ビジネスオンライン  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

「C」「C++」よりも「Rust」などの言語を推奨:
「ソフトウェアはメモリ安全でなければならない」との声明を発表、米ホワイトハウス
米ホワイトハウスは、サイバー空間における攻撃対象領域を積極的に削減するよう技術コミュニティーに呼びかける報告書を発表した。ONCDは、IT企業がメモリ安全なプログラミング言語を採用することで、あらゆる種類の脆弱性がデジタルエコシステムに侵入するのを防ぐことができるとして、協力を呼びかけた。(2024/3/18)

QNAP製NASなどに複数の脆弱性が発見 最新アップデートの適用を推奨
QNAPは、同社製NASに採用するOS「QTS」などにおける複数の脆弱性についての告知を行った。(2024/3/12)

セキュリティニュースアラート:
Fortinetの脆弱性を放置している約15万台のサーバが見つかる
The Shadowserver Foundationはリモートコード実行可能な脆弱性を抱えたまま運用されているサーバの調査結果を発表した。放置されたままになっている脆弱性が明らかになった。(2024/3/12)

抽選でAmazonギフトカードが当たる
「PCのパッチ更新運用および利用ソフトウェアの脆弱性対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2024/3/11)

Cybersecurity Dive:
脆弱性報告を無視したIvanti パッチ適用時に新たな脆弱性を生んでしまう
Ivantiのリモートアクセスツールに新たな脆弱性が見つかった。この脆弱性はセキュリティ企業から報告を受けたことで発覚したが、Ivanti当初、この発見を信用しなかった。(2024/3/9)

検証! Microsoft&Windowsセキュリティ(11):
「セキュアブートのセキュリティ機能のバイパスの脆弱性」対策、2024年10月の強制施行フェーズに備える
Microsoftは2023年5月以降、セキュアブートのセキュリティ機能がバイパスされる脆弱性(CVE-2023-24932)への対策を段階的に進めています。2024年10月には、その対策は“強制施行フェーズ”となり、セキュアブートが有効な、サポート中のWindowsの全バージョンに対して脆弱性緩和策が強制されます。その影響と現時点でできる備えをまとめました。(2024/3/8)

Innovative Tech:
生成AIに“アスキーアート”入りプロンプト入力→有害コンテンツ出力 米研究者らが新手の脱獄法発見
米ワシントン大学などに所属する研究者らは、大規模言語モデル(LLM)がアスキーアートを正しく認識できないという脆弱性を利用して、LLMに有害なコンテンツを出力させる新しいジェイルブレーク(脱獄)攻撃を提案した研究報告を発表した。(2024/3/7)

“典型的やられサイト”で学ぶセキュリティのワナ:
キャッシュからダメな情報が見えちゃうよ! 見逃しがちなWebアプリの落とし穴
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2024/3/6)

「iOS 17.4」配信開始 Podcastの文字起こしや新絵文字など新機能も追加
Appleは「iOS 17.4」の配信を開始した。欧州ではデジタル市場法(DMA)対策が追加される。日本語は未対応だが、Podcastの書き起こし機能や新しい絵文字などの新機能が追加され、重要な脆弱性修正も行われる。(2024/3/6)

AndroidとPixelに3月の月例更新 Pixel 7/7 Proでも「かこって検索」が可能に
GoogleはAndroidおよびPixelの月例更新の配信を開始した。多数の「致命的」を含む脆弱性が修正される。Pixelではいくつかの新機能の追加や、バグ修正と改善も行われる。(2024/3/5)

Python、JavaScript、Go、GitHub Actionに対応:
GitHub、脆弱性のあるリポジトリの修正でセキュアコーディングを学ぶ「Secure Code Game」シーズン2を開始
GitHubはセキュアコーディングをゲーム感覚で学ぶことができる「Secure Code Game」シーズン2の提供を開始した。(2024/3/4)

セキュリティニュースアラート:
OutlookにCVSS 9.8、「緊急」の脆弱性 急ぎアップデートの適用を
MicrosoftはOutlookにCVSSスコア9.8の脆弱性が存在すると伝えた。この脆弱性を悪用する動きが確認されたため、早急なアップデートの適用が望まれる。(2024/2/28)

ITmedia Security Week 2023 冬:
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配
2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構(IPA)サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。(2024/3/7)

セキュリティニュースアラート:
過信は禁物 生成AIが書いたソースコードの約3割に脆弱性が見つかる
調査からアプリケーションのソースコードの約7割に脆弱性が含まれていることが明らかになった。また、生成AIが書いたソースコードにも脆弱性が含まれているケースがあるようだ。(2024/2/26)

Cybersecurity Dive:
Ivantiから2つのゼロデイ脆弱性に対するパッチがリリース 攻撃者の悪用進む
Ivanti Connect SecureとIvanti Policy Secureに深刻度の高い脆弱性が2件存在することが分かった。サイバー攻撃者はこれらのゼロデイ脆弱性をつなぎ合わせて、悪質なWebシェルで数千台のデバイスを侵害した。(2024/2/24)

「生成AIを使ったシステムには特有の脆弱性がある」:
「プロンプトインジェクション」「ジェイルブレイク」など5項目を診断 生成AI診断サービスをラックが提供開始
ラックは、生成AIシステムのセキュリティを強化するサービス「生成AI活用システム リスク診断」の提供を開始した。生成AIを使ったシステムに特有の脆弱性が含まれていないかどうかを評価し、改善点をレポートする。(2024/2/22)

セキュリティニュースアラート:
脆弱性に優先度を付けるツール「CVE_Prioritizer」 CVEやCVSSなど複数の評価指標を分析
脆弱性対応が求められる昨今、どの脆弱性に優先的に対処するかは悩ましい問題だ。これを解消する新たなツールが公開されている。(2024/2/21)

セキュリティニュースアラート:
23億人のユーザーが影響を受ける可能性 Wi-Fiソフトウェアに2つの脆弱性
Top10VPNはOSSのWi-Fiソフトウェアに新たな2つの脆弱性があると報じた。この脆弱性はエンタープライズと自宅のWi-Fiネットワークに影響を与えるとされている。(2024/2/20)

セキュリティニュースアラート:
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。(2024/2/19)

週末の「気になるニュース」一気読み!:
NVIDIAがPC上のデータを使うAIチャットbotツール「Chat with RTX」公開/AMD製CPUに複数の脆弱性
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、2月11日週を中心に公開された主なニュースを一気にチェックしましょう!(2024/2/18)

Cybersecurity Dive:
MOVEitのゼロデイ脆弱性の余波は続く 開発ベンダーが直面する苦難
Progress SoftwareはMOVEitの脆弱性について政府による複数の調査が進行中であることを明らかにした。また同社は、100件以上の集団訴訟の当事者でもある。(2024/2/18)

Cybersecurity Dive:
またファイル転送サービスに脆弱性 GoAnywhereの約800のインスタンスがパッチ未適用
ファイル転送管理ソリューション「GoAnywhere MFT」に脆弱性が見つかり、約800のインスタンスにパッチが未適用であることが判明した。(2024/2/17)

セキュリティニュースアラート:
SmartScreenにゼロデイ脆弱性 これを悪用した巧妙なサイバー攻撃も確認
Trend MicroはAPTグループ「Water Hydra」がMicrosoft Defender SmartScreenのゼロデイ脆弱性を悪用してサイバー攻撃を実行していると伝えた。脆弱性の詳細と攻撃者が使う巧妙な手口とは。(2024/2/16)

セキュリティニュースアラート:
FortiOSに新たなセキュリティリスク CVSS v3スコア9.6で深刻度「Critical」
FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。(2024/2/14)

キーサイトがデモを披露:
V字モデルの「評価フェーズ」で車両サイバーセキュリティテストが可能に
キーサイト・テクノロジーは2024年1月に開催された「第16回 オートモーティブ ワールド」で、車両サイバーセキュリティの脆弱性を早期に特定するテストソリューション「Automotive Cybersecurity Test Platform」のデモを行った。車両サイバーセキュリティの国際基準である「UN-R155」のレポートを作成できるテスト管理ソフトウェアと連携することで、自動車のサイバーセキュリティテストを包括的にサポートする。(2024/2/13)

“典型的やられサイト”で学ぶセキュリティのワナ:
対策できてる? Webアプリの「アップロード機能」に潜む、見落としがちなワナの数々
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2024/2/13)

セキュリティニュースアラート:
Cisco ExpresswayにCVSS9.6の脆弱性 回避策はないため急ぎアップデートを
CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」(Critital)と評価されている。(2024/2/13)

