セキュリティニュースアラート:
Fortinet製品の「緊急」の脆弱性が「既知の悪用された脆弱性カタログ」に追加 急ぎ確認を
2024年2月に見つかったFortinet製品の脆弱性(CVE-2024-23113)が「既知の悪用された脆弱性カタログ」(CISA発行)に登録された。悪用が確認された脆弱性であるため対応の緊急度も高い。詳細を確認の上、急いで対処してほしい。(2024/10/11)
セキュリティニュースアラート:
TeamViewerに2つの重大な脆弱性 PoC公開済みのため急ぎアップデートを
リモートデスクトップツール「TeamViewer」に「CVE-2024-7479」と「CVE-2024-7481」という2つの脆弱性が見つかった。これを悪用されると、Windowsシステムにおいてローカル権限昇格が実施されるリスクがある。(2024/10/10)
セキュリティニュースアラート:
Visual Studioに任意のコード実行が可能な脆弱性 研究者がPoCを公開
Visual Studioに脆弱性(CVE-2024-30052)が見つかった。この脆弱性は細工したダンプファイルを使用して任意のコードを実行可能にするもので、PoCも公開されている。(2024/10/9)
あの犯罪集団による攻撃に警戒すべし
バックアップが危ない 「Veeam製品」を狙うランサムウェアに要注意
Veeam Softwareのバックアップソフトウェアに、深刻な脆弱性が見つかった。この脆弱性は、ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃に悪用される恐れがある。(2024/10/9)
TechTargetジャパンエンジニア読本集
ChatGPTを脆弱性検出ツール「SAST」として使える方法はこれだ
脆弱性を検出する「SAST」ツールとして「ChatGPT」を生かすには、どうすればよいのか。ChatGPTは従来のSASTツールに取って代わることができるのか。実例を交えながら、その可能性と課題を探る。(2024/10/9)
セキュリティニュースアラート:
Ubuntuの認証デーモンに深刻な脆弱性 急ぎアップデートの適用を
Cybersecurity NewsはUbuntuのAuthdにおける重大な脆弱性(CVE-2024-9313)を報じた。この脆弱性が悪用された場合、機密データに不正アクセスされる可能性がある。(2024/10/8)
セキュリティニュースアラート:
Microsoft Officeに重大な脆弱性 セキュリティ研究者がPoCを公開済み
セキュリティ研究者がMicrosoft Officeに重大な脆弱性(CVE-2024-38200)が存在すると報告した。この脆弱性を悪用すれば、攻撃者が認証情報を不正に取得する可能性がある。PoCが公開されているため急ぎ対処が求められる。(2024/10/8)
カード情報1.2万件流出か、全漁連の通販サイト閉鎖 XSS脆弱性からペイメントアプリ改ざん
JF全漁連の「JFおさかなマルシェ ギョギョいち 本店」が不正アクセスを受けた問題で、同サイトの閉鎖が決まった。(2024/10/4)
「iOS 18.0.1」リリース パスワードがVoiceOverで読み上げられる脆弱性などを修正
Appleは、「iOS 18.0.1」や「iPadOS 18.0.1」など、一連の新OSのセキュリティ更新の配信を開始した。iOSではiPhone 16のバグ修正も行われる。(2024/10/4)
セキュリティニュースアラート:
Google Cloudにリモートコード実行の脆弱性 数百万以上のサーバに影響か
TenableはGoogle Cloudに重大な脆弱性「クラウドインポーザー」を発見した。悪用された場合、数百万以上のGoogle Cloudのサーバや利用顧客のシステムでRCEが実行される可能性がある。(2024/10/3)
「何をすればいいか分からない」を解決:
PR:クラウドの設定ミスや脆弱性――対策の優先順位付けを支える「Defender for Cloud」の使い方
クラウドの設定ミスや脆弱(ぜいじゃく)性を突くサイバー攻撃が後を絶たない中で、優先度が高い対策から着手するにはどうすればいいのか。ITリソースの保護やリスクのスコア化など総合的な対策ができる「Defender for Cloud」の使い方を解説する。(2024/10/2)
セキュリティニュースアラート:
IPAがAISIのレッドチーミングガイドを紹介 攻撃者視点でAIシステムを守る
AISIはAIシステムの脆弱性を攻撃者視点で評価するレッドチーミング手法に関するガイドを公開した。LLM向けに代表的な攻撃手法や評価プロセスが詳述され、AI開発者向けにリスク対策の重要性が説かれている。(2024/10/1)
AWSに重大な脆弱性
「AWSアカウントが乗っ取られる」リスクがある“危険なバケット名”とは
クラウドサービス「Amazon Web Services」(AWS)の複数のツールに脆弱性が見つかった。これが悪用されれば、AWSアカウントへの侵入を許す可能性があるとしてセキュリティ専門家は警鐘を鳴らしている。(2024/10/1)
セキュリティニュースアラート:
UNIXなどで使われる印刷システム「CUPS」に深刻な脆弱性 推奨される対策は?
UNIXなどで広く使用されている印刷システム「CUPS」のcups-browsed機能に深刻な脆弱性が見つかった。この脆弱性はリモートコード実行やプリンタ設定の乗っ取りに悪用される可能性がある。(2024/9/30)
Cybersecurity Dive:
全て対処するのはムリ 爆増する“CVE”に組織はどう対処すればいいのか?
Coalitionの2024年のサイバー脅威インデックスレポートによると、共通脆弱性識別子(CVE)の数は2024年に3万4888件に達すると予想されている。脆弱性の数と複雑さが増し、組織はセキュリティ管理と緩和に苦労している。(2024/9/28)
Cisco Talosが指摘
TeamsやExcelが踏み台に? macOS版Microsoftアプリの脆弱性とは
Cisco Talosは、macOS向けのMicrosoftのアプリケーションに関する脆弱性を報告した。Microsoft ExcelやMicrosoft Teamsといった主要ツール8個が対象になる。どのような脆弱性なのか。(2024/9/27)
IoTセキュリティ:
SBOM情報のサプライチェーン管理パッケージを提供開始
ベリサーブは、ソフトウェアサプライチェーン管理パッケージ「SBOM.JP」を発表した。製品や部品のSBOM情報を管理して、脆弱性対応の効率化とコスト削減を図り、サプライチェーン全体の安全性確保を可能にする。(2024/9/26)
Cybersecurity Dive:
SonicWallの重大な脆弱性をランサムウェア「Akira」が悪用 攻撃の特徴とは?
ファイアウォールSonicWallのSonicOSにおける重大な脆弱性が見つかった。この脆弱性はランサムウェア「Akira」の感染に悪用されているという。侵害された全てのアカウントで共通していた特徴とは。(2024/9/22)
セキュリティニュースアラート:
CISA、2023年のセキュリティリスクおよび脆弱性を評価 最も成功率の高い攻撃とは?
CISAは2023年度に複数の重要インフラ部門で実施されたリスクおよび脆弱性評価の結果を公開した。重要インフラ部門に対する143件の評価から脅威アクターの攻撃手法が明らかにされ、対策が提案されている。(2024/9/18)
Cybersecurity Dive:
CISAがインシデント報告に向けたオンラインポータルを立ち上げ どう役立つのか?
