脆弱性・脅威情報

Apache Tomcatに複数の脆弱性、認可バイパスに注意

Apache Tomcatに6件の脆弱性が公開されました。開発元はいずれも「中」以下と評価する一方、外部評価では「クリティカル」とする声も。注目はデフォルトサーブレットの認可バイパス。影響バージョンと対応版、現場での確認ポイントを整理します。
インシデント対応

サポート詐欺で遠隔操作、情シスの初動と対策

大学教員がサポート詐欺で業務用PCを遠隔操作され、情報流出の有無を調査中。IPAへの相談は前四半期比46%増と急増しています。情シスが押さえるべき初動対応と、社内で徹底すべき正しい対処法を実務目線で整理します。
用語解説

CVEとは?共通脆弱性識別子の仕組みと実務での使い方

CVE(共通脆弱性識別子)とは、公表された脆弱性一つひとつに世界共通の番号を付ける仕組みです。CVE-IDの読み方、誰がどう採番するのか、JVNやNVDとの関係、情シスが日々の脆弱性対応でどう使うかを、一次情報をもとに実務者向けにやさしく整理します。
研究・論文

AIエージェントのセキュリティ 研究が示す4つの弱点

常時稼働するAIエージェントのSkillやPluginが新たな攻撃面になることを示した査読前の研究を、情シス実務者向けに解説。悪意あるPluginは検証で成功率100%という結果も。4つの攻撃面と、IPAの公的指針を踏まえた対策の考え方を整理します。
研究・論文

プロンプトインジェクション対策の隠れた代償

LLMへのプロンプトインジェクション対策は「安全性を上げるほど翻訳や文書編集の正確さが落ちる」という二律背反を抱える。査読前の研究論文SecFidが示した知見と、生成AIを社内導入する情シスが押さえるべき評価の視点を実務目線で解説します。
研究・論文

AI生成PowerShellマルウェア、実物と酷似する研究

オープンウェイトのLLMが生成したPowerShellマルウェアが、実在マルウェアとOSレベルの挙動で中央値84.5%一致という査読前研究を紹介。情シスが今から備えるべき点を実務目線で整理します。
研究・論文

LLMのバックドアは消せるか AIサプライチェーンの新論点

LLMに隠れた引き金で悪意ある挙動を仕込む「バックドア攻撃」。それを再学習せず除去する査読前研究をもとに、情シスが押さえるべきAIサプライチェーンリスクと公的指針を実務目線で整理します。
研究・論文

機械学習型NIDSをすり抜ける敵対的攻撃の研究

AI/機械学習を使った侵入検知システム(NIDS)を、通信を細工してすり抜ける「敵対的攻撃」の最新研究を実務者向けに解説。3つのデータセットで平均92.78%の回避成功率という結果の意味と、情シスが取るべき向き合い方を整理します。
研究・論文

LLM微調整に潜む情報漏洩リスク 査読前研究で読み解く

脆弱性スキャン結果など社内データでLLMを微調整すると、ネットワーク構成が「記憶」され漏れる恐れがあります。査読前研究の知見から、差分プライバシーや仮名化の効果と限界、情シスが取るべき構えを実務目線で整理します。
研究・論文

プロンプトインジェクションは画像・音声でも 査読前研究の警鐘

LLMを組み込んだロボットを、カメラ画像・音声・LiDARといったセンサー経由で乗っ取れることを示した査読前研究「RIPA」を解説します。プロンプトインジェクションはテキスト入力欄だけの問題ではない――AIエージェントを業務に取り込む情シスが今押さえるべき論点を整理します。
研究・論文

LLMエージェントの隠れ共謀:検知不能な秘密通信の研究

AIエージェントがツール利用で「検知できない秘密通信」を作れるとする査読前研究を紹介。複数AIの平文監視だけでは共謀やデータ持ち出しを防げない可能性と、情シスが今から備えるべき論点を実務目線で整理します。
用語解説

ゼロデイ攻撃とは?仕組み・なぜ防げないかと情シスの備え

ゼロデイ攻撃とは、修正パッチが提供される前の脆弱性を悪用する攻撃です。なぜパターン検知では防げないのか、Nデイ攻撃との違い、情シスが取るべき多層防御の考え方を一次情報を交えて解説します。
インシデント対応

国内ISPメール乗っ取り、便乗フィッシングに警戒を

KDDIのISP向けメールシステム不正アクセスで最大1,422万件の認証情報が漏えいの可能性。乗っ取られたアカウントからフィッシングメールが送信され、便乗攻撃も懸念されています。情シスが今すぐ確認すべき点を整理します。
用語解説

ビジネスメール詐欺(BEC)とは?手口と情シスの対策を解説

ビジネスメール詐欺(BEC)は、偽のメールで従業員を騙して不正送金させる詐欺です。FBI報告では2025年に世界で約4,400億円超の被害が報告されています。2つの主な手口と、情シス担当者が取るべき対策を解説します。
研究・論文

エッジAIへの敵対的攻撃、電力解析で99.9%検知する新手法

エッジデバイスのAIモデルを狙う敵対的サンプル攻撃を、電力消費の統計的異常から検知する手法「AdvScan」が発表されました。モデル内部へのアクセス不要で99.984%の検知率を達成した研究の内容と情シス実務への示唆を解説します。