「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
Windows SmartScreenの脆弱性を悪用した攻撃　その手口は？
FortinetはWindows SmartScreenの脆弱性「CVE-2024-21412」を取り上げ複数の脅威アクターが悪用していると報告した。各種アプリケーションが標的となっており従業員教育とプロアクティブなセキュリティ戦略が必要であると指摘している。（2024/7/26）

Cybersecurity Dive：
CISA「OSコマンドインジェクションの脆弱性は出荷前に排除を」　FBIと共同勧告
脅威グループは広く普及しているネットワークデバイスの脆弱性を標的にしている。CISAの最新勧告はソフトウェアメーカーに対し、これらの脆弱性をソースから排除するよう促した。（2024/7/26）

Cybersecurity Dive：
Progress Softwareの支出が高騰　原因はMOVEitに関する法的責任
ファイル転送サービス「MOVEit Transfer」の脆弱性が悪用されたことに関連して、Progress Softwareの支出が高騰している。同社は、訴訟や規制当局による監視、政府の調査に直面している。（2024/7/25）

ロボット開発ニュース：
2025年5月でサポート終了するROS1からROS2へのシステム移行支援サービスを提供
パーソルクロステクノロジーは、ロボット開発プラットフォーム「ROS2」へのシステム移行支援サービスを提供する。サポート終了後も「ROS1」を使い続けると脆弱性が増す可能性があり、早期のシステム移行を推奨する。（2024/7/24）

Cybersecurity Dive：
Cisco Nexusデバイスのゼロデイ脆弱性　CVSSスコアは低いが"あなどると危険"
NX-OSの脆弱性のスコアは6.0と決して高くないが、スパイ行為者と疑われる人物が、さまざまなスイッチングデバイスのコマンドインジェクションの脆弱性を悪用するためにカスタムマルウェアを展開している。（2024/7/24）

今こそ見直したいサプライチェーンセキュリティ：
サプライチェーンのデータ漏えいをどう防ぐ？　7つの手法を解説
サプライチェーン組織の脆弱性などをきっかけにデータ漏えいが発生するケースがしばしば見受けられます。本稿はこれを防ぐための7つの対抗策を紹介します。（2024/7/24）

IoTセキュリティ：
組み込み／IoT機器向けに製品出荷後の脆弱性調査サービスを開始
サイバートラストは、組み込み機器やIoT機器を開発、製造する企業向けに、製品出荷後の脆弱性調査サービスを提供する。製品内の脆弱性の把握、深刻度の判定など、国際セキュリティ標準への適合をサポートする。（2024/7/22）

セキュリティニュースアラート：
Cisco Secure Email Gatewayに「緊急」の脆弱性　回避策はないため直ちに対処を
CiscoはCisco Secure Email Gatewayに重大な脆弱性があると発表した。この脆弱性は認証されていない攻撃者によってOSの任意のファイルが上書きされる可能性がある。（2024/7/22）

セキュリティニュースアラート：
複数のVPN製品に影響を与える脆弱性「ポートシャドウ」が見つかる
Citizen Labは複数のVPN製品に影響する新たな脆弱性があると伝えた。脆弱性を悪用されると、匿名性の喪失やDNS要求のリダイレクト、ポートスキャンの実行のリスクがある。（2024/7/22）

セキュリティニュースアラート：
Windowsユーザーは要注意　IEを悪用するゼロデイ脆弱性が見つかる
Trend MicroはWindowsのHTMLレンダリングエンジン「MSHTML」のゼロデイ脆弱（ぜいじゃく）性を悪用する攻撃手法を確認した。脅威グループは、Internet Explorerを悪用してマルウェアを配布するという。（2024/7/18）

半径300メートルのIT：
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。（2024/7/16）

Cybersecurity Dive：
2023年の大失敗から1年が経過　ProgressがMOVEit Transferの新たな脆弱性を公開
2023年にMOVEitを襲った攻撃により、懸念が高まっている。Progress Softwareと研究者によると、現在のところ積極的な悪用の兆候は確認されていないが、攻撃の試みが進行中であることが分かっているという。（2024/7/15）

週末の「気になるニュース」一気読み！：
iOS／Andorid版「Winamp」が正式版リリース／Zoomに複数の脆弱性　最大深刻度は「High」
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、7月7日週を中心に公開された主なニュースを一気にチェックしましょう！（2024/7/14）

セキュリティニュースアラート：
regreSSHionに続き、OpenSSHに新たな脆弱性　リモートコード実行のリスクあり
セキュリティ研究者はOpenSSHサーバに深刻な脆弱性があると伝えた。この脆弱性はCVE-2024-6409と特定され、CVSSスコア値7.0と評価されている。（2024/7/12）

JPCERT／CCが注意喚起：
「Hyper-V」「MSHTML」などの脆弱性悪用を確認　Microsoftの2024年7月更新プログラムを早急に適用を
JPCERT／CCは、Microsoftが公開した2024年7月のセキュリティ更新プログラムを早急に適用するよう注意を促した。脆弱性が悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの危険性がある。（2024/7/10）

セキュリティニュースアラート：
Ghostscriptの脆弱性は“過小評価”？　専門家の間で議論が巻き起こる
The Registerは、Ghostscriptの脆弱性（CVE-2024-29510）がセキュリティ専門家たちの間で議論を巻き起こしていると報じた。CVE-2024-29510に対する各セキュリティベンダーらによる深刻度評価が過小評価されている可能性があるという。（2024/7/10）

セキュリティニュースアラート：
多要素認証アプリ「Authy」の脆弱性によって3300万件以上の電話番号が流出
Twilioは多要素認証アプリ「Authy」の最新アップデートをリリースし、Android版およびiOS版のセキュリティ修正を実施した。同対応は2024年6月下旬に発生したAuthyの脆弱性を原因とした電話番号流出に対処したものだ。（2024/7/6）

JAXA、23年の不正アクセス詳細公表　VPN機器の脆弱性突かれ、Microsoft 365のアカウント情報など盗まれていた
JAXAが昨年の不正アクセスについて説明。VPN機器の脆弱性を狙った攻撃による不正アクセスを受け、職員の個人情報を含む一部の情報が漏えいしていたと発表した。（2024/7/5）

重大な脆弱性だが、悪用は困難：
「OpenSSH」サーバにリモートコード実行の脆弱性、「OpenSSH 9.8p1」で修正
セキュリティベンダーのQualysは、glibcベースのLinuxシステム上の「OpenSSH」サーバ（sshd）に影響する重大な脆弱性（CVE-2024-6387）を発見した。この脆弱性が悪用されると、リモートから認証なしで、root権限で任意のコードを実行される恐れがある。（2024/7/5）

セキュリティニュースアラート：
CocoaPodsにCVSSスコア10.0の脆弱性　広範囲に影響が及ぶ恐れ
E.V.A Information Securityは、CocoaPodsで複数の重大な脆弱性を発見したと伝えた。大手企業や組織のプロジェクト依存に影響し、悪意のあるコード挿入やアカウント乗っ取りのリスクをもたらす可能性がある。（2024/7/4）

AndroidとPixelに7月の月例更新　Pixelのカメラやシステムの改善も
Googleは7月のAndroidおよびPixelの7月版セキュリティ更新を配信開始した。2件の「重大」を含む多数の脆弱性が修正される。Pixelではカメラなどの改善が行われる。（2024/7/3）

車載セキュリティ：
自動車業界に特化、最適化した脆弱性データベースを共同で立上げ
VicOneは、自動車のセキュリティ技術の発展に貢献するNPOであるAutomotive Security Research Groupと共同で自動車業界に特化した脆弱性データベースを立ち上げた。（2024/7/3）

セキュリティニュースアラート：
CVSSスコアは10.0　Juniper Networksの複数製品に重大な脆弱性
Juniper Networksは複数の製品に重大な脆弱性が存在するとして、緊急アップデートを公開した。脆弱性はCVSSスコア10.0と評価されており、注意が必要だ。（2024/7/3）

セキュリティニュースアラート：
OpenSSHにリモートコード実行の致命的な脆弱性　広範囲に影響が及ぶ可能性あり
QualysはOpenSSHサーバに重大な脆弱性があると発表した。この脆弱性は「regreSSHion」と名付けられ「CVE-2024-6387」として特定されている。悪用されるとリモートコード実行の危険性があるため迅速なアップデートが求められる。（2024/7/3）

Google Bare Metal SolutionのゲストVMからホストへの攻撃を試せる：
Google、「KVM」の脆弱性発見に最大25万ドルの報奨金を提供する「kvmCTF」を開始
Googleは、「KVM」のゼロデイ脆弱（ぜいじゃく）性を発見、報告した人に報奨金を提供するプログラム「kvmCTF」を開始した。（2024/7/3）

