複数のビデオカード設定ツールやゲームに脆弱性、「Microsoft Defender」がアラート、メーカー製ツールも/「例外登録」でアラートは停止可能、ただしセキュリティ低下に注意

窓の杜 09:10

... )付けで、公式サポートサイトで告知記事を公開している。 VulnerableDriver:WinNT/Winring0 これは誤検知ではなく、「CVE-2020-14979」として記載されている既知の脆弱性だ。「WinRing0.sys」および「WinRing0x64.sys」の特定バージョン(v1.0.6〜v1.2.0)には整合性の低いプロセスを含むローカルユーザーが任意のメモリ位置に読み書きで ...

「VMware ESXi」など複数仮想化製品に深刻な脆弱性 - 早急に更新を

Security NEXT 09:06

... 品に脆弱性が明らかになったとして、アップデートをリリースした。 同社は現地時間2025年7月15日にセキュリティアドバイザリを公開。外部へ非公開のもと報告を受けた「VMware ESXi」「VMware Workstation」「VMware Fusion」および「VMware Tools」に関する脆弱性4件について明らかにしたもの。 仮想ネットワークやディスク、通信インタフェースなどに起因する脆 ...

Gmailユーザーに警告──グーグルのAI機能「このメールを要約」を悪用

Forbes JAPAN 09:00

... ジラ)のゼロデイ調査ネットワーク 0din(ゼロディン)を通じて発せられた。研究者は「Google Workspace(グーグル・ワークスペース)向け Geminiにおけるプロンプトインジェクションの脆弱性」を実証し、攻撃者がメール本文に悪意ある指示を隠せることを示した。 攻撃者がメール内にプロンプトを埋め込み、利用者がGmailの新機能「このメールを要約」をクリックすると、ジェミニは隠された指示 ...

AI時代の脅威に備えるクラウドセキュリティとは─アイレットが示すROSI視点による効果的な対策アプローチを徹底解説

マイナビニュース 09:00

... げる「脆弱性の最小化」と、万一発生した際の「被害の最小化」である。 後者について廣山氏は、「被害発生後にどれだけ早く復旧に動けるかが、極めて重要なメトリクスになります」と強調した。 脆弱性の最小化に効く具体的ソリューションとROSI事例 ROSIの向上に向けては、「脆弱性の最小化」が欠かせないが、そのためには一度きりの対処ではなく、継続的かつサイクル的な活動が求められる。 廣山氏は、「まずは脆弱性 ...

サイバーセキュリティ最前線 第40回 7月7日〜13日の最新サイバーセキュリティ情報 - エプソン製品にも影響! 最新サイバー脆弱性まとめ

マイナビニュース 09:00

... 実行の脆弱性 【重要】Microsoft Office - リモートコード実行の脆弱性 【重要】Microsoft SharePoint - リモートコード実行の脆弱性 【重要】Microsoft SQL Server - リモートコード実行の脆弱性 【重要】Microsoft Visual Studio - 特権昇格の脆弱性 【重要】Microsoft Azure - リモートコード実行の脆弱性 ...

AWS Organizations連携サービス最新情報&セットアップのコツ 第23回 AWS Security HubにおけるOrganizations連携機能の注目アップデート

マイナビニュース 08:46

... ビスの依存関係を有しています。これは、攻撃パスを分析する際に、AWS Configが収集したリソース構成情報、Amazon GuardDutyによる脅威検知結果、Amazon Inspectorによる脆弱性スキャン結果などを多角的に利用するためです。 そのため、Security Hub Advanced自体の有効化以外にもこれらのサービスの有効化方式についても整理する必要があります。現時点では下図 ...

CyCraft ベンソン・ウーが AI で追い求める「私の仕事が世界から無くなる日」 〜 CyCraft Day レポート

ScanNetSecurity 08:15

... ばかりの、同社開発「 AI セキュリティサポーター Crafty 」も紹介された。Crafty は自然言語に対応する LINE チャットボットで、セキュリティに関わる質問を投げると、特定の機器に関わる脆弱性情報や、セキュリティ関連ニュース要約などを提供する( Crafty リンク:https://go.cycraft.ai/craftyjp ※LINE友だち追加のQRコードが開きます)。 本稿執筆 ...

ウェビナー「"脱 CVSS 依存!" セキュリティ担当者なら知っておくべき SBOM と脆弱性管理の本質」7 / 29開催

ScanNetSecurity 08:10

Cloudbase株式会社は7月29日に、ウェビナー「"脱CVSS依存!" セキュリティ担当者なら知っておくべきSBOMと脆弱性管理の本質」を開催すると発表した。 同ウェビナーでは、クラウド移行やインフラの多様化で多くの企業が脆弱性管理の「本質的な優先順位」を見失いつつある中、脆弱性対応に課題を感じている情シス・セキュリティ担当者に向けて、今あらためて注目されるSBOM(ソフトウェア部品表)とSS ...

「Chrome」に脆弱性、すでに悪用も - アップデートが公開

Security NEXT 08:09

... で3件の脆弱性に対応している。 具体的には、3Dグラフィックスやベクターデータの描画命令をGPU向けに変換するコンポーネント「ANGLE」における入力検証不備の脆弱性「CVE-2025-6558」や、スクリプトエンジン「V8」における整数オーバーフローの脆弱性「CVE-2025-7656」を解消した。 さらに「WebRTC」において解放後のメモリを使用する「Use After Free」の脆弱性に ...

日鉄ソリューションズのネットワーク機器にゼロデイ攻撃、個人情報等の一部が外部に漏えいした可能性

ScanNetSecurity 08:05

日鉄ソリューションズ株式会社は7月8日、同社への不正アクセスによる情報漏えいの可能性について発表した。 これは同社の社内ネットワークに対し、ネットワーク機器のソフトウェアの脆弱性を原因とする不正アクセス(ゼロデイ攻撃)があり、同社が保有する顧客・パートナー・同社従業員の個人情報等の一部が外部に漏えいした可能性が判明したというもの。 同社では3月7日に、同社サーバへの不審なアクセスを検知し、サーバを ...

「Google Chrome 138」にまたゼロデイ脆弱性、今すぐアップデートを/Windows環境には修正版のv138.0.7204.157/.158が展開中

窓の杜 08:05

... Windows/Mac環境にv138.0.7204.157/.158が、Linux環境にv138.0.7204.157が展開中だ。 本リリースは、原則毎週実施されているセキュリティアップデート。6件の脆弱性が修正されている。CVE番号が公開されているのは、以下の3件。 CVE-2025-7656:Integer overflow in V8CVE-2025-6558:Incorrect valid ...

日本の市場規模は1兆6,665億円に 〜 JNSA「2024年 国内情報セキュリティ市場調査報告書」

ScanNetSecurity 08:00

... 活動)は6,723億6,300万円で40.3%を占めた。 情報セキュリティ「ツール」の中分類(カテゴリ)で最も伸びたのは「アイデンティティ・アクセス管理製品」の20.0%増で、小分類(製品種別)では「脆弱性検査製品」が43.7%で最も伸びている。ツール全体の構成比で最も高いのは「ネットワーク防御・検知/境界線防御製品」の33%(3,279億円)であった。 情報セキュリティ「サービス」の中分類(カテ ...

