Mandiantは、SalesforceのAuraフレームワークにおける“よくある設定ミス”を特定するオープンソースのCLIツール「AuraInspector」を公開した。
()
七十七銀行は、同行のDX推進とセキュリティ強化を目的に、従来の境界型防御モデルからゼロトラストモデルに移行した。従来の境界型防御に伴う利便性の低下を解消しつつ、AIを活用した脅威検知精度の向上を実現した。
()
Netskopeは、2025年のAI、クラウド、フィッシング、マルウェアに関する攻撃を分析した「クラウドと脅威レポート」2026年版を発表した。生成AI利用に伴うデータポリシー違反が前年比で2倍以上に急増した他、シャドーAIの常態化や個人用クラウド経由の漏えいリスクが浮き彫りとなった。
()
個人情報がダークWebに流出した場合、詐欺やアカウント乗っ取りに悪用されるリスクが高まる。ESETがダークWebでの流出が確認された場合の対処を解説した。
()
パロアルトネットワークスは、世界10カ国の開発・情報セキュリティ部門を対象にした調査「クラウドセキュリティの現状2025」の結果を発表した。AIツールの進展により1日当たりのサイバー攻撃件数は1年間で230万件から約900万件へ急増したという。
()
一般社団法人ソフトウェア協会、大阪急性期・総合医療センター、日本マイクロソフトの3者は、「Cyber A2/AD ランサムウェア防御チェックシート」を公表した。医療機関に限らず、一般の中小・中堅企業や大企業でも十分に適用可能だという。
()
2025年末から、企業代表者の実名をかたってLINEのグループ作成やアカウント情報の提供を求める「CEO詐欺」メールが相次いでいる。サイバーセキュリティ企業ラックの調査では、150社以上が注意喚起していることが判明した。年度末に向けてさらなる攻撃の可能性があり、警戒が必要だ。
()
ESETは、生成AIがサイバー攻撃に与える影響に関する分析を公開した。AIにより今後2年間でサイバー脅威の頻度と強度が増すと警告。ランサムウェア構築支援やプロンプトインジェクションなど、AIが悪用される5つの主要な手口を解説している。
()
延べ90万超ダウンロード済みのChromeブラウザの拡張機能で、「ChatGPT」「DeepSeek」との会話内容がブラウジング行動データとともに30分ごとに窃取されていたことが明らかになった。
()
アシュアードは2026年1月8日、弥生による脆弱性管理クラウド「yamory」の活用事例を公開した。弥生は30チーム以上の開発組織で脆弱性やEOLリスクを一元管理し、セキュリティ体制の強化と属人化の解消を実現したという。
()
Microsoftは、組織のドメインを偽装し、内部からのメールを装うフィッシング攻撃に関する最新の調査結果を発表した。攻撃者は複雑なメールルーティングや不適切な設定を悪用しており、認証情報の窃取や金銭詐欺につながっているという。
()
多くの組織で非人間アイデンティティーの数が人間のユーザーを大幅に上回る中、その管理が課題となっている。HashiCorpは公式ブログで、従来の静的シークレットの管理から「ワークロードアイデンティティー(ID)」への移行が必要だとの見解を示した。
()
Anthropicが公開したAIエージェントのプレビュー版「Claude Cowork」に、ローカルファイル流出の脆弱性が存在することが分かった。巧妙な間接的プロンプトインジェクションを駆使しているという。
()
Securonixの脅威調査チームは、ステルス性の高い攻撃キャンペーン「PHALT#BLYX」を解析した。偽のブルースクリーンを表示して悪意あるコードを実行させるソーシャルエンジニアリング手法を用いる手口が判明した。
()
Microsoftは、予防可能な攻撃が多くの被害を生んでいる現状を踏まえ、サイバー攻撃対策として優先すべき4つの戦略を公開した。
()
Koi Securityはブラウザ拡張機能を用いた大規模なサイバー攻撃を展開していた脅威アクター「DarkSpectre」に関する調査結果を公表し、警戒を呼び掛けている。
()
ホスティングなどのITサービスを提供するリンクは、不審なメールに関する実態調査の結果を発表した。約8割が不審なメールを受信しており、約3割が正規のメールを不審なものと誤認する「濡れ衣現象」を経験していた。
()
サイバー犯罪者が銀行、通信、物流、IT企業などの従業員を勧誘し、内部協力者として悪用する動きが加速している。ダークWebでは「経済的自立への近道」とする報酬を提示する投稿や広告が増加している。
()
Check Point傘下のLakeraは、AIエージェントを標的とした最新の攻撃トレンドをまとめたレポートを発表した。システムプロンプトの抽出や間接的プロンプトインジェクションなど、攻撃手法が急速に変化している実態が浮き彫りとなっている。
()
Socketは、npmレジストリをホスティングおよび配布元として悪用した標的型フィッシング攻撃キャンペーンに関する調査報告を公開した。
()
日本政府は新たなサイバーセキュリティ戦略を閣議決定した。今後5年間を念頭に、実施すべき諸施策の目標や方針を内外に示すものだ。
()
ESETは、ChatGPTの利用に伴うセキュリティとプライバシーのリスクをまとめた包括的なガイドを公開した。7つの大きなリスクや共有禁止情報の「レッドリスト」、10の保護習慣を解説している。
()
ESETは、オンラインサービスをまひさせるDDoS攻撃に関するガイドを公開。IoTデバイスを悪用したbotネットの脅威や最新の防御手法を解説している。
()
アシュアードは、サイバー攻撃やセキュリティインシデントに関する実態を調査した。インシデント経験企業の10%が10億円以上の損失を被り、14.2%で1カ月以上の業務停止が発生するなど、深刻な実態が浮き彫りになった。
()
Datadogは2025年のクラウドセキュリティに関する総括を公開した。クラウドID、AIによる新たなセキュリティリスク、サプライチェーンを狙い検知を回避する攻撃者の巧妙な手口を分析している。
()
外部委託やクラウド利用の拡大などによってサービスを提供するためのエコシステムが複雑化する今、脅威は“自社の外”から連鎖的にやってきます。境界防御や形式的なベンダー管理だけでは、もはや十分に対処できません。
藤本 大()
日本ネットワークセキュリティ協会が「JNSA 2025セキュリティ十大ニュース」を発表した。選考委員会は、被害事案と政府などによる新たな取り組みに関するニュース数が拮抗してきた点に着目している。
()
セキュリティリサーチャー辻伸弘氏が、サイバーセキュリティの世界におけるさまざまな“常識”や思い込みに、次々と一石を投じる新連載。第1回は、辻氏のキャリアの原点でもあるペネトレーションテストにつき、身を切る思いで問題を提起する。
辻伸弘()
Akamai Security Intelligence Groupは、2025年12月に情報公開されたNoSQLデータベース「MongoDB」の脆弱性(CVE-2025-14847)について、公式ブログで解説した。
()
