最新記事一覧
WordPressの人気プラグイン「ACF Extended」に、未認証状態で任意のコードを実行される恐れのある重大な脆弱性が確認された。影響範囲は10万以上のWebサイトに及ぶ可能性があり、早急な更新を呼びかけている。
()
頻繁に出るIT製品の脆弱性情報をどう効率よく管理するかが、セキュリティ担当者にとって悩みどころだ。Excelの「XLOOKUP関数」を使えば、脆弱性管理のスピードを高められる。
()
Microsoft Outlookに存在する深刻な脆弱性「CVE-2024-21413」(MonikerLink)のPoCコードが公開された。この欠陥は認証情報の漏えいや任意コード実行に至る恐れがあり、早急な対策が求められる。
()
MarkdownからPDFを生成するコマンドラインツール「md-to-pdf」において、CVSSスコア10.0の脆弱性が見つかった。急ぎ対応が求められる。
()
4年ぶりの「OWASP Top 10 2025」が公開された。できる限り「症状」ではなく「根本原因」に焦点を当てるように刷新したという。
()
pgAdmin4のサーバモードにおけるPLAIN形式ダンプのリストア処理に深刻なRCE脆弱性が確認されている。開発側は修正版9.10を公開し、早急な更新が求められる。
()
FortinetはFortiWebに相対パストラバーサル脆弱性が存在し、管理GUI経由で管理権限操作に到達され得ると発表した。既に悪用も確認されており、早急な対応が求められる。
()
MicrosoftはGitHub CopilotとVisual Studioに関する2件の脆弱性を公開した。これらはローカル環境の認証済み利用者による操作を前提とし、セキュリティ機能のバイパスにつながる。ユーザーは速やかに更新プログラムの適用が望まれる。
()
AmazonはCisco ISEとCitrix製品の未公開ゼロデイ脆弱性が高度な攻撃者によって悪用されていた事実を明らかにした。攻撃者は修正前から欠陥を突いていたとされる。重要インフラへの脅威が増大しており、多層防御強化が求められている。
()
OWASPはWebアプリケーションのセキュリティリスクのうち重大なものをリスト化した「OWASP Top 10 2025」を公開した。2025年版のリストでは、幾つかの新たな項目がランクインしている。
()
2025年10月配信の更新プログラムKB5070881は、WSUSの脆弱性(CVE-2025-59287)に対応する緊急修正だが、一部のWindows Server 2025でHotpatch登録状態を損なう不具合を発生させた。Microsoftは修正版KB5070893を2025年10月24日に提供している。
()
Docker Composeに、リモートのOCIアーティファクト処理時のパス検証不備による深刻な脆弱性が報告された。攻撃者による任意ファイル上書きが可能であり、CVSS 8.9(High)と評価されている。修正版への更新が推奨されている。
()
WSUSに存在する脆弱性が悪用され、リモートコード実行が可能となる攻撃が発生している。PoC公開後に攻撃が拡大している中、多数のサーバが未修正のまま稼働しており、早急なパッチ適用とアクセス制御が求められている。
()
CensysはBIND 9リゾルバにキャッシュポイズニング攻撃の脆弱性があると公表した。偽応答を注入し、キャッシュを汚染することでユーザーを不正なWebサイトに誘導できる。影響を受ける脆弱なBIND 9リゾルバは世界で70万6477件確認されている。
()
エムオーテックスはLANSCOPEエンドポイントマネジャーオンプレミス版における深刻な脆弱性CVE-2025-61932を公表した。修正版を公開し、全クライアントPCの更新を推奨している。
()
Oracleは同社製品のセキュリティアップデート「Critical Patch Update - October 2025」を発表した。攻撃者が公開済みの脆弱性を悪用しようとする動きがあり、同社は「速やかにパッチを適用してほしい」と警告する。
()
HawkTrace Securityは、WSUSの「GetCookie」処理に存在する脆弱性CVE-2025-59287を解析し、PoCを公開した。この脆弱性はRCEが可能でCVSS 9.8の重大欠陥とされている。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、10月12日週を中心に公開された主なニュースを一気にチェックしましょう!
()
既に悪用が確認されている脆弱性やCVSS基本値9.8以上の高リスクな脆弱性の更新が含まれており、企業ユーザーには早急な適用が推奨される。
()
ファイル圧縮ソフト「7-Zip」で、ZIPファイル中のシンボリックリンク処理の不備に起因する2件の深刻な脆弱性が報告された。任意コードの実行につながる恐れがあり、迅速なアップデートが推奨されている。
()
CrowdStrikeはWindows版Falcon Sensorの2件の脆弱性を修正した。いずれも攻撃者がコード実行権限を持つ場合に任意のファイル削除が可能となる。急ぎ修正版への更新が推奨されている。
()
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第53列車は「脆弱性を発見したときの対処法 続編」です。※このマンガはフィクションです。
()
米Unity Technologiesがゲームエンジン「Unity」に重大な脆弱性(CVE-2025-59489)を確認したと発表した。「Unity 2017.1」以降のバージョンでビルドされたWindows、Android、macOS、Linux向けの全ゲームとアプリケーションに影響するといい、PCゲーム配信プラットフォーム「Steam」を手掛ける米Valveといった国内外のゲーム・アプリ関連事業者が対応に動いている。
()
影響はVMware Cloud FoundationやTelco Cloudにも。
()
GoogleはChromeの安定版を更新し、V8エンジンに関する3件の重大な脆弱性を修正した。情報漏えいや任意コード実行の恐れがあり、ユーザーには早期の更新適用が推奨されている。
()
Cybersecurity Newsは2025年に報告された主要なゼロデイ脆弱性の悪用状況を分析した。GoogleやMicrosoft製品、Citrix NetScalerといったインフラ製品などに悪用が進む脆弱性が見つかっている。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、9月7日週を中心に公開された主なニュースを一気にチェックしましょう!
