最新記事一覧
Check Point Software Technologiesは、「Microsoft Teams」でメッセージ改ざんや発信者偽装を可能にする4件の脆弱性を発見した。
()
WordPressの人気プラグイン「ACF Extended」に、未認証状態で任意のコードを実行される恐れのある重大な脆弱性が確認された。影響範囲は10万以上のWebサイトに及ぶ可能性があり、早急な更新を呼びかけている。
()
駿河屋は12月4日、8月に公表したECサイト「駿河屋.JP」の不正アクセス被害により、3万件超のクレジットカード情報が漏えいした可能性があると明らかにした。監視ツールの脆弱性を突いた不正アクセスを受け、決済ページ用のJavaScriptが改ざんされたことが分かったという。
()
インターネット利用詐欺などの「詐欺」の被害が深刻化している。その背景には、攻撃者が人の「心理的な脆弱性」を狙うようになったという変化があると、セキュリティの専門家は指摘する。何が起きているのか。
()
VPNの脆弱性が目立ち始め、ゼロトラストへの移行を検討する企業が増えている。両者の仕組みと思想を整理し、情シスが見落としやすい3つの盲点を解説する。
()
Googleは、12月版のAndroidとPixelの月例アップデートを公開した。Pixelの新機能として、AIによる通知の整理・要約、拡張ダークテーマ、ペアレンタルコントロールの統合、詐欺検知などの新機能が追加された。また、「重大」7件を含む107件のAndroid脆弱性と、Pixel固有の「重大」2件を含む28件の脆弱性に対処した。
()
深刻なランサムウェア被害が相次いでいることを受け、VPNを利用する企業に不安が広がっている実態が明らかになった。リモートアクセスサービスを手掛けるe-Janネットワークスが調査した。
()
Microsoft Outlookに存在する深刻な脆弱性「CVE-2024-21413」(MonikerLink)のPoCコードが公開された。この欠陥は認証情報の漏えいや任意コード実行に至る恐れがあり、早急な対策が求められる。
()
オーストリアのウィーン大学などに所属する研究者らは、 世界最大のインスタントメッセージングサービス「WhatsApp」で深刻なプライバシー脆弱性が明らかになった研究報告を発表した。
()
セキュリティアラートが発されたとき、社内で情報を共有するにはどうすればいいのか。Microsoft製品の具体的な脆弱性を取り上げ、社内通知用のメール文面を作成した。
()
AIが生成するコードの品質は、入力するプロンプト次第で大きく揺らぐ──CrowdStrikeが明らかにしたのは、大規模言語モデル「DeepSeek-R1」に特定の語句を与えるだけで脆弱性の発生率が跳ね上がるという、予想外の“偏り”だった。
()
OTセキュリティ対策への意識が高まるなか、静かに狙われているのが、製造現場に根付くUSBメモリだ。標的となるのはネットワークの脆弱性ではなく、「人の意識」や「セキュリティ運用」の隙間。そのため、技術頼みの対策だけでは限界がある。こうした実情に対し、TXOne Networksは「使わせない」ではなく「安全に使う」ための仕組みを提供する。可搬媒体の検査や管理を担う「Element」シリーズと、端末防御を実現する「Stellar」。それぞれの強みと、実際の導入現場での活用事例を聞いた。
()
TeamsのBtoBゲストアクセス機能に潜む脆弱性をOntinueが指摘した。ゲスト参加時には自組織の防御が適用されず、攻撃者が設定の甘いテナントを悪用して防御を回避する恐れがあるとして、設定見直しを促している。
()
MarkdownからPDFを生成するコマンドラインツール「md-to-pdf」において、CVSSスコア10.0の脆弱性が見つかった。急ぎ対応が求められる。
()
アシュアードが実施した調査で、ランサムウェア侵入口となるVPN機器の脆弱性を多くの企業が即時に把握できておらず、侵入口となり得る場所で深刻なボトルネックが発生していることが分かった。
()
OTデバイスの管理や脆弱性対応は企業にとって悩みの種の一つだ。この解消に向けてTaniumは自社製品のアップデートを公開した。エンドポイント管理を超えたOT・モバイルデバイスへのカバレッジ拡大とAI活用の進化に迫る。
()
NHS Englandは7-Zipの重大脆弱性「CVE-2025-11001」が悪用されていると発表した。ZIPファイル内のシンボリックリンク処理に起因し、任意コード実行につながる恐れがある。早急な更新が推奨される。
()
2025年10月、オランダ政府による異例の決定が、世界的な半導体供給危機を再燃させた。大手NXP Semiconductorsから分離し、中国資本傘下となったNexperiaが製造する半導体の供給が、中国政府の措置により停止したからだ。VWやホンダなどの大手自動車メーカーは、単価は安くとも不可欠な部品の欠品により、生産停止の危機に直面している。本稿では、この小さな部品に起因する世界的危機と、サプライチェーンの脆弱性について解説する。
()
アシュアードは脆弱性管理クラウド「yamory」によるVPN機器のセキュリティ対策実態調査結果を公表した。VPN機器の資産情報不足や人手不足が特定遅延を招き、半数近くが対応遅延を経験している実態が明らかにされている。
()
pgAdmin4のサーバモードにおけるPLAIN形式ダンプのリストア処理に深刻なRCE脆弱性が確認されている。開発側は修正版9.10を公開し、早急な更新が求められる。
()
FortinetはFortiWebに相対パストラバーサル脆弱性が存在し、管理GUI経由で管理権限操作に到達され得ると発表した。既に悪用も確認されており、早急な対応が求められる。
()
MicrosoftはGitHub CopilotとVisual Studioに関する2件の脆弱性を公開した。これらはローカル環境の認証済み利用者による操作を前提とし、セキュリティ機能のバイパスにつながる。ユーザーは速やかに更新プログラムの適用が望まれる。
()
AmazonはCisco ISEとCitrix製品の未公開ゼロデイ脆弱性が高度な攻撃者によって悪用されていた事実を明らかにした。攻撃者は修正前から欠陥を突いていたとされる。重要インフラへの脅威が増大しており、多層防御強化が求められている。
()