認証なしでリモートコード実行　OpenSSHに“回帰”した脆弱性「regreSSHion」発覚
セキュリティベンダーの米Qualysは7月1日（現地時間）、SSHソフトウェア「OpenSSH」に重大な脆弱性を発見したと発表した。脆弱性は「regreSSHion」（CVE-2024-6387）と名付けられ、ルート権限で認証なしに任意のコードをリモートで実行できてしまうという。同社によると世界中の1400万台以上のサーバーに影響があるとする。（2024/7/2）

侵入を許すユーザー企業の特徴
「狙われるVPN」の共通点とは？　Check Pointが明かした攻撃の実態
Check Point Software Technologiesによると、同社VPN製品の脆弱性を悪用した攻撃で狙われるユーザー企業には、ある共通点があった。どのようなユーザー企業のVPNが狙われているのか。（2024/7/2）

セキュリティニュースアラート：
C／C++の脆弱性をLLMで検出　Googleが新研究開発プロジェクト「Naptime」を発表
GoogleはLLMを使った新しい研究開発プロジェクト「Naptime」を発表した。NaptimeはC／C++の高度なメモリ破壊やバッファーオーバーフローの脆弱性を発見するのに特化するものだという。（2024/6/28）

セキュリティソリューション：
Microsoft、Defender XDRにCopilot for Securityを統合　脅威インテリジェンスを強化
MicrosoftはDefender XDRにCopilot for Securityを統合した。ユーザーはこれによって脆弱性や脅威分析に関連した質問を自然言語で検索でき、インシデント対応の効率化や省力化に役立てられる。（2024/6/28）

セキュリティニュースアラート：
OSSのAIインフラ「Ollama」にリモートコード実行の脆弱性　急ぎアップデートを
WizはOSSのAIインフラ「Ollama」に重大な脆弱性があると報告した。この脆弱性によって任意のファイルが上書きされリモートコード実行が可能になるため、修正されたバージョン以降にアップデートが推奨されている。（2024/6/27）

Cybersecurity Dive：
Sunburstの悪夢再び？　SolarWindsのファイル転送サービスに深刻な脆弱性
SolarWindsのファイル転送サービス「Serv-U」に脆弱性が見つかった。CVSSスコア8.6と評価されているこの脆弱性は認証されていない攻撃者がサーバの機密ファイルを読み取ることを可能にする。（2024/6/26）

Tech TIPS：
Azure CLIやBicep CLIを最新版にアップデートする方法【Windows OS編】
Azure CLI（azコマンド）やBicep CLIには定期的にアップデートが提供されている。なるべくなら新機能の実装や不具合／脆弱性の修正がなされた最新版を使いたいところだ。そこで、これらを速やかにアップデートする方法と注意点を説明する。（2024/6/26）

JAXA情報流出　「安全」接続目的のVPNが不正アクセスの標的に　脆弱性突かれる
宇宙航空研究開発機構（JAXA）の機密情報がサイバー攻撃で流出したとみられる問題では、外部から内部の業務ネットワークに接続するために使うVPN（仮想専用線）の脆弱性を突かれ、不正アクセスによる内部侵入を許したとされる。（2024/6/21）

Cybersecurity Dive：
Check PointのVPNに関するリスクは“想定以上に深刻”　各ベンダーが調査を公表
Check Point SoftwareのVPNの脆弱性は想定よりもはるかに深刻だという研究結果が公開された。攻撃者はこれを悪用することで脅威の横展開を実施し、これまで公表されていたよりもはるかに多くのファイルにアクセスできる可能性がある。（2024/6/21）

セキュリティニュースアラート：
東芝グループの「経営層を巻き込んだセキュリティ施策」とは？
東芝は2023年度のサイバーセキュリティ報告書を発行した。この報告書はアタックサーフェスの管理や脆弱性対応の強化、経営層向けのメール訓練など、サイバーレジリエンスを強化する取り組みについて記載している。（2024/6/20）

セキュリティニュースアラート：
VMware vCenter Serverなどに複数の脆弱性　深刻度「緊急」もあり対処が必要
VMwareはvCenter ServerおよびCloud Foundationを含む製品に影響する重大な脆弱性への対策を発表した。修正された脆弱性の中には深刻度「緊急」（Critical）と評価されているものもあり、注意が必要だ。（2024/6/20）

「Nデイ攻撃」に注意：
攻撃者は脆弱性公開から約5日で攻撃開始、パッチ適用できるか？　フォーティネット、セキュリティレポート
フォーティネットジャパンは「フォーティネット グローバル脅威レポート 2023年下半期版」を発表した。新しい脆弱性の公開から攻撃者がそのエクスプロイトを利用して攻撃するまでの日数が2023年上半期と比べて43％短縮していた。（2024/6/20）

対象ユーザー企業の保険金請求は急増
Cisco製ツールの“脆弱性”が悪用されたことが明らかに　対象製品は？
Cisco Systems製品の脆弱性が、ArcaneDoorのスパイ活動に悪用されていることが分かった。対策が必要なCisco Systems製品はどれなのか。ArcaneDoorによる攻撃活動の実態とは。（2024/6/20）

セキュリティニュースアラート：
エッジサービスの脆弱性を悪用した大規模エクスプロイトが急増中　ウィズセキュア調査
ウィズセキュアはエッジサービスの脆弱性に関する調査レポートを発表した。調査により、エッジサービスの脆弱性が急増し、ランサムウェア攻撃の主要なベクトルとして成長していることが明らかになった。（2024/6/19）

Cybersecurity Dive：
NISTの脆弱性解析 9割以上が「手つかず」　懸念されるリスク
VulnCheckの調査によると、2024年2月中旬以降にNVDに追加された脆弱性のうち、NISTは10件に1件未満しか分析できていないことが判明した。これによってどのような影響が生じるのだろうか。（2024/6/19）

セキュリティニュースアラート：
ASUSのルーターに重大な脆弱性、修正ファームウェアを公開
ASUSTeK Computerは重大な脆弱性を修正したファームウェアを公開した。影響を受ける製品はZenWiFiやRTシリーズなど多数。ユーザーには迅速なアップデートが強く推奨されている。（2024/6/18）

セキュリティソリューション：
シチズンが選んだセキュリティソリューションとは？　クラウド移行のリスクを軽減
シチズン時計は外部委託してきたペネトレーションテストに限界を感じ、「あるソリューション」の採用に踏み切った。迅速に脆弱性を発見するために同社が選んだソリューションとは。（2024/6/17）

業界別のフィッシング詐欺「ヒット率」が明らかに　高リスク業界はどこか
KnowBe4はフィッシング詐欺に対する脆弱性を分析する2024年度版レポートを発表した。どの業種が危険なのか。（2024/6/17）

セキュリティニュースアラート：
Fortinetの脆弱性を悪用　中国が支援するサイバースパイ活動は「思っていたよりも広範囲」
オランダ国立サイバーセキュリティセンターは、中国当局が支援しているとみられる脅威アクターのサイバースパイ活動が、「これまで考えられていたよりも広範囲に影響を与えている」と警告した。具体的にどの程度の影響を及ぼしているのか。（2024/6/14）

クラウドに潜む10大脆弱性【前編】
AWSやAzureのクラウドが危険になるのは「ユーザーの知識不足」のせい？
「Amazon Web Services」（AWS）などのクラウドサービスを利用する際、ベンダーは全てを守ってくれるわけではない。ユーザーが知っておくべき、クラウドサービスの脆弱性とは。（2024/6/13）

Pixelに6月のセキュリティ更新　「悪用を受けている可能性」のある脆弱性を含む50件に対処
Googleは、Pixelの月例セキュリティ情報の6月版を公開した。重大度最大の7件を含む50件の脆弱性に対処した。重大度は「高」だが悪用された可能性のある脆弱性にも対処した。（2024/6/12）

セキュリティニュースアラート：
Windows OSにインストールされている全てのPHPに影響　緊急度「Critical」の脆弱性が発覚
PHPに重大なセキュリティ脆弱性が存在することが発覚した。この欠陥はWindows OSにインストールされている全てのバージョンのPHPに影響する。（2024/6/12）

複数のCisco製品に影響
Cisco製ツールに「PoCコードも公開」の脆弱性　要注意の製品は？
Cisco Systemsの複数製品に関係する管理ツールに重大な脆弱性が見つかった。悪用するプログラムも公開されており、同社はユーザー企業に注意を呼び掛けた。対策を講じなければならないのはどの製品なのか。（2024/6/12）

セキュリティニュースアラート：
複数のAzureサービスに深刻な脆弱性が見つかる　推奨される対策は？
Tenableが複数のAzureサービスに深刻な脆弱性があると報告した。これによって、攻撃者はサービスタグを利用してファイアウォールルールを回避できる可能性がある。（2024/6/8）

