Tech Insights

【CVE-2024-11745】Tenda AC8に重大な脆弱性、リモートからの攻撃でシステム全体に影響の恐れ

【CVE-2024-11745】Tenda AC8に重大な脆弱性、リモートからの攻撃でシステム...

Tenda AC8 16.03.34.09においてroute_static_check関数に重大な脆弱性が発見された。この脆弱性は/goform/SetStaticRouteCfgファイル内に存在し、リモートからの攻撃が可能なスタックベースバッファオーバーフローを引き起こす可能性がある。CVSSスコアは8.7-9.0と高く、機密性・整合性・可用性すべてに深刻な影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-11745】Tenda AC8に重大な脆弱性、リモートからの攻撃でシステム...

Tenda AC8 16.03.34.09においてroute_static_check関数に重大な脆弱性が発見された。この脆弱性は/goform/SetStaticRouteCfgファイル内に存在し、リモートからの攻撃が可能なスタックベースバッファオーバーフローを引き起こす可能性がある。CVSSスコアは8.7-9.0と高く、機密性・整合性・可用性すべてに深刻な影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-11674】CodeAstro HMS 1.0に重大な脆弱性、医療システムのセキュリティリスクが深刻化

【CVE-2024-11674】CodeAstro HMS 1.0に重大な脆弱性、医療システム...

CodeAstro Hospital Management System 1.0において、ファイルアップロード機能に重大な脆弱性が発見された。/backend/doc/his_doc_update-account.phpファイル内の未認証アップロード機能が影響を受けており、リモートからの攻撃が可能な状態にある。CVSSスコアは「MEDIUM」と評価され、早急な対策が必要とされている。

【CVE-2024-11674】CodeAstro HMS 1.0に重大な脆弱性、医療システム...

CodeAstro Hospital Management System 1.0において、ファイルアップロード機能に重大な脆弱性が発見された。/backend/doc/his_doc_update-account.phpファイル内の未認証アップロード機能が影響を受けており、リモートからの攻撃が可能な状態にある。CVSSスコアは「MEDIUM」と評価され、早急な対策が必要とされている。

DatadogがMongoDBをデータベースモニタリングの対象に追加、5種類の主要データベースの包括的な可視化を実現

DatadogがMongoDBをデータベースモニタリングの対象に追加、5種類の主要データベース...

Datadog, Inc.は2024年12月4日、データベースモニタリング製品にMongoDBのサポートを追加した。これによりPostgreSQL、MySQL、SQL Server、Oracle、MongoDBという5種類の主要データベースに対する包括的なモニタリングが可能となった。アプリケーション開発者とデータベース管理者は、非効率なクエリのトラブルシューティングと最適化を実現できる。

DatadogがMongoDBをデータベースモニタリングの対象に追加、5種類の主要データベース...

Datadog, Inc.は2024年12月4日、データベースモニタリング製品にMongoDBのサポートを追加した。これによりPostgreSQL、MySQL、SQL Server、Oracle、MongoDBという5種類の主要データベースに対する包括的なモニタリングが可能となった。アプリケーション開発者とデータベース管理者は、非効率なクエリのトラブルシューティングと最適化を実現できる。

SCSKサービスウェアがSecurity Vision 2024に登壇、最新セキュリティ動向と対策事例を12社が解説

SCSKサービスウェアがSecurity Vision 2024に登壇、最新セキュリティ動向と...

エムオーテックス株式会社主催のオンラインカンファレンス「Security Vision 2024」が2024年12月10日に開催予定。AI技術の進化やクラウドの普及による企業のセキュリティ環境の変化に対応し、業界を代表する12社が最新動向や具体的な取り組み事例を解説。SCSKサービスウェアからは三村崇氏が登壇し、ECサイトの被害事例分析と対策について講演を行う。

SCSKサービスウェアがSecurity Vision 2024に登壇、最新セキュリティ動向と...