サイバー犯罪首謀者特定に AI 活用 〜 違法大麻のプロとアマチュア区別するフレームワークを修正し SNS と組み合わせ

ScanNetSecurity 08:00

... の分析でプロの犯罪者とアマチュアを区別するために考案されたフレームワークを修正し、ソーシャルネットワーク分析と組み合わせている。この手法を用いることで、フォーラムに投稿しているアカウントと、最近の共通脆弱性識別子(CVE)の悪用を関連付けることが可能となった。 同アプローチでは、脅威調査検索エンジンであるFlareを使用し、124件の異なるサイバー犯罪フォーラムから、2015年1月から2023年7 ...

中国製IPカメラにCVSS 10.0の脆弱性 ベンダーは“音信不通"

ITmedia 08:00

... ommunication Technology LTD製のIPカメラに深刻な脆弱性が存在することを明らかにしている。 中国製IPカメラにCVSS 10.0の脆弱性 ベンダーは“音信不通" 今回の脆弱性は共通脆弱性識別子「CVE-2025-7503」として公開されている。詳細は以下の通りだ。セキュリティ企業Toreonは共通脆弱性評価システム(CVSS)v4.0におけるスコアを10.0としており、深 ...

10のテスト手法を網羅解説、要件ごとに最適なテストがわかる『フルスタックテスティング』発売

CodeZine 08:00

... orybook 6.5 視点:ビジュアルテストの課題 第7章 セキュリティテスト 7.1 構成要素 7.1.1 よくあるサイバー攻撃 7.1.2 STRIDE脅威モデル 7.1.3 アプリケーションの脆弱性 7.1.4 脅威モデリング 7.2 セキュリティテスト戦略 7.3 演習 7.3.1 OWASP Dependency-Check 7.3.2 OWASP ZAP 7.4 その他のテストツール ...

DGビジネステクノロジー、EC事業者向けにクレカ関連のセキュリティ診断サービスを提供開始

ECzine 07:30

... )の「脆弱性対策」への対応を支援する。 同ガイドラインは、経済産業省所管の「割賦販売法(後払い分野)に基づく監督の基本指針」において、セキュリティ対策義務の「実務上の指針」として位置づけられているもの。DGBTセキュリティ診断サービスでは、次のような支援を行う。 ガイドライン準拠チェック フルパック(ライト・スタンダード・プレミアム) ガイドライン準拠チェック セレクト ウェブアプリケーション脆弱 ...

SplashtopのCEOに聞くリモートワーク時代のセキュリティと生産性

ZDNet Japan 07:00

... う。 「AEMは、リアルタイムのIT資産管理機能を持ち、社内にあるIT資産を把握でき、どんな脆弱(ぜいじゃく)性があるのかが分かる。Splashtopの目標は、インターネットを含むさまざまな情報源から脆弱性を発見するまでの時間を短縮すること。これによりパッチ適用を実施し、障害を防ぐ。以前、とある他社のセキュリティツールが一斉にアップデートし、コンピューターがクラッシュしてしまうシステム障害が発生し ...

ゼロトラスト「失敗35%」――それでも“現状維持"こそ危ない理由

TechTarget ジャパン 07:00

... データを標的とした大規模な侵害が注目を集める中、ゼロトラストの必要性は決定的な転換点を迎えている。これらの攻撃は、境界型防御への過度の依存やネットワークセグメンテーションの不備など、組織のシステム的な脆弱性を露呈させた。加えて、クラウド環境におけるセキュリティ体制のわずかな隙を悪用する攻撃の高度化も浮き彫りになった。 ゼロトラストへの認識が高まる一方で、その成功を収めている組織はまだ少ない。調査会 ...

「パスワードは定期的に変えるべき? 変えない方がいい?」掘り下げると長くなるネットの疑問〜IIJに聞きました【掘り下げると長くなるネットの疑問】

INTERNET Watch 06:00

... で変更した方がいいですね。 パスワードを定期的な変更はしなくていいとする場合でも、「パスワードが漏えいしたことが分かったら変更してください」と説明されます。しかし、昨今では、存在がまだ把握されていない脆弱性を突いた攻撃で、サービスの管理者が気付いていないけど攻撃を受けてしまっている「ゼロデイ攻撃」も多くなっているため、パスワードの漏えいが判明していない状態が、イコール問題なしとは言えなくなっている ...

同意を事実上強制する「ダークパターン」を生まないために─企業価値を守るクッキーバナー「STRIGHT(ストライト)」とは

マイナビニュース 15日 19:09

... 作が困難になる。ITリテラシーの高いユーザーでなければ、ブラウザ設定によるクッキー削除などの対応は難しく、結果として企業側が一方的に有利な状況を作り出してしまう。 こうした状況は、消費者庁が提唱する「脆弱性に配慮した法制度」の議論にもつながっている(参考:消費者法制度のパラダイムシフトに向けた検討)。誰にとってもわかりやすく誠実な情報提供を行うことが、CSR(企業の社会的責任)として求められている ...

「AIファースト」と「人間ファースト」は両立しうるか?

WirelessWire 15日 17:33

... く、仕事の邪魔となる家族もいない)に置き換えられる AIを信頼しきっているし、他のやり方を知らないので、バイブコーディングされたコードはすべて本番環境に直行 ある時点で、蓄積されたバグやセキュリティの脆弱性が露見して、収益に影響を与え出す バイブコーダーはジュニアレベルのスキルから成長しないので、誰もコードレビューができないし、セキュリティの問題も修正できない 結局は解雇されたシニア開発者を再雇用 ...

GigabyteマザーボードのUEFIモジュールに複数の脆弱性 〜JVNが注意喚起/最悪の場合、OSレベルの保護を回避して任意のコードを実行できてしまう可能性

窓の杜 15日 16:12

脆弱性レポート「JVNVU#90910360」 脆弱性ポータルサイト「JVN」は7月14日、脆弱性レポート「JVNVU#90910360」を公表した。GigabyteのファームウェアのUEFIモジュールに複数の脆弱性があるという。 UEFIは、システムを起動する際に用いられるファームウェアアーキテクチャーの仕様。そのなかに低レベルのシステム操作を処理するために設計されたシステム管理モード(SMM) ...

米空軍最新ステルス爆撃機 B-2とB-21の違い・強みを徹底比較

中国 : 大紀元 15日 13:52

... るかに少ない支援で作戦を遂行できた。また、GBU-57による攻撃では、フォルドー施設の弱点である換気口を狙うことで、巨大な破壊力を効果的に活用した。この事実は、GBU-57の威力に加え、防御システムの脆弱性を突く必要性が成功の鍵となったことを意味する。換気口という弱点が存在しなければ、厚さ250フィート(約76メートル)の岩盤に守られたフォルドー核施設は、12発のGBU-57をもってしても破壊ある ...

分散型取引所「GMX」でのハッキング被害、4,050万ドル相当の資産が返還される

あたらしい経済 15日 12:21

... チェーンで緊急停止した。これは追加の攻撃経路を防ぎ、ユーザーへのさらなる悪影響を保護するための措置だと説明されている。 なお「GMX」チームは、新バージョン「GMX」V2について「GMX」V1と同様の脆弱性が存在するかを調査した結果、「GMX」V2では問題が発生しないことを確認したとのことだ。 参考:PeckShield 画像:iStocks/LuckyStep48 関連ニュース 分散型デリバティ ...