管理者権限で侵入のリスク
パロアルトの「PAN-OS」が危険な状態に　脆弱性の“影響範囲”は？
Palo Alto Networksのソフトウェア「PAN-OS」の欠陥が見つかり、ユーザー企業が攻撃を受けるリスクが高まっている。影響を受けるPAN-OSのバージョンはどれなのか。（2024/6/7）

Android、6月の月例更新で「致命的」3件を含む40件の脆弱性に対処（Pixelはまだ）
Googleは、Androidの月例セキュリティ情報の6月版を公開した。「致命的」を含む40件の脆弱性に対処する。Pixelの月例更新は同時ではなかった。（2024/6/4）

最新のGitバージョンにアップグレードを推奨：
Gitに見つかった5つの新たな脆弱性　GitHubが注意喚起
GitHubは最新の「Git」バージョンv2.45.1で修正された5つの脆弱性について注意を促した。（2024/6/3）

セキュリティニュースアラート：
Check Pointの複数のリモートVPN製品に重大な脆弱性　機密情報にアクセスされる恐れ
Check Point Software Technologiesは、同社の複数のリモートアクセスVPN製品に重大な脆弱性があると報告した。この脆弱性は悪用されると、機密情報にアクセスされるリスクがある。（2024/6/3）

セキュリティニュースアラート：
「Fortinet FortiSIEM」にCVSS v3.1スコア10の脆弱性　初期パッチで修正漏れ　ただちに確認を
「Fortinet FortiSIEM」にCVSS v3.1のスコア10.0脆弱性が見つかった。初期の修正パッチは不十分で類似のセキュリティ脆弱性に対して対応できていなかったと指摘した。簡単に脆弱性を悪用できるため注意が必要だ。該当する製品を使用している場合には確認を行うことが望まれる。（2024/5/30）

「最高レベルセキュリティ備える」はずのMITREはなぜ侵入されたか？　調査結果が発表
MITREはサイバー攻撃調査結果と防衛策を発表した。不正アクセスはIvantiの脆弱性を利用しNERVEネットワークに侵入したものだった。攻撃者はセッションハイジャックやRDPを使って内部システムに接続し永続的なバックドアを設置している。（2024/5/28）

2024年度末にはECサイト脆弱性診断の義務化もある：
サイバー攻撃手法のトレンドはどう変わった？　ITRが国内Webアプリケーション脆弱性管理市場を予測
ITRは、国内Webアプリケーション脆弱性管理市場規模の推移と予測を発表した。2022年度の売上金額は、対前年度比21.6％増の27億6000万円。2022〜2027年度の年平均成長率を15.0％と見込み、2027年度の売上金額は55億6000万円に達すると予測する。（2024/5/28）

半径300メートルのIT：
ルーターは“消耗品”と心得よ　脅威から身を守るための製品選定のコツ
ルーターを“交換不要で使い続けるもの”と考えていると、脆弱性が生まれてサイバー攻撃の被害に遭ってしまう可能性があります。そこでこれを消耗品と捉えて定期的に買い替える必要がありますが、その際の製品選定のポイントは何でしょうか。（2024/5/28）

Cybersecurity Dive：
ランサムウェアグループ「Black Basta」は重要インフラ組織をもてあそんでいる
ランサムウェアグループBlack Bastaは、全世界で500以上のターゲットに影響を与え、重要インフラ業界の大部分に影響を及ぼしている。多くの攻撃は、ConnectWise ScreenConnectの脆弱性を悪用しているという。（2024/5/27）

セキュリティニュースアラート：
OSS狙いのサプライチェーン攻撃に対処　脅威インテリジェンス共有プラットフォーム「Siren」発表
OpenSSFはOSSプロジェクト向けの脅威インテリジェンス共有プラットフォーム「Siren」を発表した。Sirenはサイバー攻撃に関連する情報を共有し、OSSの脆弱性に対する迅速な対応を可能にする。（2024/5/23）

セキュリティニュースアラート：
全てのWi-Fiクライアントが影響を受ける可能性　「SSID混乱攻撃」の脅威
Top10VPNはWi-FiのSSID認証欠如による「SSID混乱攻撃」の脆弱性を報告した。この脆弱性は全てのWi-Fiクライアントに影響を及ぼす可能性があり、IEEE 802.11標準の設計上の問題とされている。（2024/5/21）

株式会社ビットフォレスト提供Webキャスト
脆弱性診断の内製化を阻む3つの壁を解消、失敗／成功事例に学ぶ実践のポイント
サイバー攻撃のリスクが高まる昨今、WebサイトやWebアプリケーションに対する脆弱性診断の重要性が高まっている。しかし、脆弱性診断を外注するとなると費用も期間もかかり過ぎてしまう。そこで注目されているのが、脆弱性診断の内製化だ。（2024/5/20）

セキュリティニュースアラート：
「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱性　急ぎ対処を
Fortinetは「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに脆弱性があることを報告した。これを悪用されるとIPアドレスを偽装してセキュリティ制御を回避する可能性がある。（2024/5/17）

GoFetch攻撃の手口と対策【後編】
秘密鍵が盗まれる「Appleシリコンの脆弱性」は修正困難……苦肉の策とは？
Macから秘密鍵を盗み取る攻撃「GoFetch」は、SoC「M」シリーズの脆弱性を突くものだ。この脆弱性はマイクロアーキテクチャの欠陥に起因するため、簡単に修正する方法はないという。どのような対策があるのか。（2024/5/17）

Cybersecurity Dive：
MITREがサイバー攻撃に遭う　攻撃者はIvantiのVPN製品のゼロデイ脆弱性を悪用か
脅威フレームワーク「MITRE ATT＆CK」などを提供するMITREは、Ivanti Connect Secureのゼロデイ脆弱性を悪用したサイバー攻撃を受けた。攻撃者はどのようにして多要素認証を回避したのだろうか。（2024/5/16）

セキュリティニュースアラート：
SSHクライアント「PuTTY」に重大な脆弱性　秘密鍵を窃取できる可能性あり
Windows向けSSHクライアントである「PuTTY」に重大な脆弱性が見つかった。これを悪用された場合、署名付きメッセージから秘密鍵を窃取できる可能性がある他、影響範囲はPuTTYだけでなく関連ツールや鍵ペアにも及ぶという。（2024/5/14）

求められる“緊急の脆弱性対策”
Fortinetユーザーが“無防備”に　「SQLインジェクション」の影響範囲は？
Fortinet製品に重大な脆弱性が見つかった。どのような脆弱性で、どの製品が影響を受けているのか。ユーザー企業に求められる対策は。（2024/5/14）

ある調査で分かった脅威の実態【後編】
脆弱性の中でも「本当に危ない」のは“あれ”　Googleが指摘
攻撃に悪用され得る脆弱性について企業は広く注意を払わなければならないが、その中でも特に警戒すべき脆弱性がある。Googleが「特に危険」と指摘する脆弱性とは。（2024/5/13）

Cybersecurity Dive：
PAN-OSのゼロデイ脆弱性の悪用が増加中　Palo Alto Networksが警告
PAN-OSに見つかったCVSSスコア10.0のゼロデイ脆弱性に関連する悪用や攻撃の試みは、概念実証が公開された後に増加した。（2024/5/12）

セキュリティニュースアラート：
FIDO2認証をバイパスされる脆弱性　セキュリティ研究者が複数のユースケースを検証
Silverfortは、FIDO2認証が中間者攻撃によってバイパスされる可能性があると発表した。同社は複数の認証ツールでこの脆弱性を検証し、どうすればバイパスできるかを解説した。（2024/5/10）

GoFetch攻撃の手口と対策【前編】
Macから秘密鍵が盗まれる「Appleシリコン」の脆弱性とは
Mac用のSoC「M」シリーズの脆弱性を悪用して秘密鍵を取得する「GoFetch」という攻撃の手法を、米国の学術研究グループが発見した。どのような脆弱性なのか。（2024/5/10）

Innovative Tech：
中国語のスマホ標準キーボードアプリでキー入力が盗まれる脆弱性　攻撃対象は“10億人規模”と試算
カナダのトロント大学にある研究機関「Citizen Lab」は、中国で広く利用されているキーボードアプリに関する最新の調査報告を公開した。報告書によると、中国の主要なクラウドベースのスマホキーボードアプリに脆弱性が認められたという。（2024/5/9）

Pixelにも5月の月例更新　バグ修正と改善もあり
GoogleはPixel向けの5月の月例セキュリティ情報を公開した。前日公開のAndroid向けに加え7件の脆弱性に対処する。バグ修正と改善も2件ある。（2024/5/8）

