「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

8万4000超のWebサイトに乗っ取りのリスク WordPressプラグインの脆弱性、確認とアップデートを
述べ8万4000を超えるWebサイトで利用されているWordPressプラグインに乗っ取りの脆弱性が存在することが明らかになった。攻撃が成功するには管理者の操作が必要になるためハードルは高いと見られているが、成功した場合にはサイトの乗っ取りが可能であることから注意が必要だ。(2022/1/18)

開発プロセスにセキュリティチェックを
迅速かつ「セキュア」なアプリ開発を実現するためには何が必要?
Webアプリケーションに残っていた脆弱性を攻撃される事例が後を絶たない。公開するには脆弱性診断が必要だ。しかし開発に速度が求められる今、それだけでは対応しきれない。リリース間隔が短いWebアプリケーションでは別の取り組みも必要だ。(2022/1/18)

この頃、セキュリティ界隈で:
米国では「Log4j」脆弱性の放置に法的措置も 攻撃に引き続き警戒を呼び掛け
「Log4j」の脆弱性の問題は、年が明けても深刻な状況が続いている。米Microsoftは企業に対し、引き続き警戒するように注意を呼び掛けている他、米連邦取引委員会(FTC)は対策を怠った企業に対し、法的措置を講じる考えを示した。(2022/1/17)

Ciscoが2022年1月に合計13のセキュリティアドバイザリを発行 「緊急」の脆弱性2つに対処
Ciscoは複数のセキュリティアドバイザリを発行した。2022年1月以降に発行されたものだけでも深刻度が「緊急」(Critical)に分類される脆弱性がすでに2つ修正されている。(2022/1/15)

Citrix Workspace App for Linuxに、一般ユーザが特権昇格する脆弱性 直ちにアップデートを
Citrixは「Citrix Workspace App for Linux」に特権昇格の脆弱性が存在すると伝えた。該当プロダクトを使用している場合は直ちにアップデートを適用してほしい。(2022/1/14)

Gartner Insights Pickup(240):
「Log4j」の脆弱性についてセキュリティリーダーが知っておくべきこと、すべきこと
「Log4j」の脆弱(ぜいじゃく)性がもたらすリスクを理解し、関連する潜在的な脅威から企業システムを保護するための対策を把握する。(2022/1/14)

「iOS」と「iPadOS」の「15.2.1」配信開始 悪用方法公表済みのHomeKit脆弱性対処など
Appleが「iOS 15.2.1」および「iPad OS 15.2.1」の配信を開始した。HomeKitアプリのサービス拒否(DoS)を発生させる恐れのある脆弱性に対処した。この脆弱性については発見した研究者が悪用方法を公開済みだ。(2022/1/13)

Microsoftが2022年最初の累積更新プログラムを配信 「緊急」の脆弱性に対処
Microsoftは2022年1月の累積更新プログラムを配信した。今回のアップデートでも深刻度が「緊急」(Critical)および「重要」(Important)に分類される複数の脆弱性に対処する。該当プロダクトを確認し、使用している場合には迅速にアップデートを適用したい。(2022/1/13)

こうしす! こちら京姫鉄道 広報部システム課 @IT支線(31):
Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第31列車は、「Log4j 2の脆弱性」です。※このマンガはフィクションです。(2022/1/12)

Google Chromeの最新バージョンがリリース 深刻度「緊急」の脆弱性を修正
Googleは最新バージョンの「Google Chrome」を配信した。深刻度が「緊急」(Critical)に分類される脆弱性が修正されている。迅速なアップデートの適用が求められる。(2022/1/7)

ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】
ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由
モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。(2022/1/7)

急速普及するなかで高まる危険性:
IoTベンダー各社、脆弱性レポート提出には消極的
IoT(モノのインターネット)デバイスの普及が急激に進んでいる。その数は過去最高に達し、データ盗用や操作の乗っ取りを狙った攻撃の増加をわずかに上回っているという。その一方で、民生機器メーカーは現在も、自社製品の脆弱性に関するレポートを提出したがらない傾向にある。EE Timesは、1年半ほど前にこの問題を取り上げているが、それ以降もレポートの数は伸び悩んでいるようだ。(2022/1/6)

2022年もLog4Shellに要警戒 Microsoftが脅威アクターの動向を分析
Log4jの脆弱性、通称「Log4Shell」を利用したサイバー攻撃は今後さらに拡大が懸念されている。この問題は短期に収束するめどが見えておらず、今後長期にわたりサイバー攻撃で使われる危険性が指摘されている。(2022/1/6)

Pixelの1月月例更新開始 ただしPixel 6シリーズは除く
GoogleはPixelシリーズ対象の月例アップデートを公開した。脆弱性修正の他、緊急電話が発信できなくなる問題などに対処した。ただしPixel 6/6 Proの更新は1月下旬になる。(2022/1/5)

Androidの1月月例更新開始 「致命的」な1件含む35件の脆弱性修正
GoogleはAndroidの月例セキュリティアップデートをリリースした。「致命的」な1件を含む35件の脆弱性を修正した。(2022/1/5)

「Google Chrome 97」の安定版公開 危険度最高の脆弱性修正やデータ一挙消去ツール追加など
GoogleがWebブラウザの最新版「Chrome 97」をリリースした。危険度最高の1件を含む37件の脆弱性に対処した。訪問したWebサイトの権限をリセットし、データを一括削除する機能も追加された。(2022/1/5)

管理者権限を不正に取得可能
「Windows Installer」に“凶悪”な脆弱性 専門家が危惧する理由は?
「Windows Installer」の脆弱性「CVE-2021-41379」に亜種が見つかった。専門家によると、CVE-2021-41379のパッチとしてMicrosoftが配布した更新プログラムでも、この亜種を修正できない。その危険性とは。(2021/12/31)

SOHO向け9機種に脆弱性発見
プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは?
セキュリティ専門家らが、一般家庭や小規模オフィスで使われる無線LANルーター9機種に脆弱性を発見した。攻撃の恐れがあるとして、ユーザー企業に注意を呼び掛けている。(2021/12/30)

「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開
ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。(2021/12/29)

Log4jの脆弱性を突く攻撃はまだ収束せず ハニーポットの観測結果
Doctor Webがハニーポットで観測されたLog4jの脆弱性を狙うサイバー攻撃の動向について報告した。活発な活動が観測された時期や現在の攻撃の状況が明らかになっている。(2021/12/28)

Gatekeeperを突破する脆弱性、実行の仕組みを専門家が解説
セキュリティ専門家がmacOSのセキュリティ機能「GateKeeper」を回避するとされる脆弱性CVE-2021-30853の分析結果を公開した。macOSのファイル検疫や公証チェックを回避することにも利用できたことが指摘されている。(2021/12/28)

休暇の前に必ずチェックしておきたいLog4jの脆弱性情報まとめ、JPCERT/CCが提供
JPCERTコーディネーションセンターがLog4jの脆弱性に関する情報のまとめページを公開した。影響を受ける可能性がある場合は必ず確認しておきたい。(2021/12/28)

半径300メートルのIT:
2021年10大セキュリティ事件に“ピンとこない”人に考えてほしいこと
2021年は年末にかけて、Emotetの活動再開やApache Log4jの脆弱性など大きなセキュリティニュースが話題になりましたが、発生したインシデントはそれだけではありません。2021年の10大セキュリティ事件をどこまで覚えていますか。(2021/12/28)

クラウドサービスの脆弱性にCVEは必要か【第4回】
クラウドセキュリティ団体CSAトップが語る「脆弱性公開の仕組み」に必要な2条件
クラウドサービスの脆弱性が見えにくい現状を打破するため、セキュリティ専門家がクラウドサービスの脆弱性公開の枠組みを考案した。その要件とは何か。どのようなメリットをもたらすのか。(2021/12/28)

Teamsに未解決の3つの脆弱性 セキュリティ研究者が指摘
Positive Securityのセキュリティ研究者がMicrosoft Teamsに4つの脆弱性が存在すると報じた。Microsoftはそのうち1つを修正対象としたが、3つは修正されることなく残ったままだという。(2021/12/25)

Apache HTTP Server 2.4.52が公開 深刻度「緊急」の脆弱性に対処
Apache Software Foundationは「Apache HTTP Server 2.4.52」を公開した。新バージョンは2つの脆弱性に対処した。内容の確認と迅速なアップデートが望まれる。(2021/12/24)

