このリストにあるChrome・Edgeの拡張機能をすぐに削除せよ

Forbes JAPAN 11日 10:00

... けている。最新のゼロデイ脆弱性(CVE-2025-6554)はグーグル自身の脅威分析グループ(TAG。Threat Analysis Group)によって発見され、「全ユーザー」に対する静かな設定変更と緊急アップデートにつながった。 このCVE-2025-6554は、Chromeで採用しているJavaScript・WebAssemblyエンジン「V8」における「型混乱に関する脆弱性」により、「リモ ...

ソフォス、「ランサムウェアの現状レポート」を公開 〜約半数の企業が身代金を支払うことを選択

SecurityInsight 11日 10:00

... の中央値は2024年から2025年の間に3分の1に減少した一方で、身代金支払額の中央値は50%減少しており、企業がランサムウェアの影響を最小限に抑えることに成功しつつあることを示している。 3年連続で脆弱性の悪用が、攻撃の技術的な根本原因の第一位。一方で、ランサムウェア被害を受けた組織の40%が、攻撃者によって自社が認識していないセキュリティギャップを突かれたと回答しており、組織が攻撃対象領域の把 ...

SAP、月例アドバイザリ31件を公開 - 「クリティカル」6件

Security NEXT 11日 09:28

... ェクションの脆弱性「CVE-2025-42967」をはじめ、5件を「クリティカル(Critical)」とレーティングしている。 「SAP NetWeaver」関連製品における「CVE-2025-42980」「CVE-2025-42964」「CVE-2025-42966」「CVE-2025-42963」など、信頼できないデータをデシリアライズする脆弱性4件について注意するよう求めた。 共通脆弱性評価 ...

ランサムウェア被害を受けた徳島・半田病院事業管理者が語る、備えておくべきこととは

マイナビニュース 11日 09:00

... ておくべきだった」と悔やむ。攻撃を受ける数か月前には、厚生労働省から各都道府県の衛生主管部に向けてランサムウェア攻撃についての注意喚起が出されていたのだが、これを把握していなかった。また、VPN機器の脆弱性に関して数多くの報道があったにもかかわらず、ベンダーからは何も伝えられていなかった。 「厚労省の注意喚起を把握して記載されていることを全てやり、ベンダーから情報を得ていれば、被害を受けなかったか ...

米当局、「Citrix Bleed 2」の悪用に注意喚起

Security NEXT 11日 08:57

... rix Gateway)」の脆弱性「Citrix Bleed 2」が悪用されているとして、米当局が注意喚起を行った。 現地時間2025年7月10日に米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が「悪用が確認された脆弱性カタログ(KEV)」を更新したもので、別名「Citrix Bleed 2」とも呼ばれる「CVE-2025-5777」を追加した。 同脆弱性の悪用が確認されてい ...

エーアイセキュリティラボ、ネットワークバリューコンポネンツと販売店契約締結、「AeyeScan」を展開

ScanNetSecurity 11日 08:00

... 締結したと発表した。 NVCは、ネットワーク製品及びセキュリティ製品の提供から開発、コンサルテーション、構築・保守、マネージドサービス・クラウドサービスの提供を行っている。 エーアイセキュリティラボは今後、NVCとクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」の展開を行うことで、より多くの顧客のWebアプリケーションセキュリティ体制の強化と、脆弱性診断の内製化支援を推進する。

マイクロソフト 7 月のセキュリティ情報公開、セキュリティ更新プログラムの適用を呼びかけ

ScanNetSecurity 11日 08:00

... Azure これらの脆弱性を悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性がある。 IPAおよびJPCERT/CCでは、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを適用するよう呼びかけている。 また、「Microsoft SQL Server の情報漏えいの脆弱性(CVE-202 ...

体験・品質・セキュリティ を一貫して最適化「デジタルサービス事業者向け品質支援ソリューション」エーアイセキュリティラボとヴェス

ScanNetSecurity 11日 08:00

... ースがある。 同ソリューションでは、デジタルサービス全体の改善活動を社内で一貫して実行できる体制づくりを支援、部門の垣根を越えて情報を可視化・共有することで、各フェーズの課題を多面的に捉えることができると同時に、継続的な改善活動を実現する。 セキュリティ領域では、エーアイセキュリティラボが提供するクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」が、脆弱性対策の内製化を支援する。

FortiWebにSQLインジェクションの脆弱性 CVSS 9.6でアップデート推奨

ITmedia 11日 07:30

... な脆弱(ぜいじゃく)性が存在することを公表した。脆弱性は「CVE-2025-25257」として登録されており、データベースへの不正アクセスや改ざん、システムの制御権奪取などのリスクが懸念される。 CVSS 9.6 FortiWebにSQLインジェクションの脆弱性 報告された脆弱性は以下の通りだ。 CVE-2025-25257: SQLインジェクションの脆弱性。FortiWebのSQLコマンドで使用 ...

攻撃者は盗んだ認証情報で容易に侵入する--外部脅威管理を加えたチェック・ポイント

ZDNet Japan 11日 06:00

... てCheck Point側のファイアウォールなどのゲートウェイセキュリティ側で仮想的なパッチを設定し、攻撃を遮断するという。「われわれの調査では、不正侵入の約50%が設定の不備や証明書の失効、未修正の脆弱性、不用意なポートの開放などに起因している」(Corem氏) 日本市場でも買収以前から事業展開していたことで、製造や金融、流通などの大手企業が導入しているとのこと。Corem氏は、Check Po ...

普通の組織で「脆弱性管理」を始めるには? 日本シーサート協議会WGが解説する4つのステップ

＠IT 11日 05:00

... net Week 2024」のセッション「これは助かる!ありそうでなかった運用フレームワーク〜脆弱性管理の手引き〜」では、脆弱性管理の課題にどう取り組むべきかを問うセッションが行われた。 手引書が勧める、脆弱性管理の4つのフェーズとは 日本シーサート協議会(NCA)の脆弱性管理WG(ワーキンググループ)は、脆弱性管理の「あるべき姿」を踏まえつつ、現実との折り合いをどのように付けていくべきか、さまざ ...

セキュリティツール“乱立"が生んだ逆説「使えば使うほど脆弱だった」

TechTarget ジャパン 11日 05:00

... ュリティ専用の製品だった。これは世界中の2500人以上の経営幹部を対象に、クラウドの導入戦略について調査したものだ。 セキュリティツールが乱立しているシステム環境では、以下のような領域で“保護の穴"や脆弱性が生じる可能性がある。 アップデート セキュリティソフトウェアでは定期的または不定期でアップデートや設定変更をすることが基本だ。クラウドサービスは変更の頻度が高いため、それに合わせて多くのツール ...

祝25周年!狂気に染まった不思議の国で敵を血祭りに上げる傑作TPS『アリス イン ナイトメア』をご紹介

Game*Spark 10日 17:30

... ても起動せず、「アクセス違反」「管理者権限でログインしなおしてから、やりなおしてください」と表示されてしまいます。というのも本作、古いDRMの「SafeDisc」を採用しているものの、セキュリティ上の脆弱性から現行のWindowsではサポートされていないのです。実際に「イベントビューアー」で確認してみると、このDRMの動作に必要な“「secdrv.sys」ドライバーの読み込みがブロック"されており ...