Android、5月の月例更新で「致命的」1件を含む29件の脆弱性に対処（Pixelはまだ）
Googleは、Androidの月例セキュリティ情報の5月版を公開した。重大度が「致命的」1件を含む29件の脆弱性に対処する。このセキュリティ更新はPixel Watchでも実施される。（2024/5/7）

セキュリティニュースアラート：
2023年に最も狙われたリモートデスクトップツールは？
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。（2024/5/7）

ある調査で分かった脅威の実態【前編】
Googleが調査、「ゼロデイ攻撃」増加の背景に“あの商用ツール”
Googleによると、パッチが提供されていない脆弱性を悪用する「ゼロデイ攻撃」が、2023年に再び増加傾向に転じた。その背景には、“ある商用ツール”の存在がある。（2024/5/7）

セキュリティニュースアラート：
プログラミング言語「R」に任意コード実行の脆弱性　悪用の可能性あり更新を
プログラミング言語「R」に脆弱性「CVE-2024-27322」が存在すると報じられた。この脆弱性は安全ではないデータシリアライゼーションにより生じ、システム上で任意のコードが実行される可能性がある。（2024/5/2）

Cybersecurity Dive：
NVDは多くの課題を抱えて機能不全に陥っている　問題点を整理しよう
NISTが運営する脆弱性データベース「National Vulnerability Database」（NVD）は、過剰な負担によって機能不全に陥っている。この負債によってユーザーにはどのような不利益が生じるのか。問題点を整理した。（2024/4/27）

Cybersecurity Dive：
Microsoft、脆弱性の開示に向けて業界標準の体系を採用　大改革がもたらすメリット
MicrosoftはCommon Weakness Enumeration（共通脆弱性列挙）という業界標準の体系を使用して脆弱性を分類すると発表した。これによって事業者たちにはどのような変化やメリットが生じるのか。（2024/4/27）

セキュリティニュースアラート：
Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性　マルウェア検出機能を悪用
Microsoft DefenderとKaspersky EDRにリモートからのファイル削除を可能とする脆弱性が見つかった。この問題はセキュリティソフトウェアのマルウェア検出機能が悪用されている他、問題の完全な解決は困難だと研究者は指摘している。（2024/4/24）

変更が必要な場合と必要でない場合を整理：
パスワードの定期的な変更はリスク軽減につながるわけではない　アカウントを安全に保つには？
ESETは公式ブログで、安全にサービスを利用できるパスワードの変更頻度について解説した。パスワードを定期的に変更するだけではセキュリティの脆弱性を減少させる効果があまりなく、パスワードマネージャーと二要素認証の活用が重要だとしている。（2024/4/23）

セキュリティニュースアラート：
WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性　急ぎ対処を
JPCERT/CCは、WordPress用プラグイン「Forminator」に複数の脆弱性が存在すると伝えた。これらの中にはCVSS 9.8に分類されるものも含まれるため注意が必要だ。（2024/4/23）

セキュリティニュースアラート：
Javaは他のプログラミング言語と比較してどのくらい危険なのか？　Datadog調査
Datadogは「State of DevSecOps 2024」と題された分析レポートを公開した。Javaは他のプログラミング言語と比較してサードパーティーの脆弱性によるリスクが高いことが明らかになっている。（2024/4/22）

IoTセキュリティ：
景気減速でソフト開発の脆弱性対応が後手に？ SBOM整備の取り組みも足踏みか
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2024 オープンソース・セキュリティ＆リスク分析（OSSRA）レポート」の結果について説明した。（2024/4/19）

セキュリティニュースアラート：
IvantiがAvalanche 6.4.3をリリース　CVSS 9.8の深刻な脆弱性を修正
IvantiはMDMソリューション「Avalanche」のバージョン6.4.3をリリースした。今回のアップデートは2件の重大な脆弱性を含む27件の問題に対処した。修正された脆弱性の中にはシステムへの不正アクセスを許す可能性のあるものが含まれている。（2024/4/19）

バッファロー製Wi-Fiルーターに脆弱性　IPAなどが注意呼び掛け　「最新版ファームウェアへ更新を」
バッファロー製Wi-Fiルーターに複数の脆弱（ぜいじゃく）性が判明した。対象となる製品を使用している場合、ファームウェアを最新版にアップデートする必要がある。（2024/4/18）

バッファロー製Wi-Fiルーターに脆弱性　対象機種は今すぐファームウェア更新を
バッファローが過去に販売したWi-Fiルーターに「警告」レベルの脆弱性が報告された。ファームウェアを最新版にすれば解消できるので、対象機種を使っている場合は急ぎ確認したい。（2024/4/17）

セキュリティニュースアラート：
PHPやRust、Node.jsなどで引数処理の脆弱性を確認　急ぎ対応を
JPCERT/CCは複数のプログラミング言語や実行環境で、Windows環境におけるコマンド実行処理での脆弱性を公表した。この脆弱性は不適切なエスケープ処理によってコマンドインジェクションを引き起こす可能性がある。（2024/4/17）

セキュリティニュースアラート：
PAN-OSにCVSS v4.0「10.0」の脆弱性　特定の条件で悪用が可能に
セキュリティに特化したPalo Alto Networks製のOS「PAN-OS」に脆弱性が見つかった。CVSS v4.0スコア10.0、深刻度「緊急」（Critical）に分類されているため、迅速な対応が求められる。（2024/4/16）

攻撃の成立条件は限定的：
Windows環境でコマンドインジェクションを引き起こす脆弱性、複数のプログラミング言語に影響
Flatt Securityは、複数のプログラミング言語に存在する、Windows環境でコマンドインジェクションを引き起こす脆弱性に関する解説を公式ブログの英語版で公開した。（2024/4/16）

Cybersecurity Dive：
企業向けソフトウェアの脆弱性を狙う攻撃が“爆増”　特に注意すべきものは
Recorded Futureは、企業のソフトウェアやVPNなどのネットワークインフラにおいて、高リスクの脆弱性が積極的に悪用されるケースが約3倍に増加していると報告した。（2024/4/14）

セキュリティニュースアラート：
Rustの標準ライブラリにCVSS 10.0の脆弱性　任意のシェルコマンドを実行されるリスク
Rustセキュリティレスポンスワーキンググループは、Rustの標準ライブラリに脆弱性（CVE-2024-24576）が存在すると報告した。サイバー攻撃者が任意のシェルコマンドを実行できる可能性がある。（2024/4/12）

無線LANルーター「Aterm」シリーズの一部に複数の脆弱性　設定変更や買い替えをアナウンス
NECプラットフォームズの無線LANルーター「Aterm」製品の一部に、複数の脆弱（ぜいじゃく）性があることが明らかになった。（2024/4/11）

ChatGPTプラグインではなく、GPTsの利用を推奨：
「ChatGPTプラグイン」の脆弱性についてセキュリティ研究者が開発者に警告
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。（2024/4/10）

NEC「Aterm」シリーズ59製品に脆弱性　IPAなどが注意呼びかけ　設定変更や買い替えを
NECのWi-Fiルーター「Aterm」シリーズの59製品に複数の脆弱（ぜいじゃく）性が判明した。対象となる製品を使用している場合、管理者パスワードや暗号化キーの変更、設定の変更などの対処をする必要がある。（2024/4/9）

セキュリティニュースアラート：
シスコの中小企業向けルーターにXSSの脆弱性　アップデート提供はなし
Ciscoはスモールビジネス向けルーターにクロスサイトスクリプティングの脆弱性が見つかったと報告した。この問題はWeb管理インタフェースの不十分な入力検証に起因しており、攻撃者による不正利用の可能性がある。（2024/4/9）

GitHub CopilotとCodeQLを活用：
GitHubが脆弱性のあるコードの修正機能β版を「GitHub Advanced Security」利用者に提供開始
GitHubは「GitHub Advanced Security」の利用者を対象に、コードスキャン自動修正機能パブリックβ版の提供を開始した。「JavaScript」「TypeScript」「Java」「Python」に対応しており、脆弱性のないコード案を生成する。（2024/4/9）

セキュリティニュースアラート：
D-Link製NASデバイスに脆弱性　9万2000台に影響
D-Linkはセキュリティ研究者の指摘を受け、サポート終了したネットワーク接続ストレージ製品に脆弱性があると報告した。（2024/4/9）

まずは可視化から：
PR：工場内の機器が外部から見えてしまう　工場向けのセキュリティ強化策とは
ITシステムと産業制御システムとの連携が進んでいる。OT環境がインターネットに開かれた結果、これまで問題になっていなかった脆弱性がサイバー攻撃の対象になってしまった。どのように対応すればよいのだろうか。（2024/4/5）

Innovative Tech：
多くのベンダーの「メールフィルタリング」に設定ミス　サイバー攻撃の原因にも　米研究者らが調査
米カリフォルニア大学サンディエゴ校と米シカゴ大学に所属する研究者らは、クラウドベースのメールフィルタリングサービスの脆弱性を指摘した研究報告を発表した。（2024/4/8）

