ITmedia総合  >  キーワード一覧  > 

「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

ネットワークセキュリティ・情報セキュリティに関して「脆弱性」という場合、それらはシステム上のセキュリティに関する欠陥や、企業・組織・個人に対する行動規範の不徹底や未整備などが挙げられる。
脆弱性 − @ITセキュリティ用語事典

IT用語解説系マンガ:食べ超(197):
脆弱性スキャナーが隠れた仏像を発見
念仏を唱えるとログインできるのは脆弱(ぜいじゃく)性ではなく仕様とのことでした。※皆さんご存じかとは思いますが、本作はフィクションです。(2020/10/28)

この頃、セキュリティ界隈で:
ランサムウェアが見せつけたWindowsの脆弱性「Zerologon」の威力
わずかな時間で組織内で感染が広がる危険性をはらむWindows Active Directoryの脆弱性。(2020/10/26)

ネットワーク管理権限をまるごと乗っ取る攻撃「Zerologon」が流行のきざし Active Directoryユーザーはパッチ適用状況を確認を
Active Directoryのパッチ適用が遅れている企業は注意が必要だ。パッチを適用していない場合、「一撃で」ネットワーク内の全てを乗っ取られかねないリスクがある。既にこの脆弱性を突く機能が攻撃ツールに組み込まれ始めているという。(2020/10/22)

「ITmedia Security Week秋」:
日本のIoTは、なぜ今でも“危ない”のか 脆弱性チェックと法改正を重ねる総務省の現在地
新型コロナウイルス感染症(COVID-19)で社会が大きく変化し、セキュリティ対策も変化の時を迎える。そんな中、数年前から5GやIoTの普及に向けたセキュリティ対策を本格化してきたのが総務省だ。大掛かりな脆弱性チェックや法改正も実施したという彼らの危機感と、対策の現在地は。(2020/10/22)

OpenSCAPで脆弱性対策はどう変わる?(終):
クラウドやコンテナのセキュリティ評価でも使われている「Compliance As Code」の始め方
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAP/SCAP Security Guideプロジェクトの発展形である「Compliance As Code」について実例を見ながら解説する。(2020/10/27)

「CodeQL」エンジンがベース:
脆弱性を発見するコードスキャン機能がGitHubに統合、セキュリティの問題が次々見つかる
GitHubはコードの脆弱性を簡単に発見できるコードスキャン機能の一般提供を開始した。GitHubの機能に溶け込んでいるため、開発ワークフローの一環としてセキュリティ上の課題を解決しやすい。(2020/10/13)

脆弱性管理の実践ポイント(1):
脆弱性管理を始める前に知っておきたい、脆弱性スキャナーの種類とその役割
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。初回は、脆弱性スキャナーの種類とその役割について。(2020/10/13)

GitHub、コードの脆弱性を自動検出する「Code Scanning」正式公開
コードのセキュリティ脆弱性を自動検出できる「GitHub Code Scanning」が正式公開。ソースコードをスキャンし、脆弱性やエラーが見つかると、Pull Requestで修正を促す。(2020/10/6)

Androidの10月月例更新は「Critical」6件を含む40件に対処 Pixel 4aの機能パッチも
GoogleがAndroidとPixelの月例セキュリティ情報を公開した。セキュリティでは重要度が最高の6件を含む40件の脆弱性に対処する。Pixel向けは機能パッチのみで、自動回転や自動輝度調整などが改善される。(2020/10/6)

コロナ禍に便乗する脅威に対抗 ガートナーがセキュリティの最重要課題を発表
ガートナー ジャパンによると、2020年は世界的なパンデミックの状況に乗じて脆弱性を突く新たな攻撃が顕在化した。進化する脅威に俊敏に対応するには、エンドポイントの保護と検知/対応機能を組み合わせたソリューションの活用が望ましいという。(2020/9/29)

macOSやiOSなどのアップデートが公開 4件の脆弱性に対処
macOSのアップデートは、4件の脆弱性に対処した。「iOS 14.0.1」「watchOS 7.0.1」「tvOS 14.0.1」もアップデートが公開された。(2020/9/28)

ワンクリックで権限奪取が可能:
「Netlogon」の脆弱性突く攻撃が発生、攻撃コードが流通
Microsoftが8月の月例パッチで対応した脆弱性「Zerologon」を悪用する攻撃が確認された。CISAは「全ドメインコントローラが更新されるまで、インフラ全体が脆弱な状態となる」と警告している。(2020/9/25)

最新版「Firefox 81」、デスクトップとAndroid向けに公開
Firefox 81は6件の脆弱性を修正した他、新機能も加えた。(2020/9/23)

Computer Weekly日本語版
Androidスマートフォンの40%に影響する深刻な脆弱性
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!(2020/9/19)

解決まで数年?
QualcommのDSPに深刻な脆弱性、Androidスマートフォンの40%に影響
多くのAndroidスマートフォンに使われているQualcommの「Snapdragon」で脆弱性が発見された。この影響を受ける何億台もの端末にパッチを適用するには数カ月から数年かかる恐れがあるという。(2020/9/18)

Windows Serverの脆弱性を狙う悪用コード公開 セキュリティ機関が警戒呼び掛け
悪用されれば、内部ネットワークに足掛かりを持つ攻撃者が実質的にワンクリックでドメイン管理者になってしまうという。(2020/9/16)

F5やExchange Serverの脆弱性を悪用か:
米当局、中国国家安全局が関与するサイバー攻撃に注意喚起
過去1年で頻繁に悪用されていたのは、F5 NetworksやCitrix、Pulse Secure、Microsoftなどの脆弱性だった。(2020/9/15)

プレミアムコンテンツ:
Computer Weekly日本語版:あなたの知らない検索の世界
特集は特殊用途特化型検索サービスと「NVMe over TCP」、NoSQLデータベース&インメモリデータベースの3本。他に5Gプロトコルの脆弱性、Slackの最新動向、TensorFlow Liteを搭載し、JavaScriptで独自アプリも作れるスマートウォッチなどの記事をお届けする。(2020/9/13)

Bluetoothに脆弱性、中間者攻撃に悪用の恐れ
Bluetooth 4.0〜5.0が影響を受ける。悪用された場合、暗号鍵の強度を弱めたり、認証された鍵を認証されていない鍵で上書きされたりする恐れがある。(2020/9/10)

Google、「Chrome 85」のセキュリティアップデート公開
デスクトップ向けの「Chrome 85.0.4183.102」では5件の脆弱性が修正された。(2020/9/10)

Media Frameworkに「重大」な脆弱性 Androidの月例セキュリティ情報公開
Media Frameworkの脆弱性は、細工を施したファイルを利用して、リモートの攻撃者が、特権プロセスで任意のコードを実行できてしまう恐れがある。(2020/9/9)

CVSS危険度「9.9」の極めて危険な脆弱性も:
Microsoft、月例セキュリティ更新プログラム公開 129件の脆弱性に対処
Exchangeのメモリ破損の脆弱性や、SharePointのリモートコード実行の脆弱性などは、特に危険性が大きい。(2020/9/9)

半径300メートルのIT:
猛威を振るう「Emotet」、いま私たちに何ができるのか
活動期と休止期を繰り返すことで知られるマルウェア「Emotet」は現在、日本企業をターゲットに猛攻を仕掛けてきています。2020年夏の活動期には、これまでになかった攻撃のパターンが観測されました。従来の「マクロを仕込んだWordファイル添付」から「パスワード付きzipファイル」に送付手段が変わったのです。日本のビジネスの脆弱性をよく理解した、狡猾な攻撃者がいるようです。(2020/9/8)