NEC、ネットワーク機器の真正性を確保するサービスを強化 効果的なアラートの絞り込みや脆弱性対処の優先付けなどを可能に

クラウド Watch 10日 13:56

... る。 さらに、収集した脆弱性情報を、脆弱性評価のフレームワーク「SSVC(Stakeholder-Specific Vulnerability Categorization)」の手法を用いて多角的に分析。導入企業のネットワーク環境特性にあわせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示する機能を備えた。 脆弱性情報や装置情報などを基に、影響度を踏まえた脆弱性の対応優先度を ...

ゼロデイ攻撃で個人情報流出の可能性 - 日鉄ソリューションズ

Security NEXT 10日 13:44

... からのアクセスを制限した上で調査を行ったところ、第三者による不正アクセスの痕跡を確認した。 ネットワーク機器のソフトウェアは最新の状態となっていたが、被害発生当時に修正プログラムが用意されていなかった脆弱性に対し、ゼロデイ攻撃が行われたという。 不正アクセスを受けたことにより、サーバ内部に保存されていた約9万件の個人情報が外部に流出した可能性がある。 顧客の氏名、会社名、所属、役職、会社住所、業務 ...

NEC、ネットワーク機器のセキュリティ強化製品で新版--AIでアラート絞り込みと脆弱性対処を強化

ZDNet Japan 10日 11:12

... いる 脆弱性対処の優先付け:同製品で収集した脆弱性情報を、脆弱性評価フレームワーク「SSVC(Stakeholder-Specific Vulnerability Categorization)の手法を用いて多角的に分析する。そして、ユーザーのネットワーク環境特性に合わせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示する。脆弱性情報や装置情報などを元に、影響度を踏まえた脆弱 ...

クルマは「現車確認なし、データを把握して」買う時代へ

ASCII.jp 10日 11:00

... ウが属人化し、営業手法や業務プロセスが非効率化する傾向が目立っていた。対面を前提とした販売スタイルが中心のため、場所や時間の制約が大きかった。また、保険商談など、法令遵守が求められる場面の記録体制には脆弱性が見られた。 自動車業界ならではの顧客のニーズ「現車を実際に見たい」 自動車を購入する際、多くの購入者が「実際に現車を確認したい」と考えるのは自然なことです。インターネット上の写真や情報だけでは ...

ファイアウォールログ解析ツール「Firewall Analyzer」大規模環境に適した分散構成のEnterprise Editionをリリース

ASCII.jp 10日 11:00

... トワーク機器のコンフィグ管理ツールです。ルーター、スイッチ、ファイアウォール、無線アクセスポイントなどを対象に、コンフィグの自動バックアップ、変更管理、世代管理、ハードウェア情報管理やファームウェアの脆弱性管理を実現します。 - 「Network Configuration Manager」Webサイト - 「Network Configuration Manager」の価格情報ページ - 「Ne ...

NEC、AI技術活用などによるネットワーク機器セキュリティ運用コスト低減機能を追加した「NEC サプライチェーンセキュリティマネジメント for ネットワーク」の新バージョンを販売開始

ASCII.jp 10日 11:00

... ) 2. 脆弱性対処の優先付け(注2) 本商品で収集した脆弱性情報を、脆弱性評価のフレームワークとして注目されているSSVC(Stakeholder-Specific Vulnerability Categorization 注4)の手法を用いて多角的に分析します。そして、お客さまのネットワーク環境特性に合わせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示します。脆弱性情報 ...

脆弱性4件を修正、「rsync」の深刻な脆弱性も解消 - GitLab

Security NEXT 10日 09:47

... )」向けに複数の脆弱性やバグを解消したアップデートをリリースしたもの。 バグ報奨金プログラムを通じて報告された脆弱性4件に対処した。サードパーティ製ソフトに起因するものだが、重要度が「クリティカル(Critical)」とされる脆弱性も含まれており、利用者に対してできるだけ早く更新するよう呼びかけている。 具体的には、特定の状況下で影響を受けるクロスサイトスクリプティング(XSS)の脆弱性「CVE- ...

Microsoft、7月更新プログラム公開 - 130件の脆弱性を修正

マイナビニュース 10日 09:12

... ノート - セキュリティ更新プログラム ガイド - Microsoft」において、Windowsなど複数の製品の脆弱性に対処するためのセキュリティ更新プログラムをリリースしたことを伝えた。 修正された脆弱性は130件に上り、深刻度が緊急と評価されている脆弱性も1件含まれている。これら脆弱性を放置すると、遠隔から任意のコードを実行されたり、管理者権限を奪われるなどの攻撃を受けたりする危険性がある。 ...

「PAN-OS」「GlobalProtect App」など複数製品の脆弱性を解消 - Palo Alto

Security NEXT 10日 09:06

... lProtect App」や「PAN-OS」などの脆弱性へ対処したことを明らかにした。 「Prisma Access Browser」では、ベースとなる「Chromium」の修正を反映した。脆弱性8件が対象となっており、悪用が確認されているスクリプトエンジン「V8」における型の取り違え「CVE-2025-6554」の修正なども含まれる。 同社は共通脆弱性評価システム「CVSSv4.0」のベーススコ ...

Silk Typhoon関与の男が逮捕、Google脅威インテリジェンスグループが声明

EnterpriseZine 10日 08:30

... ID-19関連情報の取得に注力していました。イラン、ロシア、北朝鮮、中国に拠点を置くグループが、政府、学術機関、バイオテック企業を標的に情報収集を行っていました。 Silk Typhoonは、ゼロデイ脆弱性を繰り返し悪用し、サプライチェーン攻撃でテクノロジー企業への侵害を成功させてきたことで知られるグループです。極めて強大なリソースを持ち、手強い存在です。 【関連記事】 ・中国のサイバースパイ活動 ...

「EPM」や「EPMM」などIvanti複数製品に脆弱性 - 悪用は未確認

Security NEXT 10日 08:26

... 8日、複数の製品に脆弱性が明らかになったとして、セキュリティアドバイザリ3件を公開した。脆弱性を修正したアップデートを提供している。 IT資産や構成の管理が行える「Ivanti Endpoint Manager(EPM)」では、他ユーザーによってパスワードが復号されるおそれがある暗号化処理の不備「CVE-2025-6995」「CVE-2025-6996」や、SQLインジェクションの脆弱性「CVE- ...

最小コストで西側電力網を大停電に導く攻撃手法研究 ほか [Scan PREMIUM Monthly Executive Summary 2025年6月度]

ScanNetSecurity 10日 08:10

... リティセンターと米国連邦捜査局(FBI)は、中国を拠点とする APT グループ「Salt Typhoon(FamousSparrow、 OPERATOR PANDA)」が Cisco IOS XE の脆弱性(CVE-2023-20198)を悪用し、米加両国の主要通信事業者を狙った諜報活動を確認したとして警告を発しました。報告によれば、Salt Typhoon は、GRE(Generic Routi ...

