恐ろしさは、提供されるセキュリティアップデートを適用しただけでは解決しないということだ。(2022/2/1)

重大な「Log4j」脆弱性の動向と対策状況
検知状況や対策状況についてまとめた。(2022/1/31)

Skyが脆弱性発見者に報奨金、最大200万円 検証用環境の貸し出しも検討
Skyが、自社サービスの脆弱性を発見した人に最大200万円の報奨金を支払う新制度を始めた。脆弱性の指摘を社外からも受け付け、情報セキュリティの強化につなげる。(2022/1/28)

元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾
Log4j 2で問題となった脆弱性は、プログラミングやコンピュータの知識が少しあれば「なぜこんな危険な実装がされていたのか」と疑問に思う内容だ。歴史の歯車が別の方向に噛み合っていれば、こうはならなかったかもしれない。Javaを専門に取材してきた筆者が、この悲劇の背景をひも解いていく。(2022/1/31)

Log4jの脆弱性を突きVMware HorizonsにWebシェルを注入 直ちに対応を
VMware Horizons Connection Serverを標的としたサイバー攻撃の報告が相次いでいる。Log4jの脆弱性、通称「Log4Shell」を利用してWebシェルをインストールする手法で、侵入を受けた場合にはサーバの制御権が乗っ取られる危険性があることから注意が必要だ。(2022/1/27)

TechTarget発 世界のITニュース
Log4j騒動のあおり? MicrosoftやApple製品の重大パッチ適用が後回しされる訳
MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。(2022/1/28)

「iOS」と「iPadOS」の「15.3」配信開始 SafariのID追跡問題や悪用された可能性のある脆弱性の対処など
「iOS 15.3」「iPad OS 15.3」「watchOS 8.4」「macOS Big Sur 11.6.3」「macOS Monterey 12.2」「tvOS 15.3」がリリースされた。iOSはバグ修正とセキュリティ更新のみ。SafariのID追跡問題や「既に悪用された可能性のある」問題など10件の修正だ。(2022/1/27)

「OWASP API Security Top 10」に沿ったテストができる:
APIセキュリティについて学習できるオープンソースラボ環境「vAPI」、なぜ必要なのか
「OWASP API Security Top 10」に含まれるAPIの脆弱性の挙動を観察できるオープンソースツール「vAPI」が登場した。どのように役立つのだろうか。(2022/1/24)

「USB over Ethernet」の脆弱性
「ネット経由でUSBデバイスに接続」のSDKに脆弱性 影響範囲は?
ネットワーク経由でUSBデバイスに接続できるようにする「USB over Ethernet」を実現するSDKに、権限昇格を可能にする脆弱性が見つかった。どのような危険性があるのか。(2022/1/24)

TechTarget発 世界のITニュース
Windowsに管理者権限を取得可能な脆弱性 ユーザーが気を付けるポイントは
「Windows」の管理者権限を不正に取得可能な脆弱性が「Windows Installer」に見つかった。ユーザーはデバイスを攻撃から守るために、どうすればいいのか。(2022/1/24)

Appleの脆弱性への姿勢に疑問の声【後編】
「古いmacOS」を使うのは“自己責任”? 専門家がAppleのパッチ配布姿勢に苦言
同じ「macOS」の脆弱性なのに、以前のバージョンのmacOSへのパッチ配布が後回しに――。こうしたAppleの姿勢に、セキュリティベンダーMalwarebytesが苦言を呈する。(2022/1/24)

Ciscoの複数プロダクトに「緊急」の脆弱性、直ちに確認と対応を
2022年1月に入ってからCiscoは複数のセキュリティアドバイザリを発行している。すでに深刻度が「緊急」(Critical)に分類されるセキュリティアドバイザリが3つ公開されており注意が必要だ。(2022/1/21)

脆弱性による侵害可能性を29分の1に下げるには:
脆弱性の修正ではまず何をすべきなのか
Cisco Systems子会社のKenna Securityが公開した調査レポートでは、さまざまな脆弱性管理手法の効果と、組織全体のエクスプロイタビリティ(ソフトウェアの脆弱性を悪用して侵害される可能性)を定量化している。脆弱性を素早く修正するよりも有効な手法があるという。(2022/1/21)

