最新記事一覧
本連載では、Clarotyのレポート「Analyzing CPS Attack Trends(CPS攻撃の傾向分析)」をベースに、OTを直接狙うサイバー攻撃の現状と対策を連載形式で解説する。今回は、こうした攻撃がどのように実行されるのか、攻撃者の視点からその侵入手法とプロセスを詳しく見ていく。
()
7万台超のFortiGateに関する認証情報流出疑惑で注目を集めた「FortiBleed」。これに対してFortinetは、新たな脆弱性や製品侵害ではないとの見解を示した。その一方で、影響を受けた可能性がある組織には複数の緊急対応を要請している。なぜパッチ適用後もリスクが残るのか。
()
FortiGateを狙った大規模な認証情報収集キャンペーンの存在が明らかになった。対象となった機器は32万台超。その中には比較的新しい更新プログラムが適用された装置も含まれていたという。攻撃者は何を狙い、どのように侵入経路を確保していたのか。
()
次世代AI「Claude Mythos」の登場と、その一般公開版「Claude Fable 5」のリリースが、サイバーセキュリティの前提を根底から覆した。この種の最先端のAIモデルが未知の脆弱性を自律的に見つけ出し、1時間足らずでデータを奪取するという、新たな脅威が生じている。セーフガードを巡る開発ベンダーの葛藤と、国家安全保障をも巻き込む激変の最前線、日本のIT管理者が取り得る対策について解説する。
()
Kingston Technologyは、「Kingston FURY Renegade Pro DDR5 RDIMM ヒートスプレッダモデル」など2製品を発売した。NVMeインタフェースを採用したデータセンター向けSSDの新容量モデルも発表している。
()
アサヒGHDの大規模ランサムウェア攻撃事案では、被害を防ぐためにシステムを停止した結果、事業が完全停止してしまった。良かれと思った決断が致命傷になるジレンマを解消し、セキュリティを強化するには。
()
ESETは、脅威アクターがAIを活用して攻撃を高速化している現状と防御側の対策について解説した。初期侵入から横展開までのブレークアウトタイムは平均約30分にまで短縮されていると警告している。
()
フォーティネットの最新レポートは、サイバー犯罪が新たな局面に入った実態を示している。2025年のランサムウェア被害件数が前年比から389%増の7831件に達したという。この背景には一体何があるのか。
()
SMB通信しか使わない侵入手法でファイルを暗号化する新型ランサムウェア「WantToCry」が確認された。EDRを擦り抜けるその手口は、従来の「検知前提」の対策を揺さぶり始めている。公開SMBを抱える企業は、既に標的リスト入りしているかもしれない。
()
Linuxカーネルの深部で見つかった欠陥が、想像以上に危険な波紋を広げている。一般ユーザー権限しか持たない攻撃者が、わずかな“終了処理の隙”を突くことでroot専用情報に到達可能だという。PoCも公開済みのため要注意だ。
()
Microsoftは重要インフラを取り巻くサイバー脅威が構造的に変化している状況を解説するレポートを公開した。IDを起点とした攻撃や、国家主体の長期潜伏型の攻撃に警戒が必要だ。
()
Kasperskyは2023年〜2026年に流出した2億3100万件のパスワードを分析し、約半数が1分未満、6割が1時間未満で解読可能だったと発表した。
()
日本企業を標的にしたランサムウェア被害が急増し、アジアで最も狙われる国となった。その中心にいるのは、QilinやDevmanといった新興RaaS勢力だ。これらのRaaSの特徴と基本戦術を解説するとともに、取るべき対策を考える。
()
テレワーク時の業務を支えるBYODやVPNは便利である半面、デバイスのセキュリティが手薄になりやすく、攻撃者の格好の標的になる。「侵入口」を攻撃者に明け渡さず、サイバー攻撃から企業を保護するための方法とは。
()
Sophosはここ数年のサイバー攻撃の分析報告を公表した。調査したインシデントの67%で認証情報侵害などID関連の問題が侵入の起点となった。侵入後は約3.4時間でADに到達し、ランサムウェア攻撃やデータ窃取は業務時間外に集中する傾向が確認された。
