両備システムズ、健診結果収集システム「COLLECREW」を提供開始

マイナビニュース 18:20

... 、事務処理と結果通知までの時間を短縮するほか、一般的なインターネットを介さない強固な閉域網を活用。Android端末紛失時にはSIMを無効にすることで第三者への情報漏洩を防止し、インターネットVPNの脆弱性を突いたセキュリティ事故の低減も図れるとのこと。 今後、巡回健診会場での効率的な運用を支援するため、継続的に機能拡充を行い「AITEL(アイテル) Web問診」との連携やレントゲンなどの読影機器 ...

"Blast-RADIUS"修復のJunos OSアップデートや7月のSAPセキュリティーノートなど - JPCERT/CCレポート

マイナビニュース 17:07

... 業や組織のシステム管理者を対象に過去数週間に公開された脆弱性情報の中から対策、パッチ情報やバージョンアップ情報なども含んだサマリーをまとめた週次のレポートになる。 Weekly Report 2025-07-16号 Weekly Report 2025-07-16号では、CVSSスコアで緊急の9.0と評価されるCVE-2024-3596に関する脆弱性を修復するJuniper Networksの複数 ...

Oracle Javaに脆弱性 攻撃者にPCを制御されるおそれ

ASCII.jp 16:55

... 」に関する脆弱性情報を公開した。すでにオラクルから更新プログラムが公開されており、早めの適用が推奨される。 IPAによると、脆弱性が悪用された場合、次のような問題が発生する可能性がある。 ・アプリケーションプログラムが異常終了する ・攻撃者によってパソコンを制御される 等 脆弱性を含む製品は以下のとおり。サポート中の対象製品については、同社のウェブサイトから最新版をインストールすることで、脆弱性を ...

グーグル「Chrome」重要度"高"の脆弱性 早めのアップデートを

ASCII.jp 16:10

グーグルは7月15日、デスクトップおよびAndroid版の「Chrome」で、脆弱性の修正を含むアップデートを公開した。深刻度「高」の脆弱性に対応している。 修正された主な脆弱性とOSごとの修正済みバージョンは、以下のとおり。 ●修正された主な脆弱性 ■深刻度(高) ・CVE-2025-7656:V8での型の混乱 ・CVE-2025-6558:ANGLEおよびGPUにおける信頼できない入力の検証が ...

Oracleが定例セキュリティ更新を実施 〜Java、MySQL、VirtualBoxなどで309件の脆弱性を修正/

窓の杜 12:44

... (Virtualization)製品に関する新規の脆弱性修正は、全7件。「CVSS 3.1」ベーススコアの最大は「8.2」と評価されているが、認証なしでリモートから悪用が可能な脆弱性は含まれていない。「Oracle VM VirtualBox」を利用している場合は、v7.1.12への更新が望ましい。 そのほか、「Oracle MySQL」で40件の脆弱性が新たに修正されるなど、多くの製品に修正パッ ...

セキュアスカイ・テクノロジー、社会人向け人材育成プラットフォーム「Kyutech ARISE」にブロンズパートナーとして協賛

ASCII.jp 12:00

... ス、脆弱性診断、クラウド型WAF「Scutum(スキュータム)」を中心にWebサイトの安全を一貫して守るWebセキュリティサービスを提供しています。 社名 :株式会社セキュアスカイ・テクノロジー 本社所在地 :東京都千代田区岩本町2-2-4 PMO神田岩本町II 10F 設立 :2006年3月 代表者 :代表取締役 大木 元 事業内容 :Webアプリケーションに特化したセキュリティサービス ・脆弱 ...

Oracle、四半期定例パッチを公開 - 脆弱性309件に対応

Security NEXT 11:48

... 定例パッチ「クリティカルパッチアップデート(CPU)」をリリースした。 同アップデートは、同社製品や内包されるサードパーティ製コンポーネントに判明した脆弱性へ対処したもの。のべ309件の脆弱性を修正した。製品ごとの重複を除くと、CVEベースで165件の脆弱性に対応している。 具体的には、「Oracle Database Server」「Oracle NoSQL Database」「Oracle M ...

「Node.js」にアップデート - 複数の脆弱性に対応

Security NEXT 11:00

... に起因する脆弱性だという。 一方「CVE-2025-27209」は、「同24」ブランチに搭載されたスクリプトエンジン「V8」に起因する「HashDoS」の脆弱性。ハッシュのシードを知らない場合もハッシュ衝突を引き起こし、サービス拒否を生じさせることが可能となる。 「V8」の開発チームでは、セキュリティの問題として扱われていないが、「Node.js」では現実的な攻撃シナリオのリスクを踏まえ、脆弱性と ...

複数のビデオカード設定ツールやゲームに脆弱性、「Microsoft Defender」がアラート、メーカー製ツールも/「例外登録」でアラートは停止可能、ただしセキュリティ低下に注意

窓の杜 09:10

... )付けで、公式サポートサイトで告知記事を公開している。 VulnerableDriver:WinNT/Winring0 これは誤検知ではなく、「CVE-2020-14979」として記載されている既知の脆弱性だ。「WinRing0.sys」および「WinRing0x64.sys」の特定バージョン(v1.0.6〜v1.2.0)には整合性の低いプロセスを含むローカルユーザーが任意のメモリ位置に読み書きで ...

「VMware ESXi」など複数仮想化製品に深刻な脆弱性 - 早急に更新を

Security NEXT 09:06

... 品に脆弱性が明らかになったとして、アップデートをリリースした。 同社は現地時間2025年7月15日にセキュリティアドバイザリを公開。外部へ非公開のもと報告を受けた「VMware ESXi」「VMware Workstation」「VMware Fusion」および「VMware Tools」に関する脆弱性4件について明らかにしたもの。 仮想ネットワークやディスク、通信インタフェースなどに起因する脆 ...

Gmailユーザーに警告──グーグルのAI機能「このメールを要約」を悪用

Forbes JAPAN 09:00

... ジラ)のゼロデイ調査ネットワーク 0din(ゼロディン)を通じて発せられた。研究者は「Google Workspace(グーグル・ワークスペース)向け Geminiにおけるプロンプトインジェクションの脆弱性」を実証し、攻撃者がメール本文に悪意ある指示を隠せることを示した。 攻撃者がメール内にプロンプトを埋め込み、利用者がGmailの新機能「このメールを要約」をクリックすると、ジェミニは隠された指示 ...

AI時代の脅威に備えるクラウドセキュリティとは─アイレットが示すROSI視点による効果的な対策アプローチを徹底解説

マイナビニュース 09:00

... げる「脆弱性の最小化」と、万一発生した際の「被害の最小化」である。 後者について廣山氏は、「被害発生後にどれだけ早く復旧に動けるかが、極めて重要なメトリクスになります」と強調した。 脆弱性の最小化に効く具体的ソリューションとROSI事例 ROSIの向上に向けては、「脆弱性の最小化」が欠かせないが、そのためには一度きりの対処ではなく、継続的かつサイクル的な活動が求められる。 廣山氏は、「まずは脆弱性 ...

