「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

セキュリティニュースアラート：
Windowsのセキュリティ機能「WDAC」をすり抜けるブラウザベース攻撃が登場
IBMのX-ForceはElectronの脆弱性を利用し、WDACを回避する攻撃手法を実証した。シェルコードをWebブラウザプロセス内で実行することでEDR製品の検知を回避できることが分かっている。（2025/5/20）

脆弱性対策が後退するリスク
脆弱性識別子「CVE」に突如として訪れた“存亡の機”　これからどうなる？
2025年4月16日、米国のIT研究団体MITREが提供している脆弱（ぜいじゃく）性識別子「CVE」の存続が危ぶまれているという衝撃的なニュースが世界中を駆け巡った。一体どういうことなのか。（2025/5/19）

セキュリティニュースアラート：
「もう手動での対応は無理……」　Linux関連の脆弱性は前年比で967％増加
Action1は2025年版「Software Vulnerability Ratings Report」を発表した。ソフトウェア脆弱性は2024年に前年比61％増加し、既知の悪用件数も96％増加したという。特にLinux関連の脆弱性は前年比で967％増加した。（2025/5/19）

Cybersecurity Dive：
614社がサイバー保険に加入できずランサムウェア被害に　調査で判明した悲しい実態
Coalitionの調査によると、ランサムウェアの損失額が前年と比較して減っているが、脆弱性を修正できなかったためにサイバー保険に加入できずランサムウェア被害に遭うケースも多いという。（2025/5/19）

週末の「気になるニュース」一気読み！：
「Bluetooth 6.1」発表　デバイスのプライバシーが向上／「Google Chrome」にゼロデイ脆弱性
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、5月11日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/5/18）

セキュリティニュースアラート：
Zoom Workplace Appsに複数の脆弱性　Windows版を含む全てのバージョンに影響
Zoomは「Zoom Workplace Apps」に影響を与える複数のCVEに対応するセキュリティ更新を公開した。Windows版含む全Zoom Workplace Appsが影響を受ける。即座にアップデートを適用し、被害を未然に防ぐ必要がある。（2025/5/16）

Innovative Tech：
他人のスマホを“AirTag”に変えるサイバー攻撃　Apple「Find My」の脆弱性突く　米国チームが発表
米ジョージ・メイソン大学に所属する研究者らは、Bluetooth対応デバイスを追跡するための攻撃手法「nRootTag」を提案した研究報告を発表した。（2025/5/16）

Cybersecurity Dive：
なぜ攻撃者は古い脆弱性を好んで狙うのか？　専門家が語る幾つかのワケ
GreyNoise Intelligenceの調査によると、世界中の脅威グループは古い脆弱性を積極的に悪用していることが明らかになった。そこには幾つかの理由があるようだ。（2025/5/16）

足元の油断が招くリスク
“当たり前”の不備が大問題　企業によくある5つの脆弱性と対策
事業を脅かしかねないサイバー攻撃は、どの企業にも存在し得る脆弱性が引き金になる場合がある。放置すべきではない代表的な5つの脆弱性と、その具体的な修正法を解説する。（2025/5/16）

セキュリティニュースアラート：
Appleが広範囲にセキュリティ修正を実施　急ぎアップデート対応を
AppleはiOSやmacOS、watchOSなど主要製品向けにセキュリティアップデートを公開した。各OSで悪意あるメディア処理やシステム権限昇格、BluetoothやWebKit関連の脆弱性を修正した。（2025/5/15）

「iOS 18.5」配信開始　「iPhone 13」でも衛星通信機能が利用可能に
Appleは「iOS 18.5」の配信を開始した。このアップデートで、「iPhone 13」でも衛星通信機能を利用可能になる。30件以上の脆弱性への対処と複数の機能強化とバグ修正も行われる。（2025/5/13）

Innovative Tech：
Web会議の“バーチャル背景”から実背景を復元する攻撃　ZoomとGoogle Meetで検証　欧州チームが発表
ドイツのベルリン工科大学やブラウンシュヴァイク工科大学などに所属する研究者らは、Web会議のバーチャル背景の脆弱性を示した研究報告を発表した。（2025/5/12）

Microsoftが公開した126件の脆弱性
ランサムウェアに悪用された“Windowsの穴”とは？　パッチで直らない脆弱性も
2025年4月8日、Microsoftは同社のサービスに存在する126件の脆弱性を公開した。すでに悪用が確認されたものも含まれている。特に危険性の高い脆弱性と、取るべき対処を紹介する。（2025/5/12）

AndroidとPixelに5月の月例更新　Pixelでは録音品質低下問題改善などの修正も
Googleは5月のAndroidとPixelの月例セキュリティ情報を公開した。「限定的な標的型攻撃の対象である可能性を示す兆候がある」脆弱性修正も含まれる。Pixelではバグ修正も行われる。（2025/5/9）

セキュリティニュースアラート：
バグ報奨金制度が詐欺の温床に？　curlプロジェクトで露見したマズイ実態
Socketは、生成AIによる虚偽の脆弱性レポート「AI slop」がバグ報奨金制度を揺るがす実態を明かした。curlやPython財団などでも問題が表面化し、信頼に基づく報奨制度が詐欺の温床となる危険が指摘されている。（2025/5/9）

JERAが“脆弱性管理”に本気の理由　手作業の業務をどう変革したか？
エネルギー企業JERAはDX推進の一環としてセキュリティ対策を強化している。同社は従来手作業で実施していた脆弱性管理をどのように効率化したのか。脆弱性管理を実施する上でのスタンスや具体的なソリューション導入のポイントを聞いた。（2025/5/12）

米政権に翻弄されるCVEプログラム
CVE管理体制が大幅転換？　IT部門担当者がやるべきことはこれだ
米国立標準技術研究所が、脆弱性情報の更新方針を一部変更すると発表した。さらに、脆弱性識別子を管理する新たな組織が発足した。この混乱にIT部門担当者はどう臨めばいいのか。（2025/5/20）

セキュリティニュースアラート：
Googleが示す2024年ゼロデイ攻撃の全容　脆弱性75件を追跡調査
Googleは2024年のゼロデイ脆弱性の悪用状況を分析した年次レポートを公開した。同年では75件のゼロデイ脆弱性の悪用が確認されたが、この流れは今後、拡大するとみられている。（2025/5/2）

セキュリティニュースアラート：
たった1行のコードでiPhoneを使用不能に　内部向けの通知機能に潜む脆弱性
たった1行のコードで「iPhone」を使用不能にしてしまう脆弱性が見つかった。この脆弱性はAppleが長年提供してきた内部向けの通知機能「Darwin Notifications」に起因しているという。（2025/5/1）

セキュリティニュースアラート：
CVSS10.0　Erlang/OTPのSSHサーバに深刻な脆弱性、Cisco製品にも影響
Erlang/OTP SSHサーバに認証不要でリモートコード実行が可能となる深刻な脆弱性（CVE-2025-32433）が判明した。影響を受けるバージョンでは任意コード実行によって機密情報漏えいやシステム停止の恐れがある。（2025/4/30）

Google、ゼロデイ脆弱性の動向を調査
モバイルOSやブラウザより「法人向け製品」が危険？　ゼロデイ攻撃の標的が変化
Googleが公表した最新の脅威レポートによれば、ゼロデイ脆弱性に対する攻撃ではエンドユーザー向けから法人向けの製品・技術へと標的がシフトする傾向が見られる。背景に何があるのか。（2025/4/30）

セキュリティニュースアラート：
Python製HTTPライブラリー「h11」に緊急の脆弱性　即時対応を
Python実装のHTTP/1.1ライブラリー「h11」に深刻な脆弱性（CVE-2025-43859）が存在することが分かった。チャンク転送エンコーディング処理における終端検証の不備により、リクエストスマグリング攻撃を受ける危険がある。（2025/4/29）

Cybersecurity Dive：
旧型のSonicWall SMA100の脆弱性が攻撃者に人気　なぜ狙われているのか？
CISAは「既知の悪用された脆弱性カタログ」に、リモートアクセス機器「SonicWall SMA100」に存在するOSコマンドインジェクションの脆弱性を追加した。SonicWallの脆弱性はサイバー攻撃者たちに積極的に悪用されている。その理由とは。（2025/4/28）

Cybersecurity Dive：
ファイル共有サービスのゼロデイ脆弱性が悪用　複数製品に影響か
ソフトウェア企業のGladinetのファイル共有プラットフォーム「CentreStack」に存在するゼロデイ脆弱性がサイバー攻撃者に悪用されている。既に複数の製品に影響が出ているようだ。（2025/4/27）

Cybersecurity Dive：
5000台以上のIvantiのVPN製品が脆弱な状態　攻撃者の標的には日本も
直近1カ月の間に、中国に関連する攻撃者がIvantiのVPN製品におけるスタックバッファオーバーフローに関連する重大な脆弱性「CVE-2025-22457」を悪用し始めた。標的には日本も含まれている。（2025/4/26）

セキュリティニュースアラート：
修正済みのWindows脆弱性を悪用　NTLMの欠陥を悪用する攻撃が急増中
Check Point Researchは、WindowsのNTLM認証に関連する脆弱性（CVE-2025-24054）が既に悪用されていると報告した。パッチ公開後わずか8日で複数のターゲットを狙った攻撃が確認されている。（2025/4/24）