ビールメーカーBrewDogは脆弱性にどう対処したのか【前編】
ビール愛好家が攻撃の的に 「BrewDogモバイルアプリ」脆弱性とは何だったのか
英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱性が見つかった。個人情報の流出の恐れがあったこの脆弱性はどのようなものだったのか。発見の経緯とともに説明する。(2021/12/24)

アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に
中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。(2021/12/23)

WordPressのSEO対策プラグインに「緊急」の脆弱性 早急な対処を
WordPressのSEO対策プラグイン「All In One SEO Plugin」に2つの脆弱性が見つかった。深刻度は一つが「緊急」、もう一つが「重要」に分類される。該当プラグインを使用している場合には直ちにアップデートを適用することが望まれる。(2021/12/23)

製造ITニュース:
独自技術でIoT製品の脆弱性診断を高速化、台湾セキュリティ企業のツール提供
シーイーシーは2021年12月16日、IoT製品のセキュリティ品質向上を支援する、Onward Securityの「HERCULES SecDevice」を提供開始すると発表した。IoT製品のセキュリティチェックを簡易化、省力化することでセキュリティ品質確保を支援する。(2021/12/22)

ManageEngine Desktop Centralに「緊急」の脆弱性 FBIが注意喚起
FBIは、ManageEngine Desktop Centralを悪用したAPTに関するアラートを発表した。脆弱性の詳細を確認し、適宜アップデートを実施してほしい。(2021/12/22)

Appleの脆弱性への姿勢に疑問の声【前編】
Appleの「macOS」修正姿勢に専門家が批判 「なぜパッチをすぐ配布しないのか」
Appleが脆弱性を修正する一連の行動について、セキュリティベンダーMalwarebytesが問題を提起した。批判の焦点はどこにあるのか。(2021/12/22)

Apache、Log4jに関する3つ目の修正パッチを公開 新たな脆弱性を修正
Apache Log4jを巡る一連の脆弱性問題で、新たな脆弱性が発見された。Apacheはこれを受けて3つ目のセキュリティパッチを公開した。すでにアップデートをした場合も、現在のバージョンを確認するとともに対策に取り組んでおきたい。(2021/12/21)

セキュリティの概念を変えるDSbD【前編】
セキュリティが根本から変わる「脆弱性があっても悪用させない」技術
英UKRIはサイバーセキュリティを根本から変え、ソフトウェアに起因する脆弱性を排除しようとしている。その一端が「メモリの安全性」技術だ。(2021/12/21)

クラウドサービスの脆弱性にCVEは必要か【第3回】
「脆弱性を明かさないベンダー」にセキュリティ専門家がいら立つ“当然の理由”
セキュリティ専門家は、IT製品やサービスの脆弱性をベンダーが公表しないことを問題視してきた。それによりベンダー、ユーザー企業、セキュリティ業界にどのような悪影響が生じると専門家は考えるのか。(2021/12/21)

「Log4j」に新たな脆弱性、深刻度は「High」 バージョン2.17.0へのアップデートを呼び掛け
The Apache Software Foundation(ASF)がJava環境向けのログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たに見つかったDoS攻撃を引き起こす脆弱性「CVE-2021-45105」を修正する。(2021/12/20)

Log4j脆弱性を突く攻撃が高度化 WAF回避、認証情報の窃取など JPCERTが確認
「Apache Log4j」で見つかった脆弱性について、JPCERT/CCは脆弱性を突いた攻撃が高度化していると報告した。WAFの回避、AWSの認証情報の摂取などが確認された。(2021/12/17)

ヤマーとマツの、ねえこれ知ってる?:
「Apache Log4j」の脆弱性が話題だけど、そもそもApacheとかJavaの語源って知ってる?
Log4jのjはJava。そしてApache。これらはどういう由来なのか、調べてみた。(2021/12/17)

Apple、iCloudの「Apache Log4j」ゼロデイ脆弱性を修正
「Apache Log4j」の脆弱性で名指しされていたApple iCloudだが、12月11日までには修正されていたことが分かった。(2021/12/17)

Adobe Photoshopなど複数の製品に「緊急」の脆弱性 アップデートを
Adobeはセキュリティアップデートを公開した。深刻度が緊急(Critical)や重要(Important)に分類される脆弱性が修正される。該当製品を確認するとともに、迅速なアップデートの適用が望まれる。(2021/12/17)

ヤマーとマツの、ねえこれ知ってる?:
「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。(2021/12/16)

米国土安全保障省、バグ報奨金制度「Hack DHS」開始
米国土安全保障省(DHS)は、独自のバグ報奨金制度「Hack DHS」を立ち上げた。脆弱性の重大性に応じ、500ドル〜5000ドルの報奨金を与える。プラットフォームはCISAが運営する。(2021/12/16)

「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認
Microsoftは、「Apache Log4j」の脆弱性が、中国、イラン、北朝鮮、トルコを起源とする複数の集団によって悪用されていることを確認した。また、複数のアクセスブローカーが企業からの情報窃盗にこの脆弱性を利用していることも確認したとしている。(2021/12/16)

Microsoft、2021年最後の累積更新プログラムを配信 30以上の製品が対象
Microsoftは2021年12月の累積更新プログラムを配信した。今回の累積更新プログラムでは30を超える製品が対象となる。「緊急」(Critical)に分類される脆弱性もあるため、迅速にアップデートを適用してほしい。(2021/12/16)

サイバー攻撃を受けにくい環境の維持を実現:
PR:“攻撃者の視点”でセキュリティリスクを自動で定量的に可視化
サイバー攻撃が激化する中で自社のみならず、グループ会社や取引先も含めたサプライチェーンリスク管理の重要性が叫ばれている。“攻撃者の視点”でサイバー攻撃を未然に防ぐ手法として注目されるのが、外部に露出する脆弱性を事前に検出して自動的に攻撃対象になる危険度をスコア化する「SecurityScorecard」だ。(2021/12/24)

サイバー攻撃を受けにくい環境の維持を実現
“攻撃者の視点”でセキュリティリスクを自動で定量的に可視化
サイバー攻撃が激化する中で自社のみならず、グループ会社や取引先も含めたサプライチェーンリスク管理の重要性が叫ばれている。“攻撃者の視点”でサイバー攻撃を未然に防ぐ手法として注目されるのが、外部に露出する脆弱性を事前に検出して自動的に攻撃対象になる危険度をスコア化する「SecurityScorecard」だ。(2021/12/24)

「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設で観測した攻撃数の平均グラフを公開した。(2021/12/15)

米連邦政府のCISA、「Log4j」対策をクリスマスイブまでに完了するよう政府機関に指示
米連邦政府のサイバーセキュリティ諮問機関CISAが、連邦政府機関に対し、「Log4j」の脆弱性対策を12月24日のクリスマスイブまでに完了するよう指示した。CISAはこの脆弱性に関する専用Webページも立ち上げた。(2021/12/15)

Cybereasonが「Log4Shell」を回避するワクチンをOSSで公開
CybereasonはLog4jに関するゼロデイ脆弱性(CVE-2021-44228)、通称「Log4Shell」の影響を回避するOSSを公開した。Log4jをアップデートできない場合には有効な回避策の1つになり得るため検討材料に加えておきたい。(2021/12/15)

「ゼロトラスト」で効率化するセキュリティ運用【前編】
“放置アプリ”であふれる企業を襲うセキュリティの問題とは?
企業が利用するアプリケーションが日々多様化する中、企業が対処すべき脆弱性も多様化しています。従来のセキュリティ運用が引き起こしかねないセキュリティ問題には、どのようなものがあるのでしょうか。(2021/12/21)

Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に
米Apacheソフトウェア財団は、Java向けログ出力ライブラリ「Apache Log4j」のバージョン2.16.0をリリースした。変更点は、JNDI機能をデフォルトで無効化したことと、Massage Lookup機能を削除したことの2点で、問題となっていた脆弱性に対応した形になる。(2021/12/14)

最新バージョンへのアップデートを推奨:
IPAが「Apache Log4j脆弱性」の暫定回避方法を紹介
IPAは「Apache Log4j」の脆弱性(CVE-2021-44228)に関する対策を講じるように注意を促している。2.15.0より前の2系のバージョンが影響を受ける。(2021/12/13)