Windowsカーネルにゼロデイの脆弱性が発見された。競合処理の乱れを起点とする深刻な特権昇格欠陥で、既に悪用が確認されている。アップデートの適用と管理強化が必要だ。
()
Windows RDSに特権昇格の脆弱性が見つかった。通常権限のユーザーが管理者権限に昇格できる可能性がある。放置は危険であり、監視強化や区画管理を含む多層的対応が求められている。
()
企業のAIツール導入が進む一方で、導入に失敗した事例もある。脆弱性が生じたケースや重大な企業データを消失したケース、業務改善の判断ミスなど、2025年に実際に起こったAI技術の“怖い話”を3つ紹介する。
()
runcに競合状態を突く3件の脆弱性が発見された。/procへの任意書き込みやホストroot奪取に至る可能性が高い。runcの更新およびユーザー名前空間有効化などが推奨されている。
()
SlackやMicrosoft Teams、ChatGPTといったツールに関するセキュリティ事案が発生した。事案の概要と、企業のセキュリティ対策に役立つ記事を紹介する。
()
OpenAIは、同社の「GPT-5」ベースのセキュリティ脆弱性検出AIエージェント「Aardvark」を発表した。
()
中国国家の支援を受けた脅威アクターは、エムオーテックスの「LANSCOPEエンドポイントマネジャー オンプレミス版」のゼロデイ脆弱性(CVE-2025-61932)を悪用し、サイバー攻撃キャンペーンを実行していることが分かった。その手口とは。
()
モダナイズされていないCOBOLを使い続けると、技術革新の停滞や脆弱性につながる。
()
Tenableは大規模言語モデル(LLM)に7件の新たな脆弱性を確認した。これらの脆弱性はGPT-5にも存在するという。間接プロンプトインジェクションやゼロクリック攻撃によって、Webの埋め込み命令から個人情報が漏えいする可能性があるという。
()
2025年10月配信の更新プログラムKB5070881は、WSUSの脆弱性(CVE-2025-59287)に対応する緊急修正だが、一部のWindows Server 2025でHotpatch登録状態を損なう不具合を発生させた。Microsoftは修正版KB5070893を2025年10月24日に提供している。
()
Suicaの暗号領域の情報が読み取れるというビューアがGitHubで公開された。開発者は8月に話題になったSuicaの脆弱性を指摘したセキュリティ企業のCEOだ。
()
サポートが終了した「Windows 10」に脆弱性が見つかり、ユーザー企業は攻撃リスクにさらされている。Microsoftはこの脆弱性に対し、どのような対策を講じたのか。
()
Appleが「iOS 26.1」および「iPadOS 26.1」の配信を開始した。Liquid Glassの色合い調整、Apple Musicの操作性向上、フィットネスアプリでの手動記録などが可能になった。56件の脆弱性も修正された。
()
Docker Composeに、リモートのOCIアーティファクト処理時のパス検証不備による深刻な脆弱性が報告された。攻撃者による任意ファイル上書きが可能であり、CVSS 8.9(High)と評価されている。修正版への更新が推奨されている。
()
ShelltrailはMicrosoftのガイドラインに従って設定したドメイン参加アカウントが依然として過剰権限を保持し、LAPS情報漏えいやRBCD攻撃などの脆弱性を招く危険があると指摘した。権限委譲と所有権設定の見直しが不可欠としている。
()
WSUSに存在する脆弱性が悪用され、リモートコード実行が可能となる攻撃が発生している。PoC公開後に攻撃が拡大している中、多数のサーバが未修正のまま稼働しており、早急なパッチ適用とアクセス制御が求められている。
()
CensysはBIND 9リゾルバにキャッシュポイズニング攻撃の脆弱性があると公表した。偽応答を注入し、キャッシュを汚染することでユーザーを不正なWebサイトに誘導できる。影響を受ける脆弱なBIND 9リゾルバは世界で70万6477件確認されている。
()
米空売り調査会社のレポートで株価が急落したデータセクション。しかし、大手不動産との提携発表で反発。AI株相場の脆弱性と企業戦略の攻防が鮮明になった。
()
エムオーテックスはLANSCOPEエンドポイントマネジャーオンプレミス版における深刻な脆弱性CVE-2025-61932を公表した。修正版を公開し、全クライアントPCの更新を推奨している。
()
アークティックウルフジャパンは年次セキュリティレポートの2025年版を公開した。同調査では、多くの企業がNISTの定める強力なパスワードポリシーと逆行している実態や、日本企業特有のセキュリティホールの存在が明らかになった。
()
M365 CopilotのMermaid描画機能に情報漏えいの脆弱性が存在し、間接的プロンプトインジェクションを通じて機密データが外部送信される恐れがあった。Microsoftは修正を実施し、動的要素を排除している。
()
Oracleは同社製品のセキュリティアップデート「Critical Patch Update - October 2025」を発表した。攻撃者が公開済みの脆弱性を悪用しようとする動きがあり、同社は「速やかにパッチを適用してほしい」と警告する。
()
同じ「脆弱性通知」でも経営と事業、セキュリティの三者が受け取る意味は全く異なる。なぜ同じ事実を前にして、部門ごとに認識や対応がずれてしまうのか。意思決定をゆがめる“無意識のバイアス”をどう乗り越えるか――構造から整理してみよう。
()
HawkTrace Securityは、WSUSの「GetCookie」処理に存在する脆弱性CVE-2025-59287を解析し、PoCを公開した。この脆弱性はRCEが可能でCVSS 9.8の重大欠陥とされている。
()
既に悪用が確認されている脆弱性やCVSS基本値9.8以上の高リスクな脆弱性の更新が含まれており、企業ユーザーには早急な適用が推奨される。
()
Microsoft Defender for Endpointに認証回避やデータ偽装が可能な複数の脆弱性が見つかった。無認証で構成情報や除外設定を取得でき、Azure Blobに任意データを送信できる。
()
ファイル圧縮ソフト「7-Zip」で、ZIPファイル中のシンボリックリンク処理の不備に起因する2件の深刻な脆弱性が報告された。任意コードの実行につながる恐れがあり、迅速なアップデートが推奨されている。
