「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

「25年も消えない脆弱性」への対策は？
四半世紀にわたって解決しないRSA暗号「謎の脆弱性」の正体
新たに発見される脆弱性だけではなく、古くからある脆弱性にも要注意だ。データ暗号化に使われる「RSA方式」もその例外ではない。1998年に発見され、2023年現在も残る脆弱性とは。（2023/11/29）

セキュリティニュースアラート：
CVSS v3スコアは10.0　オンラインストレージownCloudに深刻なリスク
OSSのオンラインストレージ「ownCloud」に3つの脆弱性が見つかった。そのうち一つはCVSS v3のスコア値が10.0と評価されている。（2023/11/28）

Cisco IOS XEの脆弱性に要注意
Cisco製ネットワークOSに「数千台に影響」の脆弱性　直ちに“あれ”をすべし
セキュリティ専門家によると、Cisco SystemsのネットワークOS「Cisco IOS XE」の脆弱性を悪用した攻撃活動が広がっている。攻撃の範囲や、ユーザー企業が講じるべき防御策などを解説する。（2023/11/27）

ロシア系ハッカー集団「Storm-0978」の手口【後編】
Microsoft製品が狙われる――対策に使えるWindowsの“あの機能”とは？
多彩な攻撃手法を用いるロシア系サイバー犯罪集団「Storm-0978」は、Microsoft製品の脆弱性を悪用している。Storm-0978による攻撃に有効なセキュリティ対策とは。（2023/11/26）

Cybersecurity Dive：
Cisco IOS XEのゼロデイ脆弱性は対処済み？　約4万2000台のデバイスが被害
Cisco IOS XEのゼロデイ脆弱性に対処するための修正プログラムが2023年10月15日にリリースされている。まだパッチを適用していない場合は急ぎ対処が求められる。（2023/11/25）

オンプレミスのままでは無駄なリソースでコストが増えるだけ：
PR：脆弱性になってしまう、あまり使わないシステムを“内製”でクラウド移行するための現実解
基幹システムと比べて、使用頻度や利用度が低いシステムのクラウド移行には予算が付きにくい。それでも、できる限り“内製”で対処することによって低予算での移行は可能だ。ただし、自社だけのクラウド移行で心配になるのが、実装作業だろう。外注せずにクラウドに移行したいシステムについては、どうすればよいのだろうか。（2023/11/24）

Cybersecurity Dive：
パッチ適用しても効果なし？　Citrix NetScalerの脆弱性についてMandiantが指摘
Mandiantの研究者は、Citrix NetScalerの脆弱性について、パッチを適用した組織が依然としてハッキングの被害を受けていると指摘した。一体どういうことだろうか。（2023/11/18）

Cybersecurity Dive：
米国のデータ侵害数が過去最高を記録　増加の要因は“ある脆弱性”
ITRCの調査によると、米国において個人情報に関するデータ侵害数は2023年に過去最高を記録しているという。この要因は何か。（2023/11/18）

Innovative Tech：
HTMLソースコードから個人情報が筒抜け？　Chromeなどのブラウザ拡張機能の多くで脆弱性　米研究者らが発見
米ウィスコンシン大学マディソン校に所属する研究者らは、HTMLソースコードからのパスワード、クレジットカード情報などのユーザーデータを抽出可能なブラウザ拡張機能について、多数の人気Webサイトが脆弱であることを明らかにした研究報告を発表した。（2023/11/16）

Juniper Junos OSにCVSS 9.8の緊急脆弱性　すぐに対策を
CISAはJuniper Junos OSの5つの脆弱性を新たに脆弱性カタログに追加した。これらはリモートからのコード実行が可能で、CVSSスコア値9.8で「緊急」に分析される。（2023/11/15）

日立ソリューションズがIoT製品のセキュリティを強化するPLM製品を販売開始
日立ソリューションズはIoT機器の脆弱性対策を支援する「PLMセキュリティソリューション」の販売を開始した。背景にはサイバーセキュリティ対策に関する法令の変化がある。（2023/11/15）

GitHub、コードの脆弱性を発見後に修正コードまで自動生成してくれる「Code scanning autofix」発表
米GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビューが公開された。（2023/11/10）

指標グループを拡充、新しい評価スコア名も導入：
共通脆弱性評価システムの最新版「CVSS v4.0」、FIRSTが正式発表
米国の非営利団体FIRSTは、共通脆弱性評価システム「CVSS」の最新バージョン「CVSS v4.0」を正式に発表した。（2023/11/10）

3つのアップデートで企業を支援：
「Docker Scout」の一般公開が後押しする「ローカルプラスクラウド」とは
Dockerは、オープンソースの「Docker Scan」をイベント駆動型の脆弱性管理システム「Docker Scout」に置き換えるなど、3つのアップデートを実施した。（2023/11/8）

“典型的やられサイト”で学ぶセキュリティのワナ：
非公開の予定が見えちゃってるね！　Webアプリの「認可制御」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。（2023/11/9）

AndroidとPixelに11月の月例更新　複数アカウント登録Pixelのストレージ問題の対処も
GoogleはAndroidおよびPixelの月例アップデートの配信を開始した。最も申告な脆弱性は、追加の実行権限を必要とせずにローカル情報の漏洩につながる可能性があるというものだ。Pixelでは複数のバグ修正も行われる。（2023/11/8）

ファイル共有「Citrix ShareFile」の脆弱性を悪用
Citrix製品に見つかった「緊急」の脆弱性とは　1日70件以上の攻撃観測も
ファイル共有サービス「Citrix ShareFile」の脆弱性を悪用した攻撃が活発化し、米国政府機関が注意を呼び掛けている。どのような脆弱性なのか、セキュリティ専門家の見解をまとめた。（2023/11/7）

セキュリティニュースアラート：
CVSS v4.0が正式に発表　新たな命名法によって精密な脆弱性評価が可能に
FIRSTは共通脆弱性評価システム（CVSS）の最新バージョンであるCVSS v4.0を正式に発表した。CVSS v4.0は従来のバージョンよりも細かい基本メトリクスが提供されている。（2023/11/6）

Cybersecurity Dive：
「サイバー犯罪者に攻撃手段を提供した」　WS_FTPの開発元がPoCを公開した第三者を批判
ビジネス向けFTPサーバ「WS_FTP」に対する複数のサイバー攻撃が実行された。悪用された脆弱性は2つで、CVSSスコアは10点満点中10点と9.9点と致命的なものだ。（2023/11/4）

セキュリティニュースアラート：
Cisco IOS XEの脆弱性対応は不適切？　Horizon3.aiがPoCを公開
Horizon3.aiはCisco IOS XEの脆弱性CVE-2023-20273が悪用可能であることを示す概念実証を公開した。これを利用すれば特権レベル15のユーザーを簡単に作成し、デバイスの制御権を奪うことができる。（2023/11/2）

セキュリティニュースアラート：
VMware Toolsに「重要」の脆弱性　権限昇格が可能になるリスク
VMwareはVMware Toolsに存在する2つの重要な脆弱性を公表した。これらのセキュリティ問題を回避するための一時的な方法は提供されていない。（2023/11/1）

Google、生成AI悪用攻撃報告を脆弱性報酬（バグバウンティ）プログラムに追加
Googleは、脆弱性報酬プログラムの対象にAI悪用攻撃の報告を追加した。プロンプト攻撃やメンバーシップ推論攻撃など、AI悪用の懸念が高まっている。（2023/10/27）

セキュリティニュースアラート：
vCenter ServerにCVSS 9.8の脆弱性　回避策なしのため迅速なアップデートを
VMware vCenter Serverに境界外書き込みおよび情報漏えいの脆弱性が見つかった。1つはCVSS 9.8で深刻度「緊急」（Critical）に分類されている。主力スイートの中心的製品であることから迅速なアップデートの適用が求められる。（2023/10/27）

「EPSS」は脆弱性管理の新常識になるか？　データで判明したその“効能”
フォーティネットジャパンは調査レポートを基に、ランサムウェア攻撃の最新動向と脆弱性対策における新たな判断材料となり得る「EPSS」について解説した。（2023/10/19）

手作業の脆弱性管理をいつまで続けるの？
「手作業の脆弱性管理」を卒業し、高速なセキュア開発を目指す秘策
ソフトウェア開発のプロセスは高速化、自動化が進み、新しいWebサービスが次々リリースされるようになった。一方で開発時の「脆弱性管理」は自動化が難しく、手作業の運用管理が残っている。この状況を解決する秘策は。（2023/10/16）

組み込み開発ニュース：
産業用組み込みLinux OSで機器のセキュアな開発や運用を支援
サイバートラストは、産業用IoT機器向けの組み込みLinux OS「EMLinux 3.0」を提供する。約3万個の長期サポート対象パッケージを提供し、機器の開発と脆弱性対応の工数削減を可能にする。（2023/10/18）