エムオーテックス株式会社主催のオンラインカンファレンス「Security Vision 2024」が2024年12月10日に開催予定。AI技術の進化やクラウドの普及による企業のセキュリティ環境の変化に対応し、業界を代表する12社が最新動向や具体的な取り組み事例を解説。SCSKサービスウェアからは三村崇氏が登壇し、ECサイトの被害事例分析と対策について講演を行う。

EGセキュアソリューションズのAWS設定監査サービスがCISベンチマークv4.0.0に対応、クラウド環境のセキュリティ強化に貢献

EGセキュアソリューションズのAWS設定監査サービスがCISベンチマークv4.0.0に対応、ク...

EGセキュアソリューションズは、AWS設定監査サービスのCISベンチマークv4.0.0対応を2024年12月4日より開始した。新バージョンではファイル共有システムの公開設定やデータベースの冗長化に関する監査項目が追加され、自動監査ツールと監査員による目視確認を組み合わせた総合的な監査アプローチにより、より正確で信頼性の高いセキュリティ評価が可能となった。

EGセキュアソリューションズのAWS設定監査サービスがCISベンチマークv4.0.0に対応、ク...

EGセキュアソリューションズは、AWS設定監査サービスのCISベンチマークv4.0.0対応を2024年12月4日より開始した。新バージョンではファイル共有システムの公開設定やデータベースの冗長化に関する監査項目が追加され、自動監査ツールと監査員による目視確認を組み合わせた総合的な監査アプローチにより、より正確で信頼性の高いセキュリティ評価が可能となった。

【CVE-2024-38862】Checkmk GmbHの監査ログに脆弱性、SNMPとIMPIの秘密情報が意図せず記録される問題が発覚

【CVE-2024-38862】Checkmk GmbHの監査ログに脆弱性、SNMPとIMPI...

Checkmk GmbHは2024年10月14日、同社のITインフラストラクチャ監視ソリューションCheckmkにおいて、SNMPとIMPIの秘密情報が監査ログファイルに書き込まれる脆弱性を公開した。この脆弱性は【CVE-2024-38862】として識別され、CVSSスコア5.1(MEDIUM)と評価されている。Checkmk 2.3.0p18未満、2.2.0p35未満などの複数のバージョンが影響を受けており、各バージョンに対して修正版が提供されている。

【CVE-2024-38862】Checkmk GmbHの監査ログに脆弱性、SNMPとIMPI...

Checkmk GmbHは2024年10月14日、同社のITインフラストラクチャ監視ソリューションCheckmkにおいて、SNMPとIMPIの秘密情報が監査ログファイルに書き込まれる脆弱性を公開した。この脆弱性は【CVE-2024-38862】として識別され、CVSSスコア5.1(MEDIUM)と評価されている。Checkmk 2.3.0p18未満、2.2.0p35未満などの複数のバージョンが影響を受けており、各バージョンに対して修正版が提供されている。

【CVE-2024-11800】Fuji Electric Tellus Liteにバッファオーバーフロー脆弱性、任意コード実行のリスクが浮上

【CVE-2024-11800】Fuji Electric Tellus Liteにバッファオ...

Fuji Electric Tellus Lite V-Simulator 5にスタックベースのバッファオーバーフロー脆弱性が発見され、任意のコード実行が可能であることが判明した。CVSSスコアは7.8と高く評価され、バージョン4.0.20.0が影響を受ける。攻撃にはユーザーの操作が必要だが、悪意のあるページやファイルを開くことで攻撃が成功する可能性がある。

【CVE-2024-11800】Fuji Electric Tellus Liteにバッファオ...

Fuji Electric Tellus Lite V-Simulator 5にスタックベースのバッファオーバーフロー脆弱性が発見され、任意のコード実行が可能であることが判明した。CVSSスコアは7.8と高く評価され、バージョン4.0.20.0が影響を受ける。攻撃にはユーザーの操作が必要だが、悪意のあるページやファイルを開くことで攻撃が成功する可能性がある。

NTT東日本、NTT-AT、AOSデータの3社がセキュリティインシデントへの一元対応で連携協定を締結、地域企業の安全な業務環境実現へ

NTT東日本、NTT-AT、AOSデータの3社がセキュリティインシデントへの一元対応で連携協定...

