ITmedia総合  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

Ciscoセキュリティ製品の脆弱性、悪用の動きに警戒を呼びかけ
「Adaptive Security Appliance (ASA)」「Firepower Threat Defense (FTD)」の脆弱性は、Ciscoが7月にセキュリティ情報を公開した時点で悪用が確認されていた。(2020/8/5)

Androidの8月の月例セキュリティ更新は「Critical」6件を含む54件の脆弱性を修正
Googleは8月3日、Androidの月齢セキュリティ情報の8月版を公開した。危険度最高の「Critical」6件を含む54件の脆弱性に対処する。Pixelのセキュリティ更新は「High」1件を含む3件。(2020/8/4)

Androidの月例セキュリティ情報公開、Frameworkなどに深刻な脆弱性
Frameworkの脆弱性は、悪用されればリモートの攻撃者が細工を施したファイルを利用して、非特権プロセスで任意のコードを実行できてしまう可能性がある。(2020/8/4)

Twitter大規模乗っ取り、従業員への「スピアフィッシング」で内部システムにアクセス
Twitterで7月15日に発生した著名人アカウントの大量乗っ取り・偽ツイート事件の手口は、従業員への「スピアフィッシング攻撃」だったとTwitterが説明した。「特定の従業員に判断を誤らせ、人間の脆弱性を悪用して内部システムにアクセス」したとしている。(2020/7/31)

ブートローダー「GRUB2」に脆弱性、LinuxやWindowsのセキュアブート迂回される恐れ
「BootHole」の脆弱性を悪用されると、セキュアブートが有効になっていたとしても、起動プロセスの間に任意のコードを実行される恐れがある。(2020/7/30)

「Firefox 79」安定版が公開 危険度「高」の脆弱性5件を修正
Mozilla Foundationは、デスクトップ向けに「Firefox 79」の安定版をリリースした。計10件の脆弱性を修正し、このうち5件は同社のセキュリティ基準で危険度「高」と位置付けている。(2020/7/29)

Google、「Chrome 84」のセキュリティアップデート公開
デスクトップ向けのアップデートでは、計8件の脆弱性が修正された。(2020/7/29)

F5の「BIG-IP」やCiscoのセキュリティ製品、脆弱性突く攻撃が相次ぎ発生
F5 Networksのトラフィック管理製品に存在する脆弱性の危険度は極めて高い。Ciscoのセキュリティアプライアンスに存在する脆弱性を悪用された場合、攻撃者にファイルを読まれる可能性がある。(2020/7/28)

半径300メートルのIT:
「分からない」は通用しない――全ての人が理解すべき“脆弱性”との付き合い方
サイバーセキュリティと公衆衛生の考え方は、とても良く似ています。「自分には分からないから」「担当に任せているから」と放置せず、全員が自覚的に危険な情報をキャッチし、共有して対処していくべきではないでしょうか。(2020/7/21)

この頃、セキュリティ界隈で:
「次のサイバーパンデミック」に警戒、危険度最高の脆弱性が相次ぎ発覚
「ワーム可能」という脆弱性の恐ろしさを認識しておこう。(2020/7/20)

OpenSCAPで脆弱性対策はどう変わる?(8):
「Compliance as Code」とは――Ansible Playbookと組み合わせてみよう
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAP/SCAP Security Guideプロジェクトの発展形である「Compliance as Code」の概要と、試し方について。(2020/7/30)

脆弱性対策・管理入門(終):
脆弱性管理とセキュリティ診断サービスの未来とは
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。最終回は、脆弱性管理とセキュリティ診断サービスの未来について。(2020/7/21)

「TLS 1.0/1.1」証明書のサポートは今度こそ打ち切り:
Google、安定版の「Chrome 84」をデスクトップとAndroid、iOS向けに公開
デスクトップ向けのChrome 84では、危険度「Critical」を含む計38件の脆弱性を修正した。(2020/7/16)

Apple「iOS 13.6」リリース、脆弱性修正やヘルスケア症状記録など
「iOS 13.6」「iPadOS 13.6」のほか、macOSやwatchOSなどの脆弱性が多数修正された。(2020/7/16)

Windows DNS Serverに重大な脆弱性、ワームに利用される恐れも
Microsoftの2020年7月の月例セキュリティ更新プログラムでは、全部で123件の脆弱性が修正された。その中でも、DNSサーバの脆弱性はワームに利用される可能性もあり、対応を急ぐ必要がある。(2020/7/15)

SAP製品に危険度「10.0」の重大な脆弱性、攻撃者に特権アカウントを作成される恐れ
脆弱性を悪用すれば、攻撃者が認証なしで特権を持った新規のSAPアカウントを作成できる。全てのアクセスや認証コントロールをかわして、SAPシステムを完全に制御することが可能とされ、危険度は極めて高い。(2020/7/15)

Microsoft、危険度最高の脆弱性を修正する「Windows Server」向けセキュリティ更新プログラム公開
Microsoftが、全バージョンの「Windows Server」を対象とするセキュリティ更新プログラムを公開した。DNSサーバの重大なリモートコード実行の脆弱性で、CVSSの危険度は最高の10.0。速やかな適用を促している。(2020/7/15)

CISAが報告書で指摘
「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは?
「Microsoft 365」(旧「Office 365」)の不適切な設定が、脆弱性につながる可能性がある。どのような設定が不適切なのか。(2020/7/13)

Citrix製品の脆弱性、パッチ公開後に悪用探る動きを検出
Citrixが2020年7月7日に修正パッチを公開したばかりの脆弱性について、悪用を試みる動きが検出された。(2020/7/10)

脆弱性対策・管理入門(5):
脆弱性はアンチウイルスソフトやファイアウォールで守れるか
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について。(2020/7/8)

Androidの7月の月例セキュリティ更新は「Critical」4件を含む24件修正(Pixelシリーズは4件のみ)
Googleが、Android向けの7月の月例セキュリティ更新を開始した。危険度最高4件を含む24件の脆弱性に対処する。Pixelシリーズのアップデートでは「Moderate」4件に対処。(2020/7/7)

F5の「BIG-IP」に重大な脆弱性、悪用の動きが活発化
悪用の動きは2020年7月3日から活発化。危険度は極めて高く、米セキュリティ機関が警戒を促している。(2020/7/7)

Windowsコーデックライブラリに深刻な脆弱性、Microsoft Store経由で定例外の更新プログラム配信
悪用された場合、細工を施した画像ファイルをプログラムで処理させることによって、攻撃者に情報を入手されたり、任意のコードを実行されたりする恐れがある。(2020/7/2)

Palo Alto Networks製品のSAML認証に危険度最大の脆弱性、米サイバー軍も注意喚起
脆弱性はPAN-OSのSAML認証に存在する。危険度はCVSSで最大値の「10.0」。米サイバー軍は、「すぐにも外国のAPTが悪用を試みるだろう」と指摘した。(2020/7/1)

なぜ人は不正を働いてしまうのか?:
PR:テレワークありきのwithコロナ時代、「人の脆弱性」を鍛える方法とは
COVID-19収束後、日本は在宅勤務が当たり前の時代になるかもしれない。それは同時にセキュリティ対策の在り方も見つめ直しが求められる。あるエバンジェリストは「人は弱い。でも鍛えれば強くなれる」と指摘する。(2020/7/1)

数十万のシステムを即座に検査:
Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表
Googleは、ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開した。脆弱性の検出を一部自動化できるため、大量のシステムを持つ大企業にとって特に有用だという。(2020/6/26)