セキュリティニュースアラート：
「Active! mail」に深刻度9.8の脆弱性　悪用によって複数の日本企業に影響
クオリティアのWebメールシステム「Active! mail」に深刻な脆弱性が見つかった。CVSS v3.0のスコア値は9.8で、深刻度「緊急」（Critical）と評価されている。同脆弱性の影響によって複数の日本企業で障害が発生している。（2025/4/24）

Mandiantの年次脅威レポートから読み解く
日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態
セキュリティベンダーMandiantがまとめた調査レポートによると、脆弱性が侵入経路として広く悪用される傾向に変わりはないが、侵入経路の2番目には前年までとは異なる新たな項目が浮上した。（2025/4/24）

セキュリティニュースアラート：
IIJ、不正アクセスの続報を公表　Active! mailのゼロデイ脆弱性が原因
IIJは法人向けメールセキュリティサービス「IIJセキュアMXサービス」における不正アクセス事案について続報を公開した。原因は同サービスで利用していたクオリティアのWebメールシステム「Active! mail」の脆弱性によるものだったという。（2025/4/23）

セキュリティニュースアラート：
深層学習ライブラリPyTorchにリモートコード実行の脆弱性　急ぎ更新を
深層学習で使われるオープンソースの機械学習ライブラリ「PyTorch」に重大な脆弱性が見つかった。リモートコード実行が可能になるため、最新版への更新や外部ファイルの信頼確認など緊急の対応が推奨される。（2025/4/23）

IIJ不正アクセス、原因は「Active! mail」の脆弱性を悪用したゼロデイ攻撃　586契約で漏えい判明
IIJは4月22日、15日に公表した「IIJセキュアMXサービス」への不正アクセスに関する調査結果を発表した。漏えいが判明したのは586契約で、原因は第三者製ソフトウェアの脆弱性だという。（2025/4/22）

CIO Dive：
AIエージェントで「新たな脆弱性」が？　導入前に確認したい“5つのポイント”
企業はAIエージェント導入時に何を考慮すべきか。2024年からAIエージェントを利用している大学の例から5つのチェックポイントを紹介する。（2025/4/22）

セキュリティニュースアラート：
ペネトレ効率化を実現　CLIで動くAIセキュリティ支援ツール「Nebula」が登場
AIを活用したOSSのペネトレーションテストツール「Nebula」が登場した。自然言語で操作可能なCLIベースのオープンソースソフトウェアだ。NmapやZAPなどのツールと連携し、情報収集や脆弱性診断を自動化する。（2025/4/22）

セキュリティニュースアラート：
Fortinet製デバイス1万6000台超がバックドア被害に　急ぎ対策を
Fortinet製デバイス1万6000台以上がシンボリックリンク型バックドアによる侵害を受けたことが分かった。攻撃者は既知の複数の重大な脆弱性を悪用し、SSL-VPNの言語ファイル配信フォルダにリンクを作成して永続的アクセスを得ている。（2025/4/20）

セキュリティニュースアラート：
国内のランサムウェア被害は過去最多　サイバー攻撃への対処が遅い業界はどこ？
Trend Microは2025年の年間サイバーリスクレポートを公表した。国内でのランサムウェア被害が2024年に過去最多の84件に達したという。VPNやRDPの脆弱性を突いた攻撃や、委託先経由の情報漏えいが多発していることも報告している。（2025/4/19）

「IOS 18.4.1」配信開始　2件の悪用された可能性のある脆弱性に対処した他、CarPlayの問題も解決
Appleは、「iOS 18.4.1」の配信を開始した。2件の悪用された可能性のある脆弱性に対処した。また、CarPlayの問題も解決した。（2025/4/18）

セキュリティニュースアラート：
Fortinet製品のゼロデイ脆弱性がダークWebに流出か？
ThreatMonはFortiGateに影響を及ぼすゼロデイ脆弱性がダークWebで取引されていると報告した。この脆弱性により、認証しなくても遠隔からコードを実行でき、管理者情報やネットワーク構成が漏えいしている。（2025/4/16）

セキュリティニュースアラート：
7年前のCisco機器の脆弱性　依然として悪用が可能と研究者が指摘
セキュリティ研究者がCiscoの機器に搭載されたSmart Install機能の脆弱性が依然として悪用対象である可能性を指摘した。パッチが未適用のCisco機器においてリモートコード実行のリスクがある。（2025/4/15）

Cybersecurity Dive：
CVSSスコア9.8　ファイル転送ソフト「CrushFTP」に重大な脆弱性
ファイル転送サーバ・ソフトウェア「CrushFTP」に致命的な脆弱性が見つかった。この脆弱性はリモートから実行可能で悪用が容易なため、共通脆弱性評価システム（CVSS）におけるスコアは9.8となっている。（2025/4/15）

Cybersecurity Dive：
Ivantiの脆弱性を悪用する新型マルウェア「Resurge」が登場　有効な防御策は？
CISAはResurgeという新型マルウェアについて警告した。同マルウェアは、Ivanti Connect Secureのアプライアンスに存在する重大なスタックバッファーオーバーフローの脆弱性を悪用しているという。（2025/4/15）

狙い目や攻撃のスピード感が判明
ランサムウェア集団Black Bastaの会話が流出　明らかになった攻撃者の“本音”
流出したチャットログの分析によって、ランサムウェア集団Black Bastaの攻撃手法の全容が明らかになった。大手ベンダー製品／サービスの脆弱性を狙い、計画的に攻撃を進めようとする実態とは。防御側はこの情報をどう活用すべきか。（2025/4/14）

週末の「気になるニュース」一気読み！：
「Google Chrome」に脆弱性　修正版が公開／Metaが「Llama 4」シリーズを発表　最新のマルチモーダル対応生成AI群
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、4月6日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/4/13）

Cybersecurity Dive：
Kubernetesに見つかった4つの“悪夢”　約半数のクラウド環境が無防備と警告
Wizの研究者たちは、Kubernetes向けのIngress NGINX Controllerに複数の脆弱性が存在し、クラウド環境が乗っ取られるリスクがあると警告した。この脆弱性に対して約43％がこれらの脆弱性に対して無防備な状態だという。（2025/4/13）

Cybersecurity Dive：
Apache Tomcatの重大な脆弱性を攻撃者たちが悪用中　日本も標的対象
Apache Tomcatの脆弱性「CVE-2025-24813」を利用した攻撃の試みが進行中だ。悪用には一定の条件を満たす必要があるが、日本を含めた複数の国のサーバも攻撃の対象になっているため注意してほしい。（2025/4/13）

AndroidとPixelに4月の月例更新　3月に更新できたPixel Watchにも
GoogleはAndroidとPixelの4月の月例更新を公開した。ゼロデイ脆弱性の修正も含む。PixelとPixel Watchでは複数のバグ修正も行われる。（2025/4/11）

2025年4月の月例セキュリティ更新：
対象はWindows Server 2025、2022、2019、2016　リモートでのコード実行が可能な脆弱性を修正した更新プログラムをMicrosoftが配布
Microsoftは2025年4月の月例セキュリティ更新プログラムを公開した。更新プログラムで修正される脆弱性の中には、攻撃者がSYSTEM特権を獲得できてしまうものも含まれているため、早期に適用する必要がある。（2025/4/11）

セキュリティニュースアラート：
Fortinet製品群に複数の深刻な脆弱性　急ぎ対応を
Fortinetは、「FortiSwitch」「FortiAnalyzer」「FortiManager」「FortiOS」「FortiProxy」「FortiVoice」「FortiWeb」など同社の製品群に影響を及ぼす複数の重大な脆弱性を修正した。（2025/4/10）

Mavenの「pom.xml」にも対応：
Google、無料オープンソース脆弱性スキャンツール「OSV-Scanner V2.0.0」公開　コンテナスキャンに対応、その他の新機能は？
Googleは、「OSV-Scanner」の最新版「OSV-Scanner V2.0.0」を公開した。依存関係解析の強化、コンテナイメージのスキャンなどの新機能が追加された。（2025/4/8）

セキュリティニュースアラート：
Google、セキュリティ特化のAIモデル「Sec-Gemini v1」を発表　研究目的で無償提供
Googleは、サイバーセキュリティに特化したAIモデル「Sec-Gemini v1」を発表した。同モデルは「Gemini」の高度な推論能力を搭載しており、原因分析や脅威分析、脆弱性の影響評価などで優れたパフォーマンスを発揮するという。（2025/4/8）

「Operation ForumTroll」に注意：
Google Chromeのゼロデイ脆弱性を発見、悪用されると「リンクをクリックするだけで攻撃が成立」　Kaspersky
Kasperskyは、Chromeのゼロデイ脆弱性（CVE-2025-2783）を特定し、Googleに報告したと発表した。Kasperskyによると、攻撃活動の目的は主にスパイ行為で「高度なAPT（持続的標的型）攻撃グループによる可能性が高い」という。（2025/4/8）