セキュリティニュースアラート：
CVSSは「10.0」　Cisco IOS XE Softwareに「緊急」の脆弱性、回避策は未提供
CiscoはCisco IOS XE SoftwareのWeb UI機能に「緊急」の脆弱性が見つかったと伝えた。CVSSのスコアは「10.0」に分類されており、回避策は提供されていない。（2023/10/18）

CPU脆弱性「Downfall」の危険性と対策【第4回】
Skylake登場から8年　Intel製CPUの脆弱性「Downfall」の発見が遅れたのはなぜ？
Intel製CPUに脆弱性「Downfall」が見つかった。他ベンダーのCPUにも同様の脆弱性があるのだろうか。2015年に製品化したCPUの脆弱性の発見が、2023年まで掛かったのはなぜなのか。Google研究者の見方は。（2023/10/18）

半径300メートルのIT：
見るべきは「CVSSスコア」“だけ”でいいのか？　脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。（2023/10/17）

診断に要するコストや事前調整の手間も削減
年1回の脆弱性診断では不十分、アジャイル開発に適した脆弱性対策とは？
AIをベースにWebサービスを展開し、迅速に機能改善を加えるみらい翻訳では、その開発プロセスと、年に1回の脆弱性診断との間にある、ライフサイクルの不一致が課題となっていた。“外部診断頼り”を脱却すべく、同社が採用した方法とは。（2023/10/18）

Cybersecurity Dive：
ダークWebで売買される不正プログラム　3分の1はMicrosoft製品に関連
ダークWebでは脆弱性情報や不正プログラムが高値で取引されている。なかには1万ドル以上で取引されているものもあるようだ。（2023/10/15）

セキュリティニュースアラート：
curl 8.4.0がリリース　「おそらく最悪」と評価される脆弱性を修正
cURLプロジェクトはcurlの新しいバージョン「curl 8.4.0」を公開した。このバージョンでは開発者が「最悪の脆弱性」と称す脆弱性が修正されている。（2023/10/13）

脆弱性「組み合わせ」でSAP攻撃【後編】
SAP製品が狙われ始めた？　大惨事を招くその“深刻なリスク”とは
セキュリティベンダーOnapsisは、SAP製品の脆弱性を悪用する攻撃方法を見つけた。企業が対策を講じるに当たり、“あること”がネックになると同社は指摘する。何に注意が必要なのか。（2023/10/13）

セキュリティニュースアラート：
CloudflareとGoogle、AWSが注意喚起　ゼロデイ脆弱性「HTTP/2 Rapid Reset」とは？
CloudflareとGoogle、AWSは共同でゼロデイ脆弱性「HTTP/2 Rapid Reset」を発表した。これはHTTP/2のストリームキャンセル機能を悪用して極度に大規模なDDoS攻撃を引き起こすもので過去最大の攻撃が観測されている。（2023/10/12）

Google、Cloudflare、Amazon、　HTTP/2悪用の史上最大規模DDoS攻撃について説明
Google、Cloudflare、Amazonは、8月に受けた史上最大規模のDDoS攻撃について説明した。「HTTP/2」プロトコルの脆弱性を悪用した攻撃で、「Wikipediaへの1日分のリクエストを10秒で受信する」規模としている。（2023/10/11）

CPU脆弱性「Downfall」の危険性と対策【第3回】
Intel製CPUの脆弱性「Downfall」のパッチ適用を“即決できない”のはなぜ？
Googleが発見したIntel製CPUの脆弱性「Downfall」に対して、Intelはパッチを公開した。その適用を決断する上で、留意すべきことがあるという。それは何なのか。Google研究者が説明する。（2023/10/11）

Cybersecurity Dive：
MOVEit関連のサイバー攻撃　発覚から数カ月も被害者が増え続けるワケ
MOVEitのゼロデイ脆弱性から始まったサイバー攻撃キャンペーンは発覚から数カ月が経過した今も被害者を増やし続けている。（2023/10/8）

Pixelの10月アップデートは「Android 14」　バグ修正と改善は80件、脆弱性対処も多数
Googleは10月の月例更新として「Android 14」の配信を開始した。新機能だけではなく、通常の月例同様、バグ修正と改善、脆弱性対処も行われる。（2023/10/5）

脆弱性「組み合わせ」でSAP攻撃【前編】
SAP製品を狙った“深刻な手口”が判明　複数ツールの脆弱性を悪用か
既知の脆弱性をうまく組み合わせれば、SAP製品への攻撃ができると、セキュリティベンダーOnapsisは警鐘を鳴らす。同社が発見した恐ろしい攻撃手法とは何か。（2023/10/4）

CPU脆弱性「Downfall」の危険性と対策【第2回】
Intel製CPUの脆弱性「Downfall」悪用の手口とは？　Google研究者が明かす
GoogleがIntel製CPUに発見した脆弱性「Downfall」。その悪用の手口は1つではないという。どのような手口があるのか。Googleのセキュリティ研究者が語る。（2023/10/4）

セキュリティ、エンジニアは後回しにすることが多いが、CIOは最優先：
コンテナ、Kubernetesの脆弱性スキャン、3つの重点ポイント
コンテナ化とKubernetesの初心者向けに、コンテナイメージのスキャン、コンテナファイルのスキャン、Kubernetesマニフェストのスキャンについて開発チームが知っておくべきことを説明する。（2023/10/2）

「セキュリティ担当者は生成AIのせいで仕事が増えると懸念している」：
開発者が脆弱性の対処に費やしている時間は全体の7％　GitLab
GitLabは、全世界で実施したDevSecOpsに関する調査のレポート「ソフトウェア開発におけるAIの現状」を発表した。回答者の4割が「AIはセキュリティ面で大きなメリットをもたらしている」と考えていた。（2023/10/2）

セキュリティニュースアラート：
CVSSは「10.0」　WebPライブラリに脆弱性が見つかる、急ぎ対処を
GoogleはGoogle Chromeの修正版を公開した。今回修正した脆弱性の中にはlibwebpに起因する脆弱性が含まれており、CVSSのスコア値は10.0とされている。（2023/9/28）

CPU脆弱性「Downfall」の危険性と対策【第1回】
Intel製CPUの危険な脆弱性「Downfall」とは？　あのMeltdownの“再来”か
Googleが発見した「Downfall」は、2018年に公開した「Spectre」「Meltdown」に続くIntel製CPUの脆弱性だ。Downfallは、何が危険なのか。発見者であるGoogleの研究者が明かす。（2023/9/27）

「セキュリティ×AI」の可能性【第3回】
AIツールで企業の煩雑な「ITSM」「ITOM」はどう変わる？
企業は人工知能（AI）技術を活用することで、脆弱性管理を強化できる可能性がある。AI技術がITサービス管理（ITSM）とIT運用管理（ITOM）にもたらすメリットを紹介する。（2023/9/26）

Apple、早くも「iOS 17.0.1」など一連の更新を配信　“積極的に悪用された可能性がある”問題に対処
Appleは18日にリリースしたばかりの一連の新OSのセキュリティ更新を配信中だ。いずれも“積極的に悪用された可能性のある”脆弱性に対処するものだ。発売されたばかりの「iPhone 15」シリーズには「iOS 17.0.2」が配信されている。（2023/9/22）

Googleが開発した技術に影響
ChromeやEdgeなど人気ブラウザを危険にする「画像フォーマット」の脆弱性とは
「Chrome」や「Edge」といった広く使われているWebブラウザに関連する脆弱性が見つかった。悪用されると、どのような危険のある脆弱性なのか。（2023/9/22）

フォーティネットジャパン合同会社提供Webキャスト
エンドポイントを強力保護、ゼロデイ攻撃に対応する“第二世代EDR”の実力とは
近年増加しているエンドポイントのゼロデイ脆弱性を突くサイバー攻撃は、成功率が高いこともあり、犯罪者にとっての利用価値が高まっている。組織はサイバーキルチェーンを断ち切り、エンドポイントをどのように保護すればよいのだろうか。（2023/9/22）

「サポート詐欺」「ランサムウェア」「偽Wi-Fi」に要注意：
「サイバー攻撃の被害は警察署に通報を」――警視庁が解説する最新の脅威動向、セキュリティ対策の基本
サイバー攻撃の脅威を対岸の火事と捉える経営者は珍しくない。だが現実は、企業規模を問わず、脆弱性のあるシステムを標的にサイバー攻撃が仕掛けられ、システムを使用していた自社はもちろん、取引先にまで影響を及ぼすケースが起きている。東京商工会議所が主催したセミナーに登壇した警視庁の担当者が、最新の脅威動向、サイバーセキュリティ対策の基本を解説した。（2023/9/22）