東日本電信電話株式会社、NTTアドバンステクノロジ株式会社、AOSデータ株式会社の3社は2024年12月2日、セキュリティインシデントへの一元対応を実現するための連携協定を締結。「おまかせセキュリティ事故駆け込み窓口」を中心に、内部不正や標的型攻撃などのセキュリティインシデントに対する総合的な支援体制を構築し、地域企業の安全な業務環境の実現を目指す。

NTT東日本、NTT-AT、AOSデータの3社がセキュリティインシデントへの一元対応で連携協定...

東日本電信電話株式会社、NTTアドバンステクノロジ株式会社、AOSデータ株式会社の3社は2024年12月2日、セキュリティインシデントへの一元対応を実現するための連携協定を締結。「おまかせセキュリティ事故駆け込み窓口」を中心に、内部不正や標的型攻撃などのセキュリティインシデントに対する総合的な支援体制を構築し、地域企業の安全な業務環境の実現を目指す。

【CVE-2024-11796】Fuji Electric Monitouch V-SFT V9Cに深刻な遠隔コード実行の脆弱性、産業システムのセキュリティに警鐘

【CVE-2024-11796】Fuji Electric Monitouch V-SFT V...

Fuji Electric Monitouch V-SFT V9Cにおいて、バッファオーバーフロー攻撃による遠隔からの任意コード実行を可能にする重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性として評価されており、バージョン6.2.3.0に影響。ユーザー操作を介した攻撃により、システムの制御が奪取される可能性があり、産業用制御システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

【CVE-2024-11796】Fuji Electric Monitouch V-SFT V...

Fuji Electric Monitouch V-SFT V9Cにおいて、バッファオーバーフロー攻撃による遠隔からの任意コード実行を可能にする重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性として評価されており、バージョン6.2.3.0に影響。ユーザー操作を介した攻撃により、システムの制御が奪取される可能性があり、産業用制御システムのセキュリティ対策の重要性が改めて浮き彫りとなった。

インフォサイエンスがLogstorage Microsoft 365連携パック Ver.4.0.0をリリース、メールセキュリティのログ管理機能が強化

インフォサイエンスがLogstorage Microsoft 365連携パック Ver.4.0...

インフォサイエンスは2024年11月29日、Logstorage Microsoft 365連携パック Ver.4.0.0をリリースした。Microsoft Defender XDRと連携し、EmailEventsやEmailAttachmentInfoなどのメールセキュリティに関する新たなログ収集機能を実装。従来の30日間という保管期限を超えた長期的なログ保存と分析が可能になり、インシデント対応の実効性が向上している。

インフォサイエンスがLogstorage Microsoft 365連携パック Ver.4.0...

インフォサイエンスは2024年11月29日、Logstorage Microsoft 365連携パック Ver.4.0.0をリリースした。Microsoft Defender XDRと連携し、EmailEventsやEmailAttachmentInfoなどのメールセキュリティに関する新たなログ収集機能を実装。従来の30日間という保管期限を超えた長期的なログ保存と分析が可能になり、インシデント対応の実効性が向上している。

【CVE-2024-11051】AMTT Hotel Broadband Operation System 3.0.3にSQLインジェクションの脆弱性、ベンダー対応なく深刻な状況に

【CVE-2024-11051】AMTT Hotel Broadband Operation ...

AMTT Hotel Broadband Operation System 3.0.3.151204以前のバージョンにSQLインジェクションの脆弱性が発見された。/manager/frontdesk/online_status.phpファイル内のAccountIDパラメータの不適切な処理が原因で、リモートからの攻撃が可能な状態となっている。ベンダーへの報告に対して返答がなく、対応の目処が立っていない状況が続いている。CVSSスコアは中程度と評価されているが、早急な対策が必要とされる。

【CVE-2024-11051】AMTT Hotel Broadband Operation ...

AMTT Hotel Broadband Operation System 3.0.3.151204以前のバージョンにSQLインジェクションの脆弱性が発見された。/manager/frontdesk/online_status.phpファイル内のAccountIDパラメータの不適切な処理が原因で、リモートからの攻撃が可能な状態となっている。ベンダーへの報告に対して返答がなく、対応の目処が立っていない状況が続いている。CVSSスコアは中程度と評価されているが、早急な対策が必要とされる。

DMM BitcoinがSBI VCトレードへの事業移管を発表、2025年3月を目途に全預かり資産を移管し事業廃止へ

DMM BitcoinがSBI VCトレードへの事業移管を発表、2025年3月を目途に全預かり...

