「脆弱性」関連の最新 ニュース・レビュー・解説 記事 まとめ

QNAP製NASで「Netatalk」に起因した脆弱性　アップデートは未提供
QNAP製のNASを使用している場合、アップデートが提供されるまではAFPの無効化を検討した方がよさそうだ。先日修正されたNetatalkの脆弱性の影響を受けることが確認されており、現在QNAPが修正に取り組んでいる。（2022/5/6）

AndroidとPixelに5月の月例更新　Pixel 6/6 Proの触覚フィードバック改善も
GoogleはAndroidおよびPixelの月例アップデートの5月版を公開した。Android向けでは1件の、Pixel向けでは2件の重大度が最も高い脆弱性に対処した。Pixel 6シリーズで報告されていた触覚フィードバックの問題も改善される。（2022/5/4）

全世界で悪用される脆弱性トップ15は？　各国当局が共同アラートを公開
米国やオーストラリア、カナダ、ニュージーランド、英国のセキュリティ当局らが共同で日常的に悪用されている脆弱性トップ15を発表した。該当の脆弱性が存在しているかどうかを直ちに確認し、更新することが望まれる。（2022/4/29）

サイロ化から脱却してデータを統合管理
オンプレミスに残る個別最適化したシステム群　どうすれば運用を効率化できる？
サイロ化したシステムを管理する状況では運用を効率化できず、セキュリティホールが生まれたり増設や拡張に手間が掛かったりする可能性もある。これを解消し、簡単かつ効率的な運用を実現する鍵とは何か。（2022/4/28）

「既知の悪用された脆弱性カタログ」に新たに7個が追加　WSO2製品の脆弱性も対象に
CISAが公開する「既知の悪用された脆弱性カタログ」に7個の脆弱性が追加された。脆弱性を再度確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。（2022/4/27）

Innovative Tech：
電気自動車の充電を停止するサイバー攻撃　40m以上先からワイヤレスで可能　英オックスフォード大などが指摘
英オックスフォード大学とスイスのArmasuisse S+Tの研究チームは、電気自動車（EV）と充電ステーションのやりとりを電磁干渉を用いて、離れた場所から攻撃する新しい脆弱性を指摘した論文を発表した。（2022/4/26）

複雑性のキーは「状態管理」
Netflixも採用しているアプリケーション状態管理プラットフォーム
状態管理はアプリケーション開発において重要かつ面倒な機能だ。バグやセキュリティホールの温床であり、トラックは難しい。この部分が簡便化される意義は極めて大きい。（2022/4/26）

Cisco、Spring Frameworkの脆弱性の影響を受ける製品を公開　迅速に対処を
Cisco製品に深刻度「緊急」および「重要」に分類される複数の脆弱性が見つかった。既にセキュリティアドバイザリが公開されているため、同製品を使用している場合は迅速に対処してほしい。（2022/4/23）

Javaに認証なしで不正操作できる脆弱性　影響範囲広く「早急に修正プログラム適用を」
情報処理推進機構が、Javaの基本的な実行環境「Java SE」に重大な脆弱性があるとして注意喚起した。活用範囲が広く攻撃された場合の影響が大きいため、早急に修正プログラムを適用するよう呼び掛けている。（2022/4/21）

合計520の脆弱性に対処　Oracleが2022年4月のクリティカルパッチアップデートを公開
Oracleは2022年4月の「Oracle Critical Patch Update Advisory」を公開した。多岐にわたる製品で脆弱性が発見されており、CVSSv3スコア10.0に分類されるものもあり迅速にアップデートを適用してほしい。（2022/4/21）

働き方改革時代の「ゼロトラスト」セキュリティ（18）：
脆弱性、攻撃界面、脅威情報が膨大な今欠かせない「モダンSOC」とは――ゼロトラスト時代の可視化と分析
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラスト時代の可視化と分析、モダンSOCについて解説する。（2022/4/22）

Chromeゼロデイ脆弱性悪用　その狙いと手口【前編】
北朝鮮の攻撃者グループが「Chrome」脆弱性を悪用か　経済制裁の抜け穴に？
「Chrome」のゼロデイ脆弱性を北朝鮮の攻撃者グループが悪用したとGoogleが明かした。攻撃の詳細は。攻撃者グループの意図とは。（2022/4/21）

「見えないWeb攻撃」──情報漏えい対策の盲点：
セキュリティベンダーはLog4j脆弱性攻撃にどう対応したか　舞台裏からゼロデイ攻撃対策を再考する
2021年末に発見された「Apache Log4j」の脆弱性。この脆弱性を悪用する攻撃に対峙したセキュリティベンダーは、どんな対処を取ったのか。実際の対応を参考に、ゼロデイ攻撃への対策を考える。（2022/4/20）

Google ChromeとMicrosoft Edgeに新版　ゼロデイ脆弱性を修正
米Googleは「Google Chrome」の新版である「バージョン100.0.4896.127」の配布を始めた。（2022/4/19）

CISAが脆弱性カタログに9個の脆弱性を追加　Chrome、VMware製品などが対象に
CISAは「既知の悪用された脆弱性カタログ」に新たに9個の脆弱性を追加した。追加された脆弱性を再度確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。（2022/4/19）

最も悪用された脆弱性は「Apache Log4j」：
2022年3月時点で最も流行しているマルウェアは「Emotet」　チェック・ポイント・リサーチが世界脅威インデックスを発表
チェック・ポイント・リサーチは、2022年3月の世界脅威インデックスを発表した。最も流行しているマルウェアは、国内と世界のいずれも前月と同様に「Emotet」。悪用された脆弱性の第1位は「Apache Log4j」だった。（2022/4/16）

VMwareの複数製品に「緊急」の脆弱性　サイバー攻撃への悪用を確認済み
VMwareは複数の自社製品に脆弱性が存在すると発表した。既にサイバー攻撃に悪用されている深刻度「緊急」（Critical）に分類される脆弱性も含まれており注意が必要だ。（2022/4/16）

WordPressプラグインにCVSSv3スコア9.9の脆弱性　500万のWebサイトに影響か
WordPressで広く利用されるプラグイン「Elementor Website Builder」にCVSSv3スコア9.9の脆弱性が見つかった。リモートコード実行が可能になる脆弱性で、500万を超えるWebサイトが影響を受けると見られており注意が必要だ。（2022/4/15）

2022年4月の累積更新プログラムが配信　複数のMicrosoftプロダクトが対象
Microsoftは2022年4月の累積更新プログラムを配信した。今回のアップデートには深刻度「緊急」に分類される脆弱性の修正が含まれている他、既に悪用が確認されているゼロデイ脆弱性も含まれている。（2022/4/14）

米政府は必要性を強調：
CHIPS法成立に向け米政府とチップメーカーが取り組み強化
米国政府と同国のチップメーカーは2022年4月4日（米国時間）の週、520億米ドル規模の刺激策から成る「CHIPS Act」を通過させるための取り組みをそれぞれ強化した。CHIPS Actは、現在そして将来の戦略的脆弱性を警告するものであり、現在、議会の承認を待っている状況にある。（2022/4/18）

nginxのLDAPリファレンス実装にゼロデイの脆弱性　迅速な緩和策の適用を
Webサーバ「nginx」にゼロデイ脆弱性が見つかった。緩和策が公開されたことから、該当ソフトウェアを使用している場合には確認および緩和策の適用を急いでほしい。（2022/4/13）

株式会社ビットフォレスト提供Webキャスト：
スキル不要で誰でも使える、クラウドベースのWebアプリケーション脆弱性診断
Webアプリケーションの脆弱性を狙うサイバー攻撃が増加しており、システム開発者にとって脆弱性診断は喫緊の課題となっている。そんな中、従来製品とは違い、スキル不要で誰でも使用できるツールが登場し、注目されているという。（2022/4/13）

Chromeブラウザ安定版に11件の脆弱性修正アップデート　Edgeにも
GoogleはChromeブラウザの安定版の最新アップデートの配信を開始した。バージョン100.0.4896.88で11件の脆弱性に対処する。MicrosoftもEdgeのバージョン100.0.1185.39を配信中だ。（2022/4/12）

SMBv1のリモートコード実行の脆弱性も対象　CISAの脆弱性カタログに新たに3件が加わる
CISAが「既知の悪用された脆弱性カタログ」に3個の脆弱性を追加した。サイバー攻撃にアクティブに利用される脆弱性のため、必要に応じてアップデートや緩和策を適用することが望まれる。（2022/4/8）