これで分かる「DevSecOps」の課題と解決【第4回】
知らないと損する「RASP」とは? 「Webアプリの脆弱性対策=WAF」はもう古い
Webアプリケーションの脆弱性対策として、広く利用されている「WAF」。実はWAFは、幾つかの問題を抱えている。それらの課題を解消した新たな手段である「RASP」の特徴とは。(2024/2/19)

Cybersecurity Dive:
なぜMOVEitからファンは離れなかったのか? 見切りを付けられるベンダーの特徴
2023年、Progressが提供するファイル転送サービス「MOVEit」にゼロデイ脆弱性が見つかり、これに関連した多くのサイバー攻撃が発生した。しかし同社の顧客維持率は安定したままだ。一体なぜだろうか。(2024/2/11)

Cybersecurity Dive:
Citrixの新たな頭痛の種 2つのゼロデイ脆弱性が見つかる
Citrixは2つのゼロデイ脆弱性を公開した。これらはCitrixBleedとは無関係であるとされているが、同社はシステムを保護するために直ちに修正プログラムを適用するよう呼び掛けている。(2024/2/10)

セキュリティソリューション:
脆弱性管理ツールSnykのライセンス販売から導入、運用支援までをワンストップで提供
日立システムズエンジニアリングサービスはSnykとリセラー契約を締結し、Snykの脆弱性管理ツールの販売と導入・運用支援を国内で開始すると発表した。(2024/2/8)

ソースコードがなくても脆弱性を検出可能:
「バイナリコードの静的解析」によって検査効率を40%向上させる技術をNECが開発
NECはソフトウェアに潜む脆弱性を、実行ファイルのバイナリコードから検出する技術を開発した。外部から入力されたデータがソフトウェア内のどの処理で使われているかを追跡し、脆弱性や不正機能などを検出する。(2024/2/8)

セキュリティニュースアラート:
Dockerとruncに4つの脆弱性が見つかる 悪用でホストOSにアクセスされるリスク
SynkはDockerとruncに「Leaky Vessels」という脆弱性が存在すると発表した。Leaky Vesselsは4つの脆弱性で構成されており、悪用されるとサイバー攻撃者がコンテナを越えてホストOSにアクセスするリスクがある。(2024/2/7)

「runc」「BuildKit」「Moby」に関連する脆弱性:
「Docker Desktop」に6件の脆弱性、Dockerがv4.27.1への「すぐに更新」を強く推奨
Dockerは、v4.27.0までの「Docker Desktop」に影響する6件の脆弱性を公表し、これらを修正したDocker Desktop v4.27.1を公開した。(2024/2/7)

AndroidとPixelに2月の月例更新 「Pixel Fold」のディスプレイ問題も修正
Googleは、AndroidおよびPixelの月例アップデートを公開した。Androidでは危険度「致命的」1件を含む46件の脆弱性を修正する。Pixelでは複数のバグ修正と改善も行われる。(2024/2/6)

IoTセキュリティ:
静的テストだけではなくならない脆弱性、多層的テスト手法が大きな効果
日本シノプシスが、同社が行ったソフトウェア脆弱性に関する調査レポートについて説明。ソフトウェアやアプリケーションから脆弱性が検出される割合が2020年の97%から2022年には83%となり、減少傾向にあることが分かった。(2024/2/5)

脆弱性が解消しない「Microsoft Outlook」【後編】
Microsoftがパッチを出しても「Outlook」の脆弱性が解消しない“根本的な問題”
Microsoft Outlookの脆弱性が相次いで発見されている。同製品の脆弱性を調査するAkamaiによると、同製品の脆弱性が解消しない背景には、“ある機能”が関係しているという。その機能とは何か。(2024/1/31)

セキュリティニュースアラート:
Jenkinsに「緊急」の脆弱性が見つかる 急ぎアップデートを
SonarSourceはJenkinsに重大な脆弱性を発見した。これらは「CVE-2024-23897」「CVE-2024-23898」として特定されており、既に悪用が確認されているという。(2024/1/30)

Cybersecurity Dive:
CISA、セキュア・バイ・デザイン実現に向けて意見を募集 期限迫る
CISAは情報提供依頼書を発行し、コストや高等教育にセキュリティに関する事項を組み込む方法、繰り返し発生する脆弱性を減らす方法について、業界からの意見を求めている。(2024/1/28)

Tech TIPS:
万一に備えて知っておきたいMicrosoft Update手動更新の手引き【Windows 10/11】
ごくたまにWindows Updateでエラーが発生してしまい更新プログラムが適用できないことがある。それが累積更新プログラムの場合、新しい脆弱(ぜいじゃく)性だけでなく、過去の脆弱性の修正も含まれている。そのため、新規インストールしたWindows 10/11などでは、多くの脆弱性がある状態での運用に迫られる可能性がある。このような場合、1カ月前の更新プログラムを手動で適用すればよい。その手順を紹介しよう。(2024/1/26)

「Microsoft Outlook」の脆弱性を狙う攻撃【後編】
攻撃者は「Microsoft製品」を攻略か? 狙われ続けるOutlookユーザー
「Microsoft Outlook」の脆弱性を悪用した攻撃が明らかになった。セキュリティ組織は、攻撃者が直接不正アクセスをする手段を失っても危険性が残ることに注意する必要がある。それはなぜか。(2024/1/26)

脆弱性が解消しない「Microsoft Outlook」【前編】
Outlookで発見された「ゼロクリック攻撃」につながる脆弱性とは
「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。(2024/1/24)

「iOS 17.3」配信開始 「盗難デバイスの保護」など新機能も追加
Appleは「iOS 17.3」を含む一連のOS更新の配信を開始した。iOSでは「盗難デバイスの保護」やプレイリストの新機能などが追加された。「悪用された可能性のある」ものを含む16件の脆弱性も修正された。(2024/1/23)

Cybersecurity Dive:
SolarWinds事件に関与した脅威グループは、新たな攻撃キャンペーンの種を蒔く
米国当局は、2020年のSunburst攻撃に関与した攻撃者が、将来のサプライチェーン侵害に備えてJetBrainsのTeamCityの脆弱性を悪用していることへの警戒を強めている。(2024/1/21)

Cybersecurity Dive:
CitrixBleedは消えない サイバー攻撃者に利用される悪質な脆弱性についてまとめた
NetScaler ADCとNetScaler Gatewayの脆弱性「CitrixBleed」が全世界で悪用されている。侵害発覚までの経緯と悪用の現状、各政府機関の対応を改めてまとめた。(2024/1/20)

米国特許商標庁から学ぶデジタル変革【後編】
数カ月を要した脆弱性対策をたった1日で――「遅い」を払拭した政府機関の改革
政府機関は腰が重い――。そのイメージを、米国特許商標庁(USPTO)はデジタル変革を通じて払拭した。具体的に何を変えたのか。組織面から成功のポイントを考える。(2024/1/19)

SBOM基礎知識:
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。(2024/1/19)

セキュリティニュースアラート:
IvantiのVPNに脆弱性、1700台以上で侵害の証拠を確認 日本も標的に
Volexityは「Ivanti Connect Secure VPN」の脆弱性を悪用した攻撃が広がっていると伝えた。日本を含む全世界で被害が確認されている。(2024/1/18)

「Apache Log4j脆弱性」と肩を並べる:
全世界の組織の46%に影響を及ぼす“やばい脆弱性”とは――チェック・ポイント調査
チェック・ポイント・ソフトウェア・テクノロジーズは、2023年12月の世界脅威インデックスを発表した。悪用された脆弱性のトップは「Apache Log4jのリモートコード実行」だった。(2024/1/18)

「Microsoft Outlook」の脆弱性を狙う攻撃【前編】
「Microsoft Outlook」がパッチ公開後も狙われ続ける事態に
「Microsoft Outlook」に存在する脆弱性を悪用する攻撃者集団の攻撃活動が明らかになった。Microsoftがパッチを公開済みであるにもかかわらず、危険な状況が続いているのはなぜか。(2024/1/18)

セキュリティニュースアラート:
AirDropのセキュリティを巡る懸念 中国当局の動きで活発化
AppleがAirDropの脆弱性を2019年から認識していた可能性があることが分かった。最近、中国当局がAirDropを利用して地下鉄利用者を特定したとされる事案がプライバシーの懸念を引き起こしている。(2024/1/17)

セキュリティニュースアラート:
Pythonの機械学習ライブラリ「PyTorch」に脆弱性 研究者が発見
Pythonの機械学習ライブラリ「PyTorch」に脆弱性が見つかった。GitHubのデプロイシステムと組み合わせることで悪用が可能になるという。(2024/1/16)