DMM Bitcoinは2024年11月29日、同社が保有するユーザーの口座および預かり資産をSBI VCトレード株式会社へ移管することで両社間で基本合意に達したことを発表した。移管は2025年3月頃を目途に完了予定で、移管完了後は事業を廃止する。レバレッジ取引の未決済ポジションは移管対象外となるため、移管日前までに決済が必要となる。

DMM BitcoinがSBI VCトレードへの事業移管を発表、2025年3月を目途に全預かり...

DMM Bitcoinは2024年11月29日、同社が保有するユーザーの口座および預かり資産をSBI VCトレード株式会社へ移管することで両社間で基本合意に達したことを発表した。移管は2025年3月頃を目途に完了予定で、移管完了後は事業を廃止する。レバレッジ取引の未決済ポジションは移管対象外となるため、移管日前までに決済が必要となる。

【CVE-2024-53915】Veritas Enterprise Vault 15.2に重大な脆弱性、任意のコード実行が可能に

【CVE-2024-53915】Veritas Enterprise Vault 15.2に重...

Veritas Enterprise Vault 15.2以前のバージョンにおいて、.NET RemotingのTCPポートで受信した信頼できないデータがデシリアライズされることによる重大な脆弱性が発見された。CVSSスコア9.8のCritical評価で、攻撃者による任意のコード実行が可能となる。機密性・整合性・可用性のすべてに高い影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-53915】Veritas Enterprise Vault 15.2に重...

Veritas Enterprise Vault 15.2以前のバージョンにおいて、.NET RemotingのTCPポートで受信した信頼できないデータがデシリアライズされることによる重大な脆弱性が発見された。CVSSスコア9.8のCritical評価で、攻撃者による任意のコード実行が可能となる。機密性・整合性・可用性のすべてに高い影響を及ぼす可能性があり、早急な対応が必要とされている。

【CVE-2024-53914】Veritas Enterprise Vaultに深刻な脆弱性、リモートからの任意コード実行が可能に

【CVE-2024-53914】Veritas Enterprise Vaultに深刻な脆弱性...

MITREは2024年11月24日、Veritas Enterprise Vault 15.2未満のバージョンにおいて重大な脆弱性を発見した。この脆弱性は.NET Remoting TCPポートでの未検証データの許容により、リモート攻撃者による任意のコード実行を可能にする。CVSS v3.1で深刻度9.8のCRITICALと評価され、攻撃の複雑さは低く認証も不要とされている。

【CVE-2024-53914】Veritas Enterprise Vaultに深刻な脆弱性...

MITREは2024年11月24日、Veritas Enterprise Vault 15.2未満のバージョンにおいて重大な脆弱性を発見した。この脆弱性は.NET Remoting TCPポートでの未検証データの許容により、リモート攻撃者による任意のコード実行を可能にする。CVSS v3.1で深刻度9.8のCRITICALと評価され、攻撃の複雑さは低く認証も不要とされている。

東京電機大学が製造業向けサイバーセキュリティ人材育成プログラムCySec Expertを2025年度に新設、サイバーオフェンスコースを開講へ

東京電機大学が製造業向けサイバーセキュリティ人材育成プログラムCySec Expertを202...

東京電機大学は2025年度より、サイバーセキュリティの専門家育成プログラム「CySec Expert」を開設する。米国EC-Councilの認定資格CEHに準拠した「サイバーオフェンスコース」を提供し、製造業の技術責任者向けリスキリング講座として展開。特に「モノづくり」の現場におけるサイバーセキュリティ対策の強化を目指し、産学連携による実践的な教育を実施する方針だ。

東京電機大学が製造業向けサイバーセキュリティ人材育成プログラムCySec Expertを202...