画像処理ライブラリ「ImageMagick」に脆弱性 - アップデートが公開

Security NEXT 15日 12:08

... ラリ「ImageMagick」にあらたな脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。 同ソフトにおける一部コマンドにおいて、特定のフォーマット指定子を含むファイル名のテンプレートを処理すると、スタックバッファオーバーフローが生じる脆弱性「CVE-2025-53101」が明らかとなったもの。 CVE番号を裁判したGitHubでは、共通脆弱性評価システム「CVSSv3.1」の ...

「Apache Tomcat」に深刻度HIGHの脆弱性 〜サービス運用妨害(DoS)の恐れ/v9/10/11に影響。最新版へのアップデートを推奨

窓の杜 15日 11:07

「JVN」の脆弱性レポート(JVNVU#91378143) 脆弱性対策情報ポータルサイト「JVN」は7月14日、「Apache Tomcat」に3件の脆弱性が存在することを明らかにした。v9/10/11系統に影響し、深刻度を表すCVSS 3.1のスコアは、いずれも7.5(HIGH)と評価されている。 各脆弱性のCVE番号と影響範囲は以下の通り。 CVE-2025-52434Apache Tomca ...

「Wing FTP Server」狙う脆弱性攻撃に注意 - 詳細公表翌日より発生

Security NEXT 15日 10:04

... 局は、「Wing FTP Server」に判明した脆弱性「CVE-2025-47812」が悪用されているとして注意喚起を行った。 現地時間2025年7月14日、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が「悪用が確認された脆弱性カタログ(KEV)」を更新し、同脆弱性を追加したもの。 米国内の行政機関に対し、指定した期間内に脆弱性への対策を講じるよう促すとともに、広く悪用さ ...

「FortiWeb」の深刻な脆弱性、詳細やPoCが公開

Security NEXT 15日 09:12

... ァイアウォール「FortiWeb」に深刻な脆弱性「CVE-2025-25257」が判明した問題で、脆弱性の詳細が公開された。今後脆弱性の悪用が増加するおそれがある。 「CVE-2025-25257」は、同製品のGUIコンポーネントに判明した「SQLインジェクション」の脆弱性。認証を必要とすることなく、SQLクエリやコマンドを実行することが可能となる。 共通脆弱性評価システム「CVSSv3.1」のベ ...

既知の脅威に対し、なぜ実効的なセキュリティ体制が築けていないのか

マイナビニュース 15日 09:00

... の脆弱性を利用されたものだが、それ以降も同様に既知の脆弱性を悪用された事例が後を絶たない。 脆弱性が既知であるということは、対策方法も知られているはずだ。それでも被害が絶えない大きな理由として同氏は、実効性のあるガバナンスがないこと、そしてリアルタイムのIT資産管理が不十分であることを挙げた。IT資産は分単位で状況が変化するため、リアルタイムのチェックでバージョンや振る舞いをつねに確認しておけば、 ...

「HPE Networking Instant On」のアクセスポイントに深刻な脆弱性

Security NEXT 15日 08:39

... ントに複数の脆弱性が明らかとなった。アップデートが提供されている。 同製品のファームウェア「3.2.0.1」および以下のバージョンに2件の脆弱性が明らかとなったもの。具体的には、機器に認証情報がハードコードされており、認証をバイパスして管理者権限を取得できる「CVE-2025-37103」が確認された。 あわせて認証済みのユーザーにより任意のコマンドが実行できるコマンドインジェクションの脆弱性「C ...

システムエグゼへのランサムウェア攻撃、東京都港湾局は調布飛行場受付システムの運用保守を委託

ScanNetSecurity 15日 08:05

... 。 なお、ランサムウェア攻撃によるデータの外部流出はなく、攻撃のあったシステムエグゼの社内サーバは港湾局の業務に用いているサーバとは別のもの。 港湾局ではシステムエグゼに対し、全ての影響調査が完了し、脆弱性が解消されるまでの間、港湾局サーバとのネットワークの遮断を指示している。 港湾局ではシステムエグゼに調査結果等の報告を求めるとともに、原因の究明、技術的な対策をはじめ、情報セキュリティ対策の強化 ...

半数以上の組織が身代金支払額を値切る 〜 ソフォス「ランサムウェアの現状 2025年版」

ScanNetSecurity 15日 08:00

... 上高が10億ドル以上の企業に要求される身代金の中央値は500万ドルだったが、売上高が2億 5,000万ドル以下の組織に要求される身代金の中央値は35万ドル以下となった。 攻撃の技術的な根本原因として、脆弱性の悪用が3年連続で第1位となる一方で、ランサムウェア被害を受けた組織の40%が、自社が認識していないセキュリティギャップを攻撃者に突かれたと回答しており、組織が攻撃対象領域の把握と防御に依然とし ...

Geminiを狙う新たな攻撃が登場 HTMLメール内に不可視の命令を埋め込む

ITmedia 15日 08:00

... eminiが本来意図されていない出力を生成するという脆弱(ぜいじゃく)性が報告された。 Geminiが不可視命令に反応 AI要約機能の脆弱性を悪用した攻撃とは? この攻撃は、電子メール本文に埋め込まれた隠しプロンプトが電子メールの要約機能によってAIの出力に反映される脆弱性とされている。具体例として「<Admin>」タグ内に攻撃者のメッセージを配置し、それを白文字やゼロサイズのフォントで表示から除 ...

Salesforce の脆弱性ではなくそれを使う人間を操る 〜 ITサポート担当者になりすまし電話し侵入

ScanNetSecurity 15日 08:00

... たり、機密性の高い認証情報を共有させたりして組織のSalesforceデータを盗みやすくするのに効果的であることが証明されている。GTIGが観測したすべてのケースで、攻撃者はSalesforce固有の脆弱性を悪用するのではなく、エンドユーザーを操作する方法を使用していた。 UNC6040でよく見られる戦術は、被害者を欺いて組織のSalesforceポータルに悪意のある接続アプリケーションを承認させ ...

FSB議長の英中銀総裁、各国に市場混乱リスクへの警戒呼びかけ

ロイター 15日 08:00

... で、不確実性が引き続き成長期待を圧迫しているとし、市場の混乱を招くリスクへの警戒を怠らないようにする必要があるとの考えを示した。ベイリー氏は、経済・地政学的リスクが一段と顕在化しており、世界的な債務の脆弱性は依然として高い水準にあると指摘した。金融の安定を確保するために国際的な協力と関与が必要だと強調した。世界の国内総生産(GDP)の約85%、世界人口の3分の2を占めるG20は、2008年の金融危 ...

欧州サイバーセキュリティ規制に向け対応製品続々、フエニックス・コンタクト

MONOist 15日 07:30

... 欧州のCRA、違反した場合は高額の罰金も 欧州では、製品のライフサイクル全体にわたるサイバーセキュリティ対策を義務付けるサイバーレジリエンス法(CRA)が2024年10月に成立した。2026年9月から脆弱性、インシデント報告義務が開始され、2027年12月からCRAが全面的に適用される。要件に違反した場合は、最大で1500万ユーロ(約25億円)またはグローバル年間売上高の2.5%のいずれか高い方が ...