CISAはサイバー攻撃や脆弱性、データ侵害を自主的に報告するためのオンラインポータルを立ち上げた。このポータルはインシデントレポートの保存と更新、提出されたレポートの同僚やクライアントとの共有、レポートの検索などを可能とする。(2024/9/18)
Cybersecurity Dive:
Volt Typhoonがネットワーク管理製品Versa Directorのゼロデイ脆弱性を悪用
Black Lotus Labsの研究者は、国家に関連する攻撃者がカスタムWebシェルを使用して、Versa Directorのゼロデイ脆弱性を通信業界で悪用していると警告した。(2024/9/16)
週末の「気になるニュース」一気読み!:
Intel製CPUに脆弱性 最大深刻度は「High」/家族間のゲーム共有を手軽に行える新機能「Steamファミリー」登場
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、9月8日週を中心に公開された主なニュースを一気にチェックしましょう!(2024/9/15)
セキュリティニュースアラート:
FreeBSDにCVSSスコア10.0の脆弱性 現時点で回避策はないため直ちに更新を
FreeBSDプロジェクトはオープンソースのUNIX系OS「FreeBSD」にCVSSスコア10.0の脆弱性が存在すると報告した。これが悪用された場合、任意のコードが実行されてシステムが侵害される可能性がある。(2024/9/12)
セキュリティニュースアラート:
Ivanti Endpoint Managerの最新アップデートを公開 CVSS10.0を含む複数の脆弱性を修正
IvantiはIT資産管理ソリューションIvanti Endpoint Manager 2024および2022 SU6のリリースを通じて重大な脆弱性16件を修正した。このアップデートには10件の特に重大な問題が含まれている。(2024/9/12)
車載セキュリティ:
出荷後にクルマ全体のソフトウェア脆弱性リスクを分析、パナソニックASが新技術
パナソニック オートモーティブシステムズは、パナソニック ホールディングスと共同で、出荷後の車両ソフトウェアのセキュリティ脆弱性により生じるリスクを分析する「VERZEUSE for SIRT」を開発した。(2024/9/11)
セキュリティニュースアラート:
Windows Telephonyに権限昇格の脆弱性 PoCエクスプロイトコード公開済み
Windows Telephony APIに権限昇格の脆弱性が見つかった。セキュリティ研究者らからPoCエクスプロイトコードが公開されているため注意が必要だ。この脆弱性の悪用によって攻撃者はシステム制御を得る可能性がある。(2024/9/11)
セキュリティニュースアラート:
Apache Tomcatにリモートコード実行などを可能にする複数の脆弱性 医療機関は特に注意
保健医療サイバーセキュリティ調整センターは、医療機関に対し、Apache Tomcatの脆弱性について警告した。リモートコード実行などを可能とする複数の脆弱性が見つかっている。(2024/9/11)
セキュリティニュースアラート:
Linuxカーネルに権限昇格の脆弱性 PoCエクスプロイトコードも公開済みのため注意
Linuxカーネルに深刻な脆弱性が見つかった。セキュリティ研究者らは同脆弱性のPoCエクスプロイトコードを公開している。これを悪用されると、権限昇格が可能になるため注意が必要だ。(2024/9/10)
セキュリティニュースアラート:
Windowsカーネルイメージにゼロデイ脆弱性 PoCも公開済みのため注意
PixiePoint SecurityはWindowsのゼロデイ脆弱性「CVE-2024-38106」に関する分析結果を発表した。この脆弱性は権限昇格を引き起こす可能性があるため、ユーザーは速やかに対策が必要だ。(2024/9/6)
セキュリティニュースアラート:
YubiKey 5に重大な脆弱性 新バージョンのデバイス購入が必要
NinjaLabはYubiKeyに重大な弱性があることを公表した。この脆弱性は、内蔵されているInfineon Technologiesのセキュアエレメント内の暗号化ライブラリーの実装問題に起因している。(2024/9/6)
危ないのはLenovoだけじゃない?
“Intel CPU”搭載PCを危険にさらす「UEFIファームウェア」の脆弱性とは
PCのファームウェアに潜む新たな脆弱性が見つかった。当初報告されたLenovo製品だけではなく、他メーカーのPCにも影響が及ぶ可能性がある。どのような危険性があるのか。(2024/9/6)
セキュリティニュースアラート:
VMware Fusionに重大な脆弱性 直ちにアップデートの適用を
VMwareはVMware Fusionに重大な脆弱性が存在すると発表した。この脆弱性はCVE-2024-38811として特定されており、悪用されると攻撃者が任意のコードを実行するリスクがある。(2024/9/5)
セキュリティニュースアラート:
ビジネスリスクをもたらす脆弱性は“わずか3%” でも気は抜けない理由
Tenableはレポート「The Critical Few: How to Expose and Close the Threats that Matter」を公開し、組織が直面する脆弱性の中で実際にビジネスリスクをもたらすものはわずか3%にすぎないと明らかにした。(2024/9/5)
AndroidとPixelに9月の月例更新 悪用の可能性ある「重大」な脆弱性も修正
AndroidとPixelの9月のセキュリティ更新がリリースされた。最も危険性の高い「重大」な脆弱性が合わせて6件修正される。Pixelでは2つの修正も行われる。(2024/9/4)
セキュリティニュースアラート:
Jenkinsに深刻な脆弱性「CVE-2024-43044」が見つかる PoC公開済みのため直ちに更新を
Conviso Application Securityは、Jenkinsの重大な脆弱性「CVE-2024-43044」に関する分析結果を公表した。この脆弱性はJenkinsサーバに深刻な影響を及ぼす可能性があり、注意が必要だ。(2024/9/4)
具体的な活用手順などを加えた「SBOM導入手引き」の改訂版:
ソフトウェアを「作る人」と「使う人」の契約に盛り込むべき項目とは 経済産業省が資料公開
経済産業省は「ソフトウェア管理に向けたSBOMの導入に関する手引ver2.0」を公開した。2023年7月に策定した同手引書を改訂したもので、ソフトウェアの脆弱性管理にSBOMを活用する具体的手順などを新たに追加した。(2024/9/2)
求められる対策は?
VMware ESXiに脆弱性 Microsoftが「ランサムウェアでの悪用を確認」と注意喚起
Broadcomのハイパーバイザー「VMware ESXi」の脆弱性がランサムウェア攻撃に悪用されている。Microsoftが警鐘を鳴らしたその手口と対策とは。(2024/9/2)
17年連続でサイバー攻撃を分析した「DBIR」
脆弱性対応が遅過ぎる企業はどうなるのか 3万件のインシデントを分析した
サイバー防御を固めるには、攻撃の動向をつかんで効率良く対応しなければならない。その際に役立つのが脅威レポートだ。世界94カ国、3万458件のセキュリティインシデントを分析した2024年版脅威レポート(DBIR)から分かることとは。(2024/9/30)
セキュリティニュースアラート:
Perlツール「cpanm」に深刻な脆弱性 パッチ未公開のため緩和策の適用を
CPAN Security Groupは、Perlツール「App::cpanminus」(通称:cpanm)に重大な脆弱性が存在すると報告した。この脆弱性はCVE-2024-45321として特定されており、パッチが公開されていないため緩和策を講じることが推奨されている。(2024/8/31)
セキュリティニュースアラート:
Windowsの重大な脆弱性「CVE-2024-38063」のPoCコードが公開 悪用の懸念もあり注意
セキュリティ研究者らがWindowsの重大な脆弱性「CVE-2024-38063」のPoCコードをGitHubに公開した。この脆弱性はWindowsの複数バージョンに影響し、リモートコード実行が可能になる。(2024/8/29)
世界中で“パッチ未適用”状態
「GitLabの脆弱性」の悪用が判明 “第三者によるパスワード変更”が可能に
OSSの開発支援ツール「GitLab」に見つかった脆弱性が攻撃活動に悪用されていると、米国の政府機関は警鐘を鳴らした。脆弱性の特性と、その影響範囲は。(2024/8/29)
大分大学のサーバで改ざん被害 PHPの脆弱性突かれGoogle検索結果汚染、海外サイトに誘導
大分大学図書館が提供する貴重書アーカイブの公開用サーバが不正アクセスを受けて改ざんされ、海外のWebサイトに誘導される状態になっていた。(2024/8/27)
セキュリティニュースアラート:
攻撃者が積極的に悪用している脆弱性とは? Palo Alto Networksが年次レポートを公開
Palo Alto Networksは年次レポート「2024 Incident Response Report」を公開した。サイバー攻撃者が好んで狙う脆弱性や攻撃手法など最新の実態が明らかになった。(2024/8/27)
半径300メートルのIT:
脆弱性管理だけでは不十分 攻撃者が「めんどくさい」と思う組織になるには
サプライチェーンの脆弱性が話題の昨今、脆弱性管理をしっかりと実施することは非常に大事です。ただ、これさえやれば大丈夫かと言われると少し懸念が残ります。攻撃者が狙うのを「めんどくさい」と思う組織になるにはどうすればいいのでしょうか。(2024/8/27)
セキュリティニュースアラート:
Chromeが合計38個の脆弱性を修正 エクスプロイト確認済みのため早急に対応を
GoogleはGoogle Chrome version 128.0.6613.84および128.0.6613.85を配布した。合計38個の脆弱性が修正されており、そのうちの一つは攻撃者によるエクスプロイトが確認されている。(2024/8/26)
セキュリティニュースアラート:
Microsoft Copilot Studioに脆弱性 不正アクセスや機密情報の窃取が可能に
TenableはMicrosoft Copilot Studioにサーバサイドリクエストフォージェリの脆弱性を発見した。この脆弱性を悪用されると内部インフラストラクチャへの不正アクセスや機密情報の窃取が可能となり、複数のテナントに影響を与えるリスクがある。(2024/8/26)
セキュリティニュースアラート:
AWS ALBに脆弱性 1万5000以上のアプリケーションに影響
Miggo Securityが、AWSのアプリケーションロードバランサー(ALB)に重大なセキュリティ脆弱性が存在すると発表した。影響を受けるアプリケーションは1万5000以上に及ぶ。(2024/8/23)
ITmedia Security Week 2024 春:
サイバー脅威の見積もり、できてるつもり? 辻氏、piyokango氏、根岸氏が3つのトピックで問い掛ける
2024年5月29日、アイティメディア主催セミナー「ITmedia Security Week 2024 春」で、ポッドキャスト「セキュリティのアレ」を主催する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、「piyolog」を運営するpiyokango氏ら3人が「脅威の見積もり できてるつもり?」と題して講演した。「攻撃手順、手法の変化」「脆弱性の悪用傾向」「ありふれた不正アクセス事例で共通していた、ある“暗黙の了解”」という3つのトピックを取り上げ、サイバー脅威に対して正しい見積もりができている“つもり”状態を解消するためのヒントを探るパネルディスカッションとなった。(2024/8/22)
「OpenSSH」に重大な脆弱性【後編】
「OpenSSH」で再発、“あの欠陥”の影響範囲は?