URL入力で「Log4j」脆弱性診断 ツール試用版を無償提供 セキュアブレイン
昨年末から話題の「Log4j」の脆弱性が自社サイトにあるか調べられる診断サービスの試用版を、セキュアブレインが無償提供。(2022/1/21)

MySQLやOracle DBも対象に:
Oracleが497個の脆弱性を修正するパッチを公開 確認と適用を
Oracleから2022年1月のクリティカルパッチアップデートの提供が始まった。今回のアップデートは497個の脆弱性が修正対象。該当製品を使用している場合には迅速にアップデートしてほしい。(2022/1/19)

8万4000超のWebサイトに乗っ取りのリスク WordPressプラグインの脆弱性、確認とアップデートを
述べ8万4000を超えるWebサイトで利用されているWordPressプラグインに乗っ取りの脆弱性が存在することが明らかになった。攻撃が成功するには管理者の操作が必要になるためハードルは高いと見られているが、成功した場合にはサイトの乗っ取りが可能であることから注意が必要だ。(2022/1/18)

開発プロセスにセキュリティチェックを
迅速かつ「セキュア」なアプリ開発を実現するためには何が必要?
Webアプリケーションに残っていた脆弱性を攻撃される事例が後を絶たない。公開するには脆弱性診断が必要だ。しかし開発に速度が求められる今、それだけでは対応しきれない。リリース間隔が短いWebアプリケーションでは別の取り組みも必要だ。(2022/1/18)

この頃、セキュリティ界隈で:
米国では「Log4j」脆弱性の放置に法的措置も 攻撃に引き続き警戒を呼び掛け
「Log4j」の脆弱性の問題は、年が明けても深刻な状況が続いている。米Microsoftは企業に対し、引き続き警戒するように注意を呼び掛けている他、米連邦取引委員会(FTC)は対策を怠った企業に対し、法的措置を講じる考えを示した。(2022/1/17)

Ciscoが2022年1月に合計13のセキュリティアドバイザリを発行 「緊急」の脆弱性2つに対処
Ciscoは複数のセキュリティアドバイザリを発行した。2022年1月以降に発行されたものだけでも深刻度が「緊急」(Critical)に分類される脆弱性がすでに2つ修正されている。(2022/1/15)

Citrix Workspace App for Linuxに、一般ユーザが特権昇格する脆弱性 直ちにアップデートを
Citrixは「Citrix Workspace App for Linux」に特権昇格の脆弱性が存在すると伝えた。該当プロダクトを使用している場合は直ちにアップデートを適用してほしい。(2022/1/14)

Gartner Insights Pickup(240):
「Log4j」の脆弱性についてセキュリティリーダーが知っておくべきこと、すべきこと
「Log4j」の脆弱(ぜいじゃく)性がもたらすリスクを理解し、関連する潜在的な脅威から企業システムを保護するための対策を把握する。(2022/1/14)

「iOS」と「iPadOS」の「15.2.1」配信開始 悪用方法公表済みのHomeKit脆弱性対処など
Appleが「iOS 15.2.1」および「iPad OS 15.2.1」の配信を開始した。HomeKitアプリのサービス拒否(DoS)を発生させる恐れのある脆弱性に対処した。この脆弱性については発見した研究者が悪用方法を公開済みだ。(2022/1/13)

Microsoftが2022年最初の累積更新プログラムを配信 「緊急」の脆弱性に対処
Microsoftは2022年1月の累積更新プログラムを配信した。今回のアップデートでも深刻度が「緊急」(Critical)および「重要」(Important)に分類される複数の脆弱性に対処する。該当プロダクトを確認し、使用している場合には迅速にアップデートを適用したい。(2022/1/13)

こうしす! こちら京姫鉄道 広報部システム課 @IT支線(31):
Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第31列車は、「Log4j 2の脆弱性」です。※このマンガはフィクションです。(2022/1/12)