半径300メートルのIT:
Log4jのゼロデイ脆弱性から学ぶ “ヤバい”ニュースを見落とさない組織になるコツ
Javaのロギングライブラリ「Apache Log4j」で外部環境から任意のコード実行が可能になる脆弱性(CVE-2021-44228)が大きな注目を集めています。こうした深刻な脆弱性が発見されたとき、迅速に対応できる組織になるにはどうすればいいのでしょうか。(2021/12/14)

クラウドサービスの脆弱性にCVEは必要か【第2回】
「『CVE』のないクラウド」に専門家が不満な“表の理由”と“裏の理由”
クラウドサービスの脆弱性に「CVE」が付与されないことを複数の専門家が問題視している。どのような見解から専門家は異議を唱えているのか。(2021/12/14)

狙われる「445番ポート」とは【中編】
「445番ポート」はなぜ攻撃者の標的になるのか あの「WannaCry」でも悪用
「WannaCry」といったランサムウェア攻撃が話題を呼んでいる。それらに悪用されているのは、「445番ポート」に関連する脆弱性だ。具体的に説明する。(2021/12/14)

医療機関のクラウド移行、リスク管理のヒント【第3回】
医療機関がクラウド利用前に考えたい「脅威モデリング」と「セキュアコーディング」の意義
システムをクラウドサービスで展開するに当たり「脅威モデリング」と「セキュアコーディング」がなぜ重要なのか。サイバー攻撃の標的にされやすい医療機関だからこそ重視すべき脆弱性対策のポイントは。(2021/12/14)

「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた
ログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行できる脆弱性があることが明らかになった問題で、その攻撃手段をネット上で共有する行為は、不正指令電磁的記録に関する罪に問われるのではないかと、エンジニアを中心に議論が起きている。(2021/12/13)

世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説
JavaライブラリApache Log4jで見つかった脆弱性について、JPCERT/CCが攻撃の仕組みと対策方法を公開し注意を促した。(2021/12/13)

“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
Javaライブラリ「Apache Log4j」で見つかった、任意のコードを実行できる脆弱性を巡り、米Cybereasonが脆弱性を修正するプログラムを公開した。“ワクチン”のように脆弱性を活用して問題を修正できる。(2021/12/13)

Apache Log4jにCVSSスコア「10.0」の脆弱性 国内で悪用を試みる通信も確認
Apache Log4jに任意コード実行の脆弱性が明らかになった。利用されているJavaシステムが多いことから影響範囲の広さが懸念されている。現状ではまだ不明点が多いが、すでに脆弱性を狙ったハッキングが確認されており、継続的な情報収集と対応が求められる。(2021/12/13)

CiscoがApache HTTP Serverの脆弱性の影響受ける製品を順次発表中、確認を
Apache HTTP Serverの5つの脆弱性はCisco製品にも影響を及ぼすようだ。Ciscoは影響を受ける製品の確認を進めており、該当製品のリストが順次更新されている状況だ。Cisco製品を使用している場合には定期的に確認しておきたい。(2021/12/11)

「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。(2021/12/10)

UEM製品「ManageEngine Desktop Central」に「緊急」の脆弱性 サイバー攻撃もすでに確認
ManageEngine Desktop CentralとManageEngine Desktop Central MSPに深刻度「緊急」(Critical)の脆弱性が見つかった。すでに同脆弱性はサイバー攻撃に利用されているため、影響を確認して迅速に対処してほしい。(2021/12/8)

Androidの12月月例更新開始 「致命的」な6件を含む多数の脆弱性修正
Androidの12月の月例セキュリティ更新の配信が始まった。Androidでは最も危険度の高い「Critical」6件を含む49件の脆弱性が修正される。Pixel固有の脆弱性には「Critical」はないが、多数の脆弱性に対処する。(2021/12/7)

Wi-Fiルーター9機種に合計226個の脆弱性 早急に確認とアップデートを
ドイツのセキュリティ企業が、Wi-Fiルーター9機種に合計226個の脆弱性を発見した。該当製品を使用しているかどうかを確認し、使用している場合は迅速にアップデートを適用してほしい。(2021/12/7)

クラウドサービスの脆弱性にCVEは必要か【第1回】
クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”
IT製品に脆弱性が存在することが判明したら、専門機関が脆弱性に「CVE」を付与することが通例だ。だがクラウドサービスはそうではない。理由を歴史的背景に沿って解説する。(2021/12/7)

暗号ライブラリ「NSS」に「緊急」の脆弱性 複数のアプリケーションに影響か
Mozillaが提供する暗号ライブラリ「NSS」にヒープオーバーフローの脆弱性が見つかった。悪用されるとクラッシュや任意のコードが実行される危険性がある。複数のアプリケーションが影響を受けるとされており注意が必要だ。(2021/12/6)

Linuxセキュリティ専門家に聞く【中編】
LinkedInで自社の脆弱性が分かる? 出回っている情報の把握はなぜ重要なのか
企業はインターネットで自社について説明するさまざまな情報を公開しているため、システムに侵入されるリスクが高まる。どうすればいいのか。Linuxセキュリティの専門家に聞いた。(2021/12/3)

HPのプリンタ製品に「緊急」の脆弱性 細工されたPDF印刷で情報漏えい発生の危険あり
HPのプリンタ製品に2つの脆弱性が見つかった。そのうち一つは深刻度が「緊急」(Critical)に該当するため迅速にアップデート適用が求められる。【訂正】(2021/12/2)

Windowsにゼロデイの脆弱性、MSは放置も専門家は「深刻」と指摘
Microsoftは毎月の累積更新プログラムでセキュリティの脆弱性を修正しているが、中には外部からリスクを指摘されても正式に脆弱性として認識されず、放置されたものもある。(2021/12/1)

Zoomに深刻度「重要」の脆弱性 アプリケーションにクラッシュを引き起こす可能性
Web会議ツールZoomに複数の脆弱性が見つかった。脆弱性のうち1つは深刻度が「重要」に該当し、任意のコード実行を引き起こす危険性がある。該当製品を確認し、迅速にアップデートを適用してほしい。(2021/11/30)

TechTarget発 世界のITニュース
Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは?
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。(2021/11/30)

Linuxセキュリティ専門家に聞く【前編】
「99%のランサムウェア攻撃を防げる手段」を書いた専門家が本当に伝えたいこと
IT管理者はセキュリティ確保のためにバックアップやパッチ管理、定期的な脆弱性スキャンが欠かせない。Linuxセキュリティの専門家にシステムを守るこつを聞いた。(2021/11/26)

vCenter Serverに「重要」の脆弱性 迅速にアップデートを
VMware vCenter ServerとVMware Cloud Foundationに脆弱性が発見された。そのうち一つは深刻度が重要(Important)に分類される。該当製品を使用している場合は、迅速にアップデートを適用してほしい。(2021/11/25)

Windows 10、11などのゼロデイ脆弱性、パッチ公開前に報告者が概念実証コード公開
Microsoftが11月のセキュリティ更新で修正したはずの脆弱性がまだ悪用できると、報告者が概念実証をGitHubで公開した。既にマルウェアサンプルが検出されているという報告もある。(2021/11/25)

Windowsに特権昇格のゼロデイ脆弱性 研究者がPoCコードを公開
Windows Installerにおける特権昇格のゼロデイ脆弱性を利用したエクスプロイトが見つかった。現時点ではMicrosoftはアップデートを提供していない。(2021/11/25)

Apple、iPhoneスパイウェア「Pegasus」のNSOを提訴
Appleは、スパイウェア「Pegasus」を提供するイスラエル企業NSO Groupを提訴した。iPhoneの脆弱性を悪用し、ユーザーを監視したとして、NSOによるApple製品とサービスの使用を禁止する恒久的差止命令を求めている。(2021/11/24)

犯罪者の楽園はどこなのか
意外? 「データベースの脆弱性を最も放置している国」が判明
Impervaの5年にわたる調査によって、脆弱性が放置されているデータベースの利用率が明らかになった。世界ワースト1として名指しされた国とはどこか。アジア太平洋地域ではどこが危険なのか。(2021/11/22)

44種類のNETGEAR製品に「重要」に該当する脆弱性 迅速に対処を
NETGEARのルーターやモデム、中継機に脆弱性が発見された。root権限で任意のコードが実行される危険性がある。該当製品を使用している場合には最新のファームウェアにアップデートする必要がある。(2021/11/20)