企業ユーザーに贈るWindows 11への乗り換え案内(29):
Windows 10/11で「2024年1月の更新プログラム」のインストールが失敗(エラー0x80070643)! その原因は?
2024年1月10日、2024年最初のセキュリティ更新プログラムがリリースされました。Windows 11 バージョン22H2/23H2以外を利用しているユーザーの中には、その日の更新プログラムの一つがエラー「0x80070643」で失敗を繰り返すことに悩んだ人もいるでしょう。この更新プログラムは、「Windows回復環境」の脆弱性問題を解決するセキュリティ更新プログラムです。(2024/1/16)

Cybersecurity Dive:
悪用が進む脆弱性「CitrixBleed」 信用組合に関連したサプライチェーン攻撃を引き起こす
CitrixBleedはBoeingをはじめとした多くの企業で悪用されている。今度はITベンダーであるTrellanceのグループ企業で事業継続サービスを提供するOngoing Operationsでネットワークインシデントが発生した。(2024/1/13)

セキュリティニュースアラート:
QNAP製品に複数の脆弱性 深刻度は「重要」(High)に分類
QNAP SystemsはQTS 5.1.x、QuTS hero h5.1.x、QuMagie 2.2.x、Video Station 5.7.xなどの自社製品について脆弱性を発表した。修正版がリリースされており、適用が推奨される。(2024/1/10)

セキュリティニュースアラート:
curl開発者が指摘するLLMの“たちの悪い”使い方
curlの開発者であるダニエル・ステンバーグ氏は現状、LLMの利用が脆弱性の発見に役立っていないどころかむしろ悪影響を及ぼしていると懸念を示した。(2024/1/10)

Cybersecurity Dive:
今度は「ownCloud」で発生 ファイル転送サービスを狙うサイバー攻撃が相次ぐ
ファイル転送サービスは格好の標的であり、ownCloudの脆弱性は、重要なファイル転送サービスに対する一連のサイバー攻撃における最新の例だ。(2024/1/7)

「見えないWeb攻撃」──情報漏えい対策の盲点:
「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。(2024/1/11)

脆弱性「Citrix Bleed」の悪用が活発化【後編】
あの大手銀行も「LockBit」の標的に Citrix製品を狙う“脆弱性悪用”の実態
Citrix Systems製品の脆弱性を悪用したランサムウェア攻撃による被害が広がっている。主要な攻撃者はあの「LockBit」だ。どのような組織を狙っているのか。特に注意が求められる点とは。(2024/1/4)

脆弱性「Citrix Bleed」の悪用が活発化【前編】
犯罪集団「LockBit」が“パッチ公開前”から悪用か Citrix製品の危ない脆弱性
広く普及しているCitrix Systems製ネットワーク機器の脆弱性がランサムウェア攻撃に悪用されている。どのような脆弱性なのか。詳細を見ていこう。(2023/12/25)

Cybersecurity Dive:
Citrix NetScalerの脆弱性を悪用した攻撃で、ボーイングの部品情報が漏えい
ランサムウェアグループLockBit 3.0の関係者は、CitrixBleedと呼ばれる脆弱性を悪用している。連邦当局は約300の組織に対し、攻撃を受ける脆弱性があると警告している。(2023/12/24)

“典型的やられサイト”で学ぶセキュリティのワナ:
え? PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2023/12/22)

製造ITニュース:
激増するOSSのセキュリティ対策を、SBOMと脆弱性情報の管理基盤を提供開始
日立ソリューションズはSBOM情報やソフトウェアの脆弱性情報を一元管理する「SBOM管理サービス」を提供開始した。(2023/12/20)

セキュリティニュースアラート:
SharePoint Serverにリモートコード実行を可能にする2つの脆弱性 PoCも公開済み
サイバーセキュリティの研究者がSharePoint Serverに存在する重大な脆弱性を2つ組み合わせて認証前リモートコード実行の可能性を示す概念実証を公開した。(2023/12/20)

セキュリティニュースアラート:
「VISS」はCVSSとどう違う? ZVCが新たな脆弱性評価フレームワークを公開
ZVCは脆弱性を評価するスコアリングシステム「Vulnerability Impact Scoring System(VISS) version 1.0.0」を公開した。こうした評価制度のデファクトスタンダードであるCVSSとは何が異なるのか。(2023/12/19)

セキュリティニュースアラート:
Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる
Apache Struts2の脆弱性情報とPoCが公開されたのち、サイバー攻撃者がこれを悪用し始めた。アップデートの適用が推奨されている。(2023/12/18)

セキュリティニュースアラート:
SBOM、約6割が「知らない」 アシュアードが脆弱性対策の実施状況を調査
アシュアードは、yamoryの調査結果を発表し、脆弱性対策の実施状況とSBOMの認知度・導入状況などを明らかにした。SBOMの認知度を聞いたところ約6割が「知らない」と回答した。(2023/12/15)

VMware製品の注意すべき脆弱性【後編】
ESXiなど「狙われるVMware製品」が明らかに 要注意なのは?
VMwareのクラウドサービス管理ツール「VMware Cloud Director」の脆弱性が発見されるなど、VMware製品が狙われる状況が明らかになった。ユーザー企業にどのような被害が及ぶ可能性があるのか。(2023/12/15)

サイバー攻撃の増加に備える:
IoT機器の脆弱性を3ステップで可視化、キーサイトの検査ツール
キーサイト・テクノロジーは「EdgeTech+ 2023」で、IoT(モノのインターネット)機器におけるセキュリティの脆弱性を容易に可視化できるテストツール「IoT Security Assessment」を展示した。既知と未知、両方の脆弱性を確認できるという。(2023/12/13)

「iOS 17.2」配信開始 機械学習採用の「ジャーナル」アプリが利用可能に
Appleは、「iOS 17.2」を含む一連の製品のOSアップデートの配信を開始した。iOS 17.2では、WWDCで紹介した機械学習採用の「ジャーナル」アプリが利用可能になる。脆弱性修正のアップデートは「iOS 16.7.3」でも配信中だ。(2023/12/12)

Pixelに12月の月例更新 3件の「致命的」含む脆弱性修正と多数のバグ修正、改善、新機能も追加
Googleは、Pixelの月例更新の配信を開始した。セキュリティ関連では、4日に発表のAndroidの脆弱性に加え、3件の「致命的」を含む多数の脆弱性を修正。数十件のバグ修正と改善も行われる。(2023/12/7)

VMware製品の注意すべき脆弱性【前編】
VMwareの管理ツール「VMware Cloud Director」に見つかった脆弱性とは?
VMwareは同社のクラウドサービス管理ツール「VMware Cloud Director」の脆弱性を公表した。その脆弱性にはどのようなリスクがあり、影響を抑えるにはどう対処すればよいのか。(2023/12/7)

Android、12月の月例更新で「致命的」5件を含む多数の脆弱性に対処(Pixelはまだ)
Googleは12月の第1月曜日にAndroidの月例セキュリティ情報の12月版を公開した。重要度が最高の5件を含む多数の脆弱性に対処する。Pixelの月例更新は、まだ公開されていない。(2023/12/5)

セキュリティニュースアラート:
サポート終了したExchange Server約2万台が稼働中 複数の脆弱性があり注意
Shadowserver Foundationは、サポートが終了した脆弱なMicrosoft Exchange Serverが約2万台稼働していると報じた。複数の脆弱性が存在しているとされており、注意が必要だ。(2023/12/5)

「CPUに影響を与える脆弱性は増加傾向にある」:
GoogleはCPUの新たな脆弱性「Reptar」をどのように発見したのか
GoogleはIntelのCPUに影響を与える新しい脆弱性「Reptar」の調査結果を公開した。Reptarについては既に回避策が展開されている。(2023/12/4)

セキュリティニュースアラート:
CVE登録の脆弱性を狙うサイバー攻撃はもう古い Proofpointが2024年の脅威を予測
Proofpointは2024年のサイバー脅威予測を発表した。サイバー攻撃はソフトウェアの脆弱性を狙うものから、人間行動の脆弱性に根ざした攻撃へとシフトするという。(2023/12/4)

iOS、iPadOS、macOS、Safariにゼロデイ脆弱性修正の緊急アップデート
Appleは、iOS、iPadOS、macOS、Safariに影響する2つのゼロデイ脆弱性を修正するための緊急アップデートをリリースした。既に「悪用された可能性があるという報告を認識している」としている。(2023/12/1)

