脆弱性と脅威ニュース記事一覧(18 ページ目)

脅威動向 2025.5.12 Mon 8:10

ここが変だよ日本のセキュリティ第 49 回「横領！一平ちゃん！　2024年はトラスト・ゼロ元年だった！」（中編）

　2024年は金融機関にとって信頼を失いまくった1年だった。前代未聞クラスの内部不正の不祥事が、金融庁、東京証券取引所、野村証券、三菱UFJ銀行、三井住友信託銀行で発生した。これだけの大型不祥事が連続すると、恐怖！機動ビグ・ザムを量産されたみたいな絶望感だよ。インサイダー取引量産型ビグ・ザムだ。やらせはせん！やらせはせんぞ！！

セキュリティホール・脆弱性 2025.5.12 Mon 8:00

Apache Tomcat に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は5月8日、Apache Tomcatにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

脅威動向 2025.5.8 Thu 8:20

オーストラリア重要インフラ安全保障法ほか [Scan PREMIUM Monthly Executive Summary 2025年4月度]

　Dragos 社は、オーストラリアの「重要インフラ安全保障法（SOCI 法）」に関する記事を投稿しています。筆者が注目した点は、同法が「食品・日用品供給事業者」や「データ保管・処理施設」を対象分野に含めている点です。

エクスプロイト 2025.5.8 Thu 8:15

Apache Tomcat における partial PUT の実装による遠隔コード実行につながる脆弱性（Scan Tech Report）

2025 年 3 月に、Apache 財団の Tomcat にて遠隔からの任意のコード実行につながる脆弱性が報告されています。

セキュリティホール・脆弱性 2025.5.8 Thu 8:00

Ivanti Connect Secure などにスタックベースのバッファーオーバーフローの脆弱性

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は4月30日、Ivanti Connect Secureなどにおける脆弱性（CVE-2025-22457）に関する注意喚起を発表した。影響を受けるシステムは以下の通り。

脅威動向 2025.5.6 Tue 20:57

「偽基地局」からの携帯電話サービスへの混信について注意を呼びかけ

　総務省は5月2日、いわゆる「偽基地局」からの携帯電話サービスへの混信について、注意喚起を発表した。

セキュリティホール・脆弱性 2025.5.2 Fri 8:00

複数のエプソンプリンタ製品の Windows版プリンタドライバで脆弱性

　セイコーエプソン株式会社は4月28日、複数のエプソンプリンタ製品のWindows版プリンタドライバの脆弱性について発表した。

セキュリティホール・脆弱性 2025.5.2 Fri 8:00

セイコーエプソン製 Windows版プリンタドライバに不適切なファイルアクセス権設定の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は4月28日、セイコーエプソン製Windows版プリンタードライバーにおける不適切なファイルアクセス権設定の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2025.4.28 Mon 8:00

Quickエージェントに複数の脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は4月25日、Quickエージェントにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

エクスプロイト 2025.4.24 Thu 8:10

IObit Malware Fighter における特権昇格につながる任意のファイル削除の脆弱性（Scan Tech Report）

2025 年 1 月に、IObit 社の Malware Fighter にて管理者権限の奪取が可能となる脆弱性が報告されています。

セキュリティホール・脆弱性 2025.4.21 Mon 8:00

Active! mail にスタックベースのバッファオーバーフローの脆弱性

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は4月18日、Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。

セキュリティホール・脆弱性 2025.4.18 Fri 8:00

Oracle Java に脆弱性、セキュリティ更新プログラムの適用を呼びかけ

　独立行政法人情報処理推進機構（IPA）は4月16日、Oracle Java の脆弱性対策について発表した。影響を受けるシステムはサポートされている以下の Oracle 製品。

TheRegister 2025.4.17 Thu 8:10

米保険大手州から提訴される「原因はWebサイト、より大きい原因はセキュリティより利益を優先したこと」

　ニューヨーク州は、非常に不適切な設計のウェブサイトを運営し、誰でも容易に個人情報を平文で探せる状態だったとして、オールステート保険を提訴した。「情報漏えいの具体的な原因は、ナショナル・ジェネラルが設計し公開した安全性が低い Web サイトにある。しかし、より大きい意味での原因は、同社が合理的なデータセキュリティ対策の実施よりも利益を優先したことにある」と訴状には記載されている。

脅威動向 2025.4.17 Thu 8:05

日本証券業協会が投資家に注意呼びかけ～フィッシングやマルウェアによる顧客情報詐取

　日本証券業協会はフィッシング及びマルウェアによる顧客情報詐取について、注意喚起を発表した。

エクスプロイト 2025.4.16 Wed 8:10

Pandora FMS の LDAP 認証設定における OS コマンドインジェクションの脆弱性（Scan Tech Report）

2024 年 11 月に、Pandora FMS にて遠隔からの任意のコード実行が可能となる脆弱性の悪用手法が公開されています。

業界動向 2025.4.16 Wed 8:00

JVN で 4/21 から共通脆弱性評価システム CVSS v4 による評価を採用

　一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は4月14日、共通脆弱性評価システム CVSS v4 による評価採用の開始について「Japan Vulnerability Notes（JVN）」で発表した。

業界動向 2025.4.15 Tue 8:20

Cloudbase Blog 第9回 SSVC をベースにした脆弱性管理をリリースしました～ CVSS からの脱却、攻撃者視点で見極める脆弱性管理へ

　ここで登場するのがSSVC（Stakeholder-Specific Vulnerability Categorization）です。米CISA（サイバーセキュリティー・インフラセキュリティー庁）でも採用されており、CVSSに代わる新たな評価手法として注目されています。SSVCは脆弱性の「実際の悪用リスク」と「自社への影響の大きさ」を考慮した上で、対応の優先度を判断します。

脅威動向 2025.4.15 Tue 8:00

Booking.com なりすましフィッシング攻撃～ Microsoft 分析

　マイクロソフトは4月3日、Booking.comのなりすましによるフィッシング攻撃が、認証情報窃盗マルウェアを配信したとブログ記事で発表した。

脅威動向 2025.4.14 Mon 8:15

AeyeScan blog 第11回「『あり得ない』はあり得る：日本の上場企業におけるセキュリティ実態調査」

　私たちは日本の上場企業 3,800 社以上を対象に、弊社で研究開発中のインターネット観測システムを用いて詳細な調査を実施しました。その結果は、セキュリティの専門家でさえ驚愕するものでした。

TheRegister 2025.4.14 Mon 8:10

This is「プロアクティブ」～セキュリティ企業がランサムギャングへの攻撃に成功

　フランスの大手法律サービスプロバイダーはデータが公開される 2 日前に Resecurity が警告することのできた被害企業の 1 つである。その 1 週間弱前には、カナダの被害者にも同じ警告を伝えることができたという。セキュリティ企業は、攻撃の発生を防ぐことはできなかったが、犯罪者がデータ漏えいを計画したときに被害者たちに警告できたため、被害者たちはコーポレートコミュニケーションを整えることができた。

脅威動向 2025.4.14 Mon 8:05

Emotet 感染を狙うメールに注意を呼びかけ～兵庫県たつの市

　兵庫県たつの市は3月31日、コンピュータウイルスEmotetへの感染を狙うメールへの注意喚起を発表した。