研究・論文 UEFI脆弱性とブートキット:OS以前を狙う脅威と情シス対策
UEFIはOSより下位で起動するファームウェアインターフェースで、ここに潜伏する攻撃はOSの再インストールでは除去できない。2025年1月にはセキュアブートをバイパスするCVE-2024-7344が公開され、UEFI脅威は現実問題となっている。情シスが今すぐ点検すべき対策を解説する。
研究・論文 
研究・論文 MCPを狙う分散型ツール中毒攻撃「ShareLock」とは
LLMエージェントの基盤プロトコルMCPを標的にした新型攻撃「ShareLock」が報告された。秘密分散を使って悪意ある命令を複数のツール説明に隠し、主要LLMで90%超の攻撃成功率を記録した研究(査読前)を情シス目線で解説する。
研究・論文 AIコーディングエージェントの設定ファイル管理リスクとは
AIコーディングエージェント(GitHub Copilot, Cursor等)の設定ファイルが無管理のまま組織をまたいで複製されている実態を、10,008リポジトリの調査(査読前研究)から解説。情シスが取るべきインベントリ整備とポリシー対応のポイントを示します。
研究・論文 AIエージェントが業務を担う時代のポリシー強制技術とは
LLMエージェントが社内ファイルやAPIを自律操作する今、動作ポリシーを技術的に強制する仕組みが求められている。ソウル国立大の研究VIGILは実行時ポリシー強制で95%超の違反検出率を実現(査読前プレプリント)。情シスが今確認すべき視点を解説する。
研究・論文 AIへの敵対的攻撃を一元整理、LLMから画像・マルチモーダルまで
LLM・画像AI・マルチモーダルへの敵対的攻撃が縦割りに発展してきた問題を統合的に整理する査読前論文がarXivで公開。企業AI導入が進む中、情シスが知るべき攻撃全体像と備えを解説する。
研究・論文 プロンプトインジェクション対策、モデル外防御の実力とは
LLMエージェントへのプロンプトインジェクション対策として注目される「モデル外(アウトオブバンド)防御」を、攻撃者目線で検証した査読前論文を実務者向けに解説。何が分かり、情シスは何に注意すべきかを整理します。
研究・論文 WebGPUでブラウザ指紋採取?最新研究と情シスの備え
ブラウザのGPU機能WebGPUが、利用者を追跡する「指紋」になりうると示した査読前の測定研究を紹介。何が漏れるのか、情シスがいま現実的にできる備えを実務目線で整理します。
研究・論文 LLMエージェントが「知りすぎる」問題:プライバシー漏洩の経路と対策
LLMエージェントは業務効率化の強力なツールだが、クエリ・メモリ・ツール呼び出しなど5つの経路から機密データが漏洩しうる。情シス担当者が把握すべきリスクの全体像と対策の方向性を解説。
研究・論文 AndroidマルウェアのAI検知を回避する攻撃手法—情シスへの教訓
機械学習(ML)ベースのAndroidマルウェア検知ツールを実用的に回避できる攻撃手法「DroidBreaker」が研究者によって発表された(査読前プレプリント)。商用スキャナの検出を大幅に回避できることも示されており、MDMや端末管理製品のML検知に過信は禁物だと改めて示している。
用語解説 フィッシングとは?仕組み・手口・情シスが取るべき対策
フィッシングとは偽メール・偽サイトで認証情報を詐取するサイバー攻撃です。国内報告件数は月25万件超に急増。仕組み・手口の種類から、情シスが実施すべきDMARC・多要素認証・教育訓練まで解説します。
研究・論文 サードパーティリスクの「推移的信頼」とは何か
アナリティクスツール「Mixpanel」経由でOpenAIのユーザー情報が流出した2025年11月の事件は、推移的信頼(Transitive Trust)という第三者リスクの本質を示している。情シス担当者が押さえるべきガバナンスの要点を解説する。
脆弱性・脅威情報 Apache HTTP Server 2.4.68公開―13件の脆弱性を一括修正【2026年6月】
2026年6月8日、Apache HTTP Server 2.4.68がリリースされ、権限昇格・DoS・バッファオーバーフローなど13件のCVEが修正されました。2.4.67以前を運用中の情シス担当者は速やかな適用を検討してください。
研究・論文 AIが暗号実装の誤用脆弱性を自動発見──Chai論文の情シス解説
X.509・JWT・SAMLなどの暗号ライブラリで100件超の脆弱性を自動発見したAIシステム「Chai」。依存関係グラフを伝播する新手法が情シスにとって何を意味するか解説します。
研究・論文 LLM悪用の自動化リスク:非専門家でも高成功率のジェイルブレイク
LLMのジェイルブレイクを非専門家でも自動実行できる手法を示した研究が公開(査読前プレプリント)。15のオープンウェイトLLMで平均97%の成功率が報告された。組織内のLLM利用リスクを再評価する材料となる。
研究・論文 AirDrop・Quick Shareに近距離脆弱性 ゼロクリック攻撃のリスク
Apple AirDropとGoogle/Samsung Quick Shareに計6件の脆弱性が発見された。近距離無線からペアリング不要・操作なし(ゼロクリック)で悪用される可能性があり、企業の社給端末やBYOD環境を管理する情シス担当者は設定の見直しを検討すべき状況だ。