Vulnerability– category –
-
JWTの脆弱性と安全な実装方法|alg:none攻撃・署名偽造の仕組みと対策を解説
WebアプリケーションでJWT(JSON Web Token:ジェイダブリューティー)を導入している現場のエンジニアの方、「JWTを使えば認証は安全」と思い込んでいませんか?実は、JWTには仕様上の落とし穴が複数あり、ライブラリの設定ひとつのミスがシステム全体の... -
安全でないデシリアライゼーションとは?仕組み・被害例・対策をわかりやすく解説
サーバーに届いたデータを「そのままプログラムに渡している」だけで、リモートからサーバーを完全制御される——そんな攻撃が実際に起きています。 それが「安全でないデシリアライゼーション(Insecure Deserialization)」です。SQLインジェクションやXSS... -
Log4Shell(CVE-2021-44228)とは?仕組み・影響範囲・対策をわかりやすく解説
2021年12月、セキュリティ業界に衝撃が走りました。Javaアプリケーションが広く使うログ出力ライブラリに、認証なしでリモートからコード実行(RCE)が可能な致命的な脆弱性が発見されたのです。 この脆弱性は「Log4Shell」と呼ばれ、脆弱性の深刻度を示す... -
Storm-2949が単一ID窃取からM365/Azure全体侵害に至った全手口|MITRE ATT&CKマッピングと検知ルール
「マルウェアを置かない、正規API経由で完結する、検知の網に最も引っかからない」──2026年5月18日にMicrosoft Threat Intelligence (MSTIC) が公表した攻撃クラスタ Storm-2949 は、防御側の前提を根本から揺さぶる事例でした。攻撃者は誰一人ファイルを... -
JPCERT注意喚起:Apex One等トレンドマイクロ複数脆弱性~影響範囲とパッチ優先度
2026年5月21日、JPCERT/CC が「トレンドマイクロ製 Apex One における複数の脆弱性に関する注意喚起」(at260014)を公開しました。対象は Apex One(オンプレ)、Apex One as a Service、Vision One Endpoint Security - Standard Endpoint Protection の... -
オープンリダイレクト脆弱性とは?仕組み・悪用手口・対策を現場目線で解説
「脆弱性診断でオープンリダイレクトが検出されたが、具体的にどんな被害が出るのか、どう修正すればいいのかがわからない」――Web開発や情シスの現場でよく聞く悩みです。 オープンリダイレクトは、SQLインジェクションやXSSほど知名度がなく「軽微な脆弱... -
JPCERT定点観測レポート2026年1-3月|23/TCP Telnet依然1位、自社で今すぐやるべきポート監査手順
# JPCERT定点観測レポート2026年1-3月|23/TCP Telnet依然1位、自社で今すぐやるべきポート監査手順 JPCERT/CCが2026年5月、インターネット定点観測システム「TSUBAME」による2026年1-3月期の観測レポートを公開しました。観測ポートTOP5の顔ぶれは大きく... -
VMware Fusion CVE-2026-41702|Mac開発端末のEDR検知・JAMF配信・SIEM相関ルール実践ガイド
「社内Mac開発者がVMware Fusionを使っているが、CVE-2026-41702の権限昇格脆弱性をEDRログでどう見て、JAMF経由で26H1にどう一気に上げればいいのか」――2026年5月14日公開のVMSA-2026-0003を受け、Macを扱う情シス・SOC現場からこうした声が上がっていま... -
GUARDIANWALL MailSuite CVE-2026-32661|JPCERT注意喚起の重大度と国内企業向け緊急対応・更新運用設計
「メールゲートウェイは外と内の境界で守ってくれる安全装置」——多くの企業情シスがそう信じてきました。しかし2026年5月、その安全装置そのものが侵入経路に化けるという深刻な事態が、国内ユーザーの多いGUARDIANWALL MailSuiteで現実になりました。 JPC... -
IDORとは?安全でない直接オブジェクト参照の仕組み・被害事例・対策をわかりやすく解説
社内システムやWebアプリのAPIを見ていると、こんなURLに気づくことがあります。/api/users/123/profile というエンドポイントで、自分のユーザーIDが「123」なら、「124」に変えたら別のユーザーの情報が取れてしまうのでは?という疑問です。 この疑問が...