「OpenSSH」に見つかった脆弱性は影響範囲が広いとみられる。過去にあった欠陥の再発であるこの脆弱性の影響範囲とは。(2024/8/22)
セキュリティニュースアラート:
Windowsの重大な脆弱性を悪用 中国の脅威アクターがGitHubで偽のPoCを拡散
Windowsの深刻な脆弱性を悪用する偽のPoCコードがGitHubで拡散されている。このPoCコードはマルウェアの拡散を目的としているため注意が必要だ。(2024/8/21)
セキュリティニュースアラート:
Kubernetesのコンポーネントingress-nginxに重大な脆弱性 推奨される対策は?
ARMOは、Kubernetesのコンポーネントingress-nginxに深刻な脆弱性があると報告した。これを悪用されると、アノテーションの検証がバイパスされ、コマンドインジェクションや認証情報にアクセスされてしまう可能性がある。(2024/8/21)
Innovative Tech:
Windowsを“古いバージョン”に戻す「ダウングレード攻撃」 修正済みの脆弱性をゼロデイ化、“最新の状態”を偽り検出も困難
イスラエルのサイバーセキュリティ企業の米SafeBreachの研究者は、セキュリティカンファレンス「Black Hat USA 2024」でWindowsアップデートプロセスを悪用してシステムを古い脆弱なバージョンに戻すダウングレード攻撃「Windows Downdate」を発表した。(2024/8/21)
セキュリティニュースアラート:
WordPressの複数プラグインにCVSS10.0の脆弱性 修正版リリースなしのため注意
WordPressの「InPost PL」と「InPost for WooCommerce」プラグインに重大な脆弱性が見つかった。CVSS v3.1のスコア値は10.0で深刻度「緊急」(Critical)と評価されているため迅速な対応が必要だ。(2024/8/20)
セキュリティニュースアラート:
GitHubが新機能「Copilot Autofix」の提供を開始 ソースコードの脆弱性検出を高速化
GitHubは開発者がセキュリティリスクを迅速かつ効率的に修正できるよう支援する「Copilot Autofix」を公開した。このAI機能は脆弱性を検出し、自動で修正案を提案する。(2024/8/19)
GPT-4oも活用:
GitHub、AIでコード脆弱性を自動修正する「Copilot Autofix」を正式リリース 修正時間をどれだけ短縮できる?
GitHubは、「GitHub Advanced Security」機能の一部として、AIを用いてコード内の脆弱性の迅速な修正を支援する「Copilot Autofix」の一般提供を開始した。(2024/8/19)
Innovative Tech:
スマホの位置情報を許可→ユーザーの動きや“部屋の間取り”を90%以上で特定できる攻撃 インドの研究者が発表
インド工科大学に所属する研究者らは、Androidスマートフォンのユーザーがアプリに位置情報へのアクセスを許可した場合に、GPS信号から位置情報以外の情報を抽出できるかを調査し、新たな脆弱性を示した研究報告を発表した。(2024/8/19)
PR:被害が絶えない「ランサムウェア攻撃」 6割は「VPNの脆弱性」が原因 対策を漫画で解説
経営に大きな影響を及ぼすランサムウェア攻撃。テレワークに必要な「VPN」の脆弱性を突かれて被害に遭うケースが63%に上る。VPNの基礎から対策まで漫画で解説する。(2024/8/23)
週末の「気になるニュース」一気読み!:
Appleがオープンソースの画像生成AIモデル「MDM」をGitHubで公開/Windowsに深刻な脆弱性 ゼロクリック攻撃で
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、8月11日週を中心に公開された主なニュースを一気にチェックしましょう!(2024/8/18)
セキュリティニュースアラート:
Windows TCP/IPにCVSS 9.8の脆弱性 広範囲に影響を及ぼすため要注意
MicrosoftはWindows TCP/IPスタックに存在する重大な脆弱性(CVE-2024-38063)を公表した。この欠陥が悪用されると攻撃者によってリモートで任意のコードが実行される危険性がある。(2024/8/16)
ChatGPTはSASTツールになるのか【後編】
「ChatGPT」が「SAST」ツールの座を奪う? 実力と見えてきた課題
開発者の中で「『SAST』ツールの代替として『ChatGPT』が使えるのではないか」といった期待が高まっている。ChatGPTは脆弱性を正確に見つけ出し、SASTを超えることができるのか。(2024/8/16)
セキュリティニュースアラート:
ZabbixにCVSS 9.9の「緊急」の脆弱性が見つかる 速やかなアップデートが必要
監視ソリューション「Zabbix」に深刻な脆弱性があると公表した。CVE-2024-22116と特定されたこの脆弱性はリモートコード実行を可能にし、システム全体の安全が脅かされる。緊急のアップデートが推奨されている。(2024/8/15)
「OpenSSH」に重大な脆弱性【前編】
OpenSSHの“あの欠陥”が再発 サーバ1400万台への影響とは?
暗号化されたファイル転送のために広く使われている「OpenSSH」に重大な脆弱性があることが分かった。影響は決して限定的とは言えない。どのような脆弱性なのか。(2024/8/15)
セキュリティニュースアラート:
OpenVPNに複数の脆弱性 リモートコード実行を可能にするリスク
MicrosoftはOpenVPNに複数の脆弱性が存在すると伝えた。これらの脆弱性が悪用された場合、サービス運用妨害やローカル権限昇格、リモートコード実行を引き起こすことが可能になるという。(2024/8/15)
セキュリティニュースアラート:
Windows Serverの複数バージョンに影響を与える脆弱性が見つかる PoC公開済み
セキュリティ研究者らは、Windows Serverに影響を与える脆弱性についてPoCを公開した。見つかった脆弱性はWindows Server 2025のセキュリティ緩和策を回避して、リモートコード実行を可能にするという。(2024/8/14)
セキュリティニュースアラート:
1Password 8 for Macに深刻な脆弱性 なりすましリスクもあるため急ぎ更新を
1Passwordは1Password 8 for Macに深刻な脆弱性があることを発表した。この脆弱性を悪用されると、悪意のあるプロセスによってユーザー機密データが危険にさらされる可能性がある。(2024/8/13)
セキュリティニュースアラート:
ChromeやSafariに影響する重大な脆弱性「0.0.0.0 Day」が見つかる
Oligo SecurityはWebブラウザの重大な脆弱性「0.0.0.0 Day」を発見した。この脆弱性はWebブラウザ間での標準化の不一致から発生し、IPアドレス「0.0.0.0」を介して外部からのアクセスを可能にする。(2024/8/13)
セキュリティニュースアラート:
Windowsのセキュリティパッチを全て巻き戻すゼロデイ脆弱性が見つかる
SafeBreachはWindowsに複数のゼロデイ脆弱性を発見したと発表した。これらの脆弱性は「Windows Downdate」と呼ばれ、悪用されると修正パッチがロールバックされる恐れがある。(2024/8/9)
Google Cloudチートシート(4):
Google Cloudの発見的統制機能で設定ミスや不審な活動を早期発見
Google Cloud利用のコツを紹介する本連載。今回はGoogle Cloudの発見的統制機能を使った脆弱性の早期発見について、具体的に説明します。(2024/8/9)
企業におけるセキュアソフトウェア開発の取り組みの課題とは:
専門家でも3割が“脆弱性悪用による大惨事”を防ぐ「セキュアソフトウェア開発」に不慣れ Linux FoundationとOpenSSFの調査
Linux FoundationとOpenSSFは、セキュアソフトウェア開発の現状と課題を調査したレポート「Secure Software Development Education 2024 Survey: Understanding Current Needs」を発表した。(2024/8/8)
AndroidとPixelに8月の月例更新 悪用の可能性ある「重大」な脆弱性も修正
Googleは、AndroidとPixelの8月の月例更新を公開した。セキュリティ関連では「重大」な脆弱性も修正される。この脆弱性は「標的型攻撃」に悪用される可能性がある。Pixelではいくつかの改善も行われる。(2024/8/7)
セキュリティニュースアラート:
VMware ESXiに脆弱性 ランサムウェアグループの悪用を確認済みのため注意
MicrosoftはランサムウェアグループがVMware ESXiの認証バイパス脆弱性「CVE-2024-37085」を悪用していると伝えた。この脆弱性は共通脆弱性評価システムで警告レベルに位置付けられており、修正が推奨されている。(2024/8/1)
セキュリティニュースアラート:
ServiceNowに複数の脆弱性 サイバー攻撃に利用され要注意
ResecurityはServiceNowの脆弱性が悪用されていると伝えた。この脆弱性は企業運営に重大なリスクをもたらし、さまざまな地域や業界の組織が影響を受けている。(2024/7/30)
セキュリティニュースアラート:
Dockerの認証プラグインに権限昇格などを可能にする脆弱性 急ぎ対処を
DockerはDocker Engineの特定のバージョンに認証プラグイン「AuthZ」をバイパスできる脆弱性が存在すると発表した。影響を受けるバージョンは特定されており、修正バージョンへのアップデートが推奨されている。(2024/7/29)
チェック・ポイント・リサーチが攻撃の概要を明らかに:
廃止済みの「Internet Explorer」を悪用したリモートコード実行の脆弱性、Microsoftは対策パッチをリリース
チェック・ポイント・リサーチは公式ブログで、廃止済みのInternet Explorerを悪用する攻撃手法を報告した。この攻撃手法はリモートコード実行を可能にする手口であり、2023年から2024年5月まで悪用されていることを確認済みだという。Microsoftは2024年7月9日に対策パッチをリリースしている。(2024/7/29)
セキュリティニュースアラート:
Windows SmartScreenの脆弱性を悪用した攻撃 その手口は?