「iPhone」「iPad」に重大な脆弱性
Appleが悪用された「Webkit」の脆弱性を修正　狙われたのは誰？
2025年3月11日、AppleはWebKitの脆弱性「CVE-2025-24201」を修正するアップデートを公開した。この脆弱性は既に標的型攻撃で悪用されているが、どのユーザーが影響を受けるのか。（2025/4/4）

「iOS 18.4」リリース　「Apple Intelligence」の日本語対応など多数の新機能
Appleは、iPhone向けの最新OS「iOS 18.4」を配信した。「Apple Intelligence」が日本語でも利用可能になるほか、複数の修正や強化が実施される。セキュリティ関連の脆弱性にも対処している。（2025/4/1）

Splunk製品に深刻なセキュリティ脆弱性　今すぐ対応を
Splunkは同社製品に複数の深刻なセキュリティ脆弱性が発見されたと発表した。これらの脆弱性はリモートコード実行や機密情報漏えいを招く可能性がある。（2025/3/31）

セキュリティニュースアラート：
Linuxカーネルに深刻度「重要」の脆弱性　PoCエクスプロイトコードも公開済み
SSD Secure Disclosureは、Linuxカーネルの脆弱性CVE-2025-0927に関する詳細を発表し、Ubuntuなどが影響を受けると報告した。PoCエクスプロイトコードも公開されているため急ぎ対処が求められている。（2025/3/27）

Cybersecurity Dive：
Fortinet製品の脆弱性を悪用　攻撃者が最高レベルの管理者権限を取得か
Forescout Researchの報告書によると「CVE-2024-55591」「CVE-2025-24472」として登録された2つの脆弱性が悪用され、認証されていない攻撃者が「FortiOS」のファイアウォールにおいて、最高レベルの管理者権限を得たという。（2025/3/27）

セキュリティニュースアラート：
Veeam Backup＆ReplicationにCVSS 9.9の深刻な脆弱性　急ぎ対応を
Veeam Softwareは、Veeam Backup＆Replicationの重大な脆弱性（CVE-2025-23120）を発表した。リモートコード実行を可能にする脆弱性とされ、ユーザーに緊急のアップデートが推奨される。（2025/3/25）

セキュリティニュースアラート：
Windows File Explorerの脆弱性に関するPoCが公開　ネットワーク認証乗っ取りのリスク
セキュリティ研究者はWindowsのFile Explorerに存在する脆弱性のPoCエクスプロイトを公開した。この脆弱性（CVE-2025-24071）はNTLMハッシュの漏えいを引き起こす。（2025/3/25）

Cybersecurity Dive：
PHPの重大な脆弱性を悪用する動きが活発化　日本企業への初期アクセス狙いか
PHPの重大な脆弱性「CVE-2024-4577」が複数の国で大規模に悪用されていることが分かった。Cisco Talosによると、その中には日本も含まれており、国内企業の初期アクセスを得るためにこれを悪用する動きがあるという。（2025/3/22）

セキュリティニュースアラート：
Linuxカーネルの脆弱性に関するPoCが公開　悪用で不正なメモリ操作が可能
LinuxカーネルのTCPサブシステムの脆弱性「CVE-2024-36904」に関するPoCが公開された。この脆弱性は、不正なメモリ操作やDoS攻撃を引き起こす可能性があり、システム管理者には迅速な対応が求められる。（2025/3/21）

セキュリティニュースアラート：
Google、OSSの脆弱性スキャナー「OSV-Scanner V2.0.0」をリリース
GoogleはOSSの脆弱性スキャナー「OSV-Scanner V2.0.0」をリリースした。脆弱性情報の管理を簡素化する複数の機能を提供する。今回のバージョンで追加された機能をまとめた。（2025/3/20）

Cybersecurity Dive：
3万7000以上のESXiに影響　セキュリティツールの監視を回避する3つのゼロデイ脆弱性
VMware ESXiなど複数のVMware製品に影響を及ぼす3つのゼロデイ脆弱性が見つかった。これらの脆弱性は既に悪用されているが、Broadcomのサポートポータルの不具合により、一部の顧客は修正パッチをダウンロードできない状況にある。（2025/3/20）

すでに悪用を観測済み
「防御策」が「侵入口」に？　Palo Altoファイアウォール用OSで脆弱性が発覚
本来は企業を守るはずのPalo Alto Networks製ファイアウォールが、攻撃の入り口になりかねない脆弱性が発見された。認証を回避できるこの脆弱性は、すでに攻撃が観測されている。やるべき対処とベンダーの見解は。（2025/3/20）

セキュリティニュースアラート：
数百万のRSAキーに影響か　IoTデバイスにおけるRSA鍵の脆弱性
RSA鍵に関する脆弱性が発見され、特にIoTデバイスでの問題が懸念されている。鍵生成のランダム性不足が原因で、攻撃者が鍵を解読しやすくなっている。デバイスメーカーには高品質な乱数生成の重要性が求められている。（2025/3/19）

セキュリティニュースアラート：
TP-Link製品ルーターに「緊急」の脆弱性　攻撃者が制御可能に
TP-Link製のルーター「TL-WR845N」に深刻な脆弱性が見つかった。攻撃者はルートシェルの認証情報を取得し、ルーターを完全に制御可能となる。これによってサイバー攻撃の踏み台などにルーターが利用されるリスクがある。（2025/3/19）

IBMとパロアルトネットワークスが共同調査：
「わが社は潜在的な脆弱性や脅威を完全に可視化している」　自信たっぷりの企業が取り組んでいる「プラットフォーム化」とは？
日本IBMは、調査「サイバーセキュリティを収益源に変えるには」の結果を公表した。セキュリティの有効性を犠牲にすることなく、対応時間とコスト双方を削減するには、セキュリティのプラットフォーム化アプローチへの移行が必要だとしている。（2025/3/19）

週末の「気になるニュース」一気読み！：
日本語能力を強化した「Llama 3.3 Swallow」はGPT-4oに迫る性能／AppleがmacOSやiPadOSなどでのWebKit脆弱性を修正
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、3月9日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/3/16）

2025年3月の月例セキュリティ更新：
Windows 11、Microsoft Officeなどが対象　早急な適用が必要な更新プログラムをMicrosoftが公開
Microsoftは2025年3月の月例セキュリティ更新プログラムを公開した。悪用が確認されている脆弱性の修正が含まれており、同社はできるだけ早期に適用することを推奨している。（2025/3/13）

半径300メートルのIT：
S3の標準機能だけでランサムを実現？　マルウェアも脆弱性も使わない新手口
マルウェアや脆弱性を全く使わず、Amazon S3の標準機能を悪用するだけでランサム攻撃を実行する新型の手法が登場しました。今回はこの巧妙な手口の詳細を解説します。（2025/3/11）

セキュリティニュースアラート：
2024年に最も悪用された脆弱性は何？　GreyNoise年次レポート
GreyNoiseは2024年における脆弱性の大規模悪用の動向を詳細に分析した「2025 Mass Internet Exploitation Report」を公開した。調査から2024年に最も悪用された脆弱性が明らかになった。（2025/3/7）

AndroidとPixelに3月の月例更新　Pixel Watchは「Wear OS 5.1」に
Googleは、AndroidとPixelの3月の月例ソフトウェアアップデートの配信を開始した。多数の「致命的」脆弱性が修正される。PixelスマートフォンとPixel Watchではバグ修正と改善も含まれる。（2025/3/5）

LLMのリスク管理を考える【前編】
中国製AI「DeepSeek」に冷や水を浴びせた“生成AIの脆弱性”とは？
突如として話題になった中国製AI「DeepSeek」が市場の関心を集める一方で、セキュリティベンダーが同モデルの脆弱性を指摘している。その具体的なリスクとは。（2025/3/5）

抽選でAmazonギフトカードが当たる
「サイバーセキュリティの脆弱性管理」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で5名にAmazonギフトカード（5000円分）をプレゼント。（2025/3/5）

セキュリティニュースアラート：
Zoomの複数製品に深刻な脆弱性　全ユーザーに強くアップデートを推奨
Zoomは複数のアプリケーションに深刻な脆弱性が存在すると発表した。特定のバージョンで認証済みユーザーが特権昇格を可能とするリスクがある。Zoomは全ユーザーにアップデートを強く推奨している。（2025/2/28）

利便性が高い一方でリスクも
クラウドサービスの脆弱性をどう解消する？　安全な開発環境を構築するヒント
柔軟性や拡張性などに強みを持つクラウドサービスをアプリケーションの開発に生かすケースが増えてきた。しかし、クラウドサービスを利用する際は、脆弱性などのリスクがあることを忘れてはならない。どう対策を進めればよいのか。（2025/3/4）

Cybersecurity Dive：
PAN-OSに認証回避のゼロデイ脆弱性　ファイアウォールへのアクセスが可能に
Palo Alto Networksの「PAN-OS」に重大な脆弱性が見つかった。以前に見つかった脆弱性と組み合わせることで、攻撃者はパッチの適用されていないファイアウォールにアクセスできるようになる。（2025/2/27）