()
「Apache Log4j」の脆弱性など、ソフトウェアサプライチェーンのリスクは多くの企業が知るところだ。しかし注意すべきはそれだけではない。AI時代に本格化の兆しが見える新たなサプライチェーンリスクについて解説する。
()
2025年9月にAppleがリリースした「iOS 26」に脆弱性が見つかり、同社はセキュリティアップデートを公開した。エンドユーザーが気付かないうちにメモリが破壊される恐れがある脆弱性だという。その仕組みとは。
()
CrowdStrikeはWindows版Falcon Sensorの2件の脆弱性を修正した。いずれも攻撃者がコード実行権限を持つ場合に任意のファイル削除が可能となる。急ぎ修正版への更新が推奨されている。
()
Google DeepMindは、ソフトウェアの脆弱性の根本原因を特定し、コードを修正するAIエージェント「CodeMender」を公式ブログで紹介した。全てのソフトウェア開発者がコードベースをセキュアに保つために使用できるツールとして公開を目指すという。
()
2036年および2038年に発生する時刻ロールオーバー問題は、単なる技術的バグではなく深刻な脆弱性だ。時刻改ざん攻撃によって現時点でも悪用可能で、通信や認証などの基盤を揺るがす。対策の遅れが大きな混乱を招く恐れがある。
()
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第53列車は「脆弱性を発見したときの対処法 続編」です。※このマンガはフィクションです。
()
AIコーディングツールの普及が進む一方で、AIコーディングツールが生成するコードには脆弱(ぜいじゃく)性が含まれる傾向にある。どのように対処すればいいのか。
()
NCC Groupは、VMware Workstationに存在する複数の脆弱性を組み合わせることで、ゲストOSからホストOSへの脱出を可能にする手法を公開した。脆弱性は主にBluetoothとSDP処理に関係し、PoCエクスプロイトも含まれている。
()
米Unity Technologiesがゲームエンジン「Unity」に重大な脆弱性(CVE-2025-59489)を確認したと発表した。「Unity 2017.1」以降のバージョンでビルドされたWindows、Android、macOS、Linux向けの全ゲームとアプリケーションに影響するといい、PCゲーム配信プラットフォーム「Steam」を手掛ける米Valveといった国内外のゲーム・アプリ関連事業者が対応に動いている。
()
日立ソリューションズは、生成AIを利用した「脆弱性調査支援サービス」の提供を開始した。EUのサイバーレジリエンス法で求められる迅速な報告に対応し、セキュリティ人財が不足する現場の負担軽減に寄与する。
()
野村総合研究所(NRI)は2025年10月、脆弱性の特定を自動化するツール「Senju Family 2025」を発売した。セキュリティ担当者を脆弱性管理の煩雑な作業から解放するという。
()
影響はVMware Cloud FoundationやTelco Cloudにも。
()
Intruderは脆弱性検知の自動化にAIを活用する研究結果を発表した。エージェントAIの導入によって一貫性と品質の向上が期待できるが、人間の補助は依然不可欠だとしている。
()
IEEEが「AIの進化と脅威:人工知能が地政学を変える時代のサイバーセキュリティ」をテーマにオンラインセミナーを開催。近年のハッカーらはAIを駆使してフィッシングメールの文面作成や脆弱性スキャンを自動化し、低コストで一斉攻撃する態勢を整えているという。
()
FeliCaに関連した脆弱性を巡る報道は、脆弱性情報公開のプロセスやメディアの在り方など多くの問いを投げかけた。果たしてセキュリティ担当者は脆弱性とどう向き合うべきか。既存の公表プロセスの現状と課題、技術者の倫理を有識者が語った。
()
ベーススコア9.9の「CVE-2025-20333」は認証後に任意のコードを実行できる脆弱性。
()
CISAは、Cisco ASAおよびFirepower製品に存在するゼロデイ脆弱性への対応として緊急指令ED 25-03を発出した。連邦機関に対し即時対応と報告を義務付け、民間含む全組織にも注意喚起している。
()
GoogleはChromeの安定版を更新し、V8エンジンに関する3件の重大な脆弱性を修正した。情報漏えいや任意コード実行の恐れがあり、ユーザーには早期の更新適用が推奨されている。
()
Cybersecurity Newsは2025年に報告された主要なゼロデイ脆弱性の悪用状況を分析した。GoogleやMicrosoft製品、Citrix NetScalerといったインフラ製品などに悪用が進む脆弱性が見つかっている。
()
EGセキュアソリューションズは、大規模言語モデルの脆弱性を診断できるサービスを発表した。
()
Entra IDの認証欠陥により、Actorトークンを悪用した攻撃で任意テナントのGlobal Admin権限を取得できることが分かった。監査不備や署名欠如の問題が指摘されており、Microsoftはこの脆弱性に対しCVEを割り当てて修正している。
()
AIセーフティ・インスティテュート(AISI)は、AIの安全性評価を支援するオープンソースツールを公開した。評価はAISIのガイドに基づき、事業者は脆弱性の検出や改善を容易に実施できる。
()
WebKitやカーネル、ショートカットなどで確認された脆弱性を修正。
()
『攻撃者の目』は、ホワイトハッカーと共に、攻撃の一連の流れとセキュリティ対策の勘所を楽しく学ぶ番組です。今回はいよいよ攻撃段階。Webの脆弱性を突いたSQLインジェクションについて、そのリスクや目的、対処法などを詳細に解説します。
()
XSSは最新のフレームワークやクラウドネイティブアーキテクチャで構築されたアプリケーションでも発見されている。
()
Felicaに関する脆弱性が大きな話題になりました。ただ今回は脆弱性そのものというよりはその情報が明らかになったプロセスが議論を呼んでいます。これは非常に悩ましい問題ですので、筆者としても見解を述べてみようと思います。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、9月7日週を中心に公開された主なニュースを一気にチェックしましょう!
