「ゼロデイ攻撃」関連の最新 ニュース・レビュー・解説 記事 まとめ

「ゼロデイ攻撃」に関する情報が集まったページです。

Chromeゼロデイ脆弱性悪用 その狙いと手口【前編】
北朝鮮の攻撃者グループが「Chrome」脆弱性を悪用か 経済制裁の抜け穴に?
「Chrome」のゼロデイ脆弱性を北朝鮮の攻撃者グループが悪用したとGoogleが明かした。攻撃の詳細は。攻撃者グループの意図とは。(2022/4/21)

「見えないWeb攻撃」──情報漏えい対策の盲点:
セキュリティベンダーはLog4j脆弱性攻撃にどう対応したか 舞台裏からゼロデイ攻撃対策を再考する
2021年末に発見された「Apache Log4j」の脆弱性。この脆弱性を悪用する攻撃に対峙したセキュリティベンダーは、どんな対処を取ったのか。実際の対応を参考に、ゼロデイ攻撃への対策を考える。(2022/4/20)

Google ChromeとMicrosoft Edgeに新版 ゼロデイ脆弱性を修正
米Googleは「Google Chrome」の新版である「バージョン100.0.4896.127」の配布を始めた。(2022/4/19)

2022年4月の累積更新プログラムが配信 複数のMicrosoftプロダクトが対象
Microsoftは2022年4月の累積更新プログラムを配信した。今回のアップデートには深刻度「緊急」に分類される脆弱性の修正が含まれている他、既に悪用が確認されているゼロデイ脆弱性も含まれている。(2022/4/14)

nginxのLDAPリファレンス実装にゼロデイの脆弱性 迅速な緩和策の適用を
Webサーバ「nginx」にゼロデイ脆弱性が見つかった。緩和策が公開されたことから、該当ソフトウェアを使用している場合には確認および緩和策の適用を急いでほしい。(2022/4/13)

iPhoneにゼロデイ脆弱性 修正のiOS 15.4.1配信開始
米AppleがiOS、iPad OS、macOSのアップデートの配布を開始した。iOSとiPad OSは15.4.1、macOSは12.3.1。バッテリー問題を改善した他、ゼロデイ脆弱性を修正している。(2022/4/1)

iPhoneとiPadに悪用された可能性のある脆弱性対処の「15.4.1」 バッテリー問題改善も
Appleは「iOS 15.4.1」「iPadOS 15.4.1」「macOS Monterey 12.3.1」をリリースした。いずれも共通する「悪用された可能性のある」2件のゼロデイ脆弱性を修正する。iPhoneとiPadは前回のアップデート後にバッテリー消耗が早くなった問題にも対処する。(2022/4/1)

Chromeブラウザに緊急セキュリティ更新 悪用されたゼロデイ脆弱性を修正
ChromeとEdgeの緊急セキュリティ更新がリリースされた。実際に悪用された重要度「High」のゼロデイ脆弱性1件に対処する。(2022/3/27)

脆弱性修正に要する時間は年々短縮ーーGoogleのProject Zeroが調査結果を発表
米Googleのセキュリティチーム「Project Zero」が、ゼロデイ脆弱(ぜいじゃく)性の発見から修正プログラムの提供までにかかった時間をベンダーごとにまとめた報告書を公開した。(2022/2/22)

「iOS」と「iPadOS」の「15.3.1」配信開始 悪用された可能性のある脆弱性の対処など
Appleは「iOS」と「iPadOS」の「15.3.1」をリリースした。「悪用された可能性があるという報告」のあるWebKit関連のゼロデイ脆弱性の修正を含む。MacOSでも同じ脆弱性を修正するアップデートがリリースされた。(2022/2/11)

ゼロデイ攻撃が初めてランクイン:
IPAが「情報セキュリティ10大脅威 2022」を発表
IPAは「情報セキュリティ10大脅威 2022」を発表した。1位は「フィッシングによる個人情報等の詐取」と「ランサムウェアによる被害」だった。今回初めて「修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)」が7位に入った。(2022/1/28)

