ITmedia総合  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開
コンセプト実証の悪用コードをGitHubで公開した人物は、さらに複数の未解決の脆弱性情報を公開すると予告している。(2019/5/23)

サーバ改ざんが可能な状態に――SharePoint Serverの脆弱性、悪用する攻撃が発生
SharePoint Serverの脆弱性が悪用され、リモート操作ツールの「China Chopper」がサーバに仕掛けられていた。(2019/5/21)

半径300メートルのIT:
MSが“おきて破り”の緊急対応 今さらXPのパッチを出した深刻な脆弱性とは
Microsoftはこのほど、早急な対策が必要な脆弱性情報「CVE-2019-0708」と対応パッチを公開しました。同社が採った「例外的な対応」からは、今回の脆弱性の深刻度がうかがえます。(2019/5/21)

山市良のうぃんどうず日記(153):
あのマルウェアの悪夢が再び? Windows XPに3回目のセキュリティパッチが緊急公開
既にサポートが終了したWindows XPとWindows Server 2003/2003 R2に対し、異例のセキュリティパッチが提供されました。古いバージョンの「リモートデスクトップサービス」に存在するリモートコード実行の脆弱性を修正するもので、この脆弱(ぜいじゃく)性はマルウェアの感染拡大に悪用される危険性があります。(2019/5/21)

電話するだけでスパイウェアをダウンロード――WhatsAppが重大な脆弱性を修正
WhatsAppの通話機能を使って標的とする相手に電話をかけるだけで、iPhoneとAndroidに監視ソフトウェアをインストールすることが可能だった。(2019/5/17)

Apple、macOSやiOSのアップデートを公開 IntelのCPUに発覚した脆弱性の対策も
Appleは、IntelのCPUに発覚した「MDS」と呼ばれる脆弱性について、新たなセキュリティアップデートで対策を講じた。(2019/5/16)

Adobe SystemsがAcrobatやFlash Playerなど複数製品のセキュリティアップデートを公開
Adobe AcrobatおよびAcrobat Reader、Flash Playerのセキュリティアップデートでは、多数の深刻な脆弱性が修正された。いずれも優先度は「2」と位置付けている。(2019/5/16)

「WannaCry」型マルウェア再来の恐れも Microsoftが5月の月例更新プログラムを公開
Microsoftは、5月の月例更新プログラムで79件の脆弱性に対処した。2017年に猛威を振るった「WannaCry」のようなマルウェアに利用されかねない脆弱性も含まれる。(2019/5/15)

パスワードが盗まれる恐れも――IntelのCPUに重要情報流出につながる新たな脆弱性が発覚
「Meltdown」「Spectre」と同様、現代的な設計のプロセッサに含まれる投機的実行の仕組みが悪用され、パスワードやWebブラウザの閲覧履歴、暗号鍵といった重要な情報が流出する恐れがある。(2019/5/15)

ITりてらしぃのすゝめ:
改元でシステム不具合よりも深刻だった“人間の脆弱性”
改元に伴い、心配されていたITシステム関連のトラブルはどうだったのか。何が起こったのかをあらためて振り返ってみる。(2019/5/15)

Cisco製品にハードウェア改ざんの脆弱性、「Secure Boot」実装のルーターやスイッチなど多数に影響
Cisco Systemsは自社製品に組み込む「Secure Boot」にファームウェア改ざんのリスクがある脆弱性が発見されたと発表した。情報を開示して対策を促す。(2019/5/14)

OSS脆弱性ウォッチ(13):
QEMU脆弱性を利用したVMエスケープ攻撃の検証:メモリ情報漏えいの脆弱性編
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、前回から紹介している「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例のうち、メモリ情報漏えいの脆弱性(CVE-2015-5165)を紹介する。(2019/5/13)

Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ機関が発表
オープンソースCIツール「Jenkins」の脆弱性を突いて仮想通貨Moneroを採掘しようとするマルウェアが出回っているという。また、Jenkinsのプラグインの多くで脆弱性が放置されている問題も指摘された。(2019/5/9)

製造ITニュース:
クラウドでOSSの脆弱性を管理、IoTデバイス向けセキュリティサービス
日本システムウエアは、トレンドマイクロのIoT機器向けセキュリティソリューション「Trend Micro IoT Security」を活用したIoTデバイス用セキュリティソリューション「Toami Edge Security」を提供開始した。(2019/5/8)

影響と危険度を解説
無線LANを安全にするはずのWPA3に見つかった脆弱性「Dragonblood」とは?
無線LANのセキュリティ規格「WPA3」に脆弱性が見つかった。「Dragonblood」の名が付いたその脆弱性は、攻撃者が「ダウングレード攻撃」「サイドチャネル攻撃」に悪用する恐れがある。(2019/5/8)

Androidの月例セキュリティ情報公開、リモート攻撃につながる脆弱性に対処へ
特に危険性が大きいメディアフレームワークの脆弱性は、リモートの攻撃者が細工を施したファイルを使って任意のコードを実行できてしまう可能性がある。(2019/5/7)

OracleのWebLogicに未解決の脆弱性報告、4月に公開した対策パッチが不完全だった可能性も
OracleのWebLogicに未解決の脆弱性があったとセキュリティ機関SANS Internet Storm Centerが同社のブログで報告した。Oracleが2018年4月に公開した対策パッチが不完全だった可能性が指摘されている。(2019/4/26)

複雑なデジタル署名の仕組みが裏目に
PDFを気付かれずに改ざん? デジタル署名を無意味化する手口
ボーフム大学の調査によって、PDFビュワーの署名検証機能に脆弱性があることが判明した。PDFのデジタル署名機能は、ファイルや署名の改ざんを検出できない可能性がある。(2019/4/20)

あなたのスマホが危ないかも――BroadcomのWi-Fiチップセットに脆弱性、CERT/CCが注意喚起
BroadcomのWi-FiチップはスマートフォンからノートPC、スマートTV、IoTデバイスに至るまで幅広い製品に使われているため、脆弱性が見つかった場合のリスクは大きい。(2019/4/19)

簡単で低コスト……なのか?
4Gおよび5Gのネットワークプロトコルに脆弱性
4Gおよび5Gのネットワークプロトコルに、端末のIMSI(国際移動体加入者識別番号)を攻撃者に取得されてしまう欠陥があることが判明した。(2019/4/19)

米Oracle、定例セキュリティ更新プログラム公開 データベースやFusion Middlewareに深刻な脆弱性
Oracle Databaseをはじめ、Fusion MiddlewareやMySQL、Java SEなど多数の製品を対象に、計297件の脆弱性が修正された。(2019/4/18)

Computer Weekly日本語版のお知らせ
4Gおよび5Gのネットワークプロトコルに脆弱性
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!(2019/4/17)

実行のハードルが低い:
「WPA3」に脆弱性、最新のWi-Fiセキュリティプロトコルにもパスワード盗難の恐れあり
Wi-Fiセキュリティプロトコル「WPA3」に複数の脆弱性があり、これらを悪用した攻撃により、無線ネットワークのパスワードが盗まれる恐れがあることが明らかになった。(2019/4/15)

Wi-Fiセキュリティ新規格「WPA3」の脆弱性、対処するソフトウェアアップデートが公開
Wi-Fi Allianceは、2018年に発見されたWi-Fiセキュリティの新規格「WPA3」の脆弱性に対処するためのソフトウェアアップデートが公開されたことを明らかにした。(2019/4/12)

「緊急」の脆弱性16件が修正――Microsoftが4月の月例セキュリティ更新プログラムを公開
Microsoftは、4月の月例セキュリティ更新プログラムを公開した。今回の更新プログラムでは計74件の脆弱性が修正された。このうち2件については事前に攻撃の発生が確認されていた。(2019/4/10)