東京電機大学は2025年度より、サイバーセキュリティの専門家育成プログラム「CySec Expert」を開設する。米国EC-Councilの認定資格CEHに準拠した「サイバーオフェンスコース」を提供し、製造業の技術責任者向けリスキリング講座として展開。特に「モノづくり」の現場におけるサイバーセキュリティ対策の強化を目指し、産学連携による実践的な教育を実施する方針だ。

アイルミッションがFinancial Security Essentials Trainingを開始、金融機関向けサイバーセキュリティ教育の強化へ

アイルミッションがFinancial Security Essentials Training...

アイルミッションは2025年1月より、サイバージムジャパンと共同で金融機関向けサイバーセキュリティトレーニング『Financial Security Essentials Training』を提供開始する。SWIFTやISO 20022などの金融システムの基礎知識からAPT攻撃対応まで、実践的な演習を通じてセキュリティ担当者のスキル向上を目指す。12月には公開デモンストレーションも開催予定だ。

アイルミッションがFinancial Security Essentials Training...

アイルミッションは2025年1月より、サイバージムジャパンと共同で金融機関向けサイバーセキュリティトレーニング『Financial Security Essentials Training』を提供開始する。SWIFTやISO 20022などの金融システムの基礎知識からAPT攻撃対応まで、実践的な演習を通じてセキュリティ担当者のスキル向上を目指す。12月には公開デモンストレーションも開催予定だ。

アウトソーシングテクノロジーとサイバーリーズンの人材育成プロジェクトが始動、セキュリティエンジニアの資格取得者数が国内最多に

アウトソーシングテクノロジーとサイバーリーズンの人材育成プロジェクトが始動、セキュリティエンジ...

アウトソーシングテクノロジーはサイバーリーズンと共同で人材育成プロジェクトを開始し、2024年11月時点でセキュリティ資格取得者が360名に達し国内最多を達成した。全国53か所の拠点を活用し、IT、製造、医療など様々な業種でのセキュリティシステム運用をサポート。今後はXDRやMTDなど次世代技術への対応も強化していく。

アウトソーシングテクノロジーとサイバーリーズンの人材育成プロジェクトが始動、セキュリティエンジ...

アウトソーシングテクノロジーはサイバーリーズンと共同で人材育成プロジェクトを開始し、2024年11月時点でセキュリティ資格取得者が360名に達し国内最多を達成した。全国53か所の拠点を活用し、IT、製造、医療など様々な業種でのセキュリティシステム運用をサポート。今後はXDRやMTDなど次世代技術への対応も強化していく。

ServiceNowとNVIDIAがAgentic AI開発のパートナーシップを拡大、AIエージェントの共同開発で企業のデジタル変革を加速

ServiceNowとNVIDIAがAgentic AI開発のパートナーシップを拡大、AIエー...

ServiceNowは2024年11月28日、NVIDIAとの戦略的パートナーシップを拡大し、NVIDIA NIM Agent Blueprintsを活用したネイティブAIエージェントの共同開発を発表した。Now PlatformとNVIDIA AI Enterpriseソフトウェアプラットフォームの連携により、企業の生産性向上と業務効率化を目指す。2025年にはVulnerability Analysis for Container Security AIエージェントの提供も予定している。

ServiceNowとNVIDIAがAgentic AI開発のパートナーシップを拡大、AIエー...

ServiceNowは2024年11月28日、NVIDIAとの戦略的パートナーシップを拡大し、NVIDIA NIM Agent Blueprintsを活用したネイティブAIエージェントの共同開発を発表した。Now PlatformとNVIDIA AI Enterpriseソフトウェアプラットフォームの連携により、企業の生産性向上と業務効率化を目指す。2025年にはVulnerability Analysis for Container Security AIエージェントの提供も予定している。

HENNGE OneがCC-BizMateとシングルサインオン連携を開始、多要素認証でセキュリティと利便性を両立

HENNGE OneがCC-BizMateとシングルサインオン連携を開始、多要素認証でセキュリ...

HENNGE株式会社のHENNGE OneがクロスキャットのCC-BizMateとシングルサインオン連携を開始。IP制限やデバイス証明書による多要素認証で不正アクセスを防止しつつ、複数IDとパスワードの管理から解放。AIによる音声感情解析やシフト管理機能で企業の人事DXを推進する。

HENNGE OneがCC-BizMateとシングルサインオン連携を開始、多要素認証でセキュリ...

