最新記事一覧
CI/CDを乗っ取り「悪意あるnpmパッケージ」を流通させる攻撃が深刻化。GitHubは、2つの機能追加を発表した。
()
企業などの組織のネットワーク構成は、コロナ禍における在宅勤務の急速な拡大に伴って大きく見直されました。VPN装置の増強を進めたり、ゼロトラストセキュリティの考え方を取り入れたりするなど、対策を進めた組織は多いでしょう。その対策が部分最適で終わっていないか、ゼロトラストセキュリティを真に機能させるには何が必要なのかなどを見直してみましょう。
()
PayPayで誤送金した際、相手が自動受け取り設定だとシステム上での取消は一切できない。一度相手に移動した資金は、金融ルールの観点から運営が一方的に引き戻す介入は不可能だ。誤送金防止のために宛先確認を徹底し、万が一の際は警察への相談やアプリでの自衛を行う。
()
米宇宙軍の幹部やオバマ元大統領時代のホワイトハウスが使っていたInstagramのアカウントが何者かに乗っ取られ、イラン支持の画像やメッセージが投稿される被害が相次いだ。攻撃者は米Metaの「AIサポートアシスタント」が抱える脆弱性を突き、狙ったアカウントのパスワードをリセットしたと伝えられている。
()
さくらインターネットに新卒入社後、わずか1年9カ月で執行役員に就任した江草氏。現在は、 技術推進統括担当執行役員およびCISO兼CIOを務め、自身もシステムを自作する異色のリーダーだ。25歳の若さで大抜擢された背景には、学生時代からの圧倒的な実装力があった。自ら手を動かすトップだからこそ描ける、セキュリティとビジネス効率の両立に迫る。
()
日本を最大の標的としたフィッシングサービスが登場するなど、サイバー脅威は高まっている。攻撃者はAIを活用、オペレーションの大規模化、加速化、巧妙化を急速に進めている。Googleの脅威インテリジェンス部門副チーフアナリストが、サイバー脅威のトレンドを説明した。
()
KasperskyはGoogleのAppSheetを悪用したフィッシング詐欺を確認したと公表した。攻撃者は正規のGoogle関連アドレスを使い、求人通知や認証案内を装って個人情報や認証情報を盗み取る手口を展開していると説明した。
()
2026年3月3日、「ITmedia Security Week 2026 冬」の「ゼロトラスト」セクションで、さくらインターネットでCISO、CIOを務める江草陽太氏が基調講演に登壇した。
()
AIエージェントの導入が急がれる裏で、セキュリティ対策が置き去りになっている。国内企業の約6割が「セキュリティについて議論不足」と答える状況の中、ガートナーが今すぐ着手すべき“6つの防衛策”を提言した。
()
国内でも利用組織の多いフォーティネットの製品で、SSL-VPNの機能廃止が告知されて久しい。2026年4月時点では、FortiOS 7.4系列における技術サポート終了が2027年5月11日、サポート終了が2028年11月11日となっている。FortiOS 7.6.3以降はSSL-VPN機能が廃止済みであり、代替先の検討と移行対応が必要となる。こうした状況を踏まえ、セキュリティコミュニティー「WEST-SEC」が、「学びの共有」を目的とした勉強会を開催した。
()
Googleは、AI悪用によるゼロデイ探索や自律型マルウェア、LLM不正利用基盤、AI関連サプライチェーン侵害が拡大中だと公表した。中国、北朝鮮、ロシア系集団の活動例を示した。
()
Googleが、AIを使ったサイバー攻撃の過去3カ月における急速な進化を報告した。最先端AIモデルが従来のセキュリティスキャンでは判別できない脆弱性を発見。犯罪グループは一般提供されているAIモデルを使い、自律的に攻撃を行わせるエージェント化を進めている。
()
Nord Securityは、平均的な管理パスワード数が減少したとの調査結果を発表した。減少した背景には、SSO利用や生体認証、パスキーの普及がある。
()
Kasperskyは2023年〜2026年に流出した2億3100万件のパスワードを分析し、約半数が1分未満、6割が1時間未満で解読可能だったと発表した。
()
2026年3月3日、「ITmedia Security Week 2026 冬」で、セキュリティ啓発アニメ「こうしす!」の脚本・監督として活躍する井二かける氏が「認証技術とID統制、その第一歩を踏み出すために」と題して講演した。
()
