脆弱性と脅威
Apache Tomcat の RewriteValve での処理の不備に起因するパストラバーサルの脆弱性(Scan Tech Report)
2025 年 10 月に公開された Apache Tomcat の脆弱性を悪用する手順が公開されています。
2026.02.04(水)
- 注目検索ワード
ScanNetSecurity は人間の編集者・記者・撮影者・取材対象者の協力によって企画、取材、執筆、報道、所有されているオンラインメディアです。生成 AI には書けない記事を配信します。
そして何よりも ScanNetSecurity の読者は、AI スクレイパーやボット、検索アルゴリズムではなく生身の人間です。人間に向けて記事を書き人間復興(RENAISSANCE! 🍺*🍺)を目指す ScanNetSecurity の一部の/全部のコンテンツにアクセスするには、無料/有料の、または法人会員登録をして会員になってください。NO SECURITY, NO BUSINESS.
2025 年 10 月に公開された Apache Tomcat の脆弱性を悪用する手順が公開されています。
ScanNetSecurity は海外カンファレンスの取材を、あくまで読者のかわりに参加しているというジェームズ・キャメロン アバター的意識があるので、そこで得た情報も物品もすべて本来の持ち主は ScanNetSecurity 読者だと考えているため、開期中にこのバックパックを使うことは一切ありません。他人のものなので。そして創刊キャンペーンのときに「本来の持ち主に返却する」という意味でお送りすることにしています。
株式会社エフエム東京は1月15日、1月6日に公表した同社へのサイバー攻撃を指摘する投稿への事実確認について、続報を発表した。
株式会社青山メイン企画は1月16日、ランサムウェア被害に伴う個人情報のき損と漏えいについて発表した。
法律上はロシアでもサイバー犯罪は違法となっている。しかし、大きな商業的成功をおさめているサイバー犯罪グループや、サイバー犯罪者の多くがロシア国内に居住しているのも事実だ。一般的なルールは「ロシア人を標的にしない限り、地元警察は手を出さない」というものだ。
![2025年総括 ほか [Scan PREMIUM Monthly Executive Summary 2025年12月度]](/imgs/p/R6O9BpFTaEW-PJL4ByThnm8IJAfaBQQDAgEA/51450.jpg)
まず、米ジェン・デジタル社は、ロシアの Gamaredon と北朝鮮の Lazarus が「共通のインフラ」を利用していることを指摘し、両者が協調した活動の可能性を報告しました。これらからは、中露朝における APT の関係性が、従来の地政学的同盟構造では整理しきれない段階に入り、協力と競合が折り重なりあう多層性を帯びていることが読み取れます。
2025 年 10 月に公開された Apache Tomcat の脆弱性を悪用する手順が公開されています。
Tenable One AI Exposureは、内部環境・クラウド環境・外部環境において、認可済みおよびシャドーAIを継続的に検出し、AIの所在・利用状況・リスク発生箇所を把握する統合的なAI可視化機能を搭載した。また、AI利用状況、インフラ、ID、データを関連付け、AI攻撃経路を可視化し、ビジネスインパクトに基づいてリスクの優先順位付けを行う文脈に基づくエクスポージャー分析機能も提供する。
GMOサイバーセキュリティ byイエラエ株式会社は1月29日、同社エンジニアの古川和祈氏が「Pwn2Own Automotive 2026」に出場したと発表した。
Okta Japan株式会社は1月29日、国内のAuth0開発者コミュニティを支援する開発者認定プログラム「Auth0 Heroes Program」を開始すると発表した。
セコムトラストシステムズ株式会社は、2026年度末に開始予定の経済産業省「セキュリティ対策評価制度」に関するオンラインセミナーを2026年2月18日と19日に無料開催する。
株式会社スリーシェイクは1月28日、同社のクラウド型データ連携ツール「Reckoner」が「2025年下半期 BOXIL資料請求数ランキング」の「データ連携ツール」カテゴリで総合1位を獲得したと発表した。
Cloudbase株式会社は1月26日、純国産CNAPP「Cloudbase」のオンプレ環境向け機能「Cloudbase Sensor」のWindows OSへの対応を発表した。
HENNGE株式会社は1月29日、「HENNGE One」が株式会社レビックグローバルの多機能型LMS「SmartSkill Campus」へのシングルサインオン連携に対応したと発表した。
生成 AI モデルは、マルウェア分析の一部では非常に有効ですが、大規模で複雑なマルウェア サンプルの処理においては有効性が限られています。その中で、最大 100 万トークンを処理できる Gemini 1.5 Pro のリリースは大きな進歩となります。
株式会社エーアイセキュリティラボは1月29日、クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」が「2025年下半期 BOXIL資料請求数ランキング」の脆弱性(セキュリティ)診断 総合部門で1位に選出されたと発表した。
「受信サーバから見ると、昨日まで存在しなかった IP アドレスからいきなり何十万通ものメールが送られてくれば、攻撃かスパムにしか見えません」(朴氏)
IP ウォームアップは通常一ヶ月以上かかるという。HENNGE株式会社 朴 濟賢(パク ジェヒョン)氏は IP ウォームアップを「届けたいメールを 届けたい人に 正しく届けるために必要なことです」と述べ、送信ドメイン認証をはじめとする技術的な設定に始まり、購読解除フローの運用、バウンスメールの分析と配信リストの最適化といった取り組みを呼び掛けた。
従来のセキュリティ対策は、「侵入されることを前提に、検知・復旧で対応する」という発想が中心でした。しかし、攻撃が高度化・自動化し、被害のインパクトが極端に大きくなった現在、この考え方は限界を迎えています。そこで重要になるのが、シフトレフト(Shift Left)の考え方です。
