Enterprise LLMs Under Risk: How Simple Prompts Can Lead to Major Breaches
2025/07/30 CyberSecurityNews — 大規模言語モデル (LLM) を統合するエンタープライズ・アプリ群は、単純に見えるプロンプトのインジェクション攻撃により、悪用の可能性が生じるという、前例のないセキュリティ脆弱性に直面している。最近のセキュリティ評価により明らかにされたのは、巧妙に作成された自然言語クエリのみを使用する攻撃者が、認証システム回避と機密データの抽出を達成し、不正なコマンドの実行を可能にするという問題である。
Continue reading “Enterprise LLM に潜むリスクを整理:シンプルなプロンプトによる巧妙な攻撃と甚大な被害”Google Launches DBSC Open Beta in Chrome and Enhances Patch Transparency via Project Zero
2025/07/30 TheHackerNews — セッション Cookie 窃取攻撃からユーザーを保護するために、Google が公表したのは、DBSC (Device Bound Session Credentials) と呼ばれるセキュリティ機能をオープン・ベータ版として提供することだ。この DBSC は、2024年4月にプロトタイプとして導入されたものであり、盗んだ Cookie を悪用する攻撃者からの、不正アクセスを防止するよう設計されている。つまり、認証セッションをデバイスにバインドすることで、攻撃者の管理下にある別のデバイスからの、被害者のアカウントへのサインインを阻止するものである。
Continue reading “Google が DBSC の Open Beta を公表:認証セッションのデバイス・バインドによる再利用の制限”npm ‘is’ Package With 2.8M Weekly Downloads Weaponized to Attack Developers
2025/07/29 CyberSecurityNews — npm を標的とするフィッシング攻撃の波は、280 万回/週のペースでプルされるユーティリティ “is” の乗っ取りにより、深刻度を増している。2025年7月19日に攻撃者は、盗み出したメンテナーの認証情報を用いて、悪意の “is” バージョン 3.3.1/5.0.0 をレジストリに登録した。それにより、通常の依存関係解決を通じて、バックドアがシームレスに拡散されていった。
Continue reading “npm の “is” パッケージ侵害:280 万回/週のペースで DL されるユーティリティが武器化された”AI-Generated Linux Miner ‘Koske’ Beats Human Malware
2025/07/25 DarkReading — 新たに発見されたクリプトマイナーが示すのは、人工知能 (AI) を駆使して開発されるマルウェアは完全に新しいものであり、人間が作成するマルウェアを超えるコードを生成しているという事実である。Aqua Nautilus の研究者たちは、ハニーポットから新たな Linux マルウェアを発見し、それを Koske と命名した。このマルウェアは、本質的にクリプトマイナーであり、感染させたコンピュータの能力を特定し、Monero/Ravencoin などの 18種類の暗号通貨を獲得するために最適化された、マイナーを実行するように設計されている。
Continue reading “マルウェアの開発能力を考える:AI が人間を凌駕する状況を “Koske” が証明”A Court Ruling on Bug Bounties Just Made the Internet Less Safe
2025/07/25 InfoSecurity — いまの時代の、サイバー脅威の頻度/規模/巧妙さが増大する現状において、官民の連携は強固な防衛手段である。しかし、United States v. Sullivan インシデントに関するU.S. Court of Appeals for the Ninth Circuit の最近の判決により、バグ報奨金プログラムを介した、責任のある脆弱性情報の開示のフレームワークが崩壊していく可能性が生じている。このフレームワークは、最も有効に機能している、官民連携の一つなのである。
Continue reading “バグバウンティを法的に規制する判決:本来の意図とは異なる判例がもたらす懸念とは?”Brave Browser Blocks Microsoft Recall by Default Due to Privacy Concerns
2025/07/23 CyberSecurityNews — Brave ブラウザがバージョン 1.81 以降において導入する重要なプライバシー保護対策は、Windowsユーザー向けに Microsoft が提供して物議を醸している、Recall 機能のデフォルトでのブロックである。Microsoft の Recall とは、ユーザー・アクティビティのスクリーンショットを自動的に取得し、ローカル・データベースに保存するものだ。したがって、この Brave の決定は、ユーザー・プライバシーおよびデータ・セキュリティに関する懸念の高まりを反映するものとなっている。
Continue reading “Brave 対 Microsoft Recall:洗練されたソユーションによるプライバシー保護”Wireshark 4.4.8 Released With Bug Fixes and Updated Protocol Support
2025/07/22 CyberSecurityNews — 世界で最も広く使用されている、ネットワーク・プロトコル・アナライザ Wireshark の最新のメンテナンス版である、バージョン 4.4.8 の提供が発表された。今回のアップデートでは、新しいプロトコルの追加は行われていないが、安定性の向上/ディセクタ機能の拡張/品質向上などを中心とした修正が取り込まれ、ネットワーク・エンジニア/セキュリティ・アナリスト/開発者たちにとって有用なものとなっている。