漏えい件数を 29,451 件に修正「くまもとグリーン農業ホームページ」へのサイバー攻撃

ScanNetSecurity 10日 08:05

... のデータを窃取されており、データベースに登録のあったほぼすべての情報がダウンロードされた可能性が高いと、攻撃の内容を改めている。 同県では対象者に文書を送付している。 同県では2024年11月29日に脆弱性を有していた当該ページを閉鎖し、12月3日にはデータベースから非公表情報を削除するとともに、今後は新たに宣言する方の非公表情報もデータベースに取り込まないよう、プログラムを修正しているとのこと。

ビデオ会議のZoom、クライアントの複数脆弱性を解消

Security NEXT 10日 08:02

... 6件を公開したもの。 これらアドバイザリではクライアントソフトに関する脆弱性5件に言及している。重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性はなかった。 重要度が「高(High)」とされる脆弱性はLinux向けの「Zoom Workplace」に判明した「CVE-2025-46788」の1件。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.4」と評 ...

「Microsoft SQL Server」利用者は要注意 Microsoftが2025年7月の月例セキュリティ更新プログラムを公開

＠IT 10日 08:00

... モートコード実行の脆弱性)は、CVSS(共通脆弱性評価システム)のスコアが「9.8」と非常に高く、認証やユーザー操作なしで悪用可能なため、早急なパッチ適用が強く推奨されている。 CVE-2025-49719はSQL Serverの不適切な入力バリデーションが原因で、認証されていない攻撃者がネットワーク経由でSQL Serverの未初期化メモリなどを取得できる脆弱性だ。パッチ公開前に脆弱性情報が公開 ...

インシデント報告書を AI が作成「Metareal インシデントレスポンス」

ScanNetSecurity 10日 08:00

... づき、個別インシデントごとにカスタマイズされた対応履歴・リスク要因・今後の対策提案までを網羅したレポートを数分で出力 ・Word/PDF形式での出力で、社内報告・外部提出・監査対応など多様な用途に即活用可能 ・生成AIの活用で最新の攻撃パターンや脆弱性情報を自動で反映し続ける進化型レポートを実現 ・セキュリティ専門知識が浅い担当者でも、AIによるナラティブな解説や推奨アクション提示で即戦力化を支援

個人法人のOSS開発者へ「Takumi byGMO」無償提供 〜 GMOオープンソース開発者応援プログラム

ScanNetSecurity 10日 08:00

... tt Security株式会社が開発したセキュリティ診断AIエージェント「Takumi byGMO」の利用アカウントを無料で提供する。Takumi byGMOは、実証実験でVim等のOSSに0-day脆弱性を報告するなど、その能力を証明しつつある。 ・応募条件 ・GitHubでソースコードが公開されているOSSであること ・応募者が個人・法人のいずれかであること(コミュニティの場合は代表者個人名義 ...

「GMOサイバー攻撃 ネットde診断 ASM」に表示言語切り替え機能実装

ScanNetSecurity 10日 08:00

... 可視化し、脆弱性対策を一元管理する国産ASM(Attack Surface Management)ツールで、日本企業を対象にサービスを提供している。 複数の国で事業を展開するグローバル企業などでは、日本のセキュリティチームが海外の事業所等に脆弱性対応を依頼する際に、英語でのコミュニケーションが求められ、実際に日本のセキュリティチームが「GMOサイバー攻撃 ネットde診断 ASM」で検知した脆弱性の ...

Windows版ウイルスバスター クラウドやGoogle Chromeの脆弱性修正アップデートなど - JPCERT/CCレポート

マイナビニュース 9日 18:24

... 公開された脆弱性情報の中から対策、パッチ情報やバージョンアップ情報なども含んだサマリーをまとめた週次のレポートになる。Weekly Report 2025-07-09号では、トレンドマイクロのWindows版ウイルスバスター クラウドなどWindowsショートカットの不適切な取り扱いによる脆弱性(JVNDB-2025-008105)や同じくパスワードマネージャー(Windows版)における脆弱性( ...

Adobe、2025年7月のセキュリティ情報 〜13製品にまたがり60もの脆弱性に対処/「Illustrator」や「InDesign」、「ColdFusion」など定番アプリに危険な問題

窓の杜 9日 15:50

... ンロード 米Adobeは7月8日(現地時間)、月例のセキュリティ情報を発表した。今回は「Illustrator」や「After Effects」など13製品が対象となっている(括弧内はCVEベースでの脆弱性の件数と最大深刻度)。 APSB25-49:Adobe After Effects(2件、Important)APSB25-54:Substance 3D Viewer(3件、Critical) ...

基盤モデルの再学習を“ゼロ"に NTTが学習効果を引き継ぐ「ポータブルチューニング」技術

ASCII.jp 9日 15:50

... 減するために学習方法を再定義 業務で基盤モデルを活用する際には、特化学習(ファインチューニング)により、特定タスクやドメイン知識を習得させる必要がある。一方、その基となる基盤モデルも、知識やバイアス、脆弱性を修正するための定期更新が求められる。 ただ、基盤モデルを更新すると、せっかく学習させたタスクやドメイン知識を再学習させなければならない。NTT コンピュータ&データサイエンス研究所の千々和大輝 ...

「Zoom」に複数の脆弱性 〜情報漏えいやサービス拒否などの恐れ/最大深刻度は「High」、Windows/macOS/Linux版に影響

窓の杜 9日 15:34

... ード 米Zoom Video Communicationsは7月8日(現地時間)、オンラインビデオ会議サービス「Zoom」に複数の脆弱性があることを明らかにした。最大深刻度は4段階中2番目に高い「High」、ZSB番号ベースで全6件が公表されている。 今回アナウンスされた脆弱性は、以下の通り(括弧内は深刻度の評価と「CVSS」の基本値)。 ZSB-25023:Linux版「Zoom Workpla ...

Windows“緊急"レベルの脆弱性 アップデートで修正(2025年7月)

ASCII.jp 9日 15:10

マイクロソフトは7月8日(現地時間)、Windowsの月例セキュリティー更新プログラム(2025年7月分)を公開した。「緊急」レベルの脆弱性も含まれており、特段の理由がなければ早期のアップデートが推奨される。 深刻度の高い主な脆弱性は以下のとおり。 ■深刻度:緊急 リモートでコードの実行が可能 ・Windows 11(24H2/23H2) ・Windows 10(22H2) ・Windows Se ...

Adobe製フォーム作成管理ツールに悪用リスク高い脆弱性

Security NEXT 9日 15:01

... ウェアにおいて、信頼できないデータをデシリアライズする脆弱性「CVE-2025-49533」が明らかになった。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」と評価されており、重要度を3段階中もっとも高い「クリティカル(Critical)」とレーティングしている。 脆弱性の判明を受けて、同社はすべてのプラットフォーム向けに脆弱性を修正した「Adobe Experience M ...

「Adobe ColdFusion」に深刻な脆弱性 - 緊急アップデートを

Security NEXT 9日 14:41

... せて13件の脆弱性を明らかにした。アドバイザリを公表した時点で脆弱性の悪用は確認されていないという。 5件については重要度を3段階中もっとも高い「クリティカル(Critical)」とレーティング。7件を2番目に高い「重要(Important)」、のこる1件を「中(Moderate)」とした。 共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、XML外部実体参照(XXE)の脆弱性「C ...

iPhone充電中の「あの時計」をいい感じにカスタムできるアプリが楽しい

GIZMODO JAPAN 9日 14:35

... ュリティパッチを公開。すでに悪用された可能性あり | ライフハッカー・ジャパン Appleが新しいセキュリティーパッチをリリースしました。今回の修正内容には「極めて高度な攻撃で悪用された可能性のある」脆弱性が含まれています。その詳細と、アッ... https://www.lifehacker.jp/article/2503-apple-released-new-security-patch/ 著者 ...