セキュリティニュースアラート：
Windowsディスククリーンアップツールに特権昇格の脆弱性　SYSTEM権限奪取が可能
Windowsのディスククリーンアップツールに特権昇格の脆弱性が発見された。GitHubでPoC（概念実証）が公開された。PoCではDLLサイドローディングを利用し、攻撃者がSYSTEM権限を取得できる可能性が示されている。（2025/2/24）

Cybersecurity Dive：
中国のハッカー集団「Salt Typhoon」が全世界のCiscoのエッジデバイスを攻撃中
脅威グループ「Salt Typhoon」は、既知の脆弱性を悪用してCiscoのエッジデバイスを侵害している。この脅威キャンペーンは米国だけでなく全世界が標的になっているようだ。推奨される対策は何か。（2025/2/23）

Cybersecurity Dive：
バッファーオーバーフローは「許しがたい欠陥」　FBIとCISAが根絶に向け動く
FBIとCISAはバッファーオーバーフローの脆弱性を「許しがたい欠陥」と表現し、根絶に向けた取り組みを進めている。これらの脆弱性は特にCやC++で書かれたソフトウェアで起きがちな問題だという。（2025/2/22）

Cybersecurity Dive：
製造業や流通業は要注意　老舗サイバー犯罪グループがゼロデイ脆弱性を悪用中
2013年から活動しているサイバー犯罪組織「XE Group」は、クレジットカードスキミングといった犯罪で知られていたが、昨今はゼロデイ脆弱性を悪用し、製造業や流通業に攻撃を仕掛けているという。（2025/2/22）

騒ぎを呼んだ生成AI
これも「DeepSeek人気」の副産物？　集中攻撃で“脆弱性”が明らかに
2025年1月下旬にDeepSeekのAIサービスが攻撃の標的になった。攻撃者の狙いは何だったのか。DDoS攻撃の可能性があるが、他の可能性もある。セキュリティ専門家に聞いた。（2025/2/21）

週末の「気になるニュース」一気読み！：
サム・アルトマンCEOが「GPT-4.5」と「GPT-5」のロードマップを明らかに／AMD製CPUに脆弱性
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、2月9日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/2/16）

Cybersecurity Dive：
Zyxelのレガシールーターに重大な脆弱性　絶賛悪用中のため急ぎ対処を
ネットワーク機器メーカーのZyxelはユーザーに対し、サポート終了した古いデバイスの脆弱性がサイバー攻撃に悪用されていることを受け、最新のサポート対象のバージョンに置き換えるよう促している。（2025/2/16）

セキュリティニュースアラート：
OpenSSLのRPK実装に重大な脆弱性　中間者攻撃を実行可能にするリスク
OpenSSLに重大な脆弱性が存在することが分かった。中間者攻撃が実行される可能性があり、TLS／DTLS通信の傍受が懸念される。ユーザーは速やかに修正済みの最新バージョンにアップデートすることが望まれる。（2025/2/14）

Cybersecurity Dive：
VPNはサイバー攻撃を助長しているのか？　ネットワーク機器の深刻なパラドックス
ファイアウォールやVPN、ルーターをはじめとした企業ネットワークの境界で稼働するセキュリティ機器やサービスから頻繁に脆弱性が見つかり、サイバー攻撃を助長している可能性がある。この問題にどう対処すればいいのか。（2025/2/14）

Cybersecurity Dive：
危険な状態のVPN3700台が「野ざらし」か　SonicWall製VPNユーザーは注意を
SonicWallはSMAの1000シリーズのVPNにリモートコード実行の脆弱性が存在すると発表した。この脆弱性は既に悪用されており、約3700台の無防備なデバイスがインターネットに露出しているという。（2025/2/14）

セキュリティニュースアラート：
CloudflareがQUICプロトコルに見つかった脆弱性を修正　DDoS攻撃への悪用が可能
Cloudflareは、QUICプロトコルのブロードキャストアドレスを悪用した脆弱性を修正した。この脆弱性は大量の応答パケットを引き起こし、DDoS攻撃の一種であるリフレクション攻撃として利用されるリスクがあった。（2025/2/13）

セキュリティニュースアラート：
FortiOSとFortiProxyに新たな脆弱性　悪用確認済みのため急ぎ対処を
Fortinetは、FortiOSとFortiProxyのセキュリティアドバイザリーを更新し、新たな認証バイパスの脆弱性を報告した。影響を受けるバージョンと修正情報が公表され、ユーザーには迅速なアップデートが推奨されている。（2025/2/13）

コストを理由に諦めないSASE導入
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説
従業員がさまざまな場所から社内ネットワークにアクセスするためのVPNの脆弱性が悪用される中、より安全なSASEへの移行が望まれている。限られた予算の中でSASEを導入する方法はないだろうか。（2025/2/10）

「iOS 18.3.1」配信開始　「非常に高度な攻撃に悪用された可能性がある」脆弱性に対処
Appleは、「iOS 18.3.1」と「iPadOS 18.3.1」を含む一連のOSのアップデートを配信した。「非常に高度な攻撃に悪用された可能性のある」脆弱性に対処する。（2025/2/12）

Apple製品を狙うゼロデイ攻撃
「iPhoneで悪用されている欠陥」をAppleが修正　その影響範囲は
Appleは、「CVE-2025-24085」として追跡されているゼロデイ脆弱性が、同社のメディア処理フレームワークに影響を与え、iOS 17.2以前のバージョンで悪用された可能性があると発表した。（2025/2/10）

セキュリティニュースアラート：
Cisco ISEに複数の「緊急」の脆弱性　回避策は提供されないため注意
Ciscoは、Cisco ISEに深刻度「緊急」の複数の脆弱性があると発表した。これらが悪用された場合、認証済みの攻撃者が任意のコマンドを実行したり、システムの設定を変更したりする可能性がある。（2025/2/8）

セキュリティニュースアラート：
AIテストエージェント「Spark」登場　ホワイトボックスファジングを自動化
Code Intelligenceは、AIによる新テストエージェント「Spark」を公開した。このツールはホワイトボックスファジングを自動化し、脆弱性の発見を効率的すると期待されている。（2025/2/7）

AndroidとPixelに2月の月例更新　悪用されている可能性のある脆弱性も修正
Googleは、AndroidとPixelの月例ソフトウェアアップデートの2月版を公開した。実際に悪用されている可能性のある脆弱性にも対処する。Pixelではバグ修正と改善も行われる。（2025/2/5）

セキュリティニュースアラート：
macOSカーネルに重大な脆弱性　PoC公開済みのため即時アップデートを
「macOS」に重大な脆弱性が見つかった。この脆弱性はmacOSカーネル（XNU）のメモリ管理機構に関する問題とされている。PoC公開済みのため早急にアップデートを適用することが望まれる。（2025/2/5）

セキュリティニュースアラート：
中国発の生成AI「DeepSeek」の脆弱性　Wallarmがジェイルブレークに成功
Wallarmは、中国発のAIモデル「DeepSeek」に対するセキュリティ分析を発表し、ジェイルブレーク（脱獄）の脆弱性を指摘した。同社は脱獄に成功し、DeepSeekのトレーニングモデルを抽出できたことを報告している。（2025/2/4）

週末の「気になるニュース」一気読み！：
「BitLocker」に情報漏えいの脆弱性　盗難時のリスクに注意／ネイティブアプリとなった「Copilot in Windows」が展開中
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、1月26日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/2/2）

セキュリティニュースアラート：
LinuxカーネルのeBPFに複数の深刻な脆弱性　PoC公開済みのため要注意
LinuxカーネルのeBPFに複数の脆弱性が見つかった。これらの脆弱性はDoS攻撃などに悪用される恐れがあり、早急なパッチ適用が必要とされる。既にPoCが公開され、攻撃者が脆弱性を悪用して攻撃を試みる可能性があるため要注意だ。（2025/2/2）

Cybersecurity Dive：
中国のハッカーが米国財務省を攻撃　BeyondTrust製品の2つの脆弱性を悪用か
アクセス管理ソリューションを提供するBeyondTrustへの攻撃により財務省からデータが盗まれた。同攻撃には、国家から支援を受けているハッカーが関与しているという。（2025/1/31）

セキュリティニュースアラート：
FortiOSの認証バイパスの脆弱性、PoCが公開　悪用される前に急ぎ対処を
watchTowr LabsはFortinetのFortiOSに存在する認証バイパスの脆弱性に関するPoC（概念実証）を公開した。この脆弱性はFortiGateに影響を与え、深刻なセキュリティリスクをもたらす。（2025/1/30）

セキュリティニュースアラート：
AI業界注目の「DeepSeek」は安全か？　KELAが複数のリスクを指摘
中国のAI企業DeepSeekの最新のAIモデル「DeepSeek R1」には深刻な脆弱性があると、セキュリティ企業のKELAが指摘した。同モデルはChatGPTと類似の性能を持つ一方でセキュリティ面では劣っているという。（2025/1/30）

セキュリティニュースアラート：
7-Zipの深刻な脆弱性　悪用手順を明らかにしたPoCが公開
人気のファイルアーカイバー「7-Zip」に見つかった「MotW」を回避可能とする脆弱性について、悪用手順を明らかにしたPoCが公開された。これによって攻撃者の悪用が進む可能性が高く、早急な対処が求められる。（2025/1/29）

