セキュリティプロ・フリーランス編集部– Author –
-
Linuxカーネル脆弱性ssh-keysign-pwn(CVE-2026-46333)でSSH秘密鍵漏洩リスク、Movable Typeも緊急対応
「LinuxサーバでSSH鍵が一般ユーザーから盗まれるって、本当に起こるの?」「Movable Typeまで緊急対応するほど、何が深刻なの?」 ボス、Linuxのssh-keysign-pwnって脆弱性、SSH鍵まで盗まれちゃうって本当でしゅか? うむ、5月14日にQualys Threat Resea... -
国内大学338校のメールセキュリティ調査、SPF/DMARC適切運用は4.1%にとどまる
「大学からのメールが本物か怪しい時、何で見分けたらいい?」「DMARCって聞くけど、設定しているだけじゃダメなの?」 ボス、大学の9割以上はSPF入れているのに、ちゃんと守れているのは4.1%しかないって本当でしゅか? うむ、GMOブランドセキュリティが5... -
象印マホービン台湾子会社にサイバー攻撃、顧客情報・駐在員パスポート流出の可能性
「日本企業の海外子会社って、本社と同じレベルで守られているの?」「台湾の顧客情報や駐在員のパスポートまで漏れるって、何が起きたの?」 ボス、象印マホービンの台湾子会社がサイバー攻撃を受けたみたいでしゅ。パスポート情報まで漏れたんでしゅか?... -
ユニバーサルミュージックで310万件の個人情報漏洩、ECサイト不正アクセスの最終調査結果
「ユニバーサルミュージックで310万件って、自分の情報も含まれているかも…」「パスワードや決済情報は無事みたいだけど、それでも何が危ないの?」 ボス、ユニバーサルミュージックのECサイトで310万件も漏洩したってニュース、怖すぎでしゅ… うむ、5月18... -
LinkedIn情報漏洩から学ぶ、パスワード保存の本質と漏洩前提の備え
「パスワードってハッシュ化してあれば、流出しても安全なんじゃないの?」「LinkedInほどの大企業が、なぜそんなに脆い保存方式を選んでいたの?」 ボス、LinkedInの情報漏洩って、ニュースで何度も聞いた気がするでしゅ。でも、ハッシュ化されてたなら平... -
中国系APT「Twill Typhoon」が日本含むAPACを標的、Sogou IME経由でFDMTPバックドアを展開
「国家系APTって名前は聞くけれど、本当に自社が狙われるのだろうか?」「正規Windowsツールを使った攻撃って、どうやって見抜けるのだろう?」 ボス、Darktraceが中国系のAPTが日本も含むアジアを狙ってるって出してたんでしゅ。Sogou入力って中国系のソ... -
Windowsゼロデイ「MiniPlasma」がPoC公開、最新パッチ環境でもSYSTEM権限昇格が可能
「最新のWindows Update、ちゃんと当てているから安心、で本当に大丈夫だろうか?」「PoCが公開されたゼロデイって、社内端末にどんな影響があるのか?」 ボス、また怖いゼロデイが来たって聞いたんでしゅ。今度はWindowsで、しかもパッチを当ててても効く... -
OpenClawに4連鎖脆弱性「Claw Chain」、AIサンドボックス回避と権限昇格でデータ窃取の恐れ
「AIエージェントの実行基盤って、どこまで守られているのだろう?」「サンドボックスがあるから安全と言われたが、本当に信頼してよいのか?」 ボス、OpenClawっていうAI関連ツールに4つも脆弱性が見つかったって聞いて、ちょっとドキドキしてるんでしゅ…... -
NGINX rewriteモジュールに重大脆弱性CVE-2026-42945(CVSS 9.2)、18年前のヒープオーバーフローを野放しで悪用
「うちのWebサーバー、NGINXを長く使ってるけど大丈夫だろうか?」「rewriteを多用しているけど、それが攻撃の標的になるなんてあり得るのか?」 ボス、NGINXの古いバージョンに大穴があるって聞いたんでしゅが、ウチも10年前のサーバーが残ってる気がする... -
Microsoft Exchange Serverに緊急脆弱性CVE-2026-42897、OWAで任意JavaScript実行のなりすまし攻撃を確認
「うちのExchange Server、まだオンプレで動かしているけど大丈夫だろうか?」「OWAって攻撃の入り口になりやすいと聞くが、具体的に何が危ないのだろう?」 ボス、また怖いExchangeのニュースが出てましたよぉ。Outlook Web Accessってウチでも使ってるん...
