キーワードを探す
検索

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

最新記事一覧

本稿では、インシデントレスポンスに必要な機能の一つである「Endpoint Detection and Response(EDR)」の機能を統合的に管理、運用できる「Microsoft Defender Advanced Threat Protection(Microsoft Defender ATP)」による脆弱性管理と「Microsoft 365 E5」との連携による活用方法を紹介します。

()

本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、「SSHサーバの設定がパスワードなしログインを許可しているか、許可していないか」を確認するサンプルを通じて、SCAPの構成要素XCCDFの構造を理解しよう。

()

本連載では、2019年9月の改訂案をベースにOEMに課されるWP.29 CS Regulationsのポイントを解説し、OEMならびにサプライヤーが取り組むべき対応について概説する。前回は自動車のサイバーセキュリティに必要な組織づくりや、開発フェーズでのプロセス構築について紹介した。今回は生産フェーズ以降のサイバーセキュリティマネジメントシステム(Cyber Security Management System、CSMS)のプロセス構築について説明していく。

()

Webで利用されているコードの80%は再利用ベースのモジュールだ。ここに脆弱性があるとエンドユーザーのWebアクセスが危険にさらされてしまう。そこで、「WebAssembly」などの標準をベースにクロスプラットフォーム、クロスデバイスの新しいソフトウェア基盤の構築に取り組むオープンソースコミュニティー「Bytecode Alliance」が発足した。

()

「変なホテル舞浜 東京ベイ」のロボット「Tapia」に、不正操作につながる脆弱性が存在していたことが明らかになりました。運営会社はセキュリティを強化する旨を発表しましたが、一連のプロセスから考えさせられることは多そうです。

()

卵型コミュニケーションロボット「Tapia」の家庭用モデルにも、第三者が不正に操作できる脆弱性が存在することが分かった。NFC経由で乗っ取られ、不正なソフトなどをインストールされる恐れがあるという。開発元のMJIはセキュリティ強化に向け、ソフトウェアの自動アップデートを早急に行う方針だ。

()

「変なホテル舞浜 東京ベイ」の全100室に設置中の卵型コミュニケーションロボット「Tapia」に脆弱性が発見。悪意のある宿泊者がプログラムに攻撃を加えると、不正に操作できる状況だったという。Twitter上の指摘で発覚した。調査の結果、同ロボットに不正なプログラムが仕掛けられた形跡はなかった。

()

2019年9月の第4週に「Internet Explorer(IE)」の緊急レベルのセキュリティパッチがMicrosoft Updateカタログを通じてダウンロード提供され、その翌日にオプションの累積更新プログラムがWindows Updateで配布される、そして10月初めにさらに新しい累積更新プログラムが自動配布されるという、とてもユーザーを混乱させることがありました。緊急レベルのセキュリティパッチは、9月の公開時になぜにWindows Updateで自動配布されなかったのでしょうか、振り返ってみましょう。なお、IEの脆弱性問題は、10月8日(米国時間)のセキュリティ更新でも解決されています。

()

セキュリティというとまず攻撃手法や脆弱性の話題が思い浮かぶ。だが、つながる先のネットワーク側でも、何らかの対策が必要だ。事後の対策だけでなく、予防的な対策を通じて、安心してネットワークを利用できる世界を実現していくための議論の場がないだろうか。2019年11月に開催される「JPAAWG 2nd General Meeting」がその場だといえるだろう。メッセージングセキュリティについて幅広い話題を扱う予定だ。

()

CNCやCODESYSなど製造現場で活躍するシステムも、常にセキュリティリスクに晒されている。ロシアのセキュリティ企業、Kasperskyによるリサーチによると、製造現場においても脆弱性調査とセキュアな開発、多方面からの取り組みが不可欠であることが示された。

()

当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。前回はインターネットにはクリーンではないトラフィックが常にまん延していることを実証し、攻撃対象となる領域と、領域ごとの被害例について簡単に整理した。今回は、攻撃者の目線を交えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスに沿って、順に解説していく。

()

三菱電機は、ビルシステム向けのサイバーセキュリティソリューションの提供を開始した。経産省が2019年6月に策定したビルシステムに関するサイバーセキュリティのガイドラインにも準じ、外部からだけでなく、過失や故意による内部脅威も含めたサイバー攻撃の防御策として有効で、システムの脆弱性診断から改善提案までをワンストップでサポートする。

()

本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OSがCentOS 7かどうかを判定するサンプルで、SCAPの構成要素XCCDFとOVALの構造を理解する。

()

セキュアスカイ・テクノロジーが、Webサービスの認証を取り巻く「攻撃」と、それに付け入れられる隙となる「脆弱性」の実態を紹介するセミナーを開催。積極的に脆弱性診断を受けるほどセキュリティに気を配っているサイトでも、不備が多々見つかったという。

()

