OWASP Top 10 2025 – Revised Version Released With Two New Categories
2025/11/10 CyberSecurityNews — Open Web Application Security Project (OWASP) が発表したのは、主力プロジェクト “OWASP Top 10 2025” の最新候補版である。今回の第8版は、進化するソフトウェア・セキュリティ脅威に対応するための大幅な更新が施されている。2025年11月6日に公開された改訂版は、コミュニティ調査から得られた意見と拡張データ分析を反映し、2つの新カテゴリーの追加と他カテゴリーの統合により、症状ではなく根本原因を適切に表現するようになった。このリストは、Web アプリケーションのリスク優先順位付けを行う開発者/セキュリティ専門家/組織にとって依然として重要なリソースである。
Continue reading “OWASP Top 10 2025 の改訂版が公開:サプライチェーンなどの新カテゴリーを追加”OWASP Launches AI Testing Guide to Uncover Vulnerabilities in AI Systems
2025/06/24 gbhackers — 現代の産業において基盤となり始めている人工知能 (AI) に対して、Open Web Application Security Project (OWASP) が発表したのは、AI Testing Guide の公開である。それは、AI システム特有の脆弱性に対する、ユーザー組織による特定と軽減に役立つように設計された、包括的なフレームワークである。すでに AI は、医療や金融から自動車や IT に至るまでの、広範な分野の重要な業務を支えている。その流れの中で、専門的なセキュリティ/プライバシー/倫理的テストに対するニーズの高まりに、この取り組みは対応している。
Continue reading “OWASP が AI Testing Guide を発表:新たな問題を特定/軽減する包括的なフレームワーク”Do We Really Need The OWASP NHI Top 10?
2025/01/27 TheHackerNews — 先日に OWASP (Open Web Application Security Project) は、新たな指針としての Non-Human Identity (NHI) Top-10 に取り組み始めた。長年にわたり OWASP は、広く利用される API Top-10 や Web App Top-10 などのプロジェクトを通じて、セキュリティの専門家と開発者に対して、重要なガイダンスと実用的なフレームワークを提供してきた。Non-Human Identity (NHI) セキュリティは、サイバー・セキュリティ業界で新たな関心を集めている。そこで OWASP は、NHI Top-10 により、API キー/サービス・アカウント/OAuth アプリ/SSH キー/IAM ロール/シークレットなどのマシン認証情報とワークロード ID に関連する、リスクと監視の欠如を指摘している。
Continue reading “OWASP の Non-Human Identity (NHI) Top-10 とは? 隠れたリスクを可視化する”OWASP Unveils Top 10 Smart Contract Vulnerabilities for 2025
2025/01/20 SecurityOnline — Open Web Application Security Project (OWASP) は、2025年において Smart Contract に影響を与え得る、脆弱性の Top-10 リストを更新した。この包括的なドキュメントは、Smart Contract で最重視されるべき脆弱性を特定し、分散型エコシステムのリスクを軽減するためのロードマップを、開発者とセキュリティ専門家に提供するものである。
Continue reading “OWASP の Smart Contract 脆弱性 Top-10:2025年の傾向を探る”OWASP Beefs Up GenAI Security Guidance Amid Growing Deepfakes
2024/11/05 DarkReading — いまでは、ディープフェイクや GenAI 攻撃は珍しいものではなく、今後においては、そのような攻撃が急増する兆候が見られる。すでに、AI が生成したテキストは、電子メールでは一般的なものとなり、人間が作成した可能性が低い電子メールを検出する方法を、セキュリティ企業は見つけ出そうとしている。mimecast の分析によると、人間が作成した電子メールは、すべての電子メールの約 88% に減少している。LLM が生成する電子メールの割合は、2022年後半の約 7% から、現在の約 12%へと上昇している。
Continue reading “OWASP の GenAI セキュリティ・ガイダンス:ディープフェイクの増加を受けて強化”GitHub Attack Vector Cracks Open Google, Microsoft, AWS Projects
2024/08/14 DarkReading — Google/Microsoft/Amazon Web Services などが所有する、GitHub オープンソース・プロジェクトに影響を与える攻撃ベクターが、Palo Alto Networks の Unit 42 により発見された。Unit 42 の主任研究者である Yaron Avital は、グローバル企業が所有する知名度の高いオープンソース・プロジェクトに対しても、この攻撃は有効であると言う。それらのプロジェクトが侵害されると、何百万もの消費者に影響を及ぶ可能性があると、 8月13日に発表されたブログで、彼は述べている。
Continue reading “GitHub の新たな攻撃ベクター:Google/Microsoft/AWS などのプロジェクトをクラック – Unit 42 調査”NIST National Vulnerability Database Disruption Sees CVE Enrichment on Hold