ペネトレーションテストは手動か自動か【第1回】
「手動ペネトレーションテスト」でしか調べられない脆弱性とは？
手動ペネトレーションテストには、自動ペネトレーションテストにはない利点がある一方で、幾つかの欠点もある。どのような特徴があるのか。（2022/4/8）

Spring4Shellを悪用したサイバー攻撃が全世界で拡大中　迅速な対処を
Check Point ResearchはSpringに存在する脆弱性、通称「Spring4Shell」を悪用したサイバー攻撃が全世界で拡大していると発表した。既に3万7000件に及ぶ悪用を確認しているという。（2022/4/6）

公開したWebサイト全てが狙われる時代、セキュリティ対策効率化のヒント：
PR：脆弱性、対応する人も時間もない――エキスパートに聞く解決策
社会全体でデジタル化が加速し、Webサイトは重要な顧客接点の一つになっている。一方で、サイバー攻撃による企業の被害は事業継続を脅かすほどに深刻化しており、迅速な対策の見直し、強化が求められている。ソフトウェアからミドルウェアまで日々多数の脆弱性が発覚する一方、企業の人材や予算は限定的だ。ビジネスを確実に守る方法はあるのか。（2022/4/18）

製造マネジメントニュース：
小島プレスが調査報告書、外部企業とのリモート接続機器に脆弱性
小島プレス工業は2022年3月31日、同年2月末に発生したシステム停止事案の調査報告書を公開した。（2022/4/5）

GitLabにアカウント乗っ取りの脆弱性　直ちにアップデート適用を
GitLabに「緊急」（Critical）に分類される脆弱性が見つかった。アカウント乗っ取りの可能性もあることから直ちにアップデートを適用することが推奨される。（2022/4/5）

深刻度は「9.8」：
Spring Frameworkにリモートコード実行の脆弱性　即時アップデートの適用を
Spring Frameworkにリモートコード実行の脆弱性が見つかった。同フレームワークはWebアプリケーションやエンタープライズアプリケーション開発に広く利用されており、広範囲の影響が予想される。（2022/4/4）

QNAP製NASにOpenSSL起因の脆弱性　現時点でアップデートは未提供
QNAP製NASがOpenSSLにおける無限ループの脆弱性の影響を受けることが判明した。現時点ではアップデートが提供されていないため、今後の続報が待たれる。（2022/4/2）

iPhoneにゼロデイ脆弱性　修正のiOS 15.4.1配信開始
米AppleがiOS、iPad OS、macOSのアップデートの配布を開始した。iOSとiPad OSは15.4.1、macOSは12.3.1。バッテリー問題を改善した他、ゼロデイ脆弱性を修正している。（2022/4/1）

iPhoneとiPadに悪用された可能性のある脆弱性対処の「15.4.1」　バッテリー問題改善も
Appleは「iOS 15.4.1」「iPadOS 15.4.1」「macOS Monterey 12.3.1」をリリースした。いずれも共通する「悪用された可能性のある」2件のゼロデイ脆弱性を修正する。iPhoneとiPadは前回のアップデート後にバッテリー消耗が早くなった問題にも対処する。（2022/4/1）

合計28の脆弱性に対処　Google Chromeの最新バージョンが公開
Googleは最新版の「Google Chrome version 100.0.4896.60」を公開した。合計28の脆弱性が修正されており、迅速なアップデート適用が求められる。（2022/4/1）

Trend Microのセキュリティ製品に「重要」の脆弱性　すでに悪用を確認済み
Trend Microの複数製品に脆弱性が見つかった。深刻度は「重要」と分類されている。同脆弱性はすでに悪用が確認されており注意が必要だ。該当製品を使っている場合には迅速なアップデート適用が求められる。（2022/3/31）

2012年のFlash Player脆弱性もいまだ現役？　CISAが整備中の「既知の悪用された脆弱性カタログ」に32件が追加
CISAは「既知の悪用された脆弱性カタログ」に32個の脆弱性を追加した。これらの脆弱性は、サイバー攻撃で積極的に悪用されており注意が必要だ。迅速な確認および対処が望まれる。（2022/3/30）

「Web 3.0」を狙う“古い手口”【後編】
攻撃者自身もはまる？　「ソーシャルエンジニアリング」を軽視してはいけない
「Web 3.0」の脅威として、人間の脆弱性を悪用する「ソーシャルエンジニアリング」が挙げられる。最近は攻撃者自信がソーシャルエンジニアリングの餌食になることもあるという。何が起きているのか。（2022/3/30）

トレンドマイクロ製品に任意のコードを実行できる脆弱性　修正パッチ適用呼び掛け
情報セキュリティ製品「Trend Micro Apex Central」の脆弱性を悪用したサイバー攻撃が発生している。トレンドマイクロはリリース済みの修正パッチを適用するよう呼び掛けている。（2022/3/29）

Innovative Tech：
自動運転車へのサイバー攻撃、米国の研究チームが実証　レーザー銃で「偽物の車が前から突っ込んでくる」錯覚攻撃
米デューク大学と米ミシガン大学の研究チームは、自動運転車のセンサーをだまして、周囲の物体が検出距離よりも近い（または遠い）と信じ込ませる攻撃に成功し、搭載するカメラやセンサーの脆弱性を実証した。（2022/3/29）

VMware Carbon Black App Controlに「緊急」の脆弱性　迅速なアップデートを
VMware Carbon Black App Controlに複数の脆弱性が見つかった。深刻度は「緊急」に分類されており注意が必要だ。該当製品を使用している場合には直ちにアップデートしてほしい。（2022/3/29）

理論的に「ReDoS脆弱性がないこと」を保証：
正規表現の脆弱性を自動修正するアルゴリズムを開発　NTTと早稲田大学
NTTと早稲田大学は、正規表現の脆弱性に対する実用的な自動修正技術を開発した。論理モデルを定義し、脆弱性がないことを保証した正規表現を出力するアルゴリズムを考案した。（2022/3/28）

Chromeブラウザに緊急セキュリティ更新　悪用されたゼロデイ脆弱性を修正
ChromeとEdgeの緊急セキュリティ更新がリリースされた。実際に悪用された重要度「High」のゼロデイ脆弱性1件に対処する。（2022/3/27）

日立とServiceNowが製品セキュリティでタッグ　脆弱性を一元把握できる「PSIRT運用プラットフォーム」を提供開始
日立とServiceNowは、製造業向けに、製品セキュリティの向上を効率化する「PSIRT運用プラットフォーム」の提供を開始した。脆弱性情報と製品構成情報を一元管理し、PSIRTの業務を省力化しながら、セキュリティリスクの早期発見や対策を強化できる。（2022/3/25）

鈴木ケンイチ「自動車市場を読み解く」：
EVは電力不足の敵か救世主か
日本の電力供給体制の脆弱性を明らかにした昨日の電力ひっ迫。ここで気になるのがEVという存在です。電気で走るEVはどのような存在になるのでしょうか。ポジティブなのか、はたまたネガティブなのか？（2022/3/24）

DELL製PCのBIOSに深刻度「重要」の脆弱性　対象は40モデル超　今すぐ確認を
DELLのPCに5つの脆弱性が発見された。脆弱性の深刻度は「重要」とされており、任意のコードが実行可能になるとされている。対象製品が多いことから、早期の確認とアップデートの適用が望まれる。（2022/3/24）

ReDoS脆弱性を自動修正する技術、NTTと早稲田大が「世界に先駆けて」開発
NTTと早稲田大学は、「ReDoS脆弱性」を自動修正する技術を、世界に先駆けて開発したと発表した。専門知識のない開発者でも、ReDoS脆弱性を容易に修正できるという。（2022/3/23）

セキュリティ人材不足の企業が安全を「保ち続ける」には：
PR：100以上のWebサイトの脆弱性と改ざんを可視化し、リスクを手軽に排除する方法
Webサイトはエンドユーザーとの接点として重要な役割を果たす。複数のWebサイトを運用する企業が自社サイトのリスクを発見してセキュリティを継続的に確保する方法とは。（2022/3/22）

深刻度「緊急」の脆弱性に対処　Google Chrome version 99.0.4844.74が公開
Googleは、Google Chrome version 99.0.4844.74を公開した。合計11個の脆弱性が修正されており、そのうち1つが深刻度「緊急」、8つが深刻度「重要」に該当するため注意が必要だ。（2022/3/18）