SIE、プレイステーションの一般向け脆弱性報酬プログラム開始 PS4の危険度最高なら5万ドルから
ソニー・インタラクティブエンタテインメント(SIE)が、誰でも参加可能な脆弱性報酬プログラム「PlayStation Bug Bounty」を開始した。PS4関連の危険度最高の脆弱性を報告した場合、報奨金は5万ドル(約535万円)からとなっている。(2020/6/25)

「セキュリティパッチが適切に更新されない」傾向も:
受信者をだまして攻撃に加担させる「スピアフィッシングメール」に注意 IPAがJ-CRATの活動を報告
J-CRATの2019年度下半期の活動報告によると、ネットワーク機器の脆弱性やソフトウェアの更新機能を悪用した攻撃などネットワークに侵入する手口が多様化しているという。(2020/6/25)

Google、セキュリティスキャナー「Tsunami」をオープンソースで公開 ポートスキャンなどで脆弱性を自動検出
Googleがセキュリティスキャナー「Tsunami」をオープンソースで公開。アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱性を発見してくれるツール。今後Tsunamiをさらに拡張し、遠隔からのコード実行などに対応する予定。(2020/6/23)

TCP/IPライブラリに重大な脆弱性、世界で数億台のIoTデバイスや産業制御装置に影響
「Ripple20」と命名された19件の脆弱性は、Treckが開発したTCP/IPソフトウェアライブラリに存在する。悪用されれば、プリンタから情報が盗まれたり、輸液ポンプの動作が改ざんされたり、産業制御装置に不具合が発生したりする恐れがある。(2020/6/18)

Google、デスクトップ向け「Chrome 83」のセキュリティアップデート公開
更新版の「Chrome 83.0.4103.106」では、危険度「高」の脆弱性4件を修正した。(2020/6/16)

脆弱性対策・管理入門(4):
現在のセキュリティ脅威に合っていない「脆弱性対策は公開サーバだけ」という実情
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策は公開サーバだけでよいのかどうかについて。(2020/6/16)

脆弱性対策・管理入門(3):
依然として高シェアだがサポート終了のWindows 7、脆弱性対策はどうあるべきか
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、Windows 7サポート終了における脆弱性対策について。(2020/6/11)

Adobe、Flash PlayerやFramemakerなどの脆弱性を修正
「Flash Player」「Experience Manager」「Framemaker」のセキュリティアップデートが公開された。(2020/6/10)

Microsoftの月例更新プログラム、過去最多の129件の脆弱性に対処
129件の脆弱性のうち、11件が「緊急」指定。悪用される可能性が大きいSMBの脆弱性も修正されている。(2020/6/10)

Windowsファイルやプリンタ共有の脆弱性突くコンセプト実証コード公開、米セキュリティ機関が注意喚起
Microsoftが2020年3月に公開したセキュリティ更新プログラムを適用していないシステムが狙われている。(2020/6/9)

Google デスクトップとiOS向け「Chrome 83」の脆弱性に対処
デスクトップ向けのセキュリティアップデートでは5件、iOS向けでは2件の脆弱性を修正した。(2020/6/4)

「Firefox 77」リリース、任意のコード実行や暗号鍵流出の脆弱性に対処
重大度「高」の5件を含む、計8件の脆弱性が修正された。(2020/6/3)

Androidの6月の月例セキュリティ更新は「Critical」2件を含む多数の脆弱性修正あり
GoogleがAndroid OSの月例セキュリティ更新の6月版配信をPixelシリーズ向けに開始した。危険度が最高の2件を含む多数の脆弱性が修正され、PixelシリーズではBluetoothや音声などのバグ修正も多数行われる。(2020/6/2)

Androidの月例セキュリティ情報公開、システムなどに重大な脆弱性
システムの脆弱性を悪用されれば、リモートの攻撃者が細工を施した通信を使って特権プロセス内で任意のコードを実行できてしまう恐れがある。(2020/6/2)

iOSやmacOSなどのセキュリティアップデート公開、脱獄ツールで利用の脆弱性を修正
最新バージョンのOSリリース後すぐに公開されていた、脱獄ツール「Unc0ver」が狙う脆弱性を修正した。(2020/6/2)

「Moving Target Defense」(MTD)技術の強みをアピール:
Morphisec、Zoom会議を勝手に記録するメモリベースの攻撃について解説
Morphisecは、同社が発見したビデオ会議ツール「Zoom」の脆弱性を悪用した攻撃の仕組みを解説し、同社の「Moving Target Defense」(MTD)技術でこの攻撃を防止できると強調した。(2020/6/2)

脆弱性対策・管理入門(2):
新型コロナによるリモートワークとセキュリティ上の脅威
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、リモートワークとセキュリティについて。(2020/6/2)

Cisco製品に「SaltStack」関連の脆弱性、Ciscoのサーバに不正アクセス
「Cisco VIRL-PE」のサービス運営に使われていたCiscoのサーバ6台が、SaltStackの脆弱性を突いて不正アクセスされていたことが分かった。(2020/5/29)

“正義のハッカー”に聞くリスクと対策【中編】
ハッカーが明かす「クラウドサービス」に潜む“2つの危険”
クラウドサービスには具体的にどのような脆弱性があり、どのような攻撃に気を付けるべきなのか。ホワイトハッカーが解説する。(2020/6/30)

“取り戻す”最後のチャンス?:
新型コロナで露呈した米国製造業の弱点
新型コロナウイルス(COVID-19)は、米国製造業の脆弱性を露呈してしまったと、専門家は指摘する。“手遅れ”になる前に対処するには、どんな方法があるのか。(2020/5/29)

Apple、macOS Catalinaなどのセキュリティ情報を公開
「iOS13.5」で報告のあったメールアプリの脆弱性にも対処した。(2020/5/28)

「ゼロデイ脆弱性に対策はない」は本当か?:
PR:止まらない「ゼロデイ脆弱性を突いた攻撃」、気付けない「標的型攻撃による潜入」。その解決策とは
セキュリティ対策の基本は「パッチの適用」。一方、対応が難しいのが、パッチが存在しない段階で悪用されてしまう「ゼロデイ脆弱性」で、どうしようもないと諦めに似た感情を持つ人も少なくないだろう。だが、それは早計だ。(2020/5/28)

DNSサーバにDDoSの脆弱性、研究機関がGoogleやMS、Amazonら各社と連携して対策へ
「NXNSAttack」では、DNSで名前解決を行う再帰的リゾルバの仕組みを悪用することで、DDoS攻撃の威力を増幅させることが可能とされる。(2020/5/21)

Bluetoothコア仕様になりすましの脆弱性、ペアリングで悪用の恐れ
発見者によると、この脆弱性はAppleやIntelなどが影響を受ける。Bluetooth SIGはコア仕様の更新で対処する意向で、それまでの間はベンダー各社が緩和策を講じるよう呼び掛けている。(2020/5/20)

OpenSCAPで脆弱性対策はどう変わる?(7):
CVSS(共通脆弱性評価システム)3.0から3.1への変更点
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CVSS 3.0から3.1への変更点について。(2020/5/19)

EE Times Japan×EDN Japan 統合電子版:
“取り戻す”最後のチャンス? 新型コロナで露呈した米国製造業の脆弱性 ―― 電子版5月号
EE Times Japan×EDN Japan 統合電子版2020年5月号を発行しました。5月号のEE Exclusive(電子版限定先行公開記事)では、新型コロナウイルス(COVID-19)は、米国製造業の脆弱性を露呈してしまったという専門家の指摘を紹介する「“取り戻す”最後のチャンス? 新型コロナで露呈した米国製造業の脆弱性」をお送りします。(2020/5/18)

Adobeセキュリティアップデート公開、AcrobatとReaderなどの脆弱性に対処
AcrobatとReaderでは24件、DNG Software Development Kitのセキュリティアップデートでは12件の脆弱性を修正した。(2020/5/13)