Google、Chromeのエクスプロイトが存在する脆弱性修正を含むアップデートをリリース
Googleは、Webブラウザ「Google Chrome」のデスクトップ版にゼロデイ脆弱性が見つかったとしてアップデートを実施した。「エクスプロイトが存在することを認識している」脆弱性を含む。(2023/11/30)

Innovative Tech:
新MacBook Pro(M3)でも機密情報が漏えい 2020年以降のApple製品全てに脆弱性 米国チームが発表
米ジョージア工科大学などに所属する研究者らは、Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告を発表した。(2023/11/30)

「25年も消えない脆弱性」への対策は?
四半世紀にわたって解決しないRSA暗号「謎の脆弱性」の正体
新たに発見される脆弱性だけではなく、古くからある脆弱性にも要注意だ。データ暗号化に使われる「RSA方式」もその例外ではない。1998年に発見され、2023年現在も残る脆弱性とは。(2023/11/29)

セキュリティニュースアラート:
CVSS v3スコアは10.0 オンラインストレージownCloudに深刻なリスク
OSSのオンラインストレージ「ownCloud」に3つの脆弱性が見つかった。そのうち一つはCVSS v3のスコア値が10.0と評価されている。(2023/11/28)

Cisco IOS XEの脆弱性に要注意
Cisco製ネットワークOSに「数千台に影響」の脆弱性 直ちに“あれ”をすべし
セキュリティ専門家によると、Cisco SystemsのネットワークOS「Cisco IOS XE」の脆弱性を悪用した攻撃活動が広がっている。攻撃の範囲や、ユーザー企業が講じるべき防御策などを解説する。(2023/11/27)

ロシア系ハッカー集団「Storm-0978」の手口【後編】
Microsoft製品が狙われる――対策に使えるWindowsの“あの機能”とは?
多彩な攻撃手法を用いるロシア系サイバー犯罪集団「Storm-0978」は、Microsoft製品の脆弱性を悪用している。Storm-0978による攻撃に有効なセキュリティ対策とは。(2023/11/26)

Cybersecurity Dive:
Cisco IOS XEのゼロデイ脆弱性は対処済み? 約4万2000台のデバイスが被害
Cisco IOS XEのゼロデイ脆弱性に対処するための修正プログラムが2023年10月15日にリリースされている。まだパッチを適用していない場合は急ぎ対処が求められる。(2023/11/25)

オンプレミスのままでは無駄なリソースでコストが増えるだけ:
PR:脆弱性になってしまう、あまり使わないシステムを“内製”でクラウド移行するための現実解
基幹システムと比べて、使用頻度や利用度が低いシステムのクラウド移行には予算が付きにくい。それでも、できる限り“内製”で対処することによって低予算での移行は可能だ。ただし、自社だけのクラウド移行で心配になるのが、実装作業だろう。外注せずにクラウドに移行したいシステムについては、どうすればよいのだろうか。(2023/11/24)

Cybersecurity Dive:
パッチ適用しても効果なし? Citrix NetScalerの脆弱性についてMandiantが指摘
Mandiantの研究者は、Citrix NetScalerの脆弱性について、パッチを適用した組織が依然としてハッキングの被害を受けていると指摘した。一体どういうことだろうか。(2023/11/18)

Cybersecurity Dive:
米国のデータ侵害数が過去最高を記録 増加の要因は“ある脆弱性”
ITRCの調査によると、米国において個人情報に関するデータ侵害数は2023年に過去最高を記録しているという。この要因は何か。(2023/11/18)

Innovative Tech:
HTMLソースコードから個人情報が筒抜け? Chromeなどのブラウザ拡張機能の多くで脆弱性 米研究者らが発見
米ウィスコンシン大学マディソン校に所属する研究者らは、HTMLソースコードからのパスワード、クレジットカード情報などのユーザーデータを抽出可能なブラウザ拡張機能について、多数の人気Webサイトが脆弱であることを明らかにした研究報告を発表した。(2023/11/16)

Juniper Junos OSにCVSS 9.8の緊急脆弱性 すぐに対策を
CISAはJuniper Junos OSの5つの脆弱性を新たに脆弱性カタログに追加した。これらはリモートからのコード実行が可能で、CVSSスコア値9.8で「緊急」に分析される。(2023/11/15)

日立ソリューションズがIoT製品のセキュリティを強化するPLM製品を販売開始
日立ソリューションズはIoT機器の脆弱性対策を支援する「PLMセキュリティソリューション」の販売を開始した。背景にはサイバーセキュリティ対策に関する法令の変化がある。(2023/11/15)

GitHub、コードの脆弱性を発見後に修正コードまで自動生成してくれる「Code scanning autofix」発表
米GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビューが公開された。(2023/11/10)

指標グループを拡充、新しい評価スコア名も導入:
共通脆弱性評価システムの最新版「CVSS v4.0」、FIRSTが正式発表
米国の非営利団体FIRSTは、共通脆弱性評価システム「CVSS」の最新バージョン「CVSS v4.0」を正式に発表した。(2023/11/10)

3つのアップデートで企業を支援:
「Docker Scout」の一般公開が後押しする「ローカルプラスクラウド」とは
Dockerは、オープンソースの「Docker Scan」をイベント駆動型の脆弱性管理システム「Docker Scout」に置き換えるなど、3つのアップデートを実施した。(2023/11/8)

“典型的やられサイト”で学ぶセキュリティのワナ:
非公開の予定が見えちゃってるね! Webアプリの「認可制御」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2023/11/9)

AndroidとPixelに11月の月例更新 複数アカウント登録Pixelのストレージ問題の対処も
GoogleはAndroidおよびPixelの月例アップデートの配信を開始した。最も申告な脆弱性は、追加の実行権限を必要とせずにローカル情報の漏洩につながる可能性があるというものだ。Pixelでは複数のバグ修正も行われる。(2023/11/8)

ファイル共有「Citrix ShareFile」の脆弱性を悪用
Citrix製品に見つかった「緊急」の脆弱性とは 1日70件以上の攻撃観測も
ファイル共有サービス「Citrix ShareFile」の脆弱性を悪用した攻撃が活発化し、米国政府機関が注意を呼び掛けている。どのような脆弱性なのか、セキュリティ専門家の見解をまとめた。(2023/11/7)

セキュリティニュースアラート:
CVSS v4.0が正式に発表 新たな命名法によって精密な脆弱性評価が可能に
FIRSTは共通脆弱性評価システム(CVSS)の最新バージョンであるCVSS v4.0を正式に発表した。CVSS v4.0は従来のバージョンよりも細かい基本メトリクスが提供されている。(2023/11/6)

Cybersecurity Dive:
「サイバー犯罪者に攻撃手段を提供した」 WS_FTPの開発元がPoCを公開した第三者を批判
ビジネス向けFTPサーバ「WS_FTP」に対する複数のサイバー攻撃が実行された。悪用された脆弱性は2つで、CVSSスコアは10点満点中10点と9.9点と致命的なものだ。(2023/11/4)

セキュリティニュースアラート:
Cisco IOS XEの脆弱性対応は不適切? Horizon3.aiがPoCを公開
Horizon3.aiはCisco IOS XEの脆弱性CVE-2023-20273が悪用可能であることを示す概念実証を公開した。これを利用すれば特権レベル15のユーザーを簡単に作成し、デバイスの制御権を奪うことができる。(2023/11/2)

セキュリティニュースアラート:
VMware Toolsに「重要」の脆弱性 権限昇格が可能になるリスク
VMwareはVMware Toolsに存在する2つの重要な脆弱性を公表した。これらのセキュリティ問題を回避するための一時的な方法は提供されていない。(2023/11/1)

Google、生成AI悪用攻撃報告を脆弱性報酬(バグバウンティ)プログラムに追加
Googleは、脆弱性報酬プログラムの対象にAI悪用攻撃の報告を追加した。プロンプト攻撃やメンバーシップ推論攻撃など、AI悪用の懸念が高まっている。(2023/10/27)

セキュリティニュースアラート:
vCenter ServerにCVSS 9.8の脆弱性 回避策なしのため迅速なアップデートを
VMware vCenter Serverに境界外書き込みおよび情報漏えいの脆弱性が見つかった。1つはCVSS 9.8で深刻度「緊急」(Critical)に分類されている。主力スイートの中心的製品であることから迅速なアップデートの適用が求められる。(2023/10/27)

「EPSS」は脆弱性管理の新常識になるか? データで判明したその“効能”
フォーティネットジャパンは調査レポートを基に、ランサムウェア攻撃の最新動向と脆弱性対策における新たな判断材料となり得る「EPSS」について解説した。(2023/10/19)