脆弱性データベースの危機、 「米国頼み」の脆弱性が露呈

ASCII.jp 15日 06:26

世界のサイバーセキュリティを支える米国の脆弱性データベース「NVD」が機能停止し、未処理案件が蓄積。高額な民間サービスに移行できない組織が「セキュリティ格差」に直面する中、中国やEUは独自システムの構築を加速。米国主導のサイバーセキュリティ基盤の脆弱性が、皮肉にも世界最大のリスクとなっている。 【この続きをMITテクノロジーレビューで読む】

脆弱性データベースの危機、 「米国頼み」の脆弱性が露呈

MITテクノロジーレビュー 15日 06:26

... system is breaking down 脆弱性データベースの危機、 「米国頼み」の脆弱性が露呈 世界のサイバーセキュリティを支える米国の脆弱性データベース「NVD」が機能停止し、未処理案件が蓄積。高額な民間サービスに移行できない組織が「セキュリティ格差」に直面する中、中国やEUは独自システムの構築を加速。米国主導のサイバーセキュリティ基盤の脆弱性が、皮肉にも世界最大のリスクとなっている。 ...

ランサムウェア攻撃を受けた企業の約半数が身代金支払いを選択

@DIME 15日 05:30

... 金の中央値は500万ドルだったが、売上高が2億5000万ドル以下の組織に要求される身代金の中央値は35万ドル以下となっている。 ■63%の組織がリソースの問題が攻撃を受けた要因であると回答 3年連続で脆弱性の悪用が、攻撃の技術的な根本原因の第一位となった。一方で、ランサムウェア被害を受けた組織の40%が攻撃者によって自社が認識していないセキュリティギャップを突かれたと回答しており、組織が攻撃対象領 ...

「境界型防御」がもう限界な理由 なぜゼロトラストに基づいた対策が必要なのか

TechTarget ジャパン 15日 05:00

... さらにSSO(シングルサインオン)やMFA(多要素認証)を併用することで安全性を高めつつ手間を減らすことも可能です。 エンドポイントセキュリティ サイバー攻撃者が社内ネットワークに侵入する方法として、脆弱性の悪用と並び利用されるのがエンドポイントにあるPCなどの業務用デバイスです。ほとんどの業務用PCには、アンチマルウェアとも呼ばれるエンドポイント保護ツール「EPP」(Endpoint Prote ...

脆弱性管理の「もやもや」を解消するポイントとは? 識者や担当者の議論に学ぶ、脆弱性管理体制構築のヒント

＠IT 15日 05:00

... お伝えする。 本当に運用できる? 脆弱性管理、そしてSBOM ラックで脆弱性管理に関する研究に携わり、日本シーサート協議会(NCA)の脆弱性管理ワーキンググループにも参加している井上圭氏は、Internet Week 2024の講演「これは助かる!ありそうでなかった運用フレームワーク〜脆弱性管理の手引き〜」の内容(レポート記事)も踏まえつつ、脆弱性管理は、文字通りの脆弱性管理から「企業のリスク管理 ...

聞こえが悪いと歩行速度が下がる? 難聴はフレイルを加速させる重要因子

日経Gooday 15日 00:00

... が、難聴は社会的孤立や収入低下、うつや認知症といったフレイルの幅広い因子に関わり、難聴であること自体が身体的フレイルでもあります」と話す(図1)。 フレイルとは、加齢とともに心身の活力が低下し、心身の脆弱性が増した状態だが、早く気づき正しく予防することで改善が可能な状態のことを言う。図1にあるように、フレイルには身体的フレイル、社会的フレイル、心理的・認知的フレイルがある。 図1 難聴は、身体・社 ...

ロジクール、独自のワイヤレス技術を搭載した「Logi Bolt USB-C レシーバー」を発売

日経 xTECH Active 15日 00:00

... 搭載 独自のワイヤレス技術により、ワイヤレスデバイスからの干渉が多いオフィスなどの環境でも、安定したワイヤレス接続を提供できるように設計されています。さらに、連邦情報処理基準(FIPS)に準拠しながら脆弱性を軽減するように設計されており、ビジネスシーンでも安心してお使いいただけます。 ■互換性の高いUSB-C対応でサイズはより小さく、1つのレシーバーで最大6台のデバイスを接続可能 従来の「Logi ...

重要鉱物の確保は「防衛の課題」に 迫られる供給網の再構築

日経BP 14日 18:40

... ・ビュイソン氏は「防衛目的の需要に関する正確なデータはないに等しい」と話す。どの国も軍事に関わる情報は機密扱いで、開示を制限しているからだ。 オランダの軍艦、防空指揮フリゲートのサプライチェーンを巡る脆弱性を調査した研究論文の主執筆者であるイリーナ・パトラハウ氏は、「フリゲート艦のような複雑なシステムに関わるサプライチェーンと関係者を全て完全に把握している者などいない」と指摘する。 オランダ経済省 ...

キーボード操作主体で効率的・直感的なファイラー「Filedini」v0.4.461(beta) ほか【ダイジェストニュース】

窓の杜 14日 18:15

... dows 10/11とWindows Server 2016/2022/2025のMicrosoft Changjie IMEに問題 繁体中国語で正しく入力できない可能性。現在解決に取り組み中「Apache HTTP Server 2.4」に複数の脆弱性 DoSやHTTPセッション乗っ取りなどの恐れ。v2.4.59へのアップデートを推奨Amazonで購入「Windows」関連商品Amazonで購入

中共ハッカーとスパイの浸透 国際社会が警戒強化

中国 : 大紀元 14日 16:38

... し、合計1万2700の機関から機密データを入手し、米国の安全保障に重大な脅威を与えたとされている。 さらに、起訴状では、徐容疑者が上海国家安全局の直接的な指揮下にあり、マイクロソフトのメールシステムの脆弱性を突いて、世界中の数千の標的に侵入を試みたことも明記されている。その中には、テキサス州の大学や世界的に有名な法律事務所も含まれていたという。 徐容疑者は外部には上海集塔半導体会社のITマネージャ ...

アシュアードの脆弱性管理クラウド「yamory」、検出された脆弱性やリスクに対する担当者指定が可能に

クラウド Watch 14日 16:27

株式会社アシュアードは14日、脆弱性管理クラウド「yamory(ヤモリー)」は、「担当者割当」機能をリリースしたと発表した。 yamoryは、ITシステムの脆弱性を自動で検知して、その管理・対策を可能にするクラウドサービス。ソフトウェアの脆弱性管理に加え、セキュリティ診断やクラウド設定管理(CSPM)を提供しており、ITシステムに必要な脆弱性対策をオールインワンで実現できるという。 このyamor ...

「ゼロクリック」攻撃がスマホを乗っ取る──一般ユーザーが直面する新たな脅威と対策

中国 : 大紀元 14日 15:29

... 「この攻撃はデバイスそのものではなく、ソフトウェアの脆弱性を狙います。つまり、インターネットに接続されたあらゆる機器が、脆弱性を抱えている限り攻撃の対象となるのです」と彼は警告します。 サイバーセキュリティ専門誌「Cybernews」の情報セキュリティ研究員、アラス・ナザロヴァス(Aras Nazarovas)氏もこう述べています。「ゼロクリック脆弱性を発見するのは非常に難しく、コストも高いため、 ...

イスラエルは米なしには為す術なし;イランはこの依存にどう挑戦したか?

イラン : Pars Today 14日 14:26

... 対し、一言「否」と答えました。 【ParsToday西アジア】アメリカは数十年にわたりイスラエルに軍事的優位性を提供してきたにもかかわらず、イスラエルは2023年10月以降に展開してきた戦争で、自らの脆弱性と目標達成能力の欠如を露呈した格好となりました。イスラエルはシオニスト政権として創設以来、軍事的優位性とアメリカの支援に頼ることで地域における影響力を拡大してきましたが、その影響力はあくまでも安 ...