Exchange Server、FortiOSを悪用した攻撃に要注意 CISAらが共同でセキュリティアラートを発表
Exchange ServerやFortiOSの脆弱性を利用したサイバー攻撃に注意が必要だ。CISAとFBI、ACSC、NCSCは共同でセキュリティアラートを発表した。迅速に緩和策を実施してほしい。(2021/11/19)

パッチ適用が難しい6つの理由【第1回】
企業が「パッチ」を適用しない理由と、“脆弱性放置企業”を責められない理由
パッチの重要性を理解している企業の全てが、パッチを十分に適用できているわけではない。リスクがあるにもかかわらず、パッチ未適用のIT製品は至る所にある。それはなぜか。(2021/11/18)

Google Chromeの最新バージョンが公開 7件の「重要」な脆弱性を修正
Googleは最新バージョンの「Google Chrome version 96.0.4664.45」を配信し、深刻度「重要」(High)に該当する7件の脆弱性を修正した。(2021/11/17)

VMware Tanzuに脆弱性 DoS攻撃を受けるおそれ
VMware Tanzu Application Service for VMsに脆弱性が発見されており、米コンピュータ緊急事態対策チームが情報の確認とアップデートの実施を呼びかけている。(2021/11/15)

FBIのメールアカウントが乗っ取られ、フェイクメールを大量配信(原因発表)
米連邦捜査局(FBI)の公式アカウントから11月12日午後から不審なメールが10万人以上に届き、セキュリティ組織がそれはフェイクだと警告した。FBIもこの問題を認識している。攻撃したと名乗るPompompurinは「脆弱性を指摘するのが目的」と語った。(2021/11/14)

iCloud for Windowsに深刻度「重要」の脆弱性 迅速なアップデートを
「Windows 10」や「Windows 11」で「iCloud」を使用している場合には注意が必要だ。Foundationで任意のコードが実行される危険性が見つかっており、CISAがアップデートの適用を推奨している。(2021/11/13)

Appleが9月に修正したCatalinaの脆弱性は香港市民への攻撃に悪用されていたとGoogle
GoogleのセキュリティチームTAGは、Appleが9月に修正したCatalinaのゼロデイ脆弱性について報告した。国家の支援を受ける犯罪者がこの脆弱性を悪用し、香港市民を攻撃していたとしている。(2021/11/12)

Microsoftが2021年11月の累積更新プログラムを配信 迅速に確認と適用を
Microsoftは2021年11月の累積更新プログラムを配信した。深刻度が緊急(Critical)に分類される脆弱性が修正されており、該当プロダクトを使っている場合には迅速な対応が望まれる。(2021/11/12)

Sambaに8件の脆弱性が見つかる CISAが迅速なアップデートの適用を呼び掛け
OSS「Samba」に影響を受けたシステムの制御権が乗っ取られる危険性がある脆弱性が見つかった。CISAは迅速なアップデートの適用を呼び掛けている。(2021/11/11)

抽選でAmazonギフト券が当たる
「脆弱性・パッチ管理」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフト券(3000円分)をプレゼント。(2021/11/9)

Exchange「Autodiscover」の脆弱性とは【後編】
「Exchange」の脆弱性公開の裏で起きていた“ある論争”とは?
Guardicoreは、Microsoftの「Exchange Server」「Exchange Online」の機能に脆弱性が存在することを報告した。その報告を受けてMicrosoftとGuardicoreの間には、ある“論争”が起こった。何が起きたのか。(2021/11/9)

「Apple Pay」悪用攻撃の影響と原因【後編】
Apple Payに不正決済の脆弱性 「AppleにもVisaにも責任」と専門家が語る理由
セキュリティ研究者が「Apple Pay」のVisaカード決済に潜む脆弱性を発見した。AppleとVisaの両者は、それぞれ独立してこの脆弱性を修正できると研究者は指摘する。それはどういうことなのか。(2021/11/8)

Ciscoがセキュリティアドバイザリを公開 深刻度が「緊急」の脆弱性も
Ciscoは複数製品のセキュリティアップデートを公開した。脆弱性の中には深刻度が緊急(Critical)に分類されているものも2つ含まれている。該当の製品を利用しているかどうかを確認してほしい。(2021/11/6)

理研が不正アクセス被害、1万4000件の個人情報が流出か 指摘済みの脆弱性を悪用される
理化学研究所は、職員の研修などに利用している学習管理システムが不正アクセスされ、1万4000件の個人情報が流出した可能性があると発表した。(2021/11/5)

発生し得る攻撃の詳細と対策
「Apache HTTP Server」に脆弱性 専門家がパッチ適用を“強く推奨”の理由
「Apache HTTP Server」の脆弱性を悪用する攻撃を観測したという発表を受け、セキュリティ専門家は、利用者に対してパッチの適用を強く推奨している。その理由とは。(2021/11/5)

FirefoxとThunderbirdに複数の重要度「高」の脆弱性、アップデートを呼び掛け
FirefoxとThunderbirdに脆弱性が発見された。最悪の場合、システム制御権を奪われるリスクがあるため、急いで対応してほしい。(2021/11/4)

ランサムウェア「Hello Kitty」が活発化 標的にされる脆弱性は?
FBIは2021年1月に観測されたランサムウェア「Hello Kitty」に関する民間企業通知を発行した。これを利用する脅威アクターは「二重の脅迫」とDDoS攻撃を組み合わせてくるとし、注意を促している。(2021/11/3)

ソースコードに脆弱性を潜ませられるUnicode悪用攻撃法「Trojan Source」を研究者が発表
英ケンブリッジ大学コンピュータ研究所が、「Trojan Source」と名付けた攻撃法を発表した。Unicodeの脆弱性を悪用するもので、C、C++、C#、JavaScript、Java、Rust、Go、Pythonに対して機能した。「他のほとんどの言語に対しても機能すると思われる」としている。(2021/11/2)

Androidの11月月例更新開始 「致命的」な2件を含む多数の脆弱性修正 Pixelでは機能改善も
GoogleはAndroidおよびPixelの月例アップデートを発表した。Androidでは重要度が最も高い2件と、悪用された可能性のある1件を含む脆弱性に対処。Pixelではキーボードや通知音の問題も修正した。(2021/11/2)

BINDにDoS攻撃を引き起こす脆弱性が見つかる CISAが対策を呼びかけ
BINDにDoS攻撃を引き起こす可能性がある脆弱性が見つかった。CISAはユーザーにセキュリティ情報を確認するとともに、必要に応じたアップデートの適用を推奨している。(2021/11/2)

Exchange「Autodiscover」の脆弱性とは【中編】
「Exchange Server」「Exchange Online」の情報漏えいを防ぐ2つの対策
「Exchange Server」「Exchange Online」の自動設定検出機能「Autodiscover」の脆弱性は、情報漏えいを招く恐れがある。この問題を指摘したGuardicoreは、どのような対策を呼び掛けているのか。(2021/11/2)

「Apple Pay」悪用攻撃の影響と原因【前編】
「Apple Pay」の「Visaカード」決済に不正決済の脆弱性 その悪用の手口とは
研究者チームが「Apple Pay」のVisaカード決済に潜む脆弱性と、それを悪用する方法を見つけた。特定の条件下で不正決済が可能になるという。その仕組みはどのようなものか。(2021/11/1)

Appleとバグハンターの“対立”【後編】
脆弱性を探すバグハンターは、なぜAppleにうんざりするのか
「iOS」脆弱性の詳細公表に踏み切ったセキュリティ研究者は、脆弱性に対するAppleの姿勢を批判した。これまでもバグハンターの間では、Appleへの不満がくすぶっていたという。どういうことなのか。(2021/10/31)

Appleとバグハンターの“対立”【中編】
セキュリティ研究者が「iOS」脆弱性“怒りの公表”に踏み切った理由
脆弱性に対するAppleの姿勢に不満を持ったあるセキュリティ研究者が、「iOS」に存在する脆弱性の公表に踏み切った。Appleのどのような対処が、セキュリティ研究者をいら立たせたのか。(2021/10/30)

Chromeに“野に放たれた”エクスプロイト対策を含むアップデート
GoogleはChromeブラウザのセキュリティアップデート「95.0.4638.69」をリリースした。8件の脆弱性を修正する。そのうち2件は実際に悪用されたことが確認されている。(2021/10/29)

Appleとバグハンターの“対立”【前編】
セキュリティ研究家が“怒り”の公開 Apple「iOS」3つの脆弱性とは
あるセキュリティ研究者が、「iOS」に存在する3件の脆弱性の詳細を公表した。それぞれどのような脆弱性なのか。悪用されるとどのような影響があるのか。(2021/10/29)