複数のMicrosoft製品が対象に　CISAがサイバー攻撃に積極的に悪用される15個の脆弱性を発表
CISAは「既知の悪用された脆弱性カタログ」に新たに15個の脆弱性を追加した。複数のMicrosoft製品が対象になっているため注意してほしい。（2022/3/17）

Linuxカーネルのnetfilterに深刻度「重要」の脆弱性　確認とアップデートを
Linuxカーネルのnetfilterに特権昇格の脆弱性が存在することが明らかになった。CVSSv3スコア7.8で深刻度が「重要」（High）に分類されているため注意が必要だ。（2022/3/16）

Linuxに特権昇格の脆弱性「Dirty Pipe」が見つかる　迅速な対応を
Linuxカーネルに特権昇格の脆弱性が存在することが明らかになった。この脆弱性は「Dirty Pipe」と呼ばれており、2016年に発見された類似する脆弱性よりも悪用が簡単だと言われている。確認とアップデートの実施が推奨される。（2022/3/15）

ITmedia エグゼクティブセミナーリポート：
継続的な情報収集により脆弱性を正しく理解し、適時判断するのが危機対応のポイント――Armoris 取締役専務 CTO 鎌田敬介氏
危機対応にはベストプラクティスは存在しない。国内外の企業で実際に起きたサイバー危機対応事例をベースに、組織的な対応としてどのようなポイントが課題となりやすいのか、平常時にはどのような備えが必要なのだろうか。（2022/3/14）

IPA、専門家による脆弱性診断を無料提供　中小運営のECサイト向け
IPAが、ECサイトを運営する中小企業向けに、専門家による脆弱性診断を無料で提供する。通常は100万円程度の費用が掛かるサービスだが、脆弱性を巡る現状把握に向け、経済産業省の補助を受け無料で実施するという。（2022/3/10）

Microsoft、2022年3月の累積更新プログラムを配信　Exchange Serverの深刻度「緊急」への対応が含まれる
Microsoftは2022年3月の累積更新プログラムの配信を開始した。幾つかの脆弱性は深刻度が「緊急」（Critical）に分類されているため、迅速にアップデートを適用してほしい。（2022/3/9）

Firefox、Thunderbirdに深刻度「緊急」の脆弱性　直ちにバージョンの確認を
「Firefox」と「Thunderbird」に「緊急」（Critical）の脆弱性が見つかった。既に広く悪用が確認されており注意が必要だ。該当する製品を使っている場合には直ちにアップデートを適用することが望まれる。（2022/3/8）

Androidの3月月例更新開始　「致命的」な3件含む41件の脆弱性修正
Googleが3月の月例更新の配信を開始した。Androidでは「致命的」3件を含む41件の脆弱性を、Pixelではさらに「致命的」6件を含む41件の脆弱性を修正する。Pixel 6／6 Proへの配信は遅れる見込みだ。（2022/3/8）

Linuxにコンテナエスケープの脆弱性　該当条件の確認と更新を
Linuxのコンテナをエスケープできる脆弱性が発見された。正しくセキュリティ機能を適用していればエスケープを回避できるが、条件を満たす場合はエスケープやユーザーの特権昇格が可能になるという。（2022/3/8）

TechTarget発　世界のITニュース
Microsoft署名の脆弱性を悪用　「Zloader」の驚くほどシンプルな手口とは
マルウェア「Zloader」のハッカー集団はMicrosoftのデジタル署名の脆弱性を悪用し、攻撃活動をしている。企業はシステムを守るために、どうすればいいのか。（2022/3/7）

サイバー攻撃に悪用される既知の脆弱性95個とは？　CISAが新たにカタログに追加
CISAは「既知の悪用された脆弱性カタログ」に新規で95個の脆弱性を追加した。OfficeやAdobeなど日々利用している複数の製品が該当するため注意が必要だ。（2022/3/5）

Google Chromeのバージョンが「99」に到達　28件の脆弱性を修正
米Googleは、Webブラウザ「Google Chrome」のバージョン99を一般公開した。（2022/3/4）

Google Chromeの最新バージョン99.0.4844.51が公開　合計28個の脆弱性を修正
Googleは「Google Chrome version 99.0.4844.51」を配信した。合計28個の脆弱性が修正されており、迅速なアップデート適用が求められる。（2022/3/4）

「Google Chrome 99」の安定版公開　28件の脆弱性修正やダウンロードショートカットの移動など
Googleは、WebブラウザChromeの最後の2桁バージョン「99」をリリースした。28件の脆弱性に対処した。バージョン100へのアップデートは3月22日の予定だ。（2022/3/2）

「Zoom」を安全に使うこつ【後編】
無料で簡単にできる「Zoom」のセキュリティ対策6選
「Zoom」を安全に使うためには、何をすればよいのか。ポイントとなる“人間の脆弱性”にどう対処すべきなのか。セキュリティ向上のためのこつを紹介する。（2022/2/24）

脆弱性修正に要する時間は年々短縮ーーGoogleのProject Zeroが調査結果を発表
米Googleのセキュリティチーム「Project Zero」が、ゼロデイ脆弱（ぜいじゃく）性の発見から修正プログラムの提供までにかかった時間をベンダーごとにまとめた報告書を公開した。（2022/2/22）

CMS「Drupal」にデータ改ざんの脆弱性　迅速にアップデートを
CMS「Drupal」に2つの脆弱性が見つかった。深刻度は「警告」（Moderately critital）に分類されており、情報窃取やデータ改ざんの危険性がある。Drupalセキュリティチームのセキュリティアドバイザリを確認してほしい。（2022/2/18）

VMware主要製品に「緊急」の脆弱性　ESXiやWorkstation、Cloud Foundation、NSXも対象
VMwareの複数の製品に脆弱性が見つかった。総合して深刻度が「緊急」（Critical）に分類されるため、速やかにアップデートを適用してほしい。（2022/2/18）

修正に必要な時間が年ごとに減少：
ベンダーの脆弱性修正、何日かかる？
Googleの脆弱性調査専門チーム「Project Zero」は、セキュリティ脆弱性の修正状況について、ベンダーやプロジェクト別に調査した結果を発表した。2019〜2021年の3年間にProject Zeroが開発元に報告した脆弱性が対象だ。（2022/2/16）

15個の危険な脆弱性をCISAが指摘　迅速な確認とアップデートを
CISAはサイバー攻撃によく利用される既知の脆弱性15個を発表した。これらの中にはMicrosoftやAppleの製品が挙がる他、ルーターなども対象に含まれている。該当製品を使用しているかどうかを確認するとともに、迅速にアップデートすることが望まれる。（2022/2/15）

「iOS」と「iPadOS」の「15.3.1」配信開始　悪用された可能性のある脆弱性の対処など
Appleは「iOS」と「iPadOS」の「15.3.1」をリリースした。「悪用された可能性があるという報告」のあるWebKit関連のゼロデイ脆弱性の修正を含む。MacOSでも同じ脆弱性を修正するアップデートがリリースされた。（2022/2/11）

Adobeの複数製品に特権昇格などの脆弱性　該当バージョンの確認を
Adobe PhotoshopをはじめとしたAdobe製品に複数の脆弱性が発見された。深刻度が「緊急」（Critical）に分類されるものも含まれているため、該当製品を使用している場合には迅速なアップデートの適用が求められる。（2022/2/11）

Firefoxに深刻度「重要」の脆弱性　迅速にアップデートを
Firefox 97とFirefox ESR 91.6が公開された。複数の脆弱（ぜいじゃく）性が修正されており、幾つかは深刻度が「重要」（High）に分類される。Firefoxを使用している場合には最新版にアップデートすることが望まれる。（2022/2/10）

株式会社ビットフォレスト提供Webキャスト：
手動かツールかどちらが最適？　Webアプリケーション脆弱性診断の正しい選び方
Webアプリケーションの品質を高める手段として脆弱性診断が注目される一方、手動で行うか、ツールを利用するか迷う企業は少なくない。自社に最適な方法を選択するため、それぞれの違いやメリット／デメリットを正しく理解しておきたい。（2022/2/9）

