@IT Security&Trustフォーラム 最新記事一覧
「Claude Cowork」にファイル流出の脆弱性 巧妙な間接的プロンプトインジェクションの具体的な中身
Anthropicが公開したAIエージェントのプレビュー版「Claude Cowork」に、ローカルファイル流出の脆弱性が存在することが分かった。巧妙な間接的プロンプトインジェクションを駆使しているという。
Windows「死のブルースクリーン」で誘導、正規ツールで検知を回避するClickFix攻撃
Securonixの脅威調査チームは、ステルス性の高い攻撃キャンペーン「PHALT#BLYX」を解析した。偽のブルースクリーンを表示して悪意あるコードを実行させるソーシャルエンジニアリング手法を用いる手口が判明した。
「基本を忘れてはならない」 優先すべき4つのセキュリティ戦略をMicrosoftが提言
Microsoftは、予防可能な攻撃が多くの被害を生んでいる現状を踏まえ、サイバー攻撃対策として優先すべき4つの戦略を公開した。
「便利な拡張機能」が「Web会議」を盗聴 中国の脅威アクター「DarkSpectre」により、800万人超が被害
Koi Securityはブラウザ拡張機能を用いた大規模なサイバー攻撃を展開していた脅威アクター「DarkSpectre」に関する調査結果を公表し、警戒を呼び掛けている。
企業からの正規メール、もはや「フィッシング」との区別ができなくなった?
ホスティングなどのITサービスを提供するリンクは、不審なメールに関する実態調査の結果を発表した。約8割が不審なメールを受信しており、約3割が正規のメールを不審なものと誤認する「濡れ衣現象」を経験していた。
サイバー犯罪者は企業の従業員をいくらで「闇堕ち」させるのか? 組織を守る方法は
サイバー犯罪者が銀行、通信、物流、IT企業などの従業員を勧誘し、内部協力者として悪用する動きが加速している。ダークWebでは「経済的自立への近道」とする報酬を提示する投稿や広告が増加している。
AIエージェントが「自律的に動くほど」侵入されやすい? 調査で分かった攻撃パターン
Check Point傘下のLakeraは、AIエージェントを標的とした最新の攻撃トレンドをまとめたレポートを発表した。システムプロンプトの抽出や間接的プロンプトインジェクションなど、攻撃手法が急速に変化している実態が浮き彫りとなっている。
npmとCDNが「フィッシングコードのホスティング」に悪用 標的型フィッシング攻撃の実態
Socketは、npmレジストリをホスティングおよび配布元として悪用した標的型フィッシング攻撃キャンペーンに関する調査報告を公開した。
政府の新たなサイバーセキュリティ戦略 「能動的サイバー防御」「SBOM促進」「PQC移行」を明記
日本政府は新たなサイバーセキュリティ戦略を閣議決定した。今後5年間を念頭に、実施すべき諸施策の目標や方針を内外に示すものだ。
ChatGPTに「入力してはいけない情報」5選――NGリストとその理由
ESETは、ChatGPTの利用に伴うセキュリティとプライバシーのリスクをまとめた包括的なガイドを公開した。7つの大きなリスクや共有禁止情報の「レッドリスト」、10の保護習慣を解説している。
なぜ「DDoS」攻撃が多発しやすくなったのか、どう対策すればいいのか?
ESETは、オンラインサービスをまひさせるDDoS攻撃に関するガイドを公開。IoTデバイスを悪用したbotネットの脅威や最新の防御手法を解説している。
「何円損したか不明」がサイバー攻撃経験企業の3割、「委託先が原因」が5割 対策強化の障壁は?
アシュアードは、サイバー攻撃やセキュリティインシデントに関する実態を調査した。インシデント経験企業の10%が10億円以上の損失を被り、14.2%で1カ月以上の業務停止が発生するなど、深刻な実態が浮き彫りになった。
ネットワークによる境界からID・データ重視へ 2026年、クラウドセキュリティの課題と対策
Datadogは2025年のクラウドセキュリティに関する総括を公開した。クラウドID、AIによる新たなセキュリティリスク、サプライチェーンを狙い検知を回避する攻撃者の巧妙な手口を分析している。
ネットワーク境界防御では防げない、大損害をもたらす「外部侵入口」への対処法
外部委託やクラウド利用の拡大などによってサービスを提供するためのエコシステムが複雑化する今、脅威は“自社の外”から連鎖的にやってきます。境界防御や形式的なベンダー管理だけでは、もはや十分に対処できません。
「2025セキュリティ10大ニュース」ランサムウェアなどの被害報道数と拮抗してきた防御側の話題、何があった?
