KDDIで発生した最大1422万件に及ぶ情報漏えい。その背後には、単なる脆弱性悪用では片付けられない攻撃者の狙いが見え隠れしている。ダークWebやOSINT(公開情報調査)から事件を追跡し、流出データの行方や政府系サイバー攻撃との接点、今後想定されるリスクを専門家とともに解説する。
(2026/07/02)
国産セキュリティ製品とは、条件をどこまで満たせば「国産」と言えるのか。日本サイバーセキュリティ産業振興コミュニティは、製品やサービスが国内でどの程度自律的に運用・統制・継続・保護できるかを評価する新指標「日本度」の概要を公開した。一体これはどのようなものか。
(2026/07/02)
2026年4月「全てのCVEを分析する」という長年の方針を転換したNIST。約2カ月後、その運用実態を調査したところ、分析対象の絞り込みだけでなく、脆弱性評価そのものを巡る新たな課題が浮かび上がったという。
(2026/07/02)
電子メールに届いたExcelファイルを開いただけで、PCが乗っ取られる。そんなシナリオにつながるExcelの重大な脆弱性の詳細をSentinelOneが分析した。攻撃者はこれをどのように悪用し、防御側は何を監視すべきなのか。その技術的ポイントを整理する。
(2026/07/01)
Linuxカーネルに、一般ユーザー権限から管理者権限を取得される恐れがある重大な脆弱性が見つかった。既にPoCが公開され、一部の主要Linuxディストリビューションではroot権限取得まで確認されている。
(2026/07/01)
広く利用されている侵入テストフレームワークMetasploit。その生みの親であるHDムーア氏は、急速に深刻化するサイバー脅威をどう見ているのだろうか。防御側の対応はどうあるべきか。長期的な変化を含めて同氏に聞いた。
(2026/07/01)
1PasswordはOpenAIと協業し、コーディングエージェント「Codex」向けに「1Password Environments MCP Server」を提供開始した。Codexがシークレットを保持せずに、必要なアクセス権のみを得られる仕組みを実現する。
(2026/06/30)
Microsoftは「認証ロンダリング」と呼ぶ新たな攻撃モデルについて解説した。攻撃者はCalendlyやGoogle、Cloudflareといった正規サービスを巧みに組み合わせ、電子メール認証をすり抜ける手口を展開するという。
(2026/06/30)
陸上自衛隊中部方面総監部で使用されていたUSBメモリからマルウェアが検知されていたことが判明した。防衛省・自衛隊が義務付けているウイルスチェックが徹底されていなかったことにより発覚に遅れが生じたと見られる。
(2026/06/30)
2026年上半期に@ITで公開された記事の中から、セキュリティ系の話題で特に注目を集めた5本をランキング形式で紹介します。何が読者の関心を引いたのでしょうか。
(2026/06/29)
「AIに脆弱性診断を任せれば、人手不足を補いながら効率良くセキュリティを強化できる」。ソフトバンクをはじめ国内でも複数の企業がAIによる脆弱性診断サービスの立ち上げを発表する中、そんな期待を裏切る調査結果が明らかになった。
(2026/06/29)
ガートナーの最新調査で、最も実施率が高いランサムウェア対策でも4割程度にとどまり、感染後の判断や復旧体制には大きな課題が残る実態が明らかになった。さらに同社は、従来とは少し異なる「身代金交渉」の考え方も示している。
(2026/06/29)
OAuthトークンの窃取、IT管理者へのなりすまし、正規管理ツールの悪用など、クラウド環境を狙う攻撃は高度化し、従来の多要素認証だけでは防ぎきれないフェーズに直面しています。最新の攻撃手口、明日からできる対策を整理します。
(2026/06/28)
FortiGateへの大規模攻撃やEDR無効化ツールの普及など2026年上半期は、これまで有効だった防御の前提が揺らぐ出来事が相次いだ。個別の事件に見えるこれらは、実は共通する変化を示している。本稿では半年間の主要インシデントを振り返りながら、後半戦に向けて企業が見直すべきポイントを整理する。
(2026/06/27)
キヤノンITソリューションズは、経済産業省が運用を予定している「サプライチェーン強化に向けたセキュリティ対策評価制度」に関する実態調査を発表した。取引条件化の意向がある発注企業のうち、過半数が取引先にセキュリティ対策の評価水準として「★4以上」を求める予定と回答した。
(2026/06/26)
AIが攻撃を自動化し、人間の判断速度では追い付けない時代が現実になりつつある。WithSecureは年次イベントで、従来の「検知して対処する」防御モデルの限界を指摘した。これに対して同社はどのような解決策を提示するのか。
(2026/06/26)