意識すべき3つのポイント
サイバー攻撃に狙われる“コロナ禍の脆弱性”とは DBIRチームが指摘
新型コロナウイルス感染症の広がりは、社会のさまざまな分野に影響を与えた。サイバーセキュリティも例外ではない。どのような影響が出ているのか、Verizonの緊急レポートを参考にしてみよう。(2020/9/16)

ヨドバシカメラのAndroidアプリに脆弱性 フィッシングサイトなど任意のURLへのアクセスに使われる恐れ
ショッピングアプリ「ヨドバシ」のAndroid版に、攻撃者によって任意のURLへのアクセスに使われてしまう脆弱性があるとして、JPCERT/CCが注意を呼び掛けた。(2020/9/7)

スマート工場に潜むサイバーセキュリティリスク(2):
産業用アプリストアの脆弱性を悪用したワークステーションからの侵入
スマート工場化が加速する一方で高まっているのがサイバー攻撃のリスクである。本連載ではトレンドマイクロがまとめた工場のスマート化に伴う新たなセキュリティリスクについての実証実験研究の結果を基に注意すべきセキュリティリスクを考察する。第2回目となる今回は、開発に不可欠なEWS(エンジニアリングワークステーション)の役割と、EWSの接続先である産業用のアプリケーションストアに着目する。(2020/9/7)

他山の石:
「急遽テレワーク導入」に落とし穴 国内約40社が被害「VPN不正アクセス事件」が他人事とは限らない理由
8月下旬に「パルセキュア社のVPN製品の脆弱性を突かれて、認証情報などが盗まれてしまい、ネット上で公開された」という事件がメディアを賑わせた。この一件にはいくつか他山の石にしたいポイントがある。(2020/9/8)

WordPressのプラグイン「File Manager」に重大な脆弱性、攻撃の挙動検出
この脆弱性を突く攻撃の挙動が更新版のリリース前から確認されていたといい、File Managerを使っているWebサイトでは対応を急ぐ必要がある。(2020/9/4)

ビデオ会議兼メッセージアプリ「Jabber」に重大な脆弱性、ワームに悪用の恐れも
脆弱性を発見したセキュリティコンサルタントのWatchcomは、この脆弱性を「ワーム可能」と形容し、ユーザーが何も操作しなくても自動的にマルウェアを拡散させることが可能と指摘している。(2020/9/4)

Cisco IOS XRに未解決の脆弱性、悪用の動きを確認
脆弱性修正のためのソフトウェアアップデートはまだリリースされていない。Ciscoはユーザーに対して緩和策を講じるよう呼び掛けている。(2020/9/1)

プレミアムコンテンツ:
「iPhoneは絶対に安全」だと思ってはいけない理由
比較的安全なOSだと言われる「iOS」。だが「絶対に安全」だとは限らない。定期的に脆弱性が発見されることもあり、セキュリティ対策は不可欠だ。iOSや「iPhone」を脅威から守り、安全に利用するには。(2020/8/29)

製品開発時に実施すべき対処法をまとめた:
一般消費者に脆弱性対処の内容をどう開示する? IPAが開発者向けガイドを公開
IPAのセキュリティセンターは、「脆弱性対処に向けた製品開発者向けガイド」を公開した。プリンタやルーター、ネットワークカメラ、ネットワーク家電などを開発する際に実施すべき脆弱性への対処をまとめた。(2020/8/28)

VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工
国内38社がVPNの脆弱性をついた攻撃を受け、ダークウェブ上にVPNのユーザーIDやパスワードが流出していた問題。被害にあった1社の平田機工は8月25日、流出の原因を明らかにした。(2020/8/26)

Google、「Chrome 85」安定版リリース 多数の脆弱性を修正
今回のリリースとは別に、シスコシステムズのセキュリティチームであるCisco Talosは、Chrome 84までのバージョンに存在する深刻な脆弱性を報告していた。(2020/8/26)

Mozilla、Android版「Firefox」を刷新 強化型トラッキング防止などの機能搭載
Android版は設計を大きくリニューアルして高速化やプライバシー保護の強化を図り、デスクトップ版では多数の脆弱性を修正している。(2020/8/26)

GmailとG Suiteの脆弱性、研究者の公表を受けGoogleが修正
Googleに報告してから120日を過ぎても脆弱性が修正されなかったことから、研究者が公表に踏み切ったところ、同社は、その日のうちに対策を講じた。(2020/8/21)

宮田健の「セキュリティの道も一歩から」(52):
自動車“が”脆弱性を突く? あっと驚く攻撃手法から学べること
「モノづくりに携わる人」だからこそ、もう無関心ではいられない情報セキュリティ対策の話。でも堅苦しい内容はちょっと苦手……という方に向けて、今日から使えるセキュリティ雑学・ネタをお届け! 今回は、身近なIoTとして「自動車のセキュリティ」についてお話しします。(2020/8/21)

放置された脆弱性は5万件超、クラウドのマルチ環境管理に苦慮か――脆弱性管理の実態調査
各国のIT担当者を対象に実施した実態調査で、過去半年の間に特定されながら解決できなかった脆弱性の件数は、5万7555件に上ることが明らかになった。(2020/8/20)

「Chrome 84」に脆弱性、Googleがアップデート公開
今回のアップデートでは、Microsoftの研究者が報告した危険度「高」の脆弱性に対処した。(2020/8/19)

Apache Struts 2に2件の脆弱性、コンセプト実証コードも公開
「Apache Struts 2」で新たに2件の脆弱性が発覚した。このうち1件については、コンセプト実証コードが公開されたと伝えられている。(2020/8/18)

個人情報漏えいにつながる恐れも:
AmazonのAlexaに脆弱性、修正もスマートデバイス経由の個人情報流出に警鐘
Amazonは問題を修正。「IoTデバイスは本質的に脆弱で、適切なセキュリティ対策が欠如していることから、攻撃の格好の標的になる」と、セキュリティ企業は警鐘を鳴らしている。(2020/8/14)

Adobe AcrobatとReaderのセキュリティアップデートを公開
今回の脆弱性を悪用されれば、任意のコードを実行される恐れがあるとして、ユーザーや管理者に対応を促している。(2020/8/13)

Microsoft、8月の月例セキュリティ更新プログラム公開 既に悪用の脆弱性も
今回修正された120件の脆弱性のうち、2件については既に悪用が確認されており、Internet Explorer(IE)を介して悪用される恐れもある。(2020/8/12)

「Chrome 84」のセキュリティアップデート公開、15件の脆弱性に対処
15件の脆弱性のうち14件が外部から報告を受けたもの。脆弱性を発見した研究者には最高1万ドルの賞金が贈呈された。(2020/8/12)

その知識、ホントに正しい? Windowsにまつわる都市伝説(166):
永遠にさようなら、RemoteFX 3Dビデオアダプター
2020年7月のセキュリティ更新で、脆弱性問題を理由にWindowsおよびWindows Serverの機能の一つが無効化されました。Windows Server 2008 R2 SP1で初めて登場した「RemoteFX仮想GPU(RemoteFX vGPU)」です。今回は無効化措置が取られましたが、半年後の2021年2月のセキュリティ更新では完全に削除される予定です。(2020/8/12)

動的型付け言語の弱点をカバー
Pythonコードの脆弱性を検知する「AppSec」
動的型付け言語(動的言語)の場合、変数に値が代入されるまで型が決定されないため、静的テストでは十分な検証ができない。動的言語の一つであるPythonもこの問題を抱えている。(2020/8/11)

Android版Twitterアプリ、DMにアクセスされる恐れのある脆弱性を修正 更新呼び掛け
TwitterのAndroid版公式アプリに悪用されるとDMデータなどにアクセスされる恐れのある脆弱性が見つかり、既にアップデートで修正された。同社はまだアプリをアップデートしていないユーザーに対し、アプリ内通知で更新を促している。(2020/8/6)

