用語解説

ビジネスメール詐欺(BEC)とは?手口と情シスの対策を解説

ビジネスメール詐欺(BEC)は、偽のメールで従業員を騙して不正送金させる詐欺です。FBI報告では2025年に世界で約4,400億円超の被害が報告されています。2つの主な手口と、情シス担当者が取るべき対策を解説します。
研究・論文

エッジAIへの敵対的攻撃、電力解析で99.9%検知する新手法

エッジデバイスのAIモデルを狙う敵対的サンプル攻撃を、電力消費の統計的異常から検知する手法「AdvScan」が発表されました。モデル内部へのアクセス不要で99.984%の検知率を達成した研究の内容と情シス実務への示唆を解説します。
脆弱性・脅威情報

Oracle Java SE 2026年4月CPU―11件の脆弱性修正、7件はリモート悪用可能

Oracle Java SEの2026年4月Critical Patch Update(CPU)が4月22日に公開された。11件のCVEを修正し、うち7件はリモートから認証不要で悪用可能。Java 8から26まで幅広いバージョンが対象で、2か月が経過した今も未適用の環境がないか確認が必要だ。
研究・論文

プロンプトインジェクション完全防御は数学的に不可能—情シスの現実解

現行のLLMアーキテクチャではプロンプトインジェクションの完全防御が数学的に不可能——arXivの新論文がこう証明しました。LLMを業務活用する情シス担当者が知るべき理由と、現実的な対策を解説します。
研究・論文

連合学習LLMのバックドア攻撃、集約サーバが主犯になる脅威

連合学習(フェデレーテッド学習)ベースのLLM-QAシステムで、集約サーバが悪意を持てばクライアントデータなしにバックドアを埋め込めることが研究で示された(査読前)。医療・法務など機密用途の情シスが知るべきリスクと対策の方向性を解説する。
脆弱性・脅威情報

権威DNSサーバNSDに高深刻度脆弱性4件、4.14.3で修正

権威DNSサーバNSDに高深刻度脆弱性4件(CVE-2026-12244〜12246・12490)。2026年6月25日公開のNSD 4.14.3で修正済み。自組織での使用確認と早急なアップデートが必要です。
脆弱性・脅威情報

libssh2に深刻な整数オーバーフロー脆弱性2件、PoC公開

SSHクライアントライブラリlibssh2に整数オーバーフロー脆弱性2件(CVE-2026-55200:CVSS 9.2、CVE-2026-58050:CVSS 8.3)。いずれもPoC公開済みで、curl・バックアップツール等に組み込まれた環境が広く影響を受ける恐れがあります。
脆弱性・脅威情報

GitLab 脆弱性13件を修正、高深刻度XSS 2件に即対応を

GitLabは2026年6月24日、CE/EE向けセキュリティアップデート(19.1.1/19.0.3/18.11.6)をリリース。高深刻度XSS脆弱性2件を含む計13件を修正した。セルフホスト型GitLabを運用する組織は速やかなアップデートが求められる。
脆弱性・脅威情報

IBM WebSphere に深刻な脆弱性3件 RCE・なりすまし(CVE-2026-9319ほか)

IBM WebSphere Application Server 8.5/9.0に深刻な脆弱性3件(CVE-2026-8644 CVSS 9.1、CVE-2026-9311/9319 CVSS 9.0)。未認証のリモート攻撃者が任意コード実行・なりすまし可能。2026年6月1日公表。早急なパッチ適用が必要です。
研究・論文

HauntAttackが示す推論AI(LRM)の脆弱性と企業対策

推論特化型AI(LRM)を狙う攻撃「HauntAttack」が公開。安全機能を持つ11モデルで平均70%の攻撃成功率を記録。社内AIツール導入を進める情シスが押さえるべきリスクと対応策を整理した(査読前研究)。
用語解説

スピアフィッシングとは?フィッシングとの違いと情シスの実態

スピアフィッシングとは特定の個人・組織を標的にした高度なフィッシング攻撃です。通常フィッシングとの違い・JPCERT/CCが観測した国内被害事例・情シスが取るべき対策の方向性を解説します。
研究・論文

AIが書いたコードを誰が検証するか──情シスが直視すべき現実

「AIが書いたコードの検証は生成より難しい」——2026年6月公開のarXiv論文が示す知見は情シスにも直結する。AIコーディングツール導入期に押さえたい自動スキャンの限界と多層防御の考え方を解説する。
脆弱性・脅威情報

Apache HTTP Server 2.4.68リリース:脆弱性13件を修正

Apache HTTP Server 2.4.68が2026年6月8日にリリースされ、権限昇格やDoS、バッファオーバーフローなど13件の脆弱性を修正。2.4.0〜2.4.67が影響を受けるため、早急なアップデートが必要です。
脆弱性・脅威情報

2026年4月Microsoftパッチ:SharePointゼロデイほか163件修正

2026年4月15日のMicrosoft月例パッチはCVE-2026-32201(SharePointなりすまし:悪用確認済みゼロデイ)を含む163件を修正。Critical 8件あり、オンプレSharePoint Server管理者は最優先対応が必要です。
セキュリティ対策・運用

Windows 10 EOS後:ESU延長でも移行を急ぐべき理由

Windows 10のサポート終了から8ヶ月、悪用済み脆弱性は41件に。マイクロソフトが6月25日に個人向けESUを2027年まで延長しましたが、企業向けは別です。情シスが今確認すべきリスクと対応策をまとめました。