Exchange「Autodiscover」の脆弱性とは【前編】
「Exchange」の“設計上のミス”が招いた情報漏えいとは?
セキュリティベンダーGuardicoreは、「Exchange Server」「Exchange Online」の自動検出機能「Autodiscover」の脆弱性を発見した。同社の検証から分かった情報漏えいの仕組みや規模はどのようなものか。(2021/10/26)

Ciscoが複数製品のアップデートを発表 合計20の脆弱性を修正
Ciscoから複数製品のセキュリティアドバイザリが発行された。特に「IOS XE SD-WAN Software」に関する脆弱性は深刻度が重要(High)に分類されており注意が必要だ。(2021/10/23)

Google Chromeの最新バージョンが公開 19件の脆弱性を修正
Google Chromeに複数の脆弱性が発見された。Google Chromeを再起動するなどしてアップデートを適用してほしい。脆弱性の中には影響を受けたシステムの制御権が乗っ取られる危険性があるものも含まれるため注意が必要だ。(2021/10/22)

PowerShell 7に情報漏えいの脆弱性 迅速にアップデートを
PowerShell 7に情報漏えいの脆弱性が見つかった。Windows以外のOSを利用している場合、脆弱性の影響を受ける可能性があるため迅速にアップデートを適用してほしい。(2021/10/21)

「Chrome 95」の安定版公開 FTPサポート終了、19の脆弱性に対処
GoogleはWEbブラウザ安定版のアップデート「Chrome 95」をリリースした。19件の脆弱性に対処した他、FTPのサポートを終了した。(2021/10/20)

Google Chromeがセキュリティアップデートを公開 緊急度の高い4つの脆弱性に対応
Google Chromeのセキュリティアップデート版が公開された。最新版以外のプログラムにはバッファオーバーフローにつながる脆弱性が含まれるため、急いでアップデートしてほしい。(2021/10/14)

Microsoftが2021年10月の累積更新プログラムを配信 迅速にアップデートを
Microsoftは2021年10月の累積更新プログラムを配信した。「緊急」(Critical)に分類される脆弱性の修正が含まれるため、迅速なアップデート適用が望まれる。(2021/10/14)

公開情報が少なく対策が不十分:
多数のWebサイトにJavaScriptプロトタイプ汚染の脆弱性あり、セキュリティ研究者が発見
サイバーセキュリティツールベンダーのPortSwiggerは、セキュリティ研究者「s1r1us」氏のブログで発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱性があることが明らかになったという。(2021/10/12)

「iOS 15.0.2」配信 AirTagや“既に悪用された可能性のある脆弱性”などの修正
Appleは「iOS 15.0.2」と「iPadOS 15.0.2」をリリースした。複数のバグ修正と、セキュリティ関連の脆弱性対処が含まれる。脆弱性は“既に悪用された可能性がある”ものだ。(2021/10/12)

Apple、「iOS 15.0.2」「iPadOS 15.0.2」を配布開始 ゼロデイ脆弱性を修正
iPhone、iPadのOSで指摘されていた脆弱性が修正された。(2021/10/12)

企業の3分の1がセキュリティ問題を経験:
SolarWindsのケースから見る、クラウドセキュリティ接続の脆弱性
FireEyeは2020年12月に、SolarWindsの大規模なデータ侵害について報告したが、この時はまだ、「これらのデータ侵害は、既に定着しているクラウド接続の存在なしには発生し得なかった」ということがすぐには分からなかった。(2021/10/14)

IoTセキュリティ:
TCP/IPスタックの脆弱性「INFRA:HALT」に見る、組み込み業界の課題と対策
2021年8月に発表された制御機器で広く利用されているTCP/IPスタック「NicheStack」の脆弱性「INFRA:HALT」。この脆弱性を発見したForescoutのダニエル・ドス・サントス氏とJFrogのシャハール・メナーシュ氏の講演では、INFRA:HALTや組み込みシステムのサプライチェーンが抱えるセキュリティリスクの解説に加えて、セキュリティリスクに強い仕組み作りへの提案などが行われた。(2021/10/12)

前回バージョンからわずか3日、Apache HTTP Server 2.4.51が公開 脆弱性を利用した攻撃を確認済み
Apache HTTP Server 2.4.50のリリースから3日後、新バージョンの「Apache HTTP Server version 2.4.51」が公開された。Apache Software Foundationによれば前回の脆弱性の修正が不十分だったという。(2021/10/9)

Firefoxに任意のコード実行が可能になる脆弱性、迅速にアップデートを
Webブラウザ「Firefox」とエンタープライズ向けのFirefox「Firefox ESR」に複数のメモリ関連バグが発見された。脆弱性の中には任意のコード実行が可能になるものも含まれており注意が必要だ。(2021/10/8)

Apache HTTP Server 2.49に悪用確認済みの脆弱性 迅速にアップデートを
Apache Software Foundationは「Apache HTTP Server 2.4.50」を公開した。修正された脆弱性はすでに悪用が確認されており注意が必要だ。(2021/10/7)

この頃、セキュリティ界隈で:
Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表
Appleのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイの脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。(2021/10/7)

Google Chromeの最新バージョンが配信開始 すでに脆弱性を突いた攻撃プログラムも確認済み
Googleは「Google Chrome version 94.0.4606.71」の配信を開始した。影響を受けたシステムの制御権が乗っ取られる危険性がある脆弱性も含まれるため迅速に対処してほしい。(2021/10/5)

需給は高まるが脆弱性も増加:
OSSのサプライチェーン、脆弱性に課題あり
オープンソースソフトウェアは供給、需要のどちらも大幅な伸びを見せている。しかし脆弱性の管理に弱点がある。ソフトウェアサプライチェーン管理プラットフォームを手掛けるSonatypeが発表した年次調査の報告書によれば、人気の高いプロジェクトでより多くの脆弱性が見つかっている。(2021/10/4)

「iOS 15.0.1」配信 Apple WatchでiPhone 13のロック解除できない問題修正
Appleは「iOS 15.0.1」と「iPadOS 15.0.1」をリリースした。Apple WatchでiPhone 13シリーズのロック解除ができないことがある問題などを修正。脆弱性修正はない。(2021/10/2)

vCenter Serverの脆弱性、完全なエクスプロイトが公開 影響拡大の懸念
「VMware vSphere」のサーバ管理ソフトウェア「VMware vCenter Server」の脆弱性(CVE-2021-22005)に対する完全なエクスプロイトが開発された。これを利用したサイバー攻撃は広範囲に及ぶ見込みだ。(2021/9/30)

vCenter Serverに任意ファイルアップロードの脆弱性 広範囲なサイバー攻撃の懸念
「VMware vSphere」のサーバ管理ソフトウェア「VMware vCenter Server」に任意のファイルアップロードが可能になる脆弱性が発見された。同脆弱性を利用したサイバー攻撃が確認されているため、迅速にアップグレードや回避策を適用してほしい。(2021/9/29)

運用フローを維持しながらセキュリティ強化
SOMPOグループのセキュリティレベルを底上げするセキュリティインテリジェンス
グループ企業数十社のセキュリティ対策を支えるSOMPOホールディングスのIT企画部は、攻撃と脆弱性の動向を知るためにセキュリティインテリジェンスを活用している。導入に至るまでの背景と、実際の活用方法を同社に聞いた。(2021/9/30)

iOSのゼロデイ脆弱性4件のPoCが公開される、Appleの対応不備を指摘
外部の研究者やユーザーにバグの発見と報告を促す「バグ報奨金プログラム」は脆弱性の発見と修正に大きな効果を上げている。だが必ずしもその取り組みは正しく進んでいるわけではないのかもしれない。(2021/9/28)

TechTarget発 世界のITニュース
無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する“穴”とは?
無料でSSLサーバ証明書を発行する「Let's Encrypt」に脆弱性が見つかった。不正発行を防ぐための仕組みにある落とし穴を、サイバー犯罪者はどう悪用しているのか。(2021/9/25)

「iOS 12.5.5」セキュリティ更新 「積極的に悪用された可能性がある」脆弱性に対処
AppleがiPhoneの旧モデル対象のセキュリティ更新をリリースした。「iOS 12.5.5」は3つの脆弱性に対処する。いずれも“既に悪用された可能性のある”ものだ。(2021/9/24)

