最新記事一覧
Windows 11には標準でセキュリティ機能として「Windowsセキュリティ」が搭載されており、最新脅威への対応を支援してくれる。Windowsセキュリティを正しく設定すれば、無料で、かつPCの動作を妨げることなく、一定のセキュリティ環境が手に入る。本Tech TIPSでは、Windowsセキュリティを活用するための重要な設定手順を解説する。
()
Kasperskyは「Model Context Protocol」(MCP)の利便性が新たな攻撃対象となる危険性を分析した。MCPサーバを悪用した不正コード注入や情報窃取が再現され、サプライチェーン攻撃の深刻さが示されている。
()
Node.jsのパッケージマネジャー「npm」を通じて、18種類の人気npmパッケージに悪意のあるコードが埋め込まれ公開されたという。これらのパッケージは合計で、毎週20億回以上ダウンロードされている。
()
Pangeaは生成AIの新たなセキュリティリスク「LegalPwn」を報告した。法的文脈に悪意のあるコードを埋め込み、AIモデルが誤認するプロンプトインジェクション攻撃でセキュリティを突破できる可能性が示されている。
()
Koi Securityは、ChromeやEdgeで合計230万件以上インストールされている認証済みの拡張機能18種が、実際にはユーザーを監視して情報を外部に送信する悪質なコードを含んでいたことが判明した。
()
Kasperskyは2025年4月2日、「ポリグロット手法」について解説するブログエントリを公開した。ポリグロット技術を使ったファイルは、ユーザーには画像など無害なものに見えるが、実際には内部に悪意のあるコードが含まれている。
()
コナカは4月24日、オーダースーツブランド「DIFFERENCE」の顧客15万0491人分の個人情報が漏えいしたと発表した。「DIFFERENCE」アプリ内の「オーダー詳細ダウンロード」サービスが、不正プログラムによる大量アクセスを受けたという。
()
Datadogは、Amazon EC2インスタンス向けの仮想マシンイメージ「Amazon Machine Image」を悪用した「whoAMI攻撃」を発表した。この攻撃は名前の混同を悪用し、不正なコード実行を可能にするという。
()
Sekoiaは新たなソーシャルエンジニアリング攻撃手法「ClickFix」を発表した。この手法は偽のエラーメッセージを通じてユーザーに悪意のあるコードを実行させ、WindowsやmacOSにマルウェアを感染させる。
()
E.V.A Information Securityは、CocoaPodsで複数の重大な脆弱性を発見したと伝えた。大手企業や組織のプロジェクト依存に影響し、悪意のあるコード挿入やアカウント乗っ取りのリスクをもたらす可能性がある。
()
ユーティリティーソフトウェア「XZ Utils」に不正アクセスを可能にする悪意あるコードが含まれていた問題について、CISAは声明を発表した。今回の事件はOSSコミュニティーのメンテナーにセキュリティ負担を押しつけていたことに起因するという。
()
英国のシェフィールド大学と中国の北方工業大学に所属する研究者らは、ChatGPTなどのAIツールを操作してオンラインデータベースからの機密情報の流出させる、悪意のあるコードを作成するテストを行った研究報告を発表した。
()
ダークWebでは脆弱性情報や不正プログラムが高値で取引されている。なかには1万ドル以上で取引されているものもあるようだ。
()
鹿児島県志布志市の「志布志市ふるさと納税特設サイト」でクレジットカード情報910件が漏えいした可能性がある。クロスサイトスクリプティングの脆弱性を悪用され、クレジットカード決済実行時にカード情報を盗み出すよう改造されていた。
()
積水ハウスやなどが相次いで情報漏えいの可能性を発表している。原因はいずれも、富士通の法人向けネットワークサービス。同サービスでは、一部のネットワーク機器でアカウント情報を盗み取る不正なプログラムが動作していたことが分かっている。
()
富士通が、法人向けインターネット回線サービス「FENICSインターネットサービス」について、ユーザーのIDやパスワードが窃取され、不正利用されたと発表した。
()
チェック・ポイント・ソフトウェア・テクノロジーズは脅威アクターがOpenAIのChatGPTを悪用して悪質なコードを生成していることを、実例のサンプルとともに公開した。AIの悪用がサイバー犯罪の新たなトレンドになりつつあることを警告している。
()
JPCERT/CCは、マルウェア「Emotet」に感染するメールの添付ファイルに、新たにショートカットファイルを使ったものが見つかったと発表した。ファイルを実行すると不正なスクリプトが実行され、Emotetに感染する。
()
アンチウイルスソフトの検知をかいくぐり、Webブラウザに不正なスクリプトを埋め込む「クライアントサイド攻撃」。セキュリティ管理者も見落としがちなこの攻撃の実態を、アカマイ・テクノロジーズの中西一博さんが解説する。
()
コードも画像もキーストロークも全て、ハードウェアレベルで別のサンドボックスに分離することで、悪意のあるコードを封じ込める――それを実現する「区画化」実現の道のりとは。
()
サーバの運用管理が変化を迎える中、サーバ流通時の不正プログラム混入など「サプライチェーンリスク」への懸念が高まっている。企業はサーバの運用管理をどう設計すべきか。最新技術を紹介する。
()
Wordに存在する脆弱性は、細工を施したファイルをプレビューウィンドウで表示しただけで悪質なコードを実行される恐れがあり、マルウェアに利用されるのは確実とみられる。