FortinetはWindows SmartScreenの脆弱性「CVE-2024-21412」を取り上げ複数の脅威アクターが悪用していると報告した。各種アプリケーションが標的となっており従業員教育とプロアクティブなセキュリティ戦略が必要であると指摘している。(2024/7/26)
Cybersecurity Dive:
CISA「OSコマンドインジェクションの脆弱性は出荷前に排除を」 FBIと共同勧告
脅威グループは広く普及しているネットワークデバイスの脆弱性を標的にしている。CISAの最新勧告はソフトウェアメーカーに対し、これらの脆弱性をソースから排除するよう促した。(2024/7/26)
Cybersecurity Dive:
Progress Softwareの支出が高騰 原因はMOVEitに関する法的責任
ファイル転送サービス「MOVEit Transfer」の脆弱性が悪用されたことに関連して、Progress Softwareの支出が高騰している。同社は、訴訟や規制当局による監視、政府の調査に直面している。(2024/7/25)
ロボット開発ニュース:
2025年5月でサポート終了するROS1からROS2へのシステム移行支援サービスを提供
パーソルクロステクノロジーは、ロボット開発プラットフォーム「ROS2」へのシステム移行支援サービスを提供する。サポート終了後も「ROS1」を使い続けると脆弱性が増す可能性があり、早期のシステム移行を推奨する。(2024/7/24)
Cybersecurity Dive:
Cisco Nexusデバイスのゼロデイ脆弱性 CVSSスコアは低いが"あなどると危険"
NX-OSの脆弱性のスコアは6.0と決して高くないが、スパイ行為者と疑われる人物が、さまざまなスイッチングデバイスのコマンドインジェクションの脆弱性を悪用するためにカスタムマルウェアを展開している。(2024/7/24)
今こそ見直したいサプライチェーンセキュリティ:
サプライチェーンのデータ漏えいをどう防ぐ? 7つの手法を解説
サプライチェーン組織の脆弱性などをきっかけにデータ漏えいが発生するケースがしばしば見受けられます。本稿はこれを防ぐための7つの対抗策を紹介します。(2024/7/24)
IoTセキュリティ:
組み込み/IoT機器向けに製品出荷後の脆弱性調査サービスを開始
サイバートラストは、組み込み機器やIoT機器を開発、製造する企業向けに、製品出荷後の脆弱性調査サービスを提供する。製品内の脆弱性の把握、深刻度の判定など、国際セキュリティ標準への適合をサポートする。(2024/7/22)
セキュリティニュースアラート:
Cisco Secure Email Gatewayに「緊急」の脆弱性 回避策はないため直ちに対処を
CiscoはCisco Secure Email Gatewayに重大な脆弱性があると発表した。この脆弱性は認証されていない攻撃者によってOSの任意のファイルが上書きされる可能性がある。(2024/7/22)
セキュリティニュースアラート:
複数のVPN製品に影響を与える脆弱性「ポートシャドウ」が見つかる
Citizen Labは複数のVPN製品に影響する新たな脆弱性があると伝えた。脆弱性を悪用されると、匿名性の喪失やDNS要求のリダイレクト、ポートスキャンの実行のリスクがある。(2024/7/22)
セキュリティニュースアラート:
Windowsユーザーは要注意 IEを悪用するゼロデイ脆弱性が見つかる
Trend MicroはWindowsのHTMLレンダリングエンジン「MSHTML」のゼロデイ脆弱(ぜいじゃく)性を悪用する攻撃手法を確認した。脅威グループは、Internet Explorerを悪用してマルウェアを配布するという。(2024/7/18)
半径300メートルのIT:
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。(2024/7/16)
Cybersecurity Dive:
2023年の大失敗から1年が経過 ProgressがMOVEit Transferの新たな脆弱性を公開
2023年にMOVEitを襲った攻撃により、懸念が高まっている。Progress Softwareと研究者によると、現在のところ積極的な悪用の兆候は確認されていないが、攻撃の試みが進行中であることが分かっているという。(2024/7/15)
週末の「気になるニュース」一気読み!:
iOS/Andorid版「Winamp」が正式版リリース/Zoomに複数の脆弱性 最大深刻度は「High」
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、7月7日週を中心に公開された主なニュースを一気にチェックしましょう!(2024/7/14)
セキュリティニュースアラート:
regreSSHionに続き、OpenSSHに新たな脆弱性 リモートコード実行のリスクあり
セキュリティ研究者はOpenSSHサーバに深刻な脆弱性があると伝えた。この脆弱性はCVE-2024-6409と特定され、CVSSスコア値7.0と評価されている。(2024/7/12)
JPCERT/CCが注意喚起:
「Hyper-V」「MSHTML」などの脆弱性悪用を確認 Microsoftの2024年7月更新プログラムを早急に適用を
JPCERT/CCは、Microsoftが公開した2024年7月のセキュリティ更新プログラムを早急に適用するよう注意を促した。脆弱性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの危険性がある。(2024/7/10)
セキュリティニュースアラート:
Ghostscriptの脆弱性は“過小評価”? 専門家の間で議論が巻き起こる
The Registerは、Ghostscriptの脆弱性(CVE-2024-29510)がセキュリティ専門家たちの間で議論を巻き起こしていると報じた。CVE-2024-29510に対する各セキュリティベンダーらによる深刻度評価が過小評価されている可能性があるという。(2024/7/10)
セキュリティニュースアラート:
多要素認証アプリ「Authy」の脆弱性によって3300万件以上の電話番号が流出
Twilioは多要素認証アプリ「Authy」の最新アップデートをリリースし、Android版およびiOS版のセキュリティ修正を実施した。同対応は2024年6月下旬に発生したAuthyの脆弱性を原因とした電話番号流出に対処したものだ。(2024/7/6)
JAXA、23年の不正アクセス詳細公表 VPN機器の脆弱性突かれ、Microsoft 365のアカウント情報など盗まれていた
JAXAが昨年の不正アクセスについて説明。VPN機器の脆弱性を狙った攻撃による不正アクセスを受け、職員の個人情報を含む一部の情報が漏えいしていたと発表した。(2024/7/5)
重大な脆弱性だが、悪用は困難:
「OpenSSH」サーバにリモートコード実行の脆弱性、「OpenSSH 9.8p1」で修正
セキュリティベンダーのQualysは、glibcベースのLinuxシステム上の「OpenSSH」サーバ(sshd)に影響する重大な脆弱性(CVE-2024-6387)を発見した。この脆弱性が悪用されると、リモートから認証なしで、root権限で任意のコードを実行される恐れがある。(2024/7/5)
セキュリティニュースアラート:
CocoaPodsにCVSSスコア10.0の脆弱性 広範囲に影響が及ぶ恐れ
E.V.A Information Securityは、CocoaPodsで複数の重大な脆弱性を発見したと伝えた。大手企業や組織のプロジェクト依存に影響し、悪意のあるコード挿入やアカウント乗っ取りのリスクをもたらす可能性がある。(2024/7/4)
AndroidとPixelに7月の月例更新 Pixelのカメラやシステムの改善も
Googleは7月のAndroidおよびPixelの7月版セキュリティ更新を配信開始した。2件の「重大」を含む多数の脆弱性が修正される。Pixelではカメラなどの改善が行われる。(2024/7/3)
車載セキュリティ:
自動車業界に特化、最適化した脆弱性データベースを共同で立上げ
VicOneは、自動車のセキュリティ技術の発展に貢献するNPOであるAutomotive Security Research Groupと共同で自動車業界に特化した脆弱性データベースを立ち上げた。(2024/7/3)
セキュリティニュースアラート:
CVSSスコアは10.0 Juniper Networksの複数製品に重大な脆弱性
Juniper Networksは複数の製品に重大な脆弱性が存在するとして、緊急アップデートを公開した。脆弱性はCVSSスコア10.0と評価されており、注意が必要だ。(2024/7/3)