EDR導入後のメンテナンスも重要:
PR:企業間取引の脆弱性には、侵入前対策や従来のEDRでは不十分――コスト、運用の課題を解決するには
取引先や子会社を経由する「サプライチェーン攻撃」に対応するには、侵入前対策に加え、侵入後対策が欠かせない。EDRは侵入後対策として有効だ。だがコストや運用に課題がある。従来のアンチウイルスソフトウェアのように導入のハードルが低いEDRはないだろうか。(2021/9/24)

「iOS 15」「iPad OS 15」「watchOS 8」の配信開始 脆弱性修正も
Appleが「iOS 15」「iPad OS 15」「watchOS 8」の配信を開始した。「FaceTime」にApple製品以外からも参加できるようになるなどの新機能が使えるようになる。また、22件の脆弱性にも対処した。(2021/9/21)

Adobe AcrobatとReaderに複数の脆弱性 直ちにアップデートを
Adobe AcrobatとAdobe Acrobat Readerに脆弱性が発見された。任意のコード実行を引き起こす危険性がある脆弱性も含まれるため注意が必要だ。(2021/9/17)

Microsoftが2021年9月の累積更新プログラムを公開 Windowsの37製品や機能に脆弱性
Microsoftは、2021年9月の累積更新プログラムを配信した。該当するプロダクトは37種にわたる。深刻度が重要(Important)に分類される脆弱性の修正も多数含まれるため、迅速なアップデートの適用が必要だ。(2021/9/16)

「iPhone」「iPad」「Mac」に複数の脆弱性 すでにサイバー攻撃を確認済み
「iPhone」「iPad」「Mac」「Apple Watch」など複数のApple製品に脆弱性が発見された。すでにこれらの脆弱性を利用したサイバー攻撃が確認されているため、迅速にアップデートをしてほしい。(2021/9/15)

適用をためらわせる“あの理由”
Exchange Server脆弱性問題で考える「なぜパッチの適用は進まないのか」
中国の攻撃者集団による、「Exchange Server」の脆弱性悪用が明らかになった。Microsoftはパッチを公開したものの、その後も攻撃は続いているという。その背景にあるのが、パッチ適用の遅れだ。(2021/9/15)

「iMessage」に脆弱性、スパイウェア「Pegasus」の感染から発覚 AppleがiOSやmac OSなどに対策アップデート配信
カナダのセキュリティ機関「The Citizen Lab」がスパイウェア「Pegasus」に感染したデバイスを調べたところ、Appleのメッセージアプリ「iMessage」に脆弱性を確認した。Appleは対策として、iOS/iPad OS/mac OSなどでアップデートを配信した。(2021/9/14)

iOS、iPadOS、watchOS、macOSの緊急更新 “既に悪用された可能性のある脆弱性”を修正
Appleは“既に悪用された可能性のある脆弱性”を修正するアップデートをiPhone、iPad、Apple Watch、Mac向けにリリースした。これらの脆弱性をAppleに報告したCitizen Labは、至急更新することを強く勧めている。(2021/9/14)

Cisco IOS XR Softwareのセキュリティアドバイザリがリリース 迅速にアップデートを
ネットワーキングソフトウェアCisco IOS XR Softwareに関するセキュリティアドバイザリが公開された。今回の発表は、9つのセキュリティアドバイザリで構成され、合計12個の脆弱性が修正されている。(2021/9/14)

Active Directoryのアカウント管理ツールに脆弱性 すでにサイバー攻撃の利用を確認
Active Directoryやクラウドアプリケーションのアカウント管理に利用される「ManageEngine ADSelfService Plus」にリモートコード実行の脆弱性が発見された。これを利用したサイバー攻撃も既に確認されているため、迅速に対処してほしい。(2021/9/9)

ちょっとした設定ミスが不正アクセスのターゲットに:
PR:クラウドのセキュリティ診断で本番環境、開発環境の脆弱性を洗い出し、安全な活用を支援
テレワークの広がりとともに、場所を問わずに利用できるクラウドサービスの活用が一段と加速した。ただその際、ちょっとしたミスや油断で、本来公開すべきではない情報が公開され、不正アクセスを受けてしまう事件が増えている。これを防ぐには、専門的な知見やツールを生かした脆弱性診断が有効だ。(2021/9/9)

Windowsにリモートコード実行の脆弱性、既に標的型攻撃への利用が観測される
Microsoft Windowsにリモートコード実行の脆弱性が存在することが明らかになった。深刻度は「重要」と評価されているが、執筆時点では修正プログラムが提供されていないが、この脆弱性を突くOfficeドキュメントが出回り、標的型攻撃に使われているため、警戒が必要だ。(2021/9/8)

Androidの9月月例更新開始 「Pixel 5a(5G)」も対象
GoogleがAndroidの9月の月例更新をリリースした。今月から「Pixel 5a(5G)」も対象になる。重要度が最も高い「重大」7件を含む40件の脆弱性に対処する。(2021/9/8)

安全なWeb/モバイルアプリ開発【前編】
アプリ開発者が実践すべきセキュアコーディングの初歩の初歩
Webアプリケーションやモバイルアプリケーションの脆弱性のほとんどは、ごく当たり前な処理の欠落に起因しているという。開発者が絶対にやるべきこととは何か。(2021/9/8)

Bluetoothスタックに16個の脆弱性が見つかる 1400以上の製品に影響か
複数の市販製品が搭載するBluetoothプロトコルスタック実装に16個の脆弱性が発見された。これらは総称して「BrakTooth」と呼ばれる。1400以上の製品に影響が及ぶとみられており、各ベンダーの対処も異なるため注意が必要だ。(2021/9/6)

CIO Dive:
SolarWindsのCISO「あの時、私たちは条件反射で動いた」全米が震えた大インシデントの教訓
SolarWinds製品の脆弱性を利用した一連のサプライチェーン攻撃は、多くの企業に迅速なインシデント対応の重要性を再認識させた。だがインシデントへの備えが具体的に何を指すのか分からない企業も多い。SolarWindsのCISOが語る条件反射でインシデントに対応するコツとは。(2021/9/6)

Atlassian Confluenceの脆弱性修正パッチを至急適用するよう米政府が警告
Atlassianが8月末にパッチを公開したConfluenceの脆弱性を悪用する攻撃が拡大していると、米当局が警告した。米国はLabor Dayの3連休だが「週明けまで待つことはできない」と米サイバー軍は至急パッチを適用するよう呼び掛けた。(2021/9/5)

Gartner Insights Pickup(222):
セキュリティの脆弱性を妥当な時間で効果的に修正するには
セキュリティとリスク管理のリーダーは、脆弱(ぜいじゃく)性管理プラクティスを形式的な基準ではなく、自社の具体的なニーズに対応させる必要がある。(2021/9/3)

Chromeの最新版セキュリティアップデートが公開 27件の脆弱性を修正
GoogleはGoogle Chromeのセキュリティアップデートを公開した。今回のアップデートは27件の脆弱性を修正している。深刻度が重要の脆弱性も5件含まれているため迅速にアップデートを適用してほしい。(2021/9/2)

Cisco製品に複数の脆弱性 セキュリティアドバイザリの確認を
Ciscoは、複数の製品に関するセキュリティドバイザリを発行した。今回発表された脆弱性の中には深刻度が緊急(Critical)に分類されるものもあるため注意が必要だ。必要に応じてアップデートを適用してほしい。(2021/8/28)

サイバー攻撃にも“働き方改革”?
サイバー犯罪者が土日休みの「ホワイト勤務」を好む“ブラックな狙い”
Barracuda Networksの調査によると、脆弱性を悪用した攻撃が平日に集中している。攻撃者が週末に“休む”のはワークライフバランスのためではない。彼らはなぜ、平日に活動するのか。(2021/8/28)

OpenSSLにDoS攻撃を引き起こす脆弱性 迅速なアップデートの適用を
US-CERTは、広く利用されるSSL/TSLライブラリ「OpenSSL」に脆弱性が発見されたと伝えた。脆弱性を利用されるとサービス運用妨害(DoS:Denial of Service)が引き起こされる危険性がある。(2021/8/27)