表計算ソフトでの脆弱性管理はもう限界
脆弱性対策に“自動化”が必要な理由 複雑化するシステムを保護するポイントは
アジャイル開発を導入する企業では、システムが複雑化する傾向があるため、脆弱性対策が難しくなりやすい。こうした環境において、手作業による管理で脆弱性情報を更新し続けるのは困難を極める。解決には、脆弱性対策の自動化が必要だ(2023/10/16)

組み込み開発ニュース:
産業用組み込みLinux OSで機器のセキュアな開発や運用を支援
サイバートラストは、産業用IoT機器向けの組み込みLinux OS「EMLinux 3.0」を提供する。約3万個の長期サポート対象パッケージを提供し、機器の開発と脆弱性対応の工数削減を可能にする。(2023/10/18)

セキュリティニュースアラート:
CVSSは「10.0」 Cisco IOS XE Softwareに「緊急」の脆弱性、回避策は未提供
CiscoはCisco IOS XE SoftwareのWeb UI機能に「緊急」の脆弱性が見つかったと伝えた。CVSSのスコアは「10.0」に分類されており、回避策は提供されていない。(2023/10/18)

CPU脆弱性「Downfall」の危険性と対策【第4回】
Skylake登場から8年 Intel製CPUの脆弱性「Downfall」の発見が遅れたのはなぜ?
Intel製CPUに脆弱性「Downfall」が見つかった。他ベンダーのCPUにも同様の脆弱性があるのだろうか。2015年に製品化したCPUの脆弱性の発見が、2023年まで掛かったのはなぜなのか。Google研究者の見方は。(2023/10/18)

半径300メートルのIT:
見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。(2023/10/17)

診断に要するコストや事前調整の手間も削減
年1回の脆弱性診断では不十分、アジャイル開発に適した脆弱性対策とは?
AIをベースにWebサービスを展開し、迅速に機能改善を加えるみらい翻訳では、その開発プロセスと、年に1回の脆弱性診断との間にある、ライフサイクルの不一致が課題となっていた。“外部診断頼り”を脱却すべく、同社が採用した方法とは。(2023/10/18)

Cybersecurity Dive:
ダークWebで売買される不正プログラム 3分の1はMicrosoft製品に関連
ダークWebでは脆弱性情報や不正プログラムが高値で取引されている。なかには1万ドル以上で取引されているものもあるようだ。(2023/10/15)

セキュリティニュースアラート:
curl 8.4.0がリリース 「おそらく最悪」と評価される脆弱性を修正
cURLプロジェクトはcurlの新しいバージョン「curl 8.4.0」を公開した。このバージョンでは開発者が「最悪の脆弱性」と称す脆弱性が修正されている。(2023/10/13)

脆弱性「組み合わせ」でSAP攻撃【後編】
SAP製品が狙われ始めた? 大惨事を招くその“深刻なリスク”とは
セキュリティベンダーOnapsisは、SAP製品の脆弱性を悪用する攻撃方法を見つけた。企業が対策を講じるに当たり、“あること”がネックになると同社は指摘する。何に注意が必要なのか。(2023/10/13)

セキュリティニュースアラート:
CloudflareとGoogle、AWSが注意喚起 ゼロデイ脆弱性「HTTP/2 Rapid Reset」とは?
CloudflareとGoogle、AWSは共同でゼロデイ脆弱性「HTTP/2 Rapid Reset」を発表した。これはHTTP/2のストリームキャンセル機能を悪用して極度に大規模なDDoS攻撃を引き起こすもので過去最大の攻撃が観測されている。(2023/10/12)

Google、Cloudflare、Amazon、 HTTP/2悪用の史上最大規模DDoS攻撃について説明
Google、Cloudflare、Amazonは、8月に受けた史上最大規模のDDoS攻撃について説明した。「HTTP/2」プロトコルの脆弱性を悪用した攻撃で、「Wikipediaへの1日分のリクエストを10秒で受信する」規模としている。(2023/10/11)

CPU脆弱性「Downfall」の危険性と対策【第3回】
Intel製CPUの脆弱性「Downfall」のパッチ適用を“即決できない”のはなぜ?
Googleが発見したIntel製CPUの脆弱性「Downfall」に対して、Intelはパッチを公開した。その適用を決断する上で、留意すべきことがあるという。それは何なのか。Google研究者が説明する。(2023/10/11)

Cybersecurity Dive:
MOVEit関連のサイバー攻撃 発覚から数カ月も被害者が増え続けるワケ
MOVEitのゼロデイ脆弱性から始まったサイバー攻撃キャンペーンは発覚から数カ月が経過した今も被害者を増やし続けている。(2023/10/8)

Pixelの10月アップデートは「Android 14」 バグ修正と改善は80件、脆弱性対処も多数
Googleは10月の月例更新として「Android 14」の配信を開始した。新機能だけではなく、通常の月例同様、バグ修正と改善、脆弱性対処も行われる。(2023/10/5)

脆弱性「組み合わせ」でSAP攻撃【前編】
SAP製品を狙った“深刻な手口”が判明 複数ツールの脆弱性を悪用か
既知の脆弱性をうまく組み合わせれば、SAP製品への攻撃ができると、セキュリティベンダーOnapsisは警鐘を鳴らす。同社が発見した恐ろしい攻撃手法とは何か。(2023/10/4)

CPU脆弱性「Downfall」の危険性と対策【第2回】
Intel製CPUの脆弱性「Downfall」悪用の手口とは? Google研究者が明かす
GoogleがIntel製CPUに発見した脆弱性「Downfall」。その悪用の手口は1つではないという。どのような手口があるのか。Googleのセキュリティ研究者が語る。(2023/10/4)

セキュリティ、エンジニアは後回しにすることが多いが、CIOは最優先:
コンテナ、Kubernetesの脆弱性スキャン、3つの重点ポイント
コンテナ化とKubernetesの初心者向けに、コンテナイメージのスキャン、コンテナファイルのスキャン、Kubernetesマニフェストのスキャンについて開発チームが知っておくべきことを説明する。(2023/10/2)

「セキュリティ担当者は生成AIのせいで仕事が増えると懸念している」:
開発者が脆弱性の対処に費やしている時間は全体の7% GitLab
GitLabは、全世界で実施したDevSecOpsに関する調査のレポート「ソフトウェア開発におけるAIの現状」を発表した。回答者の4割が「AIはセキュリティ面で大きなメリットをもたらしている」と考えていた。(2023/10/2)

セキュリティニュースアラート:
CVSSは「10.0」 WebPライブラリに脆弱性が見つかる、急ぎ対処を
GoogleはGoogle Chromeの修正版を公開した。今回修正した脆弱性の中にはlibwebpに起因する脆弱性が含まれており、CVSSのスコア値は10.0とされている。(2023/9/28)

CPU脆弱性「Downfall」の危険性と対策【第1回】
Intel製CPUの危険な脆弱性「Downfall」とは? あのMeltdownの“再来”か
Googleが発見した「Downfall」は、2018年に公開した「Spectre」「Meltdown」に続くIntel製CPUの脆弱性だ。Downfallは、何が危険なのか。発見者であるGoogleの研究者が明かす。(2023/9/27)

「セキュリティ×AI」の可能性【第3回】
AIツールで企業の煩雑な「ITSM」「ITOM」はどう変わる?
企業は人工知能(AI)技術を活用することで、脆弱性管理を強化できる可能性がある。AI技術がITサービス管理(ITSM)とIT運用管理(ITOM)にもたらすメリットを紹介する。(2023/9/26)

Apple、早くも「iOS 17.0.1」など一連の更新を配信 “積極的に悪用された可能性がある”問題に対処
Appleは18日にリリースしたばかりの一連の新OSのセキュリティ更新を配信中だ。いずれも“積極的に悪用された可能性のある”脆弱性に対処するものだ。発売されたばかりの「iPhone 15」シリーズには「iOS 17.0.2」が配信されている。(2023/9/22)

Googleが開発した技術に影響
ChromeやEdgeなど人気ブラウザを危険にする「画像フォーマット」の脆弱性とは
「Chrome」や「Edge」といった広く使われているWebブラウザに関連する脆弱性が見つかった。悪用されると、どのような危険のある脆弱性なのか。(2023/9/22)