米政界におけるモサドの浸透:なぜエプスタイン・リストは公開されなかったか?

イラン : Pars Today 14日 14:15

... 家たちはエプスタイン事件がアメリカにおける権力の堕落と濫用の象徴となったと考えています。そして、この事件が単なる道徳的・経済的腐敗だけでなく、外国勢力の浸透、安全保障の崩壊、そしてアメリカの政治構造の脆弱性を暴露していると見ています。 トランプ政権の沈黙、ボンディ司法長官のリスト公開発言の撤回、そして政府機関の説明責任回避は、アメリカ政治の底知れない恐怖を示しています。つまり統治機構がどのように多 ...

アシュアード、脆弱性管理サービスに担当者割り当ての新機能

ZDNet Japan 14日 12:06

... によれば、ユーザーから脆弱性管理業務の効率化や強化のために、対応の主担当者と対応期限を明確にした運用ができる機能への要望があり、新機能を搭載した。 新機能は、yamoryで検出された脆弱性やリスクに対応する担当者を指定したり、複数の担当者を同時に割り当てたりでき、対応予定日を設定することで期限の管理もできる。また、検索・フィルタで担当者と対応予定日を条件に把握でき、担当者別の脆弱性やリスクの対応の ...

Windows 11 24H2、7月の更新プログラムでインストールに失敗する不具合

マイナビニュース 14日 11:46

... icrosoftはこれらの問題に対して公式にコメントしておらず、対策は明らかになっていない。しかしながら、この更新プログラムには重要な脆弱性の修正が含まれており、インストールすることが推奨されている(参考記事:Microsoft、7月更新プログラム公開 - 130件の脆弱性を修正 | TECH+(テックプラス))。 手動アップデートで改善の可能性 そこで、Windows LatestはWindow ...

「CD2WAV32」で寿命間近?かもしれないCDをリッピングしてみた記事に注目が集まる 〜窓の杜アクセスランキング[2025/07/08〜2025/07/13]【記事アクセスランキング】

窓の杜 14日 10:49

... (2025-07-11 16:27) 名機「Kindle Oasis」からの乗り換えに適したE Ink端末は? 9 (2025-07-11 15:39) セキュリティソフト「ESET」シリーズのインストーラーに脆弱性 10 (2025-07-11 06:45) 「AviUtl ExEdit2」で『柴田理恵の消失』が簡単に実現できると話題に Amazonで購入「音楽CD」関連商品Amazonで購入

デジタルガレージ系、ECサイトのセキュリティ診断で新サービス

日本経済新聞 14日 10:00

デジタルガレージ子会社で電子商取引(EC)関連のDGビジネステクノロジー(DGBT、東京・渋谷)はECサイトにセキュリティー上の脆弱性がないか診断できる新サービスを始める。提供は14日から。 カード会社などでつくる「クレジット取引セキュリティ対策協議会」は3月、カード会社や加盟店が情報漏洩や不正利用を防ぐために実施すべき対策の取組をまとめた...

「Kubernetes」向けパッケージ管理ツール「Helm」に脆弱性

Security NEXT 14日 09:59

「Kubernetes」向けのパッケージ管理ツール「Helm」に脆弱性が明らかとなった。修正パッチが提供されている。 ローカルファイルに対するシンボリックリンクを悪用し、コードを実行されるおそれのある脆弱性「CVE-2025-53547」が明らかとなったもの。 同脆弱性は、細工した「Chart.yaml」ファイルと、実行される可能性のあるシェルの設定ファイルへシンボリックリンクされた「Chart. ...

Appleの開発者向けアプリに情報漏洩の脆弱性 - 最新版で修正済み

Security NEXT 14日 09:02

... クセス可能な場合に、機密性の高いユーザー情報を閲覧できる脆弱性「CVE-2025-31267」が確認された。 同脆弱性が報告されたことを受け、同社では「iOS 17.0」「iPadOS 17.0」および以降のバージョンに対して、現地時間2025年6月9日にリリースした「App Store Connect 3.0」で認証状態の管理機能を強化。同脆弱性を解消したとしている。 (Security NEX ...

「SaaSトラフィック」で不要なコストをかけていませんか? 最適なWANを検討するための5つのポイントに迫る

マイナビニュース 14日 09:00

... いては品質と並んで気になる要素だろう。近年、VPN機器の脆弱性を狙ったランサムウェア攻撃の被害が目立っている。実際に警察庁の調査によれば、国内のランサムウェア感染経路としてはVPN機器がここ数年連続でトップの座に君臨する。 ポイントはやはり脆弱性対策であることから、インターネットVPNの導入を考えるなら機器の設定をしっかりと行い、併せて日々の脆弱性管理も徹底する必要が出てくるわけだ。そのため、自社 ...

社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ

EnterpriseZine 14日 09:00

... リティ対策が充実している企業ほど、人の脆弱性を狙った攻撃の標的にされやすいのだという。 「ある程度規模の大きい企業や、セキュリティ意識の強い企業であれば、技術的な対策を講じています。そういった企業に対して、攻撃者が正面を切って突撃することは現実的ではありません。そのため、技術だけではガードしきれない“人の脆弱性"を突いた攻撃をしかけてくるのです」(稲葉氏) 人の脆弱性を狙った攻撃の中で特に多用され ...

Windows 10あと3カ月ではEoS! で、EoSって何? どうすればいい?/買い替えか、ESUで時間稼ぎか、それが問題だ【やじうまの杜】

窓の杜 14日 08:55

... ort、サポート終了のことです。 サポート終了を迎えると、原則として以降はセキュリティ更新プログラムの提供を含むすべてのサービスが打ち切られてしまいます。セキュリティ更新プログラムの提供が終了すると、脆弱性が発見されても修正されません。 そのままインターネットにつなげて使い続けることは、昨今のネット事情を鑑みれば、飢えたケダモノの群れの中でTシャツ短パンのまま棒立ちしているようなものです。攻撃の踏 ...

WordPressプラグインに重大な脆弱性、確認とアップデートを

マイナビニュース 14日 08:43

... Arbitrary File Deletion Vulnerability in SureForms WordPress Plugin 脆弱性に関する情報 脆弱性の情報(CVE)は次のとおり。 CVE-2025-6691 - ファイル名およびパスを外部制御できる脆弱性で、遠隔から認証されていない第三者が任意のファイルを削除することを可能にする。設定ファイル(wp-config.phpなど)を削除 ...

先週注目された記事(2025年7月6日〜2025年7月12日)

Security NEXT 14日 08:19

... 流出の可能性 - 日鉄ソリューションズ 6位:「PHP」に複数脆弱性 - セキュリティリリースが公開 7位:「FortiWeb」に認証不要でコマンド実行が可能となるSQLi脆弱性 8位:「PAN-OS」「GlobalProtect App」など複数製品の脆弱性を解消 - Palo Alto 9位:ビデオ会議のZoom、クライアントの複数脆弱性を解消 10位:「愛知全県模試」受験者情報が流出した可能 ...

クラウドセキュリティの高峰 五合目まで行くエスカレーター 〜 Cloudbase 岩佐晃也

ScanNetSecurity 14日 08:10

... 目になるので、今度は自分が好きなセキュリティを仕事にしてみようと。ただ、2006 年当時はまだセキュリティの仕事はあまりなく、とりあえず脆弱性診断から始めました。 岩佐: 2006 年頃の脆弱性診断というと、SQLインジェクションやクロスサイトスクリプティングがまだ脆弱性として議論されていたような時代ですよね。 上野: その通りです。私は雑誌記事などで知見をまとめていたので、それをベースに診断ガイ ...

