脆弱性・脅威情報

ServerView Agentsに権限昇格の脆弱性 対応の要点

エフサステクノロジーズのサーバ管理ソフト「ServerView Agents for Windows」にSYSTEM権限を奪われる権限昇格の脆弱性(CVE-2026-27788ほか)。影響範囲と情シスが確認すべき点を実務目線で整理します。
研究・論文

AIエージェントのセキュリティ―専門家30人が挙げた4大課題

自律的に動く「AIエージェント」の普及で、従来のセキュリティ・プライバシーの前提が崩れつつあります。約30名の専門家がまとめた査読前の論文が示す4つの大きな課題を、情シス実務者の視点で噛み砕いて解説します。
用語解説

SASEとは?構成要素とSSEとの違いを解説

SASE(サシー)とは、WAN機能とネットワークセキュリティをクラウドで束ねて提供する仕組みです。定義・4つの構成要素・SSEとの違い・ゼロトラストとの関係、そして情シスが導入・運用で押さえるべき勘所を実務目線で整理します。
研究・論文

AIモデルのバックドア攻撃と『吸収』防御を探る研究

外部に訓練を委託したAIモデルに仕込まれるバックドア。その脅威と、正当な更新で悪意を打ち消す「吸収」防御を提案した査読前研究を、情シスの実務目線で読み解きます。
脆弱性・脅威情報

ImageMagickの脆弱性 見えない依存をどう棚卸すか

画像処理ライブラリImageMagickに新たな脆弱性CVE-2026-42326(CVSS5.1)が公表されました。深刻度は高くありませんが、多くのWebアプリに組み込まれた「見えない依存」をどう棚卸し・管理するかを、情シスの実務目線で整理します。
脆弱性・脅威情報

Spring SecurityのSAML認証にDoS脆弱性(CVE-2026-40988)

Spring SecurityのSAML 2.0認証(REDIRECTバインディング)に、圧縮ペイロードの展開を悪用するDoS脆弱性CVE-2026-40988が見つかりました。影響範囲・修正版・回避策を情シス向けに整理します。
用語解説

最小権限の原則とは?情シスが押さえる基本と実務

最小権限の原則とは、利用者やプログラムに業務遂行上必要な最小限の権限だけを与える考え方です。定義・背景・RBACやPAMによる実装、情シスが運用で陥りやすい落とし穴までを実務目線で解説します。
インシデント対応

メール配信SaaS「める配くん」侵害|委託先監督の要点

メール配信SaaS「める配くん」への不正アクセスで、委託元10社超にメールアドレス等が流出した恐れ。委託先で起きた漏えいでも責任は委託元に及びます。情シスが押さえるべき委託先監督の要点を、公的指針へのリンク付きで整理します。
研究・論文

AIエージェントの記憶汚染攻撃とは 研究論文を解説

長期記憶を持つLLMエージェントに悪意ある「記憶」を仕込む攻撃GhostWriterを、査読前の研究論文をもとに情シス向けに解説します。約98%の注入成功率という結果と、社内でAIエージェント導入を検討する際の注意点を整理します。
用語解説

ラテラルムーブメント(横展開)とは?侵入後の脅威を解説

ラテラルムーブメント(横展開)とは、侵入した攻撃者が内部ネットワークを横移動し被害を広げる行為です。仕組み・代表的な手口・情シスの検知と対策の勘所を、MITRE ATT&CKやJPCERT/CCの一次情報をもとに実務者向けに解説します。
用語解説

権限昇格とは?攻撃の仕組みと情シスの対策を解説

権限昇格とは、攻撃者が本来持つはずのない上位の権限を不正に得ることです。垂直・水平の2タイプ、代表的な手口、そして情シスが押さえるべき最小権限と脆弱性管理の勘所をわかりやすく解説します。
脆弱性・脅威情報

Apache HttpComponents CoreにDoS脆弱性2件

Javaで広く使われるHTTP通信基盤ライブラリApache HttpComponents Core(HttpCore)に、DoSにつながる脆弱性2件(CVE-2026-54428/54399、いずれもCVSS7.5)が公表されました。影響範囲と自社での確認・対応の要点を整理します。
脆弱性・脅威情報

UltraVNCに深刻な脆弱性、Repeaterの更新を急げ

無償のリモートアクセスツールUltraVNCに計10件の脆弱性が判明。特にRepeaterには認証前に遠隔から任意コード実行が可能なCVSS9.8の欠陥と既定パスワードの問題があり、緊急の更新が必要です。情シスが確認すべき点を整理します。
研究・論文

LLMでAPT攻撃を追跡する研究「Minos」を読む

APT攻撃の事後追跡をLLMの多エージェントで自動化する査読前研究「Minos」を、情シス実務者の視点で解説。何が新しく、SOC運用に何を意味し、どこに限界があるかを整理します。
研究・論文

RAGポイズニングとは?AIエージェントを乗っ取る攻撃

社内のAI検索やエージェントで使われるRAGを、外部に置いた文書だけで乗っ取る攻撃手法「KidnapRAG」の査読前研究を、情シス実務者向けに解説します。仕組み・実務への影響・今すぐ押さえるべき公的指針をまとめました。