フォーティネットジャパン合同会社提供Webキャスト
エンドポイントを強力保護、ゼロデイ攻撃に対応する“第二世代EDR”の実力とは
近年増加しているエンドポイントのゼロデイ脆弱性を突くサイバー攻撃は、成功率が高いこともあり、犯罪者にとっての利用価値が高まっている。組織はサイバーキルチェーンを断ち切り、エンドポイントをどのように保護すればよいのだろうか。(2023/9/22)

「サポート詐欺」「ランサムウェア」「偽Wi-Fi」に要注意:
「サイバー攻撃の被害は警察署に通報を」――警視庁が解説する最新の脅威動向、セキュリティ対策の基本
サイバー攻撃の脅威を対岸の火事と捉える経営者は珍しくない。だが現実は、企業規模を問わず、脆弱性のあるシステムを標的にサイバー攻撃が仕掛けられ、システムを使用していた自社はもちろん、取引先にまで影響を及ぼすケースが起きている。東京商工会議所が主催したセミナーに登壇した警視庁の担当者が、最新の脅威動向、サイバーセキュリティ対策の基本を解説した。(2023/9/22)

Pixelに9月の月例更新 既に悪用された可能性のあるゼロデイを含む問題を修正
Googleは、Pixel向けに9月の月例更新の配信を開始した。数日前に公開したAndroid向け更新に加え、「限定的かつ標的を絞った悪用を受けている可能性があるという兆候がある」脆弱性にも対処する。(2023/9/21)

Trend Micro製品に緊急の脆弱性 既に悪用を確認
Trend Microは「Apex One」と「Worry-Free Business Security」に深刻度「緊急」の脆弱性が存在すると発表した。既に悪用も確認されており、該当する製品を使っているユーザーは迅速な対応が求められる。(2023/9/21)

Microsoft製品の危ない欠陥【第2回】
「Microsoft製品の脆弱性」に備える“公式お墨付き”の対策とは
2023年7月に見つかったMicrosoft製品の脆弱性に、ユーザー企業はどう対処すればよいのか。脆弱性の詳細と、具体的な対策を紹介する。(2023/9/19)

マイクラで学ぶサーバ管理:
権限管理をミスると本当にまずいぞ! マイクラで学ぶ「権限昇格の脆弱性」と「認可」
ネットを見ているとたまに「子供がMinecraftで友達とマルチプレイしたいというから、サーバ管理を学ばせてみた」というエンジニアの子育てエピソードを見かける。本連載では実際にMinecraftサーバを建てながら、サーバ管理の仕事とコツについて学ぶ。(2023/9/15)

WebPコーデックの重大な脆弱性対処でChromeなど主要Webブラウザが緊急更新
画像フォーマット「WebP」に重大なゼロデイ脆弱性が見つかり、Chrome、Edge、Firefox、Braveなどが修正のための更新をリリースした。既に悪用されている。(2023/9/14)

Microsoft製品の危ない欠陥【第1回】
ロシア系攻撃集団が狙う「Microsoft Office」の脆弱性 なぜ危ない?
「Microsoft Office」に脆弱性が見つかり、企業が攻撃を受けるリスクが高まっている。見つかった脆弱性はなぜ危険なのか。誰が悪用して攻撃を仕掛けようとしているのか。基礎情報を抑えよう。(2023/9/14)

山市良のうぃんどうず日記(265):
Meltdown/Spectreの再来? Intelプロセッサの新たな脆弱性とその対応策
2023年8月、Intelは一部の最新プロセッサを除く、広範囲のIntelプロセッサの世代に影響する評価「中」の新たな脆弱性と、その軽減策を公開しました。5年前の2018年、同じような脆弱性問題で大騒ぎになりましたが、今回はどうなるのでしょうか。(2023/9/13)

セキュリティニュースアラート:
iPhoneなどに任意コード実行を可能とする脆弱性 直ちにアップデートを
Appleは複数製品の脆弱性を修正するセキュリティアップデートを公開した。ユーザーは速やかにアップデートを適用してほしい。(2023/9/11)

Cybersecurity Dive:
米英含む情報同盟、脆弱性対策におけるエンドユーザーの責任を強調
Five Eyesの共同勧告によると、2022年に最も多く悪用された12の脆弱性の半数は2021年に発見されたものだ。ここにはApache Log4jの脆弱性もいまだに含まれている。(2023/9/10)

セキュリティニュースアラート:
ASUSのハイエンドWi-FiルーターにCVSS9.8の脆弱性 迅速にアップデートを
TWCERT/CCはASUSTeKの3つのWi-Fiルーターに「緊急」の脆弱性があると発表した。ルーターが乗っ取られる危険性があり、ユーザーは迅速にアップデートを適用することが求められている。(2023/9/7)

組み込み開発ニュース:
DevSecOpsプラットフォームにAI機能を実装し、安全性を強化
GitLabは、DevSecOpsプラットフォームにAI機能スイート「GitLab Duo」を実装した。コードの提案や脆弱性の解析が可能になり、ソフトウェア開発の効率を高める。(2023/9/6)

セキュリティニュースアラート:
Chrome拡張機能に潜む問題を研究者らが指摘 Webサイトのパスワード窃取が可能に
研究者らがChromeの拡張機能にセキュリティリスクが存在すると指摘した。脆弱性を悪用すればWebサイトから平文パスワードを窃取できる可能性がある。(2023/9/5)

Cybersecurity Dive:
インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。(2023/9/3)

2023年第2四半期Cloudflareアプリケーションセキュリティレポート:
「Log4j」などの古い脆弱性は依然、大量に悪用されている
Cloudflareが2023年第2四半期(4〜6月)におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。毎日平均1120億件ブロックしたサイバー脅威データを基に分析した結果分かった傾向とは。(2023/9/2)

IoTセキュリティ:
サードパーティー製部品を対象とした脆弱性管理サービスを提供開始
NRIセキュアテクノロジーズは、IoT機器を手掛ける製造業向けに「デバイス脆弱性監視分析サービス」の提供を開始した。OSSやCOTSなど、サードパーティー製部品の脆弱性情報を収集、分析する。(2023/9/1)

セキュリティニュースアラート:
VMware Aria Operations for NetworksにCVSS v3スコア9.8の脆弱性 SSH認証をバイパス
VMwareのネットワーク監視ツール「Aria Operations for Networks」に「緊急」の脆弱性が見つかった。CVSS v3スコア9.8となっており、該当製品を使っている企業は直ちにアップデートしてほしい。(2023/9/1)

SASE/SSEの機能を提供
オンプレとクラウドが入り交じった複雑なIT環境で求められるセキュリティ対策
オンプレミスやクラウドサービスを使う企業はセキュリティの穴をふさぎ、脆弱性を管理することに必ずしも成功していない。境界防御は通用せず、SASEやSSEの考え方を取り入れたセキュリティ手法が必要だ。(2023/9/20)

個室トイレの“脆弱性”にパッチが当てられた光景が話題に ベビーチェアの子どもが鍵を開けちゃう問題をアップデートで解決
ひとまずこれで安心かな……?(2023/8/31)

犯罪者が狙う「ESXi」【後編】
ESXi攻撃に使われた脆弱性「CVE-2023-20867」の危険度は? ESXiArgsとの関係は
VMware「ESXi」のセキュリティを脅かす、同社製品の脆弱性「CVE-2023-20867」。その危険性はどの程度なのか。ESXiを襲ったランサムウェア「ESXiArgs」との関係とは。(2023/8/31)

セキュリティニュースアラート:
本当に合ってる? curlの古いバグが「緊急」の脆弱性としてCVE登録される
CVEに深刻度「緊急」に分類されるcurlの脆弱性が登録された。だがこの情報について開発者らは問題は修正済みかつCVEの評価が不適切だと指摘している。(2023/8/29)

宮田健の「セキュリティの道も一歩から」(88):
SBOMがあれば脆弱性管理は完璧……となるその前に
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。今回は、セキュリティ観点でソフトウェアの部品管理「SBOM」に注目したいと思います。(2023/8/28)

Cybersecurity Dive:
Citrix製品のゼロデイ脆弱性 リリース後も53%がパッチを適用せず
研究者たちは、何千台ものCitrix NetScalerのデバイスが攻撃に対して脆弱なままであると警告している。(2023/8/26)

“典型的やられサイト”で学ぶセキュリティのワナ:
え? 同じIDで登録できる? コンビニ証明書で話題「同時処理」の危険性
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2023/8/25)

6つの脆弱性のリクエスト量を調査:
2022年に最も悪用された脆弱性は? Cloudflareが分析結果を発表「Log4jの脆弱性は桁違いだった……」
Cloudflareは、CISAが公開した「2022年に最も悪用された脆弱性」を参考に、同社のWAFで検出された脆弱性に対するリクエスト量の分析結果を発表した。(2023/8/24)