Ciscoセキュリティ製品の脆弱性、悪用の動きに警戒を呼びかけ
「Adaptive Security Appliance (ASA)」「Firepower Threat Defense (FTD)」の脆弱性は、Ciscoが7月にセキュリティ情報を公開した時点で悪用が確認されていた。(2020/8/5)

Androidの8月の月例セキュリティ更新は「Critical」6件を含む54件の脆弱性を修正
Googleは8月3日、Androidの月齢セキュリティ情報の8月版を公開した。危険度最高の「Critical」6件を含む54件の脆弱性に対処する。Pixelのセキュリティ更新は「High」1件を含む3件。(2020/8/4)

Androidの月例セキュリティ情報公開、Frameworkなどに深刻な脆弱性
Frameworkの脆弱性は、悪用されればリモートの攻撃者が細工を施したファイルを利用して、非特権プロセスで任意のコードを実行できてしまう可能性がある。(2020/8/4)

Twitter大規模乗っ取り、従業員への「スピアフィッシング」で内部システムにアクセス
Twitterで7月15日に発生した著名人アカウントの大量乗っ取り・偽ツイート事件の手口は、従業員への「スピアフィッシング攻撃」だったとTwitterが説明した。「特定の従業員に判断を誤らせ、人間の脆弱性を悪用して内部システムにアクセス」したとしている。(2020/7/31)

ブートローダー「GRUB2」に脆弱性、LinuxやWindowsのセキュアブート迂回される恐れ
「BootHole」の脆弱性を悪用されると、セキュアブートが有効になっていたとしても、起動プロセスの間に任意のコードを実行される恐れがある。(2020/7/30)

「Firefox 79」安定版が公開 危険度「高」の脆弱性5件を修正
Mozilla Foundationは、デスクトップ向けに「Firefox 79」の安定版をリリースした。計10件の脆弱性を修正し、このうち5件は同社のセキュリティ基準で危険度「高」と位置付けている。(2020/7/29)

Google、「Chrome 84」のセキュリティアップデート公開
デスクトップ向けのアップデートでは、計8件の脆弱性が修正された。(2020/7/29)

F5の「BIG-IP」やCiscoのセキュリティ製品、脆弱性突く攻撃が相次ぎ発生
F5 Networksのトラフィック管理製品に存在する脆弱性の危険度は極めて高い。Ciscoのセキュリティアプライアンスに存在する脆弱性を悪用された場合、攻撃者にファイルを読まれる可能性がある。(2020/7/28)

半径300メートルのIT:
「分からない」は通用しない――全ての人が理解すべき“脆弱性”との付き合い方
サイバーセキュリティと公衆衛生の考え方は、とても良く似ています。「自分には分からないから」「担当に任せているから」と放置せず、全員が自覚的に危険な情報をキャッチし、共有して対処していくべきではないでしょうか。(2020/7/21)

この頃、セキュリティ界隈で:
「次のサイバーパンデミック」に警戒、危険度最高の脆弱性が相次ぎ発覚
「ワーム可能」という脆弱性の恐ろしさを認識しておこう。(2020/7/20)

OpenSCAPで脆弱性対策はどう変わる?(8):
「Compliance As Code」とは――Ansible Playbookと組み合わせてみよう
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、OpenSCAP/SCAP Security Guideプロジェクトの発展形である「Compliance As Code」の概要と、試し方について。(2020/7/30)

脆弱性対策・管理入門(終):
脆弱性管理とセキュリティ診断サービスの未来とは
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。最終回は、脆弱性管理とセキュリティ診断サービスの未来について。(2020/7/21)

「TLS 1.0/1.1」証明書のサポートは今度こそ打ち切り:
Google、安定版の「Chrome 84」をデスクトップとAndroid、iOS向けに公開
デスクトップ向けのChrome 84では、危険度「Critical」を含む計38件の脆弱性を修正した。(2020/7/16)

Apple「iOS 13.6」リリース、脆弱性修正やヘルスケア症状記録など
「iOS 13.6」「iPadOS 13.6」のほか、macOSやwatchOSなどの脆弱性が多数修正された。(2020/7/16)

Windows DNS Serverに重大な脆弱性、ワームに利用される恐れも
Microsoftの2020年7月の月例セキュリティ更新プログラムでは、全部で123件の脆弱性が修正された。その中でも、DNSサーバの脆弱性はワームに利用される可能性もあり、対応を急ぐ必要がある。(2020/7/15)

SAP製品に危険度「10.0」の重大な脆弱性、攻撃者に特権アカウントを作成される恐れ
脆弱性を悪用すれば、攻撃者が認証なしで特権を持った新規のSAPアカウントを作成できる。全てのアクセスや認証コントロールをかわして、SAPシステムを完全に制御することが可能とされ、危険度は極めて高い。(2020/7/15)

Microsoft、危険度最高の脆弱性を修正する「Windows Server」向けセキュリティ更新プログラム公開
Microsoftが、全バージョンの「Windows Server」を対象とするセキュリティ更新プログラムを公開した。DNSサーバの重大なリモートコード実行の脆弱性で、CVSSの危険度は最高の10.0。速やかな適用を促している。(2020/7/15)

CISAが報告書で指摘
「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは?
「Microsoft 365」(旧「Office 365」)の不適切な設定が、脆弱性につながる可能性がある。どのような設定が不適切なのか。(2020/7/13)

Citrix製品の脆弱性、パッチ公開後に悪用探る動きを検出
Citrixが2020年7月7日に修正パッチを公開したばかりの脆弱性について、悪用を試みる動きが検出された。(2020/7/10)

脆弱性対策・管理入門(5):
脆弱性はアンチウイルスソフトやファイアウォールで守れるか
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について。(2020/7/8)

Androidの7月の月例セキュリティ更新は「Critical」4件を含む24件修正(Pixelシリーズは4件のみ)
Googleが、Android向けの7月の月例セキュリティ更新を開始した。危険度最高4件を含む24件の脆弱性に対処する。Pixelシリーズのアップデートでは「Moderate」4件に対処。(2020/7/7)

F5の「BIG-IP」に重大な脆弱性、悪用の動きが活発化
悪用の動きは2020年7月3日から活発化。危険度は極めて高く、米セキュリティ機関が警戒を促している。(2020/7/7)

Windowsコーデックライブラリに深刻な脆弱性、Microsoft Store経由で定例外の更新プログラム配信
悪用された場合、細工を施した画像ファイルをプログラムで処理させることによって、攻撃者に情報を入手されたり、任意のコードを実行されたりする恐れがある。(2020/7/2)

Palo Alto Networks製品のSAML認証に危険度最大の脆弱性、米サイバー軍も注意喚起
脆弱性はPAN-OSのSAML認証に存在する。危険度はCVSSで最大値の「10.0」。米サイバー軍は、「すぐにも外国のAPTが悪用を試みるだろう」と指摘した。(2020/7/1)

なぜ人は不正を働いてしまうのか?:
PR:テレワークありきのwithコロナ時代、「人の脆弱性」を鍛える方法とは
COVID-19収束後、日本は在宅勤務が当たり前の時代になるかもしれない。それは同時にセキュリティ対策の在り方も見つめ直しが求められる。あるエバンジェリストは「人は弱い。でも鍛えれば強くなれる」と指摘する。(2020/7/1)

数十万のシステムを即座に検査:
Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表
Googleは、ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開した。脆弱性の検出を一部自動化できるため、大量のシステムを持つ大企業にとって特に有用だという。(2020/6/26)