Microsoftが111件の脆弱性を修正、更新プログラムを公開
111件の脆弱性のうち16件が「緊急」指定。(2020/5/13)

Thunderboltに不正アクセスの脆弱性、5分の離席で全てのデータが盗まれる危険も
ユーザーが席を離れた隙に攻撃者がコンピュータに物理的にアクセスできれば、ドライブの暗号化やパスワードロックと無関係に全データを盗み出せる。(2020/5/12)

脆弱性対策・管理入門(1):
そもそも「脆弱性」とは何なのか――WannaCry後&リモートワーク時代の脆弱性対策
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。初回は、脆弱性とは何か、今注目すべき理由について。(2020/5/12)

Androidの月例セキュリティ情報公開、システムコンポーネントなどに重大な脆弱性
システムコンポーネントの脆弱性は、リモートの攻撃者が細工を施した通信によって特権プロセスで任意のコードを実行できてしまう恐れがある。(2020/5/7)

バッファオーバーフロー攻撃に備える【前編】
「バッファオーバーフロー攻撃」の仕組みとは? 何が危険なのか?
メモリ領域の脆弱性「バッファオーバーフロー」はどのように悪用され、どのような危険性をはらんでいるのか。対策のために知っておくべきバッファオーバーフローと、それを悪用した攻撃の裏側を解説する。(2020/5/7)

Computer Weekly日本語版
最も脆弱性が少ない&多いプログラミング言語が判明
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!(2020/5/7)

脆弱性最少言語はPython
最も脆弱性が多い言語は? OSSの脆弱性は増大傾向
WhiteSource Softwareがオープンソースコードのセキュリティ状況を調査し、レポートを公開した。脆弱性は前年比50%増と増大傾向にあるという。プログラミング言語別の脆弱性の状況も明らかになった。(2020/5/7)

Webアプリケーションを脅かす5つの脆弱性【後編】
バッファオーバーフロー、CSRF、アクセス権限の不備とは? 危険なWeb脆弱性
主なWebアプリケーションの脆弱性を理解することは、セキュリティ対策に役立つ。「バッファオーバーフロー」「CSRF」「アクセス制御の不備」の3つの脆弱性を紹介する。(2020/5/1)

【ねとらぼ10周年企画】記事で振り返るネットの話題:
【5年前の今頃は?】Apple Watch発売→「液体窒素で冷やしてハンマーでぶっ叩くと粉々になる脆弱性」が発覚
数年前の今日はどんな記事があった?(2020/4/29)

Sophos製ファイアウォールに脆弱性「XG Firewall」ユーザーにデータ侵害の可能性
Sophosの「XG Firewall」に未知の脆弱性が存在し、悪用されていたことが分かった。同社は「影響を受けるファイアウォールを使用している顧客は、データが侵害されたと想定する必要がある」としている。(2020/4/28)

「Microsoft Teams」にアカウント乗っ取りの脆弱性、画像表示だけで不正侵入
この問題を悪用すれば、細工を施したGIFを送り付けることによって、狙った相手のTeamsアカウントへの不正侵入が可能となる。(2020/4/28)

この頃、セキュリティ界隈で:
iOSのゼロデイ脆弱性、「差し迫った危険はない」とApple
日本企業の幹部も狙われたという脆弱性。Appleの対応はどうか。(2020/4/27)

一部のシャープ製スマホに脆弱性 シリアル番号など漏えいの恐れ 修正ソフトを配布【訂正あり】
シャープ製のAndroid搭載スマートフォン「AQUOS」シリーズに、セキュリティ上の脆弱性が見つかった。スマートフォンの識別番号やシリアル番号などの情報が漏えいする可能性があるとして、同社はソフトウェアの更新を呼びかけている。(2020/4/24)

シャープ製Android端末に脆弱性 アップデートで対応
IPAとJPCERT/CCが、4月23日にシャープ製Android搭載端末に情報漏えいの脆弱性が存在すると発表した。対策方法として、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。(2020/4/23)

iOSのメールにゼロデイ脆弱性の指摘 メールを受け取るだけで被害か(Appleからのコメントあり)
非常に危険な脆弱性がiPhone、iPadにあることが指摘された。報告者によれば既に攻撃例もあるという。(2020/4/23)

iOSにメールを受信しただけで悪用される脆弱性、日本企業を標的にした攻撃を確認
ZecOpsはiOS標準のメールアプリに2件の脆弱性を発見し、日本企業の幹部を狙った攻撃を検出した。メールを受信したユーザーが何もしなくても悪用される恐れがあると警告する。(2020/4/23)

Google、「Chrome 81」の脆弱性を修正 デスクトップ向けアップデート公開
今回のアップデートは、決済機能などに存在する8件のセキュリティ問題に対処した。(2020/4/22)

IBMの法人向けセキュリティ製品に未解決の脆弱性、セキュリティ研究者が情報公開
脆弱性を組み合わせて攻撃に利用すれば、認証を経ずにroot特権でリモートからコードを実行できてしまう可能性が指摘されている。(2020/4/22)

Googleが「COVID-19助成ファンド」創設、セキュリティ研究の継続を支援
新型コロナウイルス感染症によって生じた困難な状況を念頭に、脆弱性報告の実績のある研究者に助成金を支給する制度の対象を拡大する。(2020/4/21)

Zoom、新たな脆弱性発覚か 脆弱性発見プログラム強化に向けて専門企業と提携
Zoomは相次ぐセキュリティ問題の発覚を受け、脆弱性発見を目的としたバグバウンティプログラムの改善を目指し、同分野で実績のあるLuta Securityと提携した。(2020/4/17)

Oracle、Java SEの脆弱性など397件を修正 攻撃された場合の影響大
Java SEで修正された15件の脆弱性は、いずれもネットワークを介してユーザー認証なしで悪用される恐れがある。他にも多数の製品に危険度が極めて高い脆弱性が存在する。(2020/4/16)

Googleが「Chrome 81」の更新版リリース 重大な脆弱性に対処
デスクトップ向けの更新版では、音声認識機能に存在する重大な脆弱性が修正された。(2020/4/16)

Webアプリケーションを脅かす5つの脆弱性【前編】
SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性
攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。(2020/4/16)

「Windows 7」含む4件の脆弱性で悪用を確認 Microsoftが月例更新プログラム公開
4月の月例セキュリティ更新プログラムで対処した113件の脆弱性のうち、4件については既に悪用が確認されている。(2020/4/15)

「自社で脆弱性診断」をかなえられる
「脆弱性診断をしたくてもできない」予算や専門家不足はどうすれば解消できる?
Webアプリケーションのセキュリティ対策はますます需要が高まっており、最近では提供側が「脆弱性診断実施の有無」を問われることも少なくない。客観的基準に即した説明体制を、限られた予算と人材の中で実現する方法とは。(2020/4/13)

テレワーク中の従業員や助成金を求める人を狙ったコロナ便乗サイバー攻撃が横行 米英のセキュリティ機関が共同で注意喚起
新型コロナウイルスに便乗した詐欺メールや詐欺サイト、VPNの脆弱性を突く攻撃、ZoomやMicrosoft Teams、MicrosoftのRDPエンドポイントなどのテレワークインフラを狙う攻撃の増加が報告されている。(2020/4/9)

「Chrome 81」の安定版公開 タブグループ化機能や32件の脆弱性修正
Chromeブラウザのデスクトップ安定版がバージョン81にアップデートした。32件の脆弱性修正の他、タブグループの作成が可能になった。(2020/4/8)

Firefox 74の脆弱性突く攻撃発生、他のブラウザにも影響か
攻撃に利用された「Firefox 74」の脆弱性を修正するアップデートが公開された。発見者は、他のブラウザにも影響する可能性を示唆している。(2020/4/7)