IPAの「情報セキュリティ10大脅威2022」 “Log4j”影響でゼロデイ攻撃が浮上
情報処理推進機構(IPA)が、2021年に起きた情報セキュリティ事案の影響の大きさを示すランキング「情報セキュリティ10大脅威2022」を発表した。組織部門では新たに「修正プログラムの公開前を狙う攻撃」(ゼロデイ攻撃)が7位にランクインした。(2022/1/27)

「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開
ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。(2021/12/29)

Apple、iCloudの「Apache Log4j」ゼロデイ脆弱性を修正
「Apache Log4j」の脆弱性で名指しされていたApple iCloudだが、12月11日までには修正されていたことが分かった。(2021/12/17)

Cybereasonが「Log4Shell」を回避するワクチンをOSSで公開
CybereasonはLog4jに関するゼロデイ脆弱性(CVE-2021-44228)、通称「Log4Shell」の影響を回避するOSSを公開した。Log4jをアップデートできない場合には有効な回避策の1つになり得るため検討材料に加えておきたい。(2021/12/15)

半径300メートルのIT:
Log4jのゼロデイ脆弱性から学ぶ “ヤバい”ニュースを見落とさない組織になるコツ
Javaのロギングライブラリ「Apache Log4j」で外部環境から任意のコード実行が可能になる脆弱性(CVE-2021-44228)が大きな注目を集めています。こうした深刻な脆弱性が発見されたとき、迅速に対応できる組織になるにはどうすればいいのでしょうか。(2021/12/14)

「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。(2021/12/10)

Windowsにゼロデイの脆弱性、MSは放置も専門家は「深刻」と指摘
Microsoftは毎月の累積更新プログラムでセキュリティの脆弱性を修正しているが、中には外部からリスクを指摘されても正式に脆弱性として認識されず、放置されたものもある。(2021/12/1)

Windows 10、11などのゼロデイ脆弱性、パッチ公開前に報告者が概念実証コード公開
Microsoftが11月のセキュリティ更新で修正したはずの脆弱性がまだ悪用できると、報告者が概念実証をGitHubで公開した。既にマルウェアサンプルが検出されているという報告もある。(2021/11/25)

Windowsに特権昇格のゼロデイ脆弱性 研究者がPoCコードを公開
Windows Installerにおける特権昇格のゼロデイ脆弱性を利用したエクスプロイトが見つかった。現時点ではMicrosoftはアップデートを提供していない。(2021/11/25)

Appleが9月に修正したCatalinaの脆弱性は香港市民への攻撃に悪用されていたとGoogle
GoogleのセキュリティチームTAGは、Appleが9月に修正したCatalinaのゼロデイ脆弱性について報告した。国家の支援を受ける犯罪者がこの脆弱性を悪用し、香港市民を攻撃していたとしている。(2021/11/12)

Apple、「iOS 15.0.2」「iPadOS 15.0.2」を配布開始 ゼロデイ脆弱性を修正
iPhone、iPadのOSで指摘されていた脆弱性が修正された。(2021/10/12)

この頃、セキュリティ界隈で:
Appleの対応に不満噴出、反発した研究者が相次ぎゼロデイの脆弱性を公表
Appleのセキュリティ問題への対応を巡って研究者から不満の声が続出している。同社製品にゼロデイの脆弱性を見つけて報告しても反応が鈍く、他社に比べて対応が悪すぎるというのだ。(2021/10/7)

自動化ツールの活用が効果的:
ESET、クラウドの構成の誤りを修正するベストプラクティスを発表
セキュリティ企業ESETは、クラウドの構成上の問題を修正するベストプラクティスを発表した。ゼロデイ攻撃よりも人的エラーの方が高リスクであり、なるべく短時間でクラウドの構成の誤りを修正しなければならないという。(2021/9/28)

iOSのゼロデイ脆弱性4件のPoCが公開される、Appleの対応不備を指摘
外部の研究者やユーザーにバグの発見と報告を促す「バグ報奨金プログラム」は脆弱性の発見と修正に大きな効果を上げている。だが必ずしもその取り組みは正しく進んでいるわけではないのかもしれない。(2021/9/28)

