脆弱性・脅威情報

WordPressプラグインにCSRF脆弱性 Zoho Mail更新を

WordPress用プラグイン「Zoho Mail for WordPress」にCSRF脆弱性(CVE-2026-8174)。影響は1.6.2より前の全バージョン。管理者がログイン中に設定を改ざんされる恐れがあり、更新と自社サイトのプラグイン棚卸しが必要です。
セキュリティ対策・運用

ゼロデイの無断公開、パッチ待ちの空白に情シスは何をすべきか

研究者「Nightmare Eclipse」が複数のWindowsゼロデイのPoCを協調的脆弱性開示を経ずに公開。パッチ提供前の「空白期間」に情シスが取るべき暫定対応(資産把握・緩和策・監視・優先度付け)を、確認できている事実と未確認情報を分けて実務目線で整理します。
用語解説

IDS/IPSとは?仕組み・種類と運用の注意点を解説

IDS/IPSとは、ネットワークや端末を流れる通信を監視し、不正侵入や攻撃の兆候を検知(IDS)・遮断(IPS)する仕組みです。検知方式・種類の違いから、WAF・EDRとの棲み分け、運用の注意点までを情シス向けにわかりやすく解説します。
研究・論文

プロンプト注入を因果で防ぐ研究「ARGUS」

AIエージェントを狙う「文脈依存型」のプロンプトインジェクションを、行動の因果的な裏付けを検証して防ぐ研究「ARGUS」を情シス実務者向けに解説します。攻撃成功率28.8%→3.8%という結果と、その限界を整理します。
研究・論文

LLMエージェントを監査可能にする設計|研究解説

企業のLLMエージェントを「プロンプト頼み」から脱却させ、監査・再現・検証を可能にする設計手法「ハーネスエンジニアリング」を提案した査読前研究を、情シス視点で解説します。導入判断とガバナンスの勘所を整理しました。
法令・ガイドライン

文字起こしAIの声紋収集は生体データか|法規制の行方

AI文字起こし・議事録サービスが会議参加者の「声紋」を収集し、生体データの無断取得だとして米国で集団訴訟が相次いでいます。アラバマ州の新プライバシー法、日本の個人情報保護法改正の動きを踏まえ、声紋の法的扱いと情シスの備えを整理します。
セキュリティ対策・運用

Googleフォーム誤公開が多発|公開前チェックリスト配布

Googleフォームの「回答が他人に丸見え」になる設定ミスが、この半年も各所で繰り返されています。仕組みと直近の発生状況を発生元を伏せて整理し、現場でそのまま使える『公開前チェックリスト(Excel)』を無料配布。ユーザ教育とチェック体制の作り方も提案します。
研究・論文

LLMサプライチェーンの脆弱性529件を分析|研究を解説

LLM基盤を支えるOSSの脆弱性529件を実証分析した研究を解説。公開LLMサービスの45.6%が悪用可能な脆弱性の影響下に。被害が偏るOllama・Open-WebUI・Difyの実態と、情シスがまず取り組むべき棚卸しの勘所を実務目線で整理します。
研究・論文

機械アンラーニングとは?AIの削除権と実務課題

学習済みAIモデルから特定データの影響だけを消す「機械アンラーニング」。削除要求・著作権・個人情報への対応として注目される技術の到達点と限界を、ACL Findings 2026採録のサーベイ論文をもとに情シス目線で整理します。
研究・論文

生成AIコードの脆弱性を「重み操作」で減らす研究

AIが書くコードは動いても脆弱なことが多い——この課題に「モデルの重みを足し引きする」task vectorで挑む査読前研究SecVecCoderを、情シス実務者向けに噛み砕いて解説します。
用語解説

WAFとは?仕組み・種類と導入時の注意点を解説

WAF(Web Application Firewall)とは、Webアプリの通信を検査してSQLインジェクションやXSSなどの攻撃を防ぐ仕組みです。定義・検知方式・製品タイプから、情シスが導入前に押さえるべき運用の勘所までを実務目線で解説します。
研究・論文

LLMのリバースエンジニアリング能力は測れるか

LLMがマルウェア解析やリバースエンジニアリングに使われ始めた一方、その実力を公平に測るのは難しい。査読前論文REFORGEを手掛かりに、能力測定の落とし穴と情シスが誇大主張に振り回されないための視点を整理します。
脆弱性・脅威情報

WinRAR脆弱性CVE-2026-14191、修正版7.23が公開

圧縮解凍ソフトWinRARに深刻な脆弱性CVE-2026-14191(CVSS7.8)。RAR5の復旧ボリューム(.rev)処理でメモリ破壊が起き、細工ファイルを処理するとコード実行の恐れ。修正版7.23が公開されました。自動更新が無いため、手動更新と棚卸しを急ぎましょう。
研究・論文

AIエージェントの実行時防御「トークンフロー監査」とは

常時稼働するAIエージェントを狙う攻撃を、コンポーネント間で流れる自然言語トークンを実行前に監査して止める「Token-Flow Firewall」の査読前研究を、情シス実務者向けに噛み砕いて解説します。
研究・論文

QRコード署名でクイッシング対策 査読前研究を解説

貼り替えられたQRコードを見分けられない――この弱点に、QR自体へ電子署名を埋め込んで真正性を検証する査読前研究が挑みました。仕組みと限界、情シスがいま取るべき現実的な対策を実務者目線で解説します。