あの犯罪集団による攻撃に警戒すべし
バックアップが危ない 「Veeam製品」を狙うランサムウェアに要注意
Veeam Softwareのバックアップソフトウェアに、深刻な脆弱性が見つかった。この脆弱性は、ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃に悪用される恐れがある。(2024/10/9)
世界中で“パッチ未適用”状態
「GitLabの脆弱性」の悪用が判明 “第三者によるパスワード変更”が可能に
OSSの開発支援ツール「GitLab」に見つかった脆弱性が攻撃活動に悪用されていると、米国の政府機関は警鐘を鳴らした。脆弱性の特性と、その影響範囲は。(2024/8/29)
防御をかわす手口に要警戒
マルウェアから始まる「マルウェア駆動型スキャン攻撃」の“ずる賢い手口”とは
セキュリティ専門家は「マルウェア駆動型スキャン攻撃」が活発化しているとみて注意を呼び掛けている。マルウェア駆動型スキャンとは、どのような攻撃なのか。求められる対策とは。(2024/5/20)
GoFetch攻撃の手口と対策【後編】
秘密鍵が盗まれる「Appleシリコンの脆弱性」は修正困難……苦肉の策とは?
Macから秘密鍵を盗み取る攻撃「GoFetch」は、SoC「M」シリーズの脆弱性を突くものだ。この脆弱性はマイクロアーキテクチャの欠陥に起因するため、簡単に修正する方法はないという。どのような対策があるのか。(2024/5/17)
求められる“緊急の脆弱性対策”
Fortinetユーザーが“無防備”に 「SQLインジェクション」の影響範囲は?
Fortinet製品に重大な脆弱性が見つかった。どのような脆弱性で、どの製品が影響を受けているのか。ユーザー企業に求められる対策は。(2024/5/14)
GoFetch攻撃の手口と対策【前編】
Macから秘密鍵が盗まれる「Appleシリコン」の脆弱性とは
Mac用のSoC「M」シリーズの脆弱性を悪用して秘密鍵を取得する「GoFetch」という攻撃の手法を、米国の学術研究グループが発見した。どのような脆弱性なのか。(2024/5/10)
“できるセキュリティ人材”向けの資格4選【後編】
セキュリティエンジニアの実力を証明する「お薦め認定資格」はこれだ
巧妙な手口の攻撃に迅速かつ的確に対策を講じるには、高度なセキュリティ知識が欠かせない。セキュリティ担当者がスキルアップとキャリアアップをするための認定資格を紹介しよう。(2024/4/22)
抽選でAmazonギフトカードが当たる
「PCのパッチ更新運用および利用ソフトウェアの脆弱性対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2024/3/11)
これで分かる「DevSecOps」の課題と解決【第4回】
知らないと損する「RASP」とは? 「Webアプリの脆弱性対策=WAF」はもう古い
Webアプリケーションの脆弱性対策として、広く利用されている「WAF」。実はWAFは、幾つかの問題を抱えている。それらの課題を解消した新たな手段である「RASP」の特徴とは。(2024/2/19)
米国特許商標庁から学ぶデジタル変革【後編】
数カ月を要した脆弱性対策をたった1日で――「遅い」を払拭した政府機関の改革
政府機関は腰が重い――。そのイメージを、米国特許商標庁(USPTO)はデジタル変革を通じて払拭した。具体的に何を変えたのか。組織面から成功のポイントを考える。(2024/1/19)
ハイブリッドワークで複雑になるIT資産管理
サプライチェーンの脆弱性を狙う攻撃に有効なIT資産管理ツールとは
IT資産やソフトウェア脆弱性の管理はセキュリティ対策をする上で基本となる業務だが、多忙を極める情報システム部門にとって頭痛の種だ。ハイブリッドワークが浸透する中、管理業務は複雑さを増している。どうすれば対処できるだろうか。(2023/12/8)
表計算ソフトでの脆弱性管理はもう限界
脆弱性対策に“自動化”が必要な理由 複雑化するシステムを保護するポイントは
アジャイル開発を導入する企業では、システムが複雑化する傾向があるため、脆弱性対策が難しくなりやすい。こうした環境において、手作業による管理で脆弱性情報を更新し続けるのは困難を極める。解決には、脆弱性対策の自動化が必要だ(2023/10/16)
診断に要するコストや事前調整の手間も削減
年1回の脆弱性診断では不十分、アジャイル開発に適した脆弱性対策とは?