株式会社ビットフォレスト提供Webキャスト：
脆弱性診断の新たな選択肢、“非セキュリティ部門”でもできる内製化の実現方法
アプリケーションの脆弱性診断を行うことの重要性は理解しつつも、これまでは費用や時間、人材といった問題がハードルとなり、実施できない企業も多かった。これらを一挙に解決する、“非セキュリティ部門による内製化”の実現方法とは？（2022/2/9）

Pixelの2月月例更新開始　6／6 ProのカメラやBluetoothのバグ修正も
Googleは2月7日、Pixelの月例更新をリリースした。脆弱性修正に加えて、Pixel 6シリーズの複数のバグ修正、旧モデルのキャリア接続問題にも対処した。（2022/2/8）

Androidの2月月例更新開始　「致命的」な2件含む38件の脆弱性修正
Googleは2月7日、Androidの月齢セキュリティ情報の2月版を公開した。重要度が最も高い「致命的」2件を含む38軒の脆弱性に対処した。（2022/2/8）

TechTarget発　世界のITニュース
「Log4Shell」を悪用した攻撃　実は脆弱性の公表前から始まっていた？
話題の脆弱性「Log4Shell」が見つかってから情報が公表されるまでの間、約2週間があった。攻撃活動は公表前から確認されている。Log4Shellを巡る時系列を整理しておこう。（2022/2/8）

TechTarget発　世界のITニュース
中国、イラン、北朝鮮……「Log4Shell」を使った“官製ハッカー”の動きとは
国家が関わっている複数のハッカー集団が「Apache Log4j」の脆弱性「Log4Shell」を使い、攻撃を仕掛けている。今「誰」が「どう」動いているのか。（2022/2/7）

TechTarget発　世界のITニュース
脆弱性「Log4Shell」にこれで対処　攻撃を防ぐために知っておきたい措置
企業は引き続き、「Apache Log4j」の脆弱性「Log4Shell」を悪用した攻撃に注意する必要がある。自社の防御に役立つノウハウやツールは何か。（2022/2/4）

Google Chromeの最新版がリリース　合計で27の脆弱性を修正
Googleは最新バージョンのChromeを配信した。合計27個の脆弱性が修正されているため迅速にアップデートを適用してほしい。（2022/2/3）

100万インストールのWordPressプラグインに「緊急」の脆弱性　直ちにアップデートを
100万以上のアクティブサイトにインストールされる人気のWordPressプラグイン「Essential Addons for Elementor」に「緊急」の脆弱性が発見された。直ちにアップデートを適用してほしい。（2022/2/3）

SambaにCVSSv3スコア値9.9の脆弱性　迅速にアップデートを
Sambaチームは3つの脆弱性を修正した「Samba」の最新版を公開した。脆弱性のうち1つは深刻度が「緊急」（Critical）に分類されており注意が必要だ。内容を確認するとともに迅速にアップデートを適用してほしい。（2022/2/2）

TechTarget発　世界のITニュース
「Log4Shell」攻撃活動はなぜ“尋常ではない”のか　企業が打つべき対策とは？
「Apache Log4j」の脆弱性「Log4Shell」の攻撃は専門家も驚くほどの勢いを見せ、企業を狙っている。なぜ、これほど猛烈なのか。企業はどうすればいいのか。（2022/2/1）

Log4Shellバスターズはまだ眠れない
あの日見つけたLog4Shellの本当の恐ろしさを僕達はまだ知らない。
Apache Log4j 2の脆弱性「Log4Shell」の危険性は既にご存じだろう。その真の恐ろしさは、提供されるセキュリティアップデートを適用しただけでは解決しないということだ。（2022/2/1）

重大な「Log4j」脆弱性の動向と対策状況
検知状況や対策状況についてまとめた。（2022/1/31）

Ｓｋｙが脆弱性発見者に報奨金、最大200万円　検証用環境の貸し出しも検討
Ｓｋｙが、自社サービスの脆弱性を発見した人に最大200万円の報奨金を支払う新制度を始めた。脆弱性の指摘を社外からも受け付け、情報セキュリティの強化につなげる。（2022/1/28）

元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」　Javaの歴史とバザールの矛盾
Log4j 2で問題となった脆弱性は、プログラミングやコンピュータの知識が少しあれば「なぜこんな危険な実装がされていたのか」と疑問に思う内容だ。歴史の歯車が別の方向に噛み合っていれば、こうはならなかったかもしれない。Javaを専門に取材してきた筆者が、この悲劇の背景をひも解いていく。（2022/1/31）

Log4jの脆弱性を突きVMware HorizonsにWebシェルを注入　直ちに対応を
VMware Horizons Connection Serverを標的としたサイバー攻撃の報告が相次いでいる。Log4jの脆弱性、通称「Log4Shell」を利用してWebシェルをインストールする手法で、侵入を受けた場合にはサーバの制御権が乗っ取られる危険性があることから注意が必要だ。（2022/1/27）

TechTarget発　世界のITニュース
Log4j騒動のあおり？　MicrosoftやApple製品の重大パッチ適用が後回しされる訳
MicrosoftやAppleの製品に脆弱性が見つかりパッチが公開されたが、ユーザー企業の適用に遅れが出る可能性がある。防御策の妨げになるのは、話題の“あの脆弱性”だ。（2022/1/28）

「iOS」と「iPadOS」の「15.3」配信開始　SafariのID追跡問題や悪用された可能性のある脆弱性の対処など
「iOS 15.3」「iPad OS 15.3」「watchOS 8.4」「macOS Big Sur 11.6.3」「macOS Monterey 12.2」「tvOS 15.3」がリリースされた。iOSはバグ修正とセキュリティ更新のみ。SafariのID追跡問題や「既に悪用された可能性のある」問題など10件の修正だ。（2022/1/27）

「OWASP API Security Top 10」に沿ったテストができる：
APIセキュリティについて学習できるオープンソースラボ環境「vAPI」、なぜ必要なのか
「OWASP API Security Top 10」に含まれるAPIの脆弱性の挙動を観察できるオープンソースツール「vAPI」が登場した。どのように役立つのだろうか。（2022/1/24）

「USB over Ethernet」の脆弱性
「ネット経由でUSBデバイスに接続」のSDKに脆弱性　影響範囲は？
ネットワーク経由でUSBデバイスに接続できるようにする「USB over Ethernet」を実現するSDKに、権限昇格を可能にする脆弱性が見つかった。どのような危険性があるのか。（2022/1/24）

TechTarget発　世界のITニュース
Windowsに管理者権限を取得可能な脆弱性　ユーザーが気を付けるポイントは
「Windows」の管理者権限を不正に取得可能な脆弱性が「Windows Installer」に見つかった。ユーザーはデバイスを攻撃から守るために、どうすればいいのか。（2022/1/24）

Appleの脆弱性への姿勢に疑問の声【後編】
「古いmacOS」を使うのは“自己責任”？　専門家がAppleのパッチ配布姿勢に苦言
同じ「macOS」の脆弱性なのに、以前のバージョンのmacOSへのパッチ配布が後回しに――。こうしたAppleの姿勢に、セキュリティベンダーMalwarebytesが苦言を呈する。（2022/1/24）

Ciscoの複数プロダクトに「緊急」の脆弱性、直ちに確認と対応を
2022年1月に入ってからCiscoは複数のセキュリティアドバイザリを発行している。すでに深刻度が「緊急」（Critical）に分類されるセキュリティアドバイザリが3つ公開されており注意が必要だ。（2022/1/21）

脆弱性による侵害可能性を29分の1に下げるには：
脆弱性の修正ではまず何をすべきなのか
Cisco Systems子会社のKenna Securityが公開した調査レポートでは、さまざまな脆弱性管理手法の効果と、組織全体のエクスプロイタビリティ（ソフトウェアの脆弱性を悪用して侵害される可能性）を定量化している。脆弱性を素早く修正するよりも有効な手法があるという。（2022/1/21）

URL入力で「Log4j」脆弱性診断　ツール試用版を無償提供　セキュアブレイン
昨年末から話題の「Log4j」の脆弱性が自社サイトにあるか調べられる診断サービスの試用版を、セキュアブレインが無償提供。（2022/1/21）

MySQLやOracle DBも対象に：
Oracleが497個の脆弱性を修正するパッチを公開　確認と適用を
Oracleから2022年1月のクリティカルパッチアップデートの提供が始まった。今回のアップデートは497個の脆弱性が修正対象。該当製品を使用している場合には迅速にアップデートしてほしい。（2022/1/19）