犯罪者が狙う「ESXi」【中編】
ESXi攻撃に使われた脆弱性は深刻度「低」――VMwareの判断根拠が客観的だった
VMware製品に見つかった脆弱性「CVE-2023-20867」を、サイバー犯罪グループUNC3886が「ESXi」への攻撃に悪用している。こうしたCVE-2023-20867の深刻度を、VMwareが「低い」と判断したのはなぜなのか。(2023/8/24)

iOS 16の「機内モード」に脆弱性 オフラインに見せかけつつ情報窃取も可能
iOS 16の機内モードに脆弱性があることがJamfによって報告された。これを悪用すると偽装した機内モードを表示させて攻撃者がデバイスへのアクセスを維持できる。(2023/8/21)

PowerShell Galleryに複数の脆弱性 メタデータの偽造や非公開コードへのアクセスも可能か
PowerShell Galleryにタイポスクワッティング攻撃を受けやすい脆弱性が見つかった。メタデータの偽造や非公開コードへのアクセスも可能になるという。Microsoftへの問題報告後も修正はうまく進んでいない。(2023/8/21)

Innovative Tech:
テスラ車の有料機能を“タダ”で使うサイバー攻撃 ドイツの研究者らが発表
ドイツのベルリン工科大学などに所属する研究者らは、テスラ(Tesla)をハッキングし、有料機能をアンロックするなどの攻撃が行える脆弱性を提案した研究報告を発表した。(2023/8/21)

抽選でAmazonギフトカードが当たる
「PCのパッチ更新運用および利用ソフトウェアの脆弱性対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2023/8/21)

Cybersecurity Dive:
家庭用IoTデバイスをどう守るか? 米国で進むラベリングプログラムの詳細
バイデン政権はIoTデバイスの保護を目的とした消費者向けのラベリングプログラムを発表した。ホームルーターの脆弱性などを狙ったサイバー攻撃が絶えない今、IoTセキュリティを強化する。(2023/8/19)

犯罪者が狙う「ESXi」【前編】
ESXiを攻撃する犯罪者集団が悪用した脆弱性「CVE-2023-20867」とは?
犯罪者集団UNC3886がVMware製品の脆弱性「CVE-2023-20867」を悪用して、同社のハイパーバイザー「ESXi」を攻撃しているとMandiantは説明する。CVE-2023-20867とは、どのような脆弱性なのか。(2023/8/18)

1900台超のCitrix NetScalerにバックドアが仕込まれている、日本でも確認
「Citrix NetScaler」の脆弱性を悪用するエクスプロイトキャンペーンが報告された。1900台以上にバックドアが仕込まれ、日本でも影響が確認されている。セキュリティパッチ適用後もリスクが残るため迅速な対応が求められる。(2023/8/17)

さくら、インテルCPU脆弱性「Downfall」の影響は調査中 クラウドなど全サービスで
さくらインターネットが、米Intel製CPUに見つかった脆弱性「Downfall」について、クラウドやレンタルサーバなど自社サービスへの影響を調査中と発表した。(2023/8/14)

Cybersecurity Dive:
さまざまな脆弱性を悪用して拡大するbotネット「TrueBot」の実態とは?
マルウェア「TrueBot」によるフィッシング攻撃が拡大している。このマルウェアは幾つかの脆弱性を悪用して被害を着々と拡大しているようだ。(2023/8/12)

Intelプロセッサに新たな脆弱性「Downfall」が見つかる 影響範囲広く注意
Intelのプロセッサに情報漏えいを引き起こす危険がある脆弱性「Downfall」が見つかった。同プロセッサはサーバ市場で70%以上のシェアを占めていることから、インターネットを使用する全てのユーザーが影響を受ける可能性がある。(2023/8/11)

エレコム、過去発売のWi-Fiルーターに脆弱性 更新期間終了済み、“買い替え”推奨 「力及ばず謝罪しかできない」
エレコムは、過去に販売していた一部Wi-Fiルーターに脆弱性が見つかったと発表した。対象製品は2017年2月以前に発売したもので、いずれもすでにアップデートサービスを終了しており、代替製品への切り替えを勧めている。(2023/8/10)

AWS、インテル製CPUの脆弱性に「影響はない」 パフォーマンス低下の可能性には触れず
米Amazon Web Servicesは、米Intel製CPUで見つかった脆弱性「Downfall」について「AWSの顧客データとインスタンスは問題の影響を受けず、顧客の行動は必要ない」とコメントした。(2023/8/10)

インテルCPUに新たな脆弱性「Downfall」 修正で「パフォーマンスに最大50%の影響」 対象は第6〜11世代
米Intelが、同社製CPUに脆弱性が見つかったと発表した。メモリ最適化機能を悪用することで、CPU内部のレジスタファイルを意図せずソフトウェア側に提供できてしまうという。すでにIntelがアップデートを提供しているが、修正の適用により一部処理のパフォーマンス低下を招く可能性がある。(2023/8/10)

株式会社ビットフォレスト提供Webキャスト:
脆弱性診断の障壁、セキュリティ人材やスキルの不足を乗り越えるには?
Webアプリケーション脆弱性診断の重要性は理解しているものの、セキュリティ人材やスキルの不足を理由に導入を諦めてしまう企業は多い。この課題を解決するのが、スキル不要で誰でも簡単に使えるクラウド型Web脆弱性診断ツールだ。(2023/8/10)

AndroidとPixelに8月の月例更新 Pixel FoldとTabletの問題修正も
Googleは8月の第1月曜日に当たる8月7日、AndroidとPixelの月例セキュリティ更新を実施した。4件の「致命的」を含む多数の脆弱性が修正される。Pixel FoldとTabletの問題も複数修正される。(2023/8/8)

内閣サイバーセキュリティセンターで情報漏えい 未知の脆弱性が原因
NISCの電子メールシステムに不正通信があり、個人情報を含むメールデータが漏えいした可能性がある。悪用の事実は確認されていない。(2023/8/4)

SalesforceとFacebookの脆弱性を悪用する新たなフィッシング手法とは?
GuardioはSalesforceの脆弱性を悪用した新型フィッシングを検出した。攻撃者はメールトラフィックを隠す手法やSalesforceの機能を悪用している。(2023/8/4)

VPNの脆弱性を狙う“ネットワーク貫通型攻撃”に対してIPAが注意喚起
インターネット境界のデバイスに対するサイバー攻撃が増加している。IPAはこれに向けて注意喚起の文書を公開した。日々の確認と平時の備えとしてやるべき対策が記載されている。(2023/8/3)

前年比では大きく減少:
Googleが報告「ゼロデイ脆弱性は過去2番目に多かった」 2022年に41件が悪用される
Googleの年次報告書によると、2022年に悪用されたことが検出、公開されたゼロデイ脆弱性は41件。2021年の69件からは減少したが、2014年に同社が追跡を開始して以来、2番目に多かった。(2023/8/2)

週末の「気になるニュース」一気読み!:
GPDが7型ミニPC「WIN Mini」を発表/「macOS Ventura 13.5」と「iPadOS 16.6」を提供開始 脆弱性を修正
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、7月23日週を中心に公開された主なニュースを一気にチェックしましょう!(2023/7/30)

Apple、「iOS 16.6」「iPadOS 16.6」配信 「悪用された可能性がある」脆弱性に対処
AppleはiOS、iPadOS、macOSなどの一連のOSにバグおよびセキュリティ修正を加える配信を開始した。iOSとiPadOSの16.6では「悪用された可能性がある」2件を含む多数の脆弱性が修正される。(2023/7/26)

アカウントを乗っ取られる可能性があるMicrosoftの脆弱性「nOAuth」 必要な対策とは
Microsoftの「Active Directory」および「Entra ID」(Azure AD)は、「nOAuth」という脆弱性によりアカウントの乗っ取りリスクを抱えている。(2023/7/20)

Log4jの脆弱性の影響を受ける企業も 日本の時価総額上位25社のIT資産にサイバーリスク
Tenableは日本の時価総額上位25社の12万件以上のIT資産がサイバーリスクにさらされていると報告した。中にはTLS 1.0や旧版Log4Jをまだ利用中の企業もあった。(2023/7/17)

Cybersecurity Dive:
Fortinet製品の脆弱性を悪用する脅威アクター「Volt Typhoon」の実態
Fortinetは、FortiOSおよびFortiProxyの「SSL-VPN」機能におけるヒープベースのバッファオーバーフローの脆弱性を悪用することで、サイバー攻撃者がデバイスを制御できる可能性があると警告した。(2023/7/15)

