セキュリティ

企業のセキュリティ対策を「★3」「★4」などで評価する「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）の構築方針が固まった。制度運営や評価の仕組みなど、具体化した内容とは。

GitHubは同社のブログで「バグ報奨金プログラム」について基準を見直す方針を発表した。GitHubは「AIを活用して問題を発見する人が増えることはポジティブな進展だ」と評価する一方、「正当ではない報告も著しく増加しており、業界全体の課題だ」と指摘している。

Microsoftは「Storm-2949」として追跡する脅威アクターの手口を公開した。Entra IDの侵害を足掛かりに、Microsoft 365からAzure本番環境まで静かにかつ横断的に侵入するその手口の全貌に迫る。

MFAを突破されていないのに、なぜ電子メールやクラウドが“乗っ取られる”のか。5週間で340超の企業が被害に遭ったMicrosoft 365を狙う新型フィッシングは、パスワードではなく「OAuth同意」を悪用していたという。

2026年3月4日、「ITmedia Security Week 2026 冬」の「アタックサーフェス管理」セクションで、パネルディスカッション「やっぱり対象領域は明らかにしないといけないから」が行われた。

Claude Mythos Previewに代表される高性能AIによる脆弱性発見の高速化を背景に、政府はついにAI時代のサイバー攻撃を前提とした新たな防衛戦略に乗り出した。国家横断で始動した「Project YATA-Shield」は、日本の重要インフラをどう守るのか。

Cisco Talosが2025年のランサムウェア動向を分析したレポートを公開した。攻撃者は「PowerShell」など、企業が日常的に使うツールや機能を悪用しているという。その具体的な手口と、有効な対策とは。

Nord Securityの調査によると、ユーザーが管理する平均パスワード数は平均168件から120件に減少した。喜ばしい変化のように思えるが、エンジニアにとってはそう単純な話ではないかもしれない。

Cloudflareは、Anthropicの新型LLM「Claude Mythos Preview」を自社インフラで動かして検証した。同社が「単純な性能向上ではなく、脆弱性探索ツールとして別種の能力を備えた」と評価するこのAIモデルの実力を細かくみていこう。

キッティングは今なお「単純作業」と誤解されがちですが、実際には“届いた瞬間から安全に使えるPC”を実現する裏側で、情シスはIT統制やセキュリティ、業務継続を支える高度な設計と運用を担っています。なぜその価値は見えず、評価されないのか。キッティングの本質を掘り下げます。

OpenAIは、従来のサイバーセキュリティの枠組みでは捉え切れない、AI固有の安全性リスクや悪用リスクを対象とした新たなバグ報奨プログラム「Safety Bug Bounty」を開始した。

開発基盤そのものが“侵入口”になる――。Grafana Labsで発生したGitHub認証情報漏えいは、コード窃取や恐喝だけでは終わらない危うさを浮き彫りにした。攻撃者はどのように開発フローへ入り込み、なぜ非公開リポジトリーまで到達できたのか。

Linuxカーネルの深部で見つかった欠陥が、想像以上に危険な波紋を広げている。一般ユーザー権限しか持たない攻撃者が、わずかな“終了処理の隙”を突くことでroot専用情報に到達可能だという。PoCも公開済みのため要注意だ。

多くの日本企業が「セキュリティへの投資を継続しているにもかかわらず、一向にインシデントの脅威が減少しない」というジレンマに陥っている。日本企業のセキュリティ対策を支援してきた製品ベンダーへの取材から、その理由を探る。

IPAが実施したASMツールによる診断では、調査対象の中小企業126社全てで何らかの脆弱性が見つかった。放置されたデータベースや設定不備など、“見えていないIT資産”のリスクが浮き彫りになった形だ。

OpenAIはTanStack npmを経由したサプライチェーン攻撃「Mini Shai-Hulud」によって社内端末への不正活動を確認したと公表した。同社は署名証明書を更新し、macOS版アプリ利用者に2026年6月12日までの最新版の更新を求めている。

