研究・論文

プロンプトインジェクション完全防御は数学的に不可能—情シスの現実解

現行のLLMアーキテクチャではプロンプトインジェクションの完全防御が数学的に不可能——arXivの新論文がこう証明しました。LLMを業務活用する情シス担当者が知るべき理由と、現実的な対策を解説します。
研究・論文

連合学習LLMのバックドア攻撃、集約サーバが主犯になる脅威

連合学習(フェデレーテッド学習)ベースのLLM-QAシステムで、集約サーバが悪意を持てばクライアントデータなしにバックドアを埋め込めることが研究で示された(査読前)。医療・法務など機密用途の情シスが知るべきリスクと対策の方向性を解説する。
脆弱性・脅威情報

権威DNSサーバNSDに高深刻度脆弱性4件、4.14.3で修正

権威DNSサーバNSDに高深刻度脆弱性4件(CVE-2026-12244〜12246・12490)。2026年6月25日公開のNSD 4.14.3で修正済み。自組織での使用確認と早急なアップデートが必要です。
脆弱性・脅威情報

libssh2に深刻な整数オーバーフロー脆弱性2件、PoC公開

SSHクライアントライブラリlibssh2に整数オーバーフロー脆弱性2件(CVE-2026-55200:CVSS 9.2、CVE-2026-58050:CVSS 8.3)。いずれもPoC公開済みで、curl・バックアップツール等に組み込まれた環境が広く影響を受ける恐れがあります。
脆弱性・脅威情報

GitLab 脆弱性13件を修正、高深刻度XSS 2件に即対応を

GitLabは2026年6月24日、CE/EE向けセキュリティアップデート(19.1.1/19.0.3/18.11.6)をリリース。高深刻度XSS脆弱性2件を含む計13件を修正した。セルフホスト型GitLabを運用する組織は速やかなアップデートが求められる。
脆弱性・脅威情報

IBM WebSphere に深刻な脆弱性3件 RCE・なりすまし(CVE-2026-9319ほか)

IBM WebSphere Application Server 8.5/9.0に深刻な脆弱性3件(CVE-2026-8644 CVSS 9.1、CVE-2026-9311/9319 CVSS 9.0)。未認証のリモート攻撃者が任意コード実行・なりすまし可能。2026年6月1日公表。早急なパッチ適用が必要です。
研究・論文

HauntAttackが示す推論AI(LRM)の脆弱性と企業対策

推論特化型AI(LRM)を狙う攻撃「HauntAttack」が公開。安全機能を持つ11モデルで平均70%の攻撃成功率を記録。社内AIツール導入を進める情シスが押さえるべきリスクと対応策を整理した(査読前研究)。
用語解説

スピアフィッシングとは?フィッシングとの違いと情シスの実態

スピアフィッシングとは特定の個人・組織を標的にした高度なフィッシング攻撃です。通常フィッシングとの違い・JPCERT/CCが観測した国内被害事例・情シスが取るべき対策の方向性を解説します。
研究・論文

AIが書いたコードを誰が検証するか──情シスが直視すべき現実

「AIが書いたコードの検証は生成より難しい」——2026年6月公開のarXiv論文が示す知見は情シスにも直結する。AIコーディングツール導入期に押さえたい自動スキャンの限界と多層防御の考え方を解説する。
脆弱性・脅威情報

Apache HTTP Server 2.4.68リリース:脆弱性13件を修正

Apache HTTP Server 2.4.68が2026年6月8日にリリースされ、権限昇格やDoS、バッファオーバーフローなど13件の脆弱性を修正。2.4.0〜2.4.67が影響を受けるため、早急なアップデートが必要です。
脆弱性・脅威情報

2026年4月Microsoftパッチ:SharePointゼロデイほか163件修正

2026年4月15日のMicrosoft月例パッチはCVE-2026-32201(SharePointなりすまし:悪用確認済みゼロデイ)を含む163件を修正。Critical 8件あり、オンプレSharePoint Server管理者は最優先対応が必要です。
セキュリティ対策・運用

Windows 10 EOS後:ESU延長でも移行を急ぐべき理由

Windows 10のサポート終了から8ヶ月、悪用済み脆弱性は41件に。マイクロソフトが6月25日に個人向けESUを2027年まで延長しましたが、企業向けは別です。情シスが今確認すべきリスクと対応策をまとめました。
研究・論文

UEFI脆弱性とブートキット:OS以前を狙う脅威と情シス対策

UEFIはOSより下位で起動するファームウェアインターフェースで、ここに潜伏する攻撃はOSの再インストールでは除去できない。2025年1月にはセキュアブートをバイパスするCVE-2024-7344が公開され、UEFI脅威は現実問題となっている。情シスが今すぐ点検すべき対策を解説する。
研究・論文

MCPを狙う分散型ツール中毒攻撃「ShareLock」とは

LLMエージェントの基盤プロトコルMCPを標的にした新型攻撃「ShareLock」が報告された。秘密分散を使って悪意ある命令を複数のツール説明に隠し、主要LLMで90%超の攻撃成功率を記録した研究(査読前)を情シス目線で解説する。
研究・論文

AIコーディングエージェントの設定ファイル管理リスクとは

AIコーディングエージェント(GitHub Copilot, Cursor等)の設定ファイルが無管理のまま組織をまたいで複製されている実態を、10,008リポジトリの調査(査読前研究)から解説。情シスが取るべきインベントリ整備とポリシー対応のポイントを示します。