無償セルフCVEスキャンレポートを提供中：
PR：出荷後の組込Linux製品のセキュリティ不安を解消する支援サービスとは？
組込みLinuxを使用した機器では、膨大な共通脆弱性識別子（CVE）への対応が迫られるなどセキュリティやメンテナンスの課題がある。課題に対処するリソースも問題だ。これらの課題を解決するサービスに大きな注目が集まっている。（2024/4/9）

Cybersecurity Dive：
脆弱性の悪用をいつ公表すべきか　情報開示ポリシーを巡るさまざまな主張
JetBrainsは重大な脆弱性の提供時期や詳細について、Rapid7の研究者と公然と論争している。情報開示ポリシーについて、2社の意見が真っ向からぶつかっている。（2024/4/6）

セキュリティニュースアラート：
SolarWindsのネットワーク管理ツールに「緊急」の脆弱性　急ぎ対処を
Zero Day InitiativeはSolarWinds Access Rights Managerに重大な脆弱性があると報じた。この脆弱性は認証せずに悪用可能で、CVSSスコア値「9.6」が付けられている。（2024/4/4）

PixelとPixel Watchにも4月の月例更新　カメラ関連のバグも修正
Googleは、PixelとPixel Watchの4月のアップデートの配信を開始した。Pixelでは多数の脆弱性修正といくつかのバグ修正を、Pixel Watchでは新機能追加と機能改善を行った。（2024/4/3）

セキュリティニュースアラート：
WinRARの脆弱性を利用して新型バックドアを仕込む攻撃キャンペーンに要注意
BI.ZONEは脅威アクターMysterious Werewolfによる新しいサイバー攻撃キャンペーンを報告した。WinRARの脆弱性を利用し、Telegram経由のRingSpyバックドアの感染を狙うことが明らかにされている。（2024/4/3）

セキュリティニュースアラート：
Linuxカーネルに特権昇格の脆弱性　急ぎ確認とアップデートを
NSFOCUSはLinuxカーネルの特権昇格の脆弱性（CVE-2024-1086）について詳細情報とPoCツールが公開されたとし、影響を受けるユーザーに対して修正されたバージョンへの迅速なアップデートを呼びかけた。（2024/4/3）

Innovative Tech：
Appleの“Mシリーズチップ”から秘密鍵を盗む攻撃「GoFetch」　米研究者らが発表
イリノイ大学アーバナ・シャンペーン校やテキサス大学オースティン校などに所属する米研究チームは、AppleのMシリーズチップなどの脆弱性を用いて秘密鍵を復元するサイドチャネル攻撃を提案した研究報告を発表した。（2024/4/3）

セキュリティニュースアラート：
Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性　悪意あるコードが挿入か
Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。（2024/4/2）

Android、4月の月例更新で「致命的」1件を含む28件の脆弱性に対処（Pixelはまだ）
Googleは4月1日、Anddroidの月例セキュリティ情報の4月版を公開した。重大度が「致命的」1件を含む28件の脆弱性に対処する。Pixel版はまだ公開されていない。（2024/4/2）

ランサムウェア攻撃者は妨害行為を増加させている：
攻撃手法はbotネットから脆弱性の悪用へ　ランサムウェア攻撃の状況をSymantecが解説
Broadcomは、2023年のランサムウェア攻撃の状況をSymantec公式ブログで明らかにした。2023年第4四半期にランサムウェアの攻撃数は20％強減少したにもかかわらず、ランサムウェアの活動は引き続き増加傾向にあるという。（2024/4/2）

週末の「気になるニュース」一気読み！：
NVIDIAのAIチャットbot「ChatRTX」に複数の脆弱性／ARM版に最適化されたGoogle Chromeが登場
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、3月24日週を中心に公開された主なニュースを一気にチェックしましょう！（2024/3/31）

Cybersecurity Dive：
CI/CDツール「TeamCity」に新たに2つの脆弱性　修正版リリースも批判の声
JetBrainsのCI/CDツール「TeamCity」に新たに2つの脆弱性が見つかった。同社はこれを受けて早期に修正版をリリースしたが、この対応が批判された。一体なぜだろうか。（2024/3/31）

Cybersecurity Dive：
ConnectWise ScreenConnectにCVSS10.0の脆弱性　サイバー攻撃者の悪用を確認
リモートアクセスツールConnectWise ScreenConnectに見つかった2つの脆弱性は、ランサムウェアグループによって積極的に悪用されている。脆弱性のうち一つはCVSSスコアが10.0と評価されている。（2024/3/30）

セキュリティソリューション：
NTTテクノクロス、SBOM導入・運用支援のコンサルティングサービスを発表
NTTテクノクロスはソフトウェアの脆弱性管理に役立つSBOMの導入と運用を支援するコンサルティングサービスを開始する。このサービスはSBOMの作成支援や脆弱性情報の管理支援が含まれている。（2024/3/28）

Apple、「詳細は近日公開予定」としていたセキュリティ更新の詳細を公開
Appleは、iOS 17.4.1などの一連のOSのセキュリティアップデートの際に「詳細は近日公開予定」としていた詳細を4日後に公開した。いずれも画像処理関連の脆弱性で、問題は解決したとしている。（2024/3/27）

個情委、ランサムウェアで約1カ月停止の社労士向けクラウド提供元に指導　「管理者権限のパスワード類推可能」「深刻な脆弱性が残存」【お詫びと訂正】
個人情報保護委員会が、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム（大阪市）に対し、個人情報保護法に基づく指導を行ったと発表した。（2024/3/25）

Cybersecurity Dive：
Ivanti製品の脆弱性についてCISAが調査を公表　一部Ivanti社の主張と食い違い
IvantiはCISAの調査結果の一部に反発しており、顧客が推奨される緩和策に従った場合、ハッカーは永続的なアクセスを得ることができなかったと主張している。（2024/3/24）

Cybersecurity Dive：
バイデン政権、メモリ安全性の高いプログラミング言語の採用を呼びかけ
重大な脆弱性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語をソフトウェアに採用する傾向が強まっている。（2024/3/24）

この頃、セキュリティ界隈で：
生成AIの弱点が相次ぎ発覚　ChatGPTやGeminiがサイバー攻撃の標的に　情報流出や不正操作の恐れも
米OpenAIの「ChatGPT」やGoogleの「Gemini」など、主要生成AIの弱点や脆弱性が次々に発覚している。（2024/3/22）

「C」「C++」よりも「Rust」などの言語を推奨：
「ソフトウェアはメモリ安全でなければならない」との声明を発表、米ホワイトハウス
米ホワイトハウスは、サイバー空間における攻撃対象領域を積極的に削減するよう技術コミュニティーに呼びかける報告書を発表した。ONCDは、IT企業がメモリ安全なプログラミング言語を採用することで、あらゆる種類の脆弱性がデジタルエコシステムに侵入するのを防ぐことができるとして、協力を呼びかけた。（2024/3/18）

QNAP製NASなどに複数の脆弱性が発見　最新アップデートの適用を推奨
QNAPは、同社製NASに採用するOS「QTS」などにおける複数の脆弱性についての告知を行った。（2024/3/12）

セキュリティニュースアラート：
Fortinetの脆弱性を放置している約15万台のサーバが見つかる
The Shadowserver Foundationはリモートコード実行可能な脆弱性を抱えたまま運用されているサーバの調査結果を発表した。放置されたままになっている脆弱性が明らかになった。（2024/3/12）

抽選でAmazonギフトカードが当たる
「PCのパッチ更新運用および利用ソフトウェアの脆弱性対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2024/3/11）

Cybersecurity Dive：
脆弱性報告を無視したIvanti　パッチ適用時に新たな脆弱性を生んでしまう
Ivantiのリモートアクセスツールに新たな脆弱性が見つかった。この脆弱性はセキュリティ企業から報告を受けたことで発覚したが、Ivanti当初、この発見を信用しなかった。（2024/3/9）

検証！　Microsoft＆Windowsセキュリティ（11）：
「セキュアブートのセキュリティ機能のバイパスの脆弱性」対策、2024年10月の強制施行フェーズに備える
Microsoftは2023年5月以降、セキュアブートのセキュリティ機能がバイパスされる脆弱性（CVE-2023-24932）への対策を段階的に進めています。2024年10月には、その対策は“強制施行フェーズ”となり、セキュアブートが有効な、サポート中のWindowsの全バージョンに対して脆弱性緩和策が強制されます。その影響と現時点でできる備えをまとめました。（2024/3/8）