SIE、プレイステーションの一般向け脆弱性報酬プログラム開始 PS4の危険度最高なら5万ドルから
ソニー・インタラクティブエンタテインメント(SIE)が、誰でも参加可能な脆弱性報酬プログラム「PlayStation Bug Bounty」を開始した。PS4関連の危険度最高の脆弱性を報告した場合、報奨金は5万ドル(約535万円)からとなっている。(2020/6/25)

「セキュリティパッチが適切に更新されない」傾向も:
受信者をだまして攻撃に加担させる「スピアフィッシングメール」に注意 IPAがJ-CRATの活動を報告
J-CRATの2019年度下半期の活動報告によると、ネットワーク機器の脆弱性やソフトウェアの更新機能を悪用した攻撃などネットワークに侵入する手口が多様化しているという。(2020/6/25)

Google、セキュリティスキャナー「Tsunami」をオープンソースで公開 ポートスキャンなどで脆弱性を自動検出
Googleがセキュリティスキャナー「Tsunami」をオープンソースで公開。アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱性を発見してくれるツール。今後Tsunamiをさらに拡張し、遠隔からのコード実行などに対応する予定。(2020/6/23)

TCP/IPライブラリに重大な脆弱性、世界で数億台のIoTデバイスや産業制御装置に影響
「Ripple20」と命名された19件の脆弱性は、Treckが開発したTCP/IPソフトウェアライブラリに存在する。悪用されれば、プリンタから情報が盗まれたり、輸液ポンプの動作が改ざんされたり、産業制御装置に不具合が発生したりする恐れがある。(2020/6/18)

Google、デスクトップ向け「Chrome 83」のセキュリティアップデート公開
更新版の「Chrome 83.0.4103.106」では、危険度「高」の脆弱性4件を修正した。(2020/6/16)

脆弱性対策・管理入門(4):
現在のセキュリティ脅威に合っていない「脆弱性対策は公開サーバだけ」という実情
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、脆弱性対策は公開サーバだけでよいのかどうかについて。(2020/6/16)

脆弱性対策・管理入門(3):
依然として高シェアだがサポート終了のWindows 7、脆弱性対策はどうあるべきか
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、Windows 7サポート終了における脆弱性対策について。(2020/6/11)

Adobe、Flash PlayerやFramemakerなどの脆弱性を修正
「Flash Player」「Experience Manager」「Framemaker」のセキュリティアップデートが公開された。(2020/6/10)

Microsoftの月例更新プログラム、過去最多の129件の脆弱性に対処
129件の脆弱性のうち、11件が「緊急」指定。悪用される可能性が大きいSMBの脆弱性も修正されている。(2020/6/10)

Windowsファイルやプリンタ共有の脆弱性突くコンセプト実証コード公開、米セキュリティ機関が注意喚起
Microsoftが2020年3月に公開したセキュリティ更新プログラムを適用していないシステムが狙われている。(2020/6/9)

Google デスクトップとiOS向け「Chrome 83」の脆弱性に対処
デスクトップ向けのセキュリティアップデートでは5件、iOS向けでは2件の脆弱性を修正した。(2020/6/4)

「Firefox 77」リリース、任意のコード実行や暗号鍵流出の脆弱性に対処
重大度「高」の5件を含む、計8件の脆弱性が修正された。(2020/6/3)

Androidの6月の月例セキュリティ更新は「Critical」2件を含む多数の脆弱性修正あり
GoogleがAndroid OSの月例セキュリティ更新の6月版配信をPixelシリーズ向けに開始した。危険度が最高の2件を含む多数の脆弱性が修正され、PixelシリーズではBluetoothや音声などのバグ修正も多数行われる。(2020/6/2)

Androidの月例セキュリティ情報公開、システムなどに重大な脆弱性
システムの脆弱性を悪用されれば、リモートの攻撃者が細工を施した通信を使って特権プロセス内で任意のコードを実行できてしまう恐れがある。(2020/6/2)

iOSやmacOSなどのセキュリティアップデート公開、脱獄ツールで利用の脆弱性を修正
最新バージョンのOSリリース後すぐに公開されていた、脱獄ツール「Unc0ver」が狙う脆弱性を修正した。(2020/6/2)

「Moving Target Defense」(MTD)技術の強みをアピール:
Morphisec、Zoom会議を勝手に記録するメモリベースの攻撃について解説
Morphisecは、同社が発見したビデオ会議ツール「Zoom」の脆弱性を悪用した攻撃の仕組みを解説し、同社の「Moving Target Defense」(MTD)技術でこの攻撃を防止できると強調した。(2020/6/2)

脆弱性対策・管理入門(2):
新型コロナによるリモートワークとセキュリティ上の脅威
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。今回は、リモートワークとセキュリティについて。(2020/6/2)

Cisco製品に「SaltStack」関連の脆弱性、Ciscoのサーバに不正アクセス
「Cisco VIRL-PE」のサービス運営に使われていたCiscoのサーバ6台が、SaltStackの脆弱性を突いて不正アクセスされていたことが分かった。(2020/5/29)

“正義のハッカー”に聞くリスクと対策【中編】
ハッカーが明かす「クラウドサービス」に潜む“2つの危険”
クラウドサービスには具体的にどのような脆弱性があり、どのような攻撃に気を付けるべきなのか。ホワイトハッカーが解説する。(2020/6/30)

“取り戻す”最後のチャンス?:
新型コロナで露呈した米国製造業の弱点
新型コロナウイルス(COVID-19)は、米国製造業の脆弱性を露呈してしまったと、専門家は指摘する。“手遅れ”になる前に対処するには、どんな方法があるのか。(2020/5/29)

Apple、macOS Catalinaなどのセキュリティ情報を公開
「iOS13.5」で報告のあったメールアプリの脆弱性にも対処した。(2020/5/28)

「ゼロデイ脆弱性に対策はない」は本当か?:
PR:止まらない「ゼロデイ脆弱性を突いた攻撃」、気付けない「標的型攻撃による潜入」。その解決策とは
セキュリティ対策の基本は「パッチの適用」。一方、対応が難しいのが、パッチが存在しない段階で悪用されてしまう「ゼロデイ脆弱性」で、どうしようもないと諦めに似た感情を持つ人も少なくないだろう。だが、それは早計だ。(2020/5/28)

DNSサーバにDDoSの脆弱性、研究機関がGoogleやMS、Amazonら各社と連携して対策へ
「NXNSAttack」では、DNSで名前解決を行う再帰的リゾルバの仕組みを悪用することで、DDoS攻撃の威力を増幅させることが可能とされる。(2020/5/21)

Bluetoothコア仕様になりすましの脆弱性、ペアリングで悪用の恐れ
発見者によると、この脆弱性はAppleやIntelなどが影響を受ける。Bluetooth SIGはコア仕様の更新で対処する意向で、それまでの間はベンダー各社が緩和策を講じるよう呼び掛けている。(2020/5/20)

OpenSCAPで脆弱性対策はどう変わる?(7):
CVSS(共通脆弱性評価システム)3.0から3.1への変更点
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CVSS 3.0から3.1への変更点について。(2020/5/19)

EE Times Japan×EDN Japan 統合電子版:
“取り戻す”最後のチャンス? 新型コロナで露呈した米国製造業の脆弱性 ―― 電子版5月号
EE Times Japan×EDN Japan 統合電子版2020年5月号を発行しました。5月号のEE Exclusive(電子版限定先行公開記事)では、新型コロナウイルス(COVID-19)は、米国製造業の脆弱性を露呈してしまったという専門家の指摘を紹介する「“取り戻す”最後のチャンス? 新型コロナで露呈した米国製造業の脆弱性」をお送りします。(2020/5/18)

Adobeセキュリティアップデート公開、AcrobatとReaderなどの脆弱性に対処
AcrobatとReaderでは24件、DNG Software Development Kitのセキュリティアップデートでは12件の脆弱性を修正した。(2020/5/13)

