最新記事一覧
MicrosoftはWindows DNS Clientに深刻なRCE脆弱性「CVE-2026-41096」が存在すると公表した。細工されたDNS応答によってメモリ破損が発生し、条件次第で認証不要の遠隔コード実行に至る恐れがある。
()
「NGINX」に、認証不要で悪用可能な“危険すぎる欠陥”が見つかった。たった一つのHTTPリクエストが、サーバ停止や遠隔コード実行(RCE)につながる可能性もあるという。問題は標準構成にも潜み、影響範囲は想像以上に広い。運用担当者が今すぐ確認すべきポイントとは。
()
Microsoftは、WindowsやOffice、Azure関連の5月分の修正を発表した。CVSS9.8以上の重大欠陥4件を含み、DNSクライアントやNetlogonなどで遠隔攻撃の恐れがあるとして、迅速な適用を呼びかけた。
()
MCPサーバはAIツールの活用に欠かせない存在だ。しかし利便性を重視するあまり、クラウドサービスの完全な掌握を攻撃者に許す恐れがあるとトレンドマイクロは指摘する。深刻なリスクの実態とは。
()
OpenAI風の人気AIリポジトリに、なぜ開発者は群がってしまったのか――。18時間足らずで約24万4000件のダウンロードを記録したコードの裏に仕込まれたわなの中身とは。
()
Palo Alto NetworksはPAN-OSに深刻な脆弱性が存在することを発表した。認証不要でroot権限のコード実行が可能だという。CISAが同脆弱性をKEVカタログに追加していることから悪用が懸念されるため注意してほしい。
()
GitHubは自社の「Advisory Database」のデータを基に、2025年のOSSの脆弱性動向に関するレポートを発表した。
()
「Docker Engine」に認可プラグインをバイパスしてホストシステムに不正アクセスできる深刻な脆弱性が公表された。修正版となる「Docker Engine 29.3.1」が公開され、アップデートが推奨されている。
()
Googleは2026年5月のセキュリティ情報を公表し、無線ADB機能の深刻な脆弱性の存在を明らかにした。対象はAndroid 14以降で、近距離から認証を回避しシェル権限でコードを実行される恐れがある。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、4月26日週を中心に公開された主なニュースを一気にチェックしましょう!
()
CISAは悪用が確認された2件の脆弱性をカタログに追加した。ConnectWise製ツールとWindows Shellに存在する脆弱性で、遠隔操作やなりすましの恐れがある。防御態勢の維持が強く推奨される。
()
Tenableは脆弱性管理製品NessusとNessus AgentのWindows版に任意ファイル削除の脆弱性があると公表した。SYSTEM権限で削除が可能で悪用時にコード実行の恐れがある。修正版への迅速な更新が推奨されている。
()
Microsoftは、ASP.NET Coreの暗号署名検証に起因する権限昇格の脆弱性(CVE-2026-40372)を公表した。未認証の攻撃者がSYSTEM権限を取得する恐れがある。修正版への更新が推奨される。
()
Oracleは、複数製品の脆弱性に対応するため、481件のセキュリティ修正を含む定例アップデートを公開した。既存の欠陥が攻撃に使われる事例が報告され、迅速な適用とサポート対象版の利用を呼びかけている。
()
CrowdStrike Falcon LogScaleに認証不要で任意ファイルの閲覧が可能な脆弱性が見つかった。CVSSの評価は9.8、深刻度「緊急」に該当する。SaaSは対策済みで被害確認なし、自社運用版は更新が必要だ。
()
Active Directoryにリモートコード実行の脆弱性が見つかった。認証済み攻撃者が細工したRPC通信でサーバ上の処理を実行可能となる問題で、同一ドメイン内で成立する。修正対応は必須と位置付けられている。
()
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。
()
Adobeは、「Adobe Acrobat」および「Adobe Acrobat Reader」に重大な脆弱性が存在し、実際に悪用が確認されていると公表した。細工されたPDFにより任意コード実行の恐れがあり、最新版への更新を強く求めている。
()
