「脆弱性対策」関連の事例・比較・解説などの記事一覧

関連キーワード

PromptArmorが「間接プロンプトインジェクション攻撃」の手法を解説
1ポイントフォントの悪意　GoogleのAI開発環境Antigravityにデータ流出の恐れ
PromptArmorは、サイバー攻撃者がGoogleの「Google Antigravity」を悪用し、ユーザーの認証情報や機密コードを盗み出す危険性があると警告している。（2025/12/4）

脆弱性情報の社内通知
【メール文面お届け】Microsoftの欠陥「CVE-2025-62215」　これで対策依頼
セキュリティアラートが発されたとき、社内で情報を共有するにはどうすればいいのか。Microsoft製品の具体的な脆弱性を取り上げ、社内通知用のメール文面を作成した。（2025/12/4）

公開データでリスクを可視化
自社の弱点を4つのステップで洗い出す　ESET流「OSINTのススメ」
ESETは公式ブログ「WeLiveSecurity」で、OSINTを使って自社の弱点を見つけ出すための実務的な進め方を公開した。どう情報を集め、どのツールで分析し、どのように評価すべきかを、4つのステップで示している。（2025/12/3）

医療データセキュリティとリスク管理【第3回】
「健全な医療システム」構築のために求められる“医療データのリスク管理”とは
電子医療記録やネットワーク接続をする医療機器の普及に伴い、医療現場のサイバーリスクが急増しています。医療機関が今後重視すべき、サプライチェーン全体でのセキュリティ強化のポイントを解説します。（2025/9/24）

重要になる“フィッシング耐性のある認証”
「Okta」を使うな――攻撃者による“偽招待”の危険
Slackを装う招待で「Okta FastPass」の利用を禁じる手口が確認された。フィッシング耐性のある認証をポリシーで強制することの重要性が浮き彫りになった。（2025/9/3）

世界中で相次ぐサイバー攻撃の今
「3日でパッチ」ではもう手遅れ　常態化する“48時間以内”の攻撃
サイバー攻撃にまつわる話題には事欠かない。企業を狙うサイバー攻撃被害が相次いでいる。復旧に平均68日かかる深刻な被害も報告される中、重要なのは「予防」と「初動対応」だ。（2025/8/27）

医療データセキュリティとリスク管理【第2回】
医療機関が「セキュリティ評価88点」に安心できない訳　必要なサイバー対策は？
医療業界は比較的高いセキュリティ評価を得ている一方で、依然としてサプライチェーンを狙う攻撃やランサムウェアなどの深刻なリスクにさらされています。その実態と、必要な対策を解説します。（2025/8/21）

可視化されないIDが新たな侵入口に
「非人間ID」保護が急務に　46％が侵害を経験、データ漏えいも相次ぐ
「ノンヒューマンアイデンティティー」（NHI）を巡るセキュリティリスクが顕在化している。人間以外のIDが攻撃対象領域となる中、企業はその可視化と管理体制の強化を迫られている。（2025/7/18）

境界防御型のセキュリティに改めて警鐘
ゼロトラスト「失敗35％」――それでも“現状維持”こそ危ない理由
重要インフラや機密データを標的とした大規模な侵害が相次ぐ中、ゼロトラストの必要性が高まっている。境界型防御では防ぎ切れない攻撃に対して、なぜゼロトラストが有効なのか。導入のポイントと併せて解説する。（2025/7/16）

WAF vs. RASP【後編】
Webを守るなら「WAF」と「RASP」どちらを選ぶ？　仕組みからコストまで徹底比較
WAFとRASPはそれぞれ異なる仕組みでWebアプリケーションへの脅威を防ぐ。両者はどのように使い分ければいいのか。コストや運用も踏まえて比較する。（2025/6/4）

Windows「カーネル」の基礎【前編】
「Windowsが動く仕組み」をカーネルから読み解く　OS“心臓部”の正体とは
カーネルはWindowsの中核部分であり、問題が発生するとシステム全体に致命的な影響を及ぼしかねない。カーネルがどのように機能するのか、その仕組みと重要性を理解しよう。（2025/6/2）

2025年5月は脆弱性祭り
“PC乗っ取り”の恐れも　Microsoft製品の危険な「ゼロデイ脆弱性」とは
広く普及しているMicrosoft製品に、幾つかの重大な脆弱性が見つかった。攻撃者が悪用すると、システムを完全に制御して機密情報を漏えいさせる可能性がある。影響を受ける製品やサービスは何か。（2025/6/2）

