-
JWTの脆弱性と安全な実装方法|alg:none攻撃・署名偽造の仕組みと対策を解説
WebアプリケーションでJWT(JSON Web Token:ジェイダブリューティー)を導入している現場のエンジニアの方、「JWTを使えば認証は安全」と思い込んでいませんか?実は、JWTには仕様上の落とし穴が複数あり、ライブラリの設定ひとつのミスがシステム全体の... -
安全でないデシリアライゼーションとは?仕組み・被害例・対策をわかりやすく解説
サーバーに届いたデータを「そのままプログラムに渡している」だけで、リモートからサーバーを完全制御される——そんな攻撃が実際に起きています。 それが「安全でないデシリアライゼーション(Insecure Deserialization)」です。SQLインジェクションやXSS... -
Log4Shell(CVE-2021-44228)とは?仕組み・影響範囲・対策をわかりやすく解説
2021年12月、セキュリティ業界に衝撃が走りました。Javaアプリケーションが広く使うログ出力ライブラリに、認証なしでリモートからコード実行(RCE)が可能な致命的な脆弱性が発見されたのです。 この脆弱性は「Log4Shell」と呼ばれ、脆弱性の深刻度を示す... -
Storm-2949が単一ID窃取からM365/Azure全体侵害に至った全手口|MITRE ATT&CKマッピングと検知ルール
「マルウェアを置かない、正規API経由で完結する、検知の網に最も引っかからない」──2026年5月18日にMicrosoft Threat Intelligence (MSTIC) が公表した攻撃クラスタ Storm-2949 は、防御側の前提を根本から揺さぶる事例でした。攻撃者は誰一人ファイルを... -
JPCERT注意喚起:Apex One等トレンドマイクロ複数脆弱性~影響範囲とパッチ優先度
2026年5月21日、JPCERT/CC が「トレンドマイクロ製 Apex One における複数の脆弱性に関する注意喚起」(at260014)を公開しました。対象は Apex One(オンプレ)、Apex One as a Service、Vision One Endpoint Security - Standard Endpoint Protection の... -
オープンリダイレクト脆弱性とは?仕組み・悪用手口・対策を現場目線で解説
「脆弱性診断でオープンリダイレクトが検出されたが、具体的にどんな被害が出るのか、どう修正すればいいのかがわからない」――Web開発や情シスの現場でよく聞く悩みです。 オープンリダイレクトは、SQLインジェクションやXSSほど知名度がなく「軽微な脆弱... -
OAuth 2.0とは?仕組み・認可フロー・セキュリティリスクと対策をわかりやすく解説
「うちのアプリ、Googleアカウントでログインできるようにしたいんですが、どうすれば安全に実装できますか?」 社内SEや情シスの方から、こういった相談が増えています。SNSアカウントでのログイン、クラウドサービスとのAPI連携、マイクロサービス間の権... -
Palo Alto「フロンティアAI防御担当者向けガイド」4ステップを実務に落とし込む|SIEM/EDR連携の現実解
5月版「フロンティアAI防御担当者向けガイド」の位置づけ 2026年5月13日、Palo Alto Networksは公式ブログで「Defender's Guide to the Frontier AI Impact on Cybersecurity: May 2026 Update」と題した防御担当者向けガイドの更新版を公開しました。著者... -
Project YATAとSCS評価制度の中身|日本政府フロンティアAI規制スキームを企業セキュリティ部門目線で読み解く
「Project YATA-Shieldの政府発表は聞いたが、自社のセキュリティ部門としてどの制度に紐づけて整理すべきか分からない」「SCS評価制度の★3・★4が2026年度末に始まると聞いたが、社内統制基準と並べて優先度をどう付けるのか」――2026年5月18日に国家サイバ... -
JPCERT定点観測レポート2026年1-3月|23/TCP Telnet依然1位、自社で今すぐやるべきポート監査手順
# JPCERT定点観測レポート2026年1-3月|23/TCP Telnet依然1位、自社で今すぐやるべきポート監査手順 JPCERT/CCが2026年5月、インターネット定点観測システム「TSUBAME」による2026年1-3月期の観測レポートを公開しました。観測ポートTOP5の顔ぶれは大きく...