セキュリティニュースアラート:
OpenSSHにリモートコード実行の致命的な脆弱性 広範囲に影響が及ぶ可能性あり
QualysはOpenSSHサーバに重大な脆弱性があると発表した。この脆弱性は「regreSSHion」と名付けられ「CVE-2024-6387」として特定されている。悪用されるとリモートコード実行の危険性があるため迅速なアップデートが求められる。(2024/7/3)
Google Bare Metal SolutionのゲストVMからホストへの攻撃を試せる:
Google、「KVM」の脆弱性発見に最大25万ドルの報奨金を提供する「kvmCTF」を開始
Googleは、「KVM」のゼロデイ脆弱(ぜいじゃく)性を発見、報告した人に報奨金を提供するプログラム「kvmCTF」を開始した。(2024/7/3)
認証なしでリモートコード実行 OpenSSHに“回帰”した脆弱性「regreSSHion」発覚
セキュリティベンダーの米Qualysは7月1日(現地時間)、SSHソフトウェア「OpenSSH」に重大な脆弱性を発見したと発表した。脆弱性は「regreSSHion」(CVE-2024-6387)と名付けられ、ルート権限で認証なしに任意のコードをリモートで実行できてしまうという。同社によると世界中の1400万台以上のサーバーに影響があるとする。(2024/7/2)
侵入を許すユーザー企業の特徴
「狙われるVPN」の共通点とは? Check Pointが明かした攻撃の実態
Check Point Software Technologiesによると、同社VPN製品の脆弱性を悪用した攻撃で狙われるユーザー企業には、ある共通点があった。どのようなユーザー企業のVPNが狙われているのか。(2024/7/2)
セキュリティニュースアラート:
C/C++の脆弱性をLLMで検出 Googleが新研究開発プロジェクト「Naptime」を発表
GoogleはLLMを使った新しい研究開発プロジェクト「Naptime」を発表した。NaptimeはC/C++の高度なメモリ破壊やバッファーオーバーフローの脆弱性を発見するのに特化するものだという。(2024/6/28)
セキュリティソリューション:
Microsoft、Defender XDRにCopilot for Securityを統合 脅威インテリジェンスを強化
MicrosoftはDefender XDRにCopilot for Securityを統合した。ユーザーはこれによって脆弱性や脅威分析に関連した質問を自然言語で検索でき、インシデント対応の効率化や省力化に役立てられる。(2024/6/28)
セキュリティニュースアラート:
OSSのAIインフラ「Ollama」にリモートコード実行の脆弱性 急ぎアップデートを
WizはOSSのAIインフラ「Ollama」に重大な脆弱性があると報告した。この脆弱性によって任意のファイルが上書きされリモートコード実行が可能になるため、修正されたバージョン以降にアップデートが推奨されている。(2024/6/27)
Cybersecurity Dive:
Sunburstの悪夢再び? SolarWindsのファイル転送サービスに深刻な脆弱性
SolarWindsのファイル転送サービス「Serv-U」に脆弱性が見つかった。CVSSスコア8.6と評価されているこの脆弱性は認証されていない攻撃者がサーバの機密ファイルを読み取ることを可能にする。(2024/6/26)
Tech TIPS:
Azure CLIやBicep CLIを最新版にアップデートする方法【Windows OS編】
Azure CLI(azコマンド)やBicep CLIには定期的にアップデートが提供されている。なるべくなら新機能の実装や不具合/脆弱性の修正がなされた最新版を使いたいところだ。そこで、これらを速やかにアップデートする方法と注意点を説明する。(2024/6/26)
JAXA情報流出 「安全」接続目的のVPNが不正アクセスの標的に 脆弱性突かれる
宇宙航空研究開発機構(JAXA)の機密情報がサイバー攻撃で流出したとみられる問題では、外部から内部の業務ネットワークに接続するために使うVPN(仮想専用線)の脆弱性を突かれ、不正アクセスによる内部侵入を許したとされる。(2024/6/21)
Cybersecurity Dive:
Check PointのVPNに関するリスクは“想定以上に深刻” 各ベンダーが調査を公表
Check Point SoftwareのVPNの脆弱性は想定よりもはるかに深刻だという研究結果が公開された。攻撃者はこれを悪用することで脅威の横展開を実施し、これまで公表されていたよりもはるかに多くのファイルにアクセスできる可能性がある。(2024/6/21)
セキュリティニュースアラート:
東芝グループの「経営層を巻き込んだセキュリティ施策」とは?
東芝は2023年度のサイバーセキュリティ報告書を発行した。この報告書はアタックサーフェスの管理や脆弱性対応の強化、経営層向けのメール訓練など、サイバーレジリエンスを強化する取り組みについて記載している。(2024/6/20)
セキュリティニュースアラート:
VMware vCenter Serverなどに複数の脆弱性 深刻度「緊急」もあり対処が必要
VMwareはvCenter ServerおよびCloud Foundationを含む製品に影響する重大な脆弱性への対策を発表した。修正された脆弱性の中には深刻度「緊急」(Critical)と評価されているものもあり、注意が必要だ。(2024/6/20)
「Nデイ攻撃」に注意:
攻撃者は脆弱性公開から約5日で攻撃開始、パッチ適用できるか? フォーティネット、セキュリティレポート
フォーティネットジャパンは「フォーティネット グローバル脅威レポート 2023年下半期版」を発表した。新しい脆弱性の公開から攻撃者がそのエクスプロイトを利用して攻撃するまでの日数が2023年上半期と比べて43%短縮していた。(2024/6/20)
対象ユーザー企業の保険金請求は急増
Cisco製ツールの“脆弱性”が悪用されたことが明らかに 対象製品は?
Cisco Systems製品の脆弱性が、ArcaneDoorのスパイ活動に悪用されていることが分かった。対策が必要なCisco Systems製品はどれなのか。ArcaneDoorによる攻撃活動の実態とは。(2024/6/20)
セキュリティニュースアラート:
エッジサービスの脆弱性を悪用した大規模エクスプロイトが急増中 ウィズセキュア調査
ウィズセキュアはエッジサービスの脆弱性に関する調査レポートを発表した。調査により、エッジサービスの脆弱性が急増し、ランサムウェア攻撃の主要なベクトルとして成長していることが明らかになった。(2024/6/19)
Cybersecurity Dive:
NISTの脆弱性解析 9割以上が「手つかず」 懸念されるリスク
VulnCheckの調査によると、2024年2月中旬以降にNVDに追加された脆弱性のうち、NISTは10件に1件未満しか分析できていないことが判明した。これによってどのような影響が生じるのだろうか。(2024/6/19)
セキュリティニュースアラート:
ASUSのルーターに重大な脆弱性、修正ファームウェアを公開
ASUSTeK Computerは重大な脆弱性を修正したファームウェアを公開した。影響を受ける製品はZenWiFiやRTシリーズなど多数。ユーザーには迅速なアップデートが強く推奨されている。(2024/6/18)
セキュリティソリューション:
シチズンが選んだセキュリティソリューションとは? クラウド移行のリスクを軽減
シチズン時計は外部委託してきたペネトレーションテストに限界を感じ、「あるソリューション」の採用に踏み切った。迅速に脆弱性を発見するために同社が選んだソリューションとは。(2024/6/17)
業界別のフィッシング詐欺「ヒット率」が明らかに 高リスク業界はどこか
KnowBe4はフィッシング詐欺に対する脆弱性を分析する2024年度版レポートを発表した。どの業種が危険なのか。(2024/6/17)
セキュリティニュースアラート:
Fortinetの脆弱性を悪用 中国が支援するサイバースパイ活動は「思っていたよりも広範囲」
オランダ国立サイバーセキュリティセンターは、中国当局が支援しているとみられる脅威アクターのサイバースパイ活動が、「これまで考えられていたよりも広範囲に影響を与えている」と警告した。具体的にどの程度の影響を及ぼしているのか。(2024/6/14)
クラウドに潜む10大脆弱性【前編】
AWSやAzureのクラウドが危険になるのは「ユーザーの知識不足」のせい?