2024/03/15 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) で、不可解なことが起こっている。それにより、数多くの組織が、脅威の影響を被りやすい状況へと陥る可能性がある。2024年2月12日以降において NIST は、NVD (National Vulnerability Database) 上のソフトウェア脆弱性の更新を、ほぼ完全に停止している。NVD とは、ソフトウェア脆弱性データベースであり、世界で最も広く利用されているものだ。
Continue reading “NIST NVD の障害:CVE に紐づくはずのメタデータが提供されていない”Top 10 API Security Threats for Q3 2023
2023/11/14 SecurityWeek — 最新の “2023 Q3 API Threatstats” レポートから得られたのは、API の脆弱性の件数が急速に増加し、この成長のために応じた、新たな AP Iセキュリティ脅威 Top- 10 に対して、リアルタイムなデータ駆動型の編纂が必要だという知見である。API と Apps のセキュリティ企業である Wallarm のレポート (PDF) の大部分は、個々の脆弱性のカテゴリーについて、それらが実際に使用された事例を交えて論じている。たとえば、広く使用されている OAuth や SSO プロトコルの脆弱性が発見され、Cisco や Ivanti のような大手企業のシステムで潜在的なセキュリティ侵害が露呈しているといったケースに対応するものだ。それは、際立った特徴を持つものであり、脅威リストへの新しいアプローチでもある。
Continue reading “API Security Threats Top-10 の新たな動向:リアルタイムを目指す Wallarm”AI Safety Summit: OWASP Urges Governments to Agree on AI Security Standards
2023/11/02 InfoSecurity — OWASP (Open Worldwide Application Security Project) によると、AI の急速な普及がもたらす危険を軽減するためには、AI を搭載するツールがもたらすセキュリティと倫理的リスクに関する、トップレベルの議論だけでは、もはや不十分だという。2023年11月1日~2日にイギリスのブレッチリー・パークで開催された AI Safety Summit に先立ち、この非営利団体はサミット参加者に対して、実用的な AI セキュリティ標準に合意し採用することを、迅速に推進すべきという行動喚起を促している。
Continue reading “AI Safety Summit:OWASP が各国政府に対して AI セキュリティ基準の採用を要求”OWASP’s 2023 API Security Top 10 Refines View of API Risks
2023/06/07 SecurityWeek — 2023年の主要な API セキュリティ・リスクに関する、OWASP のランキングが発表された。このランキングは、2019年との類似点が多いが、いくつかが再編成/再定義されたのに加えて、新しいコンセプトも含まれている。
Continue reading “OWASP API Top-10 Risk の 2023版が公開:これまでの 2019版との違いは?”Attackers exploit APIs faster than ever before
2023/03/08 HelpNetSecurity — Wallarm が35 万件のレポートを精査したところ、337 のベンダーが関連する、650 の API 固有の脆弱性が確認されたという。さらに、これらの脆弱性に影響を与える 115 の公開されたエクスプロイトを追跡した結果、API の脅威の状況は、さらに危険度を増していることが判明したという。
Continue reading “API 悪用の脅威がスピードアップ:脆弱性の発生と攻撃の頻度も増大している”Java, .NET Developers Prone to More Frequent Vulnerabilities
2023/01/16 DarkReading — Java と .NET で書かれたアプリケーションの約 75% が、OWASP Top-10 に含まれる脆弱性を、少なくとも1つは持っていることが判明した。ソフトウェア・テスト会社である Veracode が、約76万件のアプリケーションを分析した結果として、上記の2つのプログラミング・エコシステムを使用したアプリケーションの 20% ほどは、少なくとも1つの深刻な脆弱性を抱えていることも明らかになった。
Continue reading “Java と .NET のデベロッパー:大量の脆弱性に対峙する理由を解明”Atlassian Vulnerabilities Highlight Criticality of Cloud Services
2022/10/25 DarkReading — アジャイル・プランニングの SaaS (Software-as-a-Service) ツール Atlassian Jira Align に存在する2つの脆弱性 (CVE-2022-36802/CVE-2022-36803) により、サービスにアクセスできる脅威アクターがアプリケーション管理者になり、Atlassian サービスを攻撃する可能性があることが判明した。サイバーセキュリティ・サービス企業である Bishop Fox は、「この脆弱性は、クラウド・サービスで生じるリスクの典型であり、比較的よく知られているが、発見するのが難しいことが多い」と、今日のアドバイザリで述べている。
Continue reading “Atlassian Jira Align の脆弱性:クラウド・インフラの一部を制御される可能性”Does the OWASP Top 10 Still Matter?