4月のAndroid月例セキュリティ情報公開、重大な脆弱性に対処
リモートの攻撃者に特権プロセスで任意のコードを実行される脆弱性などが修正された。(2020/4/7)

Pixel 4の顔認証、目を閉じたらロック解除できない設定が可能に Androidの4月のセキュリティ更新で
Androidの4月の月例セキュリティパッチが配信開始された。このアップデートで、Pixel 4の顔認証で目を開いていないとロック解除できない設定が可能になった。「重大」13件を含む多数の脆弱性が修正された。(2020/4/7)

半径300メートルのIT:
Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう
テレワークに多くの企業が移行する中、Web会議でおなじみになりつつある「Zoom」の脆弱性が話題になっています。どんなアプリにも脆弱性は付き物で、基本的に修正、アップデートすれば解決する――はずなのですが、今回はセキュリティ記者として見過ごせない問題が出てきたので、解説します。(2020/4/7)

Google、「Chrome 80」の脆弱性を修正 次期バージョンは4月7日週に公開
新型コロナウイルスの影響で一時的に見合わせていたリリースは再開し、Chrome安定版の次期バージョンとなる「Chrome 81」は4月7日の週に公開する。(2020/4/2)

FBIが警戒を呼び掛け:
Zoomに複数の脆弱性が判明 Web会議の「乗っ取り」被害、全米で相次ぐ
ZoomのWindowsクライアントとmacOSクライアントに未解決の脆弱性が判明した。FBIは「ZoomのWeb会議が乗っ取られる被害が相次いでいる」として注意を呼び掛けた。(2020/4/2)

ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性
ZoomのWindowsクライアントにWindowsのログイン情報を盗まれる恐れのある脆弱性があるとセキュリティ専門家が指摘した。UNCをハイパーリンク化できるので、パブリックグループに投稿された出自不明のハイパーリンクをクリックするのは危険だ。(2020/4/2)

車載セキュリティ:
テンセントのハッキングチームがトヨタ車の脆弱性を報告、トヨタは既に対策済み
トヨタ自動車は2020年3月30日、既に販売された一部のレクサス車とトヨタ車について、社外から脆弱性の指摘があり、対策を施したことを発表した。(2020/3/31)

山市良のうぃんどうず日記(175:緊急特別編):
緊急、Windowsの未パッチの脆弱性(ADV200006)回避策をバッチ化する
2020年1月にWindows 7の延長サポートが終了してからまだ2カ月半ですが、既に全てのWindowsに影響する深刻度の高い脆弱性が2つ明らかになっています。そのうちの1つはセキュリティ更新プログラムが未提供(4月のセキュリティ更新に含める形で提供予定)です。影響を緩和する回避策はありますが、多数のPCを管理している人にとっては手間のかかる作業です。そこで、その回避策を簡単に実施する方法を考えました。(2020/3/30)

監視や人権侵害が日常的に行われている国家では、ユーザーが大きな危険にさらされる:
AppleのiOSに「VPNバイパス」の脆弱性、最新バージョンでも修正されず
Appleがリリースしたばかりの「iOS 13.4」に、VPNで全てのトラフィックを暗号化できない脆弱性が存在する。(2020/3/27)

CitrixやZohoの脆弱性を突く大規模攻撃が発生中
FireEyeによると、中国のサイバースパイ集団「APT41」がCitrixやCisco、Zohoの製品の脆弱性を突いて、世界各地で大規模攻撃を仕掛けている。(2020/3/26)

徳丸浩氏×総務省サイバーセキュリティ統括官室 特別対談【前編】:
徳丸浩氏が総務省に聞く 脆弱性チェック「NOTICE」で、国は一体何をしたいのか?
あらゆるものがインターネットを介してつながり、これまでにない量の情報を多くの人が日々活用する――。そんな「Society 5.0」が現実的になりつつある中、多くの組織にとって課題になるのがセキュリティだ。そんな中、総務省は2019年にIoT機器の脆弱性をチェックする「NOTICE」を開始した。開始当時は一部で物議を呼んだ同施策だが、そもそもどのような効果を期待して始められたのか? NOTICEが始まった背景や現状について、セキュリティ専門家の徳丸浩氏が総務省のサイバーセキュリティ統括官室に切り込んだ。(2020/3/26)

iOSとiPadOSの「13.4」配信開始 iPadOSはマウスとトラックパッドに対応
AppleがiOSとiPadOSのバージョン13.4の配信を開始した。iPadOSではマウスとトラックパッドの対応、日本語のライブ変換の強化などが行われた。セキュリティ関連では30件の脆弱性を修正した。(2020/3/25)

iOSやmacOSのアップデート、多数の脆弱性を修正 Appleがセキュリティ情報公開
「iOS 13.4」「iPadOS 13.4」で30件の脆弱性を修正。macOSは「Catalina 10.15.4」と、MojaveおよびHigh Sierra向けのセキュリティアップデートが公開された。(2020/3/25)

Windowsに未解決の脆弱性、悪用試みる攻撃を確認
脆弱性修正のためのセキュリティ更新プログラムはまだ公開されていない。Microsoftはユーザーに対し、攻撃回避を呼びかけている。(2020/3/24)

Trend Microのセキュリティ製品の脆弱性突く攻撃を確認、更新版で対処
Trend Microは法人向け製品に発見された脆弱性のうち2件について、実際の攻撃に利用されていることを確認した。(2020/3/19)

Google、「Chrome 80」の脆弱性に対処 新型コロナ影響で今後のリリースは見合わせ
デスクトップ向けの更新版では13件の脆弱性が修正された。勤務スケジュールの調整を理由に、ChromeとChrome OSの今後のリリースは見合わせる。(2020/3/19)

Adobe、AcrobatとReaderのセキュリティアップデートを公開
今回のアップデートでは計13件の脆弱性が修正された。悪用されれば任意のコードを実行される可能性もあるという。(2020/3/18)

特選プレミアムコンテンツガイド
「iPhoneは絶対に安全」だと思ってはいけない理由
比較的安全なOSだと言われる「iOS」。だが「絶対に安全」だとは限らない。定期的に脆弱性が発見されることもあり、セキュリティ対策は不可欠だ。iOSや「iPhone」を脅威から守り、安全に利用するには。(2020/3/19)

この頃、セキュリティ界隈で:
今度は「CoronaBlue」? Microsoft SMBに新たな脆弱性、手違いで情報公開のフライングも
SMSプロトコルの脆弱性は厄介だ。そこに新たな脆弱性が生まれてしまった。(2020/3/16)

Microsoftが更新プログラムを緊急リリース、SMBv3の脆弱性に対処
一部のセキュリティ企業が言及していたSMBv3の脆弱性について、Microsoftが定例外の更新プログラムを公開して対処した。(2020/3/13)

IoTセキュリティ:
IoTデバイスに迫る「Mirai」の脅威、「攻撃者が脆弱性に目を付けている」
エフセキュアは2019年下半期におけるサイバー攻撃の世界的動向についての調査レポートを公表した。IoTデバイスを標的としたサイバー攻撃が多数観察された。(2020/3/13)

WannaCryの悪夢は再来するのか:
MicrosoftのSMBv3に未解決の脆弱性 パッチ公開は未定
脆弱性は、Windows 10バージョン1903で導入されたSMBv3圧縮処理の新機能に存在する。SMBの脆弱性は、ランサムウェア「WannaCry」に悪用されたことがある。(2020/3/12)

Avastがウイルス対策ソフトの脆弱性を修正 HTTPS通信の内容傍受の恐れ
発見者によると、Avast AntiTrackの脆弱性を悪用すれば、リモートの攻撃者が悪質なプロキシを使って被害者のHTTPSトラフィックを傍受し、認証情報を取得することも可能だった。(2020/3/12)