「Amazon Web Services」(AWS)などのクラウドサービスを利用する際、ベンダーは全てを守ってくれるわけではない。ユーザーが知っておくべき、クラウドサービスの脆弱性とは。(2024/6/13)
Pixelに6月のセキュリティ更新 「悪用を受けている可能性」のある脆弱性を含む50件に対処
Googleは、Pixelの月例セキュリティ情報の6月版を公開した。重大度最大の7件を含む50件の脆弱性に対処した。重大度は「高」だが悪用された可能性のある脆弱性にも対処した。(2024/6/12)
セキュリティニュースアラート:
Windows OSにインストールされている全てのPHPに影響 緊急度「Critical」の脆弱性が発覚
PHPに重大なセキュリティ脆弱性が存在することが発覚した。この欠陥はWindows OSにインストールされている全てのバージョンのPHPに影響する。(2024/6/12)
複数のCisco製品に影響
Cisco製ツールに「PoCコードも公開」の脆弱性 要注意の製品は?
Cisco Systemsの複数製品に関係する管理ツールに重大な脆弱性が見つかった。悪用するプログラムも公開されており、同社はユーザー企業に注意を呼び掛けた。対策を講じなければならないのはどの製品なのか。(2024/6/12)
セキュリティニュースアラート:
複数のAzureサービスに深刻な脆弱性が見つかる 推奨される対策は?
Tenableが複数のAzureサービスに深刻な脆弱性があると報告した。これによって、攻撃者はサービスタグを利用してファイアウォールルールを回避できる可能性がある。(2024/6/8)
管理者権限で侵入のリスク
パロアルトの「PAN-OS」が危険な状態に 脆弱性の“影響範囲”は?
Palo Alto Networksのソフトウェア「PAN-OS」の欠陥が見つかり、ユーザー企業が攻撃を受けるリスクが高まっている。影響を受けるPAN-OSのバージョンはどれなのか。(2024/6/7)
Android、6月の月例更新で「致命的」3件を含む40件の脆弱性に対処(Pixelはまだ)
Googleは、Androidの月例セキュリティ情報の6月版を公開した。「致命的」を含む40件の脆弱性に対処する。Pixelの月例更新は同時ではなかった。(2024/6/4)
最新のGitバージョンにアップグレードを推奨:
Gitに見つかった5つの新たな脆弱性 GitHubが注意喚起
GitHubは最新の「Git」バージョンv2.45.1で修正された5つの脆弱性について注意を促した。(2024/6/3)
セキュリティニュースアラート:
Check Pointの複数のリモートVPN製品に重大な脆弱性 機密情報にアクセスされる恐れ
Check Point Software Technologiesは、同社の複数のリモートアクセスVPN製品に重大な脆弱性があると報告した。この脆弱性は悪用されると、機密情報にアクセスされるリスクがある。(2024/6/3)
セキュリティニュースアラート:
「Fortinet FortiSIEM」にCVSS v3.1スコア10の脆弱性 初期パッチで修正漏れ ただちに確認を
「Fortinet FortiSIEM」にCVSS v3.1のスコア10.0脆弱性が見つかった。初期の修正パッチは不十分で類似のセキュリティ脆弱性に対して対応できていなかったと指摘した。簡単に脆弱性を悪用できるため注意が必要だ。該当する製品を使用している場合には確認を行うことが望まれる。(2024/5/30)
「最高レベルセキュリティ備える」はずのMITREはなぜ侵入されたか? 調査結果が発表
MITREはサイバー攻撃調査結果と防衛策を発表した。不正アクセスはIvantiの脆弱性を利用しNERVEネットワークに侵入したものだった。攻撃者はセッションハイジャックやRDPを使って内部システムに接続し永続的なバックドアを設置している。(2024/5/28)
2024年度末にはECサイト脆弱性診断の義務化もある:
サイバー攻撃手法のトレンドはどう変わった? ITRが国内Webアプリケーション脆弱性管理市場を予測
ITRは、国内Webアプリケーション脆弱性管理市場規模の推移と予測を発表した。2022年度の売上金額は、対前年度比21.6%増の27億6000万円。2022〜2027年度の年平均成長率を15.0%と見込み、2027年度の売上金額は55億6000万円に達すると予測する。(2024/5/28)
半径300メートルのIT:
ルーターは“消耗品”と心得よ 脅威から身を守るための製品選定のコツ
ルーターを“交換不要で使い続けるもの”と考えていると、脆弱性が生まれてサイバー攻撃の被害に遭ってしまう可能性があります。そこでこれを消耗品と捉えて定期的に買い替える必要がありますが、その際の製品選定のポイントは何でしょうか。(2024/5/28)
Cybersecurity Dive:
ランサムウェアグループ「Black Basta」は重要インフラ組織をもてあそんでいる
ランサムウェアグループBlack Bastaは、全世界で500以上のターゲットに影響を与え、重要インフラ業界の大部分に影響を及ぼしている。多くの攻撃は、ConnectWise ScreenConnectの脆弱性を悪用しているという。(2024/5/27)
セキュリティニュースアラート:
OSS狙いのサプライチェーン攻撃に対処 脅威インテリジェンス共有プラットフォーム「Siren」発表
OpenSSFはOSSプロジェクト向けの脅威インテリジェンス共有プラットフォーム「Siren」を発表した。Sirenはサイバー攻撃に関連する情報を共有し、OSSの脆弱性に対する迅速な対応を可能にする。(2024/5/23)
セキュリティニュースアラート:
全てのWi-Fiクライアントが影響を受ける可能性 「SSID混乱攻撃」の脅威
Top10VPNはWi-FiのSSID認証欠如による「SSID混乱攻撃」の脆弱性を報告した。この脆弱性は全てのWi-Fiクライアントに影響を及ぼす可能性があり、IEEE 802.11標準の設計上の問題とされている。(2024/5/21)
株式会社ビットフォレスト提供Webキャスト
脆弱性診断の内製化を阻む3つの壁を解消、失敗/成功事例に学ぶ実践のポイント
サイバー攻撃のリスクが高まる昨今、WebサイトやWebアプリケーションに対する脆弱性診断の重要性が高まっている。しかし、脆弱性診断を外注するとなると費用も期間もかかり過ぎてしまう。そこで注目されているのが、脆弱性診断の内製化だ。(2024/5/20)
セキュリティニュースアラート:
「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱性 急ぎ対処を
Fortinetは「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに脆弱性があることを報告した。これを悪用されるとIPアドレスを偽装してセキュリティ制御を回避する可能性がある。(2024/5/17)
GoFetch攻撃の手口と対策【後編】
秘密鍵が盗まれる「Appleシリコンの脆弱性」は修正困難……苦肉の策とは?
Macから秘密鍵を盗み取る攻撃「GoFetch」は、SoC「M」シリーズの脆弱性を突くものだ。この脆弱性はマイクロアーキテクチャの欠陥に起因するため、簡単に修正する方法はないという。どのような対策があるのか。(2024/5/17)
Cybersecurity Dive:
MITREがサイバー攻撃に遭う 攻撃者はIvantiのVPN製品のゼロデイ脆弱性を悪用か
脅威フレームワーク「MITRE ATT&CK」などを提供するMITREは、Ivanti Connect Secureのゼロデイ脆弱性を悪用したサイバー攻撃を受けた。攻撃者はどのようにして多要素認証を回避したのだろうか。(2024/5/16)
セキュリティニュースアラート:
SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり
Windows向けSSHクライアントである「PuTTY」に重大な脆弱性が見つかった。これを悪用された場合、署名付きメッセージから秘密鍵を窃取できる可能性がある他、影響範囲はPuTTYだけでなく関連ツールや鍵ペアにも及ぶという。(2024/5/14)
求められる“緊急の脆弱性対策”
Fortinetユーザーが“無防備”に 「SQLインジェクション」の影響範囲は?
Fortinet製品に重大な脆弱性が見つかった。どのような脆弱性で、どの製品が影響を受けているのか。ユーザー企業に求められる対策は。(2024/5/14)
ある調査で分かった脅威の実態【後編】
脆弱性の中でも「本当に危ない」のは“あれ” Googleが指摘
攻撃に悪用され得る脆弱性について企業は広く注意を払わなければならないが、その中でも特に警戒すべき脆弱性がある。Googleが「特に危険」と指摘する脆弱性とは。(2024/5/13)
Cybersecurity Dive:
PAN-OSのゼロデイ脆弱性の悪用が増加中 Palo Alto Networksが警告
PAN-OSに見つかったCVSSスコア10.0のゼロデイ脆弱性に関連する悪用や攻撃の試みは、概念実証が公開された後に増加した。(2024/5/12)
セキュリティニュースアラート:
FIDO2認証をバイパスされる脆弱性 セキュリティ研究者が複数のユースケースを検証
Silverfortは、FIDO2認証が中間者攻撃によってバイパスされる可能性があると発表した。同社は複数の認証ツールでこの脆弱性を検証し、どうすればバイパスできるかを解説した。(2024/5/10)
GoFetch攻撃の手口と対策【前編】
Macから秘密鍵が盗まれる「Appleシリコン」の脆弱性とは
Mac用のSoC「M」シリーズの脆弱性を悪用して秘密鍵を取得する「GoFetch」という攻撃の手法を、米国の学術研究グループが発見した。どのような脆弱性なのか。(2024/5/10)
Innovative Tech:
中国語のスマホ標準キーボードアプリでキー入力が盗まれる脆弱性 攻撃対象は“10億人規模”と試算
カナダのトロント大学にある研究機関「Citizen Lab」は、中国で広く利用されているキーボードアプリに関する最新の調査報告を公開した。報告書によると、中国の主要なクラウドベースのスマホキーボードアプリに脆弱性が認められたという。(2024/5/9)
Pixelにも5月の月例更新 バグ修正と改善もあり
GoogleはPixel向けの5月の月例セキュリティ情報を公開した。前日公開のAndroid向けに加え7件の脆弱性に対処する。バグ修正と改善も2件ある。(2024/5/8)
Android、5月の月例更新で「致命的」1件を含む29件の脆弱性に対処(Pixelはまだ)
Googleは、Androidの月例セキュリティ情報の5月版を公開した。重大度が「致命的」1件を含む29件の脆弱性に対処する。このセキュリティ更新はPixel Watchでも実施される。(2024/5/7)
セキュリティニュースアラート:
2023年に最も狙われたリモートデスクトップツールは?