Google Chromeの最新バージョンがリリース 深刻度「緊急」の脆弱性を修正
Googleは最新バージョンの「Google Chrome」を配信した。深刻度が「緊急」(Critical)に分類される脆弱性が修正されている。迅速なアップデートの適用が求められる。(2022/1/7)

ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】
ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由
モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。(2022/1/7)

急速普及するなかで高まる危険性:
IoTベンダー各社、脆弱性レポート提出には消極的
IoT(モノのインターネット)デバイスの普及が急激に進んでいる。その数は過去最高に達し、データ盗用や操作の乗っ取りを狙った攻撃の増加をわずかに上回っているという。その一方で、民生機器メーカーは現在も、自社製品の脆弱性に関するレポートを提出したがらない傾向にある。EE Timesは、1年半ほど前にこの問題を取り上げているが、それ以降もレポートの数は伸び悩んでいるようだ。(2022/1/6)

2022年もLog4Shellに要警戒 Microsoftが脅威アクターの動向を分析
Log4jの脆弱性、通称「Log4Shell」を利用したサイバー攻撃は今後さらに拡大が懸念されている。この問題は短期に収束するめどが見えておらず、今後長期にわたりサイバー攻撃で使われる危険性が指摘されている。(2022/1/6)

Pixelの1月月例更新開始 ただしPixel 6シリーズは除く
GoogleはPixelシリーズ対象の月例アップデートを公開した。脆弱性修正の他、緊急電話が発信できなくなる問題などに対処した。ただしPixel 6/6 Proの更新は1月下旬になる。(2022/1/5)

Androidの1月月例更新開始 「致命的」な1件含む35件の脆弱性修正
GoogleはAndroidの月例セキュリティアップデートをリリースした。「致命的」な1件を含む35件の脆弱性を修正した。(2022/1/5)

「Google Chrome 97」の安定版公開 危険度最高の脆弱性修正やデータ一挙消去ツール追加など
GoogleがWebブラウザの最新版「Chrome 97」をリリースした。危険度最高の1件を含む37件の脆弱性に対処した。訪問したWebサイトの権限をリセットし、データを一括削除する機能も追加された。(2022/1/5)

管理者権限を不正に取得可能
「Windows Installer」に“凶悪”な脆弱性 専門家が危惧する理由は?
「Windows Installer」の脆弱性「CVE-2021-41379」に亜種が見つかった。専門家によると、CVE-2021-41379のパッチとしてMicrosoftが配布した更新プログラムでも、この亜種を修正できない。その危険性とは。(2021/12/31)

SOHO向け9機種に脆弱性発見
プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは?
セキュリティ専門家らが、一般家庭や小規模オフィスで使われる無線LANルーター9機種に脆弱性を発見した。攻撃の恐れがあるとして、ユーザー企業に注意を呼び掛けている。(2021/12/30)

「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開
ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。(2021/12/29)

Log4jの脆弱性を突く攻撃はまだ収束せず ハニーポットの観測結果
Doctor Webがハニーポットで観測されたLog4jの脆弱性を狙うサイバー攻撃の動向について報告した。活発な活動が観測された時期や現在の攻撃の状況が明らかになっている。(2021/12/28)

Gatekeeperを突破する脆弱性、実行の仕組みを専門家が解説
セキュリティ専門家がmacOSのセキュリティ機能「GateKeeper」を回避するとされる脆弱性CVE-2021-30853の分析結果を公開した。macOSのファイル検疫や公証チェックを回避することにも利用できたことが指摘されている。(2021/12/28)

休暇の前に必ずチェックしておきたいLog4jの脆弱性情報まとめ、JPCERT/CCが提供
JPCERTコーディネーションセンターがLog4jの脆弱性に関する情報のまとめページを公開した。影響を受ける可能性がある場合は必ず確認しておきたい。(2021/12/28)

半径300メートルのIT:
2021年10大セキュリティ事件に“ピンとこない”人に考えてほしいこと
2021年は年末にかけて、Emotetの活動再開やApache Log4jの脆弱性など大きなセキュリティニュースが話題になりましたが、発生したインシデントはそれだけではありません。2021年の10大セキュリティ事件をどこまで覚えていますか。(2021/12/28)