WAF vs. RASP【前編】
Webを守る「WAF」と「RASP」の仕組みとは？　両者の違いは？
Webアプリケーションの利用が広がる中で、セキュリティ対策も重要となっている。Webを守るツールである「WAF」と「RASP」はどのような仕組みで動くのか。（2025/5/28）

脆弱性対策が後退するリスク
脆弱性識別子「CVE」に突如として訪れた“存亡の機”　これからどうなる？
2025年4月16日、米国のIT研究団体MITREが提供している脆弱（ぜいじゃく）性識別子「CVE」の存続が危ぶまれているという衝撃的なニュースが世界中を駆け巡った。一体どういうことなのか。（2025/5/19）

KELAが情報窃取型マルウェアの流行を報告
「情報窃取型マルウェア」と「ランサムウェア被害」の関連が浮上　その実態は？
KELAが公開したレポートで、情報窃取型マルウェアとランサムウェアの攻撃が連動して起きている可能性や、ブラックマーケットでの認証情報の売買が高度化している実態が明らかになった。（2025/4/30）

Google、ゼロデイ脆弱性の動向を調査
モバイルOSやブラウザより「法人向け製品」が危険？　ゼロデイ攻撃の標的が変化
Googleが公表した最新の脅威レポートによれば、ゼロデイ脆弱性に対する攻撃ではエンドユーザー向けから法人向けの製品・技術へと標的がシフトする傾向が見られる。背景に何があるのか。（2025/4/30）

Mandiantの年次脅威レポートから読み解く
日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態
セキュリティベンダーMandiantがまとめた調査レポートによると、脆弱性が侵入経路として広く悪用される傾向に変わりはないが、侵入経路の2番目には前年までとは異なる新たな項目が浮上した。（2025/4/24）

狙い目や攻撃のスピード感が判明
ランサムウェア集団Black Bastaの会話が流出　明らかになった攻撃者の“本音”
流出したチャットログの分析によって、ランサムウェア集団Black Bastaの攻撃手法の全容が明らかになった。大手ベンダー製品／サービスの脆弱性を狙い、計画的に攻撃を進めようとする実態とは。防御側はこの情報をどう活用すべきか。（2025/4/14）

「iPhone」「iPad」に重大な脆弱性
Appleが悪用された「Webkit」の脆弱性を修正　狙われたのは誰？
2025年3月11日、AppleはWebKitの脆弱性「CVE-2025-24201」を修正するアップデートを公開した。この脆弱性は既に標的型攻撃で悪用されているが、どのユーザーが影響を受けるのか。（2025/4/4）

Mandiantが調査を公表
Juniper製ルーターに「攻殻機動隊さながら」の高度マルウェア攻撃　その手口は
Mandiantは、Juniper製ルーターを標的にした高度なマルウェア攻撃に関するレポートを公表した。ネットワークセキュリティに重大なリスクをもたらすものと見られ、迅速な対策が求められる。（2025/3/13）

あの犯罪集団による攻撃に警戒すべし
バックアップが危ない　「Veeam製品」を狙うランサムウェアに要注意
Veeam Softwareのバックアップソフトウェアに、深刻な脆弱性が見つかった。この脆弱性は、ランサムウェア（身代金要求型マルウェア）をはじめとした攻撃に悪用される恐れがある。（2024/10/9）

世界中で“パッチ未適用”状態
「GitLabの脆弱性」の悪用が判明　“第三者によるパスワード変更”が可能に
OSSの開発支援ツール「GitLab」に見つかった脆弱性が攻撃活動に悪用されていると、米国の政府機関は警鐘を鳴らした。脆弱性の特性と、その影響範囲は。（2024/8/29）

防御をかわす手口に要警戒
マルウェアから始まる「マルウェア駆動型スキャン攻撃」の“ずる賢い手口”とは
セキュリティ専門家は「マルウェア駆動型スキャン攻撃」が活発化しているとみて注意を呼び掛けている。マルウェア駆動型スキャンとは、どのような攻撃なのか。求められる対策とは。（2024/5/20）

GoFetch攻撃の手口と対策【後編】
秘密鍵が盗まれる「Appleシリコンの脆弱性」は修正困難……苦肉の策とは？
Macから秘密鍵を盗み取る攻撃「GoFetch」は、SoC「M」シリーズの脆弱性を突くものだ。この脆弱性はマイクロアーキテクチャの欠陥に起因するため、簡単に修正する方法はないという。どのような対策があるのか。（2024/5/17）

求められる“緊急の脆弱性対策”
Fortinetユーザーが“無防備”に　「SQLインジェクション」の影響範囲は？
Fortinet製品に重大な脆弱性が見つかった。どのような脆弱性で、どの製品が影響を受けているのか。ユーザー企業に求められる対策は。（2024/5/14）