Nimesa Backup and Recovery に複数の脆弱性

ScanNetSecurity 14日 08:00

ハッキング大会でVMwareの脆弱性が露呈 ESXiでは“初の侵害報告"も

TechTarget ジャパン 14日 07:15

... ており、VMware製品の運用を続けるユーザー企業にとっての不安感が高まりつつある。 ハッキング大会で露呈したVMwareの脆弱性 併せて読みたいお薦め記事 VMwareの脆弱性問題 「VMware永久ライセンス」を危険にさらす“ゼロデイ脆弱性"とは VMware ESXiに脆弱性 Microsoftが「ランサムウェアでの悪用を確認」と注意喚起 Pwn2Ownでは、セキュリティサービス企業Star ...

TLSの仕様差を悪用した中間者攻撃「Opossum攻撃」に要注意 研究者らが発見

ITmedia 14日 07:00

... ョン層における「非同期」を引き起こすことにより、HTTPSやSMTP、FTP、POP3など、TLSを利用する複数のプロトコルに影響を与える。中間者攻撃(MITM)の手法でありながら、既存のTLS実装の脆弱性を突くものではない点が特徴とされている。 Opossum攻撃は、暗号通信の開始方式「暗黙的TLS」と「機会的TLS」の両方を同時にサポートするサーバに対し成立する。暗黙的TLSは通信開始時点から ...

Windowsユーザーを危険にさらす「重大な欠陥」の悪用シナリオと深刻度

TechTarget ジャパン 14日 06:00

... 、同社OS「Windows」をはじめ、広く使われている製品に影響する脆弱性や、すでに攻撃が確認されている脆弱性も含まれている。どのような脆弱性で、なぜ危険なのか。 Microsoft脆弱性情報まとめ システムを守るには? 併せて読みたいお薦め記事 IT製品を安全に利用するには 「VMware永久ライセンス」を危険にさらす“ゼロデイ脆弱性"とは これだけは知っておきたい「Windows更新」の基本と ...

初の展示会に見る製造業のセキュリティトピック--法規制対応やソリューションの広がり

ZDNet Japan 14日 06:00

... までには駆け込みでの問い合わせが急増するのでないか」と話す。 来場者から問い合わせが多かったのが、EUサイバーレジリエンス法への対応だった。2026年9月までに脆弱性やインシデントの報告が義務化されるため、体制整備などが急務という CRAでの脆弱性やインシデントの報告義務に対応するには、国際電気標準会議(IEC)の「IEC62443」シリーズなどに基づくアセスメントやプロセスの体制や運用を整備する ...

アプリとAPIの保護が「WAFだけ」では危険な理由と“正しい"防御策

TechTarget ジャパン 14日 05:00

... る攻撃の手口はますます巧妙化している。サービスの可用性を損なうDDoS(分散型サービス拒否)攻撃からアプリケーションやAPIの脆弱(ぜいじゃく)性を悪用する攻撃まで、その種類は多岐にわたる。システムの脆弱性に起因するものだけではなく、正常な機能の不正利用、アクセス権限の不正取得、Webブラウザやモバイルデバイスなどクライアントでのデータ改ざんといったさまざまな問題が、セキュリティ対策を一層複雑にし ...

【特別企画】使える「脅威インテリジェンス」とは - 単なる情報ソースで終わらせないために

Security NEXT 14日 00:01

近年巧妙化の一途をたどっているサイバー攻撃。時間をかけて組織周辺を調査し、流出したアカウント情報や機器の脆弱性などの「弱み」につけ込み内部へ侵入するケースが増えている。役員の身辺情報を調べ、ソーシャルエンジニアリングを用いた手口もある。 また内部への侵入を狙った攻撃だけではない。「著名ブランド」に便乗してユーザーをだますフィッシング攻撃も、オンラインサービスを展開する企業にとっては厄介な存在だ。最 ...

WordPressプラグイン・テーマの脆弱性最新情報 第8回 2025年6月26日〜2025年7月2日までに報告されたWordPress関連の脆弱性情報

マイナビニュース 13日 11:35

... 、この脆弱性を悪用すると、「ユーザーが挿入されたページにアクセスするたびにウェブスクリプトが実行される」「任意のウェブスクリプトをページに挿入する」といったことが可能になります。 総括 6月26日から7月2日にかけて報告された脆弱性6件のうち、2件は認証を受けてない第三者 (誰でも攻撃できる) に影響を及ぼす脆弱性で、4件は少なくとも寄稿者以上の権限を持つユーザーで認証済の場合に影響を及ぼす脆弱性 ...

印、レアアース産業に最大250億ルピーの優遇措置計画も「中国に代わることは不可能」―中国メディア

レコードチャイナ 13日 08:00

... これに関連し、「インドのレアアース埋蔵量は690万トンで世界3位だが、同国には十分な採掘能力と処理能力がない」とし、インドメディアのデカン・ヘラルドがこのほど、「中国のレアアース磁石輸出規制はインドの脆弱性を露呈している」と報じたことを取り上げた。 デカン・ヘラルドによると、インドのシンクタンク、グローバル貿易研究イニシアチブ(GTRI)のアジャイ・スリバスタバ氏は、「低・中技術輸入品のリバースエ ...

旧来的な仮説の終焉:サウジは12日間戦争後のイランとの直接交渉を模索

イラン : Pars Today 12日 17:44

... ースを主に報じるオンライン雑誌「The Cradle」が、「サウジアラビアはイランを、直接交流すべき看過できない地域勢力とみなしている」と報じました。 このオンライン雑誌は「シオニスト政権イスラエルの脆弱性と米の安全保障の傘の衰退を露呈させ、外部から強制された12日間の戦争で、イランがシオニスト政権イスラエルの侵略に応じて計算された戦争戦略を採用したことを受けて、サウジは地域の安全保障に関する従来 ...

中共空母編隊の香港公開 中共メディアの宣伝と現実の乖離

中国 : 大紀元 12日 14:10

... 護衛艦が香港で一般公開され、中共メディア、新華社は連日にわたり、この出来事を大々的に報じ、軍事力の誇示と「愛国主義」の宣伝を展開した。しかし報道の内容からは、中共海軍の実力や装備の限界、そして制度的な脆弱性が浮かび上がった。本稿では、中共メディアの報道をもとに、今回の編隊公開の実態と中共海軍の現状を詳しく検証する。 055型駆逐艦「延安艦」:宣伝の限界 新華社は055型ミサイル駆逐艦「延安艦」につ ...

大規模インシデントの再来? Citrix NetScalerに新たな脆弱性

ITmedia 12日 09:00

... は、既に初期段階の悪用が確認されたという。 大規模インシデントの再来? あの脆弱性と関連している可能性 研究者たちによると、標的となった環境への初期侵入で「NetScaler Gateway」の脆弱性が利用されている兆候が確認されたとのことだ。Citrixの勧告によると「CVE-2025-5777」として追跡されているこの脆弱性は(注2)(注3)、NetScalerがGatewayとして構成されて ...