Continue reading “Wireshark 4.4.8 がリリース:クラッシュ・バグの修正とプロトコル対応の強化”Hackers Exploit DNS Queries for C2 Operations and Data Exfiltration
2025/07/17 CyberSecurityNews — DNS (Domain Name System) トンネリングを悪用するサイバー犯罪者が、秘密の通信チャネルを確立し、従来からのネットワーク・セキュリティ対策を回避するという傾向を強めている。この高度な手法は、DNS トラフィックが有する根本的な信頼を悪用するものだ。インターネット通信において不可欠な DNS トラフィックは、その役割を担うために、最小限の検査で企業のファイアウォールを通過する。
Continue reading “DNS トンネリングの事実:C2 通信およびデータ窃取を達成できる秘密とは?”Curl 8.15.0 Officially Released: 233 Bugs Fixed in Major Update
2025/07/16 gbhackers — URL を用いてデータを転送する、汎用的な CLI ツール/ライブラリである curl が公表したのは、233 件のバグ修正と内部アーキテクチャの合理化を経た、画期的なリリースであるバージョン 8.15.0 への到達である。2025年7月16日 10:00 CEST (08:00 UTC) に、Twitch 上のライブ・ストリームで正式発表された今回のバージョンは、curl プロジェクトの 269 回目のリリースであり、安定性/パフォーマンス/コミュニティ協調への継続的な取り組みを示すものとなっている。
Continue reading “curl の 8.15.0 が登場:269回目のリリースで 233件のバグと不具合を修正”UK launches vulnerability research program for external experts
2025/07/14 BleepingComputer — 英国の National Cyber Security Centre (NCSC) が発表したのは、外部のサイバー・セキュリティ専門家との関係強化を目的とする、新たな脆弱性研究イニシアチブ (VRI:Vulnerability Research Initiative) の立ち上げである。すでに NCSC は、広範なテクノロジーに関する内部的な脆弱性調査を実施しており、今後も継続していく方針であるという。しかし、今回の VRI の立ち上げにより、重要な知見の発見および、コミュニティへの迅速な情報共有のための、並行的なプログラムが創設されることになる。
Continue reading “英国が立ち上げる新たな脆弱性研究イニシアチブ VRI:外部の研究者との連携を深める!”Google Gemini for Workspace Vulnerability Lets Attackers Hide Malicious Scripts in Emails
2025/07/14 CyberSecurityNews — Google Gemini for Workspace に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この脆弱性を悪用する攻撃者は、メール本文内に悪意の指示を秘密裏に埋め込み、認証情報の窃取やソーシャル・エンジニアリング攻撃を引き起こす可能性を手にする。この攻撃は、AI アシスタントの “Summarize this email” 機能を悪用するものであり、Google からの送信を巧妙に装う、偽のセキュリティ警告を表示する仕組みを用いるものだ。
Continue reading “Google Gemini for Workspace の脆弱性:間接プロンプト・インジェクションという新たな攻撃ベクター”Employees are quietly bringing AI to work and leaving security behind
2025/07/11 HelpNetSecurity — IT 部門が AI ガバナンス・フレームワークの導入を急ぐ一方で、すでに数多くの従業員たちは、AI の “バックドア” を職場に持ち込んでいる。そんな実態が、ManageEngine の The Shadow AI Surge in Enterprises により報告された。Shadow AI は、北米全域の組織に静かに浸透し始め、注意深い IT 部門ですら、その検出は難しいという盲点を生み出している。正式なガイドラインや承認されたツールが存在しているが、Shadow AI は例外的なケースではなく、むしろ “当たり前” の存在となっている。ManageEngine の調査で、IT 意思決定者 (ITDM:IT decision makers) の 70% が認めたのは、組織として承認していない AI が使用されていることだ。
Continue reading “Shadow AI の急増:企業におけるリスクをストラテジーへと転換させる解は何処に?”Beyond CVE: Building a Complete Vulnerability Intelligence Strategy
2025/07/09 DeepakGupta — 従来からの CVE 追跡には、膨大な数の重大な脆弱性を見逃す可能性がある。つまり、CVE データベースのみに依存するセキュリティ・チームは、危険な盲点に直面する。このガイドは、現実世界の脅威から組織を保護するための、包括的な脆弱性インテリジェンス戦略の構築方法を説明するものだ。
あるチームが、本番システム上で重大な脆弱性を発見した。CVE データベースを調査しても情報が得られず、ベンダーのアドバイザリを確認しても見つからなかった。それから3週間後に、研究者が把握したのは、その脆弱性は数か月前に GitHub アドバイザリで公開されていたが、CVE 番号が付与されていなかったという事実である。
このような状況は、多くのセキュリティ専門家が認識している以上に発生している。CVE システムは基盤的な仕組みではあるが、現代のセキュリティ・チームにとって必要な、脆弱性インテリジェンスのごく一部しか提供できない。