「iOS 18.3」リリース　「計算機」の便利機能復活や多数の脆弱性対処
AppleはiPhone向けの最新OS「iOS 18.3」の配信を開始した。日本では「Apple Intelligence」はまだ利用できないものの、「計算機」アプリの改善やSiriとApple Musicの不具合修正、多数の脆弱性への対処などが行われる。（2025/1/28）

セキュリティニュースアラート：
Palo Alto Networks製アプライアンスに複数の脆弱性　リスク軽減のための対策は
Eclypsiumは、Palo Alto Networks製の複数のアプライアンスに重大なセキュリティ脆弱性があると警告した。セキュアブートの回避や特権昇格、セキュリティ機能のバイパスなどのリスクがあるという。（2025/1/28）

Cybersecurity Dive：
Blue Yonderのランサムウェア被害　原因はファイル転送ソフトウェアの脆弱性か
パナソニック コネクトの傘下で、サプライチェーンマネジメント（SCM）ソフトウェア大手のBlue Yonderが被害に遭ったランサムウェア攻撃は、Clopという脅威グループによるもので、ファイル転送ソフトウェアの脆弱性を悪用したものと判明した。（2025/1/26）

セキュリティニュースアラート：
7-Zipに深刻な脆弱性　悪用でWindowsのセキュリティ機能「MoTW」を回避可能
7-Zipに深刻な脆弱性が見つかった。これを悪用すると、Windowsのセキュリティ機能「MoTW」（Mark-of-the-Web）を回避し、被害者のユーザーコンテキスト内で任意のコードを実行できるという。（2025/1/23）

セキュリティニュースアラート：
複数のトンネリングプロトコルに脆弱性　420万以上のホストに影響
複数のトンネリングプロトコルに新たな脆弱性が発覚した。日本を含めた全世界の420万台以上のVPNやルーターが攻撃のリスクにさらされる可能性があるという。（2025/1/23）

Cybersecurity Dive：
重要インフラ組織のサイバー防御に進展　効果を上げるCISAの脆弱性スキャンプログラム
CISAは同機関の脆弱性スキャンプログラムに参加した重要インフラを担う組織の数が、2022年以降で約2倍になったと発表した。この取り組みは着々と成果を上げているようだ。（2025/1/23）

セキュリティニュースアラート：
ChatGPTクローラーに脆弱性　標的WebサイトにDDoS攻撃を実行可能
セキュリティ研究者はOpenAIのChatGPTクローラーに重大な脆弱性が存在することを発表した。この脆弱性が悪用されるとChatGPT APIを通じて、標的のWebサイトに大規模なDDoS攻撃を仕掛けられる可能性がある。攻撃が簡単な点も問題視されている。（2025/1/22）

セキュリティニュースアラート：
BitLockerの脆弱性を悪用して暗号化キーに不正アクセス　新手法が見つかる
NeodymeはWindowsの「BitLocker」に存在する脆弱性「bitpixie」を利用し、暗号化キーを取得できるエクスプロイトを公開した。このエクスプロイトは、ネットワークケーブルとキーボードさえあれば実行可能だという。（2025/1/22）

Cybersecurity Dive：
狙われるIvanti製VPN　約900件のインスタンスがゼロデイを未修正
The Shadowserver Foundationは、VPN製品「Ivanti Connect Secure」にはゼロデイ脆弱性が存在し、約900件のインスタンスが未修正で、攻撃の危険性があると指摘した。（2025/1/22）

Cybersecurity Dive：
BeyondTrust製品に複数の脆弱性　12月に起きたサイバー攻撃との関連は？
BeyondTrustは2024年12月、攻撃者が侵害されたAPIキーを利用して、限られた数のリモートサポート用のSaaS型インスタンスにアクセスしたと警告した。Censysによると同製品に関連する8600件以上のインスタンスが依然として露出しているという。（2025/1/18）

Cybersecurity Dive：
Apache Struts2にCVSS 9.5の脆弱性　影響は広範囲に及ぶ恐れ
Apache Struts2にCVSS 9.5の重大な脆弱性が見つかった。この脆弱性を含んだバージョンは合計で4万回ダウンロードされており、広範囲での影響が懸念される。（2025/1/18）

セキュリティニュースアラート：
RsyncにCVSS 9.8を含む複数の脆弱性　直ちに最新版のパッチ適用を推奨
Rsyncに深刻な脆弱性が複数見つかった。これらを悪用されると、攻撃者によるリモートコード実行や機密情報漏えいのリスクがある。ユーザーは直ちに最新版のパッチを適用する必要がある。（2025/1/17）

セキュリティニュースアラート：
FortiSwitchにCVSS 9.6の緊急の脆弱性　リモートコード実行のリスク
FortinetのLANスイッチ「FortiSwitch」に深刻な脆弱性が見つかった。CVSSのスコアは9.6で、深刻度「緊急」（Critical）に分類されている。これを悪用すると、デバイスを乗っ取られるリスクがあるため早急な対処が求められる。（2025/1/17）

Akamai予測：
2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
Akamaiは、セキュリティとクラウドに関するトレンドの予測を発表した。企業のAI導入は2025年に大きな転換点を迎え、AIによるセキュリティとクラウドの強化と最適化がより一層進むとしている。（2025/1/17）

担当者の負荷を自動化＆効率化で削減
脆弱性管理の3大課題、工数／優先順位／経営判断の問題をAIはどう解決する？
従来の脆弱性管理は、公的機関などから脆弱性情報を入手し、自施設内を調査したのち、脆弱性が発見されたらパッチを入手し適用するものだったが、工数がかかり、対応の優先順位付けも難しかった。こうした問題を、AIはどう解決するのか。（2025/1/17）

セキュリティニュースアラート：
FortiOSとFortiProxyにゼロデイ脆弱性　悪用確認済みのため即時アップデートを
FortinetはFortiOSおよびFortiProxyにゼロデイ脆弱性があることを公表した。この脆弱性は既に悪用されており、管理者権限を奪われるリスクがある。影響を受ける製品には迅速なアップデートが推奨される。（2025/1/16）

セキュリティニュースアラート：
NETGEARの複数のルーター製品に深刻な脆弱性　悪用確認済みのため急ぎ対処を
NETGEARの複数のルーター製品に深刻な脆弱性が発覚した。この脆弱性は既に積極的な悪用が確認されているため、急ぎ対処が必要だ。（2025/1/15）

セキュリティニュースアラート：
VPN製品「Ivanti Connect Secure」にゼロデイ脆弱性　悪用確認済みのため直ちに対処を
Google CloudのMandiantチームはIvanti Connect Secure VPNにゼロデイ脆弱性が存在すると報告した。この脆弱性はサイバー攻撃者に既に悪用されているため、該当バージョンを使用する全ての組織において直ちに対応が求められている。（2025/1/14）

セキュリティニュースアラート：
OpenVPNに「緊急」の脆弱性　急ぎ修正済みバージョンへの更新を
NISTからOpenVPNの脆弱性「CVE-2024-5594」のデータが公開された。CVSSスコアは9.1で深刻度「緊急」（Critical）と評価されている。修正済みバージョンへのアップデートが求められる。（2025/1/14）

米国発 〜 ある日本人サイバーセキュリティアナリストの日常：
脆弱性対応「何かあったら対応します」では遅すぎる。サイバー・カルチャーを変えていくことから始めよう
システム統合や移行の最中に、ゼロデイ脆弱性や重要度の高い脆弱性が新たに発見された場合、迅速かつ適切な対応が求められる。（2025/1/14）

セキュリティニュースアラート：
Google Chromeにリモートコード実行が可能な深刻な脆弱性　迅速なアップデートを
Chromeに深刻な脆弱性が見つかった。これを悪用するとリモートの攻撃者によって任意のコードを実行されるリスクがある。影響を受けるバージョンを利用している場合、迅速にアップデートを適用することが推奨される。（2025/1/10）

セキュリティソリューション：
LLMの脆弱性を無料で診断できるツールGarakが登場　多岐にわたる機能を提供
LLM（大規模言語モデル）の脆弱性を無償で診断できるツール「Garak」の提供が開始された。Hugging FaceやOpenAIなど主要プラットフォームに対応し、プロンプトインジェクションや誤情報生成、ポイズニングといった脆弱性を体系的に特定できる。（2025/1/9）

ロシア系ハッカーが狙う欠陥
Windowsとブラウザの脆弱性を悪用　「サイト訪問で即感染」の手口とは
数多くの組織が利用する「Firefox」や「Windows」の脆弱性を連鎖させてシステムに入り込む攻撃について、ESETは警鐘を鳴らしている。その手口とはどのようなものなのか。（2025/1/9）

AndroidとPixelに今年最初の月例更新　「Pixel 4a」に異例のアップデート
Googleは1月のAndroidとPixelの月例ソフトウェアアップデートを公開した。Androidでは危険度が最高の「重大」6件を含む多数の、Pixelでは「重大」1件の脆弱性を修正。また、サポート終了の「Pixel 4a」に異例のアップデートも。（2025/1/8）

