- ホーム
- ニュース
ニュース一覧
-
2024.11.20
セキュリティ
新着情報
【号外】注意喚起:PAN-OSの管理インタフェースにおける複数の脆弱性(CVE-2024-0012、CVE-2024-9474)について
PaloAltoNetworks社製品に搭載されている「PAN-OS」で、複数の脆弱性(CVE-2024-0012、CVE-2024-9474)が存在することが報告されました。この脆弱性を悪用する脅威活動はすでに確認されており、11月18日(現地日付)にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。 その中でも認証バイパスの脆弱性(CVE-2024-0012)のCVSSv4.0のベーススコアは9.3(Critical)と極めて高いため、脆弱性対象のPAN-OSを使用している場合はPaloAltoNetworks社より案内のある対策を実施することが推奨されています。
-
2024.11.7
セキュリティ
新着情報
不十分な脆弱性対策の実装~二段階認証回避~
昨今、構築されたシステムへの不正アクセスが原因で社外秘の内部情報が漏えいするニュースが後を絶ちません。しかし、不正アクセスの対策として認証の分野では二段階認証という方法を用いることも多くなってきました。 一方で、当社が実施しているWebアプリケーション脆弱性診断において、対策として用いている二段階認証機能を回避する脆弱性を検出することがあります。 今回の記事では、二段階認証を回避する脆弱性の一例と対策について紹介します。
-
2024.10.11
会社
新着情報
大阪支社別館開設のお知らせ
10月1日より、サービス&セキュリティ株式会社大阪支社は、さらなるビジネス拡大を図るために、従来の中之島セントラルタワーに加え、新たに大阪支社別館として大阪中之島ビルでの業務を開始いたしました。大阪支社別館には、関西地区のグループ各社における採用活動をはじめ、お客様との商談、社内及びグループ会社のミーティングを行える........
-
2024.9.26
セキュリティ
新着情報
依然増え続けるランサム被害~攻撃手口の変化とその対策~
昨今、ランサムウェアによる被害報告が後を絶ちません。国内でも2020年以降、企業・団体等における被害件数が増加し続けており、ニュースサイトやテレビ報道でも頻繁に取り上げられるようになりました。このような状況下で、ランサムウェア攻撃の手法や最新の動向を把握することが、組織内のセキュリティ強化に不可欠となっています。 そのため今回は最新のランサムウェアによる手口や傾向について紹介いたします。
-
2024.8.28
セキュリティ
新着情報
ランサムウェア「LockBit」とRaaSについて
近年、リモートワークの普及に伴い増加傾向にあるのがランサムウェアによる被害です。ランサムウェアによる攻撃は、年々巧妙化しており、IPAの発表する「組織向け情報セキュリティ10大脅威」では4年連続一位となるなど、組織にとって大きなリスクとなっています。中でも世界中のセキュリティインシデントの多くを占めているのが「LockBit」による被害です。LockBitは昨今のランサムウェア攻撃の増加の要因となっているRaaS(RansomwareasaService)の一つです。国内外で被害が確認されており被害件数も常に上位に位置しています。 本稿ではRaaSについて、またランサムウェアLockBitについてご紹介します。
-
2024.7.23
セキュリティ
新着情報
OpenSSHの脆弱性「regreSSHion」(CVE-2024-6387)について
2024年7月1日、OpenSSHにおけるリモートコード実行の脆弱性(CVE-2024-6387)が発表されました。本脆弱性のCVSSv3.1のベーススコアは8.1(High)と高く、悪用されると攻撃者がroot権限で任意のコードを実行できる可能性があります。OpenSSHは、macOSやLinuxを含むUNIX系OSで広く使用されています。今回は上記の脆弱性について、詳細と対応策を紹介いたします。
-
2024.6.27
セキュリティ
OWASP API Security Top 10 2023の概要と オブジェクトレベルの認可制御の不備について
昨今、WebアプリケーションにおいてAPI(ApplicationProgrammingInterface)を実装するケースが多くなっています。その反面、利用が進むにつれ大きな課題となっているのがAPIセキュリティです。 今年の3月にもGrafanaが公開しているWebアプリケーションにおいてオブジェクトレベルの認可制御の不備の脆弱性が発見されるなど、API実装の際の不備により生じる脆弱性は世界中で発見されており、弊社の脆弱性診断サービスでも数多くの脆弱性が発見されています。 このような背景から昨年OWASPよりOWASPAPISecurityTop102023が発表されるなど、APIに関する脆弱性にも注目が集まっています[1]。 そこで今回はOWASPAPISecurityTop10からAPIに関する脆弱性の紹介、またランキングTOPにあるオブジェクトレベルの認可制御の不備の原因と対策についてご紹介します。本稿がWebアプリケーションのセキュリティ対策の一助になれば幸いです。
-
2024.5.30
セキュリティ
高度化するゼロデイ攻撃の脅威動向
ゼロデイ攻撃は直近3年間で大きく増加しており、その攻撃手法は高度化、複雑化してきています。例えば昨年NISC(内閣サイバーセキュリティセンター)より公開されたメールデータの情報漏洩事件のようにシステムベンダも把握していない脆弱性に対して長期間検知されないように攻撃を行うといった高度なゼロデイ攻撃が多数報告されています。本記事では高度化するゼロデイ攻撃の脅威動向と具体的な事例についてご紹介いたします。