Continue reading “Beyond CVE:複数のデータソース/自動化ツール/人間の専門知識を統合する戦略とは?”Infostealers-as-a-Service Push Identity Hacks to Record Highs
2025/07/08 hackread — ユーザーのログイン情報/個人情報を標的とするサイバー攻撃を 156% も急増させ、オフィス/リモート・ワーカーの双方に影響を及ぼす、高度なインフォスティーラー/フィッシング・ツールキットの台頭を、eSentire のサイバーセキュリティ研究者たちが指摘している。それらの攻撃者は、ログイン情報およびセッション・クッキーの窃取に注力しており、その先にある、Business Email Compromise (BEC) や暗号通貨窃盗といった金融犯罪につなげていると、eSentire のレポートは指摘している。
Continue reading “Infostealers-as-a-Service の台頭:攻撃のスキルとコストを低減し成功率を劇的に高める”Microsoft to Remove PowerShell 2.0 from Windows 11 Due to Security Risks
2025/07/07 gbhackers — Microsoft が発表したのは、Windows 11 ユーザにとって重要となる変更である。その内容は、レガシーなスクリプト・プラットフォームである Windows PowerShell 2.0 を、今後のビルドから削除するというものだ。この変更は、Canary チャネルにリリースされた Windows 11 Insider Preview Build 27891 に対して発表されたものであり、システム・セキュリティの強化とオペレーティングシステムの合理化に向けた、Microsoft の継続的な取り組みの一環だとされる。
Continue reading “PowerShell 2.0 の削除という Microsoft の決断:Windows 11 から始まるセキュリティ・リスクの排除”Threat Actors Weaponize PDFs to Impersonate Microsoft, DocuSign, Dropbox and More in Phishing Attack
2025/07/03 CyberSecurityNews — PDF 添付ファイルを攻撃手段とする、サイバー犯罪が大幅に増加している。この信頼性の高いドキュメント形式を悪用する脅威アクターたちが、Microsoft/DocuSign/Dropbox/PayPal/Adobe といった大手ブランドを装い、巧妙なフィッシング攻撃を展開している。それらの攻撃は、PDF ドキュメントに対してユーザーが抱く、広範な信頼を悪用するものであり、本来は安全であるはずのファイル共有手段が、認証情報の窃取や金融詐欺の入口として機能している。
Continue reading “PDF/QR Code を武器化:Microsoft/DocuSign/Dropbox などを装うフィッシング攻撃に要注意”Surge in LNK File Weaponization by 50%, Fueling Four Major Malware Types
2025/07/03 gbhackers — Palo Alto – Unit 42 のテレメトリ・データによると、マルウェア配布における Windows ショートカット (LNK) ファイルの武器化が前年から 50% も増加し、悪意の LNK サンプルは、2023年の 21,098 件から 2024年の 68,392 件へと急増しているという。本来の LNK ファイルは、複雑なフォルダ構造をナビゲートせずに、ファイルやアプリケーションへアクセスするための仮想リンクとして使用されるが、その柔軟性からサイバー犯罪者にとっても、強力な攻撃ツールとなっている。
Continue reading “LNK ファイル攻撃が 50% も急増:4種類のマルウェア・カテゴリーを特定/分析する”Microsoft Ends Authenticator App’s Password Management Support From 2025
2025/07/03 gbhackers — Microsoft が発表したのは、広く利用されている認証アプリ Authenticator の、パスワード管理機能の廃止に関するスケジュールである。それが示すのは、同社のデジタル・セキュリティ戦略における大きな方針転換だ。2025年7月から、オートフィル機能が使用できなくなり、2025年8月には、すべての保存されているパスワードが、このアプリから完全に削除されるという。
Continue reading “Microsoft Authenticator のパスワード管理機能が廃止:Passkeys パスワードレスへの大きな転換”AI Crawlers Reshape The Internet With Over 30% of Global Web Traffic
2025/07/02 CyberSecurityNews — 世界のインターネット・インフラ上において、人工知能クローラーが支配的な勢力として台頭しはじめ、デジタル環境は根本的な変革を遂げている。最近の分析によると、現在の世界全体の Web トラフィックに占める、自動化されたボットの割合は約 30%を占めるに至り、従来からの人間主導のインターネット利用パターンからの、大きな転換を示しているという。この劇的な進化は、単なる技術的な変革に留まらず、デジタル・ネットワーク内における情報流通の構造を、全面的に再構築するものである。従来の検索インデックス作成メカニズムに対して、AI 搭載クローラーが取って代わるケースが急速に増加している。
Continue reading “AI クローラーの台頭:世界の Web トラフィックの 30% を占める自動ボットの功罪”Zig Strike – An Offensive Toolkit to Create Payloads and Bypass AV, XDR/EDR Detections