イスラエル発の“IoT機器開発者が喜ぶ仕組み”:
PR:「脆弱性の自動分析」と「デバイス固有のエージェント」がIoT機器の世界を守る
いま、「IoT機器」がサイバー攻撃者に狙われている。この脅威への対策としては、設計時からセキュリティを組み込んでそもそもの脆弱性をなくすこと、さらには攻撃を受けたとしても被害拡大を防ぐ根本的な仕組みを取り入れることだが、具体的にどのようなことを行うべきかはなかなか浸透していない。“IoT機器の脅威を根本から取り除く仕組みを取り入れる”ための対策とは?(2019/4/19)

Google Chrome安定版に脆弱性の恐れ、実証コードを研究者が公開――オープンソース開発で生じる空白期間に警鐘
研究者は、オープンソース開発の過程で行われた脆弱性の修正が、安定版に反映されるまでの時間差を突いて攻撃される可能性を指摘している。(2019/4/5)

4月のAndroidの月例セキュリティ情報公開、メディアフレームワークに重大な脆弱性
Androidのメディアフレームワークの脆弱性は、悪用されればリモートの攻撃者が細工を施したファイルを使って、特権プロセスで任意のコードを実行できてしまう恐れがある。Googleはその脆弱性に対するセキュリティパッチを公開した。(2019/4/3)

事例で分かる、中堅・中小企業のセキュリティ対策【第17回】
「人の脆弱性」がセキュリティ最大のリスク どうやって「最悪の事態」を想定する?
どれだけシステムにセキュリティ対策を施しても、最後に残るのは「人の脆弱性」。全社員に「情報漏えいが起きたら大変なことになる」と意識付けるにはどうすればよいか――ポイントは「情報の洗い出し」です。(2019/4/1)

Cisco IOS XE、半年に1度のセキュリティ情報公開 危険度「高」の脆弱性対応も
Ciscoはルーターなど多数の製品に搭載されている「IOS」「IOS XE」の脆弱性に対処した。これとは別に、スモールビジネス向けルーターの未解決の脆弱性に関する情報も公開した。(2019/3/29)

IoTセキュリティ:
コンバージドITとOT環境で包括的に脆弱性を管理するソリューション
Tenable Network Securityは、コンバージドIT、OT環境で包括的な脆弱性管理ができる業界初のサイバー・エクスポージャー・ソリューションを発表した。IT、OTにまたがるサイバーリスクを統合的に管理する。(2019/3/29)

Apple、macOSやWindows向けiCloudなどの脆弱性を修正
macOSやiOS、Windows向けiTunesおよびiCloudに共通するWebKitの脆弱性は、悪用されれば細工を施したWebコンテンツを使って任意のコードを実行される恐れがある。(2019/3/28)

Mostly Harmless:
拾ったUSBメモリをPCに挿す人は何割いる?
企業のセキュリティ対策が進んだ昨今、あえて、アナログな方法ともいえる「ソーシャルエンジニアリング」で人間の“脆弱性”を狙う手口が増えているとか。その危険性をおさらいしましょう。(2019/3/27)

ものづくりの現場で押さえておきたい脆弱性管理
製造現場で比重増すソフトウェア、企業リスクになり得る脆弱性をどう把握するか
ものづくりにおけるソフトウェアの重要性が増す中、ソフトウェアに脆弱性がないかどうかを速やかに確認し、適切に対処することは製造者の責務になる。その管理作業を効率的に進めるすべはないだろうか。(2019/3/29)

これからは継続的な脆弱性チェックが必須に:
PR:日常化するWebサイトの脆弱性を突く攻撃――“すぐそこにある脅威”に企業がとる最善の方法とは?
FinTechやIoTなど、デジタル変革の取り組みが進む中、Webサイトの更新サイクルはますます速まっている。同時に、攻撃者が新しいサービスに潜む脆弱性を見つけ出し、それを悪用する動きも加速している。これまでの手動の脆弱性検査では追随できなくなっているのが現状だ。そうしたWebサイトの現状にいま、求められるセキュリティサービスとはどのようなものなのか。(2019/3/27)

Apple、「iOS 12.2」配信開始 新しいAirPodsサポートや4つの新アニ文字など
Appleが、「iOS 12.2」を配信開始した。新しいAirPodsサポートや4つの新アニ文字の追加、Safariのセキュリティ強化などが行われた。計51件の脆弱性にも対処した。(2019/3/26)

「BitLocker」が状況を悪化させる
「自己暗号化SSD」の脆弱性を回避するにはどうすればいいのか?
オランダの研究者が、自己暗号化SSDに潜む脆弱性を発見した。脆弱性のあるSSDに保存したデータを保護するには、どうすればよいかのか、対策を紹介する。(2019/3/26)

セキュリティ勉強会休止、「攻撃コードの研究発表でも逮捕されかねない」と懸念 いたずらURL事件受け
セキュリティ勉強会「すみだセキュリティ勉強会」が休止。いたずらURL投稿者がウイルス供用未遂の疑いで摘発された事件などで警察に不信感を募らせており、「単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねない」と懸念したためという。(2019/3/20)

「Firefox 66」公開 音声付き動画の自動再生ブロックや多数の脆弱性修正
MozillaがWebブラウザの最新版「Firefox 66」を公開した。Webサイト側が動画を音声付きで自動再生する設定にしていてもユーザーがクリックするまで自動再生をブロックする機能が追加された。セキュリティ関連では「critical」6件を含む22件の脆弱性に対処した。(2019/3/20)

OSS脆弱性ウォッチ(12):
QEMU脆弱性を利用したVMエスケープ攻撃の検証:概要&テスト環境構築編
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回から数回に分けて、OSSのプロセッサエミュレータである「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例を紹介する。(2019/4/3)

IoTマルウェア「Mirai」の標的が企業にシフト、攻撃の威力さらに増大の恐れ
今回見つかったMiraiの亜種には、新たに法人向けのワイヤレスプレゼンテーションシステムなどの脆弱性を突くコードが組み込まれていた。(2019/3/19)

複数のIntel製品に脆弱性、修正版が公開 一部製品では利用中止を呼びかけ
3月12日、米Intelは複数の同社製品について脆弱(ぜいじゃく)性を公開した。情報漏洩やサービス運用妨害、権限昇格などにつながる恐れがあるなど、最大深刻度が“HIGH”のものも含まれている。(2019/3/15)

ユーザー5億人への影響は
WinRARで見つかった「19年間放置されていた脆弱性」の正体は?
WinRARの全バージョンに、2000年よりも前から存在していたとみられる脆弱性が発見され、修正された。数億人ともいわれるWinRARユーザーが、修正パッチを受け取れるかどうかは不透明だ。(2019/3/14)

「Google Chrome 73」の安定版公開、macOSのダークモードに対応
GoogleがChromeの最新版バージョン73をWindows、Mac、Linux向けにリリースした。Mac版ではダークモードに対応。セキュリティ関連では「High」6件を含む60件の脆弱性を修正した。(2019/3/13)

Microsoft、3月の月例セキュリティ更新プログラム公開 攻撃に利用の脆弱性を修正
WindowsのWin32kに存在する2件の特権昇格の脆弱性は、事前に攻撃の発生が報告されていた。(2019/3/13)

Windows 7に未解決の脆弱性、Google Chromeのゼロデイ攻撃で組み合わせて悪用
Google Chromeで発覚したゼロデイ攻撃では、その時点で未解決だったChromeの脆弱性と、Windowsの未解決の脆弱性を組み合わせて悪用していた。(2019/3/12)

ランサムウェア+標的型攻撃=? 新たな攻撃、被害は数百万ドル
海外で「標的型ランサムウェア」による被害が広がっている。ランサムウェアというと「脆弱性が存在するPCやIT機器を無差別に襲うもの」というイメージもあるが、違うタイプという。対策は。(2019/3/12)