監視ツールとして広く使われるZabbixで、低権限ユーザーからでもデータベース内部に迫れる脆弱性が明らかになった。直接データを盗めないはずの“読み取り専用”攻撃が、なぜ重大リスクへと変わるのか。
()
ランサムウェア被害の報道が続く中、「どこから対策すべきか」「ツールを導入しても運用できるか不安」と悩む声は多い。背景には、CVSSスコアだけでは本当に危険な脆弱(ぜいじゃく)性を判断しにくい課題がある。そこで注目されるのが、攻撃をエミュレーションし“本当に侵入できるか”を検証するASM「ULTRA RED」だ。先端セキュリティソリューションを日本市場に届けてきたマクニカはなぜ今、本製品を推奨するのか。
()
Synologyは、DSMなどのOSに任意のコマンドを遠隔で実行される重大な脆弱性が存在することを公表した。CVSSスコア9.8と深刻で、認証なしに悪用される恐れがある。対象製品の速やかなアップデートと、Telnetの無効化が強く推奨される。
()
TP-Linkは無線LANルーター「Archer NXシリーズ」に複数の脆弱性があると公表した。認証不要で管理操作が可能となる欠陥やコマンド実行の問題、設定暗号の不備が含まれる。対象バージョンには更新版ファームウェアの適用が推奨されている。
()
Kubernetesのingress-nginxに、Nginxへの構成注入を許す脆弱性が公表された。特定のアノテーション操作でコード実行や機密情報が漏えいする可能性がある。CVSSのスコアは8.8で、修正版への迅速な更新が推奨される。
()
GNU Inetutilsのtelnetdに、未認証の遠隔攻撃者によって任意のコード実行が可能となる脆弱性が発見された。TELNETは通信内容が平文で送信される旧来のプロトコルで、現代のセキュリティ要件には適さないが、産業分野や政府系システムでは依然として使用されているため注意が必要だ。
()
Microsoftは、Active Directory Domain Servicesの権限昇格の脆弱性「CVE-2026-25177」を公開した。Unicode文字でSPNやUPNの重複登録を成立させ、Kerberos認証の誤処理によってSYSTEM権限取得やサービス障害を招く恐れがある。
()
Microsoftは、.NETにサービス停止を引き起こす脆弱性CVE-2026-26127の修正を公開した。境界外メモリ読み取りに起因し、認証不要の遠隔攻撃でアプリ停止の恐れがある。.NET 9.0と10.0などに更新版が提供された。
()
Windows Remote Desktop Servicesのゼロデイ脆弱性を悪用するコードがダークウェブ市場で高額流通されていることが分かった。同脆弱性はSYSTEM権限奪取が可能で広範なOSに影響するという。
()
2025年11月27日、サイバーセキュリティアドバイザーとして活躍する名和利男氏が「ASMを意思決定エンジンへ:優先度駆動の能動的防御」と題して「ITmedia Security Week 2025 秋」で講演した。
()
CiscoはSecure FMCのWebインタフェースに認証回避の脆弱性があると発表した。未認証の攻撃者がroot権限を取得できる。CVSS v3.1のスコアは10.0、深刻度「緊急」(Critical)だ。回避策はないため修正版への速やかな更新が求められる。
()
OX SecurityはVS Code用の拡張機能4件に重大な脆弱性を確認した。Live Serverなどに遠隔ファイル流出やRCEの恐れがあり、Cursorなどにも影響する。開発環境の防御は急務であり、審査制度の整備を提言している。
()
Palo Alto Networksは、PAN-OSのADNS機能に未認証で再起動を誘発可能なDoS脆弱性を公表した。特定バージョンが影響を受け、速やかな修正版への更新が求められている。
()
Claudeの拡張機能にカレンダーの予定から任意のコードを実行されるゼロクリック脆弱性が判明した。サンドボックスを介さない特権動作やコネクター間の信頼設計に構造的欠陥があり、現在も未修正のため注意を要する。
()
FortinetはFortiClientEMSにSQLインジェクションの脆弱性が存在すると発表した。CVSSスコアは9.8と高く、未認証でリモートコード実行の恐れがある。影響を受けるユーザーは速やかな更新が求められる。
()