コード実行の脆弱性が多い:
ソフトウェア脆弱性は2019年にどう変わったのか? TheBestVPN.comが報告
TheBestVPN.comは主要なOSやWebブラウザなどで2019年に見つかった脆弱性を調査した結果を発表した。NIST(米国国立標準技術研究所)の「National Vulnerability Database」を基に分析した。OSでは「Android」、アプリケーションソフトウェアでは「Adobe Flash Player」の脆弱性が最も多かった。(2020/3/11)

Microsoftの月例更新プログラム公開、プレビュー表示で悪用できるWordの脆弱性も修正
Wordに存在する脆弱性は、細工を施したファイルをプレビューウィンドウで表示しただけで悪質なコードを実行される恐れがあり、マルウェアに利用されるのは確実とみられる。(2020/3/11)

「Firefox 74」公開、AirPods関連の脆弱性など修正――Mozilla Foundation
Mozilla Foundationは「Firefox 74」と「Firefox ESR 68.6」を公開し、多数の脆弱性を修正した。脆弱性の中には、Appleの「AirPods」に関するものもあった。(2020/3/11)

セキュリティ担当者の作業負担を軽減
「自動ペネトレーションテストツール」「脅威インテリジェンスサービス」とは? 脆弱性対策を楽にする2大手段
セキュリティ担当者がITインフラの脆弱性を見極め、適切に対処することは骨が折れる。その有力な効率化の手段が「自動ペネトレーションテスト」「脅威インテリジェンスサービス」だ。それぞれどのような手段なのか。(2020/3/10)

「クラウド脅威レポート 2020年春」を発表:
クラウドを危険にさらすIaCテンプレートが約20万件 パロアルト
パロアルトネットワークスが発表した「クラウド脅威レポート 2020年春」によると、脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかった。暗号化されていないクラウドデータベースも43%を占めていた。(2020/3/9)

デスクトップ向け「Chrome 80」のアップデート公開、外部から報告のあった重要度「高」の脆弱性に対処
脆弱性を悪用されれば攻撃者にシステムを制御される可能性があるとして、CISAもアップデートの適用を呼び掛けている。(2020/3/5)

Android月例パッチで修正の脆弱性、1年前から悪用コードが出回っていた
Android開発者向けフォーラムでは2019年4月から悪用コードが共有されていた。MediaTekは直後にパッチを公開していたが、GoogleがAndroidの月例パッチで対処したのは2020年3月だった。(2020/3/4)

「Meltdown」「Spectre」「ZombieLoad」に続く
Intel製CPUを襲う新たな脅威「CacheOut」 これまでの脆弱性と何が違う?
Intel製プロセッサでデータ漏えいを引き起こす可能性のある新種の脆弱性「CacheOut」が見つかった。これまでに明らかになった同様の脆弱性よりも進刻な攻撃につながる可能性があるという。何が危険なのか。(2020/3/4)

Google、3月のAndroid月例セキュリティ情報公開
ディアフレームワークの脆弱性のうち1件は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがある。(2020/3/3)

Wi-Fiチップの脆弱性をセキュリティ企業が発見 AppleやGoogleのデバイスなど10億台超に影響
脆弱性はBroadcomとCypressのWi-Fiチップに存在していた。発見したセキュリティ企業は、影響を受けるデバイスは10億台以上と推計している。(2020/2/27)

リコー製プリンタドライバに権限昇格の脆弱性 パッチ適用を呼びかけ
IPAおよびJPCERT/CCは、リコー製プリンタドライバにおける権限昇格の脆弱性を公表した。(2020/2/25)

Googleが「Chrome 80」のアップデート公開 ゼロデイ攻撃発生の脆弱性も
デスクトップ向けの「Chrome 80」で修正された脆弱性3件のうち1件については、既に攻撃の発生が伝えられている。(2020/2/25)

Citrixに侵入、ネットワーク内部に5カ月間潜伏したVPN攻撃が判明 その手口は
攻撃者がVPNの脆弱性悪用や弱いパスワードを突く「パスワードスプレー」の手段を使って標的とする企業のネットワークに長期間潜み、情報を盗み出している実態が浮き彫りになった。(2020/2/20)

既知の脆弱性で侵入が60%、IBMが「X-Force脅威インテリジェンス・インデックス2020」を発表
IBMは、サイバー脅威に関するレポートを発表した。2019年に見られた初期攻撃の傾向や、ランサムウェア攻撃の進化などが報告された。攻撃起点として既知の脆弱性が利用された割合が60%を占めた。(2020/2/19)

Mozillaの「Firefox 73」リリース、複数の脆弱性を修正
安定版の「Firefox 73」と、延長サポート版の「Firefox ESR68.5」が公開された。(2020/2/13)

Microsoftが月例セキュリティ更新プログラム公開、攻撃発生のIEの脆弱性に対処
すでにゼロデイ攻撃が発生していたIEの脆弱性など、99件に対処した。かつて国家間のサイバー攻撃に利用された「Stuxnet」で利用されたのと同じような脆弱性が含まれる。(2020/2/12)

「Google Chrome 80」リリース、新しいCookieの分類システムを導入
Chrome 80では新しいCookieの分類システムを導入。多数の脆弱性に対処し、通知許可のリクエストを目立たせないUIを採用してユーザーのプライバシー保護を強化した。(2020/2/7)

「コンテナエスケープ」の脅威と対策【後編】
コンテナ経由でホストを攻撃 「コンテナエスケープ」に備える3大ポイント
コンテナからホストシステムに抜け出す「コンテナエスケープ」を引き起こす脆弱性が、セキュリティ担当者にとって新たな問題となっている。コンテナエスケープによる被害を防ぐ方法を紹介しよう。(2020/2/7)

守りが薄いWebアプリケーション(3):
狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。第1回と第2回ではWebアプリケーションの攻撃対象となる領域と、領域ごとの被害例に加えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスについて簡単に整理した。今回は、Webアプリケーション側で可能な対策について脆弱性への対応とWAFを中心に解説していく。(2020/2/6)

Google、2020年2月のAndroid月例セキュリティ情報を公開 システムの重大な脆弱性などに対処
重要度「Critical」の脆弱性は2件。ユーザーには通信キャリアや端末メーカーなどのパートナー企業を通じてセキュリティパッチが配信される。(2020/2/5)

Googleが2019年に支払った脆弱性情報に対する報奨金総額が7億円突破 1件で2千万円超も
2019年に報奨金を受け取った研究者は461人。1件当たりの最高額は20万1000ドルだった。報奨金を受け取った研究者の意向で慈善団体に寄付した金額も過去最高となった。(2020/1/30)

iOSとiPadOSの「13.3.1」配信開始 iOSではU1チップの位置情報追跡問題を修正
AppleがiOSとiPadOSの「13.3.1」の配信を開始した。iOSで指摘されていた位置情報をオフにしても追跡を続けていた問題に対処した。セキュリティ関連では23件の脆弱性に対処した。(2020/1/29)

ハードウェアに迫る危険【後編】
ハードウェアレベルの脆弱性が悪用されたら何が起こるのか? QSEEに学ぶ
2019年11月、Armの技術「TrustZone」をベースにしたQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。その悪用は、どのような脅威をもたらすのか。(2020/1/28)

“不衛生な端末”に注意
脆弱性を徹底して排除する「サイバーハイジーン」とは
セキュリティ管理手法として注目を集めるサイバーハイジーン。導入に当たってどのような課題があるのか。既存のセキュリティ対策と何が違うのか。(2020/1/27)