2025/06/30 CyberSecurityNews — 研究者のための OSS 攻撃用ツールキット Zig Strike は、アンチウイルス (AV) /次世代型アンチウイルス (NGAV) /エンドポイント検知&対応 (XDR/EDR) などの、高度なセキュリティ・ソリューションを回避するよう設計されたものだ。最新のプログラミング言語 Zig を活用する、このツールキットは、レッドチームの能力を大きく進化させるものであり、Microsoft Defender for Endpoint (MDE) さえも回避していく、高度なペイロードを生成する。
Continue reading “Zig Strike によるレッド・チーム支援:次世代ペイロードの生成と AV/XDR/EDR の回避”Microsoft Teams to Auto-Detect Work Location Using Company Wi-Fi
2025/06/27 gbhackers — Microsoft が Teams について発表した内容は、組織の Wi-Fi ネットワークに接続したユーザーの勤務場所を、自動的に検出/設定をする新機能を導入する予定に関するものだ。それにより、ハイブリッド・ワークプレイスにおける、 エクスペリエンスの効率化に向けた大きな前進が始まるという。2025年9月上旬には、この機能の一般への提供の開始が予定されており、Windows/Mac のデスクトップ ・ユーザーが利用できるようになる。
Continue reading “Microsoft Teams のユーザー・ロケーション特定機能:組織内の Wi-Fi を活用して自動的に検出”nOAuth Exploit Enables Full Account Takeover of Entra Cross-Tenant SaaS Applications
2025/06/26 gbhackers — Microsoft Entra ID と統合される SaaS (Software-as-a-Service) アプリケーションの一部において、“nOAuth” と命名される深刻なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、テナント間の境界を越えた、完全なアカウント乗っ取りの可能性を得る。2025年6月26日に公開された、セキュリティ企業 Semperis による調査結果によると、Microsoft Entra App Gallery に掲載されている 104個のアプリのうちの 9個 (約9%) が、この脆弱性の影響を受けるという。
Continue reading “Entra ID に潜む “nOAuth” という脆弱性:SaaS アプリにおけるアカウント乗っ取りの可能性”MOVEit Transfer Systems Hit by Wave of Attacks Using Over 100 Unique IPs
2025/06/26 gbhackers — MOVEit Transfer を標的とするスキャン/エクスプロイトの活動の急増により、世界中のサイバー・セキュリティ研究者や企業のセキュリティ対策担当者の間に懸念が生じている。これまでの 90 日間で 、脅威インテリジェンス企業 GreyNoise が検出したのは、MOVEit Transfer システムを標的とする 682 個の IP アドレスである。この Progress Software のファイル共有プラットフォームに対する、 最も積極的な活動は 2025年5月27日に始まり、1日あたりのスキャン活動が 0 件から 100 件以上にまで急増している。
Continue reading “MOVEit Transfer に押し寄せる脅威:600 以上のユニーク IP からの積極的な偵察を検知”Windows 11 Configuration Bug Freezes Update Scanning Process
2025/06/25 gbhackers — 前日に発見された Windows 11 のバグにより、OS の更新プログラムのスキャン・プロセスが予期せずフリーズするという事態が生じている。それにより、重要な更新プログラムの確認やインストールが不能となり、数多くのユーザーが大きな問題に遭遇している。すでに Microsoft は、この問題をオフィシャルに認めており、世界中の影響を受けるデバイスに対して、修正プログラムを提供している。この、“Scan for Updates” 機能へのレスポンスが失われる問題は、Windows 11 バージョン 24H2 を実行するユーザーに影響をおよぼすものだ。
Continue reading “Windows 11 の Config バグ:更新プロセス停止に対する恒久的な対策とは?”OWASP Launches AI Testing Guide to Uncover Vulnerabilities in AI Systems
2025/06/24 gbhackers — 現代の産業において基盤となり始めている人工知能 (AI) に対して、Open Web Application Security Project (OWASP) が発表したのは、AI Testing Guide の公開である。それは、AI システム特有の脆弱性に対する、ユーザー組織による特定と軽減に役立つように設計された、包括的なフレームワークである。すでに AI は、医療や金融から自動車や IT に至るまでの、広範な分野の重要な業務を支えている。その流れの中で、専門的なセキュリティ/プライバシー/倫理的テストに対するニーズの高まりに、この取り組みは対応している。
Continue reading “OWASP が AI Testing Guide を発表:新たな問題を特定/軽減する包括的なフレームワーク”Google Integrates GenAI to Counter Indirect Prompt Injection Attack Vectors
2025/06/23 gbhackers — Google が公開したのは、巧妙かつも強力な脅威である、間接プロンプト・インジェクション攻撃に対抗するための、徹底的な保護技術に関する情報である。それが示すのは、生成 AI 時代のサイバー・セキュリティにおける大きな進歩である。AI プロンプトに対して、悪意のコマンドを明示的に挿入する直接プロンプト・インジェクションとは異なり、この間接インジェクションとは、メール/ドキュメント/カレンダーなどの、外部データ・ソースに有害な命令を埋め込むものだ。