HENNGE株式会社のHENNGE OneがクロスキャットのCC-BizMateとシングルサインオン連携を開始。IP制限やデバイス証明書による多要素認証で不正アクセスを防止しつつ、複数IDとパスワードの管理から解放。AIによる音声感情解析やシフト管理機能で企業の人事DXを推進する。

【CVE-2024-20539】Cisco Identity Services Engine 3.0.0-3.3.0にXSS脆弱性、管理者権限での攻撃に注意

【CVE-2024-20539】Cisco Identity Services Engine ...

CiscoはIdentity Services Engineのウェブベース管理インターフェースにおけるXSS脆弱性を公開した。この脆弱性はバージョン3.0.0から3.3.0に影響し、CVSS基本スコアは4.8(Medium)と評価されている。攻撃には管理者権限とユーザーの関与が必要だが、成功した場合はブラウザベースの機密情報にアクセスされる可能性がある。

【CVE-2024-20539】Cisco Identity Services Engine ...

CiscoはIdentity Services Engineのウェブベース管理インターフェースにおけるXSS脆弱性を公開した。この脆弱性はバージョン3.0.0から3.3.0に影響し、CVSS基本スコアは4.8(Medium)と評価されている。攻撃には管理者権限とユーザーの関与が必要だが、成功した場合はブラウザベースの機密情報にアクセスされる可能性がある。

【CVE-2024-50188】Linux kernelのDP83869 PHYドライバーにメモリ破損の脆弱性、複数バージョンで修正パッチを提供

【CVE-2024-50188】Linux kernelのDP83869 PHYドライバーにメ...

Linux kernelのDP83869 PHYドライバーにメモリ破損の脆弱性が発見され、2024年11月8日に公開された。この脆弱性は、ファイバーポート設定時のlinkmode_set_bit関数の不適切な呼び出しにより発生する。Linux 5.10.227以降、5.15.168以降、6.1.113以降、6.6.57以降、6.11.4以降のバージョンで修正パッチが提供され、特にLinux 5.10ユーザーへの影響が懸念される。

【CVE-2024-50188】Linux kernelのDP83869 PHYドライバーにメ...

Linux kernelのDP83869 PHYドライバーにメモリ破損の脆弱性が発見され、2024年11月8日に公開された。この脆弱性は、ファイバーポート設定時のlinkmode_set_bit関数の不適切な呼び出しにより発生する。Linux 5.10.227以降、5.15.168以降、6.1.113以降、6.6.57以降、6.11.4以降のバージョンで修正パッチが提供され、特にLinux 5.10ユーザーへの影響が懸念される。

サイバージムジャパンが金融機関向けセキュリティトレーニングを開始、APT攻撃対応力の向上を目指す

サイバージムジャパンが金融機関向けセキュリティトレーニングを開始、APT攻撃対応力の向上を目指す

サイバージムジャパンは2025年1月より金融機関向けサイバーセキュリティトレーニング「Financial Security Essentials Training」の提供を開始する。SWIFTやISO20022、ATMなどの金融システムの基礎知識習得とAPT攻撃への実践的な対応スキルを養成。受講料は1人30万円で、12月に公開デモンストレーションを実施予定。

サイバージムジャパンが金融機関向けセキュリティトレーニングを開始、APT攻撃対応力の向上を目指す

サイバージムジャパンは2025年1月より金融機関向けサイバーセキュリティトレーニング「Financial Security Essentials Training」の提供を開始する。SWIFTやISO20022、ATMなどの金融システムの基礎知識習得とAPT攻撃への実践的な対応スキルを養成。受講料は1人30万円で、12月に公開デモンストレーションを実施予定。

日立ソリューションズの女性ホワイトハッカーがCybersecurity Woman of Japan 2024 Awardsで技術部門賞を受賞、次世代人材育成にも貢献

日立ソリューションズの女性ホワイトハッカーがCybersecurity Woman of Ja...