AppleがSafariの脆弱性に対処するも、Google研究者は「解決していない」と指摘
AppleはSafariのアップデートでユーザーのプライバシー保護機能に関する脆弱性に対処した。しかしGoogleの研究チームは、根本的な問題は解決されていないと主張している。(2020/1/24)

発見時に対処していれば……
Googleの対応の是非は? 4年前に発見されたAndroidの脆弱性で被害発生
Androidで深刻な脆弱性「StrandHogg」が発見された。実際に金銭的な被害も発生している。問題は、この脆弱性は4年前から知られていたことだ。4年前にGoogleが取った行動とは?(2020/1/24)

ハードウェアに迫る危険【前編】
Android全デバイスに影響か Qualcommのセキュリティ機構「QSEE」に脆弱性
Armの技術「TrustZone」に基づくQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。発見者によると、「全てのバージョンの『Android』搭載デバイスが影響を受ける」という。(2020/1/22)

Citrix、脆弱性修正のためのセキュリティパッチを提供開始
2020年1月19日に公開された修正プログラムは「Citrix ADC」のバージョン11と12.0が対象。残るバージョンについても1月24日に公開予定。(2020/1/21)

IEの脆弱性を狙ったゼロデイ攻撃が発生中、解決策なく「他のブラウザの使用を」
2020年1月21日現在、Microsoftの更新プログラムはリリースされていない。米国のセキュリティ機関は代替ブラウザの使用を勧告している。(2020/1/21)

半径300メートルのIT:
ゼロデイ攻撃発生、ユーザーにできる「減災」と「防疫」とは
Emotet、Citrix製品へのゼロデイ攻撃、Windows7のサポート終了、IEの脆弱性……、2020年もセキュリティに関する話題は盛りだくさんです。「完璧な安全」は誰にも保証できない時代、ユーザー側でできる最善の備えは何になるのでしょうか。(2020/1/21)

この頃、セキュリティ界隈で:
Windowsに証明書偽装の脆弱性、通信盗聴やマルウェアに悪用の恐れも あのNSAが報告した意図は?
Windowsの脆弱性が多方面で影響を与えている。その流れを追う。(2020/1/20)

「Chrome 79」のアップデート公開、Windows CryptoAPIのECC証明書検出に関する脆弱性などに対処
Windowsの証明書検証に関する脆弱性の対策を実装。また、音声認識に関係する重大な脆弱性などが修正されている。(2020/1/17)

「ユーザーは自らを守れ」と言われても……
5Gプロトコルに深刻な脆弱性、端末の追跡、通信の窃視・切断も可能
5Gプロトコルに11件の脆弱性があることが判明した。悪用されると何が起こるのか? 想定される最悪の事態とは何か。(2020/1/17)

悪用につながる極めて深刻な脆弱性も Oracleが四半期パッチを公開
Oracleは「Critical Patch Update(CPU)」を公開した。今回のCPUでは、計334件の脆弱性が修正された。(2020/1/16)

Windowsに証明書偽装の脆弱性、セキュリティ機関が一斉アラート
問題の脆弱性を悪用すれば正規のroot証明書に見せかけた不正な証明書を偽造できる恐れがあり、メールや実行可能コードの署名、HTTPS接続などの安全対策が脅かされかねない。(2020/1/15)

Microsoft、NSAが報告した危険度1の脆弱性修正を含む月例セキュリティ更新プログラムを公開
Microsoftが1月の月例セキュリティ更新プログラムを公開した。米国家安全保障局(NSA)が報告した暗号化を悪用する危険度1の脆弱性修正を含む。(2020/1/15)

Citrix製品に未解決の脆弱性が判明、悪用コード公開で攻撃多発
Citrix製品の未解決脆弱性を突いて、バックドアをダウンロードさせようとする攻撃が多発している。ファームウェアの更新版は1月20日からリリースされる見通し。(2020/1/14)

「コンテナエスケープ」の脅威と対策【前編】
Dockerも利用する「runc」に重大な脆弱性 何が危険か? 対策は?
主要なコンテナランタイム「runc」に重大な脆弱性が見つかった。攻撃者がこの脆弱性を悪用すると、コンテナ経由でホストシステムの管理者権限を奪える可能性がある。対策はあるのか。(2020/1/10)

Google、デスクトップ向け「Chrome 79」の脆弱性に対処
デスクトップ向けの「Chrome 79.0.3945.117」では3件のセキュリティ問題を修正した。(2020/1/9)

Firefox 72に重大な脆弱性 攻撃の発生を確認、アップデートの適用を
公開されたばかりの「Firefox 72」に重大な脆弱性の存在が判明。この脆弱性を突く攻撃の発生も確認された。(2020/1/9)

Androidの月例セキュリティ情報公開、メディアフレームワークに深刻な脆弱性
Androidのメディアフレームワークとカーネルコンポーネントに「Critical」の脆弱性が存在する。(2020/1/8)

既知の脆弱性を悪用するアプリがGoogle Playストアに混入
Androidの既知の脆弱性を悪用して不正なアプリを呼び込み、ユーザー情報を盗み出していた。(2020/1/7)

専門家は“大規模な攻撃の前兆”と予測
WindowsのRDP脆弱性「BlueKeep」の悪用例をついに観測 その影響は
2019年11月、脆弱性「BlueKeep」を悪用した初のエクスプロイトが発見された。ベンダーやセキュリティコミュニティーが注意を促す一方で、専門家はさらなる攻撃の拡大を想定する。(2020/1/7)

2016年から存在
「Firefox」が操作不能になる脆弱性 ダイアログが“無限”に出現
「Firefox」を操作できなくなる脆弱性が、2019年11月に報告された。この脆弱性は過去に修正が試みられたにもかかわらず、これを悪用した攻撃が引き続き発生しているという。それはなぜなのか。(2019/12/28)

Appleのバウンティプログラム、macOSの脆弱性も賞金の対象に 最高額1億6000万円
iOSやmacOSの脆弱性を発見した研究者などに10万ドル〜100万ドルの賞金を贈呈。特定の条件を満たした場合は50%を上乗せする。(2019/12/24)

「日テレニュース24」Androidアプリに脆弱性 通信内容の取得や改ざんの恐れも
日本テレビ放送網が提供するAndroidアプリ「日テレニュース24」の脆弱性が発表された。通信内容の取得や改ざんなどが行なわれる可能性があるため、JPCERT コーディネーションセンターはアプリを最新版へアップデートするよう注意を促している。(2019/12/20)

不具合修正、ついでに脆弱性にも対処:
「Chrome 79」のアップデート公開 アプリのデータは消えていなかった
Windows、Mac、Linuxを対象とするデスクトップ向けのアップデートでは、脆弱性が修正された。(2019/12/19)

サイバーセキュリティマネジメント海外放浪記:
42カ国放浪して分かった、日本人的思考の脆弱性
18年間、海外出張という形で42カ国を訪問し、渡航回数では150回を越えているが、そのたびに、日本におけるセキュリティマネジメントに関する課題を実感する。国外の人と議論して得られた経験とは。(2019/12/19)

「サイドチャネル攻撃」でデータを盗み出す
Intel製CPUを狙う攻撃「ZombieLoad」に新種が登場 現行のパッチも無効
Intel製プロセッサにある脆弱性を悪用する「ZombieLoad」の新種が見つかった。発見した研究者グループによると、元々のZombieLoadへのパッチに欠陥があったことも判明したという。(2019/12/17)

Adobe製品のアップデート公開、Acrobat ReaderやPhotoshopに深刻な脆弱性
AcrobatとReader、Photoshop、Brackets、ColdFusionの脆弱性を修正するアップデートが公開された。(2019/12/12)

