「改ざん」関連の最新 ニュース・レビュー・解説 記事 まとめ

AIインフラづくりのこつ
Ciscoの幹部が語る、AIの力を引き出すインフラ構築戦略「3本柱」とは
企業でAI技術を最大限に活用するには、学習や推論といった処理を支えるインフラが不可欠だ。そうしたインフラを構築する際のこつとは何か。Cisco Systemsの幹部に、AI利用を成功させる「3つの柱」を聞いた。（2025/8/18）

セキュリティニュースアラート：
BitLockerを完全回避する4つのゼロデイが見つかる　Microsoftが発表
MicrosoftはBlack Hat USA 2025で、WinREの設計変更を悪用し、BitLockerを回避する4件のゼロデイ脆弱性を公開した。物理アクセスで認証不要の攻撃が可能とされている。（2025/8/14）

「駿河屋」で不正アクセス、個人情報の漏えいを確認――クレジットカード決済は一時停止
ホビー系ECサイトの駿河屋が、第三者による不正アクセスを受け、クレジットカードを含む個人情報の漏えいを確認したと発表した。（2025/8/12）

セキュリティニュースアラート：
駿河屋がクレカ情報流出　第三者による不正アクセス被害が発生
駿河屋はECサイト「駿河屋.JP」が第三者による不正アクセスを受け、顧客のクレジットカード情報を含む個人情報が漏えいしたと報告した。改ざんによって顧客が決済時に入力した情報が外部に流出する状態となっていたという。（2025/8/12）

「HTTP」の基本と進化を理解する【後編】
「HTTP/3」で何が変わった？　QUIC、HTTPSがもたらした“Web通信の進化”
Webページがスムーズに、そして安全に届くのは、通信技術の進化があってこそだ。「HTTP/3」で採用された「QUIC」や、Webの安全性を支える「HTTPS」などの役割をひもとく。（2025/8/10）

駿河屋、ECサイトに不正アクセス　クレカ情報を含む個人情報が漏えいか　8日よりカード決済停止
駿河屋は8月8日、同社が運営するECサイト「駿河屋.JP」が第三者による不正アクセスを受け、クレジットカード情報を含む個人情報が漏洩したと発表した。被害件数は調査中としており、影響拡大防止のため同日よりクレジットカード決済を停止している。（2025/8/9）

セキュリティニュースアラート：
100機種超に影響　Dell製ノートPCに複数の重大な脆弱性
Cisco TalosはDell製ノートPCに搭載されているファームウェアおよびAPIに5件の深刻な脆弱性があると発表した。これらの脆弱性は「ReVault」と名付けられており、100機種以上に影響を与えるとされており注意が必要だ。（2025/8/8）

調査で分かったプリンタのセキュリティホール
「旧式プリンタ」は無害どころか致命的　放置された“まさかの脆弱性”
HPが実施したセキュリティに関する調査で、企業におけるプリンタの脆弱性が明るみに出た。導入から廃棄まで、各段階で企業が見落としがちなプリンタのセキュリティリスクとは。（2025/8/8）

セキュリティニュースアラート：
BIOSに隠れて常駐する高度な新型マルウェア「Shade BIOS」の脅威
FFRIセキュリティの松尾和輝氏がBIOS上でOSに依存せず動作するマルウェア「Shade BIOS」についてBlack Hat USA 2025で発表する。Shade BIOSは、BIOSの環境をOS起動後も維持し、従来のUEFIマルウェアを超える検出困難な構造を持つ。（2025/8/6）

データ保護から始める最終防壁構築：
「リストアしたら中身が○○？」　ランサムウェア暗号化で起きた“怖い話”
「ランサムウェア被害に遭ってもデータバックアップさえ取っていれば安心」と思っていませんか？　実はその思い込みは危険かもしれません。今回は筆者が聞いた、ランサムウェア被害におけるデータ暗号化で起きた“怖い話”を紹介しましょう。（2025/8/7）