()
サイバー攻撃そのものへの脆弱性だけでなく、社員になりすましてオフィスに入り、社内の機器を通じてネットワークにも侵入するという「物理的」な手口にも対応したのが特徴だ。模擬的なサイバー攻撃やオフィスへの侵入を通して、安全性の“弱点”を可視化する。
()
Microsoftは、2025年9月の月例セキュリティ更新プログラムを公開した。WindowsやOffice、Azureなど広範囲の製品に影響し、認証不要で悪用可能な深刻度「緊急」の脆弱性も含まれる。
()
生成AIは非常に有用なツールである一方、入力したプロンプトによっては自身の偏見を色濃く反映した“都合のいい結果”を返します。ではこれを回避するにはどうすればいいのでしょうか。認知バイアスを回避するプロンプト術を伝授します。
()
経済産業省は9日、報道におけるソフトウェアなどの脆弱性情報の取り扱いについて、改めて「情報セキュリティ早期警戒パートナーシップガイドライン」に即した対応を求める声明を出した。
()
バーガーキングなどのドライブスルーシステムにおける脆弱性が研究者のブログによって発覚した。顧客の音声ログや従業員の情報に不正アクセスできる状態だったという。
()
KnowBe4は金融業界を対象とした脅威レポートを発表し、AIを利用したフィッシングや認証情報窃取、サプライチェーンの脆弱性など、金融機関が多面的なサイバー脅威にさらされている実態を明らかにしている。
()
継続的デリバリーツール「Argo CD」において、プロジェクト権限を持つAPIトークン経由でリポジトリ認証情報が漏えいする脆弱性(CVE-2025-55190)が報告された。CVSSスコアは9.9(Critical)で、修正版へのアップデートが推奨されている。
()
Googleは9月の月例アップデートを公開し、AndroidとPixelの多数の脆弱性を修正した。限定的な悪用の可能性がある脆弱性も含まれる。Pixelシリーズでは、指紋認証の改善やシステム安定性の向上など、モデルごとに多岐にわたるバグ修正とパフォーマンス改善が行われた。
()
中国のロボット企業Pudu Roboticsの全製品に、第三者による遠隔操作が可能な重大な脆弱性が存在していた。製品の中でも猫型給仕ロボット「BellaBot」は、すかいらーくホールディングスで導入されている。
()
Braveブラウザを手掛ける米Brave Softwareは他社のエージェント型ブラウザの脆弱性を見つけたと発表した。脆弱性が見つかったのは、米Perplexityが提供する「Comet」だ。
()
共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。報道後に、ソニーをはじめとした各社がプレスリリースを出しているが、詳細についてはコメントできないと一様に述べている。これは「脆弱性」による被害を最小限に抑えることを目的とした、とあるガイドラインにのっとった行動である。
()
GitHubは2025年8月25日、公式ブログで、「Visual Studio Code」の「GitHub Copilot Chat」拡張機能のエージェントモードに見つかったセキュリティ脆弱性について解説した。
()
ソニーの非接触ICカード技術「FeliCa」のICチップの一部に脆弱性が見つかったことを受けて8月28日、FeliCaを利用した電子マネーサービス運営各社がそれぞれ、「サービスは安全に利用し続けられる」とのコメントを発表した。
()
CitrixはCitrix NetScaler ADCおよびGatewayで3件の深刻な脆弱性を公表した。これらの中でもCVE-2025-7775は悪用事例が確認され、更新が急務となっている。
()
ソニーは8月28日、交通系ICカードやスマートフォンなどに搭載されるFeliCaのICチップの一部に脆弱性が見つかったと発表した。対象は2017年以前に出荷された一部のICチップ。外部からの指摘によれば、特定の操作を行うことで、データの読み取りや改ざんが実行される可能性があるという。
()
交通系ICカードなどに使われる非接触型IC技術「FeliCa(フェリカ)」のICチップに脆弱性があると指摘された件でソニーやNTTドコモ、JR東日本が相次いで声明を出した。
()
Appleは2025年8月20日にiOS 18.6.2とiPadOS 18.6.2を公開し、ImageIOフレームワークの深刻な脆弱性「CVE-2025-43300」を修正した。
()
「アプリに関するセキュリティの取り組みが十分に成熟している」と回答したのは、10人中わずか3人だった。にもかかわらず大半の企業は脆弱性のあるコードだと分かっていながら、時々あるいは頻繁にソフトウェアをリリースしているという。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月17日週を中心に公開された主なニュースを一気にチェックしましょう!