「AirDrop」機能悪用した嫌がらせにも対処 Appleがセキュリティアップデート
iOS、macOS、watchOS、tvOS、Safari、Xcode、Windows向けiTunes のセキュリティアップデートでそれぞれの脆弱性が修正された。(2019/12/12)

EDRだけじゃない、Microsoft Defender ATP を使い倒すための近道:
PR:Microsoft Defender ATP による脆弱性管理と Microsoft 365 E5 との連携により一層広がる活用の幅をご紹介
本稿では、インシデントレスポンスに必要な機能の一つである「Endpoint Detection and Response(EDR)」の機能を統合的に管理、運用できる「Microsoft Defender Advanced Threat Protection(Microsoft Defender ATP)」による脆弱性管理と「Microsoft 365 E5」との連携による活用方法を紹介します。(2019/12/13)

「Chrome 79」の安定版公開 フィッシング対策や37件の脆弱性修正など
GoogleがWebブラウザ「Chrome」のバージョン79を公開した。パスワード保護、フィッシング対策、複数アカウント利用のUI改善、多数の脆弱性対策などが行われた。(2019/12/11)

Microsoftの月例セキュリティ更新プログラム公開、既に悪用の脆弱性も
今回の更新プログラムでは計36件の脆弱性が修正された。このうち7件は「緊急」に分類されている。(2019/12/11)

iOSとiPadOSの「13.3」配信開始 ペアレンタルコントロールで通話相手を制限する機能など
Appleが「iOS 13.3」と「iPadOS 13.3」をリリースした。ペアレンタルコントロールで子どもが接触する相手を制限する機能やアニ文字がキーボードに常時表示されないようにする機能などが追加された。セキュリティ関連では14件の脆弱性に対処した。(2019/12/11)

プレミアムコンテンツ:
Computer Weekly日本語版:コラボレーション環境のつくり方
特集はWorkplace by Facebook導入事例とUCaaSの効果的な導入方法解説。他に、ファームウェアの脆弱性や個人情報の可視化ツール、Windows 10次期アップデートで実現するパスワードレスサインインなどについての記事をお届けする。(2019/12/10)

2年前から存在するKRACK
Amazon EchoとKindleの脆弱性、解決済みか否か確認する方法
データののぞき見が可能になってしまう脆弱性が2017年に発見された。あなたのAmazon EchoとKindleにも「KRACK」の脆弱性が残っているかもしれない。早急に確認しよう。(2019/12/6)

「Firefox 71」公開 ピクチャーインピクチャー機能やLockwiseの改善など
Mozillaが「Firefox 71」のデスクトップ版をリリースした。動画のプレーヤーをデスクトップに置ける「ピクチャーインピクチャー」機能が追加された。セキュリティ関連では12件の脆弱性が修正された。(2019/12/4)

Computer Weekly日本語版
Amazon EchoとKindleの脆弱性、解決済みか否か確認する方法
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!(2019/12/4)

Androidの月例セキュリティ情報公開、フレームワークなどの重大な脆弱性に対処
フレームワークの脆弱性は、細工を施したメッセージを使ってリモート環境から悪用されれば、Androidのサービスを長時間妨害される恐れがある。(2019/12/3)

Androidの深刻な脆弱性「StrandHogg」の悪用を確認 人気アプリほぼ全てに影響か
Androidの未解決の脆弱性が悪用されている証拠があるとセキュリティ企業が報告した。この脆弱性を悪用した悪質なアプリ36本が見つかったとしている。(2019/12/3)

Android向けOutlookに脆弱性、Microsoftが更新版で対処
認証された攻撃者が細工を施した電子メールを送り付けることによって、この脆弱性を悪用できてしまう恐れがある。(2019/11/22)

最大賞金で1.6億円も GoogleとMozilla、脆弱性に懸ける賞金を増額
ソフトウェアやWebサイトの脆弱性を発見した研究者に賞金を支払う制度について、GoogleやMozillaが相次いで賞金の増額を発表している。Googleでは最大で150万ドル(約1億6000万円)の賞金を獲得できる制度も設けた。(2019/11/22)

コンテナはセキュリティホールまみれ?
実はリスクが多いコンテナのセキュリティを確保する方法
リポジトリで公開されているコンテナの多くには多数の脆弱性が含まれており、さらに改ざんされるリスクもある。コンテナからコンテナへ、リスクが水平移動する恐れもある。これらにどう対処すればいいのか。(2019/11/21)

GoogleやSamsungのAndroidスマホ、カメラアプリを無断で操作できる脆弱性が判明
脆弱性を悪用すれば、悪質なアプリ経由でカメラアプリを乗っ取って、ユーザーの知らないうちに写真や動画を撮影したり、位置情報を特定することが可能だった。(2019/11/20)

Bluetoothなどの脆弱性に対処 Googleが「Chrome 78」をアップデート
デスクトップ向けの更新版Google Chromeでは外部の研究者から報告されたBluetoothの脆弱性2件を含め、5件のセキュリティ問題を修正した。(2019/11/20)

Androidの「カメラ」アプリに無断で写真や動画を撮影・送信する脆弱性(修正済み)
「Googleカメラ」とSamsungのカメラアプリに、ユーザーに無断で写真や動画を撮影し、任意のサーバにアップロードできてしまう脆弱性があったとセキュリティ企業が調査結果を発表した。両社はアプリを既に修正済みだ。(2019/11/20)

Googleが修正したGmailの脆弱性、「DOM Clobbering」の問題を悪用
発見者は「有名なDOM Clobberingの問題を現実世界で悪用する実例」と位置付けている。(2019/11/19)

OpenSCAPで脆弱性対策はどう変わる?(6):
「SSHサーバ設定のパスワードなしログイン許可/不許可」の確認サンプルで、SCAPの構成要素XCCDFの構造を理解する
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、「SSHサーバの設定がパスワードなしログインを許可しているか、許可していないか」を確認するサンプルを通じて、SCAPの構成要素XCCDFの構造を理解しよう。(2019/11/19)

OSS脆弱性ウォッチ(16):
実行順序から解き明かす、sudoコマンドの脆弱性(CVE-2019-14287)が発生した理由
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、2019年10月14日に発生したsudoコマンドの脆弱性(CVE-2019-14287)について。(2019/11/18)

WP29サイバーセキュリティ最新動向(3):
出荷後の車両や部品の脆弱性に、あなたの会社はどう行動すべきか
本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。前回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について紹介した。今回は生産フェーズ以降のサイバーセキュリティマネジメントシステム(Cyber Security Management System、CSMS)のプロセス構築について説明していく。(2019/11/18)

安全なWebアクセスをWebAssemblyベースで実現:
Webアプリの脆弱性から影響を受けないソフト基盤の確立に向けて、「Bytecode Alliance」が発足
Webで利用されているコードの80%は再利用ベースのモジュールだ。ここに脆弱性があるとエンドユーザーのWebアクセスが危険にさらされてしまう。そこで、「WebAssembly」などの標準をベースにクロスプラットフォーム、クロスデバイスの新しいソフトウェア基盤の構築に取り組むオープンソースコミュニティー「Bytecode Alliance」が発足した。(2019/11/15)

Intel、ファームウェアアップデートで77件の脆弱性に対処 「ZombieLoad」などの問題に対応
「Converged Security and Manageability Engine」などに極めて重大な脆弱性が存在する。また、5月に判明した「ZombieLoad」に関連する脆弱性にも対処した。(2019/11/13)

Microsoftの月例セキュリティ更新プログラム公開、既に悪用の脆弱性も
Microsoftは2019年11月の月例セキュリティ更新プログラムを更新した。既に攻撃の発生が確認されているスクリプティングエンジンのメモリ破損の脆弱性は、細工を施したWebサイトなどを使って悪用される恐れがある。(2019/11/13)