Continue reading “Google の GenAI セキュリティ:Gemini で阻止する間接プロンプト・インジェクション攻撃”Microsoft Family Safety Blocking All the Version of Chrome Browsers
2025/06/23 CyberSecurityNews — 先日の Microsoft Family Safety アップデートにより、すべての Google Chrome バージョンにおいて、想定外のブロックが発生している。それにより、Windows デバイスのペアレンタル・コントロール機能を使用している、教育機関や家庭に大きな影響が生じている。この問題が発生したのは、2025年6月3日であり、Chrome のアップデートが公表されたタイミングと一致している。しかし、このブロック・メカニズムは、旧バージョン/現行バージョンを問わず、無差別に影響を与えている。
Continue reading “Microsoft Family Safety のアップデートが引き起こした問題:すべての Chrome をブロック”Microsoft Entra ID Expands Passkey (FIDO2) Authentication Methods for Public Preview
2025/06/19 CyberSecurityNews — Microsoft が発表したのは、Microsoft Entra ID (旧 Azure AD) におけるパスキー (FIDO2) 認証手段の拡充である。それにより、同社の IAM (identity and access manage) 機能がさらに強化される。この機能拡張の展開は、2025年10月中旬よりパブリック・プレビューとして段階的に開始され、11月中旬には全面的なものになると予定されている。今回のアップデートでは、グループ単位での詳細な Passkeys 設定が可能となり、エンタープライズ認証の安全性と柔軟性が大幅に向上する。
Continue reading “Microsoft Entra ID が進化:グループごとの Passkeys 詳細設定に対応”Russian Hackers Bypass Gmail MFA With App-Specific Password Ruse
2025/06/18 SecurityWeek — ロシア政府との関係性を有するプロフェッショナルなハッキング・チームが、あまり知られていない Google の ASP (Application-Specific Password) 機能を悪用し、Gmail の2段階認証 (MFA) を回避する新たな手口を用いて、巧妙に仕掛けられたフィッシング攻撃を展開していたことが判明した。
Continue reading “Gmail の MFA を回避:ロシア系ハッカーが悪用する App-Specific Password とは?”Insecure GitHub Actions in Open Source Projects MITRE and Splunk Exposes Critical Vulnerabilities
2025/06/18 CyberSecurityNews — GitHub に対する包括的なセキュリティ調査により、主要な OSS リポジトリ全体にわたる GitHub Actions ワークフローにおいて、広範な脆弱性の存在が明らかになったが、その中には MITRE や Splunk といった組織が管理するリポジトリも含まれる。今回の発見が浮き彫りにするのは、これらのプロジェクトを潜在的なサプライチェーン攻撃や機密情報への不正アクセスにさらす、安全が確保されない CI/CD (Continuous Integration and Continuous Delivery) コンフィグレーションの懸念すべきパターンである。
Continue reading “GitHub Actions に潜む問題:MITRE/Splunk リポジトリへの侵害を研究者たちが実証”2025/06/15 CyberDefenseMagazine — 先日に Multi-State Information Sharing and Analysis Center が発表したレポートによると、国家レベルの攻撃者や巧妙化するランサムウェア攻撃の増加に、政府組織は直面しているようだ。これまでにおいて、サイバー攻撃に対して最も脆弱な組織として挙げられてきたのは、大企業や連邦政府などである。しかし、時が経つにつれ、公共の安全/福祉/教育/医療といった、より地域に根ざした重要なサービスが、標的にされるようになってきた。
Continue reading “パッチの適用と遅延の代償:米国の州政府と自治体が直面する問題を整理する”Arsen Launches AI-Powered Vishing Simulation to Help Organizations Combat Voice Phishing at Scale
2025/06/13 hackread — ソーシャル・エンジニアリングに対抗する、サイバー・セキュリティのスタートアップ企業 Arsen が発表したのは、Vishing をシミュレーションするためのモジュールのリリースである。この製品は、従業員の訓練を目的とした AI ベースのトレーニング・ツールであり、増加傾向にある Vishing (voice phishing) に対抗するために、最先端の技術を用いるものでもある。このモジュールは、IT サポート・デスクを装うソーシャル・エンジニアリング攻撃などを、AI 生成の音声と適応型の対話システムを用いて、現実的でスケーラブルな音声ベースでシミュレートする。
Continue reading “Arsen による AI 搭載の音声詐欺シミュレーター:組織全体の Vishing 対策強化を支援”Secure by Design is just the start, CISA official says