8万4000超のWebサイトに乗っ取りのリスク　WordPressプラグインの脆弱性、確認とアップデートを
述べ8万4000を超えるWebサイトで利用されているWordPressプラグインに乗っ取りの脆弱性が存在することが明らかになった。攻撃が成功するには管理者の操作が必要になるためハードルは高いと見られているが、成功した場合にはサイトの乗っ取りが可能であることから注意が必要だ。（2022/1/18）

開発プロセスにセキュリティチェックを
迅速かつ「セキュア」なアプリ開発を実現するためには何が必要？
Webアプリケーションに残っていた脆弱性を攻撃される事例が後を絶たない。公開するには脆弱性診断が必要だ。しかし開発に速度が求められる今、それだけでは対応しきれない。リリース間隔が短いWebアプリケーションでは別の取り組みも必要だ。（2022/1/18）

この頃、セキュリティ界隈で：
米国では「Log4j」脆弱性の放置に法的措置も　攻撃に引き続き警戒を呼び掛け
「Log4j」の脆弱性の問題は、年が明けても深刻な状況が続いている。米Microsoftは企業に対し、引き続き警戒するように注意を呼び掛けている他、米連邦取引委員会（FTC）は対策を怠った企業に対し、法的措置を講じる考えを示した。（2022/1/17）

Ciscoが2022年1月に合計13のセキュリティアドバイザリを発行　「緊急」の脆弱性2つに対処
Ciscoは複数のセキュリティアドバイザリを発行した。2022年1月以降に発行されたものだけでも深刻度が「緊急」（Critical）に分類される脆弱性がすでに2つ修正されている。（2022/1/15）

Citrix Workspace App for Linuxに、一般ユーザが特権昇格する脆弱性　直ちにアップデートを
Citrixは「Citrix Workspace App for Linux」に特権昇格の脆弱性が存在すると伝えた。該当プロダクトを使用している場合は直ちにアップデートを適用してほしい。（2022/1/14）

Gartner Insights Pickup（240）：
「Log4j」の脆弱性についてセキュリティリーダーが知っておくべきこと、すべきこと
「Log4j」の脆弱（ぜいじゃく）性がもたらすリスクを理解し、関連する潜在的な脅威から企業システムを保護するための対策を把握する。（2022/1/14）

「iOS」と「iPadOS」の「15.2.1」配信開始　悪用方法公表済みのHomeKit脆弱性対処など
Appleが「iOS 15.2.1」および「iPad OS 15.2.1」の配信を開始した。HomeKitアプリのサービス拒否（DoS）を発生させる恐れのある脆弱性に対処した。この脆弱性については発見した研究者が悪用方法を公開済みだ。（2022/1/13）

Microsoftが2022年最初の累積更新プログラムを配信　「緊急」の脆弱性に対処
Microsoftは2022年1月の累積更新プログラムを配信した。今回のアップデートでも深刻度が「緊急」（Critical）および「重要」（Important）に分類される複数の脆弱性に対処する。該当プロダクトを確認し、使用している場合には迅速にアップデートを適用したい。（2022/1/13）

こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（31）：
Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」？
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第31列車は、「Log4j 2の脆弱性」です。※このマンガはフィクションです。（2022/1/12）

Google Chromeの最新バージョンがリリース　深刻度「緊急」の脆弱性を修正
Googleは最新バージョンの「Google Chrome」を配信した。深刻度が「緊急」（Critical）に分類される脆弱性が修正されている。迅速なアップデートの適用が求められる。（2022/1/7）

ビールメーカーBrewDogは脆弱性にどう対処したのか【後編】
ビールメーカーBrewDogが「モバイルアプリ脆弱性」の公開に消極的だった理由
モバイルアプリケーションに脆弱性が見つかったBrewDog。情報公開に消極的だった同社の対応から、セキュリティの向上について学ぶべき教訓は何か。（2022/1/7）

急速普及するなかで高まる危険性：
IoTベンダー各社、脆弱性レポート提出には消極的
IoT（モノのインターネット）デバイスの普及が急激に進んでいる。その数は過去最高に達し、データ盗用や操作の乗っ取りを狙った攻撃の増加をわずかに上回っているという。その一方で、民生機器メーカーは現在も、自社製品の脆弱性に関するレポートを提出したがらない傾向にある。EE Timesは、1年半ほど前にこの問題を取り上げているが、それ以降もレポートの数は伸び悩んでいるようだ。（2022/1/6）

2022年もLog4Shellに要警戒　Microsoftが脅威アクターの動向を分析
Log4jの脆弱性、通称「Log4Shell」を利用したサイバー攻撃は今後さらに拡大が懸念されている。この問題は短期に収束するめどが見えておらず、今後長期にわたりサイバー攻撃で使われる危険性が指摘されている。（2022/1/6）

Pixelの1月月例更新開始　ただしPixel 6シリーズは除く
GoogleはPixelシリーズ対象の月例アップデートを公開した。脆弱性修正の他、緊急電話が発信できなくなる問題などに対処した。ただしPixel 6／6 Proの更新は1月下旬になる。（2022/1/5）

Androidの1月月例更新開始　「致命的」な1件含む35件の脆弱性修正
GoogleはAndroidの月例セキュリティアップデートをリリースした。「致命的」な1件を含む35件の脆弱性を修正した。（2022/1/5）

「Google Chrome 97」の安定版公開　危険度最高の脆弱性修正やデータ一挙消去ツール追加など
GoogleがWebブラウザの最新版「Chrome 97」をリリースした。危険度最高の1件を含む37件の脆弱性に対処した。訪問したWebサイトの権限をリセットし、データを一括削除する機能も追加された。（2022/1/5）

管理者権限を不正に取得可能
「Windows Installer」に“凶悪”な脆弱性　専門家が危惧する理由は？
「Windows Installer」の脆弱性「CVE-2021-41379」に亜種が見つかった。専門家によると、CVE-2021-41379のパッチとしてMicrosoftが配布した更新プログラムでも、この亜種を修正できない。その危険性とは。（2021/12/31）

SOHO向け9機種に脆弱性発見
プロ調査で脆弱性が大量に見つかってしまった“残念”な無線LANルーターとは？
セキュリティ専門家らが、一般家庭や小規模オフィスで使われる無線LANルーター9機種に脆弱性を発見した。攻撃の恐れがあるとして、ユーザー企業に注意を呼び掛けている。（2021/12/30）

「Log4j」2.17.0にもリモートコード実行の脆弱性　修正バージョン公開
ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation（ASF）は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。（2021/12/29）

Log4jの脆弱性を突く攻撃はまだ収束せず　ハニーポットの観測結果
Doctor Webがハニーポットで観測されたLog4jの脆弱性を狙うサイバー攻撃の動向について報告した。活発な活動が観測された時期や現在の攻撃の状況が明らかになっている。（2021/12/28）

Gatekeeperを突破する脆弱性、実行の仕組みを専門家が解説
セキュリティ専門家がmacOSのセキュリティ機能「GateKeeper」を回避するとされる脆弱性CVE-2021-30853の分析結果を公開した。macOSのファイル検疫や公証チェックを回避することにも利用できたことが指摘されている。（2021/12/28）

休暇の前に必ずチェックしておきたいLog4jの脆弱性情報まとめ、JPCERT/CCが提供
JPCERTコーディネーションセンターがLog4jの脆弱性に関する情報のまとめページを公開した。影響を受ける可能性がある場合は必ず確認しておきたい。（2021/12/28）

半径300メートルのIT：
2021年10大セキュリティ事件に“ピンとこない”人に考えてほしいこと
2021年は年末にかけて、Emotetの活動再開やApache Log4jの脆弱性など大きなセキュリティニュースが話題になりましたが、発生したインシデントはそれだけではありません。2021年の10大セキュリティ事件をどこまで覚えていますか。（2021/12/28）

クラウドサービスの脆弱性にCVEは必要か【第4回】
クラウドセキュリティ団体CSAトップが語る「脆弱性公開の仕組み」に必要な2条件
クラウドサービスの脆弱性が見えにくい現状を打破するため、セキュリティ専門家がクラウドサービスの脆弱性公開の枠組みを考案した。その要件とは何か。どのようなメリットをもたらすのか。（2021/12/28）

Teamsに未解決の3つの脆弱性　セキュリティ研究者が指摘
Positive Securityのセキュリティ研究者がMicrosoft Teamsに4つの脆弱性が存在すると報じた。Microsoftはそのうち1つを修正対象としたが、3つは修正されることなく残ったままだという。（2021/12/25）