AIをベースにWebサービスを展開し、迅速に機能改善を加えるみらい翻訳では、その開発プロセスと、年に1回の脆弱性診断との間にある、ライフサイクルの不一致が課題となっていた。“外部診断頼り”を脱却すべく、同社が採用した方法とは。(2023/10/18)
「セキュリティ×AI」の可能性【第4回】
AIブームは“誇張”なのか? 「セキュリティ×AI」の真の実力を引き出すには
世界中でAI技術に対する期待が盛り上がっている。こうした動向は宣伝のための誇張なのか。AI技術は本当に効果を発揮するのか。(2023/9/28)
「セキュリティ×AI」の可能性【第3回】
AIツールで企業の煩雑な「ITSM」「ITOM」はどう変わる?
企業は人工知能(AI)技術を活用することで、脆弱性管理を強化できる可能性がある。AI技術がITサービス管理(ITSM)とIT運用管理(ITOM)にもたらすメリットを紹介する。(2023/9/26)
抽選でAmazonギフトカードが当たる
「PCのパッチ更新運用および利用ソフトウェアの脆弱性対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード(3000円分)をプレゼント。(2023/8/21)
GIGABYTE製品への懸念に見る「環境寄生型」(LotL)攻撃の脅威【後編】
GIGABYTE製マザボの“バックドア的な動作”を軽視できない訳 「LotL」とは?
攻撃者がバックドアとして悪用し得る動作が、GIGABYTE製品に見つかった。専門家はこうした動作を軽視できない理由として「LotL」攻撃が広がっていることを挙げる。LotL攻撃とは何なのか。その実態を探る。(2023/8/20)
これで分かる「DevSecOps」の課題と解決【第3回】
Webアプリの“危険なOSSライブラリ”を見抜く「SCA」とは?
安全なWebアプリケーション開発を推進する「DevSecOps」の実践には、「SCA」(ソフトウェア構成分析)が欠かせない。その理由とは。そもそもSCAとは何なのか。(2023/9/27)
GIGABYTE製品への懸念に見る「環境寄生型」(LotL)攻撃の脅威【前編】
GIGABYTE製マザーボードに見つかった“バックドア的な動作”とは何だったのか
セキュリティベンダーEclypsiumが、GIGABYTE製マザーボードのファームウェア更新ツールに見つけたという「攻撃者がバックドアとして悪用し得る動作」とは何だったのか。Eclypsiumが指摘した内容を整理しよう。(2023/8/13)
「スパイウェア」「脆弱性悪用」がもたらす脅威【後編】
「脆弱性」の悪用が深刻化 “あのブラウザ”や“あのGPU”も標的に
IT製品に潜む「脆弱性」を狙った攻撃が広がっている。攻撃者が主に狙うのは“人気製品”の脆弱性だ。どのようなIT製品の脆弱性を悪用しているのか。脆弱性を悪用した攻撃の実態とは。詳細を見てみよう。(2023/7/15)
ロシアで広がるライセンス違反【後編】
ベンダー撤退のロシアで広がる「並行輸入」「ライセンス無視」の無法なIT利用
ウクライナ侵攻を機にロシア国内からIT企業を含むさまざまな企業が撤退した。同国政府は経済活動に関わる商品を入手できない事態を避けるため、並行輸入を認めた。企業は安心してIT製品を使えるのだろうか。(2023/6/15)
ロシアで広がるライセンス違反【前編】
ロシア企業にとって「ITベンダー撤退」が“完全な悲報”ではない裏事情
ウクライナ侵攻により、ロシアからIT企業が次々と撤退した。撤退に伴い、同国内の企業はライセンス期間の終了をもってIT製品やサービスを使用できなくなる。その対策に乗り出したロシア政府の答えは。(2023/6/7)
各国が乗り出す「TikTok」規制【第4回】
“あの職種”は「TikTok」を使うと特に危ない? その理由とは
各国で「TikTok」の使用を禁止する動きが目立っている。TikTokの何に問題があるのか。特に気を付けるべき人は誰なのか。(2023/5/19)
株式会社ビットフォレスト提供Webキャスト:
4分で分かる、Webアプリケーションの脆弱性診断を簡単に始める方法とは?