「スパイウェア」「脆弱性悪用」がもたらす脅威【後編】
「脆弱性」の悪用が深刻化 “あのブラウザ”や“あのGPU”も標的に
IT製品に潜む「脆弱性」を狙った攻撃が広がっている。攻撃者が主に狙うのは“人気製品”の脆弱性だ。どのようなIT製品の脆弱性を悪用しているのか。脆弱性を悪用した攻撃の実態とは。詳細を見てみよう。(2023/7/15)

FortiOSとFortiProxyにCVSSv3 9.8の脆弱性 直ちにアップデートを
FortiOSとFortiProxyに深刻度「緊急」の脆弱性が見つかった。これをサイバー攻撃者に悪用されると、任意のコードやコマンドが実行されるリスクがある。(2023/7/14)

「CWE Top 25」2023年版、MITREが発表:
ソフトウェア開発で気を付けたい脆弱性トップ25 3位は「SQLインジェクション」 2位は「XSS」 1位は?
MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。(2023/7/13)

Apple、一部のアプリに不具合が発生する問題でセキュリティアップデートを停止
Appleはゼロデイ脆弱性対策に向け緊急のアップデートを配信した。しかしこの更新によって一部のアプリケーションが非対応となる問題が生じたため配信を停止したことが明らかになった。(2023/7/13)

株式会社ビットフォレスト提供Webキャスト:
セキュリティ技術者が不在、スキル不足でも使える脆弱性診断ツール
脆弱性診断サービスは、重要性は認識されつつもコストや期限の問題から、規模の小さいプロジェクトでは利用が難しかった。しかし今日では、開発現場での利用を想定した低コストかつ高速で診断できる脆弱性診断サービスが登場している。(2023/7/13)

iOSやiPadOS、macOSにゼロデイ脆弱性 任意のコードが実行可能、迅速な対応を
AppleはiOSやiPadOS、macOSを対象にした緊急のセキュリティアップデートを配信した。任意のコードを実行可能にするゼロデイ脆弱性が見つかった。(2023/7/12)

Apple、iOS、iPadOS、macOSに“緊急セキュリティ対応”の「16.5.1(a)」をリリース
Appleは、iOS、iPadOS、macOS向けに「緊急セキュリティ対応」の配信を開始した。積極的に悪用された可能性がある1件の脆弱性に対処するものだ。(2023/7/11)

より詳細に、より簡単に:
「脆弱性に対処する難易度」を評価可能に 最新のCVSS「CVSS 4.0」は何が違うのか
Mend.ioは、FIRSTの年次カンファレンスで発表された、共通脆弱性評価システム「CVSS」の最新バージョン(CVSS 4.0)に関するブログを公開した。基本メトリクスが細分化された他、「その脆弱性を使うと、攻撃者は1回の行動でどこまでコントロールを取得できるか」といったことも評価もできるようになった。(2023/7/10)

調査で見えた“初期侵入”の典型例
VPNの脆弱性を悪用するエクスプロイトが横行、効果的に対処するには?
インシデントに関するある調査によれば、脆弱性を悪用するエクスプロイトが初期侵入で多く使われる傾向が見て取れるという。中でも多いのが、VPN機器の脆弱性を突いた攻撃だ。不正侵入の入り口を常に探す攻撃者を、どう防げばよいのか。(2023/7/12)

「スパイウェア」「脆弱性悪用」がもたらす脅威【前編】
そのiPhoneは監視されていた――Googleが語る「スパイウェア」の背筋が凍る実態
「スパイウェア」による攻撃が広がっていると、Googleのセキュリティ専門家は警鐘を鳴らす。特に注意が必要なのは、「Android」「iOS」といったモバイルOSの脆弱性を突くスパイウェアだという。その危険性とは。(2023/7/8)

Android、Pixel、Pixel Watchに7月の月例更新 Pixel Tabletの機能改善あり
Googleは、Android、Pixel、Pixel Watchの7月の月例セキュリティ情報を公開した。「致命的」を含む複数の脆弱性に対処する。Pixel Tabletの2つの機能改善も含む。(2023/7/7)

Teamsの脆弱性を突く新ツール「TeamsPhisher」を公開 全ユーザーが利用可
米国海軍は新たなセキュリティツール「TeamsPhisher」を公開した。これを利用すると、Teamsユーザーに対するフィッシング攻撃が可能になる。(2023/7/7)

Windows 7、8、8.1をサポートする最後のバージョン:
Mozilla、「Firefox 115」を公開 Chromeベースブラウザで保存した決済方法の引き継ぎが可能に
Mozillaは、デスクトップ用Firefoxブラウザの最新版「Firefox Version 115.0」を公開した。Chromeベースブラウザで保存した決済方法の引き継ぎなど、幾つかの新機能が追加され、セキュリティ脆弱性やバグなどの問題が修正されている。(2023/7/7)

約33万のFortinet製SSL VPNインタフェースが脆弱性を放置している
Fortinetは2023年6月にFortiOSに存在するヒープバッファーオーバーフローの脆弱性に対処したアップデートの提供を開始した。しかし1カ月たってもアップデートの適用状況は好ましくない。(2023/7/5)

WordPressの人気アカウントプラグインにCVSS9.8の脆弱性 直ちに更新を
WordPressのプラグイン「Ultimate Member」に特権昇格の脆弱性が見つかった。同脆弱性はサイバー攻撃に積極的に利用されているため注意が必要だ。(2023/7/4)

OpenAI製品の脆弱性発見を促す「バグバウンティ」の正体【後編】
「ChatGPTの欠陥」を発見すると何万円もらえるのか? 実は“厳しい条件”も
「ChatGPT」などの自社製品のセキュリティ強化を目指して、OpenAIは脆弱性報告者に報奨金を支払う制度「バグバウンティ」を開始した。脆弱性を報告した人は、どのくらいの報奨金がもらえるのか。制度の注意点とは。(2023/7/2)

探査機で太陽系を探査するだけでなかった:
NASAが「約800万個のPDF」を格納した世界最大規模のアーカイブを公開
NASAのジェット推進研究所は世界最大級のPDFアーカイブを作成したと発表した。プライバシーの保護や脆弱性への対処、ソフトウェアの互換性に関する問題などセキュリティの研究に活用できるという。(2023/7/1)

AI×セキュリティの関係を考える:
AIを狙ったサイバー攻撃の知られざる世界 専門知識なしでどう対処するか?
生成AIブームが訪れ、各企業がAI開発に乗り出しているが、AI開発プロセスには脆弱性が潜んでおり、これを悪用することでサイバー攻撃が可能になることは意外と知られていない。攻撃の詳細とそれを防御するための方法を解説する。(2023/6/30)

FortiNACにCVSSスコア9.6の脆弱性 迅速にアップデートを
Fortinetのネットワークアクセス制御ソリューション「FortiNAC」に深刻度「緊急」の脆弱性が見つかった。回避策などは提供されていないため、急ぎアップデートを適用してほしい。(2023/6/27)

Teamsにマルウェアを送り込む手法をJUMPSECが発見 Microsoftは未対処
JUMPSECはMicrosoft Teamsの新たな脆弱性を報告した。これを悪用すると外部テナントから組織内にマルウェアを送り込むことが可能で、多数の組織が影響を受ける可能性がある。(2023/6/26)

今日から始めるサイバーレジリエンス実践ステップ:
今こそ見直すべきランサムウェア対策 脆弱性管理からバックアップまでのポイントは
ランサムウェア攻撃が激化する今、サイバーレジリエンスの強化が企業には求められている。では具体的に何をすればいいのか。脆弱性管理からバックアップのポイントを解説する。(2023/7/14)

OpenAI製品の脆弱性発見を促す「バグバウンティ」の正体【前編】
「ChatGPTの欠陥」発見で報奨金ゲット OpenAIが始めた制度とは?
「ChatGPT」をはじめとする同社製品の安全性確保のために、脆弱性の発見者に報奨金を支払う制度「バグバウンティ」を開始したOpenAI。どのような制度なのか。対象となる脆弱性と、ならない脆弱性の違いとは。(2023/6/24)

Cisco Secure Client Softwareなどに存在する特権昇格の脆弱性 PoCコードが公開
CiscoのWindows向けソフトウェア「Cisco AnyConnect Secure Mobility Client Software」と「Cisco Secure Client Software」に存在する特権昇格の脆弱性について、PoCコードが公開された。(2023/6/23)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。