最新記事一覧
HawkTrace Securityは、WSUSの「GetCookie」処理に存在する脆弱性CVE-2025-59287を解析し、PoCを公開した。この脆弱性はRCEが可能でCVSS 9.8の重大欠陥とされている。
()
Cisco Talosは、CSSを悪用してスパムやフィッシングメールの検知を回避する攻撃手法「隠しテキストソルティング」に関する分析結果を公開した。既に複数の攻撃事例が確認されており広く利用される可能性が高い。
()
米Oracleは、生成AIがMCP(Model Context Protocol)を通じてOracle Databaseと対話を可能にする「MCP Server for Oracle Database」をリリースしました。
()
APIへの攻撃が増加しており、企業に深刻な情報漏えいのリスクをもたらしている。API攻撃の手口と、その対策としてのAPIセキュリティのベストプラクティスを紹介する。
()
Googleは、生成AIを標的とする間接的プロンプトインジェクション攻撃への対策を発表した。同社はこの攻撃が今後活発化することを懸念し、Geminiへの多層防御戦略などを導入し、安全性を強化している。
()
クラウドサービスだけじゃない! ローカルPCやサーバ、Kubernetesで生成AI(5):「Visual Studio Code」と「Ollama」で簡単に始められる、安心・安全なローカルAI活用術
気軽に試せるラップトップ環境で、チャットbotを提供するオールインワンの生成AI環境構築から始め、Kubernetesを活用した本格的なGPUクラスタの構築やモデルのファインチューニングまで解説する本連載。今回は、「Visual Studio Code」と「Ollama」を活用し、Visual Studio Codeでローカルモデルに対してコードの生成や修正、レビューを指示したり、AIエージェントモードでコーディングさせたりする方法を解説します。
()
NISTからOpenVPNの脆弱性「CVE-2024-5594」のデータが公開された。CVSSスコアは9.1で深刻度「緊急」(Critical)と評価されている。修正済みバージョンへのアップデートが求められる。
()
脅威グループは広く普及しているネットワークデバイスの脆弱性を標的にしている。CISAの最新勧告はソフトウェアメーカーに対し、これらの脆弱性をソースから排除するよう促した。
()
e.MMC(embedded Multi Media Card)は、NANDフラッシュメモリとメモリを制御するコントローラーをワンパッケージ化した小型ストレージ製品です。本稿では、e.MMC 5.1デバイスが提供するセキュリティ機能について紹介します。
()
大規模言語モデルのセキュリティを向上させるオープンソースツールキット「LLM Guard」がGitHubで公開された。LLM開発時のセキュリティ課題の解消が期待される。
()
起こりがちなJavaの「ランタイムエラー」とその回避方法を把握しておくことは重要だ。特に頻出する、入力値に基づくランタイムエラーとその解決策を紹介する。
()
アプリケーション開発時のセキュリティツールとして、脆弱性を検出する「IAST」がある。セキュリティを取り入れたアプリケーション開発手法「DevSecOps」の具現化に役立つという、IASTの特徴とは。
()
昨今、さまざまなセキュリティ事件が絶えない。そんな中で見過ごされがちなのが、「データ消去」。ごみ箱に入れただけではもちろん、HDDのフォーマットや出荷時状態へ戻しただけで十分だと考えていたら、大間違い。本記事では、“ばか正直”を自称するデータ消去のプロに、正しい消去法を聞いた。
()
ネットワークアーキテクチャの変化に伴い、ネットワークセキュリティには、信頼性の高い定番技術と新技術を組み合わせた新しいアプローチが求められている。
()
フリーマーケットで販売されていたHDDに、企業のビジネス文書が含まれていたとして話題になりました。これを教訓に今回は個人でできるバックアップHDDの安全な運用管理を考えていきます。
()
ディスクの破棄には手間も掛かりますが、これを怠るとサプライチェーンリスクを招く可能性があります。使い終わったHDDやSSDを適切に「破棄」するポイントとは何でしょうか。
()
サイバーセキュリティツールベンダーのPortSwiggerは、セキュリティ研究者「s1r1us」氏のブログで発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱性があることが明らかになったという。
()
VPN製品「Pulse Connect Secure」に複数の脆弱性が発見された。修正版は配布済みのため迅速にアップデートを適用してほしい。
()
JFrogのセキュリティリサーチチームとForescout Research Labsは、制御システムに広く利用されているTCP/IPネットワークスタック「NicheStack」に14件の脆弱性を発見したと発表。リモートでのコード実行、サービス拒否、情報漏えい、TCPスプーフィング、DNSキャッシュポイズニングなどのサイバー攻撃につながる可能性がある。
()
GoogleはAndroidオープンソースプロジェクト(AOSP)が、「Android」の開発へ「Rust」導入を進めている。従来のようなC/C++とJavaを組み合わせた開発にはどのような問題があるのだろうか。
()
契約外で行った作業のミスが元で地獄と化したプロジェクト現場。倒れるエンジニア、姿をくらます経営者。孤立無援のプロマネに救いの手は来るのか――?