Google Chromeの脆弱性、実は「ゼロデイ」だった
Googleは「Chrome 72」の更新版で修正した脆弱性について、悪用コードが出回っているとの報告が入っていたことを明らかにした。(2019/3/7)

Docker関連の脆弱性、仮想通貨「Monero」の採掘に悪用か
2019年2月に発覚した脆弱性が悪用され、仮想通貨の採掘に利用されているDockerホストが多数見つかったと伝えた。(2019/3/6)

Google、「Chrome 72」の脆弱性を修正 デスクトップとAndroid向けのアップデート公開
デスクトップ向けのアップデートでは、危険度「高」の脆弱性が修正された。(2019/3/5)

AppleのmacOSカーネルに未解決の脆弱性、Google Project Zeroが情報公開
Google側が指定した90日の期限を過ぎても、Appleがパッチを提供しなかったとして、Project Zeroが脆弱性情報の公開に踏み切った。(2019/3/5)

Google、Androidの3月の月例セキュリティ情報を公開
Androidの3月の月例セキュリティアップデートでは、11件の「Critical」を含む多数の脆弱性が修正される。(2019/3/5)

Google Chromeに脆弱性か、ユーザー追跡の不審なPDF発見
Google Chromeで問題のPDFファイルを開くと、そのユーザーの情報が、本人の知らないうちに外部に送られてしまう可能性があるという。(2019/3/1)

約443万人がフィッシングサイトに誘導:
システムの脆弱性からユーザーの心理的弱点へ、サイバー攻撃の手口が変化
トレンドマイクロが公開した最新のセキュリティ動向によると、ユーザーをだます攻撃が増加している実態が明らかになった。フィッシング詐欺や偽装SMSなどが、2018年後半に急増した。(2019/3/1)

Drupalに脆弱性、アップデート公開直後から攻撃横行 早急に更新を
Drupalの「極めて重大」な脆弱性を修正する更新版が公開されたのは2月20日。翌日にはこの脆弱性を突くコードが公開され、25日には集中的な攻撃の横行が報告された。(2019/2/28)

約23万回線のホームネットワークから明らかに:
日本の家庭では多くのスマート機器が脆弱なまま放置、Avastが調査
Avastの調査によると、日本の家庭にあるスマート機器は、認証に関して世界で最も脆弱な状態にあった。また、全世界にある約1100万台のルーターの内、57%に脆弱な認証情報またはソフトウェアの脆弱性が見つかった。(2019/2/28)

「ベアメタルクラウド」の弱点、セキュリティ企業が指摘 情報盗まれる恐れも
セキュリティ企業の米Eclypsiumによると、クラウド各社が提供する「ベアメタルクラウド」の弱点と、以前から指摘されていたBMCファームウェアの脆弱性を組み合わせれば、DoS攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるという。(2019/2/27)

チップレベルのセキュリティ対策
Spectre&Meltdown騒動から1年、今Intelは何をしているのか
プロセッサの脆弱性が判明してから1年が経過した。Intelは今、どのような取り組みをしているのだろうか。(2019/2/22)

圧縮・解凍ソフト「WinRAR」にコード実行の脆弱性 19年前から存在
Check Point Softwareによると、この脆弱性を悪用すれば、被害者のコンピュータを完全に制御することも可能だったといい、5億人以上のユーザーが危険にさらされた状態だった。(2019/2/21)

Xiaomiの電動スクーターに脆弱性 他人が遠隔操作で急ブレーキや急加速も
米セキュリティ企業のZimperiumは、他人のスクーターに遠隔操作でロックをかけて動かなくさせる様子を示したデモ映像も公開している。(2019/2/14)

Firefoxの更新版公開、Skiaの脆弱性など修正
最新版となる「Firefox 65.0.1」では3件の脆弱性に対処した。危険度はいずれも上から2番目に高い「高」に分類している。(2019/2/13)

Adobe FlashやAcrobat/Readerのアップデート公開 事前に公表の脆弱性も
AcrobatとReaderの脆弱性のうち1件については、外部の研究者によって事前に公表され、コンセプト実証コードも公開されていた。(2019/2/13)

Microsoftの月例更新プログラム公開 既に攻撃が発生しているIEの脆弱性も
IEの情報流出の脆弱性については、攻撃の発生が確認されているほか、Exchange Serverの特権昇格の脆弱性など4件については、事前に情報が公開されていた。(2019/2/13)

IoTセキュリティ:
IoTファームウェアをサイバー攻撃から守る、脆弱性診断プラットフォーム
ソリトンシステムズは、Refirm Labs製のファームウェア脆弱性自動診断プラットフォーム「Centrifuge」の提供を開始した。ソースコードなしで脆弱性を自動解析し、詳細な診断レポートを作成。脆弱性を発見した場合は、重大度に応じた警告をする。(2019/2/13)

基本的なセキュリティ施策が重要:
「クレジットカード情報の非保持化は、脆弱性があれば意味がない」――徳丸浩氏が指摘
日本PHPユーザ会が開催した「PHP Conference 2018」でEGセキュアソリューションズの徳丸浩氏は、ECサイトのセキュリティ対策として「クレジットカード情報を保存しない(非保持化)」を推奨する動向に対し、「脆弱(ぜいじゃく)性があれば意味がない」と指摘する。(2019/2/13)

コンテナランタイム「runc」に脆弱性、DockerやKubernetesに影響
RedHatやAmazon Web Services(AWS)、Google Kubernetes Engineなどのセキュリティ情報も公開され、アップデートの適用などを呼び掛けている。(2019/2/12)

Apple、「FaceTime」の脆弱性を修正 応答しなくても声が聞こえてしまう問題に対処
Group FaceTime通話の処理に関するロジック問題が原因で、Group FaceTimeの呼び出しを行った側が、受信者に応答させることができてしまう恐れがあった。(2019/2/8)

ホワイトペーパー:
「SSD」の寿命を縮め、データ破壊を引き起こす脆弱性とは?
「SSD」の気になる脆弱性が、大学の研究で明らかになった。悪用されるとデータの破損や改ざんにつながる恐れがあるという。どのような脆弱性なのか。恐れる必要はあるのか。(2019/2/8)

更新プログラムは開発中:
Microsoft、Exchangeの脆弱性に関するセキュリティ情報を公開
悪用された場合、攻撃者が中間者攻撃を仕掛けて他のExchangeユーザーになりすますことができてしまう恐れがある。(2019/2/7)

「キーチェーン」の全パスワード盗まれる恐れ macOS Mojaveの未解決の脆弱性、研究者が報告
コンセプト実証用のアプリ「KeySteal」を使って、キーチェーンに登録された全パスワードを盗む様子を示した動画が公開された。(2019/2/7)

2月のAndroid月例セキュリティ情報公開、PNG関連の脆弱性などに対処
フレームワークの脆弱性は、細工を施したPNGの画像ファイルを使ってリモートの攻撃者に特権で任意のコードを実行される恐れがある。(2019/2/6)

@ITソフトウェア品質向上セミナー:
静的検査ツールの弱点だった過剰検知を、機械学習で補正する――テクマトリックス
@ITは2018年12月14日、「@IT ソフトウェア品質向上セミナー」を開催した。本稿ではテクマトリックスの講演「ソースコード診断で手戻りを防ぎ、開発スピードを早めるためのヒント〜開発ツールとの連携による脆弱性診断の早期発見と自動化〜」の模様をお届けする。(2019/2/5)

「Peing-質問箱-」のメールアドレス漏えい、最大149万件
「Peing-質問箱-」に脆弱性が見つかった問題で、ユーザーが登録したメールアドレス、最大149万件分が漏えいした可能性があると分かった。(2019/1/31)