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。(2024/5/7)
ある調査で分かった脅威の実態【前編】
Googleが調査、「ゼロデイ攻撃」増加の背景に“あの商用ツール”
Googleによると、パッチが提供されていない脆弱性を悪用する「ゼロデイ攻撃」が、2023年に再び増加傾向に転じた。その背景には、“ある商用ツール”の存在がある。(2024/5/7)
セキュリティニュースアラート:
プログラミング言語「R」に任意コード実行の脆弱性 悪用の可能性あり更新を
プログラミング言語「R」に脆弱性「CVE-2024-27322」が存在すると報じられた。この脆弱性は安全ではないデータシリアライゼーションにより生じ、システム上で任意のコードが実行される可能性がある。(2024/5/2)
Cybersecurity Dive:
NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
NISTが運営する脆弱性データベース「National Vulnerability Database」(NVD)は、過剰な負担によって機能不全に陥っている。この負債によってユーザーにはどのような不利益が生じるのか。問題点を整理した。(2024/4/27)
Cybersecurity Dive:
Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
MicrosoftはCommon Weakness Enumeration(共通脆弱性列挙)という業界標準の体系を使用して脆弱性を分類すると発表した。これによって事業者たちにはどのような変化やメリットが生じるのか。(2024/4/27)
セキュリティニュースアラート:
Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
Microsoft DefenderとKaspersky EDRにリモートからのファイル削除を可能とする脆弱性が見つかった。この問題はセキュリティソフトウェアのマルウェア検出機能が悪用されている他、問題の完全な解決は困難だと研究者は指摘している。(2024/4/24)
変更が必要な場合と必要でない場合を整理:
パスワードの定期的な変更はリスク軽減につながるわけではない アカウントを安全に保つには?
ESETは公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。パスワードを定期的に変更するだけではセキュリティの脆弱性を減少させる効果があまりなく、パスワードマネージャーと二要素認証の活用が重要だとしている。(2024/4/23)
セキュリティニュースアラート:
WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
JPCERT/CCは、WordPress用プラグイン「Forminator」に複数の脆弱性が存在すると伝えた。これらの中にはCVSS 9.8に分類されるものも含まれるため注意が必要だ。(2024/4/23)
セキュリティニュースアラート:
Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
Datadogは「State of DevSecOps 2024」と題された分析レポートを公開した。Javaは他のプログラミング言語と比較してサードパーティーの脆弱性によるリスクが高いことが明らかになっている。(2024/4/22)
IoTセキュリティ:
景気減速でソフト開発の脆弱性対応が後手に? SBOM整備の取り組みも足踏みか
日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2024 オープンソース・セキュリティ&リスク分析(OSSRA)レポート」の結果について説明した。(2024/4/19)
セキュリティニュースアラート:
IvantiがAvalanche 6.4.3をリリース CVSS 9.8の深刻な脆弱性を修正
IvantiはMDMソリューション「Avalanche」のバージョン6.4.3をリリースした。今回のアップデートは2件の重大な脆弱性を含む27件の問題に対処した。修正された脆弱性の中にはシステムへの不正アクセスを許す可能性のあるものが含まれている。(2024/4/19)
バッファロー製Wi-Fiルーターに脆弱性 IPAなどが注意呼び掛け 「最新版ファームウェアへ更新を」
バッファロー製Wi-Fiルーターに複数の脆弱(ぜいじゃく)性が判明した。対象となる製品を使用している場合、ファームウェアを最新版にアップデートする必要がある。(2024/4/18)
バッファロー製Wi-Fiルーターに脆弱性 対象機種は今すぐファームウェア更新を
バッファローが過去に販売したWi-Fiルーターに「警告」レベルの脆弱性が報告された。ファームウェアを最新版にすれば解消できるので、対象機種を使っている場合は急ぎ確認したい。(2024/4/17)
セキュリティニュースアラート:
PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
JPCERT/CCは複数のプログラミング言語や実行環境で、Windows環境におけるコマンド実行処理での脆弱性を公表した。この脆弱性は不適切なエスケープ処理によってコマンドインジェクションを引き起こす可能性がある。(2024/4/17)
セキュリティニュースアラート:
PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
セキュリティに特化したPalo Alto Networks製のOS「PAN-OS」に脆弱性が見つかった。CVSS v4.0スコア10.0、深刻度「緊急」(Critical)に分類されているため、迅速な対応が求められる。(2024/4/16)
攻撃の成立条件は限定的:
Windows環境でコマンドインジェクションを引き起こす脆弱性、複数のプログラミング言語に影響
Flatt Securityは、複数のプログラミング言語に存在する、Windows環境でコマンドインジェクションを引き起こす脆弱性に関する解説を公式ブログの英語版で公開した。(2024/4/16)
Cybersecurity Dive:
企業向けソフトウェアの脆弱性を狙う攻撃が“爆増” 特に注意すべきものは
Recorded Futureは、企業のソフトウェアやVPNなどのネットワークインフラにおいて、高リスクの脆弱性が積極的に悪用されるケースが約3倍に増加していると報告した。(2024/4/14)
セキュリティニュースアラート:
Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
Rustセキュリティレスポンスワーキンググループは、Rustの標準ライブラリに脆弱性(CVE-2024-24576)が存在すると報告した。サイバー攻撃者が任意のシェルコマンドを実行できる可能性がある。(2024/4/12)
無線LANルーター「Aterm」シリーズの一部に複数の脆弱性 設定変更や買い替えをアナウンス
NECプラットフォームズの無線LANルーター「Aterm」製品の一部に、複数の脆弱(ぜいじゃく)性があることが明らかになった。(2024/4/11)
ChatGPTプラグインではなく、GPTsの利用を推奨:
「ChatGPTプラグイン」の脆弱性についてセキュリティ研究者が開発者に警告
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。(2024/4/10)
NEC「Aterm」シリーズ59製品に脆弱性 IPAなどが注意呼びかけ 設定変更や買い替えを
NECのWi-Fiルーター「Aterm」シリーズの59製品に複数の脆弱(ぜいじゃく)性が判明した。対象となる製品を使用している場合、管理者パスワードや暗号化キーの変更、設定の変更などの対処をする必要がある。(2024/4/9)
セキュリティニュースアラート:
シスコの中小企業向けルーターにXSSの脆弱性 アップデート提供はなし
Ciscoはスモールビジネス向けルーターにクロスサイトスクリプティングの脆弱性が見つかったと報告した。この問題はWeb管理インタフェースの不十分な入力検証に起因しており、攻撃者による不正利用の可能性がある。(2024/4/9)
GitHub CopilotとCodeQLを活用:
GitHubが脆弱性のあるコードの修正機能β版を「GitHub Advanced Security」利用者に提供開始
GitHubは「GitHub Advanced Security」の利用者を対象に、コードスキャン自動修正機能パブリックβ版の提供を開始した。「JavaScript」「TypeScript」「Java」「Python」に対応しており、脆弱性のないコード案を生成する。(2024/4/9)
セキュリティニュースアラート:
D-Link製NASデバイスに脆弱性 9万2000台に影響
D-Linkはセキュリティ研究者の指摘を受け、サポート終了したネットワーク接続ストレージ製品に脆弱性があると報告した。(2024/4/9)
まずは可視化から:
PR:工場内の機器が外部から見えてしまう 工場向けのセキュリティ強化策とは
ITシステムと産業制御システムとの連携が進んでいる。OT環境がインターネットに開かれた結果、これまで問題になっていなかった脆弱性がサイバー攻撃の対象になってしまった。どのように対応すればよいのだろうか。(2024/4/5)
Innovative Tech:
多くのベンダーの「メールフィルタリング」に設定ミス サイバー攻撃の原因にも 米研究者らが調査
米カリフォルニア大学サンディエゴ校と米シカゴ大学に所属する研究者らは、クラウドベースのメールフィルタリングサービスの脆弱性を指摘した研究報告を発表した。(2024/4/8)
無償セルフCVEスキャンレポートを提供中:
PR:出荷後の組込Linux製品のセキュリティ不安を解消する支援サービスとは?