()
イツワ銀行の勘定系システム刷新プロジェクトで、テストデータが消えた。その原因は……?
()
「Amazon CodeGuru」が正式版に。機械学習のモデルによるコードレビューを自動的に行い、問題があると思われる部分や性能低下につながっている部分などを指摘してくれるサービス。
()
安全に廃棄されたはずのHDDから、内部情報が流出――あらゆる組織が恐れるシナリオが現実化したような事件が起こった。人手不足に悩む組織の情シスや中堅中小企業はどう対策すればいいのか。情報流出リスクをなくす取り組みを紹介しよう。
()
Amazon Web Services(AWS)は、コード品質やアプリケーションパフォーマンスで問題が起こる前に改善できるように支援するフルマネージドサービス「Amazon CodeGuru」を発表した。
()
サイバー攻撃の深化はとどまるところを知らない。2019年は企業に対する「サプライチェーン攻撃」が話題となっている。サプライチェーン攻撃とは何か、何が狙われるのか、どのような対策が考えられるのだろうか。
()
徳島県は、県庁総合ネットワークのPC計5200台にFFRIのエンドポイントセキュリティ対策製品「FFRI yarai」を導入。インターネットに接続されていないマイナンバー利用事務系、総合行政ネットワーク接続系のネットワークでも機能する「未知の脅威の振る舞い検知機能」を有する。
()
使用済みのSSDを寄付するのは素晴らしいことのように思える。だが、データの安全を保ちたいなら話は別だ。SSDの廃棄とリサイクルは思っているより複雑だ。
()
攻撃者の目的は機密情報の取得だけでない。最近はデータの破壊やビジネス停止を目的とする「DeOS型攻撃」の脅威が深刻化しつつある。
()
機械学習を企業に導入する流れをCIOはどのようにサポートできるだろうか。恐らくはデータレイクの構築から始めることになるだろう。
()
企業のエンドポイントでデータが失われないよう、ネットワークアクセス制御(NAC)、データ損失防止(DLP)、データの完全消去の各ツールを使ってデータのセキュリティを確保する方法について考える。
()
テクマトリックスは、Java対応テスト自動化ツール「Jtest 10.3.1」の販売を開始した。JUnitの単体テストを効率化するアシスタント機能を新たに搭載したほか、セキュリティ脆弱性チェックの機能を強化した。
()
プロパティバインディングでHTMLタグを含む文字列にバインドした場合、デフォルトでサニタイズされる挙動を確認。逆に意図的にサニタイズさせない方法を説明する。
()
普及価格帯の大容量SSD「BX 200」シリーズを徹底検証。BX100と比較して何が変わったのか。
()
約30日の間、ユーザー約7万6000人の電子メールと、約4000人の暗号化されたパスワードが一般にアクセスできるサーバ上に置かれていたという。
()
いま注目の「サーバサイドJavaScript」の実装の本命として話題を集める「Node.js」の概要から実践的な使い方まで解説する連載
()
本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です
()
米国の機密情報が入ったPCがeBayに出品されていたことが最近明らかになった。こうした情報流出を防ぐには、適切なプランと管理が必要だ。
()
Webアプリケーションサーバからバックエンドのデータベースサーバに侵入するのは比較的簡単だ。最もポピュラーな手口と、その対策を紹介する。
()
安易なパスワードやSQLインジェクション、不適切なエラー処理――データベースを危険にさらす代表的な脆弱性とその対処法を紹介する。
()
ショッピングサイトのように多くの個人情報を扱うWebサイトを運営しているのであれば、Webアプリケーションの脆弱性について早急に対策を取るべきだ。Webアプリケーションの安全性を高めるために考えられる対策として5つの方法を提案したい。
()
従来のファイアウォールではWebアプリケーションを守り切れない。インターネット上のサービスに根ざす企業では、サイト稼働率が信頼のバロメーターだ。Webアプリケーションを使っているならば、WAFの導入が必須のものとなっている。
()
Webサイトとして公開されているサーバには、いったい幾つのソフトウェアが含まれているだろう。サービス指向でシステム化が進む現代、数十から数百のツールが連携し合って成り立っているものが多い。複雑化したサーバの防御策は?
()
「ページを見ただけで感染する」。このようなニュースを読んで怖さを感じた人は多いだろう。なぜそのようなことが起きるのか? 理由を知っておけば、巧みなネット地雷原を避けることができるはずだ。
()
Perlをはじめとする言語では、フォームとパイプ処理に十分な注意をしなければならない。その理由には、Webからローカルリソースへのアクセスを極力制限する必要があるからだ。
()
比較的レガシーになってきた言語「Perl」に対し、旧サービスのメンテナンス不備が問題視されている。問題なく稼働中であっても、脆弱性が潜んでいる場合があるからだ。何に注意すればよいのか? 具体的に触れていこう。
()