「見慣れないダイアログが出てきた」「パスワードが自動入力されない」……これは面倒な不具合ではなく、システムがあなたをフィッシング詐欺から守っているサインかもしれません。人を狙う巧妙化する攻撃の実態と、技術と意識の両面からデジタル資産を守るためのポイントを解説します。
()
GitHub運用の設定漏れや権限不備を自動診断する新ツール「GitHub Quick Review」が登場した。何を可視化できるのか。
()
VPN機器などの脆弱性を突くのではなく、堂々と正面突破してくるサイバー攻撃の脅威が高まっている。闇市場で安価に調達できる「インフォスティーラー」を使い、攻撃者はユーザーの認証・認可情報を容易に窃取して侵入する。どんな企業であっても、このインフォスティーラーを正しく理解し、正しく恐れることが必須になっている。
()
医療機関のセキュリティ対策はどこまで進むのか。診療報酬では難しかった予算確保に対し、医療DXを起点とした新たな資金の流れが生まれている。一方でその恩恵は一様ではない。制度と現場のギャップを踏まえ、改革の実効性を検証する。
()
奥村組と奥村機械製作は、遠隔操作システムを改修し、日本国内から台湾桃園市で稼働中のシールドマシンの遠隔操作に成功した。
()
2026年3月31日、毎週約1億ダウンロードされていた主要HTTPクライアントライブラリ「axios」の主要開発者アカウントが乗っ取られ、同ライブラリの依存関係にマルウェアが仕込まれた悪意のあるバージョンが公開された。影響範囲は大きく、侵害の全体像と対応の指針を示したGMO Flatt Securityのブログ記事が注目を集めた。本稿は同社で記事を執筆した米内貴志氏にインタビュー。記事では書かれなかった執筆者としての思い、相次ぐ「ソフトウェアサプライチェーン攻撃」の教訓を聞いた。
()
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。最終列車のテーマは「繰り返されるトラブル」です。※このマンガはフィクションです。
()
Kasperskyは2025年のフィッシングおよびスパム動向レポートを公開した。同社は5億5400万件以上のフィッシングリンクへのアクセスを阻止し、全世界のメールの約45%がスパムだったと報告している。
()
アイディルートコンサルティングはランサムウェア攻撃への対応策をまとめた資料を発表した。「飲料メーカーA社」の被害事例を分析し、BCP策定や技術的対策の重要性を強調している。
()
国家レベルのサイバー戦争から、SNS詐欺、そして子どもを狙う犯罪など、治安悪化するサイバー空間で私たちは何に気を付ければいいのでしょうか。警察庁の定期レポート「令和7年におけるサイバー空間をめぐる脅威の情勢等について」の内容から注目ポイントを解説します。
()
2025年11月26日開催の「ITmedia Security Week 2025 秋」で、ポッドキャスト「セキュリティのアレ」を主宰するセキュリティリサーチャーの3人が「認証認可唯我独尊 第参章」と題して講演した。
()
マカフィーは、「2026年度版 詐欺の世界」に基づく脅威予測を発表した。日本人の半数がオンライン詐欺を経験、1日平均9件の詐欺メッセージを受け取っているという。
()
国内のランサムウェア被害の半数以上で侵入口となっているVPNは本当に“悪者”なのでしょうか。多くの企業が「脱VPN」を掲げていますが、ただ「脱」するだけでは問題は解決しません。筆者が考える有効な対策をお伝えします。
()
Amazonにて、大容量のプライベートクラウドを構築できる4ベイNAS「UGREEN DH4300 Plus」がセール中だ。AIフォトアルバム機能や2.5GbEポートを搭載し、スマホやPCの容量不足を月額料金なしで解決できる。
()
能動的サイバー防御は「官民連携の強化」「通信情報の活用」「アクセス・無害化措置」の3つの柱で整理できる。これらは、平時からサイバー攻撃が行われている現状に対し、国全体での対応能力を底上げするための施策だ。
()
メールのワンタイムパスワード(OTP)なら安全という常識は崩れつつある。リアルタイムフィッシングの脅威に対し、MIXIはどう動いたのか。「パスキー」活用の実像に迫る。
()
初期対応後、今回のインシデントの経験からシステムには4カ所の急所があったと判断し、そこを重点的に対処していった。
()