()
「変なホテル舞浜 東京ベイ」の全100室に設置中の卵型コミュニケーションロボット「Tapia」に脆弱性が発見。悪意のある宿泊者がプログラムに攻撃を加えると、不正に操作できる状況だったという。Twitter上の指摘で発覚した。調査の結果、同ロボットに不正なプログラムが仕掛けられた形跡はなかった。
()
カスタムWebフォントを利用することにより、表示と内容(文字コード)が一致しないフィッシングページが発見された。悪意のあるコードを無害のように偽装する手口とは。
()
中国のCheetah Mobileが提供する「CM File Manager」と、米Kika Techの「Kika Keyboard」が、Google Playから削除された。
()
BitPayのビットコインウォレットアプリに使われているNode.jsパッケージに、不正なコードが仕込まれていたことが判明。この業界のエコシステムが抱える問題を指摘する声も出ている。
()
Windows OS版Google Chromeには、ウイルスやマルウェアなどの不正なプログラムを検索して削除する機能が標準で備わっています。その使い方や位置付けを説明します。
()
Microsoftは、Windows 10に新機能を追加しようとしている。仮想マシンでアプリケーションを実行することにより、不正コードを隔離できる。
()
攻撃者が不正なコードを仕込んだコンテナイメージを管理者がインポートすると、Windowsホスト上で悪質なコードが実行される恐れがある。
()
中国のスマートフォンメーカー「OnePlus」のシステムが攻撃されて、決済ページに不正なスクリプトが仕込まれ、ユーザーが入力したクレジットカード情報が盗まれていたことが分かった。
()
Google Playの自動検査をかいくぐるため、自身は不正コードを含まないアプリがマルウェアをダウンロードし、タイマーで作動させる攻撃手法が見つかった。
()
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、機能を5つのスタックに分けて順に押さえていくことが早道だ。連載第2回は不正なコードの実行や、Webブラウザを利用した詐欺、ハッキングなど「脅威からの保護」について紹介する。
()
「Web Developer for Chrome」がハッキングされ、不正なコードを仕込んだバージョンがアップロードされてしまっていた。
()
国土交通省が「土地総合情報システム」の「不動産取引価格アンケート回答(電子回答)」サイトに不正なアクセスがあったことを明らかにした。「Apache Struts2」の脆弱(ぜいじゃく)性を利用して、悪意のあるプログラムが仕込まれていた。
()
「.doc」の拡張子を付けてWordファイルに見せかけたRTFファイルに不正なコードを仕込み、メールで送りつける手口が確認されている。
()
悪用されればリモートの攻撃者にサービス妨害(DoS)状態を誘発されたり、不正なコードを仕込まれたりする可能性が指摘されている。
()
身代金要求型不正プログラム(ランサムウェア)が依然として猛威を振るっており、対策は待ったなしの状況です。現状の被害傾向を踏まえ、最低限対策すべきことを紹介します。
()
攻撃者は悪質なコードを埋め込んだ画像をSNSなどにアップロードし、ユーザーに画像をダウンロードさせることでマルウェアに感染させるという。
()
TechTargetジャパン会員を対象に、身代金要求型不正プログラム「ランサムウェア」に関する読者調査を実施した。本レポートでは、その概要をまとめた。
()
全米自動車競争協会(NASCAR)のレーシングチームは、ランサムウェア(身代金要求型不正プログラム)被害を受け、データ復旧のために身代金を支払い、セキュリティソフトベンダーと提携する事態に至った。
()
巧妙な日本語で荷物の発注や管理費、振り込みなどの確認内容になりすます攻撃メールが多数出回っている。拡張子が偽装された添付ファイルを開くと、不正プログラムに感染する恐れがある。
()
JSOCは、クレジットカードや金融機関関連の情報を窃取する不正プログラムへの注意を促す情報を公開した。
()
「身代金」を要求する不正プログラムに対策。
()
国内ではランサムウェアによる被害が増えています。この脅威について“不正プログラム”という視点からではなく、人質にされてしまう“データ”の視点で考えてみると、どのような対策があるのでしょうか。
()
ランサムウェアは、コンピュータシステムをフリーズさせ、復旧と引き換えに身代金を要求する不正プログラムだ。米国では春先から、ランサムウェアの被害に見舞われる病院が増えている。
()
閲覧者の多いポータルサイトを利用したランサムウェア(身代金要求型不正プログラム)攻撃の横行を重く見た米議会は、仮想通貨と「ブロックチェーン」技術のセキュリティ対策について検討を行った。
()
Mac OS X初のランサムウェア(身代金要求型の不正プログラム)が発見された。オープンソースのBitTorrentクライアントアプリ「Transmission」のMac版バージョン2.90が感染していたので、同アプリのユーザーは対処が必要だ。
()
IPAでの不正プログラム検出数が増加し、中でもさまざまなマルウェアを感染させる「ダウンローダー」が2015年を通じて増えた。
()
コンテンツ管理システムの「Magento」を使っている多数サイトに大規模攻撃が仕掛けられ、マルウェア感染サイトに誘導させる不正なスクリプトが挿入されていることが分かった。
()
「悪意のあるプログラムによる攻撃の可能性もある」と報じるメディアも。
()