サイバーセキュリティ最前線 第40回 7月7日〜13日の最新サイバーセキュリティ情報 - エプソン製品にも影響! 最新サイバー脆弱性まとめ

マイナビニュース 09:00

... 実行の脆弱性 【重要】Microsoft Office - リモートコード実行の脆弱性 【重要】Microsoft SharePoint - リモートコード実行の脆弱性 【重要】Microsoft SQL Server - リモートコード実行の脆弱性 【重要】Microsoft Visual Studio - 特権昇格の脆弱性 【重要】Microsoft Azure - リモートコード実行の脆弱性 ...

AWS Organizations連携サービス最新情報&セットアップのコツ 第23回 AWS Security HubにおけるOrganizations連携機能の注目アップデート

マイナビニュース 08:46

... ビスの依存関係を有しています。これは、攻撃パスを分析する際に、AWS Configが収集したリソース構成情報、Amazon GuardDutyによる脅威検知結果、Amazon Inspectorによる脆弱性スキャン結果などを多角的に利用するためです。 そのため、Security Hub Advanced自体の有効化以外にもこれらのサービスの有効化方式についても整理する必要があります。現時点では下図 ...

CyCraft ベンソン・ウーが AI で追い求める「私の仕事が世界から無くなる日」 〜 CyCraft Day レポート

ScanNetSecurity 08:15

... ばかりの、同社開発「 AI セキュリティサポーター Crafty 」も紹介された。Crafty は自然言語に対応する LINE チャットボットで、セキュリティに関わる質問を投げると、特定の機器に関わる脆弱性情報や、セキュリティ関連ニュース要約などを提供する( Crafty リンク:https://go.cycraft.ai/craftyjp ※LINE友だち追加のQRコードが開きます)。 本稿執筆 ...

ウェビナー「"脱 CVSS 依存!" セキュリティ担当者なら知っておくべき SBOM と脆弱性管理の本質」7 / 29開催

ScanNetSecurity 08:10

Cloudbase株式会社は7月29日に、ウェビナー「"脱CVSS依存!" セキュリティ担当者なら知っておくべきSBOMと脆弱性管理の本質」を開催すると発表した。 同ウェビナーでは、クラウド移行やインフラの多様化で多くの企業が脆弱性管理の「本質的な優先順位」を見失いつつある中、脆弱性対応に課題を感じている情シス・セキュリティ担当者に向けて、今あらためて注目されるSBOM(ソフトウェア部品表)とSS ...

「Chrome」に脆弱性、すでに悪用も - アップデートが公開

Security NEXT 08:09

... で3件の脆弱性に対応している。 具体的には、3Dグラフィックスやベクターデータの描画命令をGPU向けに変換するコンポーネント「ANGLE」における入力検証不備の脆弱性「CVE-2025-6558」や、スクリプトエンジン「V8」における整数オーバーフローの脆弱性「CVE-2025-7656」を解消した。 さらに「WebRTC」において解放後のメモリを使用する「Use After Free」の脆弱性に ...

日鉄ソリューションズのネットワーク機器にゼロデイ攻撃、個人情報等の一部が外部に漏えいした可能性

ScanNetSecurity 08:05

日鉄ソリューションズ株式会社は7月8日、同社への不正アクセスによる情報漏えいの可能性について発表した。 これは同社の社内ネットワークに対し、ネットワーク機器のソフトウェアの脆弱性を原因とする不正アクセス(ゼロデイ攻撃)があり、同社が保有する顧客・パートナー・同社従業員の個人情報等の一部が外部に漏えいした可能性が判明したというもの。 同社では3月7日に、同社サーバへの不審なアクセスを検知し、サーバを ...

「Google Chrome 138」にまたゼロデイ脆弱性、今すぐアップデートを/Windows環境には修正版のv138.0.7204.157/.158が展開中

窓の杜 08:05

... Windows/Mac環境にv138.0.7204.157/.158が、Linux環境にv138.0.7204.157が展開中だ。 本リリースは、原則毎週実施されているセキュリティアップデート。6件の脆弱性が修正されている。CVE番号が公開されているのは、以下の3件。 CVE-2025-7656:Integer overflow in V8CVE-2025-6558:Incorrect valid ...

日本の市場規模は1兆6,665億円に 〜 JNSA「2024年 国内情報セキュリティ市場調査報告書」

ScanNetSecurity 08:00

... 活動)は6,723億6,300万円で40.3%を占めた。 情報セキュリティ「ツール」の中分類(カテゴリ)で最も伸びたのは「アイデンティティ・アクセス管理製品」の20.0%増で、小分類(製品種別)では「脆弱性検査製品」が43.7%で最も伸びている。ツール全体の構成比で最も高いのは「ネットワーク防御・検知/境界線防御製品」の33%(3,279億円)であった。 情報セキュリティ「サービス」の中分類(カテ ...

サイバー犯罪首謀者特定に AI 活用 〜 違法大麻のプロとアマチュア区別するフレームワークを修正し SNS と組み合わせ

ScanNetSecurity 08:00

... の分析でプロの犯罪者とアマチュアを区別するために考案されたフレームワークを修正し、ソーシャルネットワーク分析と組み合わせている。この手法を用いることで、フォーラムに投稿しているアカウントと、最近の共通脆弱性識別子(CVE)の悪用を関連付けることが可能となった。 同アプローチでは、脅威調査検索エンジンであるFlareを使用し、124件の異なるサイバー犯罪フォーラムから、2015年1月から2023年7 ...

中国製IPカメラにCVSS 10.0の脆弱性 ベンダーは“音信不通"

ITmedia 08:00

... ommunication Technology LTD製のIPカメラに深刻な脆弱性が存在することを明らかにしている。 中国製IPカメラにCVSS 10.0の脆弱性 ベンダーは“音信不通" 今回の脆弱性は共通脆弱性識別子「CVE-2025-7503」として公開されている。詳細は以下の通りだ。セキュリティ企業Toreonは共通脆弱性評価システム(CVSS)v4.0におけるスコアを10.0としており、深 ...

10のテスト手法を網羅解説、要件ごとに最適なテストがわかる『フルスタックテスティング』発売

CodeZine 08:00

... orybook 6.5 視点:ビジュアルテストの課題 第7章 セキュリティテスト 7.1 構成要素 7.1.1 よくあるサイバー攻撃 7.1.2 STRIDE脅威モデル 7.1.3 アプリケーションの脆弱性 7.1.4 脅威モデリング 7.2 セキュリティテスト戦略 7.3 演習 7.3.1 OWASP Dependency-Check 7.3.2 OWASP ZAP 7.4 その他のテストツール ...

DGビジネステクノロジー、EC事業者向けにクレカ関連のセキュリティ診断サービスを提供開始

ECzine 07:30

... )の「脆弱性対策」への対応を支援する。 同ガイドラインは、経済産業省所管の「割賦販売法(後払い分野)に基づく監督の基本指針」において、セキュリティ対策義務の「実務上の指針」として位置づけられているもの。DGBTセキュリティ診断サービスでは、次のような支援を行う。 ガイドライン準拠チェック フルパック(ライト・スタンダード・プレミアム) ガイドライン準拠チェック セレクト ウェブアプリケーション脆弱 ...

