Vulnerability

「導入しているソフトウェアは正規品だし、アップデートも公式サイトから適用している」――その安心感が、サプライチェーン攻撃の狙い目になっています。正規のソフトウェアや信頼している取引先を経由して攻撃が仕掛けられるため、従来のセキュリティ対策だ...

「自分はパスワードを使い回していないし大丈夫」と思っていても、社内の誰かが同じパスワードを複数サービスで使っていれば、そこが突破口になります。パスワードリスト攻撃は、過去の情報漏えいで流出したIDとパスワードの組み合わせを使い、別のサービス...

「外部からアクセスできないはずの社内システムに、なぜか不正アクセスされた」「クラウドのメタデータが漏れて、認証情報が盗まれた」――こうした事故の原因として近年急増しているのが、SSRF（サーバーサイドリクエストフォージェリ）という攻撃手法で...

「ボタンを1つクリックしただけなのに、勝手にSNSの設定が変わっていた」「Webカメラの許可を出した覚えがないのに、有効になっていた」――こうした被害の裏には、クリックジャッキングという攻撃手法が潜んでいる可能性があります。クリックジャッキ...

「カフェのフリーWi-Fiで業務メールを確認したら、ログイン情報が漏れていた」「社内ネットワークなのに、通信を盗聴されていた」――こうした事故は、実は珍しくありません。その原因の一つが、中間者攻撃（MITM攻撃、Man-in-the-Mid...

「ファイルをダウンロードする機能を作っただけなのに、サーバーの設定ファイルが丸見えになっていた」――Webアプリケーションの脆弱性診断で、こんな報告を受けたことはないでしょうか。ディレクトリトラバーサル（パストラバーサル）は、Webアプリケ...

「ログインしたはずの自分のアカウントが、知らないうちに誰かに操作されていた」「購入した覚えのない商品の注文確認メールが届いた」――こうした被害の裏側に潜んでいることが多いのが、セッションハイジャックと呼ばれる攻撃です。セッションハイジャック...

「Webアプリケーションの脆弱性診断で"OSコマンドインジェクション"が検出された」「入力フォームからサーバーを乗っ取られると聞いたが、具体的に何が起きるのか分からない」――こうした不安を感じたことはないでしょうか。OSコマンドインジェクシ...

「パスワードは8文字あれば大丈夫だろう」「うちのシステムは狙われないだろう」――そう思っていたサーバーが、ある日突然ログインできなくなった。調べてみると、何万回ものログイン試行を受けてアカウントが乗っ取られていた。こうした被害を引き起こすの...

「ログインしたまま別のサイトを見ていただけなのに、勝手にパスワードが変更されていた」「知らないうちにSNSで意図しない投稿がされていた」――こうした被害を引き起こす攻撃手法がCSRF（クロスサイトリクエストフォージェリ）です。CSRFはXS...