2022/10/13 TheHackerNews — OWASP Top 10 とは何か? このレビューでは、この OWASP が提供する重要なリスク・レポートの活用方法について紹介していく。OWASP (Open Web Application Security Project) とは、Web アプリケーションのセキュリティ向上を目的とした、国際的な非営利団体のことである。
Continue reading “OWASP Top 10:限定するから価値があり、限定するから欠点もある”Shadow APIs hit with 5 billion malicious requests
2022/10/07 HelpNetSecurity — Cequence Security は、”API Protection Report: Shadow APIs and API Abuse Explode” と題した、2022年上半期のレポートを発表した。調査結果の主なものは、一般的に Shadow API と呼ばれる、未知かつ管理/保護されていない API を対象とした、約50億 (31%) の悪質なトランザクションに関するものであり、この分野における最大の脅威になっているという。
Continue reading “OWASP API Top 10 [+] に注目:Shadow API を狙う 50億のリクエストなどの脅威”2022/06/14 SecurityAffairs — ユーザー組織におけるエコシステムは、API を介して急速にオープン化され、データへのシームレスなアクセスや、外部のソフトウェア・コンポーネント/サービスとの相互作用が保証されるようになってきた。API とは、組織内のデータに対して、高度なセキュリティを提供するためのゲートウェイである。また API は、異なるアプリケーション間における通信を可能にすることで、タスクの自動化などを実現し、業務を容易にする。しかし、組織はデータを保護するために、API に対する攻撃から身を守る必要性に常に直面している。
Continue reading “API セキュリティのベスト・プラクティス:攻撃トラフィック量が 681% 増加という現実”Gathering Momentum: 3 Steps Forward to Expand SBoM Use
2022/06/06 DarkReading — IT 環境における Software Bills of Materials (SBoM) の普及を求める声は大きくなっているが、アプリケーション・ポートフォリオで使用されている、ソフトウェア・コンポーネントの追跡のために SBoM を一貫して導入している組織は、相対的に少ないという現実がある。
Continue reading “SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減”Salt Security Survey Surfaces API Security Weaknesses
2022/03/02 SecurityBoulevard — 今日、Salt Security が発表した、セキュリティ/アプリケーション/DevOps 関連の、250人以上の役員および専門家を対象とした調査によると、回答者の 95% が過去 12ヶ月間に API に関わるセキュリティ・インシデントを経験し、62% が API セキュリティの懸念からアプリケーションの展開を遅らせたと報告していることが判明した。
Continue reading “Salt Security の調査:API の広大な攻撃面積を保護するためには?”The State of Credential Stuffing Attacks
2022/01/17 SecurityIntelligence — この数年において、クレデンシャル・スタッフィングが、デジタル攻撃者の間で好まれる手口となっている。Help Net Security の報告によると、研究者たちは 2020年に、世界で 1,930億件のクレデンシャル・スタッフィング攻撃を検出した。そのうち、金融サービス分野は 34億件の攻撃を受け、前年比で45%以上の増加となっている。Business Wire によると、2021年の上半期に詐欺師たちは、既存のユーザー・アカウントへの侵入や、新しいアカウントの作成などにより、デジタルア・カウントを標的にしてきた。そのうちの 30% ほどが、クレデンシャル・スタッフィングによる攻撃だった。
Continue reading “クレデンシャル・スタッフィング攻撃:現状を理解して対策を講じるために”High-Severity Vulnerability in 3 WordPress Plugins Affected 84,000 Websites
2022/01/16 TheHackerNews — 研究者たちが、84,000以上の Web サイトに影響を与える、3種類の WordPress プラグインのセキュリティ欠陥を公開した。これらの欠陥を悪用する脅威アクターにより、脆弱な WordPress サイトが乗っ取られる可能性もある。WordPress 傘下のセキュリティ企業である Wordfence は、先週に発表したレポートの中で、「この欠陥により、サイトの管理者が騙され、リンクをクリックするなどのアクションが実行されると、攻撃者は脆弱なサイトで任意のサイト・オプションを更新できる」と述べている。