セキュリティニュースアラート：
9割超がAIモデルやAIアプリへの侵害を経験　IBMの年次調査で判明したリスク
IBMの2025年版調査によると、AI導入が進む中、アクセス制御やガバナンスが整備されていない企業が多数を占めた他、AI関連のセキュリティ侵害が深刻化していることが判明した。（2025/8/2）

AIニュースピックアップ：
ソフトバンク、AIエージェント間通信の安全性向上技術を開発　A2A、ACPを補完
ソフトバンクはAIエージェント間の安全な連携を実現する技術のプロトタイプ開発に成功したと発表した。この技術は異なる管理基準でもAIエージェントが安全に通信できる仕組みを構築し、動的ガバナンス制御や認証・認可などの特徴を持つ。（2025/7/31）

定置用蓄電システム普及拡大検討会（2025年度第1回）：
蓄電所へのサイバー攻撃リスクが検討課題に　蓄電システムの収益性評価も公開
資源エネルギー庁の「定置用蓄電システム普及拡大検討会」で、系統用蓄電池のサイバーセキュリティ対策の動向や、業務・産業用蓄電システムの収益性評価が報告された。（2025/7/29）

セキュリティニュースアラート：
TP-Link製NVRとルーターに深刻な脆弱性　サポート終了製品も含まれるため要注意
TP-LinkのNVRおよびルーターに深刻な脆弱性が確認された。NVRはOSコマンドインジェクションによって不正に制御される恐れがあり、ルーターにはクリックジャッキングの脆弱性が存在する。後者はサポート終了により使用中止が推奨されている。（2025/7/28）

IoTセキュリティ：
PR：法規対応に伴うPSIRT構築やSBOM管理にどう対応する？　いま必要な取り組みとは
IoT機器へのサイバー攻撃の急増に伴い、国内外で規制やガイドラインの制定が進んでいる。もはやIoT機器のセキュリティ対策は待ったなしの状況だが、PSIRT構築やSBOMの作成などやるべきことは多い。国内の製造業はどう対応すればいいのだろうか。（2025/7/24）

セキュリティニュースアラート：
SSL VPNに偽装したマルウェア「SilentRoute」に注意　その巧妙な手法を解説
VPNクライアントに偽装したマルウェア「SilentRoute」が見つかった。正規ソフトに偽装し、資格情報を外部に送信する高度なマルウェアだ。被害者は検索エンジン経由で偽のWebサイトに誘導され、ダウンロードしていた。（2025/7/23）

Merkmal：
また税金？　走った分を課税する「走行距離課税」のゆくえ
電動車の普及と燃料税収の約1兆円減少を背景に、日本の自動車税制は「走行距離課税」の導入が急務となっている。若者の72.8%がクルマ離れを自覚し、カーシェア会員は50%増。公平性と技術課題、プライバシー保護が焦点となる中、国民的議論の深化が求められている。（2025/7/20）

新任教員600人以上の給与に相当
成績表はスマホに配信――英国が進める教育DXと“年間60億円”の経費削減策
英国教育省は、生徒の進路に関わる成績証明書をデジタル化し、モバイルアプリケーションで配信する取り組みを進めている。これは教育機関が抱えるさまざまな課題を解消し得る一方、新たな課題を生み出す懸念もある。（2025/7/20）

セキュリティニュースアラート：
中国製IPカメラにCVSS 10.0の脆弱性　ベンダーは“音信不通”
中国製のIPカメラに、デフォルトで無効化不能なTelnetサービスが存在し、rootアクセスが可能となる重大な脆弱性が見つかった。CVSS 10.0の脆弱性とされているが、ベンダーへの連絡手段は存在せず、修正方法も公開されていないという。（2025/7/16）

PR：「そのPC、本当に現場で使えますか？」　ベテラン情シスが語る、従業員満足度と管理効率を劇的に上げる“ビジネスPC”選びの極意
大手IT企業で情報システム部門（情シス）を担っている筆者が、大企業から中小企業、SOHOまで、現在のトレンドや現場のニーズにあわせたビジネスPCの選定方法を解説する。（2025/7/17）