匿名質問サービス「Peing」が再開 脆弱性発覚から約2日間、メンテ繰り返す
「Peing-質問箱-」が1月31日昼、サービスを再開した。脆弱性が見つかり、28日からメンテナンスを繰り返していた。(2019/1/31)

「Google Chrome 72」の安定版公開、TLS 1.0とTLS 1.1が非推奨に
Chrome 72ではTLS 1.0とTLS 1.1が「非推奨」となった。デスクトップ版では計58件の脆弱性を修正している。(2019/1/31)

「Firefox 65」公開 トラッキング防止機能の強化や危険度「最高」を含む脆弱性に対処
Webブラウザ「Firefox」がバージョン65になり、Webサイトによるトラッキングを防止する「コンテンツブロッキング」の設定メニューが分かりやすくなった他、ナビゲーションバーでトラッカーとクッキーをチェックできるようになった。危険度「最高」3件を含む8件の脆弱性も修正された。(2019/1/30)

コンセプト実証ツールも公開:
Microsoft Exchangeに未解決の脆弱性、管理者特権獲得される恐れ
Exchangeのデフォルトの設定と組み合わせて悪用すれば、攻撃者がドメイン管理者特権を獲得できてしまう恐れがある。コンセプト実証ツールも公開されている。(2019/1/30)

2011年以来のメジャーアップデート:
脆弱性テストツールの最新版「Metasploit Framework 5.0」が公開
Rapid7が中心となって開発しているオープンソースのペネトレーション(脆弱性調査)テストフレームワークの最新版「Metasploit Framework 5.0」が、公開された。(2019/1/30)

質問箱のPeingに脆弱性 ユーザーのTwitterトークンが“丸見え” 公式アカウントが乗っ取られメンテナンスに
匿名質問サービス「Peing-質問箱-」に脆弱性があった。悪用すれば、第三者が任意のユーザーになりすましてツイートを投稿することなどが可能だった。(2019/1/29)

Ciscoのルーターに脆弱性、パッチ公開の直後から標的に
米Ciscoが修正したばかりのルーターの脆弱性を狙ったスキャンが検出された。(2019/1/29)

OpenSCAPで脆弱性対策はどう変わる?(4):
脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAPの環境を構築し、実際に試してみた。(2019/1/29)

iOS、macOSなどの脆弱性や不具合を修正 Appleがアップデート一挙公開
iOS、macOS、tvOS、watchOS、Safari、iCloud for Windowsのアップデートがそれぞれ公開された。(2019/1/23)

Oracle、定例セキュリティ更新プログラムを公開 計284件の脆弱性を修正
Database ServerやJava SEをはじめ、Oracleの多数の製品を対象として、合計で284件の脆弱性を修正している。(2019/1/17)

Windowsに未解決の脆弱性報告、任意のコード実行の恐れ
脆弱性はVCardファイル(VCF)の処理に起因する。悪用されれば、リモートの攻撃者に任意のコードを実行される恐れがある。(2019/1/16)

Windows 7のサポート終了まであと1年、今こそ移行に着手を
Windows 7の延長サポートは2020年1月14日で終了する。以後はたとえ脆弱性が発覚しても、修正のための更新プログラムは提供されない。(2019/1/15)

架空世界で「認証」を知る:
「鉄人28号」が抱える脆弱性とは? ロボット悪用を防ぐ”認証”を考える
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第7回のテーマは「鉄人28号」の認証について。(2019/1/15)

ITmedia エンタープライズ セキュリティセミナーレポート:
インシデントの芽をつぶせ 脆弱性診断のプロが語る、企業セキュリティの“よくある盲点”とは
さまざまな企業の脆弱性診断を重ね、現在はさくらインターネットのCSIRTも運営するゲヒルン。創業者の石森氏が、インシデントの被害抑止に役立つ企業セキュリティの“盲点”をどう見つけてきたかを語った。(2019/1/15)

ITmedia エンタープライズ セキュリティセミナーレポート:
企業のIoT環境を守る切り札? 「脆弱性スキャナー」「ゼロ・トラスト」「暗号化」3つのツールを紹介
IoT化やクラウド化が進む一方、ますます高度化するサイバー攻撃から企業を守る、有効なセキュリティ対策とは? 脆弱性診断ツールで知られるテナブルをはじめ、セキュリティ製品を手掛けるアカマイ、キヤノンITソリューションズから、専門家が講演を行った。(2019/1/11)

OSS脆弱性ウォッチ(11):
2019年も脆弱性の全公開情報を調べるには2〜3人月かかる――CVE/CWE視点で見る2018年の脆弱性のトレンド
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、2018年の脆弱性のトレンドを、CVE、CWEなどの視点から見てみます。(2019/1/17)

Adobe FlashとConnect、Digital Editionsのアップデート公開
Flashのアップデートはバグの修正のみ。ConnectとDigital Editionsではそれぞれ1件の脆弱性に対処した。(2019/1/9)

49件の脆弱性を修正:
Microsoft、月例更新プログラム公開 WindowsやEdgeに深刻な脆弱性
1月の月例更新プログラムでは49件の脆弱性が修正された。このうち7件が「緊急」に分類されている。(2019/1/9)

Google、Androidの月例セキュリティ情報を公開
最も深刻な脆弱性では、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがある。(2019/1/8)

Adobe、AcrobatとReaderの深刻な脆弱性に対処
今回のアップデートでは2件の脆弱性が修正された。悪用されれば任意のコードを実行されたり、権限を昇格されたりする恐れがある。(2019/1/8)

サイバー攻撃によるWebサイト改ざんを「予防」「検知」「復旧」――ALSOK、Webサイトの総合セキュリティサービスを開始
ALSOKは、企業のWebサイト改ざん対策を支援する「ALSOKホームページ安全管理ソリューション」を開始。脆弱性などを診断する予防サービス、改ざんを検知するサービス、改ざんがあった場合に速やかな復旧を支援するサービスを組み合わせ、総合的に支援する。(2019/1/8)

Microsoft、IEの臨時更新プログラムを公開 攻撃の発生を確認
IEの未解決の脆弱性を突く攻撃が確認され、Microsoftが臨時更新プログラムで対処した。(2018/12/20)

「Firefox 64」公開 複数タブのまとめ操作やタスクマネージャー的機能など
Mozilla FoundationがWebブラウザ最新版となる「Firefox 64」を公開した。複数タブのまとめ操作やタスクマネージャー的機能などが追加された。危険度レベルが最高の「Critical」2件を含む11件の脆弱性も修正された。(2018/12/12)

Adobe、AcrobatとReaderの定例セキュリティアップデート公開 80件以上の脆弱性に対処
Adobe Systemsが、AcrobatとReaderの定例セキュリティアップデートを公開。80件以上の脆弱性に対処した。(2018/12/12)

Microsoft、12月の月例更新プログラム公開 IEやWindowsに深刻な脆弱性
今回の更新プログラムでは39件の脆弱性が修正された。IEやWindows、.NET Framework、ChakraCoreなどに、「緊急」の脆弱性が存在する。(2018/12/12)

安定版の「Google Chrome 71」公開、不正防止の対策実装
計43件の脆弱性が修正された他、Web上の不正防止を目指す対策が導入される。(2018/12/6)

Apple、iOSやmacOSの更新版リリース 多数の脆弱性を修正
「iOS 12.1.1」「macOS Mojave 10.14.2」の他、tvOS、Safari、Windows版iTunesとiCloudなどのセキュリティ情報を公開した。(2018/12/6)

Flash Playerの更新版が公開、未解決の脆弱性を突く攻撃が発生
メールの添付ファイルをクリックして開くと、Office文書に仕込まれたFlash Playerの脆弱性が悪用されて、任意のコードが実行される仕組みだった。(2018/12/6)

