用語解説

ラテラルムーブメント(横展開)とは?侵入後の脅威を解説

ラテラルムーブメント(横展開)とは、侵入した攻撃者が内部ネットワークを横移動し被害を広げる行為です。仕組み・代表的な手口・情シスの検知と対策の勘所を、MITRE ATT&CKやJPCERT/CCの一次情報をもとに実務者向けに解説します。
用語解説

権限昇格とは?攻撃の仕組みと情シスの対策を解説

権限昇格とは、攻撃者が本来持つはずのない上位の権限を不正に得ることです。垂直・水平の2タイプ、代表的な手口、そして情シスが押さえるべき最小権限と脆弱性管理の勘所をわかりやすく解説します。
脆弱性・脅威情報

Apache HttpComponents CoreにDoS脆弱性2件

Javaで広く使われるHTTP通信基盤ライブラリApache HttpComponents Core(HttpCore)に、DoSにつながる脆弱性2件(CVE-2026-54428/54399、いずれもCVSS7.5)が公表されました。影響範囲と自社での確認・対応の要点を整理します。
脆弱性・脅威情報

UltraVNCに深刻な脆弱性、Repeaterの更新を急げ

無償のリモートアクセスツールUltraVNCに計10件の脆弱性が判明。特にRepeaterには認証前に遠隔から任意コード実行が可能なCVSS9.8の欠陥と既定パスワードの問題があり、緊急の更新が必要です。情シスが確認すべき点を整理します。
研究・論文

LLMでAPT攻撃を追跡する研究「Minos」を読む

APT攻撃の事後追跡をLLMの多エージェントで自動化する査読前研究「Minos」を、情シス実務者の視点で解説。何が新しく、SOC運用に何を意味し、どこに限界があるかを整理します。
研究・論文

RAGポイズニングとは?AIエージェントを乗っ取る攻撃

社内のAI検索やエージェントで使われるRAGを、外部に置いた文書だけで乗っ取る攻撃手法「KidnapRAG」の査読前研究を、情シス実務者向けに解説します。仕組み・実務への影響・今すぐ押さえるべき公的指針をまとめました。
研究・論文

スマホAIエージェントの新攻撃面 VLMを騙す7つの手口

スマホ画面を見て自律操作するVLMベースのAIエージェントに、権限なしで乗っ取り・任意コマンド実行を許す新たな攻撃面があると指摘した査読前論文を、情シス実務者向けに噛み砕いて解説します。
インシデント対応

介護評価システムに不正アクセス|検知遅れと公表の教訓

介護サービス第三者評価システム「かなふく評価ガイド」が不正アクセスを受け一時停止。攻撃の可能性は6月10日、判明は6月17日、公表は7月2日。検知の遅れと公表までの時間差から、情シスが学べる実務の教訓を整理します。
用語解説

CVSSとは?脆弱性の深刻度を評価する仕組みと使い方

CVSS(共通脆弱性評価システム)とは、脆弱性の深刻度を0.0〜10.0で数値化する国際標準の評価手法です。スコアの読み方、深刻度レーティング、基本・脅威・環境の評価基準、最新v4.0の変更点、「9.8だから即対応」を鵜呑みにしない実務の勘所を整理します。
脆弱性・脅威情報

ClamAVに7件の脆弱性 Cisco製品も影響し修正版公開

オープンソースのアンチウイルスエンジン「ClamAV」に7件の脆弱性が判明。細工したファイルのスキャンでクラッシュやメモリ破壊が起こり得ます。Cisco Secure Endpointなど同エンジンを組み込む製品も影響。修正版1.5.3/1.4.5への更新が必要です。
脆弱性・脅威情報

PHPに複数の脆弱性、最新版で修正 情シスの対応点

PHP開発チームが2026年7月にセキュリティ更新を公開。OpenSSL・GD・BCMath・Pharなど複数の脆弱性を修正しました。対象バージョンと、情シスが自社環境で確認すべき優先度の判断材料を整理します。
インシデント対応

防災メール悪用でフィッシング、なりすまし対策の要点

和歌山県の「防災わかやまメール配信サービス」の受信専用アドレスがなりすましに悪用され、LINEのQRコードや口座情報を求める不審メールが出回りました。自組織のドメインを騙る送信をどう防ぐか、DMARCなど送信ドメイン認証を軸に情シス目線で整理します。
用語解説

標的型攻撃とは?手口と情シスの対策をわかりやすく解説

標的型攻撃とは、特定の組織を狙い撃ちにして機密情報の窃取などを狙うサイバー攻撃です。標的型メール・水飲み場型などの手口、APTとの関係、情シスがとるべき対策の勘所を一次情報をもとにわかりやすく解説します。
研究・論文

RAGを狙う「埋め込み推論攻撃」とは―査読前研究

社内RAGの「埋め込みモデル」が、返ってくる文書を観察するだけで外部から特定される――そんな攻撃手法を示した査読前研究を、情シス実務者向けに噛み砕いて解説します。偵察リスクとしての意味と、現実的な緩和策を整理しました。
研究・論文

LLMの多段ジェイルブレイク対策『認知的ファイアウォール』

1通ずつ見れば無害な会話を積み重ねてLLMから有害出力を引き出す「多段ジェイルブレイク」に、会話全体を監視する多層ゲート型の防御を提案した査読前研究をarXivが公開。情シス向けに要点と実務への示唆を解説します。