複数のApple製品にゼロデイ脆弱性が見つかる 直ちにアップデートを
Appleからゼロデイ脆弱性を修正するアップデートの配信が始まった。同脆弱性はカーネル権限で任意のコードが実行できるというもので注意が必要だ。(2021/7/28)

Apple、iOSとiPadOSの「14.7.1」緊急更新 “既に悪用された可能性のある脆弱性”を修正
AppleがiOSとiPadOSの「14.7.1」をリリースした。iOSではApple Watchのロックを解除できない問題を修正。ゼロデイ攻撃に利用された脆弱性の修正も行われる。(2021/7/27)

WordPressプラグインにゼロデイの緊急脆弱性、すでに悪用確認で要対応
またWordPressプラグインの1つにゼロデイの脆弱性が発見された。深刻度は緊急(Critical)に分類されている。しかもすでにサイバー攻撃が確認されている。(2021/6/4)

TechTarget発 世界のITニュース
SonicWallのメールセキュリティ製品にゼロデイ攻撃 侵入の手口は?
SonicWallのメールセキュリティ製品「Email Security」のゼロデイ脆弱性が悪用された。攻撃者はどのように攻撃を仕掛けたのか。詳細を追った。(2021/5/29)

内閣府の共有ストレージに不正アクセス 231人分の個人情報が流出
内閣府は職員らが使用するファイル共有ストレージに不正アクセスがあり、231人の個人情報が外部に流出したと発表した。内閣府は攻撃の痕跡などから、開発元も認知していない脆弱性を突いたサイバー攻撃「ゼロデイ攻撃」とみている。(2021/4/23)

TechTarget発 世界のITニュース
「Exchange Server」にゼロデイ攻撃 Microsoftが定例外のパッチ公開
「Exchange Server」の脆弱性に対して、Microsoftは2021年3月2日にセキュリティ更新プログラムを公開し、公式のブログで脆弱性や関連する攻撃について報告した。(2021/4/20)

ロイヤルダッチシェル、保守切れ直前アプライアンスのゼロデイ脆弱性を突かれる
石油大手Royal Dutch Shellがサイバー攻撃を受けた。保守切れ直前の古いアプライアンスが抱えた脆弱性を突かれた。影響範囲は調査中だとしている。(2021/3/24)

ゼロデイ脆弱性「少なくとも11は使われていた」 Google Project Zero指摘
ソフトウェアを常に最新の状態に保っていてもゼロデイの脆弱性を狙ったサイバー攻撃は防御し切れない。2020年は少なくとも1年間で11のゼロデイ脆弱性がサイバー攻撃者に使われたことが明らかになった。複数のゼロデイ脆弱性を組み合わせた攻撃も見つかっているという。(2021/3/22)

EoL間近のファイル転送アプライアンスがサイバー攻撃に使われている
そろそろEoLに達するレガシーなファイル転送アプライアンスにゼロデイの脆弱性が発見された。攻撃者が企業内データを窃取して、データ公開と引き換えに身代金を要求する脅迫も確認されている。(2021/2/24)

IEにゼロデイの脆弱性、第三者保守ベンダーが報じる
Internet Explorerにゼロデイのセキュリティ脆弱性が発見された。今後のサポート終了が見込まれることから世界的にはシェアが2%を切るだが、日本のデスクトップ向けWebブラウザにおいてはシェア4位を維持する。(2021/2/20)

Windows 7とServer 2008 R2にゼロデイ脆弱性、0patchがマイクロパッチ提供
Windows 7とWindows Server 2008 R2にゼロデイのセキュリティ脆弱性が見つかった。ローカルでの特権昇格が可能というものだ。ESUでもアップデートはまだ提供されていない。自己責任となるが、0patchが提供しているマイクロパッチを適用するという対策方法もある。(2020/11/27)

「Cicada」が日本企業を標的としたサイバー攻撃か MSのバグを使い1年にわたって継続との情報
2020年8月に明らかになったMicrosoftのゼロデイ脆弱性が、場合によっては10カ月にわたって攻撃に使われいていた可能性が出てきた。この脆弱性は日本の有名企業を標的としたサイバー攻撃に使われたとされているため、注意が必要だ。(2020/11/20)