セキュリティニュースアラート：
パッチ適用済みのはずが……BitLockerに脆弱性が残存　暗号化回避が可能
Microsoftによって修正済みとされていたBitLockerの脆弱性が依然として残っていたことが判明した。これを悪用することで攻撃者がメモリの暗号化キーを抽出し、暗号化データにアクセスできる。（2025/1/8）

セキュリティニュースアラート：
Palo Alto Networksを狙う「LITTLELAMB.WOOLTEA」バックドアの脅威
Northwave Cyber SecurityはPalo Alto Networksデバイスの脆弱性を悪用した攻撃を調査し、バックドア「LITTLELAMB.WOOLTEA」の存在を報告した。このバックドアは「logd」サービスを偽装し、広範な機能とステルス性能を備えている。（2024/12/28）

セキュリティニュースアラート：
人気の無料VPNアプリ「Big Mama」をサイバー犯罪に悪用か　潜在的リスクを解説
無料VPNアプリ「Big Mama」の特定機能や脆弱性がサイバー犯罪に悪用されていると報じられた。無料VPNにはユーザーのプライバシーやセキュリティリスクが伴い、慎重な選択が必要とされている。（2024/12/28）

セキュリティニュースアラート：
M365とGoogleの連携に潜むリスク「G-Door」　多要素認証を回避する手口とは
Prof-IT ServicesはMicrosoft 365と未管理Googleアカウントに関する脆弱性「G-Door」を報告した。この脆弱性はMicrosoft 365の条件付きアクセスや多要素認証を回避できるという。（2024/12/27）

抽選でAmazonギフトカードが当たる
「サイバーセキュリティにおける脆弱性管理」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2024/12/25）

Cybersecurity Dive：
ファイル転送ソフト「Cleo」にゼロデイ脆弱性　大規模に悪用を観測済み
ファイル転送ソフトウェア「Cleo」に重大なゼロデイ脆弱性が見つかった。既に大規模な悪用がされており、消費者製品および食品産業、トラック運送業、海運業を中心に少なくとも10社での被害が報告されている。（2024/12/26）

時間がたっても要注意の脆弱性
終わりなき「MOVEit」攻撃　“Amazonからもデータ流出”の恐ろしい手口とは
ファイル転送ソフトウェア「MOVEit」を悪用した攻撃が2023年に注目を集めたが、その攻撃活動はまだ続いている。脆弱性は解消しない限り、時間がたっても悪用され得る。最近、被害を受けている組織はどこなのか。（2024/12/26）

セキュリティニュースアラート：
WebminにCVSS 9.9の脆弱性　一般ユーザーがシステムを完全に制御できるリスク
WebminにCVSS 9.9の脆弱性「CVE-2024-12828」が見つかった。この脆弱性はリモートからの任意のコード実行を可能にする。管理者には迅速なアップデートが推奨されている。（2024/12/26）

セキュリティニュースアラート：
Apache Tomcatのリモートコード実行の脆弱性　修正が不完全のため設定の見直しが必要
先日Apache Tomcatに見つかったリモートコード実行の脆弱性「CVE-2024-50379」の修正が不完全であることが判明した。影響を受けるバージョンの利用者には、速やかなアップデートと追加の設定見直しが必要になるため注意が必要だ。（2024/12/25）

中堅中小でも導入しやすい次世代UTM
脱VPNなんて一気には無理──忙しすぎる情シスの“起死回生の策”は？
サイバー攻撃の激化により、VPN機器の脆弱性が中堅中小企業でも大きな課題となっている。リプレイスの機会に“脱VPN”やクラウド化を検討するものの、段階的な更新では“継ぎはぎ”環境となり運用管理が複雑化する。柔軟な解決法を探る。（2024/12/25）

セキュリティニュースアラート：
Windows 11最新アップデート「23H2」に特権昇格の脆弱性　cldflt.sysが引き起こすリスク
SSD Secure Disclosureは「Windows 11 23H2」に影響を与えるヒープベースのバッファーオーバーフローの脆弱性CVE-2024-30085を発表した。これを悪用することで特定の条件下で特権昇格が可能になるという。（2024/12/24）

セキュリティニュースアラート：
複数のFortinet製品に重大な脆弱性が発覚　悪用も確認済みのため急ぎ対処を
Fortinetは複数製品における脆弱性を公表した。対象製品にはFortiWLMやFortiManagerなどが含まれている。悪用も確認済みのため、ユーザーは迅速にアップデートを適用し、セキュリティリスクを軽減することが求められる。（2024/12/21）

ゼロデイ攻撃は増加傾向に
パッチ公開後“2年以内”にも要注意　悪用されるIT製品の脆弱性とは
IT製品の脆弱性は、ランサムウェアなどの攻撃の入り口として悪用される。特に、パッチが未提供の「ゼロデイ脆弱性」が危険だが、注意が必要なのはそれだけではない。（2024/12/23）

セキュリティニュースアラート：
Apache TomcatにCVSS 9.8の深刻な脆弱性　リモートコード実行を可能にするリスク
Apache TomcatにCVSS v3.1のスコア値9.8、深刻度「緊急」（Critical）の脆弱性が見つかった。影響を受けるバージョンの利用者は、速やかに修正版へのアップデートを推奨されている。（2024/12/20）

Innovative Tech：
“LEDを点灯させずに”ノートPCのカメラでこっそり盗撮できるハッキング方法　ThinkPad X230に脆弱性
韓国のセキュリティカンファレンス「POC 2024」で、LEDを点灯させずにノートPCのカメラで盗撮する手法を提案した内容を発表された。（2024/12/20）

セキュリティソリューション：
ヘルスケアサービス企業が、脆弱性管理クラウド「yamory」を導入　評価のポイントは？
ヘルスケアサービスを提供する保健同人フロンティアは、アシュアードが提供する脆弱性管理クラウド「yamory」（ヤモリー）を導入した。同社は顧客の重要データを預かるサービスを提供していることからセキュリティ強化は喫緊の課題となっていた。（2024/12/19）

セキュリティニュースアラート：
2024年の脅威トレンド総括　ランサムウェア活動と脆弱性の最新動向
Rapid7は、2024年のサイバー脅威動向を発表した。2024年に最も活発だったランサムウェア活動や、悪用された脆弱性などを明らかにしている。調査の中では企業が実施すべき対策についても公開している。（2024/12/19）

セキュリティニュースアラート：
curlに認証情報漏えいの可能性がある脆弱性　直ちに対応を
cURLプロジェクトはcurlに認証情報漏えいの脆弱性「CVE-2024-11053」が存在すると発表した。この脆弱性は.netrcファイルとHTTPリダイレクトの併用により発生する。（2024/12/17）

製造ITニュース：
脆弱性管理ソリューションにPSIRT業務を支援する製造業向けプラン追加
フューチャーは、同社の脆弱性管理ソリューション「FutureVuls」に、製品のSBOM管理および脆弱性管理を一元化する製造業向けプラン「FutureVuls PSIRT」を追加した。（2024/12/16）

セキュリティニュースアラート：
Apache StrutsにCVSS 9.5の致命的な脆弱性　緊急のアップデートが必要
Apache Software FoundationはApache Strutsフレームワークの深刻な脆弱性（CVE-2024-53677）を報告した。この脆弱性を悪用すると、リモートから任意のコードが実行され、システムが侵害される可能性がある。（2024/12/16）

セキュリティニュースアラート：
AkamaiやCloudflareなど主要なWAFをバイパスする脆弱性が見つかる
Zafran SecurityはFortune 100企業の40％に影響を及ぼすWAFバイパスの脆弱性を発見した。不適切なWAF構成によりWebアプリケーションが深刻なセキュリティリスクにさらされる可能性がある。（2024/12/13）

セキュリティニュースアラート：
Azureの多要素認証に重大な脆弱性　4億以上のMicrosoft 365アカウントに影響か
Oasis SecurityはMicrosoft Azureの多要素認証に回避可能な脆弱性が存在すると報告した。この問題は4億以上のMicrosoft 365アカウントに影響を及ぼす可能性がある。（2024/12/13）

他のエコシステムにも拡張可能：
Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開　多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
Googleは、オープンソースのセキュリティパッチ検証ツール「Vanir」の提供を開始した。未適用のセキュリティパッチを迅速かつ効率的にスキャンし、適用可能なパッチの特定を支援するという。（2024/12/11）

セキュリティニュースアラート：
アイ・オー・データ機器のルーターにゼロデイ脆弱性　悪用も確認済み
アイ・オー・データ機器のルーターに複数の深刻な脆弱性が発覚した。これらの脆弱性はファイアウォール無効化や認証情報窃取を引き起こす可能性があり、既に悪用も確認されている。（2024/12/9）

セキュリティニュースアラート：
ZabbixのCVSS9.9の脆弱性に対するPoCが公開　悪用が進む恐れあるため直ちに対処を
Zabbixに存在する脆弱性「CVE-2024-42327」のPoC（概念実証）が公開された。同脆弱性はCVSS v3.1のスコアで9.9、深刻度「緊急」（Critical）と評価されている。PoC公開によって悪用が進む恐れがあるため至急対応してほしい。（2024/12/6）