NTTPCコミュニケーションズが公表したWebARENAサービスへの不正アクセス事案で、第三者による管理情報へのアクセスや顧客領域への改変の痕跡が明らかになった。同社は一部サーバの廃止と顧客移行を決断。なぜそこまで踏み込んだ対応が必要になったのか。
(2026/06/26)
CAPTCHAは長年、「人間か機械か」を見分けるための仕組みとして使われてきた。だが、生成AIやブラウザエージェントの普及によって、その前提が揺らぎ始めている。CAPTCHAを巡る攻防は、今どこに向かっているのか。この技術の歴史をたどる。
(2026/06/26)
Microsoftはマルチモデルエージェント型セキュリティシステム「MDASH」の取り組みについて解説した。Microsoftのセキュリティエンジニアリングチームが活用しており、Windowsの未知の重大な脆弱性発見に貢献しているという。
(2026/06/25)
ランサムウェア被害企業は「支払うか、拒否するか」という難しい判断を迫られるが、その交渉の舞台裏では、被害企業だけでなく攻撃者側にも見逃せない事情がある。ホワイトハッカーが解説する“攻撃者の論理”を知れば、インシデント対応の見方が変わるかもしれない。
(2026/06/25)
ランサムウェア攻撃の成功を左右するEDRの無効化。その役割は通常、攻撃実行役に委ねられることが多い。だがESETの調査からは、あるRaaS集団がその仕組み自体をサービスとして提供していた実態が見えてきた。
(2026/06/25)
KDDIは、ISP事業者用メールシステムへの不正アクセスを確認した。第三者製ソフトウェアの脆弱性を悪用された結果、最大1422万件のメールアドレスとパスワードが漏えいした可能性があるという。
(2026/06/25)
7万台超のFortiGateに関する認証情報流出疑惑で注目を集めた「FortiBleed」。これに対してFortinetは、新たな脆弱性や製品侵害ではないとの見解を示した。その一方で、影響を受けた可能性がある組織には複数の緊急対応を要請している。なぜパッチ適用後もリスクが残るのか。
(2026/06/24)
経産省は、セキュリティサービス事業者の運営体制や情報管理体制などを確認する新たな認定制度を創設する方針を示した。経営体制や人員管理、利用ツール、データ保管先まで確認対象となる。制度創設の背景には何があるのだろうか。
(2026/06/24)
英国のNCSCは、サービスがパスキーをサポートする場合はパスキーを、サポートしない場合は2段階認証を推奨する方針を表明し、個人利用における従来のユーザー認証情報とFIDO2認証情報のセキュリティ特性を比較する論文も公開した。
(2026/06/23)
AppleのA12、A13チップを搭載したiPhoneやiPadで、起動時の信頼基盤を揺るがす新たなBootROMエクスプロイト「usbliter8」の実証コードが公開された。遠隔攻撃はできないものの、一度見つかればソフトウェア更新では消せない欠陥だという。
(2026/06/23)
Claude Fable 5に復旧の兆しが見え始めた。だが停止問題を巡っては、単なる脱獄対策では説明し切れない新たな情報も浮上している。NSAによる非公開説明や政府のAI事前審査構想をたどると、米政府とAnthropicの間で進む別の交渉が見えてきた。
(2026/06/23)
AIによって誰もがコードを書けるようになったが、開発者はソフトウェアサプライチェーン攻撃のリスクにさらされている。本稿では、そもそもソフトウェアサプライチェーンとは何なのかを振り返り、開発者が何に気を付け、どのような対策をとるべきなのかを分かりやすく解説する。
(2026/06/23)
生成AIの悪用が進む中、防御側の運用モデルも転換点を迎えている。こうした変化を踏まえて、タニウムはイベント「Converge Tokyo 2026」で、自律的なIT運用を目指す新構想とAI基盤を発表した。NECの事例とともに、AI時代のIT資産管理の勘所を探る。
(2026/06/22)
Anthropicの最新AIモデルに突如課された輸出規制が波紋を広げている。政権側は安全保障上の懸念を理由に挙げるが、セキュリティやAI分野の専門家は、その判断を支える根拠が十分に示されていないと反発している。問題視された能力とは何か。
(2026/06/22)
GoogleやMicrosoftなど主要メール事業者による認証要件の強化で、DMARCは「推奨設定」から事実上の必須要件へと変わりつつある。しかし多くの企業は運用の複雑さを理由に強制適用に踏み切れていない。Cloudflareが無償提供を始めた新機能はこれをどう解消するか。
(2026/06/22)
編集部からのお知らせ
「ITmedia NETWORK Live 2026夏」が2026年7月29日(水)〜31日(木)に開催します。パーソルHDや星野リゾートなどの事例を基に、形骸化したネットワーク運用からの脱却を目指し、LANの制御とセキュリティを統合的に見直す実践的アプローチをご紹介します。