Pixelに9月の月例更新　既に悪用された可能性のあるゼロデイを含む問題を修正
Googleは、Pixel向けに9月の月例更新の配信を開始した。数日前に公開したAndroid向け更新に加え、「限定的かつ標的を絞った悪用を受けている可能性があるという兆候がある」脆弱性にも対処する。（2023/9/21）

Trend Micro製品に緊急の脆弱性　既に悪用を確認
Trend Microは「Apex One」と「Worry-Free Business Security」に深刻度「緊急」の脆弱性が存在すると発表した。既に悪用も確認されており、該当する製品を使っているユーザーは迅速な対応が求められる。（2023/9/21）

Microsoft製品の危ない欠陥【第2回】
「Microsoft製品の脆弱性」に備える“公式お墨付き”の対策とは
2023年7月に見つかったMicrosoft製品の脆弱性に、ユーザー企業はどう対処すればよいのか。脆弱性の詳細と、具体的な対策を紹介する。（2023/9/19）

マイクラで学ぶサーバ管理：
権限管理をミスると本当にまずいぞ！　マイクラで学ぶ「権限昇格の脆弱性」と「認可」
ネットを見ているとたまに「子供がMinecraftで友達とマルチプレイしたいというから、サーバ管理を学ばせてみた」というエンジニアの子育てエピソードを見かける。本連載では実際にMinecraftサーバを建てながら、サーバ管理の仕事とコツについて学ぶ。（2023/9/15）

WebPコーデックの重大な脆弱性対処でChromeなど主要Webブラウザが緊急更新
画像フォーマット「WebP」に重大なゼロデイ脆弱性が見つかり、Chrome、Edge、Firefox、Braveなどが修正のための更新をリリースした。既に悪用されている。（2023/9/14）

Microsoft製品の危ない欠陥【第1回】
ロシア系攻撃集団が狙う「Microsoft Office」の脆弱性　なぜ危ない？
「Microsoft Office」に脆弱性が見つかり、企業が攻撃を受けるリスクが高まっている。見つかった脆弱性はなぜ危険なのか。誰が悪用して攻撃を仕掛けようとしているのか。基礎情報を抑えよう。（2023/9/14）

山市良のうぃんどうず日記（265）：
Meltdown／Spectreの再来？　Intelプロセッサの新たな脆弱性とその対応策
2023年8月、Intelは一部の最新プロセッサを除く、広範囲のIntelプロセッサの世代に影響する評価「中」の新たな脆弱性と、その軽減策を公開しました。5年前の2018年、同じような脆弱性問題で大騒ぎになりましたが、今回はどうなるのでしょうか。（2023/9/13）

セキュリティニュースアラート：
iPhoneなどに任意コード実行を可能とする脆弱性　直ちにアップデートを
Appleは複数製品の脆弱性を修正するセキュリティアップデートを公開した。ユーザーは速やかにアップデートを適用してほしい。（2023/9/11）

Cybersecurity Dive：
米英含む情報同盟、脆弱性対策におけるエンドユーザーの責任を強調
Five Eyesの共同勧告によると、2022年に最も多く悪用された12の脆弱性の半数は2021年に発見されたものだ。ここにはApache Log4jの脆弱性もいまだに含まれている。（2023/9/10）

セキュリティニュースアラート：
ASUSのハイエンドWi-FiルーターにCVSS9.8の脆弱性　迅速にアップデートを
TWCERT/CCはASUSTeKの3つのWi-Fiルーターに「緊急」の脆弱性があると発表した。ルーターが乗っ取られる危険性があり、ユーザーは迅速にアップデートを適用することが求められている。（2023/9/7）

組み込み開発ニュース：
DevSecOpsプラットフォームにAI機能を実装し、安全性を強化
GitLabは、DevSecOpsプラットフォームにAI機能スイート「GitLab Duo」を実装した。コードの提案や脆弱性の解析が可能になり、ソフトウェア開発の効率を高める。（2023/9/6）

セキュリティニュースアラート：
Chrome拡張機能に潜む問題を研究者らが指摘　Webサイトのパスワード窃取が可能に
研究者らがChromeの拡張機能にセキュリティリスクが存在すると指摘した。脆弱性を悪用すればWebサイトから平文パスワードを窃取できる可能性がある。（2023/9/5）

Cybersecurity Dive：
インシデント対応時間は短縮も……　Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。（2023/9/3）

2023年第2四半期Cloudflareアプリケーションセキュリティレポート：
「Log4j」などの古い脆弱性は依然、大量に悪用されている
Cloudflareが2023年第2四半期（4〜6月）におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。毎日平均1120億件ブロックしたサイバー脅威データを基に分析した結果分かった傾向とは。（2023/9/2）

IoTセキュリティ：
サードパーティー製部品を対象とした脆弱性管理サービスを提供開始
NRIセキュアテクノロジーズは、IoT機器を手掛ける製造業向けに「デバイス脆弱性監視分析サービス」の提供を開始した。OSSやCOTSなど、サードパーティー製部品の脆弱性情報を収集、分析する。（2023/9/1）

セキュリティニュースアラート：
VMware Aria Operations for NetworksにCVSS v3スコア9.8の脆弱性　SSH認証をバイパス
VMwareのネットワーク監視ツール「Aria Operations for Networks」に「緊急」の脆弱性が見つかった。CVSS v3スコア9.8となっており、該当製品を使っている企業は直ちにアップデートしてほしい。（2023/9/1）

SASE／SSEの機能を提供
オンプレとクラウドが入り交じった複雑なIT環境で求められるセキュリティ対策
オンプレミスやクラウドサービスを使う企業はセキュリティの穴をふさぎ、脆弱性を管理することに必ずしも成功していない。境界防御は通用せず、SASEやSSEの考え方を取り入れたセキュリティ手法が必要だ。（2023/9/20）

個室トイレの“脆弱性”にパッチが当てられた光景が話題に　ベビーチェアの子どもが鍵を開けちゃう問題をアップデートで解決
ひとまずこれで安心かな……？（2023/8/31）

犯罪者が狙う「ESXi」【後編】
ESXi攻撃に使われた脆弱性「CVE-2023-20867」の危険度は？　ESXiArgsとの関係は
VMware「ESXi」のセキュリティを脅かす、同社製品の脆弱性「CVE-2023-20867」。その危険性はどの程度なのか。ESXiを襲ったランサムウェア「ESXiArgs」との関係とは。（2023/8/31）

セキュリティニュースアラート：
本当に合ってる？　curlの古いバグが「緊急」の脆弱性としてCVE登録される
CVEに深刻度「緊急」に分類されるcurlの脆弱性が登録された。だがこの情報について開発者らは問題は修正済みかつCVEの評価が不適切だと指摘している。（2023/8/29）

宮田健の「セキュリティの道も一歩から」（88）：
SBOMがあれば脆弱性管理は完璧……となるその前に
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、セキュリティ観点でソフトウェアの部品管理「SBOM」に注目したいと思います。（2023/8/28）

Cybersecurity Dive：
Citrix製品のゼロデイ脆弱性　リリース後も53％がパッチを適用せず
研究者たちは、何千台ものCitrix NetScalerのデバイスが攻撃に対して脆弱なままであると警告している。（2023/8/26）

“典型的やられサイト”で学ぶセキュリティのワナ：
え？　同じIDで登録できる？　コンビニ証明書で話題「同時処理」の危険性
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。（2023/8/25）

6つの脆弱性のリクエスト量を調査：
2022年に最も悪用された脆弱性は？　Cloudflareが分析結果を発表「Log4jの脆弱性は桁違いだった……」
Cloudflareは、CISAが公開した「2022年に最も悪用された脆弱性」を参考に、同社のWAFで検出された脆弱性に対するリクエスト量の分析結果を発表した。（2023/8/24）

犯罪者が狙う「ESXi」【中編】
ESXi攻撃に使われた脆弱性は深刻度「低」――VMwareの判断根拠が客観的だった
VMware製品に見つかった脆弱性「CVE-2023-20867」を、サイバー犯罪グループUNC3886が「ESXi」への攻撃に悪用している。こうしたCVE-2023-20867の深刻度を、VMwareが「低い」と判断したのはなぜなのか。（2023/8/24）

iOS 16の「機内モード」に脆弱性　オフラインに見せかけつつ情報窃取も可能
iOS 16の機内モードに脆弱性があることがJamfによって報告された。これを悪用すると偽装した機内モードを表示させて攻撃者がデバイスへのアクセスを維持できる。（2023/8/21）

PowerShell Galleryに複数の脆弱性　メタデータの偽造や非公開コードへのアクセスも可能か
PowerShell Galleryにタイポスクワッティング攻撃を受けやすい脆弱性が見つかった。メタデータの偽造や非公開コードへのアクセスも可能になるという。Microsoftへの問題報告後も修正はうまく進んでいない。（2023/8/21）