Innovative Tech：
生成AIに“アスキーアート”入りプロンプト入力→有害コンテンツ出力　米研究者らが新手の脱獄法発見
米ワシントン大学などに所属する研究者らは、大規模言語モデル（LLM）がアスキーアートを正しく認識できないという脆弱性を利用して、LLMに有害なコンテンツを出力させる新しいジェイルブレーク（脱獄）攻撃を提案した研究報告を発表した。（2024/3/7）

“典型的やられサイト”で学ぶセキュリティのワナ：
キャッシュからダメな情報が見えちゃうよ！　見逃しがちなWebアプリの落とし穴
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。（2024/3/6）

「iOS 17.4」配信開始　Podcastの文字起こしや新絵文字など新機能も追加
Appleは「iOS 17.4」の配信を開始した。欧州ではデジタル市場法（DMA）対策が追加される。日本語は未対応だが、Podcastの書き起こし機能や新しい絵文字などの新機能が追加され、重要な脆弱性修正も行われる。（2024/3/6）

AndroidとPixelに3月の月例更新　Pixel 7／7 Proでも「かこって検索」が可能に
GoogleはAndroidおよびPixelの月例更新の配信を開始した。多数の「致命的」を含む脆弱性が修正される。Pixelではいくつかの新機能の追加や、バグ修正と改善も行われる。（2024/3/5）

Python、JavaScript、Go、GitHub Actionに対応：
GitHub、脆弱性のあるリポジトリの修正でセキュアコーディングを学ぶ「Secure Code Game」シーズン2を開始
GitHubはセキュアコーディングをゲーム感覚で学ぶことができる「Secure Code Game」シーズン2の提供を開始した。（2024/3/4）

セキュリティニュースアラート：
OutlookにCVSS 9.8、「緊急」の脆弱性　急ぎアップデートの適用を
MicrosoftはOutlookにCVSSスコア9.8の脆弱性が存在すると伝えた。この脆弱性を悪用する動きが確認されたため、早急なアップデートの適用が望まれる。（2024/2/28）

ITmedia Security Week 2023 冬：
登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配
2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構（IPA）サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。（2024/3/7）

セキュリティニュースアラート：
過信は禁物　生成AIが書いたソースコードの約3割に脆弱性が見つかる
調査からアプリケーションのソースコードの約7割に脆弱性が含まれていることが明らかになった。また、生成AIが書いたソースコードにも脆弱性が含まれているケースがあるようだ。（2024/2/26）

Cybersecurity Dive：
Ivantiから2つのゼロデイ脆弱性に対するパッチがリリース　攻撃者の悪用進む
Ivanti Connect SecureとIvanti Policy Secureに深刻度の高い脆弱性が2件存在することが分かった。サイバー攻撃者はこれらのゼロデイ脆弱性をつなぎ合わせて、悪質なWebシェルで数千台のデバイスを侵害した。（2024/2/24）

「生成AIを使ったシステムには特有の脆弱性がある」：
「プロンプトインジェクション」「ジェイルブレイク」など5項目を診断　生成AI診断サービスをラックが提供開始
ラックは、生成AIシステムのセキュリティを強化するサービス「生成AI活用システム リスク診断」の提供を開始した。生成AIを使ったシステムに特有の脆弱性が含まれていないかどうかを評価し、改善点をレポートする。（2024/2/22）

セキュリティニュースアラート：
脆弱性に優先度を付けるツール「CVE_Prioritizer」　CVEやCVSSなど複数の評価指標を分析
脆弱性対応が求められる昨今、どの脆弱性に優先的に対処するかは悩ましい問題だ。これを解消する新たなツールが公開されている。（2024/2/21）

セキュリティニュースアラート：
23億人のユーザーが影響を受ける可能性　Wi-Fiソフトウェアに2つの脆弱性
Top10VPNはOSSのWi-Fiソフトウェアに新たな2つの脆弱性があると報じた。この脆弱性はエンタープライズと自宅のWi-Fiネットワークに影響を与えるとされている。（2024/2/20）

セキュリティニュースアラート：
「DNSに対する最悪の攻撃」　DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。（2024/2/19）

週末の「気になるニュース」一気読み！：
NVIDIAがPC上のデータを使うAIチャットbotツール「Chat with RTX」公開／AMD製CPUに複数の脆弱性
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、2月11日週を中心に公開された主なニュースを一気にチェックしましょう！（2024/2/18）

Cybersecurity Dive：
MOVEitのゼロデイ脆弱性の余波は続く　開発ベンダーが直面する苦難
Progress SoftwareはMOVEitの脆弱性について政府による複数の調査が進行中であることを明らかにした。また同社は、100件以上の集団訴訟の当事者でもある。（2024/2/18）

Cybersecurity Dive：
またファイル転送サービスに脆弱性　GoAnywhereの約800のインスタンスがパッチ未適用
ファイル転送管理ソリューション「GoAnywhere MFT」に脆弱性が見つかり、約800のインスタンスにパッチが未適用であることが判明した。（2024/2/17）

セキュリティニュースアラート：
SmartScreenにゼロデイ脆弱性　これを悪用した巧妙なサイバー攻撃も確認
Trend MicroはAPTグループ「Water Hydra」がMicrosoft Defender SmartScreenのゼロデイ脆弱性を悪用してサイバー攻撃を実行していると伝えた。脆弱性の詳細と攻撃者が使う巧妙な手口とは。（2024/2/16）

セキュリティニュースアラート：
FortiOSに新たなセキュリティリスク　CVSS v3スコア9.6で深刻度「Critical」
FortinetはFortiOSのセキュリティ脆弱性CVE-2024-21762を公表した。この脆弱性はsslvpndに存在し、CVSS v3で緊急度「Critical」スコア9.6と評価された。対象製品は幅広いバージョンに及び、未承認コード実行のリスクがある。（2024/2/14）

キーサイトがデモを披露：
V字モデルの「評価フェーズ」で車両サイバーセキュリティテストが可能に
キーサイト・テクノロジーは2024年1月に開催された「第16回 オートモーティブ ワールド」で、車両サイバーセキュリティの脆弱性を早期に特定するテストソリューション「Automotive Cybersecurity Test Platform」のデモを行った。車両サイバーセキュリティの国際基準である「UN-R155」のレポートを作成できるテスト管理ソフトウェアと連携することで、自動車のサイバーセキュリティテストを包括的にサポートする。（2024/2/13）

“典型的やられサイト”で学ぶセキュリティのワナ：
対策できてる？　Webアプリの「アップロード機能」に潜む、見落としがちなワナの数々
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。（2024/2/13）

セキュリティニュースアラート：
Cisco ExpresswayにCVSS9.6の脆弱性　回避策はないため急ぎアップデートを
CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」（Critital）と評価されている。（2024/2/13）

これで分かる「DevSecOps」の課題と解決【第4回】
知らないと損する「RASP」とは？　「Webアプリの脆弱性対策＝WAF」はもう古い
Webアプリケーションの脆弱性対策として、広く利用されている「WAF」。実はWAFは、幾つかの問題を抱えている。それらの課題を解消した新たな手段である「RASP」の特徴とは。（2024/2/19）

Cybersecurity Dive：
なぜMOVEitからファンは離れなかったのか？　見切りを付けられるベンダーの特徴
2023年、Progressが提供するファイル転送サービス「MOVEit」にゼロデイ脆弱性が見つかり、これに関連した多くのサイバー攻撃が発生した。しかし同社の顧客維持率は安定したままだ。一体なぜだろうか。（2024/2/11）

Cybersecurity Dive：
Citrixの新たな頭痛の種　2つのゼロデイ脆弱性が見つかる
Citrixは2つのゼロデイ脆弱性を公開した。これらはCitrixBleedとは無関係であるとされているが、同社はシステムを保護するために直ちに修正プログラムを適用するよう呼び掛けている。（2024/2/10）

セキュリティソリューション：
脆弱性管理ツールSnykのライセンス販売から導入、運用支援までをワンストップで提供
日立システムズエンジニアリングサービスはSnykとリセラー契約を締結し、Snykの脆弱性管理ツールの販売と導入・運用支援を国内で開始すると発表した。（2024/2/8）

ソースコードがなくても脆弱性を検出可能：
「バイナリコードの静的解析」によって検査効率を40％向上させる技術をNECが開発
NECはソフトウェアに潜む脆弱性を、実行ファイルのバイナリコードから検出する技術を開発した。外部から入力されたデータがソフトウェア内のどの処理で使われているかを追跡し、脆弱性や不正機能などを検出する。（2024/2/8）

セキュリティニュースアラート：
Dockerとruncに4つの脆弱性が見つかる　悪用でホストOSにアクセスされるリスク
SynkはDockerとruncに「Leaky Vessels」という脆弱性が存在すると発表した。Leaky Vesselsは4つの脆弱性で構成されており、悪用されるとサイバー攻撃者がコンテナを越えてホストOSにアクセスするリスクがある。（2024/2/7）