「iOS 12.1.1」配信開始 iPhone XRの機能追加やFaceTime関連改善など
Appleが「iOS 12.1.1」の配信を開始した。グループFaceTime追加時に追いやられていた「反転」ボタンが1タップできる位置に戻った他、「iPhone XR」の機能追加や20件の脆弱性への対処などが適用される。(2018/12/6)

暗号鍵を不正に取得される可能性
Bluetoothの新しい脆弱性 その仕組みと対策方法とは
新しいBluetoothの脆弱性が2018年7月に発見された。この脆弱性には、中間者攻撃によるデータ改ざんやデータ漏えいの危険がある。脆弱性の内容と、暗号鍵の復元や攻撃の仕組み、対策について解説する。(2018/12/6)

ソフトウェアとハードウェアの暗号化の違い
「BitLocker」で影響が拡大 SSD暗号化の脆弱性とは
研究者が大手メーカー製SSDの暗号化の実装における脆弱(ぜいじゃく)性を発見した。この脆弱性を突いて簡単に暗号化データを復号できる。さらにMicrosoftの「BitLocker」機能がこの問題に拍車を掛けた。(2018/12/4)

OSS脆弱性ウォッチ(10):
IoT用途で増加?――LibSSHを「サーバとして」用いた場合にのみ発生する脆弱性
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、LibSSHを「サーバとして」用いた場合にのみ発生する脆弱性について。(2018/12/7)

Adobe、Flash Player更新版を緊急公開 脆弱性に関する詳細を研究者が事前に公表
脆弱性に関する技術的詳細が既に公表されていることから、直ちにFlash Playerを最新バージョンに更新するよう促している。(2018/11/21)

猫800匹でSkype for Businessがフリーズ 絵文字処理の脆弱性に関する詳細、セキュリティ企業が公表
Microsoftが11月の月例セキュリティ更新プログラムで修正した「Skype for Business」の脆弱性について、セキュリティ企業が猫の絵文字を使って実証した。(2018/11/20)

これまでのセキュリティの常識は、もはや非常識:
CASB、AI、EDR――最新情報を1日でキャッチアップできるセキュリティセミナー、三都市で開催!
「そんなこと、セキュリティの世界では常識じゃないですか」――。一番のセキュリティホールは、そんな「分かったつもり」の古い常識にとらわれ続けている“あなた”かも……。(2018/11/19)

@IT脆弱性対応セミナー2018:
サイバーセキュリティは防御、検知、対応、予測の“プロセス”――エフセキュア
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、エフセキュアの講演「攻撃者にとって、いくつもの脆弱性は必要ありません。1つあれば十分です。」の内容をお伝えする。(2018/11/16)

@IT脆弱性対応セミナー2018:
拡大を続けるアタックサーフェースのセキュリティリスクに対応するには――テナブル
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、テナブルネットワークセキュリティジャパンの講演「IT/IOT環境で実施する継続的脆弱性管理―サイバーエクスポージャー」の内容をお伝えする。(2018/11/16)

「Spectre」「Meltdown」関連で新たに7件の脆弱性
研究チームはSpectreとMeltdownに関連する一連の攻撃について体形的に検証し、7件の脆弱性を新たに発見。Intel、AMD、ARMの大手3社のプロセッサについて影響を確認した。(2018/11/15)

Adobe、Flash Playerなどの更新版公開 Acrobat/Readerは優先度高
Windows版のAcrobatとReaderに存在する脆弱性は、既にコンセプト実証コードが公開されているという。(2018/11/14)

Microsoft、11月の月例セキュリティ更新プログラム公開 既に悪用の脆弱性も
今回修正された脆弱性のうち2件は事前に情報が公開され、1件については既に攻撃が発生している。(2018/11/14)

Cisco製品に「Dirty COW」の悪用コード、誤って出荷しちゃった
Linuxの脆弱性「Dirty COW」の悪用コードが入った製品が、誤って出荷されていたことが分かった。(2018/11/9)

情シスも開発者もWebデザイナーも使える
Webサービスの安全性を底上げする脆弱性診断、誰でも手軽に実施できる時代に
自社のWebサービスやWebアプリケーションの安全性を高める必要性は理解していても、開発スケジュールや予算の制約で脆弱(ぜいじゃく)性診断を行うのは容易ではない――この前提を覆し、時間や費用を抑えた診断ができるとしたら?(2018/11/6)

“仮想パッチで攻撃防御×サイバー保険付き”の「サーバ脆弱性対策サービス」――NECが12月から提供開始
NECは、サーバ脆弱性対策にサイバー保険を付帯させた「サーバ脆弱性対策サービス」の提供を開始する。仮想パッチを用いた脆弱性対策をクラウドサービスとして提供するとともに、インシデント対応にかかる費用を補償する。(2018/11/8)

CrucialやSamsung製のSSDでも脆弱性を確認:
自己暗号化ドライブに複数の脆弱性、WindowsのBitLockerなどに影響
悪用されればドライブの暗号が解読される恐れがある。Crucial(Micron)やSamsungのSSD、そしてWindowsのBitLockerなどが影響を受ける。(2018/11/8)

Google、2018年11月のAndroid月例セキュリティ情報公開
最も深刻な脆弱性については、細工を施したファイルを使って、特権で任意のコードを実行される可能性が指摘されている。(2018/11/7)

「Apache Struts 2」のライブラリに脆弱性、直ちに更新を
「Commons FileUpload」については2016年11月に脆弱性が見つかってパッチが公開されていたが、Struts 2.3.xには古いバージョンのCommons FileUploadが使われていた。(2018/11/7)

「Skylake」「Kaby Lake」で確認:
IntelのCPUに新たな脆弱性、研究チームが実証コード公開
脆弱性はIntelのCPU「Skylake」「Kaby Lake」で確認され、研究チームはこの問題を突いて、TLSサーバからOpenSSL秘密鍵を盗むことに成功したという。(2018/11/6)

Ciscoのセキュリティ製品に未解決の脆弱性、悪用する攻撃が発生
Ciscoのセキュリティアプライアンスやファイアウォールなどに存在する、未解決の脆弱性が悪用されていることが分かった。(2018/11/5)

Tech TIPS:
Windows 10でWindows Updateに失敗する場合の対処方法
Windows Updateでエラーが生じて、更新プログラムが適用されなくなることがある。このような状態を放置しておくと、脆弱性が残ったままとなってしまう。そこで、Windows 10でWindows Updateがエラーを起こした場合の対処方法を解説しよう。(2018/11/5)

Texas InstrumentsのBLEチップに脆弱性、CiscoなどのWi-Fiアクセスポイントに影響
攻撃者が密かにエンタープライズネットワークに侵入し、脆弱性のあるチップにバックドアを仕込んだり、デバイスを制御したりすることが可能とされる。(2018/11/2)

動的診断と静的診断の使い分け
加速するWebサービスに追い付けない脆弱性検査、解決の鍵は?
Webアプリケーションの価値がビジネスを左右するほど重要になる一方で、脆弱性を突かれたセキュリティ被害は後を絶たない。脆弱性検査にまつわる課題を解決する鍵は。(2018/10/31)

X.Orgに特権昇格の脆弱性、LinuxやOpenBSDに影響
悪用されれば権限を昇格されたり、任意のファイルを上書きされたりする恐れがある。(2018/10/30)

IoTセキュリティ:
オフラインでも脆弱性をリアルタイム修復、脆弱性評価ソリューションの最新版
Tenable Network Securityは、脆弱性評価ソリューション「Nessus Professional」の最新版「Nessus 8」を発表した。オフラインでの脆弱性評価や作業の効率化など、機能を強化している。(2018/10/30)