『CoD: WW2』MSストアPC版でサイバー攻撃の被害相次ぐ…オンライン機能停止に―メモ帳の強制起動や乗っ取りエラー表示など発生

Game*Spark 9日 13:14

... 『CoD: WW2』でハッキング被害報告 RCE攻撃とは、攻撃者が外部のPCやネットワーク上で悪意のあるコマンドを実行するサイバー攻撃です。過去には『GTAオンライン』や『ダークソウル』PC版でRCE脆弱性を悪用した事例が報告されており、マルチプレイを一時的に停止するなどの対応が実施されました。 任意コード実行の不具合発覚で、PC版『ダークソウル』シリーズのマルチプレイが一時停止【UPDATE】 ...

Microsoftが7月の月例パッチ公開、危険度の高い脆弱性を含む130件を修正

クラウド Watch 9日 11:40

... Microsoft SQL Server。修正パッチに含まれる脆弱性の件数はCVE番号ベースで130件、うち最大深刻度が“緊急"のものが14件。 今月のセキュリティ更新プログラムで修正した脆弱性のうち、「Microsoft SQL Serverの情報漏えいの脆弱性(CVE-2025-49719)」は、更新プログラムが公開されるよりも前に、脆弱性の詳細が一般へ公開されていることが確認が確認されており ...

「Citrix CVAD」「Citrix DaaS」に脆弱性 - 「VDA」の更新呼びかけ

Security NEXT 9日 11:20

... aaS」が影響を受ける脆弱性が明らかになったとして、セキュリティアドバイザリを公開した。 これら製品に実装されているコンポーネント「Windows Virtual Delivery Agent(VDA)」の脆弱性「CVE-2025-6759」について明らかにしたもの。 アクセス制御の不備に起因し、権限の昇格が可能となる脆弱性で、「SYSTEM権限」を奪取されるおそれがある。共通脆弱性評価システム「 ...

「FortiWeb」に認証不要でコマンド実行が可能となるSQLi脆弱性

Security NEXT 9日 10:58

... ョンファイアウォール「FortiWeb」に深刻な脆弱性が明らかとなった。アップデートが呼びかけられている。 同製品のGUIコンポーネントに「SQLインジェクション」の脆弱性「CVE-2025-25257」が確認されたもの。 細工した「HTTPリクエスト」を用いることで、認証を必要とすることなく、SQLクエリやコマンドを実行することが可能となる。 共通脆弱性評価システム「CVSSv3.1」のベースス ...

日鉄ソリューションズ、不正アクセスにより一部個人情報漏洩か ネットワーク機器へのゼロデイ攻撃が原因

EnterpriseZine 9日 10:50

2025年7月8日、日鉄ソリューションズは、同社の社内ネットワークが、ソフトウェアの脆弱性を原因とする不正アクセスを受けたと発表。同社が保有する顧客・パートナー・同社従業員の個人情報などの一部が外部に漏洩した可能性があるとした。 1. 経緯・原因 2025年3月7日、当社のサーバーに対する不審なアクセスを検知し、サーバーをネットワークから隔離するなどの必要な対策を実施。その後、外部専門家の助言を受 ...

生成AIソリューション活用による成果創出のヒント??DX推進のキーとしてクラウド移行を成し遂げた自治体事例

マイナビニュース 9日 10:00

... ンプレのシステムをクラウドに移行する際は、外部からの無差別・標的型攻撃などさまざまな攻撃の対象になること、内部での作業ミス等により作り込みが脆弱になると侵入を受けること、さらにはクラウドサービス自体の脆弱性についても検討する必要があります。こうしたリスクに対し、外部とのアクセス制限・セキュリティ強化のため例えばアクセス時の多要素認証を設けたり、セキュリティポリシーを適用してアカウントの権限を最小化 ...

AI時代に拡大するサイバー脅威、VPNのリスクと企業が行うべき次の対策とは?

マイナビニュース 9日 10:00

... の組織がVPN サーバーの脆弱性を利用した攻撃を経験しています。2024 年には、VPN の脆弱性を悪用した攻撃が幾度となく発生しました。たとえば、Ivanti の VPN 製品は、中国の国家支援型のハッカーによって複数のゼロデイ脆弱性を悪用されました。これは、CVE-2023-46805 および CVE-2023-21887 の欠陥を利用したもので、攻撃者はこれらの脆弱性を利用して認証のバイパ ...

Microsoftも支援強化「バイブコーディング」ソロ開発者ブームの一方、冷ややかな目も

THE BRIDGE 9日 09:47

... グをやったことがある「ノン・エンジニア」であればすぐわかるが、そのコードが正しいものなのか、綺麗なものなのか、分かるわけがないだろう。 当然ながらアマチュアが生成コードをそのまま本番投入することによる脆弱性や保守コスト増加の懸念もある。今後、不用意に公開されたプロジェクトは外部からの侵入し放題、悪意ある人物のパラダイスになる可能性もある。 バイブコーディングは「誰でもアイデアを即アプリにできる」時 ...

MS、7月の月例セキュリティパッチを公開 - 前月の約2倍

Security NEXT 9日 09:06

... al)」とされる脆弱性は14件。次に高い「重要(Important)」とされる脆弱性が115件、「警告(Moderate)」が1件だった。 脆弱性によって影響は異なるが、41件についてはリモートよりコードを実行されるおそれがあり、53件については権限の昇格のおそれがある。 情報漏洩の脆弱性18件、セキュリティ機能のバイパス8件、サービス拒否の脆弱性6件、なりすまし4件、メモリに関する脆弱性1件など ...

サイバーセキュリティ最前線 第39回 6月30日〜7月6日の最新サイバーセキュリティ情報 - Chromeとsudoに深刻な脆弱性、今すぐアップデートを

マイナビニュース 9日 09:00

... クラウドの脆弱性について(CVE-2025-52521)|トレンドマイクロサポート セキュリティ脆弱性が存在するとされる製品およびバージョンは次のとおり。 ウイルスバスター クラウド(Windows版)17.8.1464より前のバージョン このセキュリティ脆弱性を悪用された場合には、任意のファイルやフォルダを削除される可能性があるとされている。 上記セキュリティ脆弱性のうち2つは共通脆弱性評価シ ...

Microsoft、2025年7月の「Windows Update」を実施 〜「Office」やAMD CPUの致命的問題にも対処/ゼロデイを含む130件の脆弱性を修正

窓の杜 9日 08:22

... ft Office のリモート コードが実行される脆弱性CVE-2025-49696:Microsoft Office のリモート コードが実行される脆弱性CVE-2025-49697:Microsoft Office のリモート コードが実行される脆弱性CVE-2025-49702:Microsoft Office のリモート コードが実行される脆弱性CVE-2025-49704:Microso ...

「FortiOS」に脆弱性 - アドバイザリ3件を公開

Security NEXT 9日 08:12

... 中(Medium)」とレーティング。「クリティカル(Critical)」や「高(High)」とされるアドバイザリはなかった。 3件のアドバイザリでは、それぞれ1件の脆弱性について言及している。 「CVE-2024-52965」は認証不備の脆弱性。APIの認証に「APIキー」と「証明書」を組み合わせている場合、証明書が無効となっている場合もログインできるおそれがある。「FortiOS」にくわえて「F ...