SplashtopのCEOに聞くリモートワーク時代のセキュリティと生産性

ZDNet Japan 07:00

... う。 「AEMは、リアルタイムのIT資産管理機能を持ち、社内にあるIT資産を把握でき、どんな脆弱(ぜいじゃく)性があるのかが分かる。Splashtopの目標は、インターネットを含むさまざまな情報源から脆弱性を発見するまでの時間を短縮すること。これによりパッチ適用を実施し、障害を防ぐ。以前、とある他社のセキュリティツールが一斉にアップデートし、コンピューターがクラッシュしてしまうシステム障害が発生し ...

ゼロトラスト「失敗35%」――それでも“現状維持"こそ危ない理由

TechTarget ジャパン 07:00

... データを標的とした大規模な侵害が注目を集める中、ゼロトラストの必要性は決定的な転換点を迎えている。これらの攻撃は、境界型防御への過度の依存やネットワークセグメンテーションの不備など、組織のシステム的な脆弱性を露呈させた。加えて、クラウド環境におけるセキュリティ体制のわずかな隙を悪用する攻撃の高度化も浮き彫りになった。 ゼロトラストへの認識が高まる一方で、その成功を収めている組織はまだ少ない。調査会 ...

「パスワードは定期的に変えるべき? 変えない方がいい?」掘り下げると長くなるネットの疑問〜IIJに聞きました【掘り下げると長くなるネットの疑問】

INTERNET Watch 06:00

... で変更した方がいいですね。 パスワードを定期的な変更はしなくていいとする場合でも、「パスワードが漏えいしたことが分かったら変更してください」と説明されます。しかし、昨今では、存在がまだ把握されていない脆弱性を突いた攻撃で、サービスの管理者が気付いていないけど攻撃を受けてしまっている「ゼロデイ攻撃」も多くなっているため、パスワードの漏えいが判明していない状態が、イコール問題なしとは言えなくなっている ...

同意を事実上強制する「ダークパターン」を生まないために─企業価値を守るクッキーバナー「STRIGHT(ストライト)」とは

マイナビニュース 15日 19:09

... 作が困難になる。ITリテラシーの高いユーザーでなければ、ブラウザ設定によるクッキー削除などの対応は難しく、結果として企業側が一方的に有利な状況を作り出してしまう。 こうした状況は、消費者庁が提唱する「脆弱性に配慮した法制度」の議論にもつながっている(参考:消費者法制度のパラダイムシフトに向けた検討)。誰にとってもわかりやすく誠実な情報提供を行うことが、CSR(企業の社会的責任)として求められている ...

「AIファースト」と「人間ファースト」は両立しうるか?

WirelessWire 15日 17:33

... く、仕事の邪魔となる家族もいない)に置き換えられる AIを信頼しきっているし、他のやり方を知らないので、バイブコーディングされたコードはすべて本番環境に直行 ある時点で、蓄積されたバグやセキュリティの脆弱性が露見して、収益に影響を与え出す バイブコーダーはジュニアレベルのスキルから成長しないので、誰もコードレビューができないし、セキュリティの問題も修正できない 結局は解雇されたシニア開発者を再雇用 ...

GigabyteマザーボードのUEFIモジュールに複数の脆弱性 〜JVNが注意喚起/最悪の場合、OSレベルの保護を回避して任意のコードを実行できてしまう可能性

窓の杜 15日 16:12

脆弱性レポート「JVNVU#90910360」 脆弱性ポータルサイト「JVN」は7月14日、脆弱性レポート「JVNVU#90910360」を公表した。GigabyteのファームウェアのUEFIモジュールに複数の脆弱性があるという。 UEFIは、システムを起動する際に用いられるファームウェアアーキテクチャーの仕様。そのなかに低レベルのシステム操作を処理するために設計されたシステム管理モード(SMM) ...

画像処理ライブラリ「ImageMagick」に脆弱性 - アップデートが公開

Security NEXT 15日 12:08

... ラリ「ImageMagick」にあらたな脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。 同ソフトにおける一部コマンドにおいて、特定のフォーマット指定子を含むファイル名のテンプレートを処理すると、スタックバッファオーバーフローが生じる脆弱性「CVE-2025-53101」が明らかとなったもの。 CVE番号を裁判したGitHubでは、共通脆弱性評価システム「CVSSv3.1」の ...

「Apache Tomcat」に深刻度HIGHの脆弱性 〜サービス運用妨害(DoS)の恐れ/v9/10/11に影響。最新版へのアップデートを推奨

窓の杜 15日 11:07

「JVN」の脆弱性レポート(JVNVU#91378143) 脆弱性対策情報ポータルサイト「JVN」は7月14日、「Apache Tomcat」に3件の脆弱性が存在することを明らかにした。v9/10/11系統に影響し、深刻度を表すCVSS 3.1のスコアは、いずれも7.5(HIGH)と評価されている。 各脆弱性のCVE番号と影響範囲は以下の通り。 CVE-2025-52434Apache Tomca ...

「Wing FTP Server」狙う脆弱性攻撃に注意 - 詳細公表翌日より発生

Security NEXT 15日 10:04

... 局は、「Wing FTP Server」に判明した脆弱性「CVE-2025-47812」が悪用されているとして注意喚起を行った。 現地時間2025年7月14日、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が「悪用が確認された脆弱性カタログ(KEV)」を更新し、同脆弱性を追加したもの。 米国内の行政機関に対し、指定した期間内に脆弱性への対策を講じるよう促すとともに、広く悪用さ ...

「FortiWeb」の深刻な脆弱性、詳細やPoCが公開

Security NEXT 15日 09:12

... ァイアウォール「FortiWeb」に深刻な脆弱性「CVE-2025-25257」が判明した問題で、脆弱性の詳細が公開された。今後脆弱性の悪用が増加するおそれがある。 「CVE-2025-25257」は、同製品のGUIコンポーネントに判明した「SQLインジェクション」の脆弱性。認証を必要とすることなく、SQLクエリやコマンドを実行することが可能となる。 共通脆弱性評価システム「CVSSv3.1」のベ ...

既知の脅威に対し、なぜ実効的なセキュリティ体制が築けていないのか

マイナビニュース 15日 09:00

... の脆弱性を利用されたものだが、それ以降も同様に既知の脆弱性を悪用された事例が後を絶たない。 脆弱性が既知であるということは、対策方法も知られているはずだ。それでも被害が絶えない大きな理由として同氏は、実効性のあるガバナンスがないこと、そしてリアルタイムのIT資産管理が不十分であることを挙げた。IT資産は分単位で状況が変化するため、リアルタイムのチェックでバージョンや振る舞いをつねに確認しておけば、 ...

「HPE Networking Instant On」のアクセスポイントに深刻な脆弱性

Security NEXT 15日 08:39

... ントに複数の脆弱性が明らかとなった。アップデートが提供されている。 同製品のファームウェア「3.2.0.1」および以下のバージョンに2件の脆弱性が明らかとなったもの。具体的には、機器に認証情報がハードコードされており、認証をバイパスして管理者権限を取得できる「CVE-2025-37103」が確認された。 あわせて認証済みのユーザーにより任意のコマンドが実行できるコマンドインジェクションの脆弱性「C ...