Microsoftのローコードアプリ開発ツールPower Appsポータルの設定ミスで約3800万件の個人情報漏えい
Microsoftのローコードアプリ開発スイート「Apower Apps」の「Power Appsポータル」で作成された47組織のアプリで、合計3800万件の個人情報がアクセス可能になっていたとUpGuardが報告した。脆弱性ではなく、初期設定のままツールを使うと公開する仕様になっていたため。Microsoftは初期設定を変更し、自己診断ツールを配布した。(2021/8/24)

BINDにDoS攻撃を可能にする脆弱性 影響は広範囲に及ぶ恐れ
全世界で広く利用されるDNSサーバのプログラム「BIND」に脆弱性が見つかった。脆弱性を利用されるとDoS攻撃を引き起こされる可能性があるため、迅速にアップデートを適用してほしい。(2021/8/21)

重要機能をほぼ網羅した優れたツール群:
脆弱性を探し出す7つの主要コード検査ツールとは
Comparitech.comは公式ブログで、コード検査ツールに求められる機能を解説し、それらの機能をほぼカバーする主要な7製品を紹介した。いずれも幅広いプログラミング言語に対応し、部分的なコードであっても脆弱性を検知できるという。(2021/8/19)

Exchange Serverの脆弱性に新情報 これを利用したサイバー攻撃が活発化
アップデートしていない「Microsoft Exchange Server」を運用しているなら注意が必要だ。Exchange Serverの脆弱性に関する新情報が公開されたことでサイバー攻撃者の動きが活発化している。日本にも該当したExchange Serverがあるため、迅速にアップデートしてほしい。(2021/8/17)

2021年8月のWindows Updateが配信開始 悪用の報告がある脆弱性にも対応
Microsoftは、2021年8月の累積更新プログラムを配信した。今回の累積更新プログラムはすでに悪用が確認されている脆弱性の修正を含んでいる。可能な限り迅速にアップデートを適用してほしい。(2021/8/13)

富士通製ツール「ProjectWEB」への不正アクセス調査、129組織での情報流出が判明 「正規のIDとパスワードでログインされた」
富士通製のプロジェクト情報共有ツール「ProjectWEB」を導入していた官公庁などから情報が流出していた問題で、計129組織から情報が流出していたことが明らかになった。第三者が同ツールの脆弱性を突き、正規のID・パスワードを不正に取得し、ログインしていたという。(2021/8/12)

暗号資産、一時660億円流出も4割返還 攻撃者は送金権限を改ざんか
Poly Networkから約6億ドル(日本円で約660億円)の暗号資産が流出した問題で、約4割が返還された。ブロックチェーン推進協会の専門家は、原因について「プラットフォームに脆弱性があり、攻撃者が送金権限を改ざんした」とみているという。(2021/8/12)

現状では解決策なし IoTデバイスのハードウェア乱数ジェネレータに脆弱性
研究者らがIoTデバイスのハードウェア乱数ジェネレータが適切に使われていないと指摘した。350億台に及ぶIoTデバイスが影響を受ける可能性がある。(2021/8/11)

Microsoft、「PrintNightmare」対策で「ポイントアンドプリント」を管理者権限に
Microsoftは「PrintNightmare」と呼ばれる脆弱性に対処するため、「ポイントアンドプリント」で管理者権限を要求するよう仕様を変更した。8月10日のセキュリティ更新で適用される。(2021/8/11)

VPN製品「Pulse Connect Secure」に複数の脆弱性 乗っ取りの危険性あり
VPN製品「Pulse Connect Secure」に複数の脆弱性が発見された。修正版は配布済みのため迅速にアップデートを適用してほしい。(2021/8/10)

Ciscoのルーター製品に「緊急」の脆弱性 直ちにアップデートを
Ciscoのルーターに深刻度が「緊急」の脆弱性が見つかった。該当の製品を利用している場合には直ちに情報を確認するとともに、アップデートを適用することが望まれる。(2021/8/6)

Black Hat USA 2021:
Webスケールの脆弱性調査が可能なオープンソースツール「WARCannon」が公開
インターネットを間接的に「grep」することでWeb脆弱性を調査する作業をよりシンプルに、より速く、より安く実行できるオープンソースツール「WARCannon」が公開された。(2021/8/6)

エストニアで全人口約2割の顔写真データが流出 国のデータベースに脆弱性
エストニアの国家情報システム局が、国民情報の管理や電子手続きに使う「国民IDカード」にひも付いた顔写真データ約29万枚が不正にダウンロードされたと発表した。同局が運営する身分証明データベースの脆弱性が悪用されたという。犯人は逮捕済み。(2021/8/5)

IoTセキュリティ:
数百万の制御システムに影響も、組み込みTCP/IPスタック「NicheStack」に脆弱性
JFrogのセキュリティリサーチチームとForescout Research Labsは、制御システムに広く利用されているTCP/IPネットワークスタック「NicheStack」に14件の脆弱性を発見したと発表。リモートでのコード実行、サービス拒否、情報漏えい、TCPスプーフィング、DNSキャッシュポイズニングなどのサイバー攻撃につながる可能性がある。(2021/8/5)

東芝とPeraton Labsが脆弱性評価ツールをOSSで公開 「Black Hat USA 2021 Arsenal」で発表も
東芝とPeraton Labsは、脆弱性評価ツール「Automated Attack Path Planning and Validation」(A2P2V)を開発した。サイバー攻撃シナリオを自動生成して、システムを模擬的に攻撃することでセキュリティ強度を検証する。(2021/8/5)

GW中に発見されたWordPressプラグインの脆弱性 アップデートは適用済み?
長期休暇中には、アップデートの適用を怠ってしまうこともある。2021年5月4日にWordPressのプラグイン「WordPress Download Manager」で2つの脆弱性が見つかった。修正版はリリース済みのため迅速にアップデートを適用してほしい。(2021/8/3)

産業制御システムのセキュリティ:
東芝が制御システム向け脆弱性評価ツールを開発、オープンソース化で展開拡大へ
東芝と米国のPeraton Labsは、発電所や受変電設備、上下水道や交通、工場・ビル施設などで稼働する産業制御システムへのサイバー攻撃に対する脆弱性評価ツール「Automated Attack Path Planning and Validation(A2P2V)」を開発。「Black Hat USA 2021 Arsenal」で発表するとともに、オープンソースソフトウェアとして公開する。(2021/8/3)

「IE」の脆弱性を利用した新たなサイバー攻撃が見つかる ソーシャルエンジニアリングとの併用も確認
Malwarebytesの研究者が既知の脆弱性とソーシャルエンジニアリングを併用した攻撃手法を発見した。この攻撃は、テンプレートインジェクション手法を利用しているが、サポート終了が迫る「Internet Explorer」の脆弱性を利用している点が珍しい。(2021/7/31)

TechTarget発 世界のITニュース
Windows脆弱性「PrintNightmare」に緊急パッチ提供 Microsoftはなぜ急いだのか
Windowsの印刷関連の脆弱性「PrintNightmare」に対処すべく、Microsoftは定例外のスケジュールでパッチを提供した。なぜMicrosoftはパッチ提供を急いだのか。パッチをすぐに適用できない場合の対処法とは。(2021/7/30)

意思疎通のためのセキュリティ用語集【第5回】
「脅威モデリング」はなぜ必要か? 侵入テストだけでは不十分な理由
侵入テストは、企業のシステムに存在するさまざまな脆弱性をあぶり出すのに役立つ。だがそれだけでは発見しづらい脆弱性があるという。そうした脆弱性の特定で効力を発揮する「脅威モデリング」とは何か。(2021/7/30)

IPカメラのファームウェアに緊急の脆弱性 複数ベンダーの製品に利用されており注意が必要
多くのIPカメラベンダーにソフトウェアを提供するUDP TechnologyのIPカメラファームウェアに複数の脆弱性が見つかった。範囲は明らかになっていないが、多くのデバイスが影響を受けるものとみられる。推奨された緩和策の実施を急いでほしい。(2021/7/29)

複数のApple製品にゼロデイ脆弱性が見つかる 直ちにアップデートを
Appleからゼロデイ脆弱性を修正するアップデートの配信が始まった。同脆弱性はカーネル権限で任意のコードが実行できるというもので注意が必要だ。(2021/7/28)

Apple、「macOS Big Sur 11.5.1」を公開 致命的な脆弱性を修正
Appleは、「macOS Big Sur」の最新アップデートとなる「11.5.1」を公開した。(2021/7/27)