セキュリティ業界で加速する“Shift Left"──西尾素己氏が語る「ガバナンス回帰」が必要な理由

EnterpriseZine 9日 08:00

... れる結果になってしまったのです」(西尾氏) [画像クリックで拡大表示] この事件以降、Lazarusなどの攻撃グループによるソフトウェア開発環境への攻撃が急増した。今日でも、CI/CDツールのゼロデイ脆弱性を突いたり、開発者個人を狙ったりといった攻撃が増加していることは皆さんもご存じだろう。LofyGangという新たな攻撃グループも登場し、ソフトウェアサプライチェーン攻撃のためのRaaS(Rans ...

ベライゾン「2025 DBIR」日本語版公開

ScanNetSecurity 9日 08:00

... デントを分析し、そのうち12,195件のデータ漏えい/侵害を確認している。 同報告書によると、データ漏えいでの第三者の関与は2倍の30%に増加、脆弱性の悪用は34%急増し、世界中の企業が懸念する脅威の動向が浮き彫りとなった。依然として資格情報濫用(22%)と脆弱性の悪用(20%)が主要な初期攻撃ベクターであることが判明している。 アジア太平洋地域におけるデータ漏えいの5件中4件がシステム侵入攻撃に ...

「OpenSSL 3.5.1」がリリース - コピペミス起因脆弱性を解消

Security NEXT 9日 07:55

... を解消している。 「CVE-2025-4575」は、コマンドラインツール「x509」に関する脆弱性。オプションによって特定用途に対する「拒否」を設定した場合に、指定とはまったく逆の「信頼済み」として設定されてしまうという。 コードのコピー作業時のミスで発生した。脆弱性の重要度は「低(Low)」とされており、同脆弱性は「同3.5」のブランチのみ影響を受ける。 開発チームは、「OpenSSL 3.5. ...

デフォルトパスワードはリスクだらけ、どう対処すべきか

マイナビニュース 9日 07:44

... 貼付)していることもあるが、公開されたシリアルコードから計算可能な場合もある(参考:「ブラザーやリコーのプリンタなど748製品に緊急脆弱性、アップデートを | TECH+(テックプラス)」)。 誰でも入手できるこれらデフォルトパスワードはパスワードとして機能しておらず、脆弱性そのものと言える。そこで初回セットアップ時には強力なパスワードに変更することが推奨されている。 The Hacker New ...

インメモリデータベース「Redis」に深刻な脆弱性 PoC公開済みのため要注意

ITmedia 9日 07:00

... ト手法が公表された。この脆弱性を悪用すると、認証ユーザーが細工した文字列を通じて、Redisサーバでリモートから任意のコードを実行される可能性がある。 Redisに深刻な脆弱性 PoC公開済みのため要注意 脆弱性のCVE情報は次の通りだ。 CVE-2025-32023: リモートコード実行(RCE)の脆弱性。Redisの「HyperLogLog」(HLL)機能における不備が脆弱性の根本原因とされて ...

分散型バージョン管理システム「Git」に7件の脆弱性 〜Windows版にも対策版【17:30追記】/v2.50.1、v2.49.1、v2.47.3への更新を。「GitHub Desktop」にも対策済みベータ版

窓の杜 9日 06:45

... 、複数の脆弱性が発見された。Windows向けは以下の対策済みバージョンが、日本時間7月9日付けでリリースされている。 Git for Windows 2.50.1Git for Windows 2.49.1MinGit for Windows 2.47.3 修正された脆弱性は、以下の7件。執筆時現在、深刻度は最大で「High」と評価されている。 CVE-2025-27613:「Gitk」の脆弱性 ...

「API攻撃」とは何か? 情報漏えいを引き起こす5つの手口

TechTarget ジャパン 9日 05:00

... 本来アクセスできない機密データへの不正アクセスを実現する。これにより、情報の窃取、改ざん、削除、差し替えが可能となる。 2.アクセス制御の不備による攻撃 攻撃者がAPIに直接アクセスしてセキュリティの脆弱性を悪用することで、標準的なアクセス制御の防護策を回避することができる。認証や認可の仕組みに欠陥があるAPIでは、大規模なデータ漏えいの温床となり得る。 「オブジェクトレベルの認可の不備」(BOL ...

ソフトのサイバー弱点を解析 GMO、AIツール無償提供

日本経済新聞 8日 17:27

... 供すると発表した。AIによる開発支援が普及するなか、ソフトの脆弱性をチェックしきれないという課題がある。開発者に積極活用してもらい、普及させていく。 提供するツールは「Takumi by GMO(タクミ・バイ・ジーエムオー)」。子会社のGMOフラットセキュリティ(東京・渋谷)が開発した。人間がテキストで指示を出すと、AIがソフト内に隠れた脆弱性を検出して修正案を出す。細かく指示しなくても自律的に作 ...

FTPサーバ「WingFTP」に深刻な脆弱性 - アップデートで修正

Security NEXT 8日 17:03

... 供しているFTPサーバソフトウェア「Wing FTP Server」に深刻な脆弱性が明らかとなった。5月にリリースされたアップデートで修正されている。 「同7.4.3」および以前のバージョンにおいて、アノニマスユーザーにアクセスを許可している場合、認証を必要とすることなく任意のコードが実行可能となるコードインジェクションの脆弱性「CVE-2025-47812」が明らかとなった。 ユーザー名の処理に ...

トレンドマイクロ製パスワード管理ツールに複数の脆弱性

Security NEXT 8日 16:45

... s版に複数の脆弱性が明らかとなった。 脆弱性によって影響を受けるバージョンが異なるが、Windowsショートカットの取り扱いに起因する複数の脆弱性が明らかとなったもの。 「CVE-2025-52837」では、任意のファイルやフォルダを削除し、権限の昇格が可能。またインストーラに問題があり、インストール時に、任意のファイルを削除される「CVE-2025-48443」が明らかとなった。 共通脆弱性評価 ...

SCSKセキュリティ、APIセキュリティを強化する「WAAP SOC監視サービス」を提供

クラウド Watch 8日 15:31

... ンテリジェンスと連携した高度な分析を実施する。 インシデント発生時には、初動対応からフォレンジック調査、復旧支援、再発防止策の策定までを一貫して提供し、事業継続への影響を最小限に抑える。さらに、Web脆弱性診断やリテナーサービスとの組み合わせにより、診断で発見されたリスクをF5 Distributed Cloud WAAPで即時に防御し、APIセキュリティのライフサイクル全体を通じた強固な防御体制 ...

ビッグテック「魔王」との戦い?LayerX・MNTSQが示すAI時代のスタートアップ生存戦略

THE BRIDGE 8日 10:23

... 強調した。 そのレポートによると、高年収職種ほど生成AIによる影響を受けやすく、リーガル、コンピュータサイエンス、数学、エンジニアリング、金融アナリスト、ビジネスオペレーションといった専門職が、雇用の脆弱性の高い職種として挙げられている。 特に興味深いのは、影響を受ける職種を多く抱える企業の上位30社を見ると、金融機関が11社、情報通信・テック系企業が多数を占めていることだ。 かつてのロボットオー ...