Innovative Tech：
テスラ車の有料機能を“タダ”で使うサイバー攻撃　ドイツの研究者らが発表
ドイツのベルリン工科大学などに所属する研究者らは、テスラ（Tesla）をハッキングし、有料機能をアンロックするなどの攻撃が行える脆弱性を提案した研究報告を発表した。（2023/8/21）

抽選でAmazonギフトカードが当たる
「PCのパッチ更新運用および利用ソフトウェアの脆弱性対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2023/8/21）

Cybersecurity Dive：
家庭用IoTデバイスをどう守るか？　米国で進むラベリングプログラムの詳細
バイデン政権はIoTデバイスの保護を目的とした消費者向けのラベリングプログラムを発表した。ホームルーターの脆弱性などを狙ったサイバー攻撃が絶えない今、IoTセキュリティを強化する。（2023/8/19）

犯罪者が狙う「ESXi」【前編】
ESXiを攻撃する犯罪者集団が悪用した脆弱性「CVE-2023-20867」とは？
犯罪者集団UNC3886がVMware製品の脆弱性「CVE-2023-20867」を悪用して、同社のハイパーバイザー「ESXi」を攻撃しているとMandiantは説明する。CVE-2023-20867とは、どのような脆弱性なのか。（2023/8/18）

1900台超のCitrix NetScalerにバックドアが仕込まれている、日本でも確認
「Citrix NetScaler」の脆弱性を悪用するエクスプロイトキャンペーンが報告された。1900台以上にバックドアが仕込まれ、日本でも影響が確認されている。セキュリティパッチ適用後もリスクが残るため迅速な対応が求められる。（2023/8/17）

さくら、インテルCPU脆弱性「Downfall」の影響は調査中　クラウドなど全サービスで
さくらインターネットが、米Intel製CPUに見つかった脆弱性「Downfall」について、クラウドやレンタルサーバなど自社サービスへの影響を調査中と発表した。（2023/8/14）

Cybersecurity Dive：
さまざまな脆弱性を悪用して拡大するbotネット「TrueBot」の実態とは？
マルウェア「TrueBot」によるフィッシング攻撃が拡大している。このマルウェアは幾つかの脆弱性を悪用して被害を着々と拡大しているようだ。（2023/8/12）

Intelプロセッサに新たな脆弱性「Downfall」が見つかる　影響範囲広く注意
Intelのプロセッサに情報漏えいを引き起こす危険がある脆弱性「Downfall」が見つかった。同プロセッサはサーバ市場で70％以上のシェアを占めていることから、インターネットを使用する全てのユーザーが影響を受ける可能性がある。（2023/8/11）

エレコム、過去発売のWi-Fiルーターに脆弱性　更新期間終了済み、“買い替え”推奨　「力及ばず謝罪しかできない」
エレコムは、過去に販売していた一部Wi-Fiルーターに脆弱性が見つかったと発表した。対象製品は2017年2月以前に発売したもので、いずれもすでにアップデートサービスを終了しており、代替製品への切り替えを勧めている。（2023/8/10）

AWS、インテル製CPUの脆弱性に「影響はない」　パフォーマンス低下の可能性には触れず
米Amazon Web Servicesは、米Intel製CPUで見つかった脆弱性「Downfall」について「AWSの顧客データとインスタンスは問題の影響を受けず、顧客の行動は必要ない」とコメントした。（2023/8/10）

インテルCPUに新たな脆弱性「Downfall」　修正で「パフォーマンスに最大50％の影響」　対象は第6〜11世代
米Intelが、同社製CPUに脆弱性が見つかったと発表した。メモリ最適化機能を悪用することで、CPU内部のレジスタファイルを意図せずソフトウェア側に提供できてしまうという。すでにIntelがアップデートを提供しているが、修正の適用により一部処理のパフォーマンス低下を招く可能性がある。（2023/8/10）

株式会社ビットフォレスト提供Webキャスト：
脆弱性診断の障壁、セキュリティ人材やスキルの不足を乗り越えるには？
Webアプリケーション脆弱性診断の重要性は理解しているものの、セキュリティ人材やスキルの不足を理由に導入を諦めてしまう企業は多い。この課題を解決するのが、スキル不要で誰でも簡単に使えるクラウド型Web脆弱性診断ツールだ。（2023/8/10）

AndroidとPixelに8月の月例更新　Pixel FoldとTabletの問題修正も
Googleは8月の第1月曜日に当たる8月7日、AndroidとPixelの月例セキュリティ更新を実施した。4件の「致命的」を含む多数の脆弱性が修正される。Pixel FoldとTabletの問題も複数修正される。（2023/8/8）

内閣サイバーセキュリティセンターで情報漏えい　未知の脆弱性が原因
NISCの電子メールシステムに不正通信があり、個人情報を含むメールデータが漏えいした可能性がある。悪用の事実は確認されていない。（2023/8/4）

SalesforceとFacebookの脆弱性を悪用する新たなフィッシング手法とは？
GuardioはSalesforceの脆弱性を悪用した新型フィッシングを検出した。攻撃者はメールトラフィックを隠す手法やSalesforceの機能を悪用している。（2023/8/4）

VPNの脆弱性を狙う“ネットワーク貫通型攻撃”に対してIPAが注意喚起
インターネット境界のデバイスに対するサイバー攻撃が増加している。IPAはこれに向けて注意喚起の文書を公開した。日々の確認と平時の備えとしてやるべき対策が記載されている。（2023/8/3）

前年比では大きく減少：
Googleが報告「ゼロデイ脆弱性は過去2番目に多かった」　2022年に41件が悪用される
Googleの年次報告書によると、2022年に悪用されたことが検出、公開されたゼロデイ脆弱性は41件。2021年の69件からは減少したが、2014年に同社が追跡を開始して以来、2番目に多かった。（2023/8/2）

週末の「気になるニュース」一気読み！：
GPDが7型ミニPC「WIN Mini」を発表／「macOS Ventura 13.5」と「iPadOS 16.6」を提供開始　脆弱性を修正
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、7月23日週を中心に公開された主なニュースを一気にチェックしましょう！（2023/7/30）

Apple、「iOS 16.6」「iPadOS 16.6」配信　「悪用された可能性がある」脆弱性に対処
AppleはiOS、iPadOS、macOSなどの一連のOSにバグおよびセキュリティ修正を加える配信を開始した。iOSとiPadOSの16.6では「悪用された可能性がある」2件を含む多数の脆弱性が修正される。（2023/7/26）

アカウントを乗っ取られる可能性があるMicrosoftの脆弱性「nOAuth」　必要な対策とは
Microsoftの「Active Directory」および「Entra ID」（Azure AD）は、「nOAuth」という脆弱性によりアカウントの乗っ取りリスクを抱えている。（2023/7/20）

Log4jの脆弱性の影響を受ける企業も　日本の時価総額上位25社のIT資産にサイバーリスク
Tenableは日本の時価総額上位25社の12万件以上のIT資産がサイバーリスクにさらされていると報告した。中にはTLS 1.0や旧版Log4Jをまだ利用中の企業もあった。（2023/7/17）

Cybersecurity Dive：
Fortinet製品の脆弱性を悪用する脅威アクター「Volt Typhoon」の実態
Fortinetは、FortiOSおよびFortiProxyの「SSL-VPN」機能におけるヒープベースのバッファオーバーフローの脆弱性を悪用することで、サイバー攻撃者がデバイスを制御できる可能性があると警告した。（2023/7/15）

「スパイウェア」「脆弱性悪用」がもたらす脅威【後編】
「脆弱性」の悪用が深刻化　“あのブラウザ”や“あのGPU”も標的に
IT製品に潜む「脆弱性」を狙った攻撃が広がっている。攻撃者が主に狙うのは“人気製品”の脆弱性だ。どのようなIT製品の脆弱性を悪用しているのか。脆弱性を悪用した攻撃の実態とは。詳細を見てみよう。（2023/7/15）

FortiOSとFortiProxyにCVSSv3 9.8の脆弱性　直ちにアップデートを
FortiOSとFortiProxyに深刻度「緊急」の脆弱性が見つかった。これをサイバー攻撃者に悪用されると、任意のコードやコマンドが実行されるリスクがある。（2023/7/14）

「CWE Top 25」2023年版、MITREが発表：
ソフトウェア開発で気を付けたい脆弱性トップ25　3位は「SQLインジェクション」　2位は「XSS」　1位は？
MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。（2023/7/13）

Apple、一部のアプリに不具合が発生する問題でセキュリティアップデートを停止
Appleはゼロデイ脆弱性対策に向け緊急のアップデートを配信した。しかしこの更新によって一部のアプリケーションが非対応となる問題が生じたため配信を停止したことが明らかになった。（2023/7/13）