ダークパターン対策協会、“誠実な事業者”が一目で分かる「NDD認定マーク」制度を10月開始へ　チェックシート公開で「自己審査を進められる」
ダークパターン対策協会は15日、今秋スタートする「NDD（Non-Deceptive Design：非ダークパターン）認定制度」に先立ち、「NDD認定マーク」と企業向けの「自己審査チェックシート」を公開した。（2025/7/15）

電圧や電流、温度などを同時記録可能：
過酷な現場に耐える　インフラ保守向けメモリハイコーダー、日置電機
日置電機は、メモリハイコーダー「MR8848」を発売した。社会インフラの保守や異常解析に向けたもので、耐衝撃設計や絶縁多チャンネル入力、SSDへの波形記録機能、LAN通信機能などを備えている。（2025/7/15）

増え続ける脆弱性とどう向き合うか：
脆弱性管理の「もやもや」を解消するポイントとは？　識者や担当者の議論に学ぶ、脆弱性管理体制構築のヒント
2024年11月に開催されたInternet Week 2024では「脆弱性管理は必要不可欠だけど、どう進めればいいか分からない」という課題をテーマに、講演者や参加者同士で議論するBoFが開催された。（2025/7/15）

セキュリティニュースアラート：
TLSの仕様差を悪用した中間者攻撃「Opossum攻撃」に要注意　研究者らが発見
研究者らは「Opossum攻撃」と呼ばれる新たな攻撃を発表した。この攻撃は暗黙的TLSと機会的TLSの同期のずれを突き、通信内容の改ざんを可能にする。PoC公開済みのため、脅威アクターが既存のインフラに対し同様の手法を悪用する可能性がある。（2025/7/14）

5つの戦略と5つの技術
アプリとAPIの保護が「WAFだけ」では危険な理由と“正しい”防御策
アプリケーションやAPIを狙う攻撃が巧妙化し、WAFなどの従来の対策だけでは不十分な場面が多々生じている。アプリケーション構造の変化に伴って誕生した新たな脅威に、企業はどう立ち向かうべきか。（2025/7/14）

Cybersecurity Dive：
イスラエルの軍事行動への加担に対する報復か　イランの脅威アクターが活動開始
CISAらは共同勧告の中で、イランが現在の地政学的状況を背景に、短期的なサイバー作戦として米国企業を標的にする可能性があると指摘した。報復活動の一環として、イランに関連したサイバー攻撃者が大規模なDDoS攻撃を展開する可能性がある。（2025/7/13）

セキュリティニュースアラート：
FortiWebにSQLインジェクションの脆弱性　CVSS 9.6でアップデート推奨
Fortinetは、FortiWebにSQLインジェクションの深刻な脆弱性「CVE-2025-25257」が存在すると公表した。CVSSスコアは9.6で緊急と評価されており、対象バージョンにはパッチ適用が強く推奨されている。（2025/7/11）

連載：海外製パワコンは本当に危険なのか？（2）：
太陽光発電へのサイバー攻撃で大規模停電は可能？　技術的脅威の実態と検証可能性
太陽光発電のセキュリティ課題について、技術的・実務的な観点から検証していく本連載。第2回の今回は、ちまたで噂されるパワコンの「隠された通信機能」と、太陽光発電へのサイバー攻撃による大規模停電の可能性について検証していきます。（2025/7/11）

継続的な取り組みには文書化も不可欠：
普通の組織で「脆弱性管理」を始めるには？　日本シーサート協議会WGが解説する4つのステップ
サイバー攻撃は事業継続を脅かす経営課題となって久しい。サイバー攻撃の被害を招く主要な原因の一つにあるのが、対策可能なはずの「既知の脆弱性」だ。では、普通の組織は既知の脆弱性管理をどう始めればよいのか。日本シーサート協議会の脆弱性管理WGが「Internet Week 2024」で、脆弱性管理を始めるための4つのステップを解説した。（2025/7/11）