Apache HTTP Server 2.4.52が公開　深刻度「緊急」の脆弱性に対処
Apache Software Foundationは「Apache HTTP Server 2.4.52」を公開した。新バージョンは2つの脆弱性に対処した。内容の確認と迅速なアップデートが望まれる。（2021/12/24）

ビールメーカーBrewDogは脆弱性にどう対処したのか【前編】
ビール愛好家が攻撃の的に　「BrewDogモバイルアプリ」脆弱性とは何だったのか
英国ビールメーカーBrewDogのモバイルアプリケーションに脆弱性が見つかった。個人情報の流出の恐れがあったこの脆弱性はどのようなものだったのか。発見の経緯とともに説明する。（2021/12/24）

アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に
中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。（2021/12/23）

WordPressのSEO対策プラグインに「緊急」の脆弱性　早急な対処を
WordPressのSEO対策プラグイン「All In One SEO Plugin」に2つの脆弱性が見つかった。深刻度は一つが「緊急」、もう一つが「重要」に分類される。該当プラグインを使用している場合には直ちにアップデートを適用することが望まれる。（2021/12/23）

製造ITニュース：
独自技術でIoT製品の脆弱性診断を高速化、台湾セキュリティ企業のツール提供
シーイーシーは2021年12月16日、IoT製品のセキュリティ品質向上を支援する、Onward Securityの「HERCULES SecDevice」を提供開始すると発表した。IoT製品のセキュリティチェックを簡易化、省力化することでセキュリティ品質確保を支援する。（2021/12/22）

ManageEngine Desktop Centralに「緊急」の脆弱性　FBIが注意喚起
FBIは、ManageEngine Desktop Centralを悪用したAPTに関するアラートを発表した。脆弱性の詳細を確認し、適宜アップデートを実施してほしい。（2021/12/22）

Appleの脆弱性への姿勢に疑問の声【前編】
Appleの「macOS」修正姿勢に専門家が批判　「なぜパッチをすぐ配布しないのか」
Appleが脆弱性を修正する一連の行動について、セキュリティベンダーMalwarebytesが問題を提起した。批判の焦点はどこにあるのか。（2021/12/22）

Apache、Log4jに関する3つ目の修正パッチを公開　新たな脆弱性を修正
Apache Log4jを巡る一連の脆弱性問題で、新たな脆弱性が発見された。Apacheはこれを受けて3つ目のセキュリティパッチを公開した。すでにアップデートをした場合も、現在のバージョンを確認するとともに対策に取り組んでおきたい。（2021/12/21）

セキュリティの概念を変えるDSbD【前編】
セキュリティが根本から変わる「脆弱性があっても悪用させない」技術
英UKRIはサイバーセキュリティを根本から変え、ソフトウェアに起因する脆弱性を排除しようとしている。その一端が「メモリの安全性」技術だ。（2021/12/21）

クラウドサービスの脆弱性にCVEは必要か【第3回】
「脆弱性を明かさないベンダー」にセキュリティ専門家がいら立つ“当然の理由”
セキュリティ専門家は、IT製品やサービスの脆弱性をベンダーが公表しないことを問題視してきた。それによりベンダー、ユーザー企業、セキュリティ業界にどのような悪影響が生じると専門家は考えるのか。（2021/12/21）

「Log4j」に新たな脆弱性、深刻度は「High」　バージョン2.17.0へのアップデートを呼び掛け
The Apache Software Foundation（ASF）がJava環境向けのログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たに見つかったDoS攻撃を引き起こす脆弱性「CVE-2021-45105」を修正する。（2021/12/20）

Log4j脆弱性を突く攻撃が高度化　WAF回避、認証情報の窃取など　JPCERTが確認
「Apache Log4j」で見つかった脆弱性について、JPCERT/CCは脆弱性を突いた攻撃が高度化していると報告した。WAFの回避、AWSの認証情報の摂取などが確認された。（2021/12/17）

ヤマーとマツの、ねえこれ知ってる？：
「Apache Log4j」の脆弱性が話題だけど、そもそもApacheとかJavaの語源って知ってる？
Log4jのjはJava。そしてApache。これらはどういう由来なのか、調べてみた。（2021/12/17）

Apple、iCloudの「Apache Log4j」ゼロデイ脆弱性を修正
「Apache Log4j」の脆弱性で名指しされていたApple iCloudだが、12月11日までには修正されていたことが分かった。（2021/12/17）

Adobe Photoshopなど複数の製品に「緊急」の脆弱性　アップデートを
Adobeはセキュリティアップデートを公開した。深刻度が緊急（Critical）や重要（Important）に分類される脆弱性が修正される。該当製品を確認するとともに、迅速なアップデートの適用が望まれる。（2021/12/17）

ヤマーとマツの、ねえこれ知ってる？：
「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。（2021/12/16）

米国土安全保障省、バグ報奨金制度「Hack DHS」開始
米国土安全保障省（DHS）は、独自のバグ報奨金制度「Hack DHS」を立ち上げた。脆弱性の重大性に応じ、500ドル〜5000ドルの報奨金を与える。プラットフォームはCISAが運営する。（2021/12/16）

「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認
Microsoftは、「Apache Log4j」の脆弱性が、中国、イラン、北朝鮮、トルコを起源とする複数の集団によって悪用されていることを確認した。また、複数のアクセスブローカーが企業からの情報窃盗にこの脆弱性を利用していることも確認したとしている。（2021/12/16）

Microsoft、2021年最後の累積更新プログラムを配信　30以上の製品が対象
Microsoftは2021年12月の累積更新プログラムを配信した。今回の累積更新プログラムでは30を超える製品が対象となる。「緊急」（Critical）に分類される脆弱性もあるため、迅速にアップデートを適用してほしい。（2021/12/16）

「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設で観測した攻撃数の平均グラフを公開した。（2021/12/15）

米連邦政府のCISA、「Log4j」対策をクリスマスイブまでに完了するよう政府機関に指示
米連邦政府のサイバーセキュリティ諮問機関CISAが、連邦政府機関に対し、「Log4j」の脆弱性対策を12月24日のクリスマスイブまでに完了するよう指示した。CISAはこの脆弱性に関する専用Webページも立ち上げた。（2021/12/15）

Cybereasonが「Log4Shell」を回避するワクチンをOSSで公開
CybereasonはLog4jに関するゼロデイ脆弱性（CVE-2021-44228）、通称「Log4Shell」の影響を回避するOSSを公開した。Log4jをアップデートできない場合には有効な回避策の1つになり得るため検討材料に加えておきたい。（2021/12/15）

「ゼロトラスト」で効率化するセキュリティ運用【前編】
“放置アプリ”であふれる企業を襲うセキュリティの問題とは？
企業が利用するアプリケーションが日々多様化する中、企業が対処すべき脆弱性も多様化しています。従来のセキュリティ運用が引き起こしかねないセキュリティ問題には、どのようなものがあるのでしょうか。（2021/12/21）

Log4j、バージョン2.16.0が登場　問題の機能を削除やデフォルト無効に
米Apacheソフトウェア財団は、Java向けログ出力ライブラリ「Apache Log4j」のバージョン2.16.0をリリースした。変更点は、JNDI機能をデフォルトで無効化したことと、Massage Lookup機能を削除したことの2点で、問題となっていた脆弱性に対応した形になる。（2021/12/14）

最新バージョンへのアップデートを推奨：
IPAが「Apache Log4j脆弱性」の暫定回避方法を紹介
IPAは「Apache Log4j」の脆弱性（CVE-2021-44228）に関する対策を講じるように注意を促している。2.15.0より前の2系のバージョンが影響を受ける。（2021/12/13）

半径300メートルのIT：
Log4jのゼロデイ脆弱性から学ぶ　“ヤバい”ニュースを見落とさない組織になるコツ
Javaのロギングライブラリ「Apache Log4j」で外部環境から任意のコード実行が可能になる脆弱性（CVE-2021-44228）が大きな注目を集めています。こうした深刻な脆弱性が発見されたとき、迅速に対応できる組織になるにはどうすればいいのでしょうか。（2021/12/14）

クラウドサービスの脆弱性にCVEは必要か【第2回】
「『CVE』のないクラウド」に専門家が不満な“表の理由”と“裏の理由”
クラウドサービスの脆弱性に「CVE」が付与されないことを複数の専門家が問題視している。どのような見解から専門家は異議を唱えているのか。（2021/12/14）