株式会社ビットフォレスト提供Webキャスト：
セキュリティ技術者が不在、スキル不足でも使える脆弱性診断ツール
脆弱性診断サービスは、重要性は認識されつつもコストや期限の問題から、規模の小さいプロジェクトでは利用が難しかった。しかし今日では、開発現場での利用を想定した低コストかつ高速で診断できる脆弱性診断サービスが登場している。（2023/7/13）

iOSやiPadOS、macOSにゼロデイ脆弱性　任意のコードが実行可能、迅速な対応を
AppleはiOSやiPadOS、macOSを対象にした緊急のセキュリティアップデートを配信した。任意のコードを実行可能にするゼロデイ脆弱性が見つかった。（2023/7/12）

Apple、iOS、iPadOS、macOSに“緊急セキュリティ対応”の「16.5.1(a)」をリリース
Appleは、iOS、iPadOS、macOS向けに「緊急セキュリティ対応」の配信を開始した。積極的に悪用された可能性がある1件の脆弱性に対処するものだ。（2023/7/11）

より詳細に、より簡単に：
「脆弱性に対処する難易度」を評価可能に　最新のCVSS「CVSS 4.0」は何が違うのか
Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン（CVSS 4.0）に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。（2023/7/10）

調査で見えた“初期侵入”の典型例
VPNの脆弱性を悪用するエクスプロイトが横行、効果的に対処するには？
インシデントに関するある調査によれば、脆弱性を悪用するエクスプロイトが初期侵入で多く使われる傾向が見て取れるという。中でも多いのが、VPN機器の脆弱性を突いた攻撃だ。不正侵入の入り口を常に探す攻撃者を、どう防げばよいのか。（2023/7/12）

「スパイウェア」「脆弱性悪用」がもたらす脅威【前編】
そのiPhoneは監視されていた――Googleが語る「スパイウェア」の背筋が凍る実態
「スパイウェア」による攻撃が広がっていると、Googleのセキュリティ専門家は警鐘を鳴らす。特に注意が必要なのは、「Android」「iOS」といったモバイルOSの脆弱性を突くスパイウェアだという。その危険性とは。（2023/7/8）

Android、Pixel、Pixel Watchに7月の月例更新　Pixel Tabletの機能改善あり
Googleは、Android、Pixel、Pixel Watchの7月の月例セキュリティ情報を公開した。「致命的」を含む複数の脆弱性に対処する。Pixel Tabletの2つの機能改善も含む。（2023/7/7）

Teamsの脆弱性を突く新ツール「TeamsPhisher」を公開　全ユーザーが利用可
米国海軍は新たなセキュリティツール「TeamsPhisher」を公開した。これを利用すると、Teamsユーザーに対するフィッシング攻撃が可能になる。（2023/7/7）

Windows 7、8、8.1をサポートする最後のバージョン：
Mozilla、「Firefox 115」を公開　Chromeベースブラウザで保存した決済方法の引き継ぎが可能に
Mozillaは、デスクトップ用Firefoxブラウザの最新版「Firefox Version 115.0」を公開した。Chromeベースブラウザで保存した決済方法の引き継ぎなど、幾つかの新機能が追加され、セキュリティ脆弱性やバグなどの問題が修正されている。（2023/7/7）

約33万のFortinet製SSL VPNインタフェースが脆弱性を放置している
Fortinetは2023年6月にFortiOSに存在するヒープバッファーオーバーフローの脆弱性に対処したアップデートの提供を開始した。しかし1カ月たってもアップデートの適用状況は好ましくない。（2023/7/5）

WordPressの人気アカウントプラグインにCVSS9.8の脆弱性　直ちに更新を
WordPressのプラグイン「Ultimate Member」に特権昇格の脆弱性が見つかった。同脆弱性はサイバー攻撃に積極的に利用されているため注意が必要だ。（2023/7/4）

OpenAI製品の脆弱性発見を促す「バグバウンティ」の正体【後編】
「ChatGPTの欠陥」を発見すると何万円もらえるのか？　実は“厳しい条件”も
「ChatGPT」などの自社製品のセキュリティ強化を目指して、OpenAIは脆弱性報告者に報奨金を支払う制度「バグバウンティ」を開始した。脆弱性を報告した人は、どのくらいの報奨金がもらえるのか。制度の注意点とは。（2023/7/2）

探査機で太陽系を探査するだけでなかった：
NASAが「約800万個のPDF」を格納した世界最大規模のアーカイブを公開
NASAのジェット推進研究所は世界最大級のPDFアーカイブを作成したと発表した。プライバシーの保護や脆弱性への対処、ソフトウェアの互換性に関する問題などセキュリティの研究に活用できるという。（2023/7/1）

AI×セキュリティの関係を考える：
AIを狙ったサイバー攻撃の知られざる世界　専門知識なしでどう対処するか？
生成AIブームが訪れ、各企業がAI開発に乗り出しているが、AI開発プロセスには脆弱性が潜んでおり、これを悪用することでサイバー攻撃が可能になることは意外と知られていない。攻撃の詳細とそれを防御するための方法を解説する。（2023/6/30）

FortiNACにCVSSスコア9.6の脆弱性　迅速にアップデートを
Fortinetのネットワークアクセス制御ソリューション「FortiNAC」に深刻度「緊急」の脆弱性が見つかった。回避策などは提供されていないため、急ぎアップデートを適用してほしい。（2023/6/27）

Teamsにマルウェアを送り込む手法をJUMPSECが発見　Microsoftは未対処
JUMPSECはMicrosoft Teamsの新たな脆弱性を報告した。これを悪用すると外部テナントから組織内にマルウェアを送り込むことが可能で、多数の組織が影響を受ける可能性がある。（2023/6/26）

今日から始めるサイバーレジリエンス実践ステップ：
今こそ見直すべきランサムウェア対策　脆弱性管理からバックアップまでのポイントは
ランサムウェア攻撃が激化する今、サイバーレジリエンスの強化が企業には求められている。では具体的に何をすればいいのか。脆弱性管理からバックアップのポイントを解説する。（2023/7/14）

OpenAI製品の脆弱性発見を促す「バグバウンティ」の正体【前編】
「ChatGPTの欠陥」発見で報奨金ゲット　OpenAIが始めた制度とは？
「ChatGPT」をはじめとする同社製品の安全性確保のために、脆弱性の発見者に報奨金を支払う制度「バグバウンティ」を開始したOpenAI。どのような制度なのか。対象となる脆弱性と、ならない脆弱性の違いとは。（2023/6/24）

Cisco Secure Client Softwareなどに存在する特権昇格の脆弱性　PoCコードが公開
CiscoのWindows向けソフトウェア「Cisco AnyConnect Secure Mobility Client Software」と「Cisco Secure Client Software」に存在する特権昇格の脆弱性について、PoCコードが公開された。（2023/6/23）

マルウェアの66％は「悪意のあるPDF」で拡散：
半年で「ChatGPTの模倣ドメイン」が約9倍に増加　パロアルトネットワークス
パロアルトネットワークスは、「Unit 42 ネットワーク脅威トレンドレポート 2023」を公開した。依然として脆弱性を悪用した攻撃が主流となっており、2022年より55ポイントも増えていた。（2023/6/23）

特選プレミアムコンテンツガイド
脆弱性診断ツール「Nessus」「OpenVAS」「Burp Suite」「Snyk」「Intruder」を比較する
システムに潜む脆弱性を検出するために役立つのが「脆弱性診断」ツールだ。数ある脆弱性診断ツールの中から、“使えるツール”を5つ紹介する。（2023/6/23）

志布志市ふるさと納税サイトでクレカ情報漏えいか　脆弱性突かれ不正プログラムを設置される
鹿児島県志布志市の「志布志市ふるさと納税特設サイト」でクレジットカード情報910件が漏えいした可能性がある。クロスサイトスクリプティングの脆弱性を悪用され、クレジットカード決済実行時にカード情報を盗み出すよう改造されていた。（2023/6/22）

Windowsサービスの「致命的な脆弱性」【後編】
Windowsを勝手に操作される「RCE」につながる脆弱性とは？　危険性と対策
MicrosoftのWindowsサービスに複数の脆弱性が見つかった。中でも「リモートコード実行」（RCE）につながる脆弱性が危険だという。どのような脆弱性なのか。ユーザーが取るべき対処とは。（2023/6/22）

ASUS製ルーターに重大な脆弱性　ファームウェア更新を強く推奨
ASUSは複数のルーター製品に存在する重大な脆弱性を修正したファームウェアを公開した。ユーザーに対して迅速なアップデートを強く推奨している。（2023/6/21）

「Smooth File」のランサムウェア被害の原因判明　VPN機器の脆弱性を悪用か
プロットは同社のクラウドサービスがランサムウェア被害に遭った件について、現時点でランサムウェアの侵入経路はVPN機器の脆弱性を悪用した可能性が高いと判断した。（2023/6/19）