GoFetch攻撃の手口と対策【前編】
Macから秘密鍵が盗まれる「Appleシリコン」の脆弱性とは
Mac用のSoC「M」シリーズの脆弱性を悪用して秘密鍵を取得する「GoFetch」という攻撃の手法を、米国の学術研究グループが発見した。どのような脆弱性なのか。（2024/5/10）

“できるセキュリティ人材”向けの資格4選【後編】
セキュリティエンジニアの実力を証明する「お薦め認定資格」はこれだ
巧妙な手口の攻撃に迅速かつ的確に対策を講じるには、高度なセキュリティ知識が欠かせない。セキュリティ担当者がスキルアップとキャリアアップをするための認定資格を紹介しよう。（2024/4/22）

抽選でAmazonギフトカードが当たる
「PCのパッチ更新運用および利用ソフトウェアの脆弱性対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2024/3/11）

これで分かる「DevSecOps」の課題と解決【第4回】
知らないと損する「RASP」とは？　「Webアプリの脆弱性対策＝WAF」はもう古い
Webアプリケーションの脆弱性対策として、広く利用されている「WAF」。実はWAFは、幾つかの問題を抱えている。それらの課題を解消した新たな手段である「RASP」の特徴とは。（2024/2/19）

米国特許商標庁から学ぶデジタル変革【後編】
数カ月を要した脆弱性対策をたった1日で――「遅い」を払拭した政府機関の改革
政府機関は腰が重い――。そのイメージを、米国特許商標庁（USPTO）はデジタル変革を通じて払拭した。具体的に何を変えたのか。組織面から成功のポイントを考える。（2024/1/19）

ハイブリッドワークで複雑になるIT資産管理
サプライチェーンの脆弱性を狙う攻撃に有効なIT資産管理ツールとは
IT資産やソフトウェア脆弱性の管理はセキュリティ対策をする上で基本となる業務だが、多忙を極める情報システム部門にとって頭痛の種だ。ハイブリッドワークが浸透する中、管理業務は複雑さを増している。どうすれば対処できるだろうか。（2023/12/8）

表計算ソフトでの脆弱性管理はもう限界
脆弱性対策に“自動化”が必要な理由　複雑化するシステムを保護するポイントは
アジャイル開発を導入する企業では、システムが複雑化する傾向があるため、脆弱性対策が難しくなりやすい。こうした環境において、手作業による管理で脆弱性情報を更新し続けるのは困難を極める。解決には、脆弱性対策の自動化が必要だ（2023/10/16）

診断に要するコストや事前調整の手間も削減
年1回の脆弱性診断では不十分、アジャイル開発に適した脆弱性対策とは？
AIをベースにWebサービスを展開し、迅速に機能改善を加えるみらい翻訳では、その開発プロセスと、年に1回の脆弱性診断との間にある、ライフサイクルの不一致が課題となっていた。“外部診断頼り”を脱却すべく、同社が採用した方法とは。（2023/10/18）

「セキュリティ×AI」の可能性【第4回】
AIブームは“誇張”なのか？　「セキュリティ×AI」の真の実力を引き出すには
世界中でAI技術に対する期待が盛り上がっている。こうした動向は宣伝のための誇張なのか。AI技術は本当に効果を発揮するのか。（2023/9/28）

「セキュリティ×AI」の可能性【第3回】
AIツールで企業の煩雑な「ITSM」「ITOM」はどう変わる？
企業は人工知能（AI）技術を活用することで、脆弱性管理を強化できる可能性がある。AI技術がITサービス管理（ITSM）とIT運用管理（ITOM）にもたらすメリットを紹介する。（2023/9/26）

抽選でAmazonギフトカードが当たる
「PCのパッチ更新運用および利用ソフトウェアの脆弱性対策」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフトカード（3000円分）をプレゼント。（2023/8/21）

GIGABYTE製品への懸念に見る「環境寄生型」（LotL）攻撃の脅威【後編】
GIGABYTE製マザボの“バックドア的な動作”を軽視できない訳　「LotL」とは？
攻撃者がバックドアとして悪用し得る動作が、GIGABYTE製品に見つかった。専門家はこうした動作を軽視できない理由として「LotL」攻撃が広がっていることを挙げる。LotL攻撃とは何なのか。その実態を探る。（2023/8/20）

これで分かる「DevSecOps」の課題と解決【第3回】
Webアプリの“危険なOSSライブラリ”を見抜く「SCA」とは？
安全なWebアプリケーション開発を推進する「DevSecOps」の実践には、「SCA」（ソフトウェア構成分析）が欠かせない。その理由とは。そもそもSCAとは何なのか。（2023/9/27）