狙われる「445番ポート」とは【中編】
「445番ポート」はなぜ攻撃者の標的になるのか　あの「WannaCry」でも悪用
「WannaCry」といったランサムウェア攻撃が話題を呼んでいる。それらに悪用されているのは、「445番ポート」に関連する脆弱性だ。具体的に説明する。（2021/12/14）

医療機関のクラウド移行、リスク管理のヒント【第3回】
医療機関がクラウド利用前に考えたい「脅威モデリング」と「セキュアコーディング」の意義
システムをクラウドサービスで展開するに当たり「脅威モデリング」と「セキュアコーディング」がなぜ重要なのか。サイバー攻撃の標的にされやすい医療機関だからこそ重視すべき脆弱性対策のポイントは。（2021/12/14）

「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？　日本ハッカー協会に聞いた
ログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行できる脆弱性があることが明らかになった問題で、その攻撃手段をネット上で共有する行為は、不正指令電磁的記録に関する罪に問われるのではないかと、エンジニアを中心に議論が起きている。（2021/12/13）

世界のWebサーバの3分の1に影響？　Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説
JavaライブラリApache Log4jで見つかった脆弱性について、JPCERT/CCが攻撃の仕組みと対策方法を公開し注意を促した。（2021/12/13）

“Log4j用ワクチン”登場　脆弱性を利用して修正プログラムを実行
Javaライブラリ「Apache Log4j」で見つかった、任意のコードを実行できる脆弱性を巡り、米Cybereasonが脆弱性を修正するプログラムを公開した。“ワクチン”のように脆弱性を活用して問題を修正できる。（2021/12/13）

Apache Log4jにCVSSスコア「10.0」の脆弱性　国内で悪用を試みる通信も確認
Apache Log4jに任意コード実行の脆弱性が明らかになった。利用されているJavaシステムが多いことから影響範囲の広さが懸念されている。現状ではまだ不明点が多いが、すでに脆弱性を狙ったハッキングが確認されており、継続的な情報収集と対応が求められる。（2021/12/13）

CiscoがApache HTTP Serverの脆弱性の影響受ける製品を順次発表中、確認を
Apache HTTP Serverの5つの脆弱性はCisco製品にも影響を及ぼすようだ。Ciscoは影響を受ける製品の確認を進めており、該当製品のリストが順次更新されている状況だ。Cisco製品を使用している場合には定期的に確認しておきたい。（2021/12/11）

「やばすぎる」　Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる（Remote Code Execution, RCE）、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。（2021/12/10）

UEM製品「ManageEngine Desktop Central」に「緊急」の脆弱性　サイバー攻撃もすでに確認
ManageEngine Desktop CentralとManageEngine Desktop Central MSPに深刻度「緊急」（Critical）の脆弱性が見つかった。すでに同脆弱性はサイバー攻撃に利用されているため、影響を確認して迅速に対処してほしい。（2021/12/8）

Androidの12月月例更新開始　「致命的」な6件を含む多数の脆弱性修正
Androidの12月の月例セキュリティ更新の配信が始まった。Androidでは最も危険度の高い「Critical」6件を含む49件の脆弱性が修正される。Pixel固有の脆弱性には「Critical」はないが、多数の脆弱性に対処する。（2021/12/7）

Wi-Fiルーター9機種に合計226個の脆弱性　早急に確認とアップデートを
ドイツのセキュリティ企業が、Wi-Fiルーター9機種に合計226個の脆弱性を発見した。該当製品を使用しているかどうかを確認し、使用している場合は迅速にアップデートを適用してほしい。（2021/12/7）

クラウドサービスの脆弱性にCVEは必要か【第1回】
クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”
IT製品に脆弱性が存在することが判明したら、専門機関が脆弱性に「CVE」を付与することが通例だ。だがクラウドサービスはそうではない。理由を歴史的背景に沿って解説する。（2021/12/7）

暗号ライブラリ「NSS」に「緊急」の脆弱性　複数のアプリケーションに影響か
Mozillaが提供する暗号ライブラリ「NSS」にヒープオーバーフローの脆弱性が見つかった。悪用されるとクラッシュや任意のコードが実行される危険性がある。複数のアプリケーションが影響を受けるとされており注意が必要だ。（2021/12/6）

Linuxセキュリティ専門家に聞く【中編】
LinkedInで自社の脆弱性が分かる？　出回っている情報の把握はなぜ重要なのか
企業はインターネットで自社について説明するさまざまな情報を公開しているため、システムに侵入されるリスクが高まる。どうすればいいのか。Linuxセキュリティの専門家に聞いた。（2021/12/3）

HPのプリンタ製品に「緊急」の脆弱性　細工されたPDF印刷で情報漏えい発生の危険あり
HPのプリンタ製品に2つの脆弱性が見つかった。そのうち一つは深刻度が「緊急」（Critical）に該当するため迅速にアップデート適用が求められる。【訂正】（2021/12/2）

Windowsにゼロデイの脆弱性、MSは放置も専門家は「深刻」と指摘
Microsoftは毎月の累積更新プログラムでセキュリティの脆弱性を修正しているが、中には外部からリスクを指摘されても正式に脆弱性として認識されず、放置されたものもある。（2021/12/1）

Zoomに深刻度「重要」の脆弱性　アプリケーションにクラッシュを引き起こす可能性
Web会議ツールZoomに複数の脆弱性が見つかった。脆弱性のうち1つは深刻度が「重要」に該当し、任意のコード実行を引き起こす危険性がある。該当製品を確認し、迅速にアップデートを適用してほしい。（2021/11/30）

TechTarget発　世界のITニュース
Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは？
2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。（2021/11/30）

Linuxセキュリティ専門家に聞く【前編】
「99％のランサムウェア攻撃を防げる手段」を書いた専門家が本当に伝えたいこと
IT管理者はセキュリティ確保のためにバックアップやパッチ管理、定期的な脆弱性スキャンが欠かせない。Linuxセキュリティの専門家にシステムを守るこつを聞いた。（2021/11/26）

vCenter Serverに「重要」の脆弱性　迅速にアップデートを
VMware vCenter ServerとVMware Cloud Foundationに脆弱性が発見された。そのうち一つは深刻度が重要（Important）に分類される。該当製品を使用している場合は、迅速にアップデートを適用してほしい。（2021/11/25）

Windows 10、11などのゼロデイ脆弱性、パッチ公開前に報告者が概念実証コード公開
Microsoftが11月のセキュリティ更新で修正したはずの脆弱性がまだ悪用できると、報告者が概念実証をGitHubで公開した。既にマルウェアサンプルが検出されているという報告もある。（2021/11/25）

Windowsに特権昇格のゼロデイ脆弱性　研究者がPoCコードを公開
Windows Installerにおける特権昇格のゼロデイ脆弱性を利用したエクスプロイトが見つかった。現時点ではMicrosoftはアップデートを提供していない。（2021/11/25）

Apple、iPhoneスパイウェア「Pegasus」のNSOを提訴
Appleは、スパイウェア「Pegasus」を提供するイスラエル企業NSO Groupを提訴した。iPhoneの脆弱性を悪用し、ユーザーを監視したとして、NSOによるApple製品とサービスの使用を禁止する恒久的差止命令を求めている。（2021/11/24）

犯罪者の楽園はどこなのか
意外？　「データベースの脆弱性を最も放置している国」が判明
Impervaの5年にわたる調査によって、脆弱性が放置されているデータベースの利用率が明らかになった。世界ワースト1として名指しされた国とはどこか。アジア太平洋地域ではどこが危険なのか。（2021/11/22）

44種類のNETGEAR製品に「重要」に該当する脆弱性　迅速に対処を
NETGEARのルーターやモデム、中継機に脆弱性が発見された。root権限で任意のコードが実行される危険性がある。該当製品を使用している場合には最新のファームウェアにアップデートする必要がある。（2021/11/20）

Exchange Server、FortiOSを悪用した攻撃に要注意　CISAらが共同でセキュリティアラートを発表
Exchange ServerやFortiOSの脆弱性を利用したサイバー攻撃に注意が必要だ。CISAとFBI、ACSC、NCSCは共同でセキュリティアラートを発表した。迅速に緩和策を実施してほしい。（2021/11/19）