サイバー犯罪者が銀行、通信、物流、IT企業などの従業員を勧誘し、内部協力者として悪用する動きが加速している。ダークWebでは「経済的自立への近道」とする報酬を提示する投稿や広告が増加している。
()
サイバー攻撃の高度化によって「パスワードだけで守る」時代は終わりつつある。多要素認証の需要が増す中、本人である保証を高める“生体認証”が注目されている。なぜ今、生体認証なのか、認証方式の違いや活用事例からメリット・デメリットを読み解く。
()
FortinetはLDAP認証設定の差異に起因し特定条件下で2要素認証が回避される悪用が確認されたと発表した。該当する場合には対策や更新の実施が望まれる。
()
2026年もよろしくお願いします。新年早々恐縮ですが、今回は我が家で起きたクレカ不正アクセス被害の後編です。前編では不正利用を突き止め、Amazonアカウントを取り戻したまではよかったのですが、残念ながら話はそこで終わりませんでした……。
()
海外拠点のDX推進には、IT人材不足、言語、商習慣の違いといった壁が立ちはだかる。これをキントーンによる市民開発でいかに乗り越えるか。日系企業3社の事例からヒントを探る。
()
Fortinetは、過去に公表した認証欠陥が特定条件下で悪用された事例を示し、大小文字の扱いと設定不備により2要素認証が回避され得る点、対策設定と更新の必要性を示した。
()
KELAは、「ディープウェブ」「ダークウェブ」の違いや、主要8フォーラムの特徴を解説する記事を公式ブログで公開した。攻撃者が利用しているフォーラムを把握することは、企業を狙った脅威動向をセキュリティチームが把握するのに役立つという。
()
フエニックス・コンタクトは「IIFES 2025」において、セキュアな遠隔サポートを可能にするリモートアクセス用クラウド「mGuard Secure Cloud」を紹介した。
()
2025年もそろそろ終わり、というところで大事件が起きました。何と我が家のクレジットカードで不正アクセス被害が発生したのです。日頃からセキュリティ対策を怠らないように伝えてきましたが恥ずかしい限りです。ぜひ“他山の石”にしてください。
()
NECは、歩行中の人物を顔と虹彩の組み合わせで認証するウォークスルー型の「顔・虹彩マルチモーダル生体認証技術」を開発した。1台の小型カメラで高精度に識別でき、厳格な本人確認と利便性向上を両立する。
()
米連邦捜査局は、オンライン口座を乗っ取る詐欺が増加しているとして注意を喚起した。その上で、攻撃の手口や5つの防御策を解説している。
()
自律型AIペンテスター「Shannon」が登場した。ソースコード解析に基づきWebアプリの攻撃経路を特定し、実際のWebブラウザ操作で脆弱性を悪用・検証する。評価の結果、人間のテスターより高い成功率を記録したことが分かっている。
()
「EDRを入れれば安心」という考えが最も危険かもしれません。アスクルはランサムウェア被害に関する詳細なレポートを公開しました。ここから見えたのは「最新対策を導入していた企業」でも攻撃に遭うという事実です。ではどうすればいいのでしょうか。
()
「モノづくりに携わる人」だからこそ、もはや無関心ではいられない情報セキュリティ対策。今回は、サイバー攻撃を受けた美濃工業の事例を通じて、発生後の対応と、事前に取るべき備えについて考察します。
()
セキュリティSaaSを手掛けるAikido Securityは、npmパッケージを標的とした自己複製型ワーム「Shai Hulud」による2回目の大規模サプライチェーン攻撃を観測したと発表した。
()
装置の前で立ち止まったりのぞき込んだりすることなく、高精度に認証可能。3m離れていても、時速6キロ(早歩き程度)で歩く人物を認証できる。
()
Z世代の間で、友達のInstagramを乗っ取る「遊び」が流行しています。推測しやすいパスワードで不正ログインし、DM盗み見や偽投稿を行いますが、これは「不正アクセス禁止法違反」となる犯罪行為です。被害を防ぐにはパスワード管理と二段階認証が不可欠。親子でリスクを話し合い、セキュリティ設定を見直すことが重要です。
()
「Hacklore」プロジェクトは、いかにも真実かのように語られるが実証性に乏しい安全神話を指す概念「ハックロア(Hacklore)」の見直しを図る書簡を公開した。「公共Wi-Fiの利用回避」など実態に即していない助言に改善策を提案している。
()