セキュリティニュースアラート：
TP-Link製の複数ルーターに深刻な脆弱性　対象製品とユーザーへの影響は？
TP-Link製ルーターに影響する脆弱性CVE-2024-53375が見つかった。この脆弱性を悪用するとリモートコード実行が可能になるため、早急に対処が必要だ。影響を受けるルーター製品を確認してほしい。（2024/12/6）

セキュリティニュースアラート：
Windowsタスクスケジューラーの脆弱性に注意　PoCコード公開で悪用加速か？
Windowsタスクスケジューラーの脆弱性がサイバー攻撃者に積極的に悪用されていることが分かった。この脆弱性はCVSSスコア8.8と評価されており、PoCエクスプロイトコードも公開されているため急ぎ対処してほしい。（2024/12/5）

ソフトウェアデリバリーがAIの悪影響にさらされる？：
AIによるAIの修正は可能か　GitHub Copilot Autofixから見えてくるAIの新たな課題
TechTargetは「GitHub Copilot Autofixから見る、AIの信頼度」に関する記事を公開した。AIによって生成されるコード量の多さによってソフトウェアデリバリープロセスが窮地に陥っている。こうした状況では、GitHubの「Copilot Autofix」による脆弱性管理が役立つ可能性がある。だが、AIを制するのにAIを信頼してもよいのだろうか。（2024/12/5）

ゼロデイ脆弱性を悪用した攻撃が増加：
2023年に最も頻繁に悪用された脆弱性トップ15　米CISAが発表　ソフトウェアベンダー、エンドユーザーができることは？
CISAは、2023年に日常的に悪用された脆弱性トップ15をまとめた「2023 Top Routinely Exploited Vulnerabilities」を発表した。ソフトウェアベンダーやエンドユーザー向けの緩和策を紹介している。（2024/12/4）

抽選でAmazonギフトカードが当たる
「サイバーセキュリティの脆弱性管理」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で5名にAmazonギフトカード（3000円分）をプレゼント。（2024/12/3）

セキュリティニュースアラート：
ZabbixにCVSS 9.9の深刻な脆弱性　迅速なアップデートを推奨
Zabbixは監視ソリューション「Zabbix」に深刻な脆弱性があると報告した。リモートからの任意コード実行や権限昇格のリスクがあり、速やかなアップデートが推奨される。（2024/11/30）

セキュリティニュースアラート：
Apple製品に20年もののバグ　影響を受けるOSと回避方法は？
サイバーセキュリティ研究者が複数のApple製品に存在する脆弱性「CVE-2023-32428」のPoCを公開した。この脆弱性はAppleのフレームワーク「MallocStackLogging」に存在し、悪用により特権昇格が可能となる。（2024/11/29）

セキュリティニュースアラート：
企業向けVPNクライアントの脆弱性を調査するオープンソース「NachoVPN」が提供開始
AmberWolfはVPNクライアントの脆弱性を調査するツール「NachoVPN」を発表した。SonicWallやPalo Alto NetworksのVPNクライアントに、リモートコード実行および権限昇格の脆弱性があるかどうかを調査できる。（2024/11/29）

テストケース、クラッシュレポートを自動生成：
「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける　AIは脆弱性調査の課題をどう解決したのか？
Googleの脆弱性調査専門チームは、Google DeepMindと共に研究開発を進めているAIエージェント「Big Sleep」がSQLiteにおけるスタックバッファーアンダーフローの脆弱性を見つけた事例を公式ブログで解説した。（2024/11/28）

セキュリティニュースアラート：
QNAPのルーター製品「QuRouter」に複数の深刻な脆弱性　速やかに更新を
QNAP SystemsはQuRouter製品に深刻な脆弱性があると報告した。これらの脆弱性が悪用された場合、リモートの攻撃者が任意のコマンドを実行できる可能性がある。速やかなアップデートが推奨されている。（2024/11/28）

セキュリティニュースアラート：
無償で使える脆弱性対応プラットフォーム「Intel」が登場　その性能とは？
Intruder Systemsは無償の脆弱性インテリジェンスプラットフォーム「Intel」を公開した。過去24時間の脆弱性情報を分析し、セキュリティチームが迅速に対応できるよう支援する。（2024/11/28）

Cybersecurity Dive：
Palo Alto Networks製品「Expedition」の脆弱性で悪用を確認　アップデートできない場合の回避策は
CISAはPalo Alto Networksの移行ツールである「Expedition」に関連した2件の脆弱性が攻撃者によって積極的に悪用されていると警告した。ユーザーは直ちにアップデートを適用することが推奨されている。（2024/11/28）

Cybersecurity Dive：
Microsoftが脆弱性の開示方法を刷新　CSAFに沿って脆弱性対応を効率化
Microsoftは「共通セキュリティ勧告フレームワーク」（CSAF）に沿って、脆弱性の開示方法を刷新すると発表した。これによって顧客の脆弱性対応の効率化と修復はどう変わるのだろうか。（2024/11/28）

セキュリティニュースアラート：
人気のファイルアーカイバー「7-Zip」に任意コード実行の脆弱性　直ちに更新を
7-Zipに脆弱性「CVE-2024-11477」が発表された。この脆弱性はリモートからの任意のコード実行を可能にするため、ユーザーは迅速なアップデートが推奨されている。（2024/11/27）

Cybersecurity Dive：
Citrix Session Recordingに重大な脆弱性　研究者とCitrixで食い違う主張
watchTowrのセキュリティ研究者たちはCitrix Session Recordingの脆弱性を発見した。研究者らは攻撃者が認証なしでアクセスできると主張しているが、Citrixはこの主張に異議を唱えている。（2024/11/27）

セキュリティニュースアラート：
「PAN-OS」に2件の重大な脆弱性　技術レポート公開後に攻撃が実行される
Arctic Wolf Networksは、Palo Alto Networks製「PAN-OS」の2件の脆弱性を悪用した攻撃について報告した。攻撃者は脆弱性レポートの公開数時間後に、ペイロードの配布や機密情報窃取などの攻撃を実行したとみられる。（2024/11/26）

セキュリティニュースアラート：
FortiClient VPNサーバに見つかった“ヤバい問題”　Fortinetは脆弱性と認めず
FortiClient VPNサーバから認証成功ログを記録しない問題が発見された。この欠陥はFortinetに報告されたが脆弱性として認められていない。この問題を悪用されるとどのようなリスクが生じるのか。（2024/11/26）

Cybersecurity Dive：
パッチ適用も効果なし？　Veeam製品を悪用したランサムウェア亜種を確認
複数のランサムウェアの亜種がVeeam製品の重大な脆弱性を標的にしており、悪用のリスクが高まっている。共通脆弱性評価システム（CVSS）における同脆弱性のスコアは9.8だ。Veeamによるパッチ適用も効果が薄い可能性もある。（2024/11/23）

セキュリティニュースアラート：
Versa DirectorにCVSS10.0の脆弱性　悪用によって権限昇格やDBへのアクセスが可能に
Versa NetworksはVersa Directorに深刻な脆弱性（CVE-2024-42450）があると報告した。この脆弱性はCVSSで「10.0」と評価され、データベースへのアクセスや権限昇格が可能とされている。（2024/11/25）

セキュリティニュースアラート：
Trend Micro Deep Security Agentに深刻な脆弱性　早急な対応を
Trend MicroはTrend Micro Deep Security Agentに深刻な脆弱性（CVE-2024-51503）が存在すると発表した。この脆弱性はリモートコード実行を可能にする。該当するユーザーは最新バージョンへのアップデートが推奨される。（2024/11/22）

セキュリティニュースアラート：
3万1770件の中から選んだ「最も危険なソフトウェア脆弱性トップ25」とは？
米国CISAとHSSEDIは「2024 CWE Top 25 Most Dangerous Software Weaknesses」を発表した。2024年版では3万1770件の中から、最も重大な25項目の脆弱性を選定している。（2024/11/22）

セキュリティニュースアラート：
Apache Tomcatに複数の深刻な脆弱性　CVSS 9.8のものも含まれており注意
Apache Tomcatに複数の脆弱性が存在することが分かった。CVSSスコア9.8の脆弱性も見つかっているため、急ぎ対処が求められる。（2024/11/21）

セキュリティニュースアラート：
ASMをはじめとした脆弱性対策を支援　Microsoftが新ソリューションを正式リリース
Microsoftは脅威露出管理製品「Microsoft Security Exposure Management」を正式リリースした。同ソリューションはセキュリティリスクを攻撃者視点で可視化し、優先順位を付けた対処を支援する。（2024/11/21）

セキュリティニュースアラート：
WordPressの人気プラグイン「Really Simple Security」に重大な脆弱性　400万以上のWebサイトに影響
WordfenceはWordPressの人気プラグイン「Really Simple Security」に重大な脆弱性があると報告した。400万以上のWordPressサイトが影響を受けるとされており、速やかなアップデートが求められている。（2024/11/20）

ランサムウェア被害対応の専門家とpiyokango氏が議論：
増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
ランサムウェア感染をはじめとするサイバー攻撃に日頃からどう備えておくべきなのか。年間数百件の相談に対応してきたYONAの三国貴正氏や、セキュリティブログ「piyolog」で知られるpiyokango氏が、現実的で実効性のあるインシデント対応をどう進めるべきか、語り合った。（2024/11/22）