Microsoftが111件の脆弱性を修正、更新プログラムを公開
111件の脆弱性のうち16件が「緊急」指定。(2020/5/13)

Thunderboltに不正アクセスの脆弱性、5分の離席で全てのデータが盗まれる危険も
ユーザーが席を離れた隙に攻撃者がコンピュータに物理的にアクセスできれば、ドライブの暗号化やパスワードロックと無関係に全データを盗み出せる。(2020/5/12)

脆弱性対策・管理入門(1):
そもそも「脆弱性」とは何なのか――WannaCry後&リモートワーク時代の脆弱性対策
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。初回は、脆弱性とは何か、今注目すべき理由について。(2020/5/12)

Androidの月例セキュリティ情報公開、システムコンポーネントなどに重大な脆弱性
システムコンポーネントの脆弱性は、リモートの攻撃者が細工を施した通信によって特権プロセスで任意のコードを実行できてしまう恐れがある。(2020/5/7)

バッファオーバーフロー攻撃に備える【前編】
「バッファオーバーフロー攻撃」の仕組みとは? 何が危険なのか?
メモリ領域の脆弱性「バッファオーバーフロー」はどのように悪用され、どのような危険性をはらんでいるのか。対策のために知っておくべきバッファオーバーフローと、それを悪用した攻撃の裏側を解説する。(2020/5/7)

Computer Weekly日本語版
最も脆弱性が少ない&多いプログラミング言語が判明
ダウンロード無料のPDFマガジン「Computer Weekly日本語版」提供中!(2020/5/7)

脆弱性最少言語はPython
最も脆弱性が多い言語は? OSSの脆弱性は増大傾向
WhiteSource Softwareがオープンソースコードのセキュリティ状況を調査し、レポートを公開した。脆弱性は前年比50%増と増大傾向にあるという。プログラミング言語別の脆弱性の状況も明らかになった。(2020/5/7)

Webアプリケーションを脅かす5つの脆弱性【後編】
バッファオーバーフロー、CSRF、アクセス権限の不備とは? 危険なWeb脆弱性
主なWebアプリケーションの脆弱性を理解することは、セキュリティ対策に役立つ。「バッファオーバーフロー」「CSRF」「アクセス制御の不備」の3つの脆弱性を紹介する。(2020/5/1)

【ねとらぼ10周年企画】記事で振り返るネットの話題:
【5年前の今頃は?】Apple Watch発売→「液体窒素で冷やしてハンマーでぶっ叩くと粉々になる脆弱性」が発覚
数年前の今日はどんな記事があった?(2020/4/29)

Sophos製ファイアウォールに脆弱性「XG Firewall」ユーザーにデータ侵害の可能性
Sophosの「XG Firewall」に未知の脆弱性が存在し、悪用されていたことが分かった。同社は「影響を受けるファイアウォールを使用している顧客は、データが侵害されたと想定する必要がある」としている。(2020/4/28)

「Microsoft Teams」にアカウント乗っ取りの脆弱性、画像表示だけで不正侵入
この問題を悪用すれば、細工を施したGIFを送り付けることによって、狙った相手のTeamsアカウントへの不正侵入が可能となる。(2020/4/28)

この頃、セキュリティ界隈で:
iOSのゼロデイ脆弱性、「差し迫った危険はない」とApple
日本企業の幹部も狙われたという脆弱性。Appleの対応はどうか。(2020/4/27)

一部のシャープ製スマホに脆弱性 シリアル番号など漏えいの恐れ 修正ソフトを配布【訂正あり】
シャープ製のAndroid搭載スマートフォン「AQUOS」シリーズに、セキュリティ上の脆弱性が見つかった。スマートフォンの識別番号やシリアル番号などの情報が漏えいする可能性があるとして、同社はソフトウェアの更新を呼びかけている。(2020/4/24)

シャープ製Android端末に脆弱性 アップデートで対応
IPAとJPCERT/CCが、4月23日にシャープ製Android搭載端末に情報漏えいの脆弱性が存在すると発表した。対策方法として、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。(2020/4/23)

iOSのメールにゼロデイ脆弱性の指摘 メールを受け取るだけで被害か(Appleからのコメントあり)
非常に危険な脆弱性がiPhone、iPadにあることが指摘された。報告者によれば既に攻撃例もあるという。(2020/4/23)

iOSにメールを受信しただけで悪用される脆弱性、日本企業を標的にした攻撃を確認
ZecOpsはiOS標準のメールアプリに2件の脆弱性を発見し、日本企業の幹部を狙った攻撃を検出した。メールを受信したユーザーが何もしなくても悪用される恐れがあると警告する。(2020/4/23)

Google、「Chrome 81」の脆弱性を修正 デスクトップ向けアップデート公開
今回のアップデートは、決済機能などに存在する8件のセキュリティ問題に対処した。(2020/4/22)

IBMの法人向けセキュリティ製品に未解決の脆弱性、セキュリティ研究者が情報公開
脆弱性を組み合わせて攻撃に利用すれば、認証を経ずにroot特権でリモートからコードを実行できてしまう可能性が指摘されている。(2020/4/22)

Googleが「COVID-19助成ファンド」創設、セキュリティ研究の継続を支援
新型コロナウイルス感染症によって生じた困難な状況を念頭に、脆弱性報告の実績のある研究者に助成金を支給する制度の対象を拡大する。(2020/4/21)

Zoom、新たな脆弱性発覚か 脆弱性発見プログラム強化に向けて専門企業と提携
Zoomは相次ぐセキュリティ問題の発覚を受け、脆弱性発見を目的としたバグバウンティプログラムの改善を目指し、同分野で実績のあるLuta Securityと提携した。(2020/4/17)

Oracle、Java SEの脆弱性など397件を修正 攻撃された場合の影響大
Java SEで修正された15件の脆弱性は、いずれもネットワークを介してユーザー認証なしで悪用される恐れがある。他にも多数の製品に危険度が極めて高い脆弱性が存在する。(2020/4/16)

Googleが「Chrome 81」の更新版リリース 重大な脆弱性に対処
デスクトップ向けの更新版では、音声認識機能に存在する重大な脆弱性が修正された。(2020/4/16)

Webアプリケーションを脅かす5つの脆弱性【前編】
SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性
攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。(2020/4/16)

「Windows 7」含む4件の脆弱性で悪用を確認 Microsoftが月例更新プログラム公開
4月の月例セキュリティ更新プログラムで対処した113件の脆弱性のうち、4件については既に悪用が確認されている。(2020/4/15)

「自社で脆弱性診断」をかなえられる
「脆弱性診断をしたくてもできない」予算や専門家不足はどうすれば解消できる?
Webアプリケーションのセキュリティ対策はますます需要が高まっており、最近では提供側が「脆弱性診断実施の有無」を問われることも少なくない。客観的基準に即した説明体制を、限られた予算と人材の中で実現する方法とは。(2020/4/13)

テレワーク中の従業員や助成金を求める人を狙ったコロナ便乗サイバー攻撃が横行 米英のセキュリティ機関が共同で注意喚起
新型コロナウイルスに便乗した詐欺メールや詐欺サイト、VPNの脆弱性を突く攻撃、ZoomやMicrosoft Teams、MicrosoftのRDPエンドポイントなどのテレワークインフラを狙う攻撃の増加が報告されている。(2020/4/9)

「Chrome 81」の安定版公開 タブグループ化機能や32件の脆弱性修正
Chromeブラウザのデスクトップ安定版がバージョン81にアップデートした。32件の脆弱性修正の他、タブグループの作成が可能になった。(2020/4/8)