「WAGO Device Sphere」に脆弱性 - 同一証明書により認証回避が可能

Security NEXT 8日 08:56

... 産業ネットワーク向けデバイス管理ソフトウェア「Device Sphere」に脆弱性が明らかとなった。 環境ごとに証明書を用意せず、すべてのインストール環境で「JWTトークン」の署名や暗号化において共通の証明書を使用する脆弱性「CVE-2025-41672」が明らかとなった。リモートより認証なしにアクセスが可能となる。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは最高値の「10.0」と ...

米当局、2019年以前の既知脆弱性4件を悪用リストに追加

Security NEXT 8日 08:50

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、4件の脆弱性について注意喚起を行った。 現地時間2025年7月7日、脆弱性が悪用されているとして4件の脆弱性を「悪用が確認された脆弱性カタログ(KEV)」に追加したもの。米行政機関へ指定期間内に対応するよう求めるとともに、広く注意を呼びかけた。 具体的には2014年から2019年にかけて判明した「Ruby on Rails」「 ...

Cloudbase Blog 第10回 オンプレミス環境の脆弱性・SBOM管理に対応 ── 新機能「Cloudbase Sensor」をリリースしました

ScanNetSecurity 8日 08:15

... ョンが分かれば脆弱性を検出できるため、ソフトウェア構成の精緻な把握は脆弱性対策の出発点になります。 ただし、SBOMは「作成すること」が目的ではありません。真に重要なことは、それを活用して「リスクを見つけ、対応を判断すること」です。脆弱性データベースと突き合わせることで、自社の資産に影響する脆弱性を迅速に特定し、優先度をつけて対応することが求められています。 3. オンプレミス環境の脆弱性・SBO ...

情報流出の可能性は極めて低いと判断 〜 アイ・エス・ビーのホームページ改ざん被害

ScanNetSecurity 8日 08:05

... .jp/ )全体に及んでいた。 同社によると、不正アクセスの原因はCMSの脆弱性を悪用した攻撃によるもので、調査の結果、サーバからの情報の抜き取りなどの痕跡は一切確認されておらず、情報流出の可能性は極めて低いと判断している。また、当該サーバでは顧客の個人情報は管理しておらず、個人情報の流出はない。 同社では再発防止策として、脆弱性への対応を最優先に、新たにサーバ環境の見直しと再構築を行い、CMSの ...

「パスワードやめます」 英国政府が“パスキー"を使うのはなぜ?

TechTarget ジャパン 8日 08:00

... 注文ができなくなり、店舗への品物の配送にも影響が出た。一部の報道によると、これは攻撃者が従業員になりすましてヘルプデスクに連絡し、パスワードをリセットさせたことに起因するという。従来のパスワード認証の脆弱性が改めて浮き彫りになった形だ。 これらのインシデントを受けて、NCSCのナショナルレジリエンス担当ディレクターを務めるジョナサン・エリソン氏は、ブログエントリ(投稿)の中で次のように語った。「攻 ...

「半導体デバイス工場におけるOTセキュリティガイドライン(案)」取りまとめパブリックコメント開始

ScanNetSecurity 8日 08:00

... 点。 ・半導体デバイス工場のリファレンスアーキテクチャに基づき、リスク対策フレームワーク(CPSF及びNIST CSF2.0)を活用して洗い出された、半導体デバイス工場の特徴を踏まえたリスク源(脅威、脆弱性)に対応するセキュリティ対策項目 ・Purdueモデルで分類したファブエリア、ファブシステムエリア、外部サービス及びIT/OT DMZ(ネットワーク間の緩衝領域)、組織・ヒト側面についての対策項 ...

Lenovo製PCに潜むAppLocker回避の脆弱性 標準ユーザーでも書き込み可能に

ITmedia 8日 08:00

... エクスプローラーの場合: C:\Windowsに移動し、「表示」タブから「表示」→「隠しファイル」を表示させ、MFGSTAT.zipを右クリックして削除 本件はシステムフォルダに存在する意図しない権限設定が、信頼されているアプリケーション制御機能の脆弱性となり得ることを示す例といえる。AppLockerのような制御機構を導入する際には、事前にファイルシステム全体の権限設定を精査することが望まれる。

エーアイセキュリティラボ「ガートナー セキュリティ & リスク・マネジメント サミット 2025」出展

ScanNetSecurity 8日 08:00

... 評価指標」「リスク・マネジメント」「クラウド・セキュリティ」「データ・セキュリティ」「AI」など、多岐にわたる。 エーアイセキュリティラボのブースでは、AIを活用して脆弱性診断の自動化・効率化を支援するクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」を紹介、生成AIにより見落とされがちな攻撃面を網羅的に把握できるオプション機能「Web-ASM」の体感もできる。 7月23日に行わ ...

トレンドマイクロ製 ウイルスバスター クラウド(Windows版)に Windows ショートカット(.LNK)の不適切な取扱い

ScanNetSecurity 8日 08:00

... クラウド(Windows版)17.8.1464より前のバージョン トレンドマイクロ株式会社のウイルスバスター クラウド(Windows版)には、Windowsショートカット(.LNK)の不適切な取扱いの脆弱性が存在し、任意のファイルやフォルダを削除される可能性がある。 JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、アップデートは自動的に配信・適用される。

実践的にサイバー対策を学ぶ「サイバーナレッジアカデミー」を生かし、オフィス、工場、海外拠点にまたがる包括的な対策を進めるDNP

ITmedia エグゼクティブ 8日 07:04

... ている。 サイバーハイジーンで注力しているのが「脆弱性管理」だ。「組織外部から攻撃者視点でスキャンするEASM(External Attack Surface Management)を利用しています。特にお客様向けのサービスについては、サプライチェーンの一員として高いセキュリティレベルが期待されているため、レーティング系ASMを用いて状況を数値化し、脆弱性が発見された場合にはCSIRT主導で是正措 ...

「Foundation AI」が示す、シスコのAIセキュリティへの取り組み

ZDNet Japan 8日 07:00

... な権限が必要になる。加えて、AIが自律的に変更を加える場合にはデータを用いた監視・制御する仕組みが必要になってくる。 「ガバナンスもより重要な役割を果たす」と同氏は言う。従来は、「コードをスキャンして脆弱性を見つける。これはコンプライアンスと監査のために行う」といったガイドラインを提示していただけであったが、現在はツールを導入する前に、アクセス権限や行動ログの記録といった「人の行動」に関するルール ...

なぜ今の企業には「ゼロトラスト」が必要なのか 基本から徹底解説

TechTarget ジャパン 8日 05:00

... 感染させていましたが、現在は他の攻撃と組み合わせるケースが増えています。例えば、脆弱性を悪用して企業ネットワークに不正侵入し、重要なデータを盗み出した後にランサムウェアを配置するケースが増加傾向にあります。 現在のサイバー攻撃は主に金銭目的であるため、企業が持つ重要情報や個人情報が標的となります。サイバー攻撃者はメールや脆弱性をきっかけに企業内に侵入し、外部からマルウェアに指示を送り重要な情報を盗 ...