Googleの自動入力支払い処理に「緊急」の脆弱性　迅速なアップデートを
GoogleはGoogle Chromeの最新バージョンを公開した。深刻度「緊急」の脆弱性が1つ、「重要」の脆弱性が3つ修正されている。（2023/6/19）

「SafeDocs」プログラムの成果、PDF Associationと協業：
米国DARPAがツール提供、ファイルフォーマットの脆弱性を軽減する「ドキュメントセキュリティ」とは？
DARPAは、Safe Documentsプログラムの成果として、人々が安全であることを確信してドキュメントを開き、画面に表示されるまでのプロセスを信頼できるようにする新しい方法とツールを開発した。（2023/6/19）

「MOVEit」に権限昇格につながる脆弱性「直ちに緩和策を」　米連邦機関に既に影響
Progressのファイル転送サービス「MOVEit」に権限昇格につながる脆弱性が発見された。米連邦政府当局は複数の機関がサイバー攻撃を受けたと発表。Progressはユーザーに「直ちに緩和策を」と強く勧めた。（2023/6/16）

VMware ESXiのゼロデイ脆弱性を悪用してEDRの検知を回避　攻撃手法の詳細は？
UNC3886と呼称される中国のサイバースパイグループは、VMware ESXiのゼロデイ脆弱性を悪用した最新サイバー攻撃を実行している。このグループはアクティビティーの痕跡を消し去るなど用意周到に立ち回っているようだ。（2023/6/15）

Windowsサービスの「致命的な脆弱性」【中編】
Windowsのほとんど使われない機能「MSMQ」で“PCが危険になる”可能性
「Windows」搭載のメッセージングサービスに、複数の脆弱性が見つかった。なぜ危険なのか。Windows管理者は攻撃を防ぐために何を確認すればいいのか。（2023/6/15）

検証！　Microsoft ＆ Windowsセキュリティ（1）：
Windowsのセキュアブートをすり抜ける「UEFIブートキット」への一歩進んだ対策、施行フェーズに備えて現時点での副作用を知る
本連載では、主にMicrosoftの製品およびサービスに実装されたセキュリティ機能や、更新プログラムなどによって実施されたセキュリティ強化策について検証し、可能な場合は具体的な影響例を示します。第1回は、2023年5月のセキュリティ更新プログラムで初期展開フェーズが始まったセキュアブートに関わる脆弱性対策を解説します。（2023/6/14）

FortiGate／FortiOSの最新アップデートが公開　RCEの脆弱性を修正か
FortinetはFortiGateおよびFortiOSの最新バージョンを公開した。新バージョンには発表前の重要な脆弱性の修正が含まれる可能性があり、ユーザーは可能な限り迅速なアップデートが推奨される。（2023/6/13）

株式会社ビットフォレスト提供Webキャスト：
Webアプリ脆弱性診断を手軽に、予算とスケジュールに合わせて始める方法
Webアプリケーション脆弱性診断の必要性を理解しつつも、費用の高さを理由に諦めてしまう組織は多い。そんな組織に注目してほしいのが、予算とスケジュールに合わせて短期利用もできる国産の脆弱性診断ツールだ。（2023/6/13）

Innovative Tech：
“他人が仕込んだ”隠しカメラをこっそり盗み見るサイバー攻撃　カメラのシリアル番号だけで遠隔操作
英国のウォーリック大学に所属する研究者らは、誰かが仕込んだ隠しカメラを遠隔から盗聴できる攻撃を提案し、隠しカメラの脆弱性を指摘した研究報告を発表した。（2023/6/9）

Cisco AnyConnectに権限昇格の脆弱性　急ぎアップデートの適用を
Cisco AnyConnectに権限昇格の脆弱性が見つかった。同問題はWindows向けソフトウェアに影響を及ぼす。すでに修正済みのバージョンが公開されておりアップデートが推奨されている。（2023/6/9）

Chromeに悪用済みのゼロデイ脆弱性が見つかる　アップデートの適用を
Google Chromeに悪用確認済みのゼロデイ脆弱性が見つかった。Googleは修正版の配信を開始しており、ユーザーに迅速なアップデートの適用を推奨している。（2023/6/8）

Windowsサービスの「致命的な脆弱性」【前編】
Windowsの「MSMQ」に見つかった深刻な脆弱性とは　パッチ未適用だとどうなる？
セキュリティベンダーCheck Pointは、「Windows」搭載のメッセージングサービスにおける3つの脆弱性を開示した。そのうち1つは“致命的”だという。どのようなものなのか。（2023/6/8）

AndroidとPixel Watchに6月の月例更新（Pixelはまだ）
AndroidとPixel Watch向けの月例更新が公開された。毎月第1月曜日に公開しているが、Pixelは遅れているようだ。Android向けでは「致命的」5件を含む多数の脆弱性が修正される。（2023/6/6）

Splunk製品の脆弱性に注意　CVSSスコアは8.8
Splunkは「Splunk Enterprise」と「Splunk Cloud Platform」に特権昇格の脆弱性が存在すると伝えた。（2023/6/6）

GitLabに「CVSS10.0」の脆弱性　直ちにアップデートを
GitLabのミュニティーエディションとエンタープライズエディションに「緊急」（Critical）の脆弱性が見つかった。CVSSv3.1のスコア値が「10.0」と最高値が付いているため迅速にアップデートを適用してほしい。（2023/5/27）

Cybersecurity Dive：
「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の“戦術”とは？　全20項目を紹介
今、米国のサイバーセキュリティ当局を中心に、製品の開発段階でセキュリティを確保しようとする取り組み「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」が進んでいる。製品から脆弱性を取り除くための“戦術”の内容を見てみよう。（2023/5/27）

Apple製品の積極的な悪用に警告　CISAがアップデートを推奨
CISAはApple製品に存在する3つの脆弱性がアクティブに悪用されているとして警告を発した。（2023/5/24）

2023年4月の「世界脅威インデックス」を発表：
全世界の組織の48％が影響を受けた「ディレクトリトラバーサル脆弱性」とは　チェック・ポイント
チェック・ポイント・ソフトウェア・テクノロジーズは、2023年4月のGlobal Threat Index（世界脅威インデックス）を発表した。それによると2023年4月に国内で発生した脅威ランキングのトップは「Emotet」だった。（2023/5/24）

「ツールを活用しなければSBOMの管理は不可能」：
PR：「ソフトウェアサプライチェーン対応はデジタルビジネスの要件に」――SOMPOホールディングスが取り組む理由
国内損保事業、海外保険事業、国内生保事業、介護、シニア事業を展開するSOMPOホールディングスでは、サイバーセキュリティの取り組みとして「デジタルサプライチェーン管理」と「ソフトウェアサプライチェーン管理」を開始しているという。それぞれの取り組みと、脆弱性管理クラウド「yamory（ヤモリー）」の活用について、SOMPOホールディングスのセキュリティキーマンに話を聞いた。（2023/5/24）

“最終防壁”を実現するNGAVとEDR
人的ミスを狙うランサムウェアを的確に防ぐために「多層防御」が有効な理由
ランサムウェア攻撃は、企業にとってビジネスを脅かしかねない重大なセキュリティリスクだ。進化する攻撃手法に備えるためには、人的ミスで生じた脆弱性をつぶし、多層防御を築く必要がある。そうした防御を固めるためにすべきこととは。（2023/5/25）

富士通、セキュリティとシステム品質改善に向けた体制強化・改編を発表　新役職CQOを設置
富士通はここ数年で発生したセキュリティインシデントへの対処として、組織改革を含めた新たな取り組みを発表した。CQOの設置やリスク・コンプライアンス委員会の強化、脆弱性スキャンの導入などを実施する。（2023/5/23）

iPhone、iPad、Mac向けのセキュリティアップデートが公開　3つの脆弱性で悪用確認
AppleはiPhone 8以降のモデルやiPad、macOS「Ventura」などに対するセキュリティアップデートを公開した。修正対象の脆弱性の中には既に悪用が確認されているものが含まれており注意が必要だ。（2023/5/22）

Ciscoのスモールビジネス向けスイッチシリーズにCVSS9.8の脆弱性　急ぎ対処を
Ciscoはスモールビジネス向けの複数のスイッチ製品に「緊急」の脆弱性が存在すると発表した。これが悪用されるとサービス運用妨害やルート権限でコードを実行される可能性がある。（2023/5/19）

株式会社ビットフォレスト提供Webキャスト：
4分で分かる、Webアプリケーションの脆弱性診断を簡単に始める方法とは？
Webアプリケーションの脆弱性対策の重要性は理解していても、人員や予算が不足していることが原因で、実施を諦めてしまうか、先延ばしにしてしまうケースは多い。この問題を解消する、クラウド型のWeb脆弱性診断ツールとは？（2023/5/18）