GIGABYTE製品への懸念に見る「環境寄生型」（LotL）攻撃の脅威【前編】
GIGABYTE製マザーボードに見つかった“バックドア的な動作”とは何だったのか
セキュリティベンダーEclypsiumが、GIGABYTE製マザーボードのファームウェア更新ツールに見つけたという「攻撃者がバックドアとして悪用し得る動作」とは何だったのか。Eclypsiumが指摘した内容を整理しよう。（2023/8/13）

「スパイウェア」「脆弱性悪用」がもたらす脅威【後編】
「脆弱性」の悪用が深刻化　“あのブラウザ”や“あのGPU”も標的に
IT製品に潜む「脆弱性」を狙った攻撃が広がっている。攻撃者が主に狙うのは“人気製品”の脆弱性だ。どのようなIT製品の脆弱性を悪用しているのか。脆弱性を悪用した攻撃の実態とは。詳細を見てみよう。（2023/7/15）

ロシアで広がるライセンス違反【後編】
ベンダー撤退のロシアで広がる「並行輸入」「ライセンス無視」の無法なIT利用
ウクライナ侵攻を機にロシア国内からIT企業を含むさまざまな企業が撤退した。同国政府は経済活動に関わる商品を入手できない事態を避けるため、並行輸入を認めた。企業は安心してIT製品を使えるのだろうか。（2023/6/15）

ロシアで広がるライセンス違反【前編】
ロシア企業にとって「ITベンダー撤退」が“完全な悲報”ではない裏事情
ウクライナ侵攻により、ロシアからIT企業が次々と撤退した。撤退に伴い、同国内の企業はライセンス期間の終了をもってIT製品やサービスを使用できなくなる。その対策に乗り出したロシア政府の答えは。（2023/6/7）

各国が乗り出す「TikTok」規制【第4回】
“あの職種”は「TikTok」を使うと特に危ない？　その理由とは
各国で「TikTok」の使用を禁止する動きが目立っている。TikTokの何に問題があるのか。特に気を付けるべき人は誰なのか。（2023/5/19）

株式会社ビットフォレスト提供Webキャスト：
4分で分かる、Webアプリケーションの脆弱性診断を簡単に始める方法とは？
Webアプリケーションの脆弱性対策の重要性は理解していても、人員や予算が不足していることが原因で、実施を諦めてしまうか、先延ばしにしてしまうケースは多い。この問題を解消する、クラウド型のWeb脆弱性診断ツールとは？（2023/5/18）

各国が乗り出す「TikTok」規制【第3回】
TikTokの“使用禁止”は単なる被害妄想なのか？　英国で上がる批判の声
米国政府や欧州委員会に続き、英国政府も公用端末での「TikTok」利用を禁止した。この措置に対し、複数方面から批判の声が上がっている。それはなぜなのか。（2023/5/12）

各国が乗り出す「TikTok」規制【第2回】
英国政府が「TikTok」を禁止した“当然の理由”とは
英国政府は、職員が業務で使用する公務用端末での「TikTok」使用を禁止した。背景には、SNSアプリケーションに関するある懸念が存在したという。どのような問題があったのか。（2023/4/28）

各国が乗り出す「TikTok」規制【第1回】
「TikTok」なぜ使用禁止に？　米国、EUに続き英国も
英国政府は米国やEUに続き、公務用端末での「TikTok」の使用を禁止した。どのような背景から禁止に踏み切ったのか。（2023/4/21）

レガシーシステムが抱える課題【後編】
すぐには廃止できない「レガシーシステム」を少しでも安全にする方法は？
老朽化したシステムやそこに存在する脆弱性を取り除くことは一筋縄ではいかない。組織がレガシーシステムを利用するに当たって押さえるべきポイントを解説する。（2023/3/10）

レガシーシステムが抱える課題【前編】
英行政機関が“古過ぎ”な「レガシーシステム」を維持する危険な代償
英国の環境・食糧・農村地域省（Defra）は、ITサービスを提供することで各種の手続きをオンラインで実施できるようにしている。そのために同省が利用するレガシーシステムの老朽化が問題になっている。（2023/2/24）

FortinetのVPNに「緊急」の脆弱性【後編】
最新の脆弱性だけじゃない　FortinetのVPN製品に潜む「古い脅威」とは
ユーザー企業が対処しなければならないのは、IT製品の「最新の脆弱性」だけではない。FortinetのVPN製品を利用する際に注意が必要な「古い脅威」とは何か。（2023/1/19）