研究・論文

アプリのプライバシー表示は正確か|研究が暴く不一致

Androidアプリの「プライバシーポリシー」と「データセーフティ表示」がしばしば食い違うことを、6,051本のアプリを調べた研究が示しました。ストアの表示だけを信じるアプリ審査の危うさと、情シスが取るべき現実的な対応を解説します。
用語解説

SOCとは?監視・検知の役割とCSIRTとの違いを解説

SOC(セキュリティオペレーションセンター)とは何かを、情シス向けにわかりやすく解説。24時間監視の役割、SIEMなどの仕組み、CSIRTとの違い、内製・外部委託(MSSP)の選び方、導入時の注意点まで実務目線で整理します。
研究・論文

SOCのログ分析AIを狙うプロンプトインジェクション

SOCのログ分析にLLMを使うと、攻撃者がログ自体に仕込んだ指示でAIを誤作動させられる——という査読前研究を情シス向けに解説。攻撃の仕組み、実験結果、そして「防御を重ねても残るリスク」への向き合い方を整理します。
研究・論文

LLMで攻撃を全自動再現 敵対的エミュレーション研究

MITRE ATT&CKに沿った脅威インテリジェンスから、攻撃再現(敵対的エミュレーション)のプレイブック生成・実行・失敗回復までをLLMで全自動化する査読前研究を、情シス実務者向けに解説します。防御側にとっての意味と限界、悪用リスクまで整理しました。
研究・論文

AIエージェントのメモリが新たな攻撃面に 研究解説

AIエージェントの永続的な「メモリ」がプロンプトインジェクションの新たな攻撃面になると指摘する査読前研究を情シス向けに解説。外部からの上書きは難しい一方、一度埋め込まれた命令はセッションを越えて悪用されうる点を整理します。
研究・論文

サンドボックス回避の新手口、マルウェアはAI環境の有無を見る

マルウェア解析サンドボックスを回避する新しい手口を示した査読前研究を紹介します。マルウェアが「AI開発環境らしさ」の有無を調べて解析環境を見破る仕組みと、検知に頼りきる運用の落とし穴、情シスが取るべき多層防御の考え方を実務目線で解説します。
脆弱性・脅威情報

SharePoint Server脆弱性、悪用でCISAが緊急対策要請

オンプレSharePoint Serverの複数脆弱性が実際に悪用され、米CISAが緊急のハードニングを要請。CVE-2026-58644(CVSS9.8)はゼロデイで悪用。影響範囲・悪用手口・情シスが今すぐ確認すべき点を実務目線で整理します。
脆弱性・脅威情報

Dell PowerFlexに深刻な脆弱性、最大CVSS9.1で更新を

Dellがソフトウェア定義ストレージ「PowerFlex」で10件超の脆弱性を修正。最大CVSSは9.1のOSコマンドインジェクション。認証欠如による遠隔コード実行も含まれ、5.1.0.1以降への更新が必要です。情シスの確認点を整理します。
脆弱性・脅威情報

FortiOSなどに脆弱性7件、Fortinetが順次修正

Fortinetが2026年7月14日、FortiOSなどの脆弱性を公表。緊急・高はないものの、SSL-VPNの反射型XSSやFortiSandboxのVNC露出(高)を含みます。情シスが確認すべき影響範囲と対応の優先度を整理します。
用語解説

CSIRTとは?役割・SOCとの違いと構築の要点を解説

CSIRTとは、組織内のセキュリティインシデントに専門対応するチームです。平時・有事の役割、SOC・PSIRTとの違い、JPCERT/CCのCSIRTマテリアルを使った現実的な構築手順を情シス向けに解説します。
脆弱性・脅威情報

Oracle EBS脆弱性CVE-2026-46817悪用 KEV追加の要点

CISAが2026年7月15日、Oracle EBSの脆弱性CVE-2026-46817(CVSS9.8・認証不要)とKNXプロトコルのCVE-2023-4346をKEVに追加。悪用確認済み。情シスが直ちに確認すべきポイントを解説します。
脆弱性・脅威情報

nginx脆弱性CVE-2026-42533、CVSS9.2 修正版公開

nginxにCVSS v4.0スコア9.2の脆弱性CVE-2026-42533など3件。認証不要でDoS、条件次第でコード実行のおそれ。修正版1.30.4/1.31.3が公開。影響を受ける構成の確認ポイントと緩和策を情シス向けに解説します。
脆弱性・脅威情報

Zoom脆弱性CVE-2026-53412、認証不要の乗っ取りに対処を

Windows版Zoomに認証不要でアカウント乗っ取りが可能なCVSS9.8の脆弱性CVE-2026-53412。影響バージョンと修正版、VDI環境の注意点、情シスが確認すべきポイントを解説します。
用語解説

クロスサイトスクリプティング(XSS)とは?仕組みと対策

クロスサイトスクリプティング(XSS)とは、Webページに悪意あるスクリプトを埋め込み閲覧者のブラウザで実行させる攻撃です。反射型・格納型・DOM型の違い、Cookie窃取などの被害、情シスが取るべき対策を解説します。
インシデント対応

LINEヤフー、ゲーム利用者610万人の識別子を外部送信

LINEヤフーがゲーム3タイトルの利用者約610万人分の内部識別子を外部広告ツールへ約4年間送信していたと公表。原因は設定変更時の確認不足。外部送信規律の観点から情シスが自社サイト・アプリで確認すべき点を解説します。