システムエグゼへのランサムウェア攻撃、東京都港湾局は調布飛行場受付システムの運用保守を委託

ScanNetSecurity 15日 08:05

... 。 なお、ランサムウェア攻撃によるデータの外部流出はなく、攻撃のあったシステムエグゼの社内サーバは港湾局の業務に用いているサーバとは別のもの。 港湾局ではシステムエグゼに対し、全ての影響調査が完了し、脆弱性が解消されるまでの間、港湾局サーバとのネットワークの遮断を指示している。 港湾局ではシステムエグゼに調査結果等の報告を求めるとともに、原因の究明、技術的な対策をはじめ、情報セキュリティ対策の強化 ...

半数以上の組織が身代金支払額を値切る 〜 ソフォス「ランサムウェアの現状 2025年版」

ScanNetSecurity 15日 08:00

... 上高が10億ドル以上の企業に要求される身代金の中央値は500万ドルだったが、売上高が2億 5,000万ドル以下の組織に要求される身代金の中央値は35万ドル以下となった。 攻撃の技術的な根本原因として、脆弱性の悪用が3年連続で第1位となる一方で、ランサムウェア被害を受けた組織の40%が、自社が認識していないセキュリティギャップを攻撃者に突かれたと回答しており、組織が攻撃対象領域の把握と防御に依然とし ...

Geminiを狙う新たな攻撃が登場 HTMLメール内に不可視の命令を埋め込む

ITmedia 15日 08:00

... eminiが本来意図されていない出力を生成するという脆弱(ぜいじゃく)性が報告された。 Geminiが不可視命令に反応 AI要約機能の脆弱性を悪用した攻撃とは? この攻撃は、電子メール本文に埋め込まれた隠しプロンプトが電子メールの要約機能によってAIの出力に反映される脆弱性とされている。具体例として「<Admin>」タグ内に攻撃者のメッセージを配置し、それを白文字やゼロサイズのフォントで表示から除 ...

Salesforce の脆弱性ではなくそれを使う人間を操る 〜 ITサポート担当者になりすまし電話し侵入

ScanNetSecurity 15日 08:00

... たり、機密性の高い認証情報を共有させたりして組織のSalesforceデータを盗みやすくするのに効果的であることが証明されている。GTIGが観測したすべてのケースで、攻撃者はSalesforce固有の脆弱性を悪用するのではなく、エンドユーザーを操作する方法を使用していた。 UNC6040でよく見られる戦術は、被害者を欺いて組織のSalesforceポータルに悪意のある接続アプリケーションを承認させ ...

欧州サイバーセキュリティ規制に向け対応製品続々、フエニックス・コンタクト

MONOist 15日 07:30

... 欧州のCRA、違反した場合は高額の罰金も 欧州では、製品のライフサイクル全体にわたるサイバーセキュリティ対策を義務付けるサイバーレジリエンス法(CRA)が2024年10月に成立した。2026年9月から脆弱性、インシデント報告義務が開始され、2027年12月からCRAが全面的に適用される。要件に違反した場合は、最大で1500万ユーロ(約25億円)またはグローバル年間売上高の2.5%のいずれか高い方が ...

脆弱性データベースの危機、 「米国頼み」の脆弱性が露呈

ASCII.jp 15日 06:26

世界のサイバーセキュリティを支える米国の脆弱性データベース「NVD」が機能停止し、未処理案件が蓄積。高額な民間サービスに移行できない組織が「セキュリティ格差」に直面する中、中国やEUは独自システムの構築を加速。米国主導のサイバーセキュリティ基盤の脆弱性が、皮肉にも世界最大のリスクとなっている。 【この続きをMITテクノロジーレビューで読む】

脆弱性データベースの危機、 「米国頼み」の脆弱性が露呈

MITテクノロジーレビュー 15日 06:26

... system is breaking down 脆弱性データベースの危機、 「米国頼み」の脆弱性が露呈 世界のサイバーセキュリティを支える米国の脆弱性データベース「NVD」が機能停止し、未処理案件が蓄積。高額な民間サービスに移行できない組織が「セキュリティ格差」に直面する中、中国やEUは独自システムの構築を加速。米国主導のサイバーセキュリティ基盤の脆弱性が、皮肉にも世界最大のリスクとなっている。 ...

「境界型防御」がもう限界な理由 なぜゼロトラストに基づいた対策が必要なのか

TechTarget ジャパン 15日 05:00

... さらにSSO(シングルサインオン)やMFA(多要素認証)を併用することで安全性を高めつつ手間を減らすことも可能です。 エンドポイントセキュリティ サイバー攻撃者が社内ネットワークに侵入する方法として、脆弱性の悪用と並び利用されるのがエンドポイントにあるPCなどの業務用デバイスです。ほとんどの業務用PCには、アンチマルウェアとも呼ばれるエンドポイント保護ツール「EPP」(Endpoint Prote ...

脆弱性管理の「もやもや」を解消するポイントとは? 識者や担当者の議論に学ぶ、脆弱性管理体制構築のヒント

＠IT 15日 05:00

... お伝えする。 本当に運用できる? 脆弱性管理、そしてSBOM ラックで脆弱性管理に関する研究に携わり、日本シーサート協議会(NCA)の脆弱性管理ワーキンググループにも参加している井上圭氏は、Internet Week 2024の講演「これは助かる!ありそうでなかった運用フレームワーク〜脆弱性管理の手引き〜」の内容(レポート記事)も踏まえつつ、脆弱性管理は、文字通りの脆弱性管理から「企業のリスク管理 ...

キーボード操作主体で効率的・直感的なファイラー「Filedini」v0.4.461(beta) ほか【ダイジェストニュース】

窓の杜 14日 18:15

... dows 10/11とWindows Server 2016/2022/2025のMicrosoft Changjie IMEに問題 繁体中国語で正しく入力できない可能性。現在解決に取り組み中「Apache HTTP Server 2.4」に複数の脆弱性 DoSやHTTPセッション乗っ取りなどの恐れ。v2.4.59へのアップデートを推奨Amazonで購入「Windows」関連商品Amazonで購入

アシュアードの脆弱性管理クラウド「yamory」、検出された脆弱性やリスクに対する担当者指定が可能に

クラウド Watch 14日 16:27

株式会社アシュアードは14日、脆弱性管理クラウド「yamory(ヤモリー)」は、「担当者割当」機能をリリースしたと発表した。 yamoryは、ITシステムの脆弱性を自動で検知して、その管理・対策を可能にするクラウドサービス。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供しており、ITシステムに必要な脆弱性対策をオールインワンで実現できるという。 このyamor ...

アシュアード、脆弱性管理サービスに担当者割り当ての新機能

ZDNet Japan 14日 12:06

... によれば、ユーザーから脆弱性管理業務の効率化や強化のために、対応の主担当者と対応期限を明確にした運用ができる機能への要望があり、新機能を搭載した。 新機能は、yamoryで検出された脆弱性やリスクに対応する担当者を指定したり、複数の担当者を同時に割り当てたりでき、対応予定日を設定することで期限の管理もできる。また、検索・フィルタで担当者と対応予定日を条件に把握でき、担当者別の脆弱性やリスクの対応の ...

Windows 11 24H2、7月の更新プログラムでインストールに失敗する不具合

マイナビニュース 14日 11:46

... icrosoftはこれらの問題に対して公式にコメントしておらず、対策は明らかになっていない。しかしながら、この更新プログラムには重要な脆弱性の修正が含まれており、インストールすることが推奨されている(参考記事:Microsoft、7月更新プログラム公開 - 130件の脆弱性を修正 | TECH+(テックプラス))。 手動アップデートで改善の可能性 そこで、Windows LatestはWindow ...