Fortinet製品のFortiCloud SSOに認証回避の重大な脆弱性が見つかった。CVSSの評価は9.8、深刻度「緊急」(Critical)であり、攻撃者による悪用も確認されている。インターネットに公開されている約328万件の資産が影響を受けるという。
()
TP-Linkは同社製品のArcher MR600 v5にコマンドインジェクションの脆弱性が存在すると公表した。認証済み攻撃者が管理インタフェースからシステムコマンドを実行し、機器を制御する恐れがある。同社は最新版への更新を推奨している。
()
USBメモリ作成ツール「Rufus」の4.11以前に、競合状態を利用した権限昇格の脆弱性が確認された。悪用されると、一時ファイルを介して管理者権限で任意のコードを実行される恐れがある。
()
HuntressはVMware ESXiへの高度なエスケープ攻撃を分析した。VPN認証情報の侵害からドメインを掌握後、公表1年前から準備されたゼロデイ攻撃でバックドアを設置する手法が判明した。パッチ適用とホスト監視の重要性を強調している。
()
EUで成立したサイバーレジリエンス法(CRA)は、デジタル要素を持つ製品に対し、設計から市場投入後まで一貫したサイバーセキュリティ対策を義務付けている。EU市場に製品を供給する場合、EU域外の日本企業もCRA対応が必要となる。本稿では、CRA対応の要点を解説する。
()
Palo Alto Networksは、PAN-OSのGlobalProtect機能におけるDoS脆弱性を発表した。未認証の攻撃によってファイアウォールが停止する恐れがある。回避策や緩和策は存在しないとされている。
()
Fortinetは「FortiSIEM」や「FortiClientEMS」をはじめとする複数製品に影響する重大な脆弱性を修正した。悪用可能な問題を含んでおり、未認証のコマンド実行やSQL注入の恐れがある。利用者は迅速な更新や回避策の適用が推奨されている。
()
Hikvisionは監視機器やアクセス制御製品の探索機能に2件の脆弱性があると発表した。同一LAN内から細工されたパケットによって機器が誤動作する恐れがある。
()
React Routerは、Node.js用パッケージなどに深刻な脆弱性が存在すると報告した。署名なしCookieとの併用時に、指定外のファイルを読み書きされる恐れがある。CVSSスコアは9.1と高く、開発者は最新版への更新が推奨される。
()
Trend Microはオンプレミス版のApex Centralの脆弱性3件を修正するパッチを公開した。最大深刻度はCVSS 9.8で、SYSTEM権限でのコード実行やDoS攻撃の恐れがある。速やかな最新版への更新が求められる。
()
Akamai Security Intelligence Groupは、2025年12月に情報公開されたNoSQLデータベース「MongoDB」の脆弱性(CVE-2025-14847)について、公式ブログで解説した。
()
TRENDnet製のWi-Fi中継機に認証不要のコマンドインジェクション脆弱性が判明した。root権限で任意コマンドが実行可能なため、機器の完全制御や踏み台悪用の恐れがある。
()
MITREはソフトウェアにおける危険な脆弱性タイプをまとめた「CWE Top 25 Most Dangerous Software Weaknesses」の2025年版を発表した。Webアプリケーション関連の脆弱性がTop 3を独占する結果となった。
()
セキュリティリサーチャー辻伸弘氏が、サイバーセキュリティの世界におけるさまざまな“常識”や思い込みに、次々と一石を投じる新連載。第1回は、辻氏のキャリアの原点でもあるペネトレーションテストにつき、身を切る思いで問題を提起する。
()
2025年、アサヒグループホールディングスへのランサムウェア攻撃など、企業や社会インフラを直撃するサイバー攻撃が相次いだ。国内外で多発したランサムウェアや不正アクセスの事例を振り返りながら、2025年に見えた攻撃トレンドを整理し、2026年の脅威を展望する。
()
Net-SNMPの開発者らはsnmptrapdに細工済み通信で異常終了を招く欠陥があることを公表した。全版が影響を受けて深刻度は極めて高い。修正版の導入と通信制御の徹底が必要だ。
()
Google Threat Intelligence Groupは、React2Shell脆弱性の悪用事例を観測したと報告し、侵害の検出方法と推奨対策を紹介した。
()