20億個以上のデバイスに用いられている、ウインドリバーのRTOS「VxWorks」のTCP/IPスタック「IPnet」で発見された11個の脆弱性「URGENT/11」。URGENT/11を発見したIoTセキュリティベンダーのアーミスのリサーチャーが「Black Hat USA 2019」で講演し、URGENT/11やTCP/IPスタックの実装問題について説明した。

()

WebサイトやWebアプリのセキュリティの要である「SSL/TLS」は、SSL 3.0以前のレガシーなプロトコルの脆弱(ぜいじゃく)性が問題視され、より新しいプロトコルに移行することが求められてきました。SSLの後継であるTLS 1.0/1.1も脆弱性があることが明らかになり、最近ではTLS 1.2以降を要求するWebサイトやサービスも増えてきています(例:2019年7月下旬のTwitterサービスなど)。今回は、TLS 1.2以降への移行の影響で失敗するようになった「Invoke-WebRequest」コマンドレットの回避策について。

()

「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、ネットに接続された端末機器がセキュリティ的にどのような状況に置かれているかを考えてみます。

()

Androidに存在する権限昇格の脆弱性に関する情報を、ZDIが公開した。Googleが9月のAndroid月例パッチで修正した脆弱性の中には、この問題は含まれていなかった。

()

LINEアプリのプロフ画像を第三者が変更できる脆弱性があり、この脆弱性を利用してプロフ画像を不正に変更する攻撃もあった。LINEは脆弱性を修正し、被害を受けたユーザーには個別に連絡をしているが、同社が把握できていない被害もあり得るとし、ユーザー自身で確認するよう呼び掛けている。

()

「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、先日報道のあった「デジタルカメラの脆弱性」の事象から、IoT機器の製造に携わる人が学ぶべきものを探っていきます。

()

IoTや自動運転など、ビジネスにおけるデータの活用価値の向上と同時に危険性を増しているのがサイバーセキュリティだ。優良顧客の獲得を目的に、信頼性の強化と脆弱性検査に取り組む企業が増えている。ただし、その多くは特定のセキュリティツールやシナリオに依存した各社独自の内容で、本当の意味で攻撃者の視点に立った防御や、顧客が安心できるレベルの対策に至っていない。国内でも政府調達におけるガイドライン対応の義務付けが始まった今、この課題をクラウドソーシングで解決するサービスが日本にあることをご存じだろうか。

()

「防御」の次を見据え、脆弱性検査やCSIRTなどのセキュリティ対策を内製化してきたDeNAでは、2018年にEDR製品を導入し、自社での運用を開始した。背景には、さまざまなゲームやWebサービス開発に必要な多様な環境でも誤検知を減らし、スピードや利便性を損なうことなくセキュリティを一歩一歩高めていきたいという同社ならではの考え方があったという。

()

セキュリティへの関心がまだ低かった約20年前、画期的な脆弱(ぜいじゃく)性検査ツールを発表した若きエンジニアがいる。ユーザーコミュニティーの多くの支持を受け、成長を続けている企業を先導する彼が考える「セキュリティが成し遂げるもの」とは?

()

東京五輪のチケット抽せんや、総務省主導の脆弱性チェック「NOTICE」の結果通知について、“当局を装った偽メール”に注意を呼び掛ける報道が相次いでいます。攻撃に対抗するために、ユーザーにできることをまとめました。

()

Adobe Systemsは、「Adobe Flash Player」「Adobe ColdFusion」「Adobe Campaign」のセキュリティアップデートを公開した。Adobe Flash Playerの脆弱(ぜいじゃく)性は、悪用されれば攻撃者に任意のコードを実行される恐れがある。

()

連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、「QEMU」の脆弱性を悪用したVMエスケープ攻撃に関する事例のうち、ヒープベースのオーバーフロー脆弱性(CVE-2015-7504)を紹介する。

()

厳しいコスト削減要請やデジタルトランスフォーメーション(DX: Digital transformation)を背景に、オープンソースソフトウェア(OSS: Open Source Software)の活用が拡大している。コストを抑えながら、必要なソフトウェアを自由に利用したり組み合わせたりできる点はOSSの大きな利点だが、脆弱性情報の収集・管理をはじめ、セキュリティリスクにもしっかりと対応しなければ甚大なダメージを被るリスクも隠れている。だが、ただでさえ多忙な業務の中、一体どうすれば多種多様なOSSの脆弱性情報を確実に収集・管理できるのだろうか? 日立製作所(以下、日立) に話を聞いた。

()

既にサポートが終了したWindows XPとWindows Server 2003/2003 R2に対し、異例のセキュリティパッチが提供されました。古いバージョンの「リモートデスクトップサービス」に存在するリモートコード実行の脆弱性を修正するもので、この脆弱(ぜいじゃく)性はマルウェアの感染拡大に悪用される危険性があります。

()
キーワードを探す
ページトップに戻る