「CD2WAV32」で寿命間近?かもしれないCDをリッピングしてみた記事に注目が集まる 〜窓の杜アクセスランキング[2025/07/08〜2025/07/13]【記事アクセスランキング】

窓の杜 14日 10:49

... (2025-07-11 16:27) 名機「Kindle Oasis」からの乗り換えに適したE Ink端末は? 9 (2025-07-11 15:39) セキュリティソフト「ESET」シリーズのインストーラーに脆弱性 10 (2025-07-11 06:45) 「AviUtl ExEdit2」で『柴田理恵の消失』が簡単に実現できると話題に Amazonで購入「音楽CD」関連商品Amazonで購入

「Kubernetes」向けパッケージ管理ツール「Helm」に脆弱性

Security NEXT 14日 09:59

「Kubernetes」向けのパッケージ管理ツール「Helm」に脆弱性が明らかとなった。修正パッチが提供されている。 ローカルファイルに対するシンボリックリンクを悪用し、コードを実行されるおそれのある脆弱性「CVE-2025-53547」が明らかとなったもの。 同脆弱性は、細工した「Chart.yaml」ファイルと、実行される可能性のあるシェルの設定ファイルへシンボリックリンクされた「Chart. ...

Appleの開発者向けアプリに情報漏洩の脆弱性 - 最新版で修正済み

Security NEXT 14日 09:02

... クセス可能な場合に、機密性の高いユーザー情報を閲覧できる脆弱性「CVE-2025-31267」が確認された。 同脆弱性が報告されたことを受け、同社では「iOS 17.0」「iPadOS 17.0」および以降のバージョンに対して、現地時間2025年6月9日にリリースした「App Store Connect 3.0」で認証状態の管理機能を強化。同脆弱性を解消したとしている。 (Security NEX ...

「SaaSトラフィック」で不要なコストをかけていませんか? 最適なWANを検討するための5つのポイントに迫る

マイナビニュース 14日 09:00

... いては品質と並んで気になる要素だろう。近年、VPN機器の脆弱性を狙ったランサムウェア攻撃の被害が目立っている。実際に警察庁の調査によれば、国内のランサムウェア感染経路としてはVPN機器がここ数年連続でトップの座に君臨する。 ポイントはやはり脆弱性対策であることから、インターネットVPNの導入を考えるなら機器の設定をしっかりと行い、併せて日々の脆弱性管理も徹底する必要が出てくるわけだ。そのため、自社 ...

社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ

EnterpriseZine 14日 09:00

... リティ対策が充実している企業ほど、人の脆弱性を狙った攻撃の標的にされやすいのだという。 「ある程度規模の大きい企業や、セキュリティ意識の強い企業であれば、技術的な対策を講じています。そういった企業に対して、攻撃者が正面を切って突撃することは現実的ではありません。そのため、技術だけではガードしきれない“人の脆弱性"を突いた攻撃をしかけてくるのです」(稲葉氏) 人の脆弱性を狙った攻撃の中で特に多用され ...

Windows 10あと3カ月ではEoS! で、EoSって何? どうすればいい?/買い替えか、ESUで時間稼ぎか、それが問題だ【やじうまの杜】

窓の杜 14日 08:55

... ort、サポート終了のことです。 サポート終了を迎えると、原則として以降はセキュリティ更新プログラムの提供を含むすべてのサービスが打ち切られてしまいます。セキュリティ更新プログラムの提供が終了すると、脆弱性が発見されても修正されません。 そのままインターネットにつなげて使い続けることは、昨今のネット事情を鑑みれば、飢えたケダモノの群れの中でTシャツ短パンのまま棒立ちしているようなものです。攻撃の踏 ...

WordPressプラグインに重大な脆弱性、確認とアップデートを

マイナビニュース 14日 08:43

... Arbitrary File Deletion Vulnerability in SureForms WordPress Plugin 脆弱性に関する情報 脆弱性の情報(CVE)は次のとおり。 CVE-2025-6691 - ファイル名およびパスを外部制御できる脆弱性で、遠隔から認証されていない第三者が任意のファイルを削除することを可能にする。設定ファイル(wp-config.phpなど)を削除 ...

先週注目された記事(2025年7月6日〜2025年7月12日)

Security NEXT 14日 08:19

... 流出の可能性 - 日鉄ソリューションズ 6位:「PHP」に複数脆弱性 - セキュリティリリースが公開 7位:「FortiWeb」に認証不要でコマンド実行が可能となるSQLi脆弱性 8位:「PAN-OS」「GlobalProtect App」など複数製品の脆弱性を解消 - Palo Alto 9位:ビデオ会議のZoom、クライアントの複数脆弱性を解消 10位:「愛知全県模試」受験者情報が流出した可能 ...

クラウドセキュリティの高峰 五合目まで行くエスカレーター 〜 Cloudbase 岩佐晃也

ScanNetSecurity 14日 08:10

... 目になるので、今度は自分が好きなセキュリティを仕事にしてみようと。ただ、2006 年当時はまだセキュリティの仕事はあまりなく、とりあえず脆弱性診断から始めました。 岩佐: 2006 年頃の脆弱性診断というと、SQLインジェクションやクロスサイトスクリプティングがまだ脆弱性として議論されていたような時代ですよね。 上野: その通りです。私は雑誌記事などで知見をまとめていたので、それをベースに診断ガイ ...

Nimesa Backup and Recovery に複数の脆弱性

ScanNetSecurity 14日 08:00

ハッキング大会でVMwareの脆弱性が露呈 ESXiでは“初の侵害報告"も

TechTarget ジャパン 14日 07:15

... ており、VMware製品の運用を続けるユーザー企業にとっての不安感が高まりつつある。 ハッキング大会で露呈したVMwareの脆弱性 併せて読みたいお薦め記事 VMwareの脆弱性問題 「VMware永久ライセンス」を危険にさらす“ゼロデイ脆弱性"とは VMware ESXiに脆弱性 Microsoftが「ランサムウェアでの悪用を確認」と注意喚起 Pwn2Ownでは、セキュリティサービス企業Star ...

TLSの仕様差を悪用した中間者攻撃「Opossum攻撃」に要注意 研究者らが発見

ITmedia 14日 07:00

... ョン層における「非同期」を引き起こすことにより、HTTPSやSMTP、FTP、POP3など、TLSを利用する複数のプロトコルに影響を与える。中間者攻撃(MITM)の手法でありながら、既存のTLS実装の脆弱性を突くものではない点が特徴とされている。 Opossum攻撃は、暗号通信の開始方式「暗黙的TLS」と「機会的TLS」の両方を同時にサポートするサーバに対し成立する。暗黙的TLSは通信開始時点から ...

Windowsユーザーを危険にさらす「重大な欠陥」の悪用シナリオと深刻度

TechTarget ジャパン 14日 06:00

... 、同社OS「Windows」をはじめ、広く使われている製品に影響する脆弱性や、すでに攻撃が確認されている脆弱性も含まれている。どのような脆弱性で、なぜ危険なのか。 Microsoft脆弱性情報まとめ システムを守るには? 併せて読みたいお薦め記事 IT製品を安全に利用するには 「VMware永久ライセンス」を危険にさらす“ゼロデイ脆弱性"とは これだけは知っておきたい「Windows更新」の基本と ...