組込みLinuxを使用した機器では、膨大な共通脆弱性識別子(CVE)への対応が迫られるなどセキュリティやメンテナンスの課題がある。課題に対処するリソースも問題だ。これらの課題を解決するサービスに大きな注目が集まっている。(2024/4/9)
Cybersecurity Dive:
脆弱性の悪用をいつ公表すべきか 情報開示ポリシーを巡るさまざまな主張
JetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。(2024/4/6)
セキュリティニュースアラート:
SolarWindsのネットワーク管理ツールに「緊急」の脆弱性 急ぎ対処を
Zero Day InitiativeはSolarWinds Access Rights Managerに重大な脆弱性があると報じた。この脆弱性は認証せずに悪用可能で、CVSSスコア値「9.6」が付けられている。(2024/4/4)
PixelとPixel Watchにも4月の月例更新 カメラ関連のバグも修正
Googleは、PixelとPixel Watchの4月のアップデートの配信を開始した。Pixelでは多数の脆弱性修正といくつかのバグ修正を、Pixel Watchでは新機能追加と機能改善を行った。(2024/4/3)
セキュリティニュースアラート:
WinRARの脆弱性を利用して新型バックドアを仕込む攻撃キャンペーンに要注意
BI.ZONEは脅威アクターMysterious Werewolfによる新しいサイバー攻撃キャンペーンを報告した。WinRARの脆弱性を利用し、Telegram経由のRingSpyバックドアの感染を狙うことが明らかにされている。(2024/4/3)
セキュリティニュースアラート:
Linuxカーネルに特権昇格の脆弱性 急ぎ確認とアップデートを
NSFOCUSはLinuxカーネルの特権昇格の脆弱性(CVE-2024-1086)について詳細情報とPoCツールが公開されたとし、影響を受けるユーザーに対して修正されたバージョンへの迅速なアップデートを呼びかけた。(2024/4/3)
Innovative Tech:
Appleの“Mシリーズチップ”から秘密鍵を盗む攻撃「GoFetch」 米研究者らが発表
イリノイ大学アーバナ・シャンペーン校やテキサス大学オースティン校などに所属する米研究チームは、AppleのMシリーズチップなどの脆弱性を用いて秘密鍵を復元するサイドチャネル攻撃を提案した研究報告を発表した。(2024/4/3)
セキュリティニュースアラート:
Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か
Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。(2024/4/2)
Android、4月の月例更新で「致命的」1件を含む28件の脆弱性に対処(Pixelはまだ)
Googleは4月1日、Anddroidの月例セキュリティ情報の4月版を公開した。重大度が「致命的」1件を含む28件の脆弱性に対処する。Pixel版はまだ公開されていない。(2024/4/2)
ランサムウェア攻撃者は妨害行為を増加させている:
攻撃手法はbotネットから脆弱性の悪用へ ランサムウェア攻撃の状況をSymantecが解説
Broadcomは、2023年のランサムウェア攻撃の状況をSymantec公式ブログで明らかにした。2023年第4四半期にランサムウェアの攻撃数は20%強減少したにもかかわらず、ランサムウェアの活動は引き続き増加傾向にあるという。(2024/4/2)
週末の「気になるニュース」一気読み!:
NVIDIAのAIチャットbot「ChatRTX」に複数の脆弱性/ARM版に最適化されたGoogle Chromeが登場
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、3月24日週を中心に公開された主なニュースを一気にチェックしましょう!(2024/3/31)
Cybersecurity Dive:
CI/CDツール「TeamCity」に新たに2つの脆弱性 修正版リリースも批判の声
JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。(2024/3/31)
Cybersecurity Dive:
ConnectWise ScreenConnectにCVSS10.0の脆弱性 サイバー攻撃者の悪用を確認
リモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。(2024/3/30)
セキュリティソリューション:
NTTテクノクロス、SBOM導入・運用支援のコンサルティングサービスを発表
NTTテクノクロスはソフトウェアの脆弱性管理に役立つSBOMの導入と運用を支援するコンサルティングサービスを開始する。このサービスはSBOMの作成支援や脆弱性情報の管理支援が含まれている。(2024/3/28)
Apple、「詳細は近日公開予定」としていたセキュリティ更新の詳細を公開
Appleは、iOS 17.4.1などの一連のOSのセキュリティアップデートの際に「詳細は近日公開予定」としていた詳細を4日後に公開した。いずれも画像処理関連の脆弱性で、問題は解決したとしている。(2024/3/27)
個情委、ランサムウェアで約1カ月停止の社労士向けクラウド提供元に指導 「管理者権限のパスワード類推可能」「深刻な脆弱性が残存」【お詫びと訂正】
個人情報保護委員会が、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム(大阪市)に対し、個人情報保護法に基づく指導を行ったと発表した。(2024/3/25)
Cybersecurity Dive:
Ivanti製品の脆弱性についてCISAが調査を公表 一部Ivanti社の主張と食い違い
IvantiはCISAの調査結果の一部に反発しており、顧客が推奨される緩和策に従った場合、ハッカーは永続的なアクセスを得ることができなかったと主張している。(2024/3/24)
Cybersecurity Dive:
バイデン政権、メモリ安全性の高いプログラミング言語の採用を呼びかけ
重大な脆弱性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語をソフトウェアに採用する傾向が強まっている。(2024/3/24)
この頃、セキュリティ界隈で:
生成AIの弱点が相次ぎ発覚 ChatGPTやGeminiがサイバー攻撃の標的に 情報流出や不正操作の恐れも
米OpenAIの「ChatGPT」やGoogleの「Gemini」など、主要生成AIの弱点や脆弱性が次々に発覚している。(2024/3/22)
「C」「C++」よりも「Rust」などの言語を推奨:
「ソフトウェアはメモリ安全でなければならない」との声明を発表、米ホワイトハウス
米ホワイトハウスは、サイバー空間における攻撃対象領域を積極的に削減するよう技術コミュニティーに呼びかける報告書を発表した。ONCDは、IT企業がメモリ安全なプログラミング言語を採用することで、あらゆる種類の脆弱性がデジタルエコシステムに侵入するのを防ぐことができるとして、協力を呼びかけた。(2024/3/18)
QNAP製NASなどに複数の脆弱性が発見 最新アップデートの適用を推奨
QNAPは、同社製NASに採用するOS「QTS」などにおける複数の脆弱性についての告知を行った。(2024/3/12)
セキュリティニュースアラート:
Fortinetの脆弱性を放置している約15万台のサーバが見つかる
The Shadowserver Foundationはリモートコード実行可能な脆弱性を抱えたまま運用されているサーバの調査結果を発表した。放置されたままになっている脆弱性が明らかになった。(2024/3/12)
抽選でAmazonギフトカードが当たる
「PCのパッチ更新運用および利用ソフトウェアの脆弱性対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2024/3/11)
Cybersecurity Dive:
脆弱性報告を無視したIvanti パッチ適用時に新たな脆弱性を生んでしまう
Ivantiのリモートアクセスツールに新たな脆弱性が見つかった。この脆弱性はセキュリティ企業から報告を受けたことで発覚したが、Ivanti当初、この発見を信用しなかった。(2024/3/9)
検証! Microsoft&Windowsセキュリティ(11):
「セキュアブートのセキュリティ機能のバイパスの脆弱性」対策、2024年10月の強制施行フェーズに備える
Microsoftは2023年5月以降、セキュアブートのセキュリティ機能がバイパスされる脆弱性(CVE-2023-24932)への対策を段階的に進めています。2024年10月には、その対策は“強制施行フェーズ”となり、セキュアブートが有効な、サポート中のWindowsの全バージョンに対して脆弱性緩和策が強制されます。その影響と現時点でできる備えをまとめました。(2024/3/8)
Innovative Tech:
生成AIに“アスキーアート”入りプロンプト入力→有害コンテンツ出力 米研究者らが新手の脱獄法発見
米ワシントン大学などに所属する研究者らは、大規模言語モデル(LLM)がアスキーアートを正しく認識できないという脆弱性を利用して、LLMに有害なコンテンツを出力させる新しいジェイルブレーク(脱獄)攻撃を提案した研究報告を発表した。(2024/3/7)
“典型的やられサイト”で学ぶセキュリティのワナ:
キャッシュからダメな情報が見えちゃうよ! 見逃しがちなWebアプリの落とし穴
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2024/3/6)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。