Firefox 74の脆弱性突く攻撃発生、他のブラウザにも影響か
攻撃に利用された「Firefox 74」の脆弱性を修正するアップデートが公開された。発見者は、他のブラウザにも影響する可能性を示唆している。(2020/4/7)

4月のAndroid月例セキュリティ情報公開、重大な脆弱性に対処
リモートの攻撃者に特権プロセスで任意のコードを実行される脆弱性などが修正された。(2020/4/7)

Pixel 4の顔認証、目を閉じたらロック解除できない設定が可能に Androidの4月のセキュリティ更新で
Androidの4月の月例セキュリティパッチが配信開始された。このアップデートで、Pixel 4の顔認証で目を開いていないとロック解除できない設定が可能になった。「重大」13件を含む多数の脆弱性が修正された。(2020/4/7)

半径300メートルのIT:
Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか 脆弱性の“捉え方”から解説しよう
テレワークに多くの企業が移行する中、Web会議でおなじみになりつつある「Zoom」の脆弱性が話題になっています。どんなアプリにも脆弱性は付き物で、基本的に修正、アップデートすれば解決する――はずなのですが、今回はセキュリティ記者として見過ごせない問題が出てきたので、解説します。(2020/4/7)

Google、「Chrome 80」の脆弱性を修正 次期バージョンは4月7日週に公開
新型コロナウイルスの影響で一時的に見合わせていたリリースは再開し、Chrome安定版の次期バージョンとなる「Chrome 81」は4月7日の週に公開する。(2020/4/2)

FBIが警戒を呼び掛け:
Zoomに複数の脆弱性が判明 Web会議の「乗っ取り」被害、全米で相次ぐ
ZoomのWindowsクライアントとmacOSクライアントに未解決の脆弱性が判明した。FBIは「ZoomのWeb会議が乗っ取られる被害が相次いでいる」として注意を呼び掛けた。(2020/4/2)

ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性
ZoomのWindowsクライアントにWindowsのログイン情報を盗まれる恐れのある脆弱性があるとセキュリティ専門家が指摘した。UNCをハイパーリンク化できるので、パブリックグループに投稿された出自不明のハイパーリンクをクリックするのは危険だ。(2020/4/2)

車載セキュリティ:
テンセントのハッキングチームがトヨタ車の脆弱性を報告、トヨタは既に対策済み
トヨタ自動車は2020年3月30日、既に販売された一部のレクサス車とトヨタ車について、社外から脆弱性の指摘があり、対策を施したことを発表した。(2020/3/31)

山市良のうぃんどうず日記(175:緊急特別編):
緊急、Windowsの未パッチの脆弱性(ADV200006)回避策をバッチ化する
2020年1月にWindows 7の延長サポートが終了してからまだ2カ月半ですが、既に全てのWindowsに影響する深刻度の高い脆弱性が2つ明らかになっています。そのうちの1つはセキュリティ更新プログラムが未提供(4月のセキュリティ更新に含める形で提供予定)です。影響を緩和する回避策はありますが、多数のPCを管理している人にとっては手間のかかる作業です。そこで、その回避策を簡単に実施する方法を考えました。(2020/3/30)

監視や人権侵害が日常的に行われている国家では、ユーザーが大きな危険にさらされる:
AppleのiOSに「VPNバイパス」の脆弱性、最新バージョンでも修正されず
Appleがリリースしたばかりの「iOS 13.4」に、VPNで全てのトラフィックを暗号化できない脆弱性が存在する。(2020/3/27)

CitrixやZohoの脆弱性を突く大規模攻撃が発生中
FireEyeによると、中国のサイバースパイ集団「APT41」がCitrixやCisco、Zohoの製品の脆弱性を突いて、世界各地で大規模攻撃を仕掛けている。(2020/3/26)

徳丸浩氏×総務省サイバーセキュリティ統括官室 特別対談【前編】:
徳丸浩氏が総務省に聞く 脆弱性チェック「NOTICE」で、国は一体何をしたいのか?
あらゆるものがインターネットを介してつながり、これまでにない量の情報を多くの人が日々活用する――。そんな「Society 5.0」が現実的になりつつある中、多くの組織にとって課題になるのがセキュリティだ。そんな中、総務省は2019年にIoT機器の脆弱性をチェックする「NOTICE」を開始した。開始当時は一部で物議を呼んだ同施策だが、そもそもどのような効果を期待して始められたのか? NOTICEが始まった背景や現状について、セキュリティ専門家の徳丸浩氏が総務省のサイバーセキュリティ統括官室に切り込んだ。(2020/3/26)

iOSとiPadOSの「13.4」配信開始 iPadOSはマウスとトラックパッドに対応
AppleがiOSとiPadOSのバージョン13.4の配信を開始した。iPadOSではマウスとトラックパッドの対応、日本語のライブ変換の強化などが行われた。セキュリティ関連では30件の脆弱性を修正した。(2020/3/25)

iOSやmacOSのアップデート、多数の脆弱性を修正 Appleがセキュリティ情報公開
「iOS 13.4」「iPadOS 13.4」で30件の脆弱性を修正。macOSは「Catalina 10.15.4」と、MojaveおよびHigh Sierra向けのセキュリティアップデートが公開された。(2020/3/25)

Windowsに未解決の脆弱性、悪用試みる攻撃を確認
脆弱性修正のためのセキュリティ更新プログラムはまだ公開されていない。Microsoftはユーザーに対し、攻撃回避を呼びかけている。(2020/3/24)

Trend Microのセキュリティ製品の脆弱性突く攻撃を確認、更新版で対処
Trend Microは法人向け製品に発見された脆弱性のうち2件について、実際の攻撃に利用されていることを確認した。(2020/3/19)

Google、「Chrome 80」の脆弱性に対処 新型コロナ影響で今後のリリースは見合わせ
デスクトップ向けの更新版では13件の脆弱性が修正された。勤務スケジュールの調整を理由に、ChromeとChrome OSの今後のリリースは見合わせる。(2020/3/19)

Adobe、AcrobatとReaderのセキュリティアップデートを公開
今回のアップデートでは計13件の脆弱性が修正された。悪用されれば任意のコードを実行される可能性もあるという。(2020/3/18)

特選プレミアムコンテンツガイド
「iPhoneは絶対に安全」だと思ってはいけない理由
比較的安全なOSだと言われる「iOS」。だが「絶対に安全」だとは限らない。定期的に脆弱性が発見されることもあり、セキュリティ対策は不可欠だ。iOSや「iPhone」を脅威から守り、安全に利用するには。(2020/3/19)

この頃、セキュリティ界隈で:
今度は「CoronaBlue」? Microsoft SMBに新たな脆弱性、手違いで情報公開のフライングも
SMSプロトコルの脆弱性は厄介だ。そこに新たな脆弱性が生まれてしまった。(2020/3/16)

Microsoftが更新プログラムを緊急リリース、SMBv3の脆弱性に対処
一部のセキュリティ企業が言及していたSMBv3の脆弱性について、Microsoftが定例外の更新プログラムを公開して対処した。(2020/3/13)

IoTセキュリティ:
IoTデバイスに迫る「Mirai」の脅威、「攻撃者が脆弱性に目を付けている」
エフセキュアは2019年下半期におけるサイバー攻撃の世界的動向についての調査レポートを公表した。IoTデバイスを標的としたサイバー攻撃が多数観察された。(2020/3/13)

WannaCryの悪夢は再来するのか:
MicrosoftのSMBv3に未解決の脆弱性 パッチ公開は未定
脆弱性は、Windows 10バージョン1903で導入されたSMBv3圧縮処理の新機能に存在する。SMBの脆弱性は、ランサムウェア「WannaCry」に悪用されたことがある。(2020/3/12)