意外と知らないメールサーバ構築・運用の基本（7）：
SPF・DKIM・DMARCの図解、設定の確認方法――GmailもOutlook.comも、なりすましメールを防ぐべく「DMARC必須」
メールの仕組みや基礎を再確認しながら、確実にメールを届けるために必要な設定や運用のポイントを解説する連載。今回は、送信ドメイン認証の中でも特に重要性が増している「DMARC」について、その背景から具体的な対応のポイントまで解説する。（2025/7/14）

旧日立造船のカナデビア、ごみ焼却施設でアフリカ進出へ　不正の再発防止では人員1割増も
昨年10月に日立造船から社名変更したカナデビアは、今年度中にもごみ焼却施設の建設でアフリカに進出すると明らかにした。海外では欧州を中心にごみの埋め立てから焼却への転換が進んでおり、将来的な需要が見込めるアフリカ市場にいち早く参入する。（2025/7/10）

セキュリティニュースアラート：
PuTTYやWinSCP偽装してマルウェア配布　新手の攻撃キャンペーンに注意
PuTTYやWinSCPなどの正規ツールを装って、標的にバックドア「Oyster/Broomstick」をインストールさせる新手の攻撃キャンペーンが観測された。管理者が業務上必要とするツールを迅速に取得しようとする傾向を悪用しているとみられる。（2025/7/10）

セキュリティニュースアラート：
インメモリデータベース「Redis」に深刻な脆弱性　PoC公開済みのため要注意
Redisに深刻な脆弱性が見つかった。この脆弱性が攻撃者に悪用されるとリモートコード実行が可能となる。PoCやエクスプロイト手法が公開されているため要注意だ。迅速なアップデートが推奨される。（2025/7/9）

APIセキュリティを強めるポイントも
「API攻撃」とは何か？　情報漏えいを引き起こす5つの手口
APIへの攻撃が増加しており、企業に深刻な情報漏えいのリスクをもたらしている。API攻撃の手口と、その対策としてのAPIセキュリティのベストプラクティスを紹介する。（2025/7/9）

スマホのQRコード決済で不正利用されないための心得
スマホやネットに関するトラブル・犯罪に巻き込まれないためのTipsを解説する。（2025/7/4）

小寺信良の「プロフェッショナル×DX」：
無断転載防止の切り札？　自分のデジタル作品に“来歴情報”を埋め込む、Adobeの無料ツールを試す
4月の「Adobe MAX London」で発表された新しいWebツール「Adobe Content Authenticity」。コンテンツがどのように作成されたかの来歴情報「Content Credentials」を埋め込むためのもので、Adobe製品を使っていないユーザーでも来歴情報を自身の作品に埋め込むことができるようになった。実際にどう使うのか、β版を試してみた。（2025/7/3）

セキュリティニュースアラート：
Sudoに深刻な脆弱性　chroot機能に潜むリスクに要注意
Stratascaleは、LinuxのSudoに存在する深刻な脆弱性「CVE-2025-32463」を公表した。この脆弱性はchrootオプションの不備により、一般ユーザーがroot権限を取得できる問題で、ユーザーには速やかなアップデートが推奨されている。（2025/7/3）

74％の企業が「APIファースト」を採用：
APIセキュリティ徹底ガイド　脅威に備えるための「13の実践ポイント」を解説
TechTargetは「APIセキュリティのベストプラクティス」に関する記事を公開した。APIセキュリティを確保するために有用な13個の施策を紹介している。（2025/7/3）

総当たり攻撃の痕跡や、システム更新不備が判明──1カ月ぶり復旧の滋賀県立図書館公式サイト、原因調査の結果を公開
滋賀県教育委員会は7月1日、不正アクセスによる改ざんを受けて5月末から閉鎖している県立図書館のWebサイトについて、調査結果を公表した。管理用IDへの総当たり攻撃の痕跡や、システム更新の不備が確認されたといい、システムの再構築とセキュリティ対策の強化を実施した。Webサイトは7月2日午前10時に再開する。（2025/7/1）