「ゼロデイ脆弱性に対策はない」は本当か?:
PR:止まらない「ゼロデイ脆弱性を突いた攻撃」、気付けない「標的型攻撃による潜入」。その解決策とは
セキュリティ対策の基本は「パッチの適用」。一方、対応が難しいのが、パッチが存在しない段階で悪用されてしまう「ゼロデイ脆弱性」で、どうしようもないと諦めに似た感情を持つ人も少なくないだろう。だが、それは早計だ。(2020/5/28)

この頃、セキュリティ界隈で:
iOSのゼロデイ脆弱性、「差し迫った危険はない」とApple
日本企業の幹部も狙われたという脆弱性。Appleの対応はどうか。(2020/4/27)

iOSのメールにゼロデイ脆弱性の指摘 メールを受け取るだけで被害か(Appleからのコメントあり)
非常に危険な脆弱性がiPhone、iPadにあることが指摘された。報告者によれば既に攻撃例もあるという。(2020/4/23)

Tech TIPS:
【Windows 10】未使用のIE11を削除してゼロデイ攻撃を根本的に予防する
Windows 10では、デフォルトブラウザが「Microsoft Edge」になっているものの、互換性維持のため「Internet Explorer 11(IE11)」もインストールされている。IE11には、セキュリティ上の欠陥の発見が続いていることから、使うことがないのであればアンインストールしておく方が安全だ。その方法を紹介する。(2020/3/12)

Googleが「Chrome 80」のアップデート公開 ゼロデイ攻撃発生の脆弱性も
デスクトップ向けの「Chrome 80」で修正された脆弱性3件のうち1件については、既に攻撃の発生が伝えられている。(2020/2/25)

Microsoftが月例セキュリティ更新プログラム公開、攻撃発生のIEの脆弱性に対処
すでにゼロデイ攻撃が発生していたIEの脆弱性など、99件に対処した。かつて国家間のサイバー攻撃に利用された「Stuxnet」で利用されたのと同じような脆弱性が含まれる。(2020/2/12)

三菱電機、約8000人の個人情報流出か ウイルス対策システムにゼロデイ攻撃
三菱電機は、同社のウイルス対策システムが第三者からゼロデイ攻撃を受け、最大約8000人の個人情報が流出していたことなどを明らかにした。(2020/1/21)

IEの脆弱性を狙ったゼロデイ攻撃が発生中、解決策なく「他のブラウザの使用を」
2020年1月21日現在、Microsoftの更新プログラムはリリースされていない。米国のセキュリティ機関は代替ブラウザの使用を勧告している。(2020/1/21)

半径300メートルのIT:
ゼロデイ攻撃発生、ユーザーにできる「減災」と「防疫」とは
Emotet、Citrix製品へのゼロデイ攻撃、Windows7のサポート終了、IEの脆弱性……、2020年もセキュリティに関する話題は盛りだくさんです。「完璧な安全」は誰にも保証できない時代、ユーザー側でできる最善の備えは何になるのでしょうか。(2020/1/21)

パッチ未公開の脆弱性に関する脅威
「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」の違いとは?
セキュリティ分野に「ゼロデイ脆弱性」と「ゼロデイエクスプロイト」という2つの専門用語がある。一見すると同じような単語だが、両者の違いは何か。(2019/9/26)

IT基礎英語:
対応時間ゼロ 勝手に暴露されちゃった「zero-day」
セキュリティ関係でよく聞く「ゼロデイ」とはどういうものか、解説します。(2019/9/9)

IoTセキュリティ:
「VxWorks」にゼロデイ脆弱性、「URGENT/11」は2億個のデバイスに影響
米国のIoTセキュリティベンダーであるアーミスは、ウインドリバーのRTOS「VxWorks」のゼロデイ脆弱性を発見したと発表。バージョン6.5以降のVxWorksで、IPnetスタックを用いるものが対象となる。(2019/7/30)

Microsoft、7月のセキュリティ更新プログラム公開 既に攻撃発生の脆弱性も
2件の権限昇格の脆弱性についてはゼロデイ攻撃に利用されていたほか、6件については事前に情報が公開されていた。(2019/7/10)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。