初の展示会に見る製造業のセキュリティトピック--法規制対応やソリューションの広がり

ZDNet Japan 14日 06:00

... までには駆け込みでの問い合わせが急増するのでないか」と話す。 来場者から問い合わせが多かったのが、EUサイバーレジリエンス法への対応だった。2026年9月までに脆弱性やインシデントの報告が義務化されるため、体制整備などが急務という CRAでの脆弱性やインシデントの報告義務に対応するには、国際電気標準会議(IEC)の「IEC62443」シリーズなどに基づくアセスメントやプロセスの体制や運用を整備する ...

アプリとAPIの保護が「WAFだけ」では危険な理由と“正しい"防御策

TechTarget ジャパン 14日 05:00

... る攻撃の手口はますます巧妙化している。サービスの可用性を損なうDDoS(分散型サービス拒否)攻撃からアプリケーションやAPIの脆弱(ぜいじゃく)性を悪用する攻撃まで、その種類は多岐にわたる。システムの脆弱性に起因するものだけではなく、正常な機能の不正利用、アクセス権限の不正取得、Webブラウザやモバイルデバイスなどクライアントでのデータ改ざんといったさまざまな問題が、セキュリティ対策を一層複雑にし ...

【特別企画】使える「脅威インテリジェンス」とは - 単なる情報ソースで終わらせないために

Security NEXT 14日 00:01

近年巧妙化の一途をたどっているサイバー攻撃。時間をかけて組織周辺を調査し、流出したアカウント情報や機器の脆弱性などの「弱み」につけ込み内部へ侵入するケースが増えている。役員の身辺情報を調べ、ソーシャルエンジニアリングを用いた手口もある。 また内部への侵入を狙った攻撃だけではない。「著名ブランド」に便乗してユーザーをだますフィッシング攻撃も、オンラインサービスを展開する企業にとっては厄介な存在だ。最 ...

WordPressプラグイン・テーマの脆弱性最新情報 第8回 2025年6月26日〜2025年7月2日までに報告されたWordPress関連の脆弱性情報

マイナビニュース 13日 11:35

... 、この脆弱性を悪用すると、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」といったことが可能になります。 総括 6月26日から7月2日にかけて報告された脆弱性6件のうち、2件は認証を受けてない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性 ...

大規模インシデントの再来? Citrix NetScalerに新たな脆弱性

ITmedia 12日 09:00

... は、既に初期段階の悪用が確認されたという。 大規模インシデントの再来? あの脆弱性と関連している可能性 研究者たちによると、標的となった環境への初期侵入で「NetScaler Gateway」の脆弱性が利用されている兆候が確認されたとのことだ。Citrixの勧告によると「CVE-2025-5777」として追跡されているこの脆弱性は(注2)(注3)、NetScalerがGatewayとして構成されて ...

暗号資産を狙う暴行・強盗・誘拐が多発、人的脅威のセキュリティ対策が急務に

Forbes JAPAN 12日 08:00

... に相当する資産をも動かせる一方、ひとたび紛失や流出という事態になると、損害を取り戻す手段はない。 こういった考え方や仕組みのため、悪意のある者による直接的な暴力によって命や財産が狙われるという、深刻な脆弱性が生まれている。暗号資産の保有者がネット上のセキュリティ意識を高める一方で、犯罪者たちは物理的な襲撃に打って出るようになった。つまり、暗号資産の富豪がネットワークごしのセキュリティを強化し賢く立 ...

「7月に大災害が起きる」――フェイクで止まった航空路線 事実を伝えるだけでは、人は動かない理由

ITmedia 12日 08:00

... 徳島便はいずれも、訪日外国人宿泊数が全国で下位に位置する地方空港の貴重な国際線だ。観光庁が掲げる地方誘客の柱としてようやく成長を始めた路線が、数カ月の予約減少で運休となったことは、航空・観光インフラの脆弱性を浮き彫りにした。 コロナ禍以降、搭乗率50%以下の国際線は継続が難しくなり、一時的な需要減でも撤退が容易に決まる構造が存在する。 さらに今回の事例は、移動や旅行の意思決定が価格や便数などの物理 ...

計算履歴やカスタム関数、定数管理機能などを備えた関数電卓「S-Calc_Full」 ほか【ダイジェストニュース】

窓の杜 11日 18:43

... dchart」も追加「Apache HTTP Server 2.4」に深刻度moderateの脆弱性 修正版のv2.4.64が公開「Firebox T15」に非公開機能を悪用される問題 Root権限でシェルを利用される恐れ。最新ファームウェアへのアップデートを推奨Advantech製「iView」に複数の脆弱性 任意コード実行やDoSなどの恐れ。最新版へのアップデートを推奨Amazonで購入「Wi ...

NEC、セキュリティリスク対策製品にAI活用の効率的なアラートの絞り込み機能等を追加

マイナビニュース 11日 18:06

... 減することも可能。 脆弱性対処の優先付け 同製品で収集した脆弱性情報を、脆弱性評価のフレームワークとして注目されているSSVC(Stakeholder-Specific Vulnerability Categorization)の手法を用いて多角的に分析する。 そして、顧客のネットワーク環境の特性に合わせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示する。脆弱性情報や装置情 ...

re:Inforceのセキュリティ新発表 AWS Summitのブース担当者が熱心に説明してくれた

ASCII.jp 11日 17:00

... rity Posture Management (CSPM)やリスクの可視化機能も提供している。今回は新たにリスクの相関分析機能が追加され、アラートや脆弱性の関連性を分析し、攻撃のパスがわかるようになった。「エクスポージャーサマリーウィジェット」では、脆弱性の優先順位が表示される。 また、AWSのデータソースやログを定期的にモニタリングし、脅威を検出する「Amazon GuardDuty」では拡張 ...

セキュリティソフト「ESET」シリーズのインストーラーに脆弱性/ファイル削除とローカル特権昇格の恐れ。インストール済みの環境なら影響なし

窓の杜 11日 15:39

... ティ プレミアム ESET インターネット セキュリティSOHO向け製品ESET スモール ビジネス セキュリティESET NOD32アンチウイルス 本脆弱性は、インストールされたESETプログラム自体ではなく、インストーラーに存在する脆弱性として、プログラムが動作している環境である場合は、本脆弱性による影響はない。今後、再インストールする際は修正プログラムのインストーラーの利用を呼びかけている。

マクドナルドの求人システムに6,400万件個人情報流出につながる脆弱性

マイナビニュース 11日 13:49

... on McDonald's job applications」において、マクドナルドの求人システム「McHire」から弱い認証情報使用の脆弱性を発見したと報じた。 この認証情報を悪用すると、同社に応募した6,400万人以上の個人情報を取得することが可能とされる。この脆弱性は求人システム「McHire」を利用する店舗にのみ影響があるとされ、日本マクドナルドへの影響は定かではない。 Would you ...

