最新記事一覧
「Apache Log4j」の脆弱性など、ソフトウェアサプライチェーンのリスクは多くの企業が知るところだ。しかし注意すべきはそれだけではない。AI時代に本格化の兆しが見える新たなサプライチェーンリスクについて解説する。
()
大手IT企業が、自社サービスで「Apache Iceberg」形式のデータテーブルを扱えるようにする動きが進んでいる。データレイクとDWH双方の特徴を持つ「データレイクハウス」の土台になる、Apache Icebergの仕組みとは。
()
Apache Tomcatに複数の深刻な脆弱性が見つかった。これらの脆弱性はDoS攻撃や任意コード実行、認証バイパスなどの悪用を可能にするという。対象バージョンは多岐にわたるため速やかなアップデートが推奨されている。
()
Apache TomcatにCVSS9.8と評価された新たな脆弱性が見つかった。過去に見つかった別の脆弱性への対策が不完全だった点に起因するとされている。ユーザーが取るべき対策とは。
()
Apache Tomcatの脆弱性「CVE-2025-24813」を利用した攻撃の試みが進行中だ。悪用には一定の条件を満たす必要があるが、日本を含めた複数の国のサーバも攻撃の対象になっているため注意してほしい。
()
フィックスターズは、2D画像から3Dモデルを高速で生成するMulti-View Stereoソフトウェア「CUMVS」を、Apache License 2.0のオープンソースとして公開した。
()
Apache Struts2にCVSS 9.5の重大な脆弱性が見つかった。この脆弱性を含んだバージョンは合計で4万回ダウンロードされており、広範囲での影響が懸念される。
()
先日Apache Tomcatに見つかったリモートコード実行の脆弱性「CVE-2024-50379」の修正が不完全であることが判明した。影響を受けるバージョンの利用者には、速やかなアップデートと追加の設定見直しが必要になるため注意が必要だ。
()
Apache TomcatにCVSS v3.1のスコア値9.8、深刻度「緊急」(Critical)の脆弱性が見つかった。影響を受けるバージョンの利用者は、速やかに修正版へのアップデートを推奨されている。
()
Apache Software FoundationはApache Strutsフレームワークの深刻な脆弱性(CVE-2024-53677)を報告した。この脆弱性を悪用すると、リモートから任意のコードが実行され、システムが侵害される可能性がある。
()
Apache Tomcatに複数の脆弱性が存在することが分かった。CVSSスコア9.8の脆弱性も見つかっているため、急ぎ対処が求められる。
()
UNIX系の印刷システム「CUPS」の致命的な脆弱性は、発見当初は2021年に見つかったApache Log4jの脆弱性と比較されるものと懸念されていたが、調査が進み「そこまでではない」と判断された。なぜそこまで過大評価されたのか。
()
保健医療サイバーセキュリティ調整センターは、医療機関に対し、Apache Tomcatの脆弱性について警告した。リモートコード実行などを可能とする複数の脆弱性が見つかっている。
()
Metaは、画像だけでなく、動画内のアイテムもセグメント化できるAIモデル「Segment Anything Model 2」(SAM 2)を発表した。モデルは「Apache 2.0」ライセンスでGitHubで公開されている。
()
Snowflakeは、「Apache Iceberg」形式でベンダー中立のオープンカタログ実装「Polaris Catalog」を発表した。Apache Icebergは、データレイクハウスやデータレイクなどのモダンアーキテクチャの実装に広く使われているオープンソースデータテーブル形式だ。
()
TenableはマルウェアKinsingが新しい高度なステルステクニックを使ってApache Tomcatサーバに潜伏していると報じた。KinsingはLinuxクラウドインフラを標的とし、バックドアや暗号資産のマイニング機能を仕掛けることで知られている。
()
xAIは、大規模言語モデル「Grok-1」の基本モデルの重みとネットワークアーキテクチャを、Apache 2.0ライセンスでオープンソースとして公開した。
()
イーロン・マスク氏のAI企業xAIは、予告通りLLM「Grok-1」の基本モデルの重みとアーキテクチャをオープンソース化した。GitHubでApache 2ライセンスで配布している。マスク氏はXでChatGPTのアカウントに「“オープン”について説明して」とコメントした。
()
チェック・ポイント・ソフトウェア・テクノロジーズは、2023年12月の世界脅威インデックスを発表した。悪用された脆弱性のトップは「Apache Log4jのリモートコード実行」だった。
()
Apache Struts2の脆弱性情報とPoCが公開されたのち、サイバー攻撃者がこれを悪用し始めた。アップデートの適用が推奨されている。
()
Five Eyesの共同勧告によると、2022年に最も多く悪用された12の脆弱性の半数は2021年に発見されたものだ。ここにはApache Log4jの脆弱性もいまだに含まれている。
()
英Stability AIの日本法人であるStability AI Japanは、日本語向け大規模言語モデル(LLM)「Japanese StableLM Base Alpha 7B」を公開した。パラメータは70億。ライセンスはApache License 2.0で、商用利用可能だ。
()
UAEのTechnology Innovation Instituteは、Apache-2.0ライセンスの下でリリースした言語モデル「Falcon」について公式ブログで紹介した。
()
Lineaje Data Labsは、Apache Software Foundationのプロジェクトに組み込まれている41,989のオープンソースコンポーネントを分析した調査レポートを発表した。
()
Discordでは、Apache Cassandra(Cassandra)を利用していたが運用負荷など幾つかの課題があった。そこで同社は、ScyllaDBへの移行を決断し、ダウンタイムなしで移行を実現したという。Cassandraを巡ってどのような問題を抱えていたのか。どのようにダウンタイムなしで移行を実現したのか。Discordの公式ブログで解説した。