日立ソリューションズの青山桃子氏が、国際団体United Cybersecurity Allianceが主催するCybersecurity Woman of Japan 2024 Awardsにおいて、Cybersecurity Woman Hacker of Japan 2024を受賞した。脆弱性診断やペネトレーションテストに従事する一方、女性技術者向けコミュニティCTF for GIRLSの運営や教育活動を通じて次世代人材の育成にも貢献している。

日立ソリューションズの女性ホワイトハッカーがCybersecurity Woman of Ja...

日立ソリューションズの青山桃子氏が、国際団体United Cybersecurity Allianceが主催するCybersecurity Woman of Japan 2024 Awardsにおいて、Cybersecurity Woman Hacker of Japan 2024を受賞した。脆弱性診断やペネトレーションテストに従事する一方、女性技術者向けコミュニティCTF for GIRLSの運営や教育活動を通じて次世代人材の育成にも貢献している。

【CVE-2024-9941】WPGYMプラグインに権限昇格の脆弱性、バージョン67.1.0以前のユーザーに影響

【CVE-2024-9941】WPGYMプラグインに権限昇格の脆弱性、バージョン67.1.0以...

WordPressのジム管理システム用プラグインWPGYMにおいて、認証の欠如による重大な権限昇格の脆弱性が発見された。MJ_gmgt_add_staff_member()関数での権限チェックの欠如により、Subscriber以上の権限を持つ認証済みユーザーが管理者権限を持つアカウントを作成可能な状態となっている。CVSSスコアは8.8と高く、早急な対応が必要だ。

【CVE-2024-9941】WPGYMプラグインに権限昇格の脆弱性、バージョン67.1.0以...

WordPressのジム管理システム用プラグインWPGYMにおいて、認証の欠如による重大な権限昇格の脆弱性が発見された。MJ_gmgt_add_staff_member()関数での権限チェックの欠如により、Subscriber以上の権限を持つ認証済みユーザーが管理者権限を持つアカウントを作成可能な状態となっている。CVSSスコアは8.8と高く、早急な対応が必要だ。

【CVE-2024-53899】virtualenv 20.26.6より前のバージョンでコマンドインジェクションの脆弱性、高いセキュリティリスクで早急な対応が必要に

【CVE-2024-53899】virtualenv 20.26.6より前のバージョンでコマン...

仮想環境管理ツールvirtualenvにおいて、バージョン20.26.6より前のバージョンに深刻なコマンドインジェクション脆弱性が発見された。この脆弱性はCVE-2024-53899として識別され、CVSS基本値8.4(HIGH)と評価されている。攻撃者は特別な権限を必要とせずにローカル環境でコマンドインジェクション攻撃を実行することが可能となっており、早急な対応が求められている。

【CVE-2024-53899】virtualenv 20.26.6より前のバージョンでコマン...

仮想環境管理ツールvirtualenvにおいて、バージョン20.26.6より前のバージョンに深刻なコマンドインジェクション脆弱性が発見された。この脆弱性はCVE-2024-53899として識別され、CVSS基本値8.4(HIGH)と評価されている。攻撃者は特別な権限を必要とせずにローカル環境でコマンドインジェクション攻撃を実行することが可能となっており、早急な対応が求められている。

RelicがAI活用の次世代IT運用サービスAIOps Navigatorを発表、スタートアップの急成長をインフラから支援へ

RelicがAI活用の次世代IT運用サービスAIOps Navigatorを発表、スタートアッ...

株式会社Relicは2024年11月26日、国内大手SIerの知見を蓄積したAIを活用して異常検知や予測保全を実現する次世代IT運用サービス「AIOps Navigator」を発表した。AWSやAzureなどのクラウド環境からセキュリティまで幅広い領域をカバーし、2030年に向けて3段階でのサービス展開を予定している。本日より運用保守に関する無料相談の受付を開始。

RelicがAI活用の次世代IT運用サービスAIOps Navigatorを発表、スタートアッ...