セキュリティニュースアラート：
Cloudflare、超セキュアなOSSWeb会議ツール「Orange Meets」を公開
CloudflareはE2EE対応のビデオ通話アプリ「Orange Meets」を発表した。SFUの利点を生かしつつ、MLSやRust、WASMを使って高いセキュリティを確保しており、オープンソースとして一般にも公開されている。（2025/7/1）

AIエージェントのリスク管理に次の一手：
「ガバナンスとセキュリティがAIエージェント活用の鍵」　IBMが新機能を発表
IBMは2025年6月18日、AIエージェントのガバナンスとセキュリティを統合管理できるソフトウェアを発表した。企業がAIのリスクを可視化し、より安全かつ責任あるAI運用を実現できるようにするための機能を提供する。（2025/6/30）

Cybersecurity：
中国の工作員がSentinelOneに侵入をトライ　わざわざセキュリティ企業を狙うワケ
SentinelOneに侵入を試みた中国に関連している工作員は、世界中の数十の重要インフラ組織に対するサイバー攻撃に関与していたことが判明したという。わざわざ攻撃者がセキュリティ企業を狙う理由はどこにあるのか。（2025/6/21）

セキュリティニュースアラート：
SUSE系Linuxに深刻な脆弱性　ほぼ全てのディストリビューションに影響か
QualysはSUSE系Linuxにおける深刻な脆弱性を公表した。PAMなどの不備によりroot権限の取得が可能とされている。ほぼ全てのLinuxディストリビューションに影響するとされており、早急な対策が求められている。（2025/6/20）

マルウェア感染でサイト改ざん→「対抗できない」ため仮設サイトオープン　日本体操協会
日本体操協会は、公式Webサイトが5月末に不正アクセスを受けて改ざんされた後、「対抗できない状況が続いている」ため、一時的に仮設のWebサイトを開設した。（2025/6/19）

Cybersecurity Dive：
米国と同盟国、安全なAI開発に向けたセキュリティガイダンスを公開
重要インフラの分野においてハッカーによるAIシステムの悪用が懸念される中で、この度、米国とその同盟国による共同ガイダンスが発表された。AI開発の安全性を高める効果が期待されている。（2025/6/13）

国際規格に準拠する8製品を紹介【後編】
DellやMicrosoftも提供　“徹底的”にデータを消去できるツール4選
PCを廃棄する際、安全かつ確実にデータを消去することは、企業のコンプライアンス順守において重要だ。そのために役立つデータ消去ソフトウェアやツールを4つ紹介する。（2025/7/7）

国際規格に準拠する8製品を紹介【前編】
迷ったらこれ　消去証明書の発行も抜かりない「データ消去」ソフトウェア4選
PCのリプレースや廃棄で必要になるのがデータの消去作業だ。安全かつ確実に機密情報を消去すると同時に、消去証明書を発行できるデータ消去ソフトウェアを4つ紹介する。（2025/7/1）

Broadcomの“非情な選択”
VMware永久ライセンスはもうおしまい？　“パッチ対象外”でも生き残る方法
VMware製品のサポート体制が激変し、永久ライセンスユーザーは重要なパッチを容易に入手できなくなる可能性に直面している。そのような状況下でも対策の糸口はあるのか。（2025/6/8）

サプライチェーンビジビリティーとは何か【前編】
今、サプライチェーンに「見える化」が必要な理由
変化の激しい時代においては、サプライチェーン全体を可視化することで、企業の競争力を強化できる可能性がある。“見える化”で重要な役割を果たす「SCV」について解説する。（2025/6/3）

2025年5月は脆弱性祭り
“PC乗っ取り”の恐れも　Microsoft製品の危険な「ゼロデイ脆弱性」とは
広く普及しているMicrosoft製品に、幾つかの重大な脆弱性が見つかった。攻撃者が悪用すると、システムを完全に制御して機密情報を漏えいさせる可能性がある。影響を受ける製品やサービスは何か。（2025/6/2）