2025/06/13 nextgov — CISA の関係者によると、Secure by Design の導入は、脅威に対抗する強靭なデジタル環境を構築するための、第一歩に過ぎないという。ワシントンD.C.で開催されたサイバー・セキュリティ会議 Critical Effect の講演で、CISA の Secure by Design Initiative PM である Kirk Lawrence は、「このイニシアチブの原則の導入は、家のセキュリティ対策として、玄関のドアに鍵をかけるようなもので、最初のステップに過ぎない」と述べている。
Continue reading “Secure by Design は単なるスタート地点:そしてレジリエンスの始まりである – CISA”SAML vs. OAuth 2.0: Mastering the Key Differences
2025/06/13 SecurityBoulevard — 月曜日の朝の、こんな状況を想像してほしい。コーヒーを飲み、デスクに座り、PC を開く。まずはメールにログイン。次にプロジェクト管理ツールを起動する。最初のタスクに取り掛かる前に、迷路のようなログイン画面をくぐり抜け、何度もパスワードを入力していく。こんな日常があるはずだ。
デジタル化が進む現代社会で、私たちは、数え切れないほど多くのアプリケーションにアクセスしている。膨大な認証情報の管理は面倒なだけではなく、セキュリティ・リスクにもつながる。そこで、Single Sign-On (SSO) のようなテクノロジーが役に立つ。SSO は、1回のログインを介することで、複数の承認済みアプリケーションへのアクセスが許可されるという、心地よい世界を実現してくれる。こうした、SSO とセキュア・アクセスの文脈でよく話題に上がるのは、2つの主要な技術 SAML と OAuth 2.0 である。
Continue reading “SAML vs. OAuth 2.0:認証と認可における2つのスタンダードを理解して比較する”NIST Publishes New Zero Trust Implementation Guidance
2025/06/12 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) が公開したのは、ZTA (Zero Trust Architecture) の実装に関する、新たな実践的なガイダンスである。2020年に NISTが 公開した以前の ZTA ガイダンスでは、このアプローチが概念レベルで説明されていたが、今回の新しいガイダンスは、ユーザー組織における実装上の課題を克服するようデザインされている。なお、一部の組織に対する規制要件の結果として、ZTA の採用が増加していると、NIST は指摘している。
Continue reading “NIST の Zero Trust ガイダンス実装編:市販テクノロジーで構築する 19種類の事例”Why DNS Security Is Your First Defense Against Cyber Attacks?
2025/06/11 TheHackerNews — いまのサイバー・セキュリティの世界で焦点が当たるものには、ファイアウォールおよび、ウイルス対策ソフトウェア、エンドポイント検出などがある。これらのツールは不可欠であるが、それ以外にも見落とされがちな重要レイヤーがある。それが、Domain Name System (DNS) だ。ほぼ、すべてのオンライン・インタラクションの起点であり、基盤でもある DNS が、攻撃の標的となるケースが増えてきている。したがって、適切な保護が行われないと、サービスの中断/ユーザーのリダイレクト/機密データの漏洩などにつながるシングルフェイル・ポイントとなる。つまり、DNS の 保護は、単なる推奨ではなく、必須の事項である。
Continue reading “DNS Security を考える:最前線で戦うセンサー/シールドへと変貌を遂げるか?”Qtap – An Open-Source Tool to See Through Encrypted Traffic in Linux systems
2025/06/10 CyberSecurityNews — Qpoint が公表したのは、Linux システム上のネットワーク・トラフィックを監視する、オープンソース eBPF エージェントである Qtap のリリースだ。TLS/SSL 機能にフックして暗号化前後のデータをキャプチャする Qtap は、プロセス/コンテナ/ホスト/ユーザー/プロトコルといった詳細情報と共に、平文のトラフィックを可視化する。
Continue reading “Qtap – Linux システムの暗号化されたトラフィックを可視化:新たな OSS ツールの登場”ConnectWise rotating code signing certificates over security concerns
2025/06/10 BleepingComputer — ConnectWise はセキュリティ上の懸念から、ScreenConnect/ConnectWise Automate/ConnectWise RMM の実行ファイルの署名に使用される、デジタル・コード署名証明書をローテーションすると顧客に警告している。デジタル証明書は、実行ファイルへの署名のために使用されるものだ。それにより、ファイルをダウンロードするユーザーは、ファイルが信頼できるソースからのものであることを確認できる。つまり、エンドユーザーに届く前に、コードが改竄されていないことが保証される。
Continue reading “ConnectWise が署名証明書をローテーション:最近のサイバー攻撃とは無関係だと言うが”Linux Foundation unveils decentralized WordPress plugin manager
2025/06/09 BleepingComputer — WordPress の元開発者やコントリビューターで構成される団体が、Linux Foundation の支援を受けるかたちで、信頼性の高い WordPress プラグイン/テーマを提供する、新たな独立系ディストリビューション・システム FAIR Package Manager を発表した。その背景にあるのは、商用 WordPress ホスティング・プロバイダーである Automattic と WP Engine の間で発生した法的な対立である。具体的に言うと、プラグイン/テーマのアップデートを管理するために使用される、 WordPress.org プラットフォームへの WP Engine のアクセスを、Automattic が制限したことに端を発する問題である。