パッチ適用が難しい6つの理由【第1回】
企業が「パッチ」を適用しない理由と、“脆弱性放置企業”を責められない理由
パッチの重要性を理解している企業の全てが、パッチを十分に適用できているわけではない。リスクがあるにもかかわらず、パッチ未適用のIT製品は至る所にある。それはなぜか。（2021/11/18）

Google Chromeの最新バージョンが公開　7件の「重要」な脆弱性を修正
Googleは最新バージョンの「Google Chrome version 96.0.4664.45」を配信し、深刻度「重要」（High）に該当する7件の脆弱性を修正した。（2021/11/17）

VMware Tanzuに脆弱性　DoS攻撃を受けるおそれ
VMware Tanzu Application Service for VMsに脆弱性が発見されており、米コンピュータ緊急事態対策チームが情報の確認とアップデートの実施を呼びかけている。（2021/11/15）

FBIのメールアカウントが乗っ取られ、フェイクメールを大量配信（原因発表）
米連邦捜査局（FBI）の公式アカウントから11月12日午後から不審なメールが10万人以上に届き、セキュリティ組織がそれはフェイクだと警告した。FBIもこの問題を認識している。攻撃したと名乗るPompompurinは「脆弱性を指摘するのが目的」と語った。（2021/11/14）

iCloud for Windowsに深刻度「重要」の脆弱性　迅速なアップデートを
「Windows 10」や「Windows 11」で「iCloud」を使用している場合には注意が必要だ。Foundationで任意のコードが実行される危険性が見つかっており、CISAがアップデートの適用を推奨している。（2021/11/13）

Appleが9月に修正したCatalinaの脆弱性は香港市民への攻撃に悪用されていたとGoogle
GoogleのセキュリティチームTAGは、Appleが9月に修正したCatalinaのゼロデイ脆弱性について報告した。国家の支援を受ける犯罪者がこの脆弱性を悪用し、香港市民を攻撃していたとしている。（2021/11/12）

Microsoftが2021年11月の累積更新プログラムを配信　迅速に確認と適用を
Microsoftは2021年11月の累積更新プログラムを配信した。深刻度が緊急（Critical）に分類される脆弱性が修正されており、該当プロダクトを使っている場合には迅速な対応が望まれる。（2021/11/12）

Sambaに8件の脆弱性が見つかる　CISAが迅速なアップデートの適用を呼び掛け
OSS「Samba」に影響を受けたシステムの制御権が乗っ取られる危険性がある脆弱性が見つかった。CISAは迅速なアップデートの適用を呼び掛けている。（2021/11/11）

抽選でAmazonギフト券が当たる
「脆弱性・パッチ管理」に関するアンケート
簡単なアンケートにご回答いただいた方の中から抽選で10名にAmazonギフト券（3000円分）をプレゼント。（2021/11/9）

Exchange「Autodiscover」の脆弱性とは【後編】
「Exchange」の脆弱性公開の裏で起きていた“ある論争”とは？
Guardicoreは、Microsoftの「Exchange Server」「Exchange Online」の機能に脆弱性が存在することを報告した。その報告を受けてMicrosoftとGuardicoreの間には、ある“論争”が起こった。何が起きたのか。（2021/11/9）

「Apple Pay」悪用攻撃の影響と原因【後編】
Apple Payに不正決済の脆弱性　「AppleにもVisaにも責任」と専門家が語る理由
セキュリティ研究者が「Apple Pay」のVisaカード決済に潜む脆弱性を発見した。AppleとVisaの両者は、それぞれ独立してこの脆弱性を修正できると研究者は指摘する。それはどういうことなのか。（2021/11/8）

Ciscoがセキュリティアドバイザリを公開　深刻度が「緊急」の脆弱性も
Ciscoは複数製品のセキュリティアップデートを公開した。脆弱性の中には深刻度が緊急（Critical）に分類されているものも2つ含まれている。該当の製品を利用しているかどうかを確認してほしい。（2021/11/6）

理研が不正アクセス被害、1万4000件の個人情報が流出か　指摘済みの脆弱性を悪用される
理化学研究所は、職員の研修などに利用している学習管理システムが不正アクセスされ、1万4000件の個人情報が流出した可能性があると発表した。（2021/11/5）

発生し得る攻撃の詳細と対策
「Apache HTTP Server」に脆弱性　専門家がパッチ適用を“強く推奨”の理由
「Apache HTTP Server」の脆弱性を悪用する攻撃を観測したという発表を受け、セキュリティ専門家は、利用者に対してパッチの適用を強く推奨している。その理由とは。（2021/11/5）

FirefoxとThunderbirdに複数の重要度「高」の脆弱性、アップデートを呼び掛け
FirefoxとThunderbirdに脆弱性が発見された。最悪の場合、システム制御権を奪われるリスクがあるため、急いで対応してほしい。（2021/11/4）

ランサムウェア「Hello Kitty」が活発化　標的にされる脆弱性は？
FBIは2021年1月に観測されたランサムウェア「Hello Kitty」に関する民間企業通知を発行した。これを利用する脅威アクターは「二重の脅迫」とDDoS攻撃を組み合わせてくるとし、注意を促している。（2021/11/3）

ソースコードに脆弱性を潜ませられるUnicode悪用攻撃法「Trojan Source」を研究者が発表
英ケンブリッジ大学コンピュータ研究所が、「Trojan Source」と名付けた攻撃法を発表した。Unicodeの脆弱性を悪用するもので、C、C++、C＃、JavaScript、Java、Rust、Go、Pythonに対して機能した。「他のほとんどの言語に対しても機能すると思われる」としている。（2021/11/2）

Androidの11月月例更新開始　「致命的」な2件を含む多数の脆弱性修正　Pixelでは機能改善も
GoogleはAndroidおよびPixelの月例アップデートを発表した。Androidでは重要度が最も高い2件と、悪用された可能性のある1件を含む脆弱性に対処。Pixelではキーボードや通知音の問題も修正した。（2021/11/2）

BINDにDoS攻撃を引き起こす脆弱性が見つかる　CISAが対策を呼びかけ
BINDにDoS攻撃を引き起こす可能性がある脆弱性が見つかった。CISAはユーザーにセキュリティ情報を確認するとともに、必要に応じたアップデートの適用を推奨している。（2021/11/2）

Exchange「Autodiscover」の脆弱性とは【中編】
「Exchange Server」「Exchange Online」の情報漏えいを防ぐ2つの対策
「Exchange Server」「Exchange Online」の自動設定検出機能「Autodiscover」の脆弱性は、情報漏えいを招く恐れがある。この問題を指摘したGuardicoreは、どのような対策を呼び掛けているのか。（2021/11/2）

「Apple Pay」悪用攻撃の影響と原因【前編】
「Apple Pay」の「Visaカード」決済に不正決済の脆弱性　その悪用の手口とは
研究者チームが「Apple Pay」のVisaカード決済に潜む脆弱性と、それを悪用する方法を見つけた。特定の条件下で不正決済が可能になるという。その仕組みはどのようなものか。（2021/11/1）

Appleとバグハンターの“対立”【後編】
脆弱性を探すバグハンターは、なぜAppleにうんざりするのか
「iOS」脆弱性の詳細公表に踏み切ったセキュリティ研究者は、脆弱性に対するAppleの姿勢を批判した。これまでもバグハンターの間では、Appleへの不満がくすぶっていたという。どういうことなのか。（2021/10/31）

Appleとバグハンターの“対立”【中編】
セキュリティ研究者が「iOS」脆弱性“怒りの公表”に踏み切った理由
脆弱性に対するAppleの姿勢に不満を持ったあるセキュリティ研究者が、「iOS」に存在する脆弱性の公表に踏み切った。Appleのどのような対処が、セキュリティ研究者をいら立たせたのか。（2021/10/30）

Chromeに“野に放たれた”エクスプロイト対策を含むアップデート
GoogleはChromeブラウザのセキュリティアップデート「95.0.4638.69」をリリースした。8件の脆弱性を修正する。そのうち2件は実際に悪用されたことが確認されている。（2021/10/29）

Appleとバグハンターの“対立”【前編】
セキュリティ研究家が“怒り”の公開　Apple「iOS」3つの脆弱性とは
あるセキュリティ研究者が、「iOS」に存在する3件の脆弱性の詳細を公表した。それぞれどのような脆弱性なのか。悪用されるとどのような影響があるのか。（2021/10/29）