ニュース・リリース

• 
  2026.05.11
  EIP-7702/AAで増える「署名起点の侵害」：QNT不正移転から考える企業防衛
  AA拡張がもたらす新しい攻撃面 EthereumのAccount Abstraction（AA）やEIP-7702は、EOAにスマートアカウント的な機能を持ち込むことで、UX改善やバッチ実行などを可能にします。ですが情シス視点では、「秘密鍵の保護」だけでは説明できない侵害が増える点を重く見るべきです。今回のQNT不正移転は、権限委任や実行ロジックの差し替えといった“署名で権限が動く”領域が狙われた...
• 
  2026.05.11
  「攻撃するAI」時代に情シスが備えるべき金融サイバー防衛の転換点
  規制当局の警戒が示すシグナル 生成AIは業務効率を上げる一方、攻撃者の準備・実行も高速化します。英中銀総裁が最新AIの「サイバー攻撃能力」に触れた点は、特定ベンダー批判というより、AIがリスクを増幅する前提で監督論点が移った合図です。金融のような止められない基盤では、個社被害が短時間で連鎖し、市場不安に波及し得ます。情シスは「高度な攻撃が来る」ではなく「速く大量に来る」現実に合わせ直す必要がありま...
• 
  2026.05.08
  米財務省の生成AIアクセス要請が示す「AI監査」時代の到来
  国家レベルで進む生成AIの脆弱性評価 米財務省が生成AI「Claude」へのアクセスを要請した背景は、業務利用ではなく脆弱性特定や安全性検証、いわばAI監査の実施にあります。生成AIは生産性向上の一方で、攻撃者の情報収集・自動化・誘導を強化する基盤にもなります。政府機関がモデル評価に踏み込む動きは、従来のソフトウェア診断だけでは追いつかないAI固有リスクへの対応が本格化したサインです。 とくに財務...
• 
  2026.05.08
  生成AI時代の金融サイバー防衛：情シスが押さえるべき「速度」と共同対応
  攻撃の高速化と「運用の穴」露呈 生成AIは業務効率化に寄与する一方、攻撃側の偵察・脆弱性探索・手順作成を自動化し、「少人数で大量の標的」を同時に狙える構造を生みます。特に警戒すべきは、ゼロデイ級の新発見よりも、既知脆弱性の放置や設定ミス、過剰権限、委託先経由といった運用上の綻びが短時間で突かれる点です。防御側が従来のサイクルでパッチや棚卸しを回していると、時間差で不利になります。 金融インフラ特有...
• 
  2026.05.07
  アンソロピック「ミトス」報道に見る、生成AI利用で崩れやすい権限管理の前提
  報道から抽出すべき論点整理 報道段階の事案は断定を避けつつ、情シスとしては「起こり得る失敗パターン」を自社の点検項目に落とし込むことが重要です。今回の焦点は「権限のないユーザー」による到達可能性で、認証突破ではなく認可不備の疑いが中心になります。生成AIはWeb、API、管理ダッシュボード、評価環境が混在し、権限モデルの齟齬が露呈しやすい構造です。 特に注意すべきは、正規ログイン後に本来触れないデ...
• 
  2026.05.07
  春節など大型連休の「攻撃減少」を安心材料にしない運用設計
  攻撃減少の見え方と観測バイアス 春節のような大型連休に「攻撃が減った」と報じられても、それが直ちにリスク低下を意味するとは限りません。ランサムウェアのように侵入後の操作や交渉が必要な攻撃は、攻撃者側の稼働状況に左右され、実行タイミングが調整されます。加えて休暇中は利用者の業務トラフィックが減り、監視ルールや集計の特性によってアラート件数が下がることもあります。数値の増減は、攻撃の消失ではなく「見え...
• 
  2026.05.01
  古いコントラクト起点の資金流出が示す「攻撃面」管理の重要性
  インシデントの要点 Sui上のDeFiプロトコルで約15万SUIの不正流出が報じられました。注目点は、最新の中核コントラクトではなく「過去にデプロイされた古いコントラクト」の脆弱性が突破口になった点です。監査やバグバウンティを強化していても、運用上「もう使っていない」と見なした資産が攻撃面として残ることを示しています。 企業のセキュリティ担当者にとっては、脆弱性の種類そのものより、どこまで攻撃面を...
• 
  2026.05.01
  世界最大級演習が示す「連鎖前提」のサイバー危機と企業の実装課題
  国家級演習が映すリスクの現実 45カ国が参加するサイバー演習は、攻撃が一社の問題にとどまらず、産業や社会インフラへ連鎖する危機として扱われている現実を示します。クラウド、DNS、メール、認証など共通基盤への依存が深まるほど、単一点の侵害が広域障害へ発展しやすくなります。攻撃者は脆弱性だけでなく、通報手順や調整遅延といった運用上の隙も突いてきます。 情シス・ネットワーク管理者は「自社境界」だけで完結...
• 
  2026.04.30
  アドビ製品の重大脆弱性に備える実務対応：更新徹底と“残存リスク”の潰し込み
  業務アプリの“重大”脆弱性が意味するもの アドビ製品にCritical相当の脆弱性が報告された場合、単なるアプリ不具合ではなく、端末乗っ取りや情報漏えいの起点になり得る事案として扱う必要があります。特にPDFや制作データはメール添付・共有リンクで日常的に流通し、利用者の操作を誘導しやすいのが現実です。攻撃者は更新公開後の差分解析から未更新端末を狙うため、パッチ公開直後ほど危険が高まります。情シスは...
• 
  2026.04.30
  AI悪用サイバー攻撃の現実化と情シスが今すぐ整える実装ポイント
  AIで変わる攻撃工程と被害の起点 生成AIの普及により、攻撃者は「偵察」「侵入準備」を低コストで自動化し、攻撃の量と質を同時に引き上げています。SNSや企業サイト、求人情報などの公開情報から組織構造や利用システムを推定し、もっともらしい文面や社内資料風のコンテンツを大量生成できます。その結果、フィッシングやBECが“当たり前に精巧”になり、教育だけでは見抜き切れない局面が増えます。 注意すべきは、...