「runc」「BuildKit」「Moby」に関連する脆弱性：
「Docker Desktop」に6件の脆弱性、Dockerがv4.27.1への「すぐに更新」を強く推奨
Dockerは、v4.27.0までの「Docker Desktop」に影響する6件の脆弱性を公表し、これらを修正したDocker Desktop v4.27.1を公開した。（2024/2/7）

AndroidとPixelに2月の月例更新　「Pixel Fold」のディスプレイ問題も修正
Googleは、AndroidおよびPixelの月例アップデートを公開した。Androidでは危険度「致命的」1件を含む46件の脆弱性を修正する。Pixelでは複数のバグ修正と改善も行われる。（2024/2/6）

IoTセキュリティ：
静的テストだけではなくならない脆弱性、多層的テスト手法が大きな効果
日本シノプシスが、同社が行ったソフトウェア脆弱性に関する調査レポートについて説明。ソフトウェアやアプリケーションから脆弱性が検出される割合が2020年の97％から2022年には83％となり、減少傾向にあることが分かった。（2024/2/5）

脆弱性が解消しない「Microsoft Outlook」【後編】
Microsoftがパッチを出しても「Outlook」の脆弱性が解消しない“根本的な問題”
Microsoft Outlookの脆弱性が相次いで発見されている。同製品の脆弱性を調査するAkamaiによると、同製品の脆弱性が解消しない背景には、“ある機能”が関係しているという。その機能とは何か。（2024/1/31）

セキュリティニュースアラート：
Jenkinsに「緊急」の脆弱性が見つかる　急ぎアップデートを
SonarSourceはJenkinsに重大な脆弱性を発見した。これらは「CVE-2024-23897」「CVE-2024-23898」として特定されており、既に悪用が確認されているという。（2024/1/30）

Cybersecurity Dive：
CISA、セキュア・バイ・デザイン実現に向けて意見を募集　期限迫る
CISAは情報提供依頼書を発行し、コストや高等教育にセキュリティに関する事項を組み込む方法、繰り返し発生する脆弱性を減らす方法について、業界からの意見を求めている。（2024/1/28）

Tech TIPS：
万一に備えて知っておきたいMicrosoft Update手動更新の手引き【Windows 10／11】
ごくたまにWindows Updateでエラーが発生してしまい更新プログラムが適用できないことがある。それが累積更新プログラムの場合、新しい脆弱（ぜいじゃく）性だけでなく、過去の脆弱性の修正も含まれている。そのため、新規インストールしたWindows 10／11などでは、多くの脆弱性がある状態での運用に迫られる可能性がある。このような場合、1カ月前の更新プログラムを手動で適用すればよい。その手順を紹介しよう。（2024/1/26）

「Microsoft Outlook」の脆弱性を狙う攻撃【後編】
攻撃者は「Microsoft製品」を攻略か？　狙われ続けるOutlookユーザー
「Microsoft Outlook」の脆弱性を悪用した攻撃が明らかになった。セキュリティ組織は、攻撃者が直接不正アクセスをする手段を失っても危険性が残ることに注意する必要がある。それはなぜか。（2024/1/26）

脆弱性が解消しない「Microsoft Outlook」【前編】
Outlookで発見された「ゼロクリック攻撃」につながる脆弱性とは
「Microsoft Outlook」の脆弱性を調査していたAkamaiは、組み合わせて攻撃に使われる可能性がある2つの新しい脆弱性を発見した。脆弱性が発見された経緯と、これらの脆弱性の仕組みを詳しく解説する。（2024/1/24）

「iOS 17.3」配信開始　「盗難デバイスの保護」など新機能も追加
Appleは「iOS 17.3」を含む一連のOS更新の配信を開始した。iOSでは「盗難デバイスの保護」やプレイリストの新機能などが追加された。「悪用された可能性のある」ものを含む16件の脆弱性も修正された。（2024/1/23）

Cybersecurity Dive：
SolarWinds事件に関与した脅威グループは、新たな攻撃キャンペーンの種を蒔く
米国当局は、2020年のSunburst攻撃に関与した攻撃者が、将来のサプライチェーン侵害に備えてJetBrainsのTeamCityの脆弱性を悪用していることへの警戒を強めている。（2024/1/21）

Cybersecurity Dive：
CitrixBleedは消えない　サイバー攻撃者に利用される悪質な脆弱性についてまとめた
NetScaler ADCとNetScaler Gatewayの脆弱性「CitrixBleed」が全世界で悪用されている。侵害発覚までの経緯と悪用の現状、各政府機関の対応を改めてまとめた。（2024/1/20）

米国特許商標庁から学ぶデジタル変革【後編】
数カ月を要した脆弱性対策をたった1日で――「遅い」を払拭した政府機関の改革
政府機関は腰が重い――。そのイメージを、米国特許商標庁（USPTO）はデジタル変革を通じて払拭した。具体的に何を変えたのか。組織面から成功のポイントを考える。（2024/1/19）

SBOM基礎知識：
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。（2024/1/19）

セキュリティニュースアラート：
IvantiのVPNに脆弱性、1700台以上で侵害の証拠を確認　日本も標的に
Volexityは「Ivanti Connect Secure VPN」の脆弱性を悪用した攻撃が広がっていると伝えた。日本を含む全世界で被害が確認されている。（2024/1/18）

「Apache Log4j脆弱性」と肩を並べる：
全世界の組織の46％に影響を及ぼす“やばい脆弱性”とは――チェック・ポイント調査
チェック・ポイント・ソフトウェア・テクノロジーズは、2023年12月の世界脅威インデックスを発表した。悪用された脆弱性のトップは「Apache Log4jのリモートコード実行」だった。（2024/1/18）

「Microsoft Outlook」の脆弱性を狙う攻撃【前編】
「Microsoft Outlook」がパッチ公開後も狙われ続ける事態に
「Microsoft Outlook」に存在する脆弱性を悪用する攻撃者集団の攻撃活動が明らかになった。Microsoftがパッチを公開済みであるにもかかわらず、危険な状況が続いているのはなぜか。（2024/1/18）

CVSSのスコアだけに振り回されない脆弱性管理：
PR：脆弱性対応の課題に挑む次の手とは
企業がセキュリティ対策をすべきITシステムやサービスは多岐にわたり、対応に苦慮するところは多い。サイバー攻撃による被害を減らすために、資産の把握や脆弱性の管理は不可欠だ。人材不足で手が回らない企業もある中、どのように対応するのが良いのだろうか。（2024/5/15）

セキュリティニュースアラート：
AirDropのセキュリティを巡る懸念　中国当局の動きで活発化
AppleがAirDropの脆弱性を2019年から認識していた可能性があることが分かった。最近、中国当局がAirDropを利用して地下鉄利用者を特定したとされる事案がプライバシーの懸念を引き起こしている。（2024/1/17）

セキュリティニュースアラート：
Pythonの機械学習ライブラリ「PyTorch」に脆弱性　研究者が発見
Pythonの機械学習ライブラリ「PyTorch」に脆弱性が見つかった。GitHubのデプロイシステムと組み合わせることで悪用が可能になるという。（2024/1/16）

企業ユーザーに贈るWindows 11への乗り換え案内（29）：
Windows 10／11で「2024年1月の更新プログラム」のインストールが失敗（エラー0x80070643）！　その原因は？
2024年1月10日、2024年最初のセキュリティ更新プログラムがリリースされました。Windows 11 バージョン22H2／23H2以外を利用しているユーザーの中には、その日の更新プログラムの一つがエラー「0x80070643」で失敗を繰り返すことに悩んだ人もいるでしょう。この更新プログラムは、「Windows回復環境」の脆弱性問題を解決するセキュリティ更新プログラムです。（2024/1/16）

Cybersecurity Dive：
悪用が進む脆弱性「CitrixBleed」　信用組合に関連したサプライチェーン攻撃を引き起こす
CitrixBleedはBoeingをはじめとした多くの企業で悪用されている。今度はITベンダーであるTrellanceのグループ企業で事業継続サービスを提供するOngoing Operationsでネットワークインシデントが発生した。（2024/1/13）

セキュリティニュースアラート：
QNAP製品に複数の脆弱性　深刻度は「重要」（High）に分類
QNAP SystemsはQTS 5.1.x、QuTS hero h5.1.x、QuMagie 2.2.x、Video Station 5.7.xなどの自社製品について脆弱性を発表した。修正版がリリースされており、適用が推奨される。（2024/1/10）

セキュリティニュースアラート：
curl開発者が指摘するLLMの“たちの悪い”使い方
curlの開発者であるダニエル・ステンバーグ氏は現状、LLMの利用が脆弱性の発見に役立っていないどころかむしろ悪影響を及ぼしていると懸念を示した。（2024/1/10）