抜本的な対策がない脆弱性「PetitPotam」が見つかる Microsoftが緩和策を公開
Windowsにソフトウェア側での抜本的な対策が難しい脆弱性「PetitPotam」が発見された。Microsoftはこれに対する適切な運用と推奨される緩和策を文書化している。(2021/7/27)

Apple、iOSとiPadOSの「14.7.1」緊急更新 “既に悪用された可能性のある脆弱性”を修正
AppleがiOSとiPadOSの「14.7.1」をリリースした。iOSではApple Watchのロックを解除できない問題を修正。ゼロデイ攻撃に利用された脆弱性の修正も行われる。(2021/7/27)

16年間潜んでいたプリンタドライバの脆弱性が明らかに 影響は数百万台に登る可能性
16年間にわたって、HPとSamsung、Xeroxのプリンタソフトウェアに深刻度の高い脆弱性が存在していたことが明らかになった。何百万台ものプリンタがこの脆弱性の影響を受けると考えられており注意が必要だ。(2021/7/22)

米、英、EU、NATO、日本など、サイバー攻撃で中国を非難
米、英、EU、NATO、日本などが7月19日、3月に発生したMicrosoft Exchange Serverの脆弱性を悪用したサイバー攻撃について、中国を非難した。米司法省は同日、中国政府とつながりがあると見られるハッカー4人を指名手配したと発表した。(2021/7/20)

Chromeに悪用確認済みの脆弱性、特権昇格を許す可能性も
Google Chromeに脆弱性が発見された。今回発見された脆弱性の深刻度は「重要」とされており、最も深刻な「緊急」よりは低い扱いだが、すでにサイバー攻撃に使われていることが確認されているため、対策を急いでほしい。(2021/7/19)

PR:日本マクドナルドに学ぶ、「人の脆弱性」を狙ったサイバー攻撃をいかにして防ぐか?
日本マクドナルドでは、自社で対処すべき固有の情報セキュリティリスクとして「メールを介した脅威」を挙げ、その対処のために予算や人員を確保して対策を強化している。「メールを悪用した攻撃」が増加し、手口も高度化・巧妙化の一途をたどっているからだ。その対処方法とは?(2021/7/19)

TechTarget発 世界のITニュース
報告者に報酬 脆弱性情報を集めるためにCISAが開始したプログラムとは?
米国で官民連携によって幅広く脆弱性情報を収集し、サイバー攻撃を未然に防ぐことを目指したプログラムが始動した。クラウドソーシングを使い、脆弱性の報告者に報酬を支払うこの仕組みはどのようなものか。(2021/7/17)

VMware製品に脆弱性が見つかる アップデート未適用のプロダクトも
複数のVMware製品に脆弱性が発見された。影響を受けたシステムの制御権が乗っ取られる危険性があるため注意してほしい。迅速なアップデートの適用が推奨される。(2021/7/16)

GitHubのバグ発見報奨金、2020年の支払額は約5700万円 報告件数は過去最多
米GitHubの日本法人は、脆弱性やバグを報告したユーザーに謝礼を支払う「セキュリティバグ報奨金プログラム」の支払額が、2020年は約5700万円だったと発表した。(2021/7/16)

細工したUSBで顔認証をだます? Windows Helloに脆弱性が発見される
パスワードレス認証システム「Windows Hello」に、USBを利用して認証を突破できる脆弱性が見つかった。現在、多くの企業が生体認証を採用した認証基盤の構築に注力しているが、その危険性についても十分に認識しておくべきだろう。(2021/7/15)

Windowsの月例アップデートが配信開始 適用プロダクトは?
Microsoftは2021年7月の累積更新プログラムの配信を開始した。月例累積更新プログラムは多くの脆弱性を修正するため、迅速にアップデートを適用してほしい。(2021/7/15)

WordPressのファイル管理プラグイン「Frontend File Manager」に複数の脆弱性 直ちにアップデートを
「WordPress」でファイル管理プラグイン「Frontend File Manager」を利用しているのであれば早急に対処が必要だ。同プラグインには深刻度が緊急(Critical)に分類される脆弱性が複数存在することが指摘されている。(2021/7/13)

Kaseya VSAの脆弱性、アップデートを装ったフィッシング攻撃にも注意
2021年7月に入ってから、Kaseya VSAの脆弱性を利用した大規模なサプライチェーンランサムウェア攻撃が続いている。さらに修正パッチのアップデートを装ったフィッシング詐欺も新たに登場した。(2021/7/12)

4種類のツールを使う:
企業のセキュリティ維持にはなぜペネトレーションテストが重要なのか
WhiteSourceはペネトレーションテストに関する解説記事を公開した。テストの目的と重要性の他、ペネトレーションテストと脆弱性評価との違い、テストを進める7つのステップ、主要なテストアプローチ、テストに使うツールについて紹介した。(2021/7/12)

Cisco製品に複数の脆弱性 迅速なアップデートを
Ciscoは、2021年7月に複数のセキュリティアドバイザリを発行した。このうち幾つかのセキュリティ脆弱性は深刻度が重要(High)とされており注意が必要だ。スピーディーな確認とアップデートが求められる。(2021/7/9)

直ちにアップデートを:
Microsoft、脆弱性「PrintNightmare」に向けた累積更新プログラムを配信開始
Microsoftは、Windowsの印刷スプーラーに存在するリモートコード実行の脆弱性、通称「PrintNightmare」の修正プログラムを配信した。迅速なアップデートが望まれる。(2021/7/8)

Androidの7月月例更新開始 Pixelでは再起動を繰り返すバグの修正も
Googleが7月の月例セキュリティ更新の配信を開始した。重要度「最高」を7件を含む多数の脆弱性に対処した。Pixelでは2件のバグ修正も行われる。(2021/7/8)

エレコムのルーター製品に脆弱性 選択肢は利用停止と買い替えのみ
エレコムのルーター製品に脆弱性が見つかった。コマンドインジェクションや任意コマンドの実行が可能だと指摘されている。脆弱性が存在するルーター製品はすでにサポートが終了しているため、修正プログラムは提供されない。該当する製品の使用を停止し、現行製品へ移行することが推奨されている。(2021/7/7)

Microsoft、Windowsの緊急パッチ公開 「PrintNightmare」に対処
Microsoftが7月1日に認めたWindowsの印刷スプーラーの脆弱性に対処する緊急パッチを公開した。「PrintNightmare」と呼ばれるこの脆弱性を悪用されると、SYSTEM権限で任意のコードを実行されてしまう。Windows 7向けのパッチも公開された。(2021/7/7)

Kaseya VSAサプライチェーンランサムウェア攻撃、CISAとFBIが強く対策呼びかけ
Kaseya VSAの脆弱性を利用したサプライチェーンランサムウェア攻撃が活発化している。米CISA、FBIが共同で対策ガイダンスを発表しており、直ちに対策するよう求めている状況だ。(2021/7/7)

エレコムの一部ルーターに脆弱性 サポート終了のため使用中止・現行製品への切り替えを推奨
「任意のOSコマンドを実行される」などのリスクがあるとのこと。(2021/7/6)

ほぼ日刊ITトレンドワード:
エレコム製ルーターに脆弱性、「ウマ娘」はGII以下で体操服……7月6日のITトレンドをサクッとおさらい
7月6日は「エレコム製ルーター」「体操服」がネット上で話題に。その理由や背景をサクっとおさらい。(2021/7/6)

エレコムのルーターに脆弱性、利用停止を呼び掛け 「OSコマンドインジェクション」 を受ける可能性
エレコムが、2017年11月から12月にかけて発売した無線LANルーター3種類に脆弱性があると発表。ファームウェアの更新を終了した機種であることから、製品の利用を停止するよう呼び掛けている。(2021/7/6)

Microsoft AzureチームがPowerShell 7.0/7.1の脆弱性に警告 直ちにアップデートを
Microsoft AzureのリソースをPowerShell 7.0またはPowerShell 7.1から操作する環境を管理している場合は注意してほしい。このバージョンは.NET Coreに発見されたリモートコード実行の脆弱性の影響を受けることが分かっているからだ。(2021/7/5)

Windowsの印刷スプーラーにリモートコード実行の脆弱性「PrintNightmare」の報告、修正提供はまだ
Windowsの印刷スプーラーにリモートコード実行の脆弱性が存在することが明らかになった。この脆弱性を利用されると、遠隔からSYSTEM権限で任意のコードが実行される危険性がある。執筆時点で修正方法はなく、当面は回避策の適用が必要だ。(2021/7/6)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。