圧縮・解凍ツール「7-Zip」にメジャーアップデート。64コア以上のCPUで動作を最適化

マイナビニュース 7日 18:34

... CPUを活用できるようになり、ベンチマーク機能でも対応。Windowsに複数のプロセッサグループがある構成では、実行中のCPUスレッドをプロセッサグループをまたいで分散できるようになるという。 このほかdeflate (zip/gz) 圧縮速度が1〜3%向上、bzip2圧縮速度が15〜40%向上、zip、cpio、fat アーカイブのサポートを強化し、いくつかのバグや脆弱性への対応が行われている。

「PostgreSQL」データベースから個人情報や機密データを隠す「PostgreSQL Anonymizer 2.3」ほか【ダイジェストニュース】

窓の杜 7日 18:17

... Installer(Mac版)における重要な機能に対する認証の欠如の脆弱性 セイコーエプソン製品のドライバをインストールする際に使用するサポートツールの脆弱性。6月23日に修正済み。Nimesa Backup and Recoveryにおける複数の脆弱性 Nimesaが提供するNimesa Backup and Recoveryの脆弱性告知。対象製品はサポート終了済み。「Adobe Creativ ...

解凍・圧縮ソフト「7-Zip」v25.00がリリース、64以上のCPUコアをより賢く活用する改善/圧縮パフォーマンスの改善、脆弱性の修正も

窓の杜 7日 16:15

... ドを異なるプロセッサグループに分散するbzip2圧縮の速度が15〜40%向上deflate(zip/gz)圧縮の速度が1〜3%向上zip、cpio、fat アーカイブのサポートを改善いくつかの不具合と脆弱性を修正 対応OSは64bit版を含むWindows 2000以降で、現在「7-Zip」の公式サイトや窓の杜ライブラリから無償でダウンロードできる。 Amazonで購入「圧縮」関連商品Amazon ...

キヤノン、Windowsの最新印刷プラットフォームに準拠した印刷支援アプリを公開/OS同梱のIPPドライバーと組み合わせ、管理の手間削減・セキュリティが向上

窓の杜 7日 15:25

... リティの強化が期待できるのもメリット。高い権限で動作する印刷ドライバーはこれまでもセキュリティ攻撃のターゲットとされることが多かったが、OS側で印刷ドライバーは常に最新の状態で保たれるため、ユーザーが脆弱性対策のアップデートに追われることはない。もし「PSA」アプリに問題があっても、一般的なアプリ権限で動作するため、印刷ドライバーが侵害された場合に比べ被害は軽微だ。UWPアプリとしてサンドボックス ...

約8年前のゲーム『CoD: WWII』PC版、“プレイしただけでサイバー攻撃された"被害報告がいま相次ぐ。公式は急遽オンラインサービスを停止中

AUTOMATON 7日 14:31

... 部採用されており、過去にも同様の脆弱性の報告はみられ、アップデートで修正されていたようだ。このほか同じくP2P接続が採用されている水上サバイバルクラフトゲーム『Raft』などでも同様の脆弱性が発覚し、アップデートで修正に至るといった事例があった。また『ダークソウル3』PC版でも同様の脆弱性がユーザーにより報告されるなかで、公式より具体的な内容は明かされていないものの、脆弱性の修正がおこなわれたこと ...

「XenServer 8.4」に脆弱性 - アップデートをリリース

Security NEXT 7日 13:00

... r」に脆弱性が明らかになったとしてアップデートをリリースした。 ゲスト仮想マシン内における特権のコードにより、ホストのサービス拒否を引き起こすことが可能となる脆弱性「CVE-2025-27465」が明らかとなったもの。 現地時間2025年7月2日にセキュリティアドバイザリを公開した。脆弱性の重要度を、4段階中、上から3番目にあたる「中(Medium)」とレーティングしている。アドバイザリで共通脆弱 ...

Sudoコマンドに緊急脆弱性、確認とアップデートを

マイナビニュース 7日 11:55

... - 不正な認証の脆弱性。現在のホストおよびALL以外のホストを指定するsudoersファイルを使用すると、sudoersにリストされたユーザーは意図しないコンピュータ上でコマンドを実行できる可能性がある(CVSSスコア: 2.8) 脆弱性が存在する製品 脆弱性が存在する製品およびバージョンは次のとおり。 sudo 1.8.8から1.9.17までのバージョン 脆弱性が修正された製品 脆弱性が修正され ...

「Cisco Live」で発表された新製品を解説するシスコの説明会レポートが先週の1位

クラウド Watch 7日 11:13

... 見、「国内4分野での実績を活用し社会課題の解決を図る」 10(2025-06-30 11:03) 【Infostand海外ITトピックス】Vibe Codingが急拡大 AI任せの開発に潜む「見えない脆弱性」 11(2025-06-24 06:30) 生成AI活用で効果を上げる企業、国を超えた共通点が明らかに――PwC調査 12(2025-07-01 11:00) アライドテレシス、3Uサイズのシ ...

【大河原克行の「パソコン業界、東奔西走」】Windows 10のサポート終了まであと100日。移行に“出遅れない"ための最短ルートとは?

PC Watch 7日 10:04

... CEO 2025年10月14日に、Windows 10のサポートが終了するまで、ちょうど100日となった。サポートが終了すると、Microsoftからセキュリティ更新プログラムが提供されなくなるため、脆弱性の修正が行なわれず、危険な状態でPCを使用することになる。日本マイクロソフトでは、最新バージョンであるWindows 11への移行を促しているところだ。 現時点では、大手企業を中心にかなりの移行 ...

「Apache Seata」脆弱性、対象版に誤り - 一部で「クリティカル」との評価も

Security NEXT 7日 09:44

... E-2025-32897」が採番された。 開発グループは、脆弱性の重要度を4段階中もっとも低い「低(Low)」と評価。一方、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」とし、重要度を「クリティカル(Critical)」とレーティングしている。 同脆弱性は、現地時間2025年3月3日にリリースされた「同2 ...

AIに「どこでログインできますか」は禁句──その答えが詐欺サイトに誘導する

Forbes JAPAN 7日 09:30

... い危険な「ある質問」があるのだ。驚くほど簡単にフィッシング詐欺の餌食に 先週、Cisco Talos(シスコ・タロス)が、サイバー犯罪者が大規模言語モデル(LLM)を悪用して「Eメールの送信、サイトの脆弱性スキャン、盗まれたクレジットカード番号の検証など」を行っていると警告した。Talosによれば、これには自作のLLMの使用や「正規のLLMのジェイルブレイク(脱獄)」が伴うことが多いという。しかし ...

Microsoft Edge、最新アップデートでぼかし効果を削除か

マイナビニュース 7日 09:17

... はバージョン138の変更履歴でぼかし効果の削除について言及していないため、この変更が意図的なものなのか、単なる不具合なのかは、現時点では不明である。現時点で回避策は限られており、バージョン137以前にダウングレードするか、将来のバージョンで元に戻るのを期待するしかないようだ。 ただし、バージョン138は深刻度「高」の脆弱性の修正も含んでいるため、セキュリティ上の理由でダウングレードはお勧めしない。

大阪府警が教える、サイバー犯罪の傾向と企業が採るべき対策

マイナビニュース 7日 09:00

... 講じることが必要だ。具体的には、強いパスワードを使うこと、最新のセキュリティパッチを適用すること、そして接続できる端末を制限することである。また「脆弱性」には設定ミスや管理体制の不備も含まれる。したがって弱いパスワードの使用や使わないアカウントの放置なども脆弱性となるため注意が必要だ。 「VPN機器において、多要素認証の導入やIPアドレス等による接続制限の設定をしていないなら、それはセキュリティの ...