APIの取り扱いミスが引き起こす問題【後編】
OAuthによる「SNSアカウントでログイン」実装を危険にしないための注意点
ソーシャルメディアのアカウントを使ったログイン機能は、正しく実装しなければユーザーのデータ流出を招きかねない。宿泊施設予約サイト「Booking.com」で見つかった脆弱性を例に、その危険性と対策を解説する。（2023/5/18）

GitLabがGoogle Cloudと提携　AI機能の提供加速　コードの自動生成、コードにある脆弱性の説明など
米GitLabがGoogle CloudとAI分野で提携。Google Cloudが提供するAI機能の「Vertex AI」などにより、GitLabのツール群にAIによる開発者の支援機能を組み込んでいく方針を明かした。（2023/5/15）

Akamai、Outlookの脆弱性を指摘　全てのWindowsが影響を受けるため注意
Akamai TechnologiesはMicrosoftが2023年3月に実施した脆弱性修正が不十分であるとともに、新たな脆弱性も発見したと報じた。（2023/5/15）

複数のゼロデイ脆弱性が対象　Microsoftが2023年5月の累積更新プログラムを配信
Microsoftは2023年5月の累積更新プログラムを配信した。アップデート対象にはゼロデイ脆弱性や深刻度「緊急」（Critical）の脆弱性が複数含まれているため、迅速にアップデートを適用してほしい。（2023/5/11）

データ流出を招く「iOS」「macOS」脆弱性の正体【後編】
セキュリティ専門家が思わず感謝　Appleの脆弱性に対する“あの行動”とは？
Apple製品の脆弱性を発見し、報告したセキュリティベンダーTrellixは、その後のAppleの行動を高く評価した。脆弱性への対処に「及び腰だ」との声もあるAppleは今回、どのように脆弱性に向き合ったのか。（2023/5/11）

APIの取り扱いミスが引き起こす問題【中編】
ソーシャルメディア連携ログインに脆弱性　Booking.comはどう乗り越えた？
宿泊施設予約サイト「Booking.com」で、ソーシャルメディアのアカウントによるログイン機能に深刻な脆弱性が見つかった。実際に被害が判明する前に対処を完了させた、サイト運営元と発見者の行動とは。（2023/5/11）

200万に影響　WordPressで人気のカスタムフィールドプラグインに重要な脆弱性
WordPressのプラグインで人気の高いカスタムフィールドプラグインに重大なセキュリティ脆弱性が見つかった。これは200万以上のインストールがあるため大きな影響が予想される。該当する場合は迅速に更新することが望まれる。（2023/5/10）

GitHubのCEOが語る未来【第8回】
企業が分かっていない「OSSのセキュリティ問題」とは　GitHubが指摘
GitHub社のCEOは、解消すべき最大の課題としてセキュリティ強化を挙げる。背景には、世間を騒がせたオープンソースソフトウェアの脆弱性にまつわる問題があるという。それは何か。（2023/5/9）

“そうはならんやろコード”はなぜ生まれるのか　セキュリティ専門家・徳丸氏に聞く「脆弱性だらけのWebアプリ」の背景
情報セキュリティ事案のニュースには読者から「そうはならないだろう」「それはダメだろう」という“ツッコミ”が入ることが多い。しかし、情報セキュリティの専門家・徳丸浩さんは「『これが現実なんですよ』と伝えることが大事」と語る。（2023/5/8）

APIの取り扱いミスが引き起こす問題【前編】
Booking.comの「Facebookでログイン」に実装ミス　起こり得た最悪の事態とは
宿泊施設予約サイト「Booking.com」に脆弱性が見つかった。「Facebook」などのソーシャルメディアのアカウント経由でログインするためのプロトコル「OAuth」の実装に問題があったという。その危険性とは。（2023/5/5）

半導体製造への再投資を進めるも：
ぜい弱なPCB業界の再建に向け苦悩する米国
半導体製造への再投資を加速する米国。だが、専門家たちは米国のエレクトロニクスサプライチェーンのぜい弱性を指摘する。その一つがPCB（プリント配線板）だ。（2023/5/2）

4万1989のオープンソースコンポーネントを分析：
「OSSの脆弱性にはパッチ適用を」が通用しない理由
Lineaje Data Labsは、Apache Software Foundationのプロジェクトに組み込まれている41,989のオープンソースコンポーネントを分析した調査レポートを発表した。（2023/5/2）

SLPを実装したネットワークデバイスにDoSのリスク　JPCERT/CCが注意喚起
JPCERT/CCは、SLPを実装したネットワーク機器がDoS攻撃に悪用される可能性があると警告した。脆弱性情報は幾つかのベンダーから提供されている。使用しているベンダーのセキュリティ情報を確認し適切に対処することが望まれる。（2023/4/29）

宮田健の「セキュリティの道も一歩から」（84）：
「要セキュリティのIoT機器」に求められるもの
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は警視庁が注意喚起した家庭用ルーター脆弱性への対策方法を例に、IoT機器のセキュリティ対策について考察します。（2023/4/28）

データ流出を招く「iOS」「macOS」脆弱性の正体【前編】
「iPhoneの場所も通話履歴も丸見えにする脆弱性」とは何だったのか
2023年2月に明らかになった「iOS」「macOS」の脆弱性は、「iPhone」「Mac」内のデータが流出する恐れがあったという。どのような脆弱性だったのか。その仕組みと危険性を整理する。（2023/4/27）

VMwareが緊急および重要な脆弱性を発表　該当する場合は直ちに対応を
VMwareが脆弱性を公表した。該当する製品を使っている場合は迅速なアップデートが望まれる。（2023/4/22）

Oracleに関する広範囲のセキュリティ情報が公開　多数の脆弱性も
Oracleから2023年4月版の「Oracle Critical Patch Update Advisory」が発行された。CVSSスコア値が9以上の緊急度の高い脆弱性が数多く報告されている。（2023/4/21）

歴史で分かる「ランサムウェアの進化」と対策【第4回】
ランサムウェア攻撃者が悪用する「脆弱性」とは？　その対処法とは
ランサムウェア攻撃を仕掛ける攻撃者がしばしば悪用するのが、既存システムに潜む「脆弱性」だ。どのような脆弱性を狙っているのか。組織はどうすれば対抗できるのか。（2023/4/21）

Google Chromeに重要な脆弱性　迅速なアップデートを
Googleは「V8 JavaScript」エンジンにおける重大な脆弱性を修正したGoogle Chromeのアップデートを公開した。該当するソフトウェアを使用している場合は直ちにアップデートを適用しよう。（2023/4/19）

半径300メートルのIT：
脆弱性対応は“ヒント”を見逃すな！　サポート終了後のセキュリティパッチ提供が意味することとは
アプリケーションやOSの脆弱性に「どこまで対応すればよいのだろうか」と悩む担当者は多いでしょう。今回はセキュリティパッチの提供タイミングからヒントを見つける方法を考えます。（2023/4/18）

“問い合わせフォーム作成キット”に脆弱性　入力内容を第三者が取得できる状態に
ジューベーが配布している「JBお問合せフォーム」のプログラムに情報漏えいの脆弱性が見つかった。送信内容を第三者が閲覧できる状態だったという。（2023/4/17）

Chromeにゼロデイ脆弱性　悪用も確認済み　更新の確認を
米Googleが「Google Chrome」（デスクトップ版）にゼロデイ脆弱性が見つかったとしてアップデートを実施した。既に悪用が確認された脆弱性も含んでいる。（2023/4/17）

2023年4月のMicrosoft累積更新プログラム　複数の深刻な脆弱性を修正
Microsoftから2023年4月の累積更新プログラムが配信され、多くの製品がセキュリティアップデートの対象になっている。深刻な脆弱性も修正されていることから、該当製品を使用している場合は迅速なアップデートを心掛けよう。（2023/4/18）

Adobe AcrobatとReaderに脆弱性　任意のコードが実行される恐れ　最新版に更新を
米AdobeのPDF編集・閲覧ソフト「Adobe Acrobat」「Adobe Acrobat Reader」に脆弱性が見つかった。メニューバーの「ヘルプ」から「アップデートの有無をチェック」で更新することで対応できる。（2023/4/13）

「3ない状態」「ベンダー丸投げ」が不幸な事故に：
12病院が同じ脆弱性でサイバー攻撃被害、厚労省の注意喚起が届かないこれだけの理由
社会のライフラインとなる医療機関のセキュリティ対策が遅れているのはなぜなのか。クラウド活用などさらなるIT化が進む今、どう対策に乗り出せばよいのか。2023年3月に開催された「Security Days Spring 2023」で医療ISACの深津 博氏が講演した。（2023/4/13）

