ニュース・リリース

• 
  2026.04.22
  監督当局が銀行に求める脆弱性対応：AI時代の「成立条件」を潰す発想
  当局要請の本質：個別パッチではなく連鎖の遮断 シンガポール当局が銀行に脆弱性対応を促した背景には、単発の欠陥修正ではなく「攻撃が成立する条件」を先回りで排除する狙いがあります。高度なAIモデルが脆弱性探索や手口の最適化を加速させ、攻撃者の試行回数と成功率を押し上げます。金融機関は基幹系が堅牢でも、モバイル／Web、認証、委託先など多層のどこかが破られると被害が顕在化します。情シスは“最も弱い輪”が...
• 
  2026.04.21
  ランサムウェア「支払い」の誘惑と、情シスが整えるべき現実的な備え
  身代金支払いの限界 ランサムウェアは暗号化による業務停止に加え、窃取情報の公開を盾にする二重恐喝も一般化しています。ですが、支払いは復旧や漏えい回避を確約する手段ではありません。復号鍵が機能しない、復旧に時間がかかる、後日データが流出する、支払う企業として再標的化される、といったリスクが残ります。 さらに支払いは攻撃者の資金源を増やし、攻撃の連鎖を助長します。短期的な損失回避に見えても、中長期で不...
• 
  2026.04.21
  Adobe Acrobat Readerの追加修正に備える：情シスが押さえる再点検ポイント
  追加修正が示す運用リスク Adobe Acrobat Readerのような閲覧ソフトは、業務上「必ず開かれる」PDFと組み合わさることで攻撃面が広がります。月例更新に追補が入ると、当初分だけで「適用済み」と誤認しやすい点が課題です。さらに、Acrobat/ReaderやUI世代、言語パックの混在により、端末ごとの到達バージョン確認が難しくなります。例外運用（検証待ち、閉域、VDIなど）が常態化して...
• 
  2026.04.20
  山形県の個人情報漏えい疑いから考える、医療・行政の実務的な備え
  医療・行政が狙われる構造 山形県内で約2万7000件の個人情報が漏えいしたおそれがあると報じられました。医療や行政は個人情報の集積度が高く、業務停止の影響も大きいため、攻撃者にとって費用対効果が高い標的になりがちです。近年はランサムウェアによる暗号化に加え、窃取データの暴露をちらつかせる二重恐喝が前提になっています。 氏名や生年月日などは単体では換金しづらい一方、他の流出データと突合されることで「...
• 
  2026.04.20
  SADP脆弱性の透明性向上が突きつけるOT脆弱性管理の再設計
  SADP脆弱性が運用を難しくする構造 ICS/OTは製品寿命が長く、複数ベンダー部品の組み合わせで稼働します。そのため、自社が直接選定していないコンポーネント由来のSADP脆弱性が、現場リスクの中心になりがちです。加えて契約や責任分界、情報流通の遅れが重なると「影響有無が判断できない」状態が発生します。 部品階層が深いほど、どの型番・版数・構成が該当するか特定が困難です。SBOMや版数管理が不十分...
• 
  2026.04.17
  高官個人を狙う象徴攻撃に学ぶ、企業のVIP防御と初動体制
  事件が示す「個人起点」の侵害リスク米国でFBI長官個人に対するサイバー攻撃が報じられ、攻撃への声明も含めて注目を集めています。高官を名指しする攻撃は、情報窃取だけでなく威嚇や世論操作など「影響力」を狙う性質を帯びます。企業にとって重要なのは、同様の手口が幹部や要職者へ横展開されやすい点です。組織の境界防御が強くても、個人アカウントが突破口になります。特に狙われるのは、個人メール、SNS、私物端末、...
• 
  2026.04.16
  「個人メール侵入」主張が示す、ID防御と情報戦対応の現実
  攻撃激化の意味と企業への波及国家の利害が絡む攻撃は、侵入や窃取に加えて「影響工作」と一体で展開されます。今回のように著名人物の個人メール侵入を“主張”する動きは、真偽に関わらず威嚇や信用失墜を狙える点が厄介です。企業側は技術的侵害だけでなく、情報の受け止められ方まで含めてリスク評価する必要があります。さらに標的は政府機関に限られず、重要インフラ、研究、メディア、取引先など周辺へ拡大します。防御の硬...
• 
  2026.04.16
  ゼロデイとサプライチェーンが突き付ける現実的な防御設計
  ゼロデイ前提への発想転換 Twitter（現X）の大規模なアカウント情報流出が、ゼロデイ脆弱性の悪用に起因していた点は重く受け止める必要があります。パッチが提供される前の期間は、シグネチャ検知や既存ルールが追いつかず、防御側が不利になりがちです。情シスとしては「未適用パッチを潰せば終わり」ではなく、未知の欠陥が存在する前提で設計・運用を組み直すことが要点です。 この前提に立つと、侵入の完全阻止より...
• 
  2026.04.16
  IEゼロデイが突き付ける「サポート終了ソフト残存」リスクの現実
  サポート終了ブラウザが招く構造的リスク Internet Explorer（IE）でゼロデイ脆弱性（CVE-2024-38112）が報じられても、「もう使っていないから関係ない」と判断されがちです。しかし企業環境では、レガシー業務や更改遅延により、IE相当のコンポーネントや互換機能が残存していることがあります。ゼロデイはパッチ提供前から悪用されるため、防御側が後手に回りやすい状況です。まずは「IE...
• 
  2026.04.15
  Apple端末の「安全神話」を前提にしない運用設計：情シスが備えるべき脆弱性悪用対策
  Apple製品が狙われる前提の再確認iPhoneやMacは堅牢という印象が強い一方、脆弱性悪用やゼロデイの報告は継続しています。情シスがまず改めるべきは「Appleだから大丈夫」という前提です。端末には認証情報、業務メール、クラウドアクセス、決済や位置情報まで集約され、侵害時のリターンが大きいからです。端末単体の被害に留まらず、セッション奪取によるSaaS不正利用や、社内ネットワーク侵入の踏み台化...