Continue reading “WordPress プラグインの深刻な脆弱性 CVE-2022-0215:Web サイト 84,000 件に影響”The Final Count: Vulnerabilities Up Almost 10% in 2021
2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。
Continue reading “脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加”OWASP ModSecurity Core Rule Set sandbox launched to help security researchers test new CVEs
2021/12/10 DailySwig — OWASP ModSecurity Core Rule Set に対してペイロード・テストを行うセキュリティ研究者たちが、プロジェクト・メンテナがリリースした新しいサンドボックスを使えるようになったという朗報である。この Core Rule Set (CRS) とは、ModSecurity および、互換性のある Web Application Firewalls (WAF) で使用するための、一般的な攻撃検知ルールのセットである。その目的は、OWASP Top Ten を含む広範な攻撃から、Webアプリケーションを保護することにある。
Continue reading “OWASP ModSecurity Core Rule Set サンドボックスが登場:新たな CVE の研究が効率化される”A guide to the OWASP API top ten
2021/10/19 SecurityBoulevard — OWASP Top-10 や、Web Application 脆弱性 Top-10 について聞いたことがあると思う。OWASP は、API を脅かす脆弱性の Top-10 も定期的に選出しており、それは OWASP API Top-10 と呼ばれている。
現在の API Top-10 は、Broken Object Level Authorization/Broken User Authentication/Excessive Data Exposure/Lack of Resources & Rate Limiting/Broken Function Level Authorization/Mass Assignment/Security Misconfiguration/Injection/Improper Assets Management/Insufficient Logging & Monitoring の順になっている。
Continue reading “OWASP API Top-10: API を脅かす脆弱性を分析して対策を講じる”OWASP shakes up web app threat categories with release of draft Top 10
2021/09/09 DailySwig — Open Web Application Security Project (OWASP) は、2021年の Top-10 リストのドラフトを発表し、現代の脅威の分類方法を一新した。9月8日の発表で OWASPは、ピア・レビュー/コメント/翻訳・改善の提案を目的とする、Top 10 Web Application Security Threats for 2021 のドラフトを公開したと述べている。
Continue reading “OWASP Top-10 2021 Draft:Web アプリへの脅威をカテゴライズ”MSSPs Particularly Vulnerable to Cisco FDM Flaw
2021/08/10 SecurityBoulevard — 先日に公開された Cisco Firepower Device Manager (FDM) の脆弱性により、脅威にさらされる可能性があるのは、MSSP (Managed Security Services Providers) だと考えられる。Salt Security の Technical Evangelist である Michael Isbitski は、「顧客の Cisco Firepower NGFW (Next Generation Firewalls) のインスタンスを管理するために、MSSP たちは Cisco Firepower Device Manager (FDM) を運用しているかもしれない」と述べている。
Continue reading “Cisco FDM の欠陥によりマネージド・サービス・プロバイダーが危険に?”Bot protection now generally available in Azure Web Application Firewall