Webアプリケーションの脆弱性対策の重要性は理解していても、人員や予算が不足していることが原因で、実施を諦めてしまうか、先延ばしにしてしまうケースは多い。この問題を解消する、クラウド型のWeb脆弱性診断ツールとは?(2023/5/18)
各国が乗り出す「TikTok」規制【第3回】
TikTokの“使用禁止”は単なる被害妄想なのか? 英国で上がる批判の声
米国政府や欧州委員会に続き、英国政府も公用端末での「TikTok」利用を禁止した。この措置に対し、複数方面から批判の声が上がっている。それはなぜなのか。(2023/5/12)
各国が乗り出す「TikTok」規制【第2回】
英国政府が「TikTok」を禁止した“当然の理由”とは
英国政府は、職員が業務で使用する公務用端末での「TikTok」使用を禁止した。背景には、SNSアプリケーションに関するある懸念が存在したという。どのような問題があったのか。(2023/4/28)
各国が乗り出す「TikTok」規制【第1回】
「TikTok」なぜ使用禁止に? 米国、EUに続き英国も
英国政府は米国やEUに続き、公務用端末での「TikTok」の使用を禁止した。どのような背景から禁止に踏み切ったのか。(2023/4/21)
レガシーシステムが抱える課題【後編】
すぐには廃止できない「レガシーシステム」を少しでも安全にする方法は?
老朽化したシステムやそこに存在する脆弱性を取り除くことは一筋縄ではいかない。組織がレガシーシステムを利用するに当たって押さえるべきポイントを解説する。(2023/3/10)
レガシーシステムが抱える課題【前編】
英行政機関が“古過ぎ”な「レガシーシステム」を維持する危険な代償
英国の環境・食糧・農村地域省(Defra)は、ITサービスを提供することで各種の手続きをオンラインで実施できるようにしている。そのために同省が利用するレガシーシステムの老朽化が問題になっている。(2023/2/24)
FortinetのVPNに「緊急」の脆弱性【後編】
最新の脆弱性だけじゃない FortinetのVPN製品に潜む「古い脅威」とは
ユーザー企業が対処しなければならないのは、IT製品の「最新の脆弱性」だけではない。FortinetのVPN製品を利用する際に注意が必要な「古い脅威」とは何か。(2023/1/19)
Computer Weekly日本語版+セレクション
「10年前の脆弱性」でも無視してはいけない“当然の理由”
米CISAは、悪用された実績のある脆弱性をカタログとしてまとめ、更新を続けている。その更新内容が示すのは、発見から10年以上経過している脆弱性が、いまだに悪用されていることだ。背景には何があるのか。(2023/1/17)
FortinetのVPNに「緊急」の脆弱性【前編】
FortinetのVPN製品に「バッファオーバーフロー」の脆弱性 どう対処すべきか
FortinetのVPN製品に深刻な脆弱性が見つかった。ユーザー企業は迅速に対処する必要があるという。具体的にはどうすればいいのか。(2023/1/13)
またか「Appleが脆弱性修正」【後編】
iOS 16公開を急いだか? 専門家が見る「Apple脆弱性“多発”のなぜ」
「iOS 16」の重大な脆弱性「CVE-2022-42827」のパッチを公開したApple。CVE-2022-42827の他にも、Apple製品のさまざまな脆弱性が明らかになっている。背景には何があるのか。(2022/12/28)
CISA「中国サイバー犯罪に要注意」【後編】
脆弱性を悪用した攻撃への対処が「簡単なようで難しい」なるほどの理由
中国政府支援の攻撃活動が活発な中、企業はセキュリティ対策を講じることが急務だ。どのような対策が有効なのか。実現のヒントも含め、説明する。(2022/12/22)
またか「Appleが脆弱性修正」【前編】
iOS 16に見つかった“危ない脆弱性” 影響を受けるAppleデバイスはこれだ
Appleは「iOS 16」の重大な脆弱性「CVE-2022-42827」のパッチを公開した。悪用の実績があるという、CVE-2022-42827の影響を受けるAppleデバイスとは何か。(2022/12/21)
NEWS
竹中工務店が築23年の自社ビルを「スマートビル」として再生
竹中工務店グループが築23年の「竹中セントラルビル サウス」を改修、スマートビルとして開業した。このスマートビルを実現した「Smart Secure Service」と、「ビルコミ」のデータ処理基盤とは。(2022/12/12)
企業が取るべき脆弱性対策【後編】
新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由
米国政府機関は注意すべき脆弱性をカタログにまとめて公表している。これに新しく追加された脆弱性について、専門家は「企業におけるセキュリティの危機的状況が垣間見える」と指摘する。(2022/12/1)
歴史で分かる「ランサムウェアの進化」と対策【第1回】
いまさら聞けない「ランサムウェア」の歴史 “あれ”が全ての始まりだった
ランサムウェア攻撃は、国内の組織にとって対岸の火事ではない。そもそもランサムウェアはいつ出現し、どのように変わってきたのか。歴史を振り返ってランサムウェアの「進化」を見る。(2022/12/6)
企業が取るべき脆弱性対策【前編】
米CISAが「脆弱性カタログ」更新 政府機関“お墨付き”の危ない欠陥は
米国政府機関は、実際に悪用されている脆弱性をカタログにまとめている。一般企業もこのカタログを確認し、適切な対策を取ることが推奨されている。(2022/11/25)
OSSとの「上手な付き合い方」【第3回】
「入れた覚えのないOSS」問題が招く“あのリスク”の怖さと「棚卸し」の大切さ
利用しているOSSの実態を適切に把握することは、なぜ重要なのか。“知らないうちに使っていたOSS”によるトラブルを招かないための、適切な「棚卸し」の方法を探る。(2022/12/16)
ゼロデイ脆弱性がApple製品に迫る【後編】
AppleがiOSやmacOSの“脆弱性を公開”するとは事態はよほど深刻?