セキュリティニュースアラート：
PostgreSQL PL/Perlに深刻な脆弱性　直ちに更新を
PostgreSQLに重大な脆弱性「CVE-2024-10979」があることが分かった。環境変数の制御不備による脆弱性で、これを悪用すると任意のコード実行が可能とされている。（2024/11/20）

セキュリティニュースアラート：
「Fortinetのパッチ適用は不完全」セキュリティ企業が指摘　新たな脆弱性も見つかる
FortiManagerに新たな脆弱性「FortiJump Higher」が見つかった。この脆弱性によって攻撃者が管理対象のFortiGateの権限を昇格させ、FortiManagerを制御する可能性がある。この脆弱性はFortinetのパッチ適用が不完全であることから発覚した。（2024/11/19）

セキュリティニュースアラート：
Palo Alto Networksの管理インタフェースに「緊急」の脆弱性　悪用も確認済み
Palo Alto Networksは同社のファイアウォール管理インタフェースにおける脆弱性「PAN-SA-2024-0015」に関する警告をアップデートした。これを悪用されると認証されていないリモートの攻撃者にコマンドを実行される可能性がある。（2024/11/19）

安全なActive Directory運用のために：
複数フェーズで成り立つ「Active Directoryの脆弱性対策」とは――その意図は？　詳細は？
脆弱性に対しセキュリティ強化を一気に進めると「認証拒否」が発生し、結果、情報システムの利用不可といった障害につながる場合があります。そのため、セキュリティ強化を複数のフェーズに分けて、段階的に進めることが重要になります。本稿では、複数のフェーズを持つActive Directoryの脆弱性対策を紹介します。（2024/11/21）

セキュリティニュースアラート：
2023年に日常的に悪用された脆弱性トップ15が公開　懐かしのあの脆弱性も
CISAは2023年に日常的に悪用されている脆弱性トップ15をまとめたアドバイザリーを公開した。企業はソフトウェアの迅速な更新と脆弱性の排除を促進する対策が求められている。（2024/11/15）

セキュリティニュースアラート：
Rapid7、新機能を搭載したMetasploit Frameworkを発表
Rapid7はMetasploit Frameworkのアップデートを発表した。RISC-VアーキテクチャやESC8脆弱性対応のエクスプロイトなどが追加されている。このアップデートによってセキュリティ検査の対応範囲が広がり利便性が向上する。（2024/11/14）

セキュリティニュースアラート：
6万1000台以上のNASデバイスに影響　D-Linkが深刻度「緊急」の脆弱性情報を公開
D-Linkはサポート終了済みのNAS製品に存在する重大な脆弱性の情報を公開した。インターネットに存在する6万1000台以上のNASデバイスが影響を受けるとされており、注意が必要だ。（2024/11/13）

ChromeOSにも影響
Linux向け印刷管理ツール「CUPS」の極めて危険な“4つの脆弱性”とは
オープンソース印刷管理ツール「CUPS」に危険な脆弱性が見つかった。どのような脆弱性で、悪用されればどうなるのか。「Linux」「UNIX」ユーザーが知っておくべき情報を整理しよう。（2024/11/13）

セキュリティ研究者向けにリリース：
「Apple Intelligence」を支える「Private Cloud Compute」のソースコードや仮想研究環境、Appleが公開　脆弱性発見で最大100万ドルの報奨金も
Appleは、「Apple Intelligence」のAI処理専用に設計された「Private Cloud Compute」の分析を支援するため、主要コンポーネントのソースコードや仮想研究環境を公開した。PCCは同社のセキュリティ報奨金プログラムの対象にも追加され、脆弱性の発見に最大100万ドルの報奨金を支払うとしている。（2024/11/12）

Cybersecurity Dive：
脆弱性の“爆増”が止まらない、悪用も約3倍に増加　対処法はあるか？
信用格付機関のS＆Pは数千社の企業を分析し、2023年に脆弱性の悪用が約3倍に増加したと伝えた。脆弱性の数自体も増大し続けており、企業には急ぎ対処が求められている。（2024/11/12）

半径300メートルのIT：
脆弱性診断＝アタックサーフェスマネジメント？　新興キーワードを深く学ぼう
話題のキーワード「アタックサーフェスマネジメント」への理解を深める有用なドキュメントが公開されました。「アタックサーフェスマネジメントってよく聞くけど脆弱性診断と何が違うの？」という方は必見です。本稿ではその触りを解説します。（2024/11/12）

Cybersecurity Dive：
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性　積極的な悪用を確認済み
CiscoのVPN製品にDoS攻撃を引き起こす脆弱性が見つかった。既にこの脆弱性は積極的に悪用されていることが分かっている。この他のVPN製品についても脆弱性を狙った攻撃が増加しており注意が必要だ。（2024/11/11）

Cybersecurity Dive：
SonicWall製品に潜む脆弱性が、ランサムウェア活動のアクセスポイントになっている
Arctic Wolf Labsの研究者によると2024年8月以降、SonicWallのファイアウォール製品は少なくとも30件のランサムウェア攻撃における初期のアクセスポイントになったという。（2024/11/11）

攻撃の可能性、再び
Windows 10の欠陥が”復活”　「ロールバック」された脆弱性に警戒
修正されていた「Windows 10」の脆弱性が復活し、ユーザー企業は再び攻撃のリスクに直面している。被害状況と、今すぐに講じなければならない対策とは何か。（2024/11/11）

Cybersecurity Dive：
Fortinetが重大なゼロデイ脆弱性「CVE-2024-47575」を公開　顧客に警告
Fortinetはネットワークおよびセキュリティ管理ツール「FortiManager」のゼロデイ脆弱性が広く悪用されているとし、顧客に注意を促している。（2024/11/10）

Cybersecurity Dive：
ASMは4つのプロセスを意識せよ　Gartnerアナリストが提言する実践マニュアル
近年注目度が高まっている攻撃対象領域管理（ASM）は、組織の脆弱性管理強化における中核的な要素だ。本稿ではこの実践に向けた4つのポイントを解説する。（2024/11/9）

セキュリティニュースアラート：
iOSにシンボリックリンクの脆弱性　PoC公開済みのため急ぎ対処を
セキュリティ研究者が「iOS」のシンボリックリンクに関する脆弱性に対してPoCを公開した。この脆弱性が悪用されるとバックアップファイルが操作され、システム設定や権限を操作される可能性がある。（2024/11/8）

AndroidとPixelに11月の月例更新　悪用の可能性ある脆弱性2件も修正
Googleは11月のAndroidとPixelの月例ソフトウェアアップデートを公開した。セキュリティ関連では「重大」1件と「悪用された可能性のある」2件の脆弱性を修正。Pixelでは問題の修正と改善も行われた。（2024/11/7）

ロシアによるサイバー脅威動向を調査：
米国／英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は？　GreyNoise Intelligence調査
サイバーセキュリティベンダーのGreyNoise Intelligenceは、米国／英国政府の共同勧告に記載されている25の脆弱性のうち12件を調査、発表した。中でも9つの脆弱性は頻繁に悪用されており対策が必要だという。（2024/11/7）

セキュリティニュースアラート：
脆弱性対策に“救世主到来”？　GoogleのAIツール「Big Sleep」がSQLiteのバグを特定
GoogleはAIベースの脆弱性発見ツール「Big Sleep」が、従来のファジング手法では発見が困難だったSQLiteのスタックバッファーの脆弱性を特定し、即日修正を完了させたと発表した。（2024/11/7）

セキュリティニュースアラート：
X.Org Serverに特権昇格の脆弱性　Linuxユーザーは要注意
X.Org Serverの脆弱性「CVE-2024-9632」が米国NVDに登録された。この脆弱性を悪用すると、DoS攻撃や特権昇格を実行できる可能性がある。X.Org ServerはLinuxユーザーに広く利用されているため早急に対処したい。（2024/11/6）

セキュリティニュースアラート：
Okta AD/LDAP DelAuthに脆弱性　悪用を可能とする6つの条件とは？
OktaはAD/LDAP DelAuthの認証キャッシュキー生成に脆弱性があると公表した。特定条件下で以前のキャッシュが再利用される可能性があるという。（2024/11/6）

半径300メートルのIT：
知っているようで意外と知らない？　“脆弱性管理”の解像度を上げよう
脆弱性管理の重要性については皆さん理解しているかと思いますが、これをどう進めればいいのか高い解像度を持って実行できている企業は多くない気がします。こうした中、待望のドキュメントが登場したので紹介します。（2024/11/5）

セキュリティニュース：
ServiceNowのNow Platformに「緊急」の脆弱性　リモートコード実行のリスク
ServiceNowはNow Platformの重大な脆弱性CVE-2024-8923および8924に対応したパッチを公表した。リモートからの不正アクセスやコード実行を許可する可能性があるため注意が必要だ。（2024/11/2）

月間セキュリティニュース：
イセトーのランサムウェア被害、その侵入経路は？【セキュリティニュースまとめ】
2024年10月は、VMware製品に関する脆弱性情報や新たなマルウェア、イセトーのランサムウェアの被害報告書の公開など多くのニュースが公開された。話題になったニュースをあらためて振り返ろう。（2024/11/1）