Avastがウイルス対策ソフトの脆弱性を修正 HTTPS通信の内容傍受の恐れ
発見者によると、Avast AntiTrackの脆弱性を悪用すれば、リモートの攻撃者が悪質なプロキシを使って被害者のHTTPSトラフィックを傍受し、認証情報を取得することも可能だった。(2020/3/12)

コード実行の脆弱性が多い:
ソフトウェア脆弱性は2019年にどう変わったのか? TheBestVPN.comが報告
TheBestVPN.comは主要なOSやWebブラウザなどで2019年に見つかった脆弱性を調査した結果を発表した。NIST(米国国立標準技術研究所)の「National Vulnerability Database」を基に分析した。OSでは「Android」、アプリケーションソフトウェアでは「Adobe Flash Player」の脆弱性が最も多かった。(2020/3/11)

Microsoftの月例更新プログラム公開、プレビュー表示で悪用できるWordの脆弱性も修正
Wordに存在する脆弱性は、細工を施したファイルをプレビューウィンドウで表示しただけで悪質なコードを実行される恐れがあり、マルウェアに利用されるのは確実とみられる。(2020/3/11)

「Firefox 74」公開、AirPods関連の脆弱性など修正――Mozilla Foundation
Mozilla Foundationは「Firefox 74」と「Firefox ESR 68.6」を公開し、多数の脆弱性を修正した。脆弱性の中には、Appleの「AirPods」に関するものもあった。(2020/3/11)

セキュリティ担当者の作業負担を軽減
「自動ペネトレーションテストツール」「脅威インテリジェンスサービス」とは? 脆弱性対策を楽にする2大手段
セキュリティ担当者がITインフラの脆弱性を見極め、適切に対処することは骨が折れる。その有力な効率化の手段が「自動ペネトレーションテスト」「脅威インテリジェンスサービス」だ。それぞれどのような手段なのか。(2020/3/10)

「クラウド脅威レポート 2020年春」を発表:
クラウドを危険にさらすIaCテンプレートが約20万件 パロアルト
パロアルトネットワークスが発表した「クラウド脅威レポート 2020年春」によると、脆弱性を含んだクラウドのIaCテンプレートが、19万9000件以上も見つかった。暗号化されていないクラウドデータベースも43%を占めていた。(2020/3/9)

デスクトップ向け「Chrome 80」のアップデート公開、外部から報告のあった重要度「高」の脆弱性に対処
脆弱性を悪用されれば攻撃者にシステムを制御される可能性があるとして、CISAもアップデートの適用を呼び掛けている。(2020/3/5)

Android月例パッチで修正の脆弱性、1年前から悪用コードが出回っていた
Android開発者向けフォーラムでは2019年4月から悪用コードが共有されていた。MediaTekは直後にパッチを公開していたが、GoogleがAndroidの月例パッチで対処したのは2020年3月だった。(2020/3/4)

「Meltdown」「Spectre」「ZombieLoad」に続く
Intel製CPUを襲う新たな脅威「CacheOut」 これまでの脆弱性と何が違う?
Intel製プロセッサでデータ漏えいを引き起こす可能性のある新種の脆弱性「CacheOut」が見つかった。これまでに明らかになった同様の脆弱性よりも進刻な攻撃につながる可能性があるという。何が危険なのか。(2020/3/4)

Google、3月のAndroid月例セキュリティ情報公開
ディアフレームワークの脆弱性のうち1件は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがある。(2020/3/3)

Wi-Fiチップの脆弱性をセキュリティ企業が発見 AppleやGoogleのデバイスなど10億台超に影響
脆弱性はBroadcomとCypressのWi-Fiチップに存在していた。発見したセキュリティ企業は、影響を受けるデバイスは10億台以上と推計している。(2020/2/27)

リコー製プリンタドライバに権限昇格の脆弱性 パッチ適用を呼びかけ
IPAおよびJPCERT/CCは、リコー製プリンタドライバにおける権限昇格の脆弱性を公表した。(2020/2/25)

Googleが「Chrome 80」のアップデート公開 ゼロデイ攻撃発生の脆弱性も
デスクトップ向けの「Chrome 80」で修正された脆弱性3件のうち1件については、既に攻撃の発生が伝えられている。(2020/2/25)

Citrixに侵入、ネットワーク内部に5カ月間潜伏したVPN攻撃が判明 その手口は
攻撃者がVPNの脆弱性悪用や弱いパスワードを突く「パスワードスプレー」の手段を使って標的とする企業のネットワークに長期間潜み、情報を盗み出している実態が浮き彫りになった。(2020/2/20)

既知の脆弱性で侵入が60%、IBMが「X-Force脅威インテリジェンス・インデックス2020」を発表
IBMは、サイバー脅威に関するレポートを発表した。2019年に見られた初期攻撃の傾向や、ランサムウェア攻撃の進化などが報告された。攻撃起点として既知の脆弱性が利用された割合が60%を占めた。(2020/2/19)

Mozillaの「Firefox 73」リリース、複数の脆弱性を修正
安定版の「Firefox 73」と、延長サポート版の「Firefox ESR68.5」が公開された。(2020/2/13)

Microsoftが月例セキュリティ更新プログラム公開、攻撃発生のIEの脆弱性に対処
すでにゼロデイ攻撃が発生していたIEの脆弱性など、99件に対処した。かつて国家間のサイバー攻撃に利用された「Stuxnet」で利用されたのと同じような脆弱性が含まれる。(2020/2/12)

「Google Chrome 80」リリース、新しいCookieの分類システムを導入
Chrome 80では新しいCookieの分類システムを導入。多数の脆弱性に対処し、通知許可のリクエストを目立たせないUIを採用してユーザーのプライバシー保護を強化した。(2020/2/7)

「コンテナエスケープ」の脅威と対策【後編】
コンテナ経由でホストを攻撃 「コンテナエスケープ」に備える3大ポイント
コンテナからホストシステムに抜け出す「コンテナエスケープ」を引き起こす脆弱性が、セキュリティ担当者にとって新たな問題となっている。コンテナエスケープによる被害を防ぐ方法を紹介しよう。(2020/2/7)

守りが薄いWebアプリケーション(3):
狙われるWebアプリケーション、脆弱性対策とWAFに期待できることとは
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。第1回と第2回ではWebアプリケーションの攻撃対象となる領域と、領域ごとの被害例に加えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスについて簡単に整理した。今回は、Webアプリケーション側で可能な対策について脆弱性への対応とWAFを中心に解説していく。(2020/2/6)

Google、2020年2月のAndroid月例セキュリティ情報を公開 システムの重大な脆弱性などに対処
重要度「Critical」の脆弱性は2件。ユーザーには通信キャリアや端末メーカーなどのパートナー企業を通じてセキュリティパッチが配信される。(2020/2/5)

Googleが2019年に支払った脆弱性情報に対する報奨金総額が7億円突破 1件で2千万円超も
2019年に報奨金を受け取った研究者は461人。1件当たりの最高額は20万1000ドルだった。報奨金を受け取った研究者の意向で慈善団体に寄付した金額も過去最高となった。(2020/1/30)

iOSとiPadOSの「13.3.1」配信開始 iOSではU1チップの位置情報追跡問題を修正
AppleがiOSとiPadOSの「13.3.1」の配信を開始した。iOSで指摘されていた位置情報をオフにしても追跡を続けていた問題に対処した。セキュリティ関連では23件の脆弱性に対処した。(2020/1/29)

ハードウェアに迫る危険【後編】
ハードウェアレベルの脆弱性が悪用されたら何が起こるのか? QSEEに学ぶ
2019年11月、Armの技術「TrustZone」をベースにしたQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。その悪用は、どのような脅威をもたらすのか。(2020/1/28)