クラウドサービスの脆弱性にCVEは必要か【第4回】
クラウドセキュリティ団体CSAトップが語る「脆弱性公開の仕組み」に必要な2条件
クラウドサービスの脆弱性が見えにくい現状を打破するため、セキュリティ専門家がクラウドサービスの脆弱性公開の枠組みを考案した。その要件とは何か。どのようなメリットをもたらすのか。(2021/12/28)

Teamsに未解決の3つの脆弱性 セキュリティ研究者が指摘
Positive Securityのセキュリティ研究者がMicrosoft Teamsに4つの脆弱性が存在すると報じた。Microsoftはそのうち1つを修正対象としたが、3つは修正されることなく残ったままだという。(2021/12/25)

Apache HTTP Server 2.4.52が公開 深刻度「緊急」の脆弱性に対処
Apache Software Foundationは「Apache HTTP Server 2.4.52」を公開した。新バージョンは2つの脆弱性に対処した。内容の確認と迅速なアップデートが望まれる。(2021/12/24)

ビールメーカーBrewDogは脆弱性にどう対処したのか【前編】
ビール愛好家が攻撃の的に 「BrewDogモバイルアプリ」脆弱性とは何だったのか
英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱性が見つかった。個人情報の流出の恐れがあったこの脆弱性はどのようなものだったのか。発見の経緯とともに説明する。(2021/12/24)

アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に
中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。(2021/12/23)

WordPressのSEO対策プラグインに「緊急」の脆弱性 早急な対処を
WordPressのSEO対策プラグイン「All In One SEO Plugin」に2つの脆弱性が見つかった。深刻度は一つが「緊急」、もう一つが「重要」に分類される。該当プラグインを使用している場合には直ちにアップデートを適用することが望まれる。(2021/12/23)

製造ITニュース:
独自技術でIoT製品の脆弱性診断を高速化、台湾セキュリティ企業のツール提供
シーイーシーは2021年12月16日、IoT製品のセキュリティ品質向上を支援する、Onward Securityの「HERCULES SecDevice」を提供開始すると発表した。IoT製品のセキュリティチェックを簡易化、省力化することでセキュリティ品質確保を支援する。(2021/12/22)

ManageEngine Desktop Centralに「緊急」の脆弱性 FBIが注意喚起
FBIは、ManageEngine Desktop Centralを悪用したAPTに関するアラートを発表した。脆弱性の詳細を確認し、適宜アップデートを実施してほしい。(2021/12/22)

Appleの脆弱性への姿勢に疑問の声【前編】
Appleの「macOS」修正姿勢に専門家が批判 「なぜパッチをすぐ配布しないのか」
Appleが脆弱性を修正する一連の行動について、セキュリティベンダーMalwarebytesが問題を提起した。批判の焦点はどこにあるのか。(2021/12/22)

Apache、Log4jに関する3つ目の修正パッチを公開 新たな脆弱性を修正
Apache Log4jを巡る一連の脆弱性問題で、新たな脆弱性が発見された。Apacheはこれを受けて3つ目のセキュリティパッチを公開した。すでにアップデートをした場合も、現在のバージョンを確認するとともに対策に取り組んでおきたい。(2021/12/21)

セキュリティの概念を変えるDSbD【前編】
セキュリティが根本から変わる「脆弱性があっても悪用させない」技術
英UKRIはサイバーセキュリティを根本から変え、ソフトウェアに起因する脆弱性を排除しようとしている。その一端が「メモリの安全性」技術だ。(2021/12/21)

クラウドサービスの脆弱性にCVEは必要か【第3回】
「脆弱性を明かさないベンダー」にセキュリティ専門家がいら立つ“当然の理由”
セキュリティ専門家は、IT製品やサービスの脆弱性をベンダーが公表しないことを問題視してきた。それによりベンダー、ユーザー企業、セキュリティ業界にどのような悪影響が生じると専門家は考えるのか。(2021/12/21)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。