()
中堅・中小企業にとって、手作業によるデバイス管理や煩雑なID管理は大きな負担だ。自社の不備が取引先にとってのリスクとなる今、低コストかつ少ない工数でセキュリティを高めるにはどうすればいいのか。IT資産管理、ID管理、セキュリティ対策を一元化する「オールインワン」の現実解を解説する。
()
サイバーセキュリティ企業のTenzaiは、「Cursor」「Claude Code」「OpenAI Codex」「Replit」「Devin」という5つの主要なコーディングエージェントを取り上げ、セキュアコーディング能力を比較した結果を公開した。
()
サイバー犯罪者が銀行、通信、物流、IT企業などの従業員を勧誘し、内部協力者として悪用する動きが加速している。ダークWebでは「経済的自立への近道」とする報酬を提示する投稿や広告が増加している。
()
世界で最も使われているパスワードは、2025年も「123456」だった。なぜユーザーは脆弱な文字列を使い続けるのか。その責任を「社員のリテラシー」に押し付けないためにIT部門がやるべきことは。
()
Microsoftは「Active Directory Domain Services」(AD DS)を狙う攻撃を6つに分類し、検知や対策の方法を示した。
()
Microsoftは、Active Directory Domain Servicesを標的とした代表的な6つの攻撃手法とその対策を公開した。
()
1人のユーザーが利用するパスワードが多岐にわたる中、パスワード管理ツールの利用が推奨されることがある。だがESETは、パスワード管理ツール自体が侵害されることがあるとして警鐘を鳴らした。
()
複数のパスワードを安全かつ効率的に管理するパスワードマネジャーだが、その利便性と裏腹に、セキュリティのリスクも指摘されている。リスクや対策を紹介する。
()
Microsoftはサイバーセキュリティ動向に関する年次レポート「Microsoft Digital Defense Report 2025」を公開した。サイバー攻撃の現状、主要な標的、国家が関与する攻撃の脅威、AI活用の動向に焦点を当て、組織に求められる10の取り組みを紹介したものだ。
()
AIの進化によってサイバー攻撃が高度化しているが、依然としてパスワードは第一の防衛線として機能している。人が弱いパスワードを使用してしまう背景と、強力なパスワードを作成する“3つのルール”を解説する。
()
影響はVMware Cloud FoundationやTelco Cloudにも。
()
Darktraceは、VPSを悪用したSaaSアカウント侵害事例を報告した。HyonixなどのVPS経由で不審ログインや受信トレイルール不正操作、フィッシング隠ぺいなどが確認されているという。これに対処するにはどうすればいいのか。
()
iPhoneに採用される次期バージョン「iOS 26」で、新たな「安全・安心」機能が追加される。一足先に内容を見ていこう。
()
巧妙化する攻撃からアカウントを守るには、認証要素の強弱を押さえた上で多要素認証(MFA)を設計することが重要だ。MFAの主要認証要素の比較や、フィッシング耐性のあるMFAについて解説する。
()
コンピュータが扱う最小の情報単位「ビット」は、0と1の組み合わせによって数値や文字、画像、音声などあらゆるデータを表現する。2進数の基本原理から活用例まで、ビットの重要性を解説する。
()
ルーターは、家庭から企業まであらゆるネットワークに欠かせない機器だが、利便性の裏に見逃せないセキュリティリスクが潜んでいることには注意が必要だ。特に対策が必要な点は何か。
()
クレジットカードの不正利用被害が激増している今、EC事業者は自社に合った適切な不正ログイン対策や不正利用対策を講じることが重要です。今回は代表的な不正ログイン対策のメリット/デメリットを徹底解説します。
()