キャッシュを複数のバケットに分割:
MITの研究チーム、「Meltdown」や「Spectre」の脆弱性に新しい対策を考案
マサチューセッツ工科大学(MIT)のComputer Science and Artificial Intelligence Laboratory(CSAIL)の研究チームが、「Meltdown」や「Spectre」のような脆弱性を悪用しにくくする新しいアプローチ「DAWG(Dynamically Allocated Way Guard)」を開発した。(2018/10/30)

Windows 10に未解決の脆弱性、任意のファイルが削除される恐れ
この問題を悪用すれば、攻撃者が任意のファイルを削除できてしまう恐れがある。(2018/10/25)

「Firefox 63」公開 トラッキングの防止機能追加、危険度最高を含む15件の脆弱性に対処
MozillaがWebブラウザ「Firefox 63」をリリースした。予告通り、Webサイトのトラッキングを防止する機能を追加。有効にすると動画広告などが表示されなくなる。(2018/10/24)

Facebook、大手セキュリティ企業を買収か──The Information報道
Faceookが複数のセキュリティ企業に買収を持ち掛けていると、The Informationが報じた。同社は9月、脆弱性を突かれて約5000万人のアカウント情報に影響があったと発表している。(2018/10/22)

@IT脆弱性対応セミナー2018:
ゲヒルン石森氏が明かす、セキュリティ会社が行っている脆弱性対策とは
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、特別講演「攻撃者視点で解説――「脆弱性を突く攻撃」とはいかなるものか」の内容をお伝えする。(2018/10/29)

@IT脆弱性対応セミナー2018:
IT部門にとっての「2020年問題」Windows 10導入に伴う脆弱性対策への課題とは――住友電工情報システム
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、住友電工情報システムの講演「企業にとっての2020年問題〜Windows 10導入に伴う脆弱性対策への新たな課題〜」の内容をお伝えする。(2018/10/19)

「誤った位置情報で事故に」 船舶や鉄道にも脆弱性のリスク
クルマの他、船舶、鉄道などの「乗り物」もまた「Connected」であり、リスクにさらされています。中にはメーカーが脆弱性を修正していなかったり、セキュリティがあまり考慮されていなかったりするケースも。(2018/10/19)

@IT脆弱性対応セミナー2018:
企業の健全な成長を考えたときに欠かせない、サーバ脆弱性対策の考え方とは――NEC
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、NECの講演「企業成長の鍵 サーバの脆弱性リスク管理がいま必要とされる理由」の内容をお伝えする。(2018/10/19)

OpenSCAPで脆弱性対策はどう変わる?(3):
SCAPの構成要素、XCCDF(セキュリティ設定チェックリスト記述形式)、OVAL(セキュリティ検査言語)とは
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、XCCDF(セキュリティ設定チェックリスト記述形式)、OVAL(セキュリティ検査言語)について。(2018/10/18)

Oracle、Javaやデータベースなど301件の脆弱性を修正 速やかに適用を
Oracle製品では、既知の脆弱性の悪用を試みる事案も相次いでおり、ユーザーがパッチの適用を怠ったことが原因で攻撃を受ける場合もある。(2018/10/17)

@ITセキュリティセミナー2018.6-7:
OSS脆弱性管理の課題とベストプラクティスとは――日本シノプシス
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、日本シノプシスの講演「OSSの脆弱性管理の課題と効率的な解決策」の内容をお伝えする。(2018/10/16)

IoTセキュリティ:
IoT製品の脆弱性リスクを最小限に抑えるプログラムを提供開始
トレンドマイクロは、IoT製品の開発段階で脆弱性リスクを最小限に抑えるプログラムを発表した。同社が運営する脆弱性発見コミュニティー「Zero Day Initiative」で提供する。(2018/10/15)

@IT脆弱性対応セミナー2018:
“Hack Everything”をモットーに――リクルートは脆弱性対応をいかにハックしたのか
@ITは、2018年9月11日、東京で「@IT脆弱性対応セミナー」を開催した。本稿では、基調講演「リクルートにおける脆弱性対応の今と未来」の内容をお伝えする。(2018/10/16)

車載セキュリティ:
結合テスト段階でECUの脆弱性を早期発見、実際にサイバー攻撃を受けさせる
アズジェントは2018年10月11日、ECU(電子制御ユニット)の脆弱性を早期発見するためのサービス「ThreatHive」を2019年第1四半期から提供を開始すると発表した。(2018/10/12)

計49件の脆弱性を修正:
Microsoftの月例更新プログラム公開、IEやWindowsに深刻な脆弱性
IEやEdge、Windows Hyper-Vの脆弱性など12件が「緊急」に指定されている。(2018/10/10)

架空世界で「認証」を知る:
「のばら」には脆弱性がある? 「ファイナルファンタジー」で学ぶ知識認証
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第1回のテーマは「合言葉」。(2018/10/10)

「iOS 12.0.1」で「iPhone XS」の充電とWi-Fi接続問題修正
Appleが「iOS 12.0.1」を配信した。「iPhone XS/XS Max」ユーザーからの報告が多かった、充電とWi-fi接続に関する問題の修正した。「VoiceOver」と「Quick Look」の脆弱性も修正した。(2018/10/9)

Apple、iOSとWindows向けiCloudの脆弱性を修正
「iOS 12.0.1」と「iCloud for Windows 7.7」が公開され、それぞれ複数の脆弱性が修正された。(2018/10/9)

OSS脆弱性ウォッチ(9):
脆弱性とは呼べない?――OpenSSHでリモートからユーザー名を列挙できる脆弱性
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、OpenSSHでリモートからユーザー名を列挙できる脆弱性について。(2018/10/5)

AcrobatとReaderに86件の脆弱性、Adobeがアップデートで対処
86件の脆弱性のうち、半数以上が「クリティカル」に分類されている。(2018/10/3)

Wi-Fiルータの83%で既知の脆弱性放置、米NPOの実態調査で判明
米国の家庭で使われているWi-Fiルータ186台を調べた結果、83%に当たる155台でファームウェアに既知の脆弱性が存在していた。(2018/10/3)

Google、2018年10月のAndroidセキュリティ情報を公開 フレームワーク関連の脆弱性に対処
フレームワーク関連の脆弱性は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがある。(2018/10/2)

約70億件のソースコードと比較:
流用したOSSコードのライセンスや脆弱性を高速検索、テクマトリックスが管理ツール発売
テクマトリックスは、自社開発のソースコードに流用されているオープンソースソフトウェアを検出し、そのライセンスポリシーやセキュリティ脆弱(ぜいじゃく)性などを確認できるツール「FOSSID」の販売を開始した。(2018/10/1)

約9000万アカウントを強制ログアウト:
Facebook、約5000万人分のアクセストークン流出 「特定のユーザーへのプレビュー」機能に脆弱性
何者かがFacebookの「特定のユーザーへのプレビュー」機能の脆弱性を突いて、アクセストークンを盗み、ユーザーのアカウントを乗っ取っていたことが分かった。(2018/9/30)

電子ブックレット:
根本的解決はCPUの世代交代か、脆弱性問題
アイティメディアがモノづくり分野の読者向けに提供する「EE Times Japan」「EDN Japan」「MONOist」に掲載した主要な記事を、読みやすいPDF形式の電子ブックレットに再編集した「エンジニア電子ブックレット」。今回は、2018年初めに業界を揺さぶった「Spectre」「Meltdown」問題を振り返ります。(2018/9/30)

Facebook、5000万人の情報が流出か 脆弱性突かれアクセストークン流出
Facebookで重大なセキュリティインシデント。脆弱性を突かれてユーザーのアクセストークンが不正に入手され、約5000万人のアカウントに影響があったという。(2018/9/29)