Cybersecurity Dive：
今度は「ownCloud」で発生　ファイル転送サービスを狙うサイバー攻撃が相次ぐ
ファイル転送サービスは格好の標的であり、ownCloudの脆弱性は、重要なファイル転送サービスに対する一連のサイバー攻撃における最新の例だ。（2024/1/7）

「見えないWeb攻撃」──情報漏えい対策の盲点：
「APIエコノミー」に迫る“検知できない脆弱性攻撃”の脅威
APIが個人情報や機密情報の窃取や、アカウントの乗っ取りなどサイバー攻撃の格好の標的になっている。その傾向や対策、落とし穴をAkamai Technologiesの中西一博氏が解説。（2024/1/11）

脆弱性「Citrix Bleed」の悪用が活発化【後編】
あの大手銀行も「LockBit」の標的に　Citrix製品を狙う“脆弱性悪用”の実態
Citrix Systems製品の脆弱性を悪用したランサムウェア攻撃による被害が広がっている。主要な攻撃者はあの「LockBit」だ。どのような組織を狙っているのか。特に注意が求められる点とは。（2024/1/4）

脆弱性「Citrix Bleed」の悪用が活発化【前編】
犯罪集団「LockBit」が“パッチ公開前”から悪用か　Citrix製品の危ない脆弱性
広く普及しているCitrix Systems製ネットワーク機器の脆弱性がランサムウェア攻撃に悪用されている。どのような脆弱性なのか。詳細を見ていこう。（2023/12/25）

Cybersecurity Dive：
Citrix NetScalerの脆弱性を悪用した攻撃で、ボーイングの部品情報が漏えい
ランサムウェアグループLockBit 3.0の関係者は、CitrixBleedと呼ばれる脆弱性を悪用している。連邦当局は約300の組織に対し、攻撃を受ける脆弱性があると警告している。（2023/12/24）

“典型的やられサイト”で学ぶセキュリティのワナ：
え？　PHPファイルを登録できるのはまずいでしょ……　Webアプリの「アップロード機能」に潜む“あるある”ワナ
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。（2023/12/22）

製造ITニュース：
激増するOSSのセキュリティ対策を、SBOMと脆弱性情報の管理基盤を提供開始
日立ソリューションズはSBOM情報やソフトウェアの脆弱性情報を一元管理する「SBOM管理サービス」を提供開始した。（2023/12/20）

セキュリティニュースアラート：
SharePoint Serverにリモートコード実行を可能にする2つの脆弱性　PoCも公開済み
サイバーセキュリティの研究者がSharePoint Serverに存在する重大な脆弱性を2つ組み合わせて認証前リモートコード実行の可能性を示す概念実証を公開した。（2023/12/20）

セキュリティニュースアラート：
「VISS」はCVSSとどう違う？　ZVCが新たな脆弱性評価フレームワークを公開
ZVCは脆弱性を評価するスコアリングシステム「Vulnerability Impact Scoring System（VISS） version 1.0.0」を公開した。こうした評価制度のデファクトスタンダードであるCVSSとは何が異なるのか。（2023/12/19）

セキュリティニュースアラート：
Apache StrutsにCVSS 9.8の脆弱性　PoC公開後にサイバー攻撃への悪用が始まる
Apache Struts2の脆弱性情報とPoCが公開されたのち、サイバー攻撃者がこれを悪用し始めた。アップデートの適用が推奨されている。（2023/12/18）

セキュリティニュースアラート：
SBOM、約6割が「知らない」　アシュアードが脆弱性対策の実施状況を調査
アシュアードは、yamoryの調査結果を発表し、脆弱性対策の実施状況とSBOMの認知度・導入状況などを明らかにした。SBOMの認知度を聞いたところ約6割が「知らない」と回答した。（2023/12/15）

VMware製品の注意すべき脆弱性【後編】
ESXiなど「狙われるVMware製品」が明らかに　要注意なのは？
VMwareのクラウドサービス管理ツール「VMware Cloud Director」の脆弱性が発見されるなど、VMware製品が狙われる状況が明らかになった。ユーザー企業にどのような被害が及ぶ可能性があるのか。（2023/12/15）

サイバー攻撃の増加に備える：
IoT機器の脆弱性を3ステップで可視化、キーサイトの検査ツール
キーサイト・テクノロジーは「EdgeTech＋ 2023」で、IoT（モノのインターネット）機器におけるセキュリティの脆弱性を容易に可視化できるテストツール「IoT Security Assessment」を展示した。既知と未知、両方の脆弱性を確認できるという。（2023/12/13）

「iOS 17.2」配信開始　機械学習採用の「ジャーナル」アプリが利用可能に
Appleは、「iOS 17.2」を含む一連の製品のOSアップデートの配信を開始した。iOS 17.2では、WWDCで紹介した機械学習採用の「ジャーナル」アプリが利用可能になる。脆弱性修正のアップデートは「iOS 16.7.3」でも配信中だ。（2023/12/12）

Pixelに12月の月例更新　3件の「致命的」含む脆弱性修正と多数のバグ修正、改善、新機能も追加
Googleは、Pixelの月例更新の配信を開始した。セキュリティ関連では、4日に発表のAndroidの脆弱性に加え、3件の「致命的」を含む多数の脆弱性を修正。数十件のバグ修正と改善も行われる。（2023/12/7）

VMware製品の注意すべき脆弱性【前編】
VMwareの管理ツール「VMware Cloud Director」に見つかった脆弱性とは？
VMwareは同社のクラウドサービス管理ツール「VMware Cloud Director」の脆弱性を公表した。その脆弱性にはどのようなリスクがあり、影響を抑えるにはどう対処すればよいのか。（2023/12/7）

ハイブリッドワークで複雑になるIT資産管理
サプライチェーンの脆弱性を狙う攻撃に有効なIT資産管理ツールとは
IT資産やソフトウェア脆弱性の管理はセキュリティ対策をする上で基本となる業務だが、多忙を極める情報システム部門にとって頭痛の種だ。ハイブリッドワークが浸透する中、管理業務は複雑さを増している。どうすれば対処できるだろうか。（2023/12/8）

Android、12月の月例更新で「致命的」5件を含む多数の脆弱性に対処（Pixelはまだ）
Googleは12月の第1月曜日にAndroidの月例セキュリティ情報の12月版を公開した。重要度が最高の5件を含む多数の脆弱性に対処する。Pixelの月例更新は、まだ公開されていない。（2023/12/5）

セキュリティニュースアラート：
サポート終了したExchange Server約2万台が稼働中　複数の脆弱性があり注意
Shadowserver Foundationは、サポートが終了した脆弱なMicrosoft Exchange Serverが約2万台稼働していると報じた。複数の脆弱性が存在しているとされており、注意が必要だ。（2023/12/5）

「CPUに影響を与える脆弱性は増加傾向にある」：
GoogleはCPUの新たな脆弱性「Reptar」をどのように発見したのか
GoogleはIntelのCPUに影響を与える新しい脆弱性「Reptar」の調査結果を公開した。Reptarについては既に回避策が展開されている。（2023/12/4）

セキュリティニュースアラート：
CVE登録の脆弱性を狙うサイバー攻撃はもう古い　Proofpointが2024年の脅威を予測
Proofpointは2024年のサイバー脅威予測を発表した。サイバー攻撃はソフトウェアの脆弱性を狙うものから、人間行動の脆弱性に根ざした攻撃へとシフトするという。（2023/12/4）

iOS、iPadOS、macOS、Safariにゼロデイ脆弱性修正の緊急アップデート
Appleは、iOS、iPadOS、macOS、Safariに影響する2つのゼロデイ脆弱性を修正するための緊急アップデートをリリースした。既に「悪用された可能性があるという報告を認識している」としている。（2023/12/1）

Google、Chromeのエクスプロイトが存在する脆弱性修正を含むアップデートをリリース
Googleは、Webブラウザ「Google Chrome」のデスクトップ版にゼロデイ脆弱性が見つかったとしてアップデートを実施した。「エクスプロイトが存在することを認識している」脆弱性を含む。（2023/11/30）

Innovative Tech：
新MacBook Pro（M3）でも機密情報が漏えい　2020年以降のApple製品全てに脆弱性　米国チームが発表
米ジョージア工科大学などに所属する研究者らは、Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告を発表した。（2023/11/30）

「25年も消えない脆弱性」への対策は？
四半世紀にわたって解決しないRSA暗号「謎の脆弱性」の正体
新たに発見される脆弱性だけではなく、古くからある脆弱性にも要注意だ。データ暗号化に使われる「RSA方式」もその例外ではない。1998年に発見され、2023年現在も残る脆弱性とは。（2023/11/29）