Vulnerability– category –
-
【緊急】nginxに18年潜伏した重大脆弱性CVE-2026-42945|世界Webサイト約3割でRCE可能性、管理者がいま確認すべきこと
「うちのWebサイトはnginxで動いている。今回の18年バグ、本当に影響あるのか」 — 2026年5月13日にF5とdepthfirstが調整公表したNGINX Rift(CVE-2026-42945)は、まさにこの一言で問い合わせが殺到している脆弱性です。 nginxは世界Webサーバーシェアで約... -
Gmail×Drive連携の脆弱性で30億ユーザーが対象|情シスの対応手順
Gmail を業務で使っている会社は多いです。 「Scanned by Gmail」というラベルが添付に出ていれば、なんとなく安心していました。私もそう思っていました。 ところが2026年5月11日、その前提を揺るがすリサーチが公開されました。Gmail のスキャナーがウイ... -
HTTPリクエストスマグリングとは?仕組み・被害例・対策をわかりやすく解説
Webアプリケーションの裏側に潜む「見えない通信の隙間」を攻撃者が突いてくる——そんな脅威が、HTTPリクエストスマグリングです。 近年、大手クラウドサービスやCDNのバグバウンティプログラムで高額報酬案件として注目を集めており、クラウドネイティブな... -
バッファオーバーフローとは?仕組み・被害例・対策をわかりやすく解説
「バッファオーバーフロー」という言葉は聞いたことがあるけど、実際にどんな仕組みで攻撃されるのか、よくわからない。 そんなふうに感じているエンジニアは多いと思います。バッファオーバーフローは1988年のMorrisワーム以来、繰り返し悪用されてきた脆... -
XXEとは?XML外部エンティティ攻撃の仕組み・被害例・対策をわかりやすく解説
「XMLを使ったAPIがあるけど、セキュリティって特別に何か気をつけることある?」 そう聞かれたとき、「パラメータのバリデーションをしておけば大丈夫」と答えてしまうエンジニアは少なくありません。しかし、XMLを処理するシステムには、バリデーション... -
ファイルアップロード脆弱性とは?仕組み・被害事例・対策をわかりやすく解説
「問い合わせフォームやCMSでファイルアップロード機能を提供しているが、悪用されないか心配」「Webシェルという言葉を聞いたがどんな被害につながるのか把握できていない」――こうした不安を抱える情シス担当者や開発者は少なくありません。ファイルアッ... -
APT攻撃とは?標的型攻撃との違い・事例・防御策をわかりやすく解説
「APT攻撃」という言葉をニュースやセキュリティレポートで目にする機会が増えましたが、「標的型攻撃と何が違うのか」「自社のような中小企業にも関係があるのか」と疑問を持つ情シス担当の方は多いのではないでしょうか。APT攻撃は大企業や官公庁だけの... -
サプライチェーン攻撃とは?仕組み・被害事例・対策をわかりやすく解説
「導入しているソフトウェアは正規品だし、アップデートも公式サイトから適用している」――その安心感が、サプライチェーン攻撃の狙い目になっています。正規のソフトウェアや信頼している取引先を経由して攻撃が仕掛けられるため、従来のセキュリティ対策... -
パスワードリスト攻撃とは?仕組み・被害例・対策をわかりやすく解説
「自分はパスワードを使い回していないし大丈夫」と思っていても、社内の誰かが同じパスワードを複数サービスで使っていれば、そこが突破口になります。パスワードリスト攻撃は、過去の情報漏えいで流出したIDとパスワードの組み合わせを使い、別のサービ... -
SSRFとは?サーバーサイドリクエストフォージェリの仕組み・被害例・対策をわかりやすく解説
「外部からアクセスできないはずの社内システムに、なぜか不正アクセスされた」「クラウドのメタデータが漏れて、認証情報が盗まれた」――こうした事故の原因として近年急増しているのが、SSRF(サーバーサイドリクエストフォージェリ)という攻撃手法です...