Facebook、サイバー攻撃で情報流出の可能性 5000万人のアカウントに影響
問題となっていた脆弱性は既に修正済みとのこと。(2018/9/29)

Adobe Acrobat/Readerに脆弱性、Adobeがセキュリティアップデート公開を予告
セキュリティアップデートは米国時間の2018年10月2日に公開され、複数の脆弱性の修正を予定している。(2018/9/28)

「優れたセキュリティ人材はめったに見つからない」は間違い:
PR:「人がいない」「予算がない」でやりたくてもやれない脆弱性検査を実施するための現実的な施策とは
脆弱性の存在を把握し、対処することが重要だとは分かっていても、肝心の脆弱性検査を実施できる人がいない――そんな状況につけ込むサイバー攻撃が増えている。脆弱性検査を行えるスキルを持った人材を育て、根本的に問題を解決するため、CompTIAでは新たな資格を設けた。(2018/9/26)

macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘
macOS Mojaveにユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、セキュリティ研究者がデモ映像を公開した。(2018/9/25)

2017年比で約6倍のスピード:
IoTマルウェアが激増 Telnetのパスワードや脆弱性を悪用
Telnetパスワードクラッキング攻撃の発信源を国別にみると、1位がブラジルの23%、2位の中国は17%、日本は9%で3位だった。(2018/9/21)

「Vuls祭り#4」で披露:
フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ
フューチャーは、2018年8月末にオープンソースソフトウェアの脆弱性スキャナー「Vuls」のv0.5.0をリリースし、Vulsを基にした商用サービス「FutureVuls」も大幅にバージョンアップした。(2018/9/20)

Adobe、AcrobatとReaderの定例外セキュリティアップデートを公開
任意のコード実行に利用される恐れのある深刻な脆弱性を含め、7件の脆弱性を修正した。(2018/9/20)

OEMメーカーNUUOの防犯カメラに重大な脆弱性、日本の家電メーカーにも影響の恐れ
悪用されればひそかに防犯カメラを操作される恐れがある。NUUOのウェブサイトには、パートナーとして日本の主要家電メーカーを含む世界各地のメーカー名が記載されている。(2018/9/19)

「iOS 12」のセキュリティ情報公開、16件の脆弱性を修正
同時に「tvOS 12」「watchOS 5」「Safari 12」「Apple Support 2.4 for iOS」のセキュリティ情報も公開された。(2018/9/18)

Intel暗号鍵に危険度「高」の脆弱性、ファームウェア更新で対処
Intel MEの暗号鍵に関連する脆弱性が発見された。重要な情報の改ざんや流出の可能性が指摘されている。(2018/9/14)

@ITセキュリティセミナー2018.6-7:
「Hardening Program」でセキュリティ意識の醸成にチャレンジ――freee
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、freeeの講演「脆弱性なおさないと攻撃しちゃうぞ〜CISOからの挑戦状〜」の内容をお伝えする。(2018/9/19)

Adobe、Flash PlayerとColdFusionの脆弱性を修正
AdobeがFlash PlayerとColdFusionのセキュリティアップデートを公開した。(2018/9/12)

未解決の脆弱性に関する情報も公開:
Microsoft、9月の月例セキュリティ更新プログラム公開 計61件の脆弱性を修正
深刻度が「緊急」の脆弱性は18件。悪用される危険性が大きく、事前に情報が公開されていた脆弱性も複数ある。(2018/9/12)

セキュリティクラスタ まとめのまとめ 2018年8月版:
「サマータイム」はセキュリティホールなのか?
8月のセキュリティクラスタをにぎわせた大きな話題は3つありました。「東京オリンピック開催時のサマータイム」「DEFCONやBlack Hat USAなどのサイバーセキュリティ関連のカンファレンス」「Apache Struts 2で見つかった新たな脆弱(ぜいじゃく)性」です。(2018/9/12)

IoTマルウェア「Mirai」がApache Strutsの脆弱性を標的に 脆弱性放置に警鐘
「IoTボットネットがパッチのバージョンが古いエンタープライズデバイスを狙う傾向を強めている」とPalo Alto Networksは指摘する。(2018/9/11)

セキュリティ・アディッショナルタイム(24):
目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ
2018年8月にセキュリティカンファレンス「Black Hat USA 2018」が開催された。Googleによる基調講演や、「モグラたたきを終わらせ、根本的な原因を解決する」ための取り組みを実践した企業による講演の模様をお届けする。(2018/9/7)

重大な脆弱性をいかに公開するか
Meltdown/Spectreはこうして公開された――Google、Microsoft、Red Hatが明かす真実
「Black Hat 2018」のセッションの中で、GoogleとMicrosoft、Red Hatの担当者が、「Meltdown」と「Spectre」の脆弱性に関する情報を公開するまでの内幕を披露した。(2018/9/7)

「Apache Struts 2」の脆弱性、仮想通貨採掘攻撃に悪用される
「企業はこれまで以上に警戒を強め、影響を受けるシステムには直ちにパッチを適用しなければならない」とF5は呼び掛けている。(2018/9/6)

Windowsタスクスケジューラに発覚した脆弱性、たった2日で悪用マルウェアが出回る
この脆弱性を突くコンセプト実証コードのソースコードも公開されていて、誰でもこれに手を加え、自分のコードに取り込むことができてしまう状態にあるという。(2018/9/6)

中間者攻撃で患者データの改ざんが可能:
カリフォルニア大の研究チーム、古い医療システムの脆弱性を突く攻撃を警告
米カリフォルニア大学の研究チームが、病院の検査機器と医療記録システムの接続を攻撃することで、医療検査結果を簡単にリモートで変更できることを実証した。(2018/9/6)

Google、Androidの月例セキュリティ情報公開 メディアフレームワークに深刻な脆弱性
メディアフレームワークに存在する2件の脆弱性は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがある。(2018/9/5)

「Chrome 69」安定版、10周年でパスワード自動生成など多数の新機能
GoogleがWebブラウザ「Chrome 69」の安定版をリリースした。10周年を記念して、デザイン変更やパスワード関連の新機能などが盛り込まれ、セキュリティ関連では40件の脆弱性を修正した。(2018/9/5)

OpenSCAPで脆弱性対策はどう変わる?(2):
SCAPの構成要素、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)とは
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)について。(2018/9/5)

企業ネットへの侵入許す脆弱性を狙った攻撃が増加:
2018年7月の脆弱性順位でIoT関係が3件ランクイン――チェック・ポイント調べ
チェック・ポイント・ソフトウェア・テクノロジーズは、既知の脆弱(ぜいじゃく)性を狙った攻撃検出数とマルウェアのランキングを発表した。対象期間は2018年7月。マルウェアの上位は仮想通貨関連が占めた。脆弱性悪用ランキングの上位10種には、IoT関連の脆弱性が新たに3件ランクインした。(2018/8/30)

任意のコードが実行される恐れ:
「Apache Struts 2」の新たな脆弱性を悪用するPoCコード、セキュリティ企業が発見
2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードが見つかった。(2018/8/30)

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開
ローカルユーザーに悪用された場合、権限を昇格されてシステム特権を獲得される恐れがある。(2018/8/29)

Android版「フォートナイト」にインストール乗っ取りの脆弱性、情報公開のタイミング巡りEpicがGoogle批判
Samsungのデバイスでは、Fortnite Installerがデバイス上のアプリに乗っ取られ、偽のAPKが密かにインストールされてしまう恐れがあった。(2018/8/28)

その知識、ホントに正しい? Windowsにまつわる都市伝説(117):
Intelプロセッサ向けマイクロコードアップデートのニュースをファクトチェック!
2018年8月22日、MicrosoftがWindows UpdateやMicrosoft Updateカタログを通じて、Intelプロセッサの脆弱性に対策する「Intelマイクロコードアップデート」の提供を開始したというニュースを目にした人は多いでしょう。そのニュース、あるいはそのニュースの元であるMicrosoftのサポート情報をうのみにして、対策したつもりになってはいませんか。(2018/8/28)

