#セキュリティ | SQAT®.jp

2025年4月8日2025年5月8日

【警告】CVE-2025-22457 脆弱性悪用事例と対策
–サイバー脅威の全貌–

Security NEWS TOPに戻る
バックナンバー TOPに戻る

本記事は、Google Cloud Blogで2025年4月3日に公開された「Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability(CVE-2025-22457)」の情報をもとに、脆弱性の概要、攻撃手法、最新の悪用事例、そして推奨対策について解説します。

はじめに

昨今、エッジデバイスやVPNシステムを狙ったサイバー攻撃が急増しています。その中でも、Ivanti Connect Secure（ICS）における脆弱性「CVE-2025-22457」が、2025年4月3日にIvantiによって公開され、実際に悪用されていることが確認されました。MandiantとIvantiの共同調査により、ライフサイクルが終了したICS 9.Xや、ICS 22.7R2.5以前のバージョンが標的となっています。

脆弱性の概要とその影響

CVE-2025-22457は、バッファオーバーフローに起因する重大な脆弱性です。攻撃者がこの脆弱性を悪用すると、リモートから任意のコードが実行可能となり、企業のVPNシステムに対して深刻なセキュリティリスクが生じます。対象は、ICS 22.7R2.5以前のバージョンおよび旧バージョン（ICS 9.X）で、攻撃成功時には不正アクセス、情報漏洩、システムの乗っ取りなどが懸念されます。

悪用事例と新たなマルウェアの動向

調査によると、初期の悪用は2025年3月中旬に確認されています。攻撃が成功すると、以下のような新たなマルウェアファミリーが展開されることが判明しました。

TRAILBLAZE
シェルスクリプト形式のインメモリオンリードロッパー。システム内の特定プロセスに不正コードを注入する足がかりとなります。
BRUSHFIRE
SSL_readのフックを利用するパッシブバックドアで、不正な通信を密かに行います。
SPAWNエコシステム
SPAWNSLOTH、SPAWNSNARE、SPAWNWAVE など、連携してシステム内の不正操作やログ改ざんを実施するツール群です。

これらのマルウェアは、シェルスクリプトドロッパーを起点に、ターゲットプロセス内へ段階的に展開される仕組みとなっており、システム再起動後にも再展開される可能性があるため、持続的な監視と迅速な対策が求められます。

技術的な攻撃手法の解説

攻撃の初期段階では、シェルスクリプトが以下のような手順で実行されます。

プロセスの特定
ターゲットとなる/home/bin/webプロセス（特に、子プロセスとして実行中のもの）を検出
一時ファイルの生成
/tmpディレクトリに、対象プロセスのPIDやメモリマップ、バイナリのベースアドレス、さらにマルウェア本体が格納された一連のファイルが作成される
マルウェアの注入
生成された一時ファイルを利用し、TRAILBLAZEドロッパーが実行。これにより、BRUSHFIRE パッシブバックドアが対象プロセス内へ注入される
クリーンアップ
一時ファイルや不要なプロセスは削除され、攻撃自体は非永続的な形で行われる

この攻撃手法は非常に巧妙であり、既存のパッチ対策や監視体制を回避するために設計されています。

脅威アクターとその背景

調査機関GTIG（Google Threat Intelligence Group）の報告によると、今回の攻撃は、中国関連の疑いがある諜報グループ「UNC5221」によるものと見られています。UNC5221は、過去にもゼロデイ攻撃やエッジデバイスへの不正侵入を実施しており、今回の攻撃でも従来の脆弱性を細かく解析した上で悪用していると評価されています。

推奨対策と今後の対応

MandiantとIvantiは、以下の対策を強く推奨しています。

迅速なパッチ適用
2025年2月11日にICS 22.7R2.6で公開されたパッチを、対象システムに速やかに適用すること
監視体制の強化
不審なコアダンプや、Integrity Checker Tool（ICT）の異常な動作が確認された場合、即座に対応する体制を整えること
セキュリティツールの活用
内部および外部の監視ツールを併用し、システムの健全性を定期的にチェックすること

これらの対策により、攻撃によるリスクを最小限に抑え、企業全体のセキュリティレベルの向上が期待されます。

まとめ

CVE-2025-22457 の悪用事例は、エッジデバイスを狙った攻撃が日々進化している現状を示しています。企業や組織は、最新パッチの適用と継続的な監視を徹底し、サイバー攻撃に対する防御策を強化する必要があります。今後も最新のセキュリティ情報に注意を払い、信頼性の高い情報源からのアドバイスを参考にすることが重要です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年4月9日（水）13:00～14:00
「今さら聞けない！スマホアプリのセキュリティあれこれ」