「iPhone」「Mac」といった同社製デバイスに影響を及ぼす脆弱性についてAppleが報告した。同社が脆弱性を公開する事態は、問題の深刻度を示すものだと専門家は指摘する。(2022/10/17)
ゼロデイ脆弱性がApple製品に迫る【前編】
Appleが“危険なiOSとmacOS”の更新を促す事態に
Appleは、「Mac」「iPhone」やWebブラウザ「Safari」に影響を及ぼす脆弱性のパッチを公開した。この脆弱性により引き起こされる事態と、対策方法について紹介する。(2022/10/10)
メタバースを安全に活用する方法【第2回】
メタバースの「国境がない」ことがセキュリティの“大問題”になるのはなぜ?
現実空間で安全に生きるための“常識”があるように、仮想空間のメタバースでもセキュリティを向上させるためのこつがある。メタバースで痛い目に遭わないためには、何に気を付ければよいのか。(2022/8/22)
OSSとの「上手な付き合い方」【第2回】
OSSの“謎”現象「入れた覚えがないのに大量利用」はこうして起こる
企業はOSSを知らないうちに自社のシステムに組み込んでいる現実がある。使用しているOSSを検出し、OSSに含まれる脆弱性によるリスクを減らすには、どうすればよいのか。(2022/8/8)
「身代金」以外にも注目を【前編】
ランサムウェア被害で“身代金”より「高くつくコスト」とは?
ランサムウェア攻撃は、暗号化されたデータを復号するための身代金に注目が集まりがちだ。だが調査によると、身代金はランサムウェア攻撃による被害の一部にすぎない。(2022/7/20)
攻撃者集団AvosLockerの手口から考える脆弱性対策【後編】
Avastセキュリティソフトの無効化攻撃を招いた「脆弱性」の正体とは?
トレンドマイクロの研究者は、攻撃者集団「AvosLocker」がAvast Softwareのセキュリティソフトウェアを無効化する際、ある脆弱性を悪用したとみる。その脆弱性とは。(2022/6/27)
これで分かる「DevSecOps」の課題と解決【第2回】
脆弱性検出ツール「IAST」が「DevSecOps」に欠かせないのはなぜか?
アプリケーション開発時のセキュリティツールとして、脆弱性を検出する「IAST」がある。セキュリティを取り入れたアプリケーション開発手法「DevSecOps」の具現化に役立つという、IASTの特徴とは。(2023/1/18)
攻撃者集団AvosLockerの手口から考える脆弱性対策【前編】
Avastのセキュリティソフトを無効化 研究者が明かした“驚きの手口”
攻撃者集団「AvosLocker」は、既存の脆弱性を悪用してマルウェア対策ソフトウェアを無効化する手口で攻撃を仕掛けている。具体的な攻撃方法を、トレンドマイクロの研究者の解説に沿って説明する。(2022/6/2)
OSSとの「上手な付き合い方」【第1回】
知らないと危険な「OSSのリスク」 “脆弱性祭り”への対処法とは?
OSSはアプリケーションを開発する際に「利用しないわけにはいかない」ほど重要な存在になった。一方でOSSの脆弱性を悪用した攻撃が跡を絶たない。OSSを安全に利用するには、どうすればいいのか。(2022/6/20)
ペネトレーションテストは手動か自動か【第4回】
「ペネトレーションテストは手動か、自動か」の比較は無意味である可能性
ペネトレーションテストには、手動と自動のどちらを選択すべきなのか――。その問いに答えるのは簡単ではない。そもそも両者は比較すべきものではないとの声もある。企業はどうすればよいのか。(2022/5/27)