()
Exchange Serverに見つかった脆弱性「CVE-2025-53786」を悪用すると、オンプレミス版で管理者権限を持つ攻撃者が、脆弱な状態にあるハイブリッド参加の設定を悪用することで権限をさらに昇格できるという。
()
AppleはImageIOに存在する境界外書き込み脆弱性「CVE-2025-43300」への対策としてiOSやiPadOS、macOSにセキュリティアップデートを公開した。多数のApple製品が対象となっており、ユーザーは速やかに更新することが望まれている。
()
Zenity Labsの専門家は、広く使われている生成AIを攻撃者が悪用し、データを窃取したり改ざんしたりできると証明した。研究において、各社のAIエージェントが露呈した脆弱性について確認しよう。
()
AppleがiOS 18.6.2などを配信開始した。悪意のある画像によってメモリを破壊されるImageIOの脆弱性を修正するもので、「非常に高度な攻撃に悪用された可能性がある」としている。
()
製品の脆弱性情報を管理している共通脆弱性識別子(CVE)は、MITREと政府の間の契約に問題が発生し、2025年4月には閉鎖寸前にまで追い込まれた。この問題から有識者たちはCVEには構造的な欠陥があり、その解消が必要だと主張している。
()
Citizen Labらは7億超ダウンロードのVPNアプリを調査し、複数事業者間の隠れた関係と暗号鍵共有による深刻な脆弱性を指摘した。透明性確保が課題と指摘されている。
()
PostgreSQLプロジェクトは「PostgreSQL」の全サポートバージョンに影響を及ぼす複数の深刻な脆弱性を公開した。これらを悪用されると、悪質なプログラムが実行されたり、SQLインジェクション攻撃を実行されたりするリスクがある。
()
研究者たちによると、特定されていないハッカーがMicrosoft SharePointのゼロデイ脆弱性を悪用してランサムウェア攻撃を実行していることが分かった。既に全世界で300件の侵害を確認しているという。
()
GitHub CopilotにプロンプトインジェクションによるRCE脆弱性「CVE-2025-53773」が発見された。開発者端末を完全に制御可能にするこの脆弱性は、Copilotが自動で設定を変更する「YOLOモード」を悪用する。
()
Microsoftは2025年8月の月例セキュリティ更新プログラムを公開した。CVSS基本値が9.8の脆弱性対応が含まれているため早急な対応が必要だ。
()
オンプレミス版の社内ポータルサイト構築ツール「SharePoint Server」の脆弱性を悪用したランサムウェア攻撃が拡大している。パッチを適用しただけでは防ぎ切れなかった、その実態とは。
()
MicrosoftはBlack Hat USA 2025で、WinREの設計変更を悪用し、BitLockerを回避する4件のゼロデイ脆弱性を公開した。物理アクセスで認証不要の攻撃が可能とされている。
()
SafeBreachは、Windowsに存在する認証不要のDoS/DDoSの脆弱性4件と、これを悪用した新手法「Win-DoS」「Win-DDoS」を公表した。攻撃者は内部/外部ネットワークからリソースを枯渇させ、サーバをクラッシュさせることが可能になる。
()
GoogleのWebブラウザ「Chrome」で、すでに攻撃が確認されている深刻な脆弱性が見つった。今回の脆弱性は「型混乱」と呼ばれる。その危険性と、想定される被害とは何か。
()
AmberWolfはDEF CON 33で複数のZTNA製品の重大脆弱性を公表した。ZscalerやNetskope、Check Point Perimeter 81に認証回避や権限昇格の危険があると報告している。英NCSC指針に基づき、組織は契約や体制の安全性検証を求められている。
()
セキュリティ研究者がActive DirectoryとEntra IDのハイブリッド環境における新たな横展開手法を発表した。MFA回避や検知困難な権限奪取を可能にする設計上の脆弱性と、その対策の必要性を示している。
()
Cisco TalosはDell製ノートPCに搭載されているファームウェアおよびAPIに5件の深刻な脆弱性があると発表した。これらの脆弱性は「ReVault」と名付けられており、100機種以上に影響を与えるとされており注意が必要だ。
()
HPが実施したセキュリティに関する調査で、企業におけるプリンタの脆弱性が明るみに出た。導入から廃棄まで、各段階で企業が見落としがちなプリンタのセキュリティリスクとは。
()
Googleは、AndroidとPixelの8月月例アップデートを公開した。リモートコード実行(RCE)の重大な脆弱性などを修正。Pixelシリーズ(7以降)では、システムの安定性向上やナビゲーションに関するバグ修正も行われる。
()
MicrosoftのAI機能「Recall」はPC画面の自動キャプチャーを通じて履歴検索を可能にするが、フィルター機能の不完全さや認証の脆弱性、VBSのリスクなど多くのセキュリティ・プライバシー課題を抱えていることが検証で明らかとなった。
()
セキュリティと開発・運用を一体化する「DevSecOps」の実践が急務となる中、DatadogがDevSecOpsに関する2025年版レポートを発表。同社の分析から見えた実態と、脆弱性対応を見直す鍵とは何か。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、7月27日週を中心に公開された主なニュースを一気にチェックしましょう!
()
GreyNoiseは、CVEが公表される前に攻撃者の行動に顕著な前兆が現れる傾向を報告した。2024年以降の観測により、多くのスパイクが新たな脆弱性公開と連動していた事実が明らかにされている。
()
アシュアードは「取引先企業のセキュリティ評価」に関する実態調査の結果を発表した。調査対象企業の半数以上で取引先企業を起因とした深刻なセキュリティ被害が発生していることが分かった。
()
「Microsoft SharePoint Server」に見つかった脆弱性が波紋を呼んでいる。特に注意が必要なのは、同製品が広く採用されている医療機関だ。この脆弱性はなぜ非常に危険なのか。
()
Datadogは「2025年版DevSecOps調査レポート」を発表した。本レポートによると、緊急対応が本当に必要な脆弱性はごく一部に限られることや、他のプログラミング言語と比較してJavaアプリケーションに脆弱性が多いことなどが明らかになった。
()