Playストア外で提供の「Fortnite Android Beta」のセキュリティ問題をGoogleが指摘
Epic Gamesが自社サイトで限定公開したバトルロイヤルゲーム「Fortnite Android Beta」のインストーラアプリに脆弱性があるとGoogleが指摘し、Epic Gamesは2日後に修正。Googleは脆弱性の詳細を既に公表している。(2018/8/27)

Adobe、Photoshop CCの深刻な脆弱性を修正
WindowsとMac向けに公開されたPhotoshop CCのバージョン19.1.6と同18.1.6で、脆弱性が修正された。(2018/8/23)

Strutsを使う全てのアプリケーションに影響:
「Apache Struts 2」に重大な脆弱性、直ちに更新を
「過去に同様の重大な脆弱性が発覚した際は、その日のうちに悪用コードが公開され、重要インフラや顧客情報が危険にさらされた」とセキュリティ企業は指摘している。(2018/8/23)

「パンドラの箱が開いた」 IoT機器の脆弱性対策、残された希望は
「2016年のMiraiの登場によって『パンドラの箱』が開き、例を見ない規模の攻撃が登場した」――横浜国立大学の吉岡克成准教授はそう話します。DDoS攻撃を仕掛ける「踏み台」としてIoT機器が悪用されるケースが顕著ですが、その前はごく普通のPCが踏み台化されていました。そんな過去から考えられる対策は。(2018/8/23)

ゲストアカウントから攻撃できる場合も:
「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ
パスワードマネージャーなど、コンピュータセキュリティにとって重要な10以上のアプリケーションに、プロセス間通信を横取りする攻撃に対する脆弱(ぜいじゃく)性があることが分かった。(2018/8/20)

仮想化利用時に課題あり:
Intelが発表、キャッシュタイミングを利用したサイドチャネル攻撃の脆弱性「L1TF」
IntelとGoogleなどの業界パートナーは、投機的実行機能を持つIntelプロセッサに見つかったサイドチャネル攻撃の脆弱(ぜいじゃく)性「L1TF」と、対応策について発表した。(2018/8/16)

Adobe、Acrobat/ReaderやFlashの脆弱性を修正
Acrobat/ReaderとFlash Player、Creative Cloud Desktop Application、Experience Managerのセキュリティアップデートが公開された。(2018/8/15)

Microsoftが月例セキュリティ更新プログラムを公開 既に悪用されているIEの脆弱性も
IEやWindows Shellの脆弱性については、現時点で攻撃が確認されていることから、優先的に対応する必要がある。(2018/8/15)

Intel CPUの「SGX」機能に新たな脆弱性、仮想マシンなどにも影響
脆弱性はIntelのSGX機能をサポートしているプロセッサが影響を受けるほか、他のOSやシステム管理モード(SMM)、仮想化ソフトウェア(VMM)などに影響を及ぼす可能性のある脆弱性も見つかった。(2018/8/15)

IoTセキュリティ:
コンバージドIT、OT環境のセキュリティリスク軽減ソリューションを発表
Tenable Network Securityは、コンバージドIT、OT(制御技術)環境におけるサイバーセキュリティリスクを軽減するソリューションを発表した。IT、OT領域におけるサイバーエクスポージャーの横断的管理、資産の脆弱性に関する効率的な改善を行える。(2018/8/15)

DEF CON 2018で発表:
macOSに未解決の脆弱性、クリック操作偽造の恐れ
クリック操作を合成してさまざまなセキュリティの仕組みをかわし、サードパーティーのカーネル拡張機能をロードするなどの操作ができてしまう脆弱性が発見された。(2018/8/14)

システム面でも「安心・安全」を後押し
セブン&アイ・ネットメディア OSSを含む網羅的な脆弱性チェックを導入
「omni7」などのシステム開発に携わるセブン&アイ・ネットメディアは、脆弱性チェックツールを採用し、オープンソースも含む網羅的なセキュリティ対策に取り組んでいる。(2018/8/10)

OSS脆弱性ウォッチ(8):
2018年上半期に話題になったSpectreとその変異、Linuxカーネルでの対応まとめ
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。2018年の上半期は、「Meltdown」「Spectre」とその変異(Variant)の脆弱性に悩まされた。今回はいつもとは異なり、上半期のまとめも兼ねて、Meltdown/Spectreの各変異をバージョンを追いかけながら整理する。(2018/8/14)

最新版では修正済み
「iOS 11」のApple純正カメラアプリで見つかった脆弱性 悪用例と対策を解説
「iOS 11」のカメラアプリに脆弱性が見つかった。最新版では修正済みであるこの脆弱性は、どのように悪用される可能性があるのか。どうすれば問題を回避できるのか。(2018/8/8)

OSS脆弱性ウォッチ(7):
OSSのメールリーダーなどに使われる暗号化ソフト「GNU Privacy Guard」の脆弱性
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は、2018年6月9日に公開された「GNU Privacy Guard」の脆弱性(CVE-2018-12020)を取り上げる。(2018/8/7)

脆弱性のある監視カメラやルーターが標的に
「Mirai」亜種、「Wicked」ボットネットはどのようにIoTデバイスを狙うのか
「Wicked」ボットネットはマルウェア「Mirai」の新たな亜種だ。脆弱なIoTデバイスを標的にして、既存の複数の脆弱性を悪用する。「Owari」「Sora」「Omni」など、他の亜種との関係性は。(2018/8/7)

HP、プリンタの脆弱性情報に報奨金 業界初のバウンティプログラムを実施
最大1万ドル(約110万円)の賞金をかけて脆弱性情報を募ることで、「世界一安全なプリンタ」を追求する。(2018/8/1)

今度は「NetSpectre」の脆弱性、Spectreより広範な影響の恐れ
「NetSpectreは標的とするデバイス上で攻撃者がコントロールするコードを一切必要とせず、従って何十億ものデバイスに影響が及ぶ」と研究チームは解説している。(2018/7/30)

ERPを狙うサイバー攻撃が激増、壊滅的な被害招く恐れも
SAPやOracleのERPに存在する既知の脆弱性が悪用された件数は、過去3年の間に100%増え、SAP HANAのような貴重な資産が狙われていることが分かった。(2018/7/26)

Androidは影響不明、Windowsは影響なし:
Bluetoothの実装に傍受や改ざんを招く脆弱性、AppleとBroadcomはパッチ公開済み
イスラエル工科大学の研究者がBluetoothの実装の新たな脆弱(ぜいじゃく)性を発見した。悪用されると、デバイス間でやりとりしたデータを傍受されたり、改ざんされたりする恐れがある。(2018/7/26)



2013年のα7発売から5年経ち、キヤノン、ニコン、パナソニック、シグマがフルサイズミラーレスを相次いで発表した。デジタルだからこそのミラーレス方式は、技術改良を積み重ねて一眼レフ方式に劣っていた点を克服してきており、高級カメラとしても勢いは明らかだ。

言葉としてもはや真新しいものではないが、半導体、デバイス、ネットワーク等のインフラが成熟し、過去の夢想であったクラウドのコンセプトが真に現実化する段階に来ている。
【こちらもご覧ください】
Cloud USER by ITmedia NEWS
クラウドサービスのレビューサイト:ITreview

これからの世の中を大きく変えるであろうテクノロジーのひとつが自動運転だろう。現状のトップランナーにはIT企業が目立ち、自動車市場/交通・輸送サービス市場を中心に激変は避けられない。日本の産業構造にも大きな影響を持つ、まさに破壊的イノベーションとなりそうだ。