()
Microsoftは、2025年9月の月例セキュリティ更新プログラムを公開した。WindowsやOffice、Azureなど広範囲の製品に影響し、認証不要で悪用可能な深刻度「緊急」の脆弱性も含まれる。
()
継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性(CVE-2025-55190)が報告された。CVSSスコアは9.9(Critical)で、修正版へのアップデートが推奨されている。
()
CitrixはCitrix NetScaler ADCおよびGatewayで3件の深刻な脆弱性を公表した。これらの中でもCVE-2025-7775は悪用事例が確認され、更新が急務となっている。
()
企業での生成AIツール活用が広がる中、そのリスクを認識せずに使い続けると、機密情報流出や法律違反といった思いがけない問題に発展する恐れがある。安全な生成AI利用のために知っておきたい「6つのリスク」とは。
()
AppleはImageIOに存在する境界外書き込み脆弱性「CVE-2025-43300」への対策としてiOSやiPadOS、macOSにセキュリティアップデートを公開した。多数のApple製品が対象となっており、ユーザーは速やかに更新することが望まれている。
()
PostgreSQLプロジェクトは「PostgreSQL」の全サポートバージョンに影響を及ぼす複数の深刻な脆弱性を公開した。これらを悪用されると、悪質なプログラムが実行されたり、SQLインジェクション攻撃を実行されたりするリスクがある。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月10日週を中心に公開された主なニュースを一気にチェックしましょう!
()
GitHub CopilotにプロンプトインジェクションによるRCE脆弱性「CVE-2025-53773」が発見された。開発者端末を完全に制御可能にするこの脆弱性は、Copilotが自動で設定を変更する「YOLOモード」を悪用する。
()
Microsoftは2025年8月の月例セキュリティ更新プログラムを公開した。CVSS基本値が9.8の脆弱性対応が含まれているため早急な対応が必要だ。
()
MicrosoftはBlack Hat USA 2025で、WinREの設計変更を悪用し、BitLockerを回避する4件のゼロデイ脆弱性を公開した。物理アクセスで認証不要の攻撃が可能とされている。
()
SafeBreachは、Windowsに存在する認証不要のDoS/DDoSの脆弱性4件と、これを悪用した新手法「Win-DoS」「Win-DDoS」を公表した。攻撃者は内部/外部ネットワークからリソースを枯渇させ、サーバをクラッシュさせることが可能になる。
()
Cisco TalosはDell製ノートPCに搭載されているファームウェアおよびAPIに5件の深刻な脆弱性があると発表した。これらの脆弱性は「ReVault」と名付けられており、100機種以上に影響を与えるとされており注意が必要だ。
()
セキュリティと開発・運用を一体化する「DevSecOps」の実践が急務となる中、DatadogがDevSecOpsに関する2025年版レポートを発表。同社の分析から見えた実態と、脆弱性対応を見直す鍵とは何か。
()
Datadogは「2025年版DevSecOps調査レポート」を発表した。本レポートによると、緊急対応が本当に必要な脆弱性はごく一部に限られることや、他のプログラミング言語と比較してJavaアプリケーションに脆弱性が多いことなどが明らかになった。
()
Citrix Systemsのネットワーク機器に危険な脆弱性が見つかった。セキュリティ専門家によると、Boeingも被害を受けた脆弱性「Citrix Bleed」と同等の危険性を持つ。その脅威の正体とは。
()
TP-LinkのNVRおよびルーターに深刻な脆弱性が確認された。NVRはOSコマンドインジェクションによって不正に制御される恐れがあり、ルーターにはクリックジャッキングの脆弱性が存在する。後者はサポート終了により使用中止が推奨されている。
()
Broadcomは、VMwareのサポート期限切れの永久ライセンスを保有する顧客企業に対し、VMware製品の利用停止を求める書簡を送付した。その中身が波紋を呼んでいる。
()
WordPressの「Malcure Malware Scanner」プラグインに任意のファイルを削除する脆弱性が見つかった。認証済みの低権限ユーザーでもファイル削除が可能となり、リモートコード実行などのリスクがある。現時点で修正パッチは提供されていない。
()
中国製のIPカメラに、デフォルトで無効化不能なTelnetサービスが存在し、rootアクセスが可能となる重大な脆弱性が見つかった。CVSS 10.0の脆弱性とされているが、ベンダーへの連絡手段は存在せず、修正方法も公開されていないという。
()
2024年11月に開催されたInternet Week 2024では「脆弱性管理は必要不可欠だけど、どう進めればいいか分からない」という課題をテーマに、講演者や参加者同士で議論するBoFが開催された。
()
日本を覆う閉塞(へいそく)感は、ITの力で打ち破れるはずだ。しかし、クラウドやAIなどによって高度化するITの最前線を追い掛け続けることは容易ではない。脅威からビジネスを守りつつ“攻め”に転じるのも一筋縄ではいかないのが現実だ。企業は「サイバーセキュリティ」を味方に付けられるのか。若手エンジニアが、企業の現在地とセキュリティの最前線を知る有識者を取材する。
()
Microsoftの主力製品に影響する脆弱性が見つかり、同社はパッチを公開した。システムを守るために知っておきたい、脆弱性情報をまとめた。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、7月6日週を中心に公開された主なニュースを一気にチェックしましょう!
()