暗号資産を狙う暴行・強盗・誘拐が多発、人的脅威のセキュリティ対策が急務に

Forbes JAPAN 12日 08:00

... に相当する資産をも動かせる一方、ひとたび紛失や流出という事態になると、損害を取り戻す手段はない。 こういった考え方や仕組みのため、悪意のある者による直接的な暴力によって命や財産が狙われるという、深刻な脆弱性が生まれている。暗号資産の保有者がネット上のセキュリティ意識を高める一方で、犯罪者たちは物理的な襲撃に打って出るようになった。つまり、暗号資産の富豪がネットワークごしのセキュリティを強化し賢く立 ...

「7月に大災害が起きる」――フェイクで止まった航空路線 事実を伝えるだけでは、人は動かない理由

ITmedia 12日 08:00

... 徳島便はいずれも、訪日外国人宿泊数が全国で下位に位置する地方空港の貴重な国際線だ。観光庁が掲げる地方誘客の柱としてようやく成長を始めた路線が、数カ月の予約減少で運休となったことは、航空・観光インフラの脆弱性を浮き彫りにした。 コロナ禍以降、搭乗率50%以下の国際線は継続が難しくなり、一時的な需要減でも撤退が容易に決まる構造が存在する。 さらに今回の事例は、移動や旅行の意思決定が価格や便数などの物理 ...

米国再生のカギは、製造業ではなくサービス部門にある

ハーバード・ビジネス・レビュー 12日 06:00

... d now コールセンターやオンラインの顧客サービスなど少数の仕事を除いて、ほとんどのサービス職はAIやロボットで自動化するのが難しい。顧客によって、いつ何を必要とするかは違うし、商品の大きさや特性、脆弱性もまちまちだ。人間のほうが、そうしたばらつきに対して、機械よりもはるかに柔軟に対処できる。だから、タスクによっては自動化できるにしても、人間のパフォーマンスのほうが優れていることが多い。人間は顧 ...

計算履歴やカスタム関数、定数管理機能などを備えた関数電卓「S-Calc_Full」 ほか【ダイジェストニュース】

窓の杜 11日 18:43

... dchart」も追加「Apache HTTP Server 2.4」に深刻度moderateの脆弱性 修正版のv2.4.64が公開「Firebox T15」に非公開機能を悪用される問題 Root権限でシェルを利用される恐れ。最新ファームウェアへのアップデートを推奨Advantech製「iView」に複数の脆弱性 任意コード実行やDoSなどの恐れ。最新版へのアップデートを推奨Amazonで購入「Wi ...

サウジアラビア ? 電気自動車:テスラがゲームチェンジャーとなるか?

サウジアラビア : アラブニュース 11日 18:40

... 、この地域における EV 生産のハブとなる可能性が高まっている。 ヴァハニアン氏は現地生産の課題について次のように述べた:「サプライチェーンの面では、業界が輸入部品や重要な原材料に依存していることから脆弱性が生じている。これらの依存関係は、国際貿易の混乱や物流のボトルネックの影響を受けやすい」 さらに、「規制面では、基準の調和と認証プロセスの簡素化が不可欠だ。国際基準との遅延や不一致は、生産スケジ ...

2025年7月11日のヘッドラインニュース

GIGAZINE 11日 18:20

... 介 (@KulasanM) 2025年7月10日 ドーナツ屋さんのポイントカード。 スタンプではなく「パンチで穴を開ける」という素敵お洒落デザインなのですが、「自力で勝手に穴を開けられる」という最悪の脆弱性に気づいてしまう セキュリティーホールだ…… pic.twitter.com/ZF0Bax0NxA ? 千田 (@sendadesu) 2025年7月10日 猫ドアの仕組みをなかなか理解してくれ ...

NEC、セキュリティリスク対策製品にAI活用の効率的なアラートの絞り込み機能等を追加

マイナビニュース 11日 18:06

... 減することも可能。 脆弱性対処の優先付け 同製品で収集した脆弱性情報を、脆弱性評価のフレームワークとして注目されているSSVC(Stakeholder-Specific Vulnerability Categorization)の手法を用いて多角的に分析する。 そして、顧客のネットワーク環境の特性に合わせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示する。脆弱性情報や装置情 ...

re:Inforceのセキュリティ新発表 AWS Summitのブース担当者が熱心に説明してくれた

ASCII.jp 11日 17:00

... rity Posture Management (CSPM)やリスクの可視化機能も提供している。今回は新たにリスクの相関分析機能が追加され、アラートや脆弱性の関連性を分析し、攻撃のパスがわかるようになった。「エクスポージャーサマリーウィジェット」では、脆弱性の優先順位が表示される。 また、AWSのデータソースやログを定期的にモニタリングし、脅威を検出する「Amazon GuardDuty」では拡張 ...

セキュリティソフト「ESET」シリーズのインストーラーに脆弱性/ファイル削除とローカル特権昇格の恐れ。インストール済みの環境なら影響なし

窓の杜 11日 15:39

... ティ プレミアム ESET インターネット セキュリティSOHO向け製品ESET スモール ビジネス セキュリティESET NOD32アンチウイルス 本脆弱性は、インストールされたESETプログラム自体ではなく、インストーラーに存在する脆弱性として、プログラムが動作している環境である場合は、本脆弱性による影響はない。今後、再インストールする際は修正プログラムのインストーラーの利用を呼びかけている。

マラッカ海峡 中共の最も致命的な弱点

中国 : 大紀元 11日 15:30

... の最大の弱点――いわゆる「マラッカジレンマ」を検証しよう。 フランス・ソルボンヌ大学の研究員ラファエル・ドソン氏は、国際誌『Modern Diplomacy』において、中共経済の急成長の裏に、致命的な脆弱性が潜んでいると指摘した。それはエネルギー供給に関する依存である。現在、中国は1日あたり約1500万バレルの石油を輸入しており、そのうち8割以上がマラッカ海峡を経由している。 マラッカ海峡は、全長 ...

マクドナルドの求人システムに6,400万件個人情報流出につながる脆弱性

マイナビニュース 11日 13:49

... on McDonald's job applications」において、マクドナルドの求人システム「McHire」から弱い認証情報使用の脆弱性を発見したと報じた。 この認証情報を悪用すると、同社に応募した6,400万人以上の個人情報を取得することが可能とされる。この脆弱性は求人システム「McHire」を利用する店舗にのみ影響があるとされ、日本マクドナルドへの影響は定かではない。 Would you ...

「Apache httpd」にSSRFやセッションハイジャックなど複数脆弱性

Security NEXT 11日 13:19

... er」に複数の脆弱性が判明したとして、開発チームはセキュリティアップデートとなる「同2.4.64」をリリースした。 CVEベースで8件の脆弱性が明らかになり、対処したもの。重要度が「クリティカル(Critical)」や「高(High)」とされる脆弱性は含まれておらず、5件は「中(Moderate)」、のこる3件は「低(Low)」としている。 具体的には、HTTPレスポンスを分割できる脆弱性「CVE ...

「Apache Tomcat」にアップデート - 複数脆弱性を修正

Security NEXT 11日 12:19

... ースし、複数の脆弱性を解消した。 アップデートのリリース当初言及していなかったが、現地時間同月10日に3件の脆弱性「CVE-2025-49125」「CVE-2025-53506」「CVE-2025-52520」へ対処していたことを明らかにしたもの。 「CVE-2025-49125」は、「APR/Nativeコネクタ」における接続の終了処理において競合状態が発生し、サービス拒否が生じる脆弱性。「Ja ...