組み込み開発ニュース:
IoT機器向けLinuxと脆弱性パッチを10年間提供するサービスを開始
サイバートラストは、IoT機器向けLinuxと製品の長期利用を支援するサービス「EM+PLS」の提供を開始した。長期間の脆弱性パッチ提供をはじめ、IoT機器の本物性を担保するトラストサービスなどを提供する。(2019/11/12)

無線LANのセキュリティプロトコルを知る【前編】
「WEP」を無線LANのセキュリティに使ってはいけない理由 専門家の推奨は?
無線LANセキュリティプロトコル「WEP」「WPA」「WPA2」は、それぞれ異なる特徴を持つ。だがWEPには複数の脆弱性が見つかっており、利用が推奨されていない。何が危険なのか。(2019/11/9)

ブラウザのタブもウィンドウも閉じられない――Firefoxに未解決の脆弱性、既に悪用も
Mozilla Firefoxに、未解決の脆弱性が発見された。既に悪用した詐欺サイトも登場しているという。(2019/11/6)

Android11月の定例パッチで深刻度「重大」8件を含む修正 「Pixel 4」の「スムースディスプレイ」も改善
GoogleがAndroid向けの11月の月例パッチを公開した。深刻度「重大」8件を含む多数の脆弱性を修正する。「Pixel 4にとっての初の機能アップデートとして、「スムースディスプレイ」と「カメラ」が改善される。(2019/11/5)

脆弱性「BlueKeep」を悪用するマルウェア発見、「次のWannaCry」に警鐘
Microsoftやセキュリティ業界が再三にわたって注意を喚起していた、脆弱性を突くマルウェアが出回っていることが確認された。(2019/11/5)

既に悪用の報告も――GoogleがChrome 78の脆弱性を修正
2件の脆弱性のうちの1件は、脆弱性を突く攻撃の発生が報告されているという。(2019/11/1)

Apple、iOSやmacOS更新版のセキュリティ情報公開 Windows向けiTunesとiCloudの脆弱性にも対処
iOSやmacOS、Windows向けiTunesとiCloudに共通するグラフィックスドライバの脆弱性は、悪用されればシステム特権で任意のコードを実行される恐れがある。(2019/10/31)

WhatsApp、NSO Groupを提訴 脆弱性突いたマルウェア攻撃に関与か
WhatsAppは、狙った相手に電話をかけるだけでスパイウェアを仕込める脆弱(ぜいじゃく)性を、NSO Groupが悪用したと主張している。(2019/10/30)

ITの過去から紡ぐIoTセキュリティ:
「変なホテル舞浜」卵型ロボの脆弱性報告、なぜ「不審扱い」された? 不幸なすれ違いの背景
「変なホテル舞浜 東京ベイ」のロボット「Tapia」に、不正操作につながる脆弱性が存在していたことが明らかになりました。運営会社はセキュリティを強化する旨を発表しましたが、一連のプロセスから考えさせられることは多そうです。(2019/10/30)

修正されたばかりの「PHP7」の脆弱性、早くもコンセプト実証コードが公開
特定の状況下で悪用された場合、リモートでコードを実行される恐れがある。(2019/10/29)

Gartnerに聞く「iOS」の脆弱性がもたらす影響【後編】
「iPhoneは絶対に安全」だという思い込みはなぜ危険なのか
2019年2月に複数の脆弱性が見つかった「iOS」。この件をきっかけに、モバイルデバイスのセキュリティに対する人々の意識が変わりつつあるとGartnerは話す。モバイルデバイスを安全に運用するには何が必要なのか。(2019/10/29)

ローマ法王庁のスマートロザリオに脆弱性
eRosaryはサインイン時のPINコード処理に脆弱性があり、簡単にユーザー情報が取得できた。(2019/10/23)

「Chrome 78」の安定版公開 タブの内容説明や37件の脆弱性修正
GoogleがWebブラウザ安定版「Chrome 78」を公開した。危険度「High」2件を含む37件の脆弱性修正の他、タブを開きすぎた際にタブにカーソルを合わせると表示される内容説明カードが少し詳しくなった。(2019/10/23)

Gartnerに聞く「iOS」の脆弱性がもたらす影響【前編】
iPhoneの“安全神話”はGoogleが見つけた脆弱性で崩壊か?
複数の脆弱性が「iOS」に存在していたことが、Googleのセキュリティチームの調査で判明した。Appleはパッチを配布済みだが、この問題を受けてiOSのセキュリティに注目が集まっている。Gartnerに実情を聞いた。(2019/10/22)

卵型ロボ「Tapia」、家庭用モデルにも「変なホテル」と同じ脆弱性 NFC経由で乗っ取られる恐れ
卵型コミュニケーションロボット「Tapia」の家庭用モデルにも、第三者が不正に操作できる脆弱性が存在することが分かった。NFC経由で乗っ取られ、不正なソフトなどをインストールされる恐れがあるという。開発元のMJIはセキュリティ強化に向け、ソフトウェアの自動アップデートを早急に行う方針だ。(2019/10/18)

「変なホテル舞浜」、客室ロボの脆弱性が発覚 Twitterでの指摘受け対策済み
セキュリティエンジニアを名乗る人物から、「NFCを介してカメラやマイクにアクセスできる」と指摘されていました。(2019/10/18)

「変なホテル舞浜」の卵型ロボ「Tapia」に脆弱性 不正操作が可能な状況 Twitter上の指摘で発覚
「変なホテル舞浜 東京ベイ」の全100室に設置中の卵型コミュニケーションロボット「Tapia」に脆弱性が発見。悪意のある宿泊者がプログラムに攻撃を加えると、不正に操作できる状況だったという。Twitter上の指摘で発覚した。調査の結果、同ロボットに不正なプログラムが仕掛けられた形跡はなかった。(2019/10/17)

Adobe製品のセキュリティアップデート公開、AcrobatとReaderでは68件の脆弱性に対処
AcrobatとReaderの他、Experience Manager、Experience Manager Forms、Download Managerの各製品でアップデートが公開された。(2019/10/16)

Oracleの四半期パッチ公開、NoSQLデータベースなどに重大な脆弱性
特に、NoSQL Databaseの脆弱性は、ユーザー認証なしでネットワークを介して悪用される恐れがあり、危険度が極めて高い。(2019/10/16)

その知識、ホントに正しい? Windowsにまつわる都市伝説(146):
Windows Updateの不都合な現実、再び──IE向け緊急パッチの混乱
2019年9月の第4週に「Internet Explorer(IE)」の緊急レベルのセキュリティパッチがMicrosoft Updateカタログを通じてダウンロード提供され、その翌日にオプションの累積更新プログラムがWindows Updateで配布される、そして10月初めにさらに新しい累積更新プログラムが自動配布されるという、とてもユーザーを混乱させることがありました。緊急レベルのセキュリティパッチは、9月の公開時になぜにWindows Updateで自動配布されなかったのでしょうか、振り返ってみましょう。なお、IEの脆弱性問題は、10月8日(米国時間)のセキュリティ更新でも解決されています。(2019/10/16)

問題のあるペンテスターも
ペネトレーションテスターは信頼できるのか
システムを実際に攻撃して脆弱性がないかどうかを調べるペネトレーションテスト。セキュリティの強化に有効ではあるが、ペネトレーションテスターが公開する情報が攻撃者に悪用されているという。(2019/10/16)

Appleが修正したWindows版iTunesの脆弱性、ランサムウェアに悪用されていた
脆弱性が存在していたBonjourのコンポーネントは、iTunesとは別にアンインストールする必要がある。Bonjourがアップデートされないまま残り、バックグラウンドで動作し続けているコンピュータも多数見つかった。(2019/10/11)



にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。