MicrosoftはWindows DNS Clientに深刻なRCE脆弱性「CVE-2026-41096」が存在すると公表した。細工されたDNS応答によってメモリ破損が発生し、条件次第で認証不要の遠隔コード実行に至る恐れがある。

GitHub Actionsを“感染源”にしてnpmの数百パッケージを侵害するマルウェアキャンペーン「Mini Shai-Hulud」が、開発者コミュニティーを震撼させている。この攻撃の特徴は“自己増殖”と“ランサム化”だという。一体どう対策すべきか。

IPAは、中小規模の製品開発者を対象に「PSIRT体制構築・運用支援」を無償提供すると発表した。通常1000万円以上かかる専門家のサポートを提供し、組織的なセキュリティ対応体制の整備を支援するという。

Linuxカーネルに権限昇格が可能になる脆弱性「Fragnesia」が見つかった。直近話題になったゼロデイ脆弱性「Dirty Frag」の亜種とみられる。公開済みの実証コードでは/usr/bin/suのページキャッシュを改変してroot権限を奪取することが分かっている。

「NGINX」に、認証不要で悪用可能な“危険すぎる欠陥”が見つかった。たった一つのHTTPリクエストが、サーバ停止や遠隔コード実行（RCE）につながる可能性もあるという。問題は標準構成にも潜み、影響範囲は想像以上に広い。運用担当者が今すぐ確認すべきポイントとは。

「あなたのパスワード、何分持ちますか？」――流出した2億件超の認証情報を分析した結果、48％が1分未満、60％が1時間未満で解析できることが分かった。その背景にあるのはGPU性能の劇的な進化だという。

Anthropicの「Claude Platform」で「Compliance API」が利用可能になり、管理者は組織全体の監査ログにプログラムからアクセスできるようになった。

Windows 11のBitLockerを回避し、暗号化ドライブを“素通り”できる可能性が浮上した。鍵となるのはWindows標準の回復機能WinREだという。発見した研究者が「異常」と評した回避手法はどのようなものか。

「暗号化しないランサムウェア」が現実化するかもしれない。WindowsのSMB共有機能を悪用する「GhostLock」は、ファイルを書き換えずに業務停止級の被害を引き起こすという。EDRやAI検知を擦り抜けるこの手法に対する有効策とは。

Microsoftは重要インフラを取り巻くサイバー脅威が構造的に変化している状況を解説するレポートを公開した。IDを起点とした攻撃や、国家主体の長期潜伏型の攻撃に警戒が必要だ。

OpenAI風の人気AIリポジトリに、なぜ開発者は群がってしまったのか――。18時間足らずで約24万4000件のダウンロードを記録したコードの裏に仕込まれたわなの中身とは。

Mandiantは年次レポート「M-Trends 2026」を発表した。2025年に実施した50万時間以上のインシデント調査では、サイバー犯罪の分業化と連携の進展により、初期アクセスから攻撃実行グループへの引き継ぎ時間が2022年の8時間超から2025年には22秒に短縮されたことが明らかになった。

サイバーBCPについて「準備している」と答える企業は多い。しかしいざ危機的な事態が訪れたとき、その準備がきちんと機能するかどうかは別問題だ。タニウムの調査から、“出たとこ勝負”という国内企業の危うい実態が明らかになった。

LayerX Securityは、Claude for Chromeに外部拡張機能からAI操作を乗っ取れる脆弱性「ClaudeBleed」が存在すると公表した。送信元検証不備が原因で、GmailやGoogle Driveの操作が可能となり、修正版を公開した後も問題は残存しているという。

Palo Alto NetworksはPAN-OSに深刻な脆弱性が存在することを発表した。認証不要でroot権限のコード実行が可能だという。CISAが同脆弱性をKEVカタログに追加していることから悪用が懸念されるため注意してほしい。