Windows 11 24H2で「JScript9Legacy」がデフォルト有効化

マイナビニュース 11日 12:19

... も大幅に向上しているという。 加えて、JavaScriptオブジェクトの取り扱いの改善や、厳格な実行ポリシーなど、高度なセキュリティ機能を組み込んだことで、クロスサイトスクリプティング(XSS)などの脆弱性への耐性が高まったとのこと。これによってより幅広いセキュリティ脅威に対する防御力が高まり、ユーザーはより安全な環境を利用できるとMicrosoftは説明している。 なお、JScript9Lage ...

NTTドコモのデータメッシュ戦略 - 「資産化」と「民主化」で切り拓くデータ活用の新境地

マイナビニュース 11日 11:05

... Snowflakeは、可用性の高さに加え、運用負荷が「比較のしようがない」(石井氏)ぐらい低減されたという。 その背景にあるのが、「責任分界点」の違いである。従来のIaaS環境では、カスタマイズ部分の脆弱性検証やセキュリティ審査を自社で担う必要があり、運用負荷の大きな要因となっていた。一方、Snowflakeでは、プラットフォームに関するセキュリティ対策はベンダー側が責任を持つ。そのため、顧客側で ...

マクドナルドのAI採用ボット、パスワード「123456」で応募者データ漏洩の危機に

WIRED.jp 11日 11:00

... した。McHire.comは、マクドナルドの多くの加盟店が求人応募の処理に使用しているサイトだ。 これまで独立した立場でセキュリティテストを数多く実施してきたキャロルとカリーだが、今回は単純なウェブの脆弱性を使ってParadox.aiのアカウントにアクセスできることを発見した。笑えるほど弱いパスワードを推測するだけで、McHire.comユーザーとオリビアとのチャットのすべてを保存しているデータベ ...

Akamai の API Securityをアパグループが採用

ASCII.jp 11日 11:00

... をよくあるエラーとして処理せず、どのような理由で404エラーが発生したのかまでを可視化し、攻撃の兆候を掴めるようになった - 可視化の技術で業務効率化:API Securityの可視化により、どこまで脆弱性テストの試験官の目が届いていたのか、危険なポイントはなかったかという点を、モニタリング側の視点から検証することができるようになった アパリゾート株式会社執行役員兼アパグループ株式会社IT事業部長 ...

ロシア・イランで威力を確認した米国、防御システム強化…「米本土も危険」

韓国 : 中央日報 11日 10:51

... 御体系を補強してきた。しかしこの数カ月間、イスラエルとウクライナがそれぞれ敵陣の奥深くにドローンを浸透させて作戦を遂行するのを見ながら、米国は海外米軍基地だけでなく米本土でもドローン防御に対する潜在的脆弱性を確認することになったと、NYTは紹介した。 NYTはドローンについて隠蔽が容易で費用の負担が少ないうえ長距離打撃能力まで確保し、米国が伝統的な防空網のほか新しい形態の対応戦略を急ぐべき必要性が ...

NEC、AI技術活用などによる運用コスト低減機能を追加した「NEC サプライチェーンセキュリティマネジメント for ネットワーク」の新バージョンを販売開始

SecurityInsight 11日 10:30

... 減することも可能。 2.脆弱性対処の優先付け この商品で収集した脆弱性情報を、脆弱性評価のフレームワークとして注目されているSSVC(Stakeholder-Specific Vulnerability Categorization)の手法を用いて多角的に分析。ユーザーのネットワーク環境特性に合わせて脆弱性を優先度別に自動分類し、対処するタイミングを行動指針として表示する。脆弱性情報や装置情報など ...

このリストにあるChrome・Edgeの拡張機能をすぐに削除せよ

Forbes JAPAN 11日 10:00

... けている。最新のゼロデイ脆弱性(CVE-2025-6554)はグーグル自身の脅威分析グループ(TAG。Threat Analysis Group)によって発見され、「全ユーザー」に対する静かな設定変更と緊急アップデートにつながった。 このCVE-2025-6554は、Chromeで採用しているJavaScript・WebAssemblyエンジン「V8」における「型混乱に関する脆弱性」により、「リモ ...

ソフォス、「ランサムウェアの現状レポート」を公開 〜約半数の企業が身代金を支払うことを選択

SecurityInsight 11日 10:00

... の中央値は2024年から2025年の間に3分の1に減少した一方で、身代金支払額の中央値は50%減少しており、企業がランサムウェアの影響を最小限に抑えることに成功しつつあることを示している。 3年連続で脆弱性の悪用が、攻撃の技術的な根本原因の第一位。一方で、ランサムウェア被害を受けた組織の40%が、攻撃者によって自社が認識していないセキュリティギャップを突かれたと回答しており、組織が攻撃対象領域の把 ...

SAP、月例アドバイザリ31件を公開 - 「クリティカル」6件

Security NEXT 11日 09:28

... ェクションの脆弱性「CVE-2025-42967」をはじめ、5件を「クリティカル(Critical)」とレーティングしている。 「SAP NetWeaver」関連製品における「CVE-2025-42980」「CVE-2025-42964」「CVE-2025-42966」「CVE-2025-42963」など、信頼できないデータをデシリアライズする脆弱性4件について注意するよう求めた。 共通脆弱性評価 ...

ランサムウェア被害を受けた徳島・半田病院事業管理者が語る、備えておくべきこととは

マイナビニュース 11日 09:00

... ておくべきだった」と悔やむ。攻撃を受ける数か月前には、厚生労働省から各都道府県の衛生主管部に向けてランサムウェア攻撃についての注意喚起が出されていたのだが、これを把握していなかった。また、VPN機器の脆弱性に関して数多くの報道があったにもかかわらず、ベンダーからは何も伝えられていなかった。 「厚労省の注意喚起を把握して記載されていることを全てやり、ベンダーから情報を得ていれば、被害を受けなかったか ...

米当局、「Citrix Bleed 2」の悪用に注意喚起

Security NEXT 11日 08:57

... rix Gateway)」の脆弱性「Citrix Bleed 2」が悪用されているとして、米当局が注意喚起を行った。 現地時間2025年7月10日に米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が「悪用が確認された脆弱性カタログ(KEV)」を更新したもので、別名「Citrix Bleed 2」とも呼ばれる「CVE-2025-5777」を追加した。 同脆弱性の悪用が確認されてい ...

エーアイセキュリティラボ、ネットワークバリューコンポネンツと販売店契約締結、「AeyeScan」を展開

ScanNetSecurity 11日 08:00

... 締結したと発表した。 NVCは、ネットワーク製品及びセキュリティ製品の提供から開発、コンサルテーション、構築・保守、マネージドサービス・クラウドサービスの提供を行っている。 エーアイセキュリティラボは今後、NVCとクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」の展開を行うことで、より多くの顧客のWebアプリケーションセキュリティ体制の強化と、脆弱性診断の内製化支援を推進する。

マイクロソフト 7 月のセキュリティ情報公開、セキュリティ更新プログラムの適用を呼びかけ

ScanNetSecurity 11日 08:00

... Azure これらの脆弱性を悪用された場合、アプリケーションプログラムの異常終了や攻撃者によるパソコンの制御など、様々な被害が発生する可能性がある。 IPAおよびJPCERT/CCでは、Microsoft Update、Windows Updateなどでセキュリティ更新プログラムを適用するよう呼びかけている。 また、「Microsoft SQL Server の情報漏えいの脆弱性(CVE-202 ...