tomohiro– Author –
-
競合状態(Race Condition)の脆弱性とは?TOCTOU攻撃の仕組み・被害例・対策をわかりやすく解説
「ファイルの権限を確認した直後に、その中身がすり替えられている」——そんな一瞬のスキを突く攻撃手法があります。 競合状態(Race Condition)は、複数のプロセスやスレッドがほぼ同時に同一リソースへアクセスすることで、プログラムが想定外の動作をす... -
LinuxのSUID/SGIDビット脆弱性と対策|特権昇格につながる危険なファイルの検出・無効化ガイド
Linuxサーバーのセキュリティチェックを依頼されたとき、真っ先に確認する項目の一つがSUID/SGIDビットです。「何となく知っている」「設定はデフォルトのまま」というエンジニアの方が多い領域ですが、攻撃者はここを見逃しません。 ペネトレーションテス... -
PAN-OS CAS認証回避 CVE-2026-0265|JWT署名検証バイパスでGlobalProtectまで貫通、管理I/F公開組織の即時棚卸しTODO
Palo Alto NetworksのPAN-OSを境界ファイアウォール/VPNゲートウェイとして使っている組織にとって、2026年5月13日のセキュリティアドバイザリ公開は無視できない一報でした。 クラウド認証サービスCloud Authentication Service(以降CAS)を有効にして... -
多層防御(ディフェンス・イン・デプス)とは?セキュリティの基本原則と中小企業でできる実装方法を解説
「ファイアウォールを導入しているから大丈夫」と思っていませんか?実は、1つの防衛ラインだけに頼るセキュリティ対策は、攻撃者にとってそれほど高いハードルではありません。現代のサイバー攻撃は、正規の通信路を悪用したり、人の心理を突いたりと、単... -
NTTドコモ「あんしんセキュリティ 詐欺対策プラス」月額999円|フェイク画像診断は効くか機能分解
2026年5月25日、NTTドコモは「あんしんセキュリティ」シリーズに新プラン「あんしんセキュリティ スタンダードプラン 詐欺対策プラス(月額999円)」と「あんしんセキュリティ トータルプラン 詐欺対策プラス(月額1,815円)」を追加し、2026年5月27日から... -
IPA「情報セキュリティ10大脅威 2026」個人編|実務者がチーム教育に使う組立方
2026年5月21日、IPA(独立行政法人 情報処理推進機構)は「情報セキュリティ10大脅威 2026」個人編ハンドブックと対策マッピングシートを公開しました。 2026年1月に発表されていた10大脅威の本編に対し、5月の公開物は「学習・対策に直接使える形」に再構... -
F5 BIG-IP→Confluence→Active Directory多段侵入|Microsoft公開の攻撃チェーンとEDR検知ポイント
2026年5月22日、Microsoft Threat Intelligenceが「エッジ機器から企業全体侵害へ:F5とConfluenceを介した多段Linux侵入」と題する詳細なインシデント分析を公開しました。 インターネットに公開されたF5 BIG-IPロードバランサ1台の侵害から、内部Conflue... -
Laravel Langサプライチェーン攻撃|Packagist侵害4パッケージ最大700版とPHP autoload経由クロスプラットフォーム窃取
PHP/Laravelエコシステムを直撃するサプライチェーン攻撃が、2026年5月22日にAikidoの脅威インテリジェンスチームによって発覚しました。 日本のニュース系媒体では「Linuxマルウェア混入」と報じられた本件ですが、一次情報をたどると実態はクロスプラッ... -
Drupal SQLi脆弱性で米CISAが警告|CVE-2026-9082 PostgreSQL利用サイト悪用確認とWAFルール対応
PostgreSQLバックエンドでDrupalを動かしているサイト管理者にとって、2026年5月下旬は緊張感のある一週間でした。 Drupalコアの「データベース抽象化API」にSQLインジェクション脆弱性が判明し、米CISAが2026年5月22日付で「悪用が確認された脆弱性カタロ... -
PKI(公開鍵基盤)とは?認証局・信頼チェーン・デジタル証明書の仕組みをわかりやすく解説
「SSL証明書の更新を担当しているけど、そもそもPKIって何なのかよくわからないまま作業している」——そう感じているインフラエンジニアや情シス担当者は、意外と多いのではないでしょうか。 「証明書エラーが出た理由を突き止めたい」「認証局(CA)という...
