脆弱性・脅威情報

Spring SecurityのSAML認証にDoS脆弱性(CVE-2026-40988)

Spring SecurityのSAML 2.0認証(REDIRECTバインディング)に、圧縮ペイロードの展開を悪用するDoS脆弱性CVE-2026-40988が見つかりました。影響範囲・修正版・回避策を情シス向けに整理します。
インシデント対応

クラウド誤共有で個人情報流出、近畿大の教訓

近畿大学薬学部で、教員がGoogleドライブの保存先を誤り、学生249人分の個人情報が最大約2.5カ月間、学生から閲覧可能な状態になっていました。外部攻撃ではなく「共有フォルダへの取り違え」という日常的な操作ミスが原因です。情シス視点で、クラウド誤共有をどう防ぎ、どう早期発見するかを整理します。
用語解説

最小権限の原則とは?情シスが押さえる基本と実務

最小権限の原則とは、利用者やプログラムに業務遂行上必要な最小限の権限だけを与える考え方です。定義・背景・RBACやPAMによる実装、情シスが運用で陥りやすい落とし穴までを実務目線で解説します。
インシデント対応

メール配信SaaS「める配くん」侵害|委託先監督の要点

メール配信SaaS「める配くん」への不正アクセスで、委託元10社超にメールアドレス等が流出した恐れ。委託先で起きた漏えいでも責任は委託元に及びます。情シスが押さえるべき委託先監督の要点を、公的指針へのリンク付きで整理します。
研究・論文

AIエージェントの記憶汚染攻撃とは 研究論文を解説

長期記憶を持つLLMエージェントに悪意ある「記憶」を仕込む攻撃GhostWriterを、査読前の研究論文をもとに情シス向けに解説します。約98%の注入成功率という結果と、社内でAIエージェント導入を検討する際の注意点を整理します。
用語解説

ラテラルムーブメント(横展開)とは?侵入後の脅威を解説

ラテラルムーブメント(横展開)とは、侵入した攻撃者が内部ネットワークを横移動し被害を広げる行為です。仕組み・代表的な手口・情シスの検知と対策の勘所を、MITRE ATT&CKやJPCERT/CCの一次情報をもとに実務者向けに解説します。
用語解説

権限昇格とは?攻撃の仕組みと情シスの対策を解説

権限昇格とは、攻撃者が本来持つはずのない上位の権限を不正に得ることです。垂直・水平の2タイプ、代表的な手口、そして情シスが押さえるべき最小権限と脆弱性管理の勘所をわかりやすく解説します。
脆弱性・脅威情報

Apache HttpComponents CoreにDoS脆弱性2件

Javaで広く使われるHTTP通信基盤ライブラリApache HttpComponents Core(HttpCore)に、DoSにつながる脆弱性2件(CVE-2026-54428/54399、いずれもCVSS7.5)が公表されました。影響範囲と自社での確認・対応の要点を整理します。
脆弱性・脅威情報

UltraVNCに深刻な脆弱性、Repeaterの更新を急げ

無償のリモートアクセスツールUltraVNCに計10件の脆弱性が判明。特にRepeaterには認証前に遠隔から任意コード実行が可能なCVSS9.8の欠陥と既定パスワードの問題があり、緊急の更新が必要です。情シスが確認すべき点を整理します。
研究・論文

LLMでAPT攻撃を追跡する研究「Minos」を読む

APT攻撃の事後追跡をLLMの多エージェントで自動化する査読前研究「Minos」を、情シス実務者の視点で解説。何が新しく、SOC運用に何を意味し、どこに限界があるかを整理します。
研究・論文

RAGポイズニングとは?AIエージェントを乗っ取る攻撃

社内のAI検索やエージェントで使われるRAGを、外部に置いた文書だけで乗っ取る攻撃手法「KidnapRAG」の査読前研究を、情シス実務者向けに解説します。仕組み・実務への影響・今すぐ押さえるべき公的指針をまとめました。
研究・論文

スマホAIエージェントの新攻撃面 VLMを騙す7つの手口

スマホ画面を見て自律操作するVLMベースのAIエージェントに、権限なしで乗っ取り・任意コマンド実行を許す新たな攻撃面があると指摘した査読前論文を、情シス実務者向けに噛み砕いて解説します。
インシデント対応

介護評価システムに不正アクセス|検知遅れと公表の教訓

介護サービス第三者評価システム「かなふく評価ガイド」が不正アクセスを受け一時停止。攻撃の可能性は6月10日、判明は6月17日、公表は7月2日。検知の遅れと公表までの時間差から、情シスが学べる実務の教訓を整理します。
用語解説

CVSSとは?脆弱性の深刻度を評価する仕組みと使い方

CVSS(共通脆弱性評価システム)とは、脆弱性の深刻度を0.0〜10.0で数値化する国際標準の評価手法です。スコアの読み方、深刻度レーティング、基本・脅威・環境の評価基準、最新v4.0の変更点、「9.8だから即対応」を鵜呑みにしない実務の勘所を整理します。
脆弱性・脅威情報

ClamAVに7件の脆弱性 Cisco製品も影響し修正版公開

オープンソースのアンチウイルスエンジン「ClamAV」に7件の脆弱性が判明。細工したファイルのスキャンでクラッシュやメモリ破壊が起こり得ます。Cisco Secure Endpointなど同エンジンを組み込む製品も影響。修正版1.5.3/1.4.5への更新が必要です。