「Microsoft SharePoint Server」に脆弱性が見つかり、攻撃への悪用も確認されている。被害組織は全世界にある。パッチは出たが、その適用だけでは不十分だという。なぜなのか。
()
Citrix Systemsのネットワーク機器に危険な脆弱性が見つかった。セキュリティ専門家によると、Boeingも被害を受けた脆弱性「Citrix Bleed」と同等の危険性を持つ。その脅威の正体とは。
()
AWSはWindows版Client VPNクライアントに任意コード実行の恐れがある脆弱性CVE-2025-8069を公表した。特定ディレクトリが非管理者にも書き込み可能であり、細工されている設定ファイルにより意図しないコードが実行できたとしている。
()
TP-LinkのNVRおよびルーターに深刻な脆弱性が確認された。NVRはOSコマンドインジェクションによって不正に制御される恐れがあり、ルーターにはクリックジャッキングの脆弱性が存在する。後者はサポート終了により使用中止が推奨されている。
()
Active Directoryの脆弱性対策と認証の問題に関し、新たな複数フェーズを持つ脆弱性対策が見つかりました。そこで今回は、本件に関連した「複数フェーズを持つ脆弱性対策」と「認証におけるDESの廃止」「コンピュータアカウントのパスワード交換がうまくいかない事象」の3つのトピックを解説します。
()
今回見つかったブレーキシステムにおける重大な脆弱性を悪用すれば、ハッカーは無線信号を不正に操作できる。これによって列車が突然停止したり、脱線したりなど大事故につながる可能性がある。この脆弱性は13年間放置されていた。
()
Wing FTP Serverに見つかった深刻な脆弱性をサイバー攻撃者たちが積極的に悪用していることが判明した。これを悪用されると、最終的には管理者権限でのリモートコードの実行を引き起こすことが可能だという。
()
SharePointの脆弱性CVE-2025-53770に関するPoCツールが公開され、不安全なデシリアライズによりリモートコード実行が可能となる。組織は早急なパッチ適用が推奨される。
()
Citrix NetScalerに2025年6月に見つかった重大な脆弱性は、2023年に登場した大規模なインシデントを引き起こした脆弱性「CitrixBleed」と同様の危機が懸念されている。
()
Eye SecurityはMicrosoft SharePointにおけるゼロデイ脆弱性が悪用されていることを確認した。攻撃はSharePointから暗号鍵などを抽出し、リモートコード実行に至るという。既にグローバルにおいて被害が発生している模様だ。
()
Microsoftのオンプレミス版「SharePoint Server」に、リモートでコードが実行されるゼロデイ脆弱性(CVE-2025-53770)が発見され、攻撃に悪用されている。同社は警告を発し、すでに対策パッチを公開済み。セキュリティ企業は多数のサーバで被害を確認している。
()
Windows 10/11にプリインストールされているセキュリティソフト「Windows Defender」が、「Winring0ドライバ」を利用するアプリを“検出”してアラートを発する事象が報告されている。これは誤検出ではなく、≪特定バージョンのWinring0ドライバにおいて脆弱(ぜいじゃく)性が報告された≫ことに伴うものだ。
()
WordPressの「Malcure Malware Scanner」プラグインに任意のファイルを削除する脆弱性が見つかった。認証済みの低権限ユーザーでもファイル削除が可能となり、リモートコード実行などのリスクがある。現時点で修正パッチは提供されていない。
()
中国製のIPカメラに、デフォルトで無効化不能なTelnetサービスが存在し、rootアクセスが可能となる重大な脆弱性が見つかった。CVSS 10.0の脆弱性とされているが、ベンダーへの連絡手段は存在せず、修正方法も公開されていないという。
()
0DIN.aiは、Google Geminiの要約機能がHTMLメールに埋め込まれた不可視の指示に反応し、偽情報を出力する脆弱性を報告した。攻撃は視覚表示を伴わず実行される。要約機能の信頼性と生成AIの攻撃対象化を警告している。
()
2024年11月に開催されたInternet Week 2024では「脆弱性管理は必要不可欠だけど、どう進めればいいか分からない」という課題をテーマに、講演者や参加者同士で議論するBoFが開催された。
()
企業の仮想化インフラの中核を担うVMware製品に関して、ハッキングコンテストで攻撃が成功した他、複数の脆弱性が報告された。Broadcomによるサポート方針の転換も重なり、企業ユーザーの間では不安の声が高まる。
()
Microsoftの主力製品に影響する脆弱性が見つかり、同社はパッチを公開した。システムを守るために知っておきたい、脆弱性情報をまとめた。
()
Citrixのセキュリティ管理製品「Citrix NetScaler」に重大な脆弱性が見つかった。セキュリティ業界の中では、今回見つかったものと、かつて大規模インシデントを引き起こしたある脆弱性との関連性を指摘する声もあるという。
()
ニデックは、AIデータセンター向け水冷システムに「Wind River Linux」を採用した。Wind River Linuxはサポート体制が充実し、製品出荷後もセキュリティの脆弱性に対応できる。
()
Fortinetは、FortiWebにSQLインジェクションの深刻な脆弱性「CVE-2025-25257」が存在すると公表した。CVSSスコアは9.6で緊急と評価されており、対象バージョンにはパッチ適用が強く推奨されている。
()
サイバー攻撃は事業継続を脅かす経営課題となって久しい。サイバー攻撃の被害を招く主要な原因の一つにあるのが、対策可能なはずの「既知の脆弱性」だ。では、普通の組織は既知の脆弱性管理をどう始めればよいのか。日本シーサート協議会の脆弱性管理WGが「Internet Week 2024」で、脆弱性管理を始めるための4つのステップを解説した。
()
クラウド活用が進む中、セキュリティツールの乱立が新たな脆弱性や運用負荷を生んでいる。そうした中で生まれている、セキュリティツール統合による最適化の動向と対策を探る。
()
Microsoftは、2025年7月の月例セキュリティ更新プログラムを公開した。130件の脆弱性に対する修正が含まれており、中でも「Microsoft SQL Server」のゼロデイ脆弱性は公開前に情報が出ていたため、特に早急な対応が必要だ。
()