産業ネットワーク装置に脆弱性　制御OS乗っ取りの可能性も
Korenix Technologyが提供する産業用ネットワーク装置である「Jetwave」に複数の脆弱（ぜいじゃく）性が存在することが分かった。（2023/4/12）

産業用制御装置向けデータ管理ソフトに任意のコード実行が可能な脆弱性　迅速な対応を
制御装置とつながるデータ管理ソフトウェアに脆弱性が見つかった。リモートで任意のコード実行ができるなどの問題がある。（2023/4/12）

Pixelにも4月の月例更新　「致命的」9件を含む脆弱性修正と機能改善
GoogleがAndroid向けから1週間遅れてPixelの4月の月例更新を開始した。19件の脆弱性に対処する。Bluetooth接続の問題などの修正も行われる。（2023/4/11）

AppleがiOSとiPadOSの重要なゼロデイ脆弱性を修正　直ちに更新を
Appleは「iOS」と「iPadOS」の脆弱性を確認し、アップデートを提供している。この脆弱性は既に悪用されており、該当デバイスを利用しているユーザーは直ちにアップデートを適用してほしい。（2023/4/11）

Apple、「iOS 16.4.1」配信　「悪用された可能性がある」脆弱性にも対処
AppleはiPhone向けに「iOS 16.4.1」の配信を開始した。2件のバグ修正と2件の脆弱性修正が行われる。脆弱性は「悪用された可能性がある」ものだ。（2023/4/8）

HPのプリンタに情報漏えいの脆弱性　対象製品を使っている場合はすぐに対応を
HPの特定のプリンタに情報漏えいの可能性がある深刻な脆弱性が存在すると明らかになった。（2023/4/7）

「一太郎」「ホームページ・ビルダー」などジャストシステム製品に脆弱性　悪用で強制終了の恐れ
JPCERT/CCと情報処理推進機構は、文書作成ソフト「一太郎シリーズ」を含むジャストシステム製品に複数の脆弱性が見つかったと報告した。悪用されるとDoS攻撃やバッファオーバーフローを起こされる恐れがある。（2023/4/5）

Innovative Tech：
「AIに毒を盛る」──学習用データを改ざんし、AIモデルをサイバー攻撃　Googleなどが脆弱性を発表
Google、ETH Zurich、NVIDIA、Robust Intelligenceに所属する研究者らは、学習用データセットの一部を改ざんし、それらを学習した機械学習モデルを攻撃する手法を提案した研究報告を発表した。（2023/4/5）

山市良のうぃんどうず日記（254）：
アップグレードの繰り返しで無駄に増えたWindowsの回復パーティションを“スッキリ”と削除する方法
Windowsのインプレースアップグレードを繰り返してきたPCでは、いつの間にか何も使用されていない無駄なパーティションが増えていることがあります。その理由は、回復パーティションの既定の配置変更やWinREイメージのサイズ増加が関係しています。2022年末に明らかになったローカルのWinREの脆弱性対策を機に、乱れてしまったパーティション構成を整理しました。（2023/4/5）

Androidに4月の月例更新　「致命的」6件を含む多数の脆弱性を修正（Pixel月例はまだ）
GoogleはAndroid向けの4月の月例セキュリティ情報を公開した。6件の「致命的」な脆弱性を含む69件の脆弱性に対処する。そのうち1件は「追加の実行権限を必要とせずにリモートコードを実行する可能性がある」というものだ。（2023/4/4）

「対策済み」と言い切れる企業はわずか6％　情報セキュリティ部門が看過できないOTセキュリティの大問題
サプライチェーン攻撃や制御システムの脆弱性を狙ったサイバー攻撃は操業停止を含む大きな経営リスクに発展する可能性がある厄介な問題だが、完璧な対策が出来ていると言い切れる企業は、まだほとんど存在しないという恐ろしい調査結果が出た。（2023/4/4）

週末の「気になるニュース」一気読み！：
GPD WINシリーズの新モデルはクラムシェル型に？／Windows標準のスクショ撮影機能の脆弱性を修正
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、3月26日週を中心に公開された主なニュースを一気にチェックしましょう！（2023/4/2）

sudoに特権昇格の脆弱性　複数のQNAP OSに影響
QNAPのOSに脆弱性が見つかった。sudoでの特権昇格を可能にする脆弱性で、「QTS」「QuTS hero」「QuTScloud」「QVP」（QVR Proアプライアンス）が影響を受けるとされる。（2023/4/1）

Microsoft、BingとOffice 365を攻撃できる可能性のあるAzure ADの脆弱性を修正
Microsoftは、BingやOffice 365を攻撃できる可能性のあるAzure ADの脆弱性を修正した。この問題を発見し、報告したWizのアナリストは、悪用すればXSS攻撃も可能だったと解説した。（2023/3/31）

「Security Week 2023 春」開催レポート：
脆弱性対応の“解像度”を高めよ　アップデートだけでは全然足りない理由
「脆弱性対応＝セキュリティアップデートを適用するだけ」という理解は少し解像度が低過ぎるかもしれない。岡田 良太郎氏がそもそも脆弱性対応とは何をどうすることなのか、近年注目のキーワード「SBOM」の意義とは何かなどを語った。（2023/3/31）

「Security Week 2023 春」開催レポート：
脆弱性対応と社長命令の板挟み――情シスに明日はくるのか？
サイバー攻撃が激しさを増す中、自社に影響を与える可能性がある脆弱性に対して適切に対処するにはどうすればいいのだろうか。クイズ形式でこれを学んでみよう。（2023/3/30）

ESXiを狙ったランサムウェア攻撃の“不思議”な実態【第1回】
とっくにパッチが出ていた「ESXi」の深刻な脆弱性が“悪夢の攻撃”を招いた謎
VMwareの「ESXi」を標的にしたランサムウェア攻撃が猛威を振るっている。攻撃者が悪用しているとみられるのが、過去にVMwareがパッチを公開済みの脆弱性だという。どういうことなのか。対策は。（2023/3/29）

全員に管理者権限、パスワードは全部共通、脆弱性は放置……　ランサム攻撃受けた大阪急性期・総合医療センターのずさんな体制
2022年10月末にサイバー攻撃を受けたことで話題になった大阪急性期・総合医療センターが、同件の調査報告書を公開。同センターのずさんな管理体制が明らかになった。（2023/3/28）

Windowsのスクリーンショットの脆弱性　Microsoftが緊急アップデートを提供
Microsoftは、Windows 11のSnipping Tool、Windows 10のSnip＆Sketchに存在する脆弱性、通称「acropalypse」に対して緊急のセキュリティアップデートを提供した。該当ツールを利用している際には忘れずに適用してほしい。（2023/3/28）

ランサムウェア攻撃は「国家安全保障上の脅威」：
米国のサイバーセキュリティ戦略、「脆弱性のあるソフトウェアを提供する企業にも法的責任を追わせるべき」と明記
米バイデン政権は「国家サイバーセキュリティ戦略」を発表した。ランサムウェア攻撃を国家安全保障上の脅威と位置付けた。さらに、ソフトウェアやサービスにおける脆弱性について、提供する企業に責任を負わせる法律の策定に取り組むとした。（2023/3/27）

Tech TIPS：
BitLockerの暗号化をバイパスできるWinRE（回復環境）の脆弱性解消法、隠しフォルダ対応も忘れずに
Windows OSが起動しなくなった際などに利用する「Windows回復環境」（WinRE）に、BitLockerによる暗号化機能をバイパスする脆弱（ぜいじゃく）性が見つかった。Windows 10／11に対し、更新プログラムを適用することで、システム上のWinREの脆弱性は解消できる。しかし、Windows 10／11が起動しなくなった際に使われる、隠しパーティションに格納されているWinREに対して脆弱性を解消するには、手動による更新プログラムの適用が必要になる。その方法を紹介しよう。（2023/3/27）

Microsoftの純正スクショツールにも情報漏えいの脆弱性　パッチ公開
MicrosoftはWindowsの純正スクリーンショットツール「切り取り領域とスケッチ」の脆弱性修正パッチを公開した。この脆弱性により、PNG形式の画像でトリミングや塗りつぶしを行った部分が復元可能となっていた。（2023/3/26）

Windows 11に潜むSnipping Toolの脆弱性　Microsoftが修正するもWindows 10版には残留
Microsoftは、Windows 11版のSnipping Toolにおける編集前の画像データの一部が削除されずにそのまま残っているという脆弱性、通称「acropalypse」を修正した。しかしWindows 10版については修正は実施されていない。（2023/3/25）

Windows 11のSnipping Toolに脆弱性　編集前の画像データが残留
Bleeping ComputerはWindows 11のSnipping Toolに編集前の画像データが削除されずに残る脆弱性が存在すると伝えた。Google Pixelのスクリーンショット機能に見つかった「acropalypse」と同様の脆弱性とされている。（2023/3/23）