「Apache httpd」にSSRFやセッションハイジャックなど複数脆弱性

Security NEXT 11日 13:19

... er」に複数の脆弱性が判明したとして、開発チームはセキュリティアップデートとなる「同2.4.64」をリリースした。 CVEベースで8件の脆弱性が明らかになり、対処したもの。重要度が「クリティカル(Critical)」や「高(High)」とされる脆弱性は含まれておらず、5件は「中(Moderate)」、のこる3件は「低(Low)」としている。 具体的には、HTTPレスポンスを分割できる脆弱性「CVE ...

「Apache Tomcat」にアップデート - 複数脆弱性を修正

Security NEXT 11日 12:19

... ースし、複数の脆弱性を解消した。 アップデートのリリース当初言及していなかったが、現地時間同月10日に3件の脆弱性「CVE-2025-49125」「CVE-2025-53506」「CVE-2025-52520」へ対処していたことを明らかにしたもの。 「CVE-2025-49125」は、「APR/Nativeコネクタ」における接続の終了処理において競合状態が発生し、サービス拒否が生じる脆弱性。「Ja ...

Windows 11 24H2で「JScript9Legacy」がデフォルト有効化

マイナビニュース 11日 12:19

... も大幅に向上しているという。 加えて、JavaScriptオブジェクトの取り扱いの改善や、厳格な実行ポリシーなど、高度なセキュリティ機能を組み込んだことで、クロスサイトスクリプティング(XSS)などの脆弱性への耐性が高まったとのこと。これによってより幅広いセキュリティ脅威に対する防御力が高まり、ユーザーはより安全な環境を利用できるとMicrosoftは説明している。 なお、JScript9Lage ...

NTTドコモのデータメッシュ戦略 - 「資産化」と「民主化」で切り拓くデータ活用の新境地

マイナビニュース 11日 11:05

... Snowflakeは、可用性の高さに加え、運用負荷が「比較のしようがない」(石井氏)ぐらい低減されたという。 その背景にあるのが、「責任分界点」の違いである。従来のIaaS環境では、カスタマイズ部分の脆弱性検証やセキュリティ審査を自社で担う必要があり、運用負荷の大きな要因となっていた。一方、Snowflakeでは、プラットフォームに関するセキュリティ対策はベンダー側が責任を持つ。そのため、顧客側で ...

マクドナルドのAI採用ボット、パスワード「123456」で応募者データ漏洩の危機に

WIRED.jp 11日 11:00

... した。McHire.comは、マクドナルドの多くの加盟店が求人応募の処理に使用しているサイトだ。 これまで独立した立場でセキュリティテストを数多く実施してきたキャロルとカリーだが、今回は単純なウェブの脆弱性を使ってParadox.aiのアカウントにアクセスできることを発見した。笑えるほど弱いパスワードを推測するだけで、McHire.comユーザーとオリビアとのチャットのすべてを保存しているデータベ ...

Akamai の API Securityをアパグループが採用

ASCII.jp 11日 11:00

... をよくあるエラーとして処理せず、どのような理由で404エラーが発生したのかまでを可視化し、攻撃の兆候を掴めるようになった - 可視化の技術で業務効率化:API Securityの可視化により、どこまで脆弱性テストの試験官の目が届いていたのか、危険なポイントはなかったかという点を、モニタリング側の視点から検証することができるようになった アパリゾート株式会社執行役員兼アパグループ株式会社IT事業部長 ...

NEC、AI技術活用などによる運用コスト低減機能を追加した「NEC サプライチェーンセキュリティマネジメント for ネットワーク」の新バージョンを販売開始

SecurityInsight 11日 10:30

... 減することも可能。 2.脆弱性対処の優先付け この商品で収集した脆弱性情報を、脆弱性評価のフレームワークとして注目されているSSVC(Stakeholder-Specific Vulnerability Categorization)の手法を用いて多角的に分析。ユーザーのネットワーク環境特性に合わせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示する。脆弱性情報や装置情報など ...

このリストにあるChrome・Edgeの拡張機能をすぐに削除せよ

Forbes JAPAN 11日 10:00

... けている。最新のゼロデイ脆弱性(CVE-2025-6554)はグーグル自身の脅威分析グループ(TAG。Threat Analysis Group)によって発見され、「全ユーザー」に対する静かな設定変更と緊急アップデートにつながった。 このCVE-2025-6554は、Chromeで採用しているJavaScript・WebAssemblyエンジン「V8」における「型混乱に関する脆弱性」により、「リモ ...

ソフォス、「ランサムウェアの現状レポート」を公開 〜約半数の企業が身代金を支払うことを選択

SecurityInsight 11日 10:00

... の中央値は2024年から2025年の間に3分の1に減少した一方で、身代金支払額の中央値は50%減少しており、企業がランサムウェアの影響を最小限に抑えることに成功しつつあることを示している。 3年連続で脆弱性の悪用が、攻撃の技術的な根本原因の第一位。一方で、ランサムウェア被害を受けた組織の40%が、攻撃者によって自社が認識していないセキュリティギャップを突かれたと回答しており、組織が攻撃対象領域の把 ...

SAP、月例アドバイザリ31件を公開 - 「クリティカル」6件

Security NEXT 11日 09:28

... ェクションの脆弱性「CVE-2025-42967」をはじめ、5件を「クリティカル(Critical)」とレーティングしている。 「SAP NetWeaver」関連製品における「CVE-2025-42980」「CVE-2025-42964」「CVE-2025-42966」「CVE-2025-42963」など、信頼できないデータをデシリアライズする脆弱性4件について注意するよう求めた。 共通脆弱性評価 ...

ランサムウェア被害を受けた徳島・半田病院事業管理者が語る、備えておくべきこととは

マイナビニュース 11日 09:00

... ておくべきだった」と悔やむ。攻撃を受ける数か月前には、厚生労働省から各都道府県の衛生主管部に向けてランサムウェア攻撃についての注意喚起が出されていたのだが、これを把握していなかった。また、VPN機器の脆弱性に関して数多くの報道があったにもかかわらず、ベンダーからは何も伝えられていなかった。 「厚労省の注意喚起を把握して記載されていることを全てやり、ベンダーから情報を得ていれば、被害を受けなかったか ...

米当局、「Citrix Bleed 2」の悪用に注意喚起

Security NEXT 11日 08:57

... rix Gateway)」の脆弱性「Citrix Bleed 2」が悪用されているとして、米当局が注意喚起を行った。 現地時間2025年7月10日に米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が「悪用が確認された脆弱性カタログ(KEV)」を更新したもので、別名「Citrix Bleed 2」とも呼ばれる「CVE-2025-5777」を追加した。 同脆弱性の悪用が確認されてい ...

エーアイセキュリティラボ、ネットワークバリューコンポネンツと販売店契約締結、「AeyeScan」を展開

ScanNetSecurity 11日 08:00

... 締結したと発表した。 NVCは、ネットワーク製品及びセキュリティ製品の提供から開発、コンサルテーション、構築・保守、マネージドサービス・クラウドサービスの提供を行っている。 エーアイセキュリティラボは今後、NVCとクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」の展開を行うことで、より多くの顧客のWebアプリケーションセキュリティ体制の強化と、脆弱性診断の内製化支援を推進する。

マイクロソフト 7 月のセキュリティ情報公開、セキュリティ更新プログラムの適用を呼びかけ

ScanNetSecurity 11日 08:00

... Azure これらの脆弱性を悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性がある。 IPAおよびJPCERT/CCでは、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを適用するよう呼びかけている。 また、「Microsoft SQL Server の情報漏えいの脆弱性(CVE-202 ...