株式会社Relicは2024年11月26日、国内大手SIerの知見を蓄積したAIを活用して異常検知や予測保全を実現する次世代IT運用サービス「AIOps Navigator」を発表した。AWSやAzureなどのクラウド環境からセキュリティまで幅広い領域をカバーし、2030年に向けて3段階でのサービス展開を予定している。本日より運用保守に関する無料相談の受付を開始。

KELがSentinelOneのマネージドセキュリティサービスを開始、24時間365日の監視体制で情報資産を保護

KELがSentinelOneのマネージドセキュリティサービスを開始、24時間365日の監視体...

兼松エレクトロニクスは、SentinelOne社のエンタープライズサイバーセキュリティプラットフォームのマネージドセキュリティサービスを2024年11月26日より提供開始。BBSecとの資本業務提携を活用し、Global Security Operation Centerによる24時間365日の有人監視体制を実現。Cyber Security Management Centerのメンバーが専門的知見を活かしてSOCサービスの品質維持と問題解決を支援する。

KELがSentinelOneのマネージドセキュリティサービスを開始、24時間365日の監視体...

兼松エレクトロニクスは、SentinelOne社のエンタープライズサイバーセキュリティプラットフォームのマネージドセキュリティサービスを2024年11月26日より提供開始。BBSecとの資本業務提携を活用し、Global Security Operation Centerによる24時間365日の有人監視体制を実現。Cyber Security Management Centerのメンバーが専門的知見を活かしてSOCサービスの品質維持と問題解決を支援する。

パロアルトネットワークスが2025年のAIセキュリティ予測を発表、プラットフォーム統合とデータ活用が鍵に

パロアルトネットワークスが2025年のAIセキュリティ予測を発表、プラットフォーム統合とデータ...

パロアルトネットワークスが2025年のサイバーセキュリティとAIの主要トレンドに関する予測を発表した。統合データセキュリティプラットフォームの重要性や、既存大手組織のAI分野における優位性、SOCの進化など7つの重要なトレンドが示され、組織のセキュリティ戦略強化に向けた具体的な方向性が提示されている。

パロアルトネットワークスが2025年のAIセキュリティ予測を発表、プラットフォーム統合とデータ...

パロアルトネットワークスが2025年のサイバーセキュリティとAIの主要トレンドに関する予測を発表した。統合データセキュリティプラットフォームの重要性や、既存大手組織のAI分野における優位性、SOCの進化など7つの重要なトレンドが示され、組織のセキュリティ戦略強化に向けた具体的な方向性が提示されている。

【CVE-2024-52595】lxml_html_cleanにXSS脆弱性、特殊タグでスクリプト実行が可能に

【CVE-2024-52595】lxml_html_cleanにXSS脆弱性、特殊タグでスクリ...

GitHubは2024年11月19日、HTMLクリーニングライブラリlxml_html_cleanにおいて深刻な脆弱性を発見したことを公表した。特殊なHTMLタグを用いることでスクリプトを実行可能な状態であることが判明し、セキュリティ上重要な用途で使用している場合はバージョン0.4.0への更新が強く推奨されている。CVSSスコアは7.7(HIGH)と評価されており、早急な対応が必要となっている。

【CVE-2024-52595】lxml_html_cleanにXSS脆弱性、特殊タグでスクリ...

GitHubは2024年11月19日、HTMLクリーニングライブラリlxml_html_cleanにおいて深刻な脆弱性を発見したことを公表した。特殊なHTMLタグを用いることでスクリプトを実行可能な状態であることが判明し、セキュリティ上重要な用途で使用している場合はバージョン0.4.0への更新が強く推奨されている。CVSSスコアは7.7(HIGH)と評価されており、早急な対応が必要となっている。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダーの対応の遅れに懸念

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。

【CVE-2024-10927】MonoCMS 20240528でXSS脆弱性が発見、ベンダー...

VulDBは2024年11月6日、MonoCMSのアカウント情報ページにおいてクロスサイトスクリプティング脆弱性を発見したことを公開した。脆弱性はMonoCMS 20240528以前のバージョンに影響し、useridパラメータの不適切な処理により発生する。CVSSスコアはv4.0で5.3(MEDIUM)、v3.1で3.5(LOW)と評価されており、リモートからの攻撃が可能だ。