Windows 10サポート終了。入れ替えるならセキュリティ対策万全のHPのAI PC

週刊BCN 7日 09:00

Windows 10のサポート終了が目前に迫っている。サポート切れのPCを使い続けるのは、非常にリスキーであると言わざるを得ないだろう。なぜならば、新たに発見される脆弱性に対応したセキュリティパッチやアップデートが供給されなくなるからだ。だが逆に考えれば、Windows 11対応のPCに入れ替えるチャンスとも言える。多くのセキュリティ機能が標準化されたWindows 11だが、HPのAI PCには ...

APIゲートウェイ「Apache APISIX」に認証回避おそれ

Security NEXT 7日 08:56

... 正しく検証しない脆弱性「CVE-2025-46647」が明らかとなったもの。 複数の発行者で同じ秘密鍵を共有し、発行者の違いにのみ識別を依存している場合、いずれかの発行者による有効なアカウントを持っていれば、ほかの発行者に対してもログインが可能となる。 開発チームは、脆弱性の重要度を4段階中、上から2番目にあたる「重要(Important)」とレーティングした。GitHubでは、共通脆弱性評価シス ...

先週注目された記事(2025年6月29日〜2025年7月5日)

Security NEXT 7日 08:52

... 位10記事は以下のとおり。 1位:特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性 2位:「Chrome」にゼロデイ脆弱性、アップデート公開 - 軽減策の実施も 3位:「Chromium」の脆弱性狙う攻撃 - 派生ブラウザ利用者も注意を 4位:「MS Edge」にアップデート - ゼロデイ脆弱性などに対応 5位:ブラウザ「Chrome」の「Cookie暗号化保護」を破壊する「C4 ...

Proofpoint Blog 48回「キャリアに迷うエンジニアへ - Proofpoint 流・スキルを活かした SE の働き方 〜 内田浩一の侍ハッキング 番外編」

ScanNetSecurity 7日 08:20

... 営業の仕事だけをしたいわけではありませんが、そこは外資企業の良いところ、必要な仕事さえこなしていれば好きなことをさせて貰えます(業務に関連する前提ではありますが、セキュリティベンダーである以上、脅威や脆弱性の調査等は許容範囲!)。 私自身も、グローバルのリサーチチームと脅威の解析や検知精度向上の為の対応も行いつつ、月次の脅威レポート(新しいフィッシングの手口や、マルウェア、AI等の新しい技術やリス ...

7/16 Webセミナー「診断義務化時代に人手不足でも定期診断を実現する自動化ツールの選び方」開催 〜 エーアイセキュリティラボ

ScanNetSecurity 7日 08:15

... ルの選び方」を開催すると発表した。 同ウェビナーでは、「クレジットカード・セキュリティガイドライン」が改定され、EC事業者が運営するシステムやWebサイトにおける脆弱性対策の実施が義務化される中で、同社CX本部 マネージャーの笹森俊樹氏が脆弱性診断ツールを選定する際に押さえるべきポイントを解説するとともに、同社提供のクラウド型Web診断ツール「AeyeScan」と他社製品との違いや、活用メリットに ...

脆弱性のある旧プログラムがサーバに残存 〜 南日本酪農協同ホームページへのサイバー攻撃

ScanNetSecurity 7日 08:05

... ゃんWEB投票・プレゼント企画」応募者の名前、住所、電話番号、メールアドレスなどを含む個人情報が流出した可能性が判明していた。 同社で被害のあったサーバへのフォレンジック調査を実施した結果、サーバ上に脆弱性のある旧プログラムが残存していたことが原因で、2025年3月12日に海外のIPアドレスから不正なアクセスが行われ、攻撃ツールがサイト内に設置され、3月17日に攻撃者によるメール送信コマンドおよび ...

Active! mail に複数の脆弱性

ScanNetSecurity 7日 08:00

... 記の影響を受ける可能性がある複数の脆弱性が存在する。 ・クロスサイトスクリプティング(CVE-2025-52462) →ユーザのウェブブラウザ上で任意のスクリプトを実行される ・クロスサイトリクエストフォージェリ(CVE-2025-52463) →意図しないメールを送信させられる JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。本脆弱性は「Active! mai ...

脆弱性管理クラウド「yamory」、Azure管理グループを活用した組織階層型サブスクリプション管理を支援する新機能

クラウド Watch 7日 08:00

株式会社アシュアードは4日、脆弱性管理クラウド「yamory(ヤモリー)」において、Azure管理グループ(Management Groups)を活用した組織階層型のサブスクリプション管理を支援する「Azure組織連携機能」をリリースしたと発表した。 yamoryは、ITシステムの脆弱性を自動で検知して、その管理・対策を可能にするクラウドサービス。ソフトウェアの脆弱性管理に加え、セキュリティ診断や ...

米シークレットサービス、仮想通貨4億ドルを押収|世界最大級のコールドウォレットを保有

コインテレグラフ 7日 07:23

... のデータによると、2024年に米国で報告された仮想通貨詐欺による被害額は93億ドルに上り、インターネット犯罪全体の被害額166億ドルの半分以上を占めた。 一方、2025年上半期には、ハッキングや詐欺、脆弱性の悪用などによって24億7,000万ドル以上が失われており、前年(24億ドル)から約3%増加している。 盗まれた仮想通貨の回収は、業界関係者の協力に依存するケースが多い。コインベースやテザーは、 ...

「ウイルスバスター クラウド」に特権昇格の脆弱性 〜CVSS 3.0のスコアは7.8/任意のファイルやフォルダーを削除される恐れ

窓の杜 7日 00:01

「ウイルスバスター クラウド」に特権昇格の脆弱性 脆弱性ポータルサイト「JVN」は7月4日、トレンドマイクロ製のWindows版「ウイルスバスター クラウド」に脆弱性「CVE-2024-32849」が存在したことを明らかにした。 v17.8.1464より前の「ウイルスバスター クラウド」は、Windowsショートカット(.lnk)ファイルの取り扱いが不適切なため、本来アクセス権のない任意のファイル ...

Amazonが国内に配送、物流拠点を新設 25年中に翌日配送を全国拡大/従業員の解雇が続くMicrosoft コスト削減を目的に

ITmedia 6日 06:00

... 業員の解雇が続くMicrosoft コスト削減を目的に 「PowerToys」の最新バージョン「v0.92」登場 秀和システムが法的整理に 債務超過で 「Google Chrome 138」にゼロデイ脆弱性 「Microsoft Edge」も Gemini 2.5 Proベースの教育向けAI「Gemini for Education」 Amazonが国内に配送、物流拠点を新設 25年中に翌日配送を ...

Chromeに深刻な脆弱性「CVE-2025-6554」 急ぎアップデートを

ITmedia 5日 08:00

... 刻な脆弱性を修正した新バージョンがリリース CVE-2025-6554は、Chromeに搭載されているJavaScriptおよびWebAssemblyエンジン「V8」に存在した「型混乱(Type Confusion)」の不具合とされている。この脆弱性により、特別に細工したHTMLページを読み込ませることで、リモートから任意の読み書き操作が可能になる恐れがある。米国国立標準技術研究所(NIST)の脆 ...