()
PostgreSQL、MySQL、Apache Kafkaなどがマネージドで使えるサービスがある。3大クラウドのどこで動かすかを選んでデプロイできる。共同創業者/CEOに同サービスの中身を聞いた。
()
Apache Tomcatにリクエストスマグリング攻撃を受ける可能性のある脆弱性が見つかった。該当ソフトウェアを使用している場合、問題修正済みのバージョンにアップデートすることが推奨されている。
()
Gartnerには、「ビッグデータ」に関する問い合わせが継続して寄せられているが、「Apache Hadoop」についての問い合わせは多くない。本稿では、Hadoopの現状と今後の動向について考察する。
()
オープンソースAPIゲートウェイ「Apache APISIX」の開発チームは、Amazon Web ServicesとMicrosoft Azure、Google Cloud Platformの処理性能と価格性能比を調べた。狙ったのはArmベースサーバの優劣を見極めることであり、APISIXを使って比較テストを実行した。
()
Apache Log4j問題を取り上げるまでもなく、企業ITにも広くOSSが浸透する現在、セキュリティ対策でもこれらに対応する必要がある。OSS開発コミュニティーはサプライチェーン管理の現状とセキュリティリスクをどう捉えているだろうか。
()
2021年12月、Apache Log4jの脆弱(ぜいじゃく)性であるLog4Shellの情報が公開された。本稿ではLog4Shellの概要と、なぜ攻撃者がLog4Shellを悪用するのかを解説する。
()
Javaのログ出力ライブラリ「Apache Log4j」に存在する深刻な脆弱性「Log4Shell」が、いまだに悪用され続け、情報流出などの被害を発生させている。被害組織の中には複数の集団に侵入されたり、ランサムウェア感染の二次被害が発生したりするケースもある。
()
CISAとCGCYBERはVMware HorizonおよびUnified Access Gateway(UAG)に関するセキュリティアドバイザリーを公開した。これによると複数の脅威アクターが、Apache Log4jの脆弱性である通称「Log4Shell」を利用してこれらのVMware製品にサイバー攻撃を仕掛けている。
()
Apache Tomcatに深刻度が「重要」(High)に分類される脆弱性が見つかった。実装によっては脆弱性の影響を受けない可能性があるが、アップデートが提供されていることから迅速に適用してほしい。
()
2021年末に発見された「Apache Log4j」の脆弱性。この脆弱性を悪用する攻撃に対峙したセキュリティベンダーは、どんな対処を取ったのか。実際の対応を参考に、ゼロデイ攻撃への対策を考える。
()
チェック・ポイント・リサーチは、2022年3月の世界脅威インデックスを発表した。最も流行しているマルウェアは、国内と世界のいずれも前月と同様に「Emotet」。悪用された脆弱性の第1位は「Apache Log4j」だった。
()
国家が関わっている複数のハッカー集団が「Apache Log4j」の脆弱性「Log4Shell」を使い、攻撃を仕掛けている。今「誰」が「どう」動いているのか。
()
企業は引き続き、「Apache Log4j」の脆弱性「Log4Shell」を悪用した攻撃に注意する必要がある。自社の防御に役立つノウハウやツールは何か。
()
「Apache Log4j」の脆弱性「Log4Shell」の攻撃は専門家も驚くほどの勢いを見せ、企業を狙っている。なぜ、これほど猛烈なのか。企業はどうすればいいのか。
()
Apache Log4j 2の脆弱性「Log4Shell」の危険性は既にご存じだろう。その真の恐ろしさは、提供されるセキュリティアップデートを適用しただけでは解決しないということだ。
()
ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。
()
2021年は年末にかけて、Emotetの活動再開やApache Log4jの脆弱性など大きなセキュリティニュースが話題になりましたが、発生したインシデントはそれだけではありません。2021年の10大セキュリティ事件をどこまで覚えていますか。
()
Apache Software Foundationは「Apache HTTP Server 2.4.52」を公開した。新バージョンは2つの脆弱性に対処した。内容の確認と迅速なアップデートが望まれる。
()
Apache Log4jを巡る一連の脆弱性問題で、新たな脆弱性が発見された。Apacheはこれを受けて3つ目のセキュリティパッチを公開した。すでにアップデートをした場合も、現在のバージョンを確認するとともに対策に取り組んでおきたい。
()
The Apache Software Foundation(ASF)がJava環境向けのログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たに見つかったDoS攻撃を引き起こす脆弱性「CVE-2021-45105」を修正する。
()
「Apache Log4j」で見つかった脆弱性について、JPCERT/CCは脆弱性を突いた攻撃が高度化していると報告した。WAFの回避、AWSの認証情報の摂取などが確認された。
()
Log4jのjはJava。そしてApache。これらはどういう由来なのか、調べてみた。
()
「Apache Log4j」の脆弱性で名指しされていたApple iCloudだが、12月11日までには修正されていたことが分かった。
()
Microsoftは、「Apache Log4j」の脆弱性が、中国、イラン、北朝鮮、トルコを起源とする複数の集団によって悪用されていることを確認した。また、複数のアクセスブローカーが企業からの情報窃盗にこの脆弱性を利用していることも確認したとしている。
()
世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設で観測した攻撃数の平均グラフを公開した。
()