Continue reading “WordPress の分散型 Plugin Manager の発表:Linux Foundation が後押しする理由は何処に?”ClickFix Email Scam Alert: Fake Booking.com Emails Deliver Malware
2025/06/05 HackRead — Cofense Intelligence のサイバー・セキュリティ専門家たちが警告するのは、ホテルやレストランなどの飲食/宿泊チェーンに対して、Booking.com を模倣する悪意のメールを送付する、詐欺行為の横行である。これらの詐欺メールは、ユーザーを騙して悪意のあるソフトウェアを実行させる、ClickFix と呼ばれる攻撃キャンペーンの一部である。
Continue reading “ClickFix フィッシング・メールとは? Booking.com などを装う攻撃キャンペーン”Popular Chrome Extensions Leak API Keys, User Data via HTTP and Hardcoded Credentials
2025/06/05 TheHackerNews — Chrome エクステンション群の中に、HTTP 経由でデータを平文送信し、ソースコード内に秘密情報をハードコーディングする複数の製品が存在し、深刻なプライバシー/セキュリティ・リスクにユーザーが直面していることを、サイバー・セキュリティの研究者が警告している。Symantec のセキュリティ研究者 Yuanjing Guo は、「広く使用されている複数のエクステンションが、意図せず単純な HTTP 経由で機密データを送信している。それにより、ブラウジング・ドメイン/マシン ID/オペレーティング・システムの詳細/使用状況の分析/アンインストール情報などが平文で送信されている」と指摘している。
Continue reading “人気の Chrome エクステンション群に深刻な問題:HTTP 平文通信や API キー漏洩など”Outlook Users Targeted by New HTML-Based Phishing Scheme
2025/06/05 gbhackers — Microsoft Outlook の HTML メール処理方法を悪用する、最近のフィッシング攻撃で明らかになったのは、悪意のあるリンクを企業ユーザーの目から隠す、高度な手法の存在である。この攻撃が始まったころは、チェコの銀行を装う標準的なフィッシング攻撃のように見えたが、条件付き HTML コメントを利用して、メッセージを開いたメール・クライアントに応じて異なるコンテンツを表示するものだと判明した。この手法を用いる攻撃者は、Outlook ユーザーに正規の銀行の URL を表示し、それ以外のユーザーを認証情報収集サイトへとリダイレクトしているという。
Continue reading “新たな HTML-Based フィッシングを発見:Outlook のコメント・タグの悪用とメール・クライアントの識別”The 6 identity problems blocking AI agent adoption in hybrid environments
2025/06/03 strata — もはや AI エージェントは、単なる実験の期間を通過し、現代の企業の業務プロセスへと組み込まれ始めている。トランザクション処理からロジスティクスの調整にいたるまで、人やシステムに代わって、エージェントが機能するケースが増えている。しかし、ここに落とし穴がある。エージェントの ID を管理するための、インフラが追い付いていないのである。
Continue reading “AI Agent と ID 管理:ハイブリッド環境を想定すると浮上する6つの問題点”Trump’s 2026 Budget Guts CISA: Nearly 30% of Jobs and $500M on the Chopping Block
2025/06/03 eSecurityPlanet — トランプ政権が発表した 2026年度予算案では、CISA (Cybersecurity and Infrastructure Security Agency) に対する大幅な削減が提案されている。それにより、CISA の運営予算が $500M 近く削減され、職員の約 30% (3,732人から 2,649人) が解雇されることが明らかになった。この計画が議会で承認されると、2018年の CISA 設立以来、最大幅の縮小となる。
Continue reading “トランプ予算案 2026:CISA の 予算 $500M と 約 30%の職員が削減対象に”Stealth Syscall Technique Allows Hackers to Evade Event Tracing and EDR Detection
2025/06/02 gbhackers — 最新のセキュリティ・インフラである、Event Tracing for Windows (ETW)/Sysmon Monitoring/Endpoint Detection and Response (EDR) を巧みに回避する、洗練されたステルス・システム・コール実行手法を、高度な脅威アクターたちが開発しているという。これらの手法は、コール・スタック・スプーフィング/ETW API フック/暗号化されたシステム・コール実行などの回避手法を組み合わせることで、従来の検出メカニズムを無効化するものであり、サイバー・セキュリティ防御者にとって大きな課題となっている。
Continue reading “ステルス性 Syscall テクニックが大幅に進化:Event Tracing/EDR が完全に回避される”What is a next-generation firewall (NGFW)?