Redisに深刻な脆弱性が見つかった。この脆弱性が攻撃者に悪用されるとリモートコード実行が可能となる。PoCやエクスプロイト手法が公開されているため要注意だ。迅速なアップデートが推奨される。
()
セキュリティ研究者が、Lenovo製PCのWindowsシステムフォルダにAppLocker回避に悪用可能な脆弱ファイルが存在すると報告した。ACL設定不備により標準ユーザーでも書き込みができ、悪用可能とされている。
()
Google Chromeはセキュリティの修正を含む最新バージョンを提供した。リモートから任意の読み書き操作が可能になる深刻な脆弱性を修正しており、早急なアップデートが推奨されている。
()
JPMorgan Chaseのセキュリティ責任者は、SaaSモデルには深刻な欠陥が存在し、サイバー攻撃者を密かに利する構造になっていると批判する。SaaSに潜む脆弱性の問題とは何なのか。
()
Stratascaleは、LinuxのSudoに存在する深刻な脆弱性「CVE-2025-32463」を公表した。この脆弱性はchrootオプションの不備により、一般ユーザーがroot権限を取得できる問題で、ユーザーには速やかなアップデートが推奨されている。
()
CSAジャパンはCSA本部が公開した「Agentic AI Red Teaming Guide」の日本語訳を発表した。このガイドはエージェンティックAIのレッドチーミング手法を提供し、その特有のリスクと脆弱性に対処するための指針を示している。
()
社外から企業ネットワークに接続するリモートアクセスは、リスクを放置すれば企業に甚大な被害をもたらしかねない。インシデントを未然に防ぐために、企業が今すぐ取り組むべき7つのセキュリティ対策とは。
()
CISAはランサムウェアグループ「Play」があるリモート管理ソフトウェアの脆弱性を悪用して、公共料金請求システムを扱うソフトウェアベンダーの顧客に対し、攻撃が仕掛けられていることが分かった。
()
Forescoutの報告によると、多数の太陽光発電機器が脆弱性がある無防備な状態でインターネットに存在していることが分かった。これらは10年間にわたって放置されていたという。
()
QualysはSUSE系Linuxにおける深刻な脆弱性を公表した。PAMなどの不備によりroot権限の取得が可能とされている。ほぼ全てのLinuxディストリビューションに影響するとされており、早急な対策が求められている。
()
Apache Tomcatに複数の深刻な脆弱性が見つかった。これらの脆弱性はDoS攻撃や任意コード実行、認証バイパスなどの悪用を可能にするという。対象バージョンは多岐にわたるため速やかなアップデートが推奨されている。
()
トランプ政権下の関税政策に関する不確実性が、企業のサプライチェーンにおける懸念事項になっている。ところが、取引先の見直しなどの防備策が、かえって新たな脆弱性を生み出すとの見方がある。それはなぜか。
()
ソフトクリエイトは2025年6月12日、サーバやネットワーク機器の脆弱性を診断するサービス「SCSmart プラットフォーム診断」の提供を開始した。1つのIPアドレスから診断可能で、外部公開資産から内部サーバまで幅広く対応するという。
()
セキュリティ企業のAim Labsが、「Microsoft 365 Copilot」に初のゼロクリックAI脆弱性「EchoLeak」を発見したと発表した。ユーザー操作なしに悪意あるメール経由で機密情報が流出する可能性があった。この脆弱性は「LLMスコープ違反」と名付けられ、Microsoftにより修正済みだ。
()
クラウド活用が進む一方、機密情報や個人情報の保護が新たな課題となっている。脆弱性情報の公開からわずか1日で攻撃が始まる現状では、従来の事後対応では防御しきれない。企業に今必要なのは、“攻撃を受ける前に備える”ための対策だ。
()
Googleが「Android 16」に合わせ、6月の月例更新も公開した。この更新では、Android全体で34件、Pixelで16件の脆弱性が修正される。また、Pixel端末向けにBluetooth接続やカメラの安定性、指紋認証など、多数のバグ修正とパフォーマンス改善が含まれる。
()
あるセキュリティ研究者が、Google アカウントにひも付けられた電話番号が漏えいする可能性のある脆弱性を報告した。検証では電話番号形式が限られる国において、1件当たりの特定に要する時間が15秒未満だったとしている。
()
脅威グループ「Qilin」が、Fortinet製品の複数の脆弱性を悪用したランサムウェア攻撃を展開していることが分かった。この攻撃キャンペーンは今後、世界中に拡大する可能性がある。
()
Apache TomcatにCVSS9.8と評価された新たな脆弱性が見つかった。過去に見つかった別の脆弱性への対策が不完全だった点に起因するとされている。ユーザーが取るべき対策とは。
()
広く普及しているMicrosoft製品に、幾つかの重大な脆弱性が見つかった。攻撃者が悪用すると、システムを完全に制御して機密情報を漏えいさせる可能性がある。影響を受ける製品やサービスは何か。
()
米Dockerは、セキュリティを最大限に高めつつ本番環境に最適化したコンテナイメージ「Docker Hardened Images」の提供開始を発表しました。
()
セキュリティ研究者がBINDの脆弱性を悪用し、ゼロトラスト環境の制御を回避する手法を実証した。DNS障害によって秘密情報の自動ローテーションが停止し、静的な認証情報へのフォールバックで本来保護されたAPIへの不正アクセスを可能にする。
()
人気のパスワード管理製品BitwardenにPDFファイルを通じて悪意あるJavaScriptを実行できるXSSの脆弱性が見つかった。PoCが公開されており、サイバー攻撃者による悪用リスクが高まっているため注意が必要だ。
()
攻撃者による脆弱性の悪用は後を絶たない。2025年前半に明らかになった脆弱性にはどのようなものがあるのか。SAPやSamsung Electronicsといった大手ベンダーの製品に関する脆弱性を含む3件を紹介する。
()
OpenAIの大規模言語モデル「OpenAI o3」を活用したセキュリティ研究でLinuxカーネルのSMB3に潜むゼロデイ脆弱性CVE-2025-37899が見つかった。検証過程で既知の脆弱性も正確に検出し、AIの実用性を示している。
()
Horizon3.aiはFortinet製品の重大な脆弱性CVE-2025-32756に関する解析とPoCコードを公開した。CVSSスコアは9.8で、未認証の攻撃者が任意のコードを実行できる危険性がある。