日本ネットワークセキュリティ協会が「JNSA 2025セキュリティ十大ニュース」を発表した。選考委員会は、被害事案と政府などによる新たな取り組みに関するニュース数が拮抗してきた点に着目している。
「ペネトレーションテストは死んだ?」
セキュリティリサーチャー辻伸弘氏が、サイバーセキュリティの世界におけるさまざまな“常識”や思い込みに、次々と一石を投じる新連載。第1回は、辻氏のキャリアの原点でもあるペネトレーションテストにつき、身を切る思いで問題を提起する。
MongoDBに機密情報漏えいの脆弱性「MongoBleed」 すぐに可能な対策は?
Akamai Security Intelligence Groupは、2025年12月に情報公開されたNoSQLデータベース「MongoDB」の脆弱性(CVE-2025-14847)について、公式ブログで解説した。
SaaS事業者が最もできていないセキュリティ対策は? 「実施率4.7%」
アシュアードは、SaaSのセキュリティ対策実態を調査したレポートを発表した。SaaS全体のセキュリティ水準は向上したが、インシデント発生後の復旧対策に遅れが見られる。
「SASE」は見直され「EDR」は裾野拡大へ、ゼロトラストの高需要が続く
富士キメラ総研の調査によると、ネットワークセキュリティ関連の国内市場は、ゼロトラストやWebアプリケーション脆弱性検査、セキュリティ教育・トレーニングなどの分野を中心に高成長する。
2026年、AIの急速な進化でCISOは人間のエラーを排除することに注力?
SentinelOne Japanは2025年12月18日、2026年におけるサイバーセキュリティの潮流を予測した内容を発表した。AIによる自動化の進展やディープフェイク対策、セキュリティ体制の変革など5つのトレンドを示している。
AIを悪用する「バイブハッキング」でランサムウェア攻撃はどう変わる?
Akamaiは、2026年のAPAC地域のセキュリティとクラウドに関する予測を発表した。AI攻撃の自律化により、サイバー攻撃の所要時間が数時間に短縮されると警鐘を鳴らしている。
「認可の欠落」が4位に急浮上 「最も危険な脆弱性Top 25」MITREが公開
MITREはソフトウェアにおける危険な脆弱性タイプをまとめた「CWE Top 25 Most Dangerous Software Weaknesses」の2025年版を発表した。Webアプリケーション関連の脆弱性がTop 3を独占する結果となった。
攻撃者が従業員の「セキュリティ疲れ」を突くデマを拡散 NordVPNが警告する2026年5つの脅威
NordVPNは2026年に予想される5つ主要なサイバーセキュリティリスクを発表した。
中国が台湾の重要インフラに1日263万回のサイバー攻撃 その中身とは
台湾国家安全局によると、同国重要インフラを狙った中国のサイバー攻撃が2025年は1日平均263万件に達したという。目的は、有事の際の妨害や社会不安の醸成、技術情報の窃取としている。
大企業で「VPN時代が事実上、終焉」する2026年、セキュリティ対策の在り方は
ゼットスケーラーは2026年に顕在化するサイバー脅威5項目を公表した。ランサムウェアの手口が「暗号化」から変化しているなどの最新動向からセキュリティ対策の在り方を示唆している。
いかにして「Active Directory」が侵害されるのか、Microsoftがまとめた攻撃パターン
Microsoftは「Active Directory Domain Services」(AD DS)を狙う攻撃を6つに分類し、検知や対策の方法を示した。
「Google認定の拡張機能」信頼揺らぐ、アサヒやアスクルで「ランサムウェア」に注目
2025年に公開された記事の中から、「セキュリティ」分野で特に注目された10本をランキング形式で紹介します。何が読者の関心を引いたのでしょうか。
ビールが消えた“アサヒのランサムウェア”だけじゃない――国内外30件のサイバー攻撃を総覧
2025年、アサヒグループホールディングスへのランサムウェア攻撃など、企業や社会インフラを直撃するサイバー攻撃が相次いだ。国内外で多発したランサムウェアや不正アクセスの事例を振り返りながら、2025年に見えた攻撃トレンドを整理し、2026年の脅威を展望する。
年末年始も危ない? 国際電話やLINEの悪用、自動音声で誘導する「ボイスフィッシング」まで
トビラシステムズは2025年12月18日、独自の迷惑情報データベースや調査情報を基にまとめた「特殊詐欺・トレンド詐欺手口レポート2025」を公開した。
転職者の約20%が「情報持ち出し」の経験あり どう防げばいいのか
エルテスは「転職時の情報管理に関するアンケート」の結果を発表した。持ち出した情報の種類、理由、対策やルールの浸透具合などが明らかになった。