2021/08/01 BleepingComputer — Microsoft は、WAF (Web Application Firewall) のボット防止機能が、今週から Azure Application Gateway で提供開始されたと発表した。Azure WAF (Web Application Firewall) は、ボット攻撃やエクスプロイトのほか、クロスサイト・スクリプティング、SQL インジェクション、不正な認証、セキュリティの誤設定などの、一般的な Web の脆弱性から Web アプリケーションを保護するためにデザインされた、クラウド・ネイティブ・サービスである。Azure WAF は、Microsoft の Azure Application Gateway、Azure Front Door、Azure Content Delivery Network (CDN) などのサービスを利用することで、ワンクリックで数分以内に導入が可能だ。
Continue reading “Microsoft Azure WAF のボット防止機能がスタート”API Attack Traffic Grew 300+% In the Last Six Months
2021/07/30 SecurityBoulevard — Salt Labs が発表したレポートにより、過去6ヶ月間における AP 攻撃が。かつてないほど急増していることが明らかになった。月間の API コールレートは 141% 増加し、悪意のトラフィックは 348% と大幅に増加した。今回の調査結果は、Salt Security の顧客データのみをベースにしているが、クラウド・ネイティブの脆弱性が広まっていることが浮き彫りとなり、また、より強固なサイバー・セキュリティ対応が、IT 業界全体にとって必要なことが明確化している。
Continue reading “API 攻撃のトラフィックが6ヶ月で 300+% も増大している”Wake up! Identify API Vulnerabilities Proactively, From Production Back to Code
2021/07/23 TheHackerNews — 20年以上の歳月を経て、ようやく公知となった言葉は APIs are everywhere だ。2021年の調査では、すでに 73% の企業が、50個以上の API を公開していると回答し、この数は常に増え続けている。いまや API は、ほぼ全ての業界で重要な役割を担っており、ビジネス戦略の最前線において、その重要性は着実に増している。これは驚くことではない。API は、異なるアプリケーションやデバイスをシームレスにつなぎ、これまでにないビジネスの相乗効果や効率化をもたらすからだ。しかし、他のソフトウェア・コンポーネントと同様に、API にも脆弱性がある。さらに、セキュリティの観点から厳密にテストされなければ、新たな攻撃の対象となり、これまでにないリスクに晒されることになる。とは言え、API の脆弱性の発見を待ってから、プロダクション環境に移行するとなると、大幅なビジネス上の遅延が発生する。
Continue reading “覚醒必須:API の脆弱性を先回りして特定する”Top 10 Tips to Protect Against OWASP Top 10 Vulnerabilities
2021/07/20 SecurityBoulevard — OWASP (Open Web Application Security Project) Top 10 脆弱性は、Web アプリケーションにおいて最も頻繁に生じるセキュリティ脆弱性 10 項目のリストである。このリストは3~4年ごとに更新され、前回の更新は2017年となっている。最新の 2020年版リストで取り上げられている脆弱性は、以下の通りである。
・インジェクション
・破壊された認証
・機密データの露出
・XML External Entities (XXE)
・アクセス・コントロールの失敗
・セキュリティ設定ミス
・クロス・サイト・スクリプティング(XSS)
・安全でないデシリアライゼーション
・脆弱性が指摘されているコンポーネントの使用
・不十分なロギングとモニタリング
Despite Pen Testing Efforts, Stubborn Vulnerabilities Persist
2021/07/14 SecurityBoulevard — エンタープライズ・ソフトウェアの脆弱性対策に携わるセキュリティ専門家にとって、同じ種類の脆弱性に対してパッチや緩和策を繰り返すのは、まるで「聖濁節」のように思えることがある。クラウドソースのペネトレーション・テストを提供する、Cobalt が発表したレポートによると、この既視感は決して気のせいではないようだ。Cobalt のデータベースによると、ソフトウェアの脆弱性の中で最も一般的な5つのカテゴリーは、この3年間に渡ってほぼ同じであることが分かった。
Continue reading “ペンテストを頑張っても同じ脆弱性が再発するのは何故だろう?”
IoT OT Security News 