“不衛生な端末”に注意
脆弱性を徹底して排除する「サイバーハイジーン」とは
セキュリティ管理手法として注目を集めるサイバーハイジーン。導入に当たってどのような課題があるのか。既存のセキュリティ対策と何が違うのか。(2020/1/27)

AppleがSafariの脆弱性に対処するも、Google研究者は「解決していない」と指摘
AppleはSafariのアップデートでユーザーのプライバシー保護機能に関する脆弱性に対処した。しかしGoogleの研究チームは、根本的な問題は解決されていないと主張している。(2020/1/24)

発見時に対処していれば……
Googleの対応の是非は? 4年前に発見されたAndroidの脆弱性で被害発生
Androidで深刻な脆弱性「StrandHogg」が発見された。実際に金銭的な被害も発生している。問題は、この脆弱性は4年前から知られていたことだ。4年前にGoogleが取った行動とは?(2020/1/24)

ハードウェアに迫る危険【前編】
Android全デバイスに影響か Qualcommのセキュリティ機構「QSEE」に脆弱性
Armの技術「TrustZone」に基づくQualcommのセキュリティ機構「QSEE」に脆弱性が見つかった。発見者によると、「全てのバージョンの『Android』搭載デバイスが影響を受ける」という。(2020/1/22)

Citrix、脆弱性修正のためのセキュリティパッチを提供開始
2020年1月19日に公開された修正プログラムは「Citrix ADC」のバージョン11と12.0が対象。残るバージョンについても1月24日に公開予定。(2020/1/21)

IEの脆弱性を狙ったゼロデイ攻撃が発生中、解決策なく「他のブラウザの使用を」
2020年1月21日現在、Microsoftの更新プログラムはリリースされていない。米国のセキュリティ機関は代替ブラウザの使用を勧告している。(2020/1/21)

半径300メートルのIT:
ゼロデイ攻撃発生、ユーザーにできる「減災」と「防疫」とは
Emotet、Citrix製品へのゼロデイ攻撃、Windows7のサポート終了、IEの脆弱性……、2020年もセキュリティに関する話題は盛りだくさんです。「完璧な安全」は誰にも保証できない時代、ユーザー側でできる最善の備えは何になるのでしょうか。(2020/1/21)

この頃、セキュリティ界隈で:
Windowsに証明書偽装の脆弱性、通信盗聴やマルウェアに悪用の恐れも あのNSAが報告した意図は?
Windowsの脆弱性が多方面で影響を与えている。その流れを追う。(2020/1/20)

「Chrome 79」のアップデート公開、Windows CryptoAPIのECC証明書検出に関する脆弱性などに対処
Windowsの証明書検証に関する脆弱性の対策を実装。また、音声認識に関係する重大な脆弱性などが修正されている。(2020/1/17)

「ユーザーは自らを守れ」と言われても……
5Gプロトコルに深刻な脆弱性、端末の追跡、通信の窃視・切断も可能
5Gプロトコルに11件の脆弱性があることが判明した。悪用されると何が起こるのか? 想定される最悪の事態とは何か。(2020/1/17)

悪用につながる極めて深刻な脆弱性も Oracleが四半期パッチを公開
Oracleは「Critical Patch Update(CPU)」を公開した。今回のCPUでは、計334件の脆弱性が修正された。(2020/1/16)

Windowsに証明書偽装の脆弱性、セキュリティ機関が一斉アラート
問題の脆弱性を悪用すれば正規のroot証明書に見せかけた不正な証明書を偽造できる恐れがあり、メールや実行可能コードの署名、HTTPS接続などの安全対策が脅かされかねない。(2020/1/15)

Microsoft、NSAが報告した危険度1の脆弱性修正を含む月例セキュリティ更新プログラムを公開
Microsoftが1月の月例セキュリティ更新プログラムを公開した。米国家安全保障局(NSA)が報告した暗号化を悪用する危険度1の脆弱性修正を含む。(2020/1/15)

Citrix製品に未解決の脆弱性が判明、悪用コード公開で攻撃多発
Citrix製品の未解決脆弱性を突いて、バックドアをダウンロードさせようとする攻撃が多発している。ファームウェアの更新版は1月20日からリリースされる見通し。(2020/1/14)

「コンテナエスケープ」の脅威と対策【前編】
Dockerも利用する「runc」に重大な脆弱性 何が危険か? 対策は?
主要なコンテナランタイム「runc」に重大な脆弱性が見つかった。攻撃者がこの脆弱性を悪用すると、コンテナ経由でホストシステムの管理者権限を奪える可能性がある。対策はあるのか。(2020/1/10)

Google、デスクトップ向け「Chrome 79」の脆弱性に対処
デスクトップ向けの「Chrome 79.0.3945.117」では3件のセキュリティ問題を修正した。(2020/1/9)

Firefox 72に重大な脆弱性 攻撃の発生を確認、アップデートの適用を
公開されたばかりの「Firefox 72」に重大な脆弱性の存在が判明。この脆弱性を突く攻撃の発生も確認された。(2020/1/9)

Androidの月例セキュリティ情報公開、メディアフレームワークに深刻な脆弱性
Androidのメディアフレームワークとカーネルコンポーネントに「Critical」の脆弱性が存在する。(2020/1/8)

既知の脆弱性を悪用するアプリがGoogle Playストアに混入
Androidの既知の脆弱性を悪用して不正なアプリを呼び込み、ユーザー情報を盗み出していた。(2020/1/7)

専門家は“大規模な攻撃の前兆”と予測
WindowsのRDP脆弱性「BlueKeep」の悪用例をついに観測 その影響は
2019年11月、脆弱性「BlueKeep」を悪用した初のエクスプロイトが発見された。ベンダーやセキュリティコミュニティーが注意を促す一方で、専門家はさらなる攻撃の拡大を想定する。(2020/1/7)

2016年から存在
「Firefox」が操作不能になる脆弱性 ダイアログが“無限”に出現
「Firefox」を操作できなくなる脆弱性が、2019年11月に報告された。この脆弱性は過去に修正が試みられたにもかかわらず、これを悪用した攻撃が引き続き発生しているという。それはなぜなのか。(2019/12/28)

Appleのバウンティプログラム、macOSの脆弱性も賞金の対象に 最高額1億6000万円
iOSやmacOSの脆弱性を発見した研究者などに10万ドル〜100万ドルの賞金を贈呈。特定の条件を満たした場合は50%を上乗せする。(2019/12/24)

「日テレニュース24」Androidアプリに脆弱性 通信内容の取得や改ざんの恐れも
日本テレビ放送網が提供するAndroidアプリ「日テレニュース24」の脆弱性が発表された。通信内容の取得や改ざんなどが行なわれる可能性があるため、JPCERT コーディネーションセンターはアプリを最新版へアップデートするよう注意を促している。(2019/12/20)

不具合修正、ついでに脆弱性にも対処:
「Chrome 79」のアップデート公開 アプリのデータは消えていなかった
Windows、Mac、Linuxを対象とするデスクトップ向けのアップデートでは、脆弱性が修正された。(2019/12/19)

サイバーセキュリティマネジメント海外放浪記:
42カ国放浪して分かった、日本人的思考の脆弱性
18年間、海外出張という形で42カ国を訪問し、渡航回数では150回を越えているが、そのたびに、日本におけるセキュリティマネジメントに関する課題を実感する。国外の人と議論して得られた経験とは。(2019/12/19)

「サイドチャネル攻撃」でデータを盗み出す
Intel製CPUを狙う攻撃「ZombieLoad」に新種が登場 現行のパッチも無効
Intel製プロセッサにある脆弱性を悪用する「ZombieLoad」の新種が見つかった。発見した研究者グループによると、元々のZombieLoadへのパッチに欠陥があったことも判明したという。(2019/12/17)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。