()
SAP NetWeaver Visual Composerに重大な脆弱性が見つかった。共通脆弱性評価システム(CVSS)における同脆弱性のスコアは最大の10を記録している。この脆弱性はSAPに深い知見を持つサイバー攻撃者に悪用されているという。
()
NISTとCISAの研究員が脆弱性の悪用確率を評価する新指標「LEV」を提案した。LEVはEPSSやKEVの限界を補完し、悪用済みの可能性が高い脆弱性の早期特定を可能にするという。実際どのくらい信頼できるのだろうか。
()
セキュリティ研究者がAI駆動型WAFの回避手法とその脆弱性を解説した。悪意のある命令文をAIに入力することで、WAFを誤認識させられるという。
()
Broadcomが公表したVMware製品のゼロデイ脆弱性は、永久ライセンスを使用している企業に対して、セキュリティパッチやサポート提供の課題を浮き彫りにした。ユーザー企業はどう対応すべきなのか。
()
Zimperiumは、企業のiOSデバイスにおける非公式アプリ導入の危険性を指摘した。TrollStoreやSeaShell、MacDirtyCow脆弱性の悪用により、機密データ漏洩や遠隔操作などのリスクが発生している。
()
中国科学院と米バージニア工科大学に所属する研究者らは、音波を使ってスマート機器の内部時計を勝手に操作できる脆弱性を示した研究報告を発表した。
()
ランサムウェアの脅威が増加する中、SSL-VPNの脆弱性が攻撃者の主要な侵入経路となっている。こうした状況でセキュリティ強化のために「脱SSL-VPN」が注目を集めている。本記事は移行先となる5つの選択肢を紹介し、メリットや導入時のポイントを解説する。
()
IBMのX-ForceはElectronの脆弱性を利用し、WDACを回避する攻撃手法を実証した。シェルコードをWebブラウザプロセス内で実行することでEDR製品の検知を回避できることが分かっている。
()
2025年4月16日、米国のIT研究団体MITREが提供している脆弱(ぜいじゃく)性識別子「CVE」の存続が危ぶまれているという衝撃的なニュースが世界中を駆け巡った。一体どういうことなのか。
()
Action1は2025年版「Software Vulnerability Ratings Report」を発表した。ソフトウェア脆弱性は2024年に前年比61%増加し、既知の悪用件数も96%増加したという。特にLinux関連の脆弱性は前年比で967%増加した。
()
Coalitionの調査によると、ランサムウェアの損失額が前年と比較して減っているが、脆弱性を修正できなかったためにサイバー保険に加入できずランサムウェア被害に遭うケースも多いという。
()
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、5月11日週を中心に公開された主なニュースを一気にチェックしましょう!
()
Zoomは「Zoom Workplace Apps」に影響を与える複数のCVEに対応するセキュリティ更新を公開した。Windows版含む全Zoom Workplace Appsが影響を受ける。即座にアップデートを適用し、被害を未然に防ぐ必要がある。
()
米ジョージ・メイソン大学に所属する研究者らは、Bluetooth対応デバイスを追跡するための攻撃手法「nRootTag」を提案した研究報告を発表した。
()
GreyNoise Intelligenceの調査によると、世界中の脅威グループは古い脆弱性を積極的に悪用していることが明らかになった。そこには幾つかの理由があるようだ。
()
事業を脅かしかねないサイバー攻撃は、どの企業にも存在し得る脆弱性が引き金になる場合がある。放置すべきではない代表的な5つの脆弱性と、その具体的な修正法を解説する。
()
AppleはiOSやmacOS、watchOSなど主要製品向けにセキュリティアップデートを公開した。各OSで悪意あるメディア処理やシステム権限昇格、BluetoothやWebKit関連の脆弱性を修正した。
()
Appleは「iOS 18.5」の配信を開始した。このアップデートで、「iPhone 13」でも衛星通信機能を利用可能になる。30件以上の脆弱性への対処と複数の機能強化とバグ修正も行われる。
()
ドイツのベルリン工科大学やブラウンシュヴァイク工科大学などに所属する研究者らは、Web会議のバーチャル背景の脆弱性を示した研究報告を発表した。
()
2025年4月8日、Microsoftは同社のサービスに存在する126件の脆弱性を公開した。すでに悪用が確認されたものも含まれている。特に危険性の高い脆弱性と、取るべき対処を紹介する。
()
Googleは5月のAndroidとPixelの月例セキュリティ情報を公開した。「限定的な標的型攻撃の対象である可能性を示す兆候がある」脆弱性修正も含まれる。Pixelではバグ修正も行われる。
()
Socketは、生成AIによる虚偽の脆弱性レポート「AI slop」がバグ報奨金制度を揺るがす実態を明かした。curlやPython財団などでも問題が表面化し、信頼に基づく報奨制度が詐欺の温床となる危険が指摘されている。
()
エネルギー企業JERAはDX推進の一環としてセキュリティ対策を強化している。同社は従来手作業で実施していた脆弱性管理をどのように効率化したのか。脆弱性管理を実施する上でのスタンスや具体的なソリューション導入のポイントを聞いた。
()
米国立標準技術研究所が、脆弱性情報の更新方針を一部変更すると発表した。さらに、脆弱性識別子を管理する新たな組織が発足した。この混乱にIT部門担当者はどう臨めばいいのか。
()
Googleは2024年のゼロデイ脆弱性の悪用状況を分析した年次レポートを公開した。同年では75件のゼロデイ脆弱性の悪用が確認されたが、この流れは今後、拡大するとみられている。
()
たった1行のコードで「iPhone」を使用不能にしてしまう脆弱性が見つかった。この脆弱性はAppleが長年提供してきた内部向けの通知機能「Darwin Notifications」に起因しているという。
()
Erlang/OTP SSHサーバに認証不要でリモートコード実行が可能となる深刻な脆弱性(CVE-2025-32433)が判明した。影響を受けるバージョンでは任意コード実行によって機密情報漏えいやシステム停止の恐れがある。
()
Googleが公表した最新の脅威レポートによれば、ゼロデイ脆弱性に対する攻撃ではエンドユーザー向けから法人向けの製品・技術へと標的がシフトする傾向が見られる。背景に何があるのか。
()