2025/06/02 techtarget — NGFW (next-generation firewall) とは、従来からのファイアウォール機能と、新たな能力を組み合わせるネットワーク・セキュリティ・デバイスであり、高度なサイバー攻撃を検知/阻止するものだ。NGFW は、ハードウェア/ソフトウェア/クラウドをベースに展開される。サイバー攻撃を検知/阻止するために、アプリ/ポート/プロトコルのレベルでセキュリティ・ポリシーを適用する、従来からのファイアウォールの機能に加え、以下の高度な能力を備えている。
Continue reading “Next-Generation Firewall とは?従来型との比較とメリット/デメリット”Future of Passwords Biometrics and Passwordless Authentication
2025/06/02 CyberSecurityNews — パスワードレス技術の急速な拡大により、デジタル認証の世界は大きな変革期を迎えている。2024年には、Passkeys の採用が前年比 400%増と驚異的な伸びを見せている。周知のとおり、パスワードは廃れるという予測がある。その一方で、最近の動向が示唆するのは、パスワードは完全に排除されるのではなく、洗練されたエコシステムの中に位置づけられ、最先端の生体認証や暗号技術と共存するという未来である。
Continue reading “パスワードレス社会への道:Passkeys の台頭 + 生体と行動の認証による未来”Google Chrome to distrust Chunghwa Telecom, Netlock certificates in August
2025/06/02 BleepingComputer — Google が発表したのは、繰り返されるコンプライアンス違反と改善の遅れを理由に、Chrome Root Store に置かれる Chunghwa Telecom と Netlock の署名付きルート CA 証明書を、今後は信頼しないという声明である。この変更は、2025年8月1日にリリースが予定される、Google Chrome のバージョン 139 で適用されるという。今回の措置の理由として Google が挙げるのは、継続的なコンプライアンス違反、改善コミット・メントの不履行、そして目に見える進捗の欠如にある。
Continue reading “Google から Chunghwa Telecom と Netlock に通知:Chrome の認証局リストから排除”Phishing-as-a-Service: The Rise of Subscription-Based Cybercrime
2025/05/31 CyberSecurityNews — サイバー犯罪の世界は絶えず進化を続けており、最も効果的かつ広範囲に及ぶ攻撃手法の一つとして、フィッシングは主役の座に居続けている。その一方で、この種の攻撃の方式は劇的に変化している。かつては手作業で高度な技術を必要としたプロセスが、いまではオンデマンドで利用できるサービスとしてパッケージ化され、基本的なインターネット接続さえあれば、誰もがアクセスできるようになった。
Continue reading “Phishing-as-a-Service の進化を分析:スケーラブルなサイバー犯罪ビジネス・モデルに立ち向かうために”Firebase, Google Apps Script Abused in Fresh Phishing Campaigns
2025/05/30 SecurityWeek — 先日に確認された2件のフィッシング攻撃キャンペーンについて、サイバー・セキュリティ研究者たちが注意を呼びかけている。それらの攻撃キャンペーンは、正規サービスである Firebase と Google Apps Script を悪用して、無防備なユーザーを悪質なコンテンツに誘い込むものだ。2025年5月中旬に Trellix が発表したのは、Rothschild & Co の従業員を装うスピア・フィッシング攻撃が、カナダ/ヨーロッパ/中東/南アジア/アフリカの、銀行/電力/保険/投資などの組織の財務幹部を標的としていたことだ。
Continue reading “Firebase と Google Apps Script を悪用:巧妙なフィッシング・キャンペーンに要注意”
IoT OT Security News 
You must be logged in to post a comment.