太陽光発電のセキュリティ課題について、技術的・実務的な観点から検証していく本連載。第2回の今回は、ちまたで噂されるパワコンの「隠された通信機能」と、太陽光発電へのサイバー攻撃による大規模停電の可能性について検証していきます。
()
TechTargetは「APIセキュリティのベストプラクティス」に関する記事を公開した。APIセキュリティを確保するために有用な13個の施策を紹介している。
()
滋賀県教育委員会は7月1日、不正アクセスによる改ざんを受けて5月末から閉鎖している県立図書館のWebサイトについて、調査結果を公表した。管理用IDへの総当たり攻撃の痕跡や、システム更新の不備が確認されたといい、システムの再構築とセキュリティ対策の強化を実施した。Webサイトは7月2日午前10時に再開する。
()
パスワードは、デバイスやアプリケーション、Webサイトに安全にアクセスするために欠かせない手段だ。業務にも生活にも欠かせないパスワードについて、その基本や安全に利用するこつを解説する。
()
Microsoftは2025年7月から、Microsoft 365においてRPSやFPRPCといった旧式認証方式を遮断し、サードパーティー製アプリのアクセス制御も強化すると発表した。組織への影響はどのくらいあるのか。
()
パスワードを使わずに認証できるパスキー。セキュリティやユーザー体験(UX)にメリットがある一方で、課題もある。どのようなものか。
()
ロシア政府が首謀するとみられるサイバー攻撃集団の標的が拡大し、物理的な損害にまで発展していることを、米英他20を超える政府機関が共同勧告で明らかにした。サイバー攻撃集団の狙いと、その“定番”の手口とは。
()
いずれスーパーコンピュータの計算能力を大幅に上回る可能性を秘める量子コンピュータ。両者は何が違うのか。用途の観点から解説する。
()
パスワードは長く複雑にするほど、覚えにくいといった課題がある。パスフレーズを使用することで、こうした従来型パスワードの課題を克服できる可能性がある。どのように作ればいいのか。
()
サービスを安全に使うために長くて複雑なパスワードは欠かせない。だが、パスワードに長さや複雑さを求めるとさまざまな問題が生じる。そうした中で注目されているパスフレーズとは。
()
ポートスキャンツールNmapの最新版「Nmap 7.96」がリリースされた。今回のアップデートでは、DNS処理の並列化によりスキャン速度が大幅に向上し、従来49時間かかっていた100万件のドメイン名の名前解決がが約1時間で完了するようになったという。
()
Check Point Researchは、WindowsのNTLM認証に関連する脆弱性(CVE-2025-24054)が既に悪用されていると報告した。パッチ公開後わずか8日で複数のターゲットを狙った攻撃が確認されている。
()
サイバー保険会社Coalitionの調査レポートによると、ランサムウェア攻撃の侵入経路には”ある傾向”が見られたという。攻撃のトレンドや、ますます高まる脅威リスクへの備え方と併せて解説する。
()
ランサムウェアグループBlack Bastaのプライベートなチャットログが流出し、その内情が明らかになった。彼らはVPNなどに使われている脆弱なパスワードを推測する自動化フレームワークを開発していたという。
()
安全にメールを使う上で、メールのセキュリティ対策は欠かせない。一方、対策は多岐にわたる。基本のセキュリティ対策を5つ紹介する。
()
Nokia DeepfieldとGreyNoiseの研究者たちは、botネット「Eleven11bot」が3万台以上のデバイスを含む規模に成長していると警告した。このbotネットはDDoS攻撃に使用されているという。防御に向けた3つの対策を紹介する。
()
「Microsoft Entra ID」は、Microsoftのクラウドサービスを利用する際に欠かせないIDおよびアクセス管理サービスです。今回は、デジタル時代において依然として多くのシステムやサービスで利用される主要な認証手段「パスワード」の管理について解説します。
()
パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。
()