体験・品質・セキュリティ を一貫して最適化「デジタルサービス事業者向け品質支援ソリューション」エーアイセキュリティラボとヴェス

ScanNetSecurity 11日 08:00

... ースがある。 同ソリューションでは、デジタルサービス全体の改善活動を社内で一貫して実行できる体制づくりを支援、部門の垣根を越えて情報を可視化・共有することで、各フェーズの課題を多面的に捉えることができると同時に、継続的な改善活動を実現する。 セキュリティ領域では、エーアイセキュリティラボが提供するクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」が、脆弱性対策の内製化を支援する。

FortiWebにSQLインジェクションの脆弱性 CVSS 9.6でアップデート推奨

ITmedia 11日 07:30

... な脆弱(ぜいじゃく)性が存在することを公表した。脆弱性は「CVE-2025-25257」として登録されており、データベースへの不正アクセスや改ざん、システムの制御権奪取などのリスクが懸念される。 CVSS 9.6 FortiWebにSQLインジェクションの脆弱性 報告された脆弱性は以下の通りだ。 CVE-2025-25257: SQLインジェクションの脆弱性。FortiWebのSQLコマンドで使用 ...

攻撃者は盗んだ認証情報で容易に侵入する--外部脅威管理を加えたチェック・ポイント

ZDNet Japan 11日 06:00

... てCheck Point側のファイアウォールなどのゲートウェイセキュリティ側で仮想的なパッチを設定し、攻撃を遮断するという。「われわれの調査では、不正侵入の約50%が設定の不備や証明書の失効、未修正の脆弱性、不用意なポートの開放などに起因している」(Corem氏) 日本市場でも買収以前から事業展開していたことで、製造や金融、流通などの大手企業が導入しているとのこと。Corem氏は、Check Po ...

普通の組織で「脆弱性管理」を始めるには? 日本シーサート協議会WGが解説する4つのステップ

＠IT 11日 05:00

... net Week 2024」のセッション「これは助かる!ありそうでなかった運用フレームワーク〜脆弱性管理の手引き〜」では、脆弱性管理の課題にどう取り組むべきかを問うセッションが行われた。 手引書が勧める、脆弱性管理の4つのフェーズとは 日本シーサート協議会(NCA)の脆弱性管理WG(ワーキンググループ)は、脆弱性管理の「あるべき姿」を踏まえつつ、現実との折り合いをどのように付けていくべきか、さまざ ...

セキュリティツール“乱立"が生んだ逆説「使えば使うほど脆弱だった」

TechTarget ジャパン 11日 05:00

... ュリティ専用の製品だった。これは世界中の2500人以上の経営幹部を対象に、クラウドの導入戦略について調査したものだ。 セキュリティツールが乱立しているシステム環境では、以下のような領域で“保護の穴"や脆弱性が生じる可能性がある。 アップデート セキュリティソフトウェアでは定期的または不定期でアップデートや設定変更をすることが基本だ。クラウドサービスは変更の頻度が高いため、それに合わせて多くのツール ...

祝25周年!狂気に染まった不思議の国で敵を血祭りに上げる傑作TPS『アリス イン ナイトメア』をご紹介

Game*Spark 10日 17:30

... ても起動せず、「アクセス違反」「管理者権限でログインしなおしてから、やりなおしてください」と表示されてしまいます。というのも本作、古いDRMの「SafeDisc」を採用しているものの、セキュリティ上の脆弱性から現行のWindowsではサポートされていないのです。実際に「イベントビューアー」で確認してみると、このDRMの動作に必要な“「secdrv.sys」ドライバーの読み込みがブロック"されており ...

NEC、ネットワーク機器の真正性を確保するサービスを強化 効果的なアラートの絞り込みや脆弱性対処の優先付けなどを可能に

クラウド Watch 10日 13:56

... る。 さらに、収集した脆弱性情報を、脆弱性評価のフレームワーク「SSVC(Stakeholder-Specific Vulnerability Categorization)」の手法を用いて多角的に分析。導入企業のネットワーク環境特性にあわせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示する機能を備えた。 脆弱性情報や装置情報などを基に、影響度を踏まえた脆弱性の対応優先度を ...

ゼロデイ攻撃で個人情報流出の可能性 - 日鉄ソリューションズ

Security NEXT 10日 13:44

... からのアクセスを制限した上で調査を行ったところ、第三者による不正アクセスの痕跡を確認した。 ネットワーク機器のソフトウェアは最新の状態となっていたが、被害発生当時に修正プログラムが用意されていなかった脆弱性に対し、ゼロデイ攻撃が行われたという。 不正アクセスを受けたことにより、サーバ内部に保存されていた約9万件の個人情報が外部に流出した可能性がある。 顧客の氏名、会社名、所属、役職、会社住所、業務 ...

NEC、ネットワーク機器のセキュリティ強化製品で新版--AIでアラート絞り込みと脆弱性対処を強化

ZDNet Japan 10日 11:12

... いる 脆弱性対処の優先付け:同製品で収集した脆弱性情報を、脆弱性評価フレームワーク「SSVC(Stakeholder-Specific Vulnerability Categorization)の手法を用いて多角的に分析する。そして、ユーザーのネットワーク環境特性に合わせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示する。脆弱性情報や装置情報などを元に、影響度を踏まえた脆弱 ...

クルマは「現車確認なし、データを把握して」買う時代へ

ASCII.jp 10日 11:00

... ウが属人化し、営業手法や業務プロセスが非効率化する傾向が目立っていた。対面を前提とした販売スタイルが中心のため、場所や時間の制約が大きかった。また、保険商談など、法令遵守が求められる場面の記録体制には脆弱性が見られた。 自動車業界ならではの顧客のニーズ「現車を実際に見たい」 自動車を購入する際、多くの購入者が「実際に現車を確認したい」と考えるのは自然なことです。インターネット上の写真や情報だけでは ...

ファイアウォールログ解析ツール「Firewall Analyzer」大規模環境に適した分散構成のEnterprise Editionをリリース

ASCII.jp 10日 11:00

... トワーク機器のコンフィグ管理ツールです。ルーター、スイッチ、ファイアウォール、無線アクセスポイントなどを対象に、コンフィグの自動バックアップ、変更管理、世代管理、ハードウェア情報管理やファームウェアの脆弱性管理を実現します。 - 「Network Configuration Manager」Webサイト - 「Network Configuration Manager」の価格情報ページ - 「Ne ...

NEC、AI技術活用などによるネットワーク機器セキュリティ運用コスト低減機能を追加した「NEC サプライチェーンセキュリティマネジメント for ネットワーク」の新バージョンを販売開始

ASCII.jp 10日 11:00

... ) 2. 脆弱性対処の優先付け(注2) 本商品で収集した脆弱性情報を、脆弱性評価のフレームワークとして注目されているSSVC(Stakeholder-Specific Vulnerability Categorization 注4)の手法を用いて多角的に分析します。そして、お客さまのネットワーク環境特性に合わせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示します。脆弱性情報 ...