2025年4月16日（水）14:00～15:00
「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～ 」

2025年4月23日（水）14:00～15:00
「今知るべき！サポート切れのソフトウェアへのセキュリティ対策ガイド」

2025年4月30日（水）13:00～13:30
「CVSSとSSVCで実践する次世代脆弱性管理：サイバー攻撃対策セミナー2024」

最新情報はこちら

2025年4月3日2025年8月12日

ランサムウェア攻撃グループ「8Base」関係者逮捕へ― 400社以上が標的に！企業はランサムウェア対策を徹底しましょう―

Security NEWS TOPに戻る
バックナンバー TOPに戻る

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

事件概要

国際的な法執行機関が連携し、ランサムウェア攻撃グループ「8Base」の中核メンバーが摘発されたと報じられています。今回の国際捜査は欧米や日本を含む全14カ国の協力の下、EuropolおよびEurojustが中心となって実施されました。これにより、同グループが攻撃対象としていた企業に対する脅威が回避されたとみられます。

「8Base」は、ランサムウェア「Phobos」のインフラを活用しながら、独自の亜種を展開していたとされ、今回の作戦で運営されていたサーバー27台が押収されました。摘発された主要関係者はロシア国籍であったとの情報もあり、今回の国際共同作戦は、グローバルなサイバー犯罪対策の一環として大きな成果を上げたといえるでしょう。

この事件は、ランサムウェア攻撃が企業に与える被害の大きさと、国際的なセキュリティ連携の重要性を浮き彫りにしています。企業は、自社の防御策を再確認し、最新のセキュリティ対策を講じることが求められます。

事件の背景と脅威

ランサムウェア「Phobos」は、2018年以降、特にセキュリティ対策の甘い中小企業を中心に攻撃を展開しており、過去にも欧州や韓国、米国で主要な関係者の逮捕が報告されていました。ランサムウェア攻撃を受けてしまった場合、企業の業務停止、データの暗号化、情報漏洩など、甚大な被害をもたらします。今回の逮捕は、これまでの捜査活動の延長線上にあり、ランサムウェア攻撃が国際的な脅威であることを再確認させるものとなっています。

ランサムウェア対策の例

今回の「8Base」逮捕事件を踏まえ、万が一の攻撃に備えるために講じるべきランサムウェア対策の一例をあげます。

1.セキュリティパッチとアップデートの迅速な適用

最新パッチの適用
ソフトウェアやシステムの脆弱性は、攻撃者にとって格好の的となります。最新のセキュリティパッチを迅速に適用することが、被害拡大を防ぐ最も基本的な対策です。

2.多層防御体制の構築

ネットワーク分離とアクセス制御
管理者アカウントの権限を必要最低限に制限し、ネットワークのセグメンテーションや多要素認証の導入で、攻撃の拡大を防ぎます。
エンドポイントセキュリティの強化
最新のウイルス対策ソフトや侵入検知システムを導入し、攻撃が行われた際に即座に検知できる体制を整えましょう。

3.定期的なバックアップと脆弱性診断

バックアップの徹底
重要データの定期的なバックアップは、攻撃によるデータ暗号化や消失に対して迅速な復旧を可能にします。バックアップはオフラインであることが求められます。オフラインバックアップは、ネットワークから完全に切り離された状態でデータを保存するため、攻撃者がネットワークを通じてアクセスできず、万が一の攻撃時にも安全性が確保されます。
脆弱性診断の実施
定期的なシステムの脆弱性スキャンとペネトレーションテストにより、潜在的な脆弱性を早期に発見し、対策を講じることが重要です。

4.インシデントレスポンス計画の策定

迅速な対応体制の確立
万が一の攻撃発生時には、速やかに対応できるよう、事前にインシデントレスポンス計画を策定し、定期的な訓練を実施してください。

5.情報共有と業界連携

最新情報の取得と共有
セキュリティ専門家や業界団体との情報交換を活発に行い、最新の攻撃手法や対策を常にアップデートしましょう。

まとめ

ランサムウェア攻撃グループ「8Base」の主要メンバー逮捕は、世界各国で展開されているサイバー攻撃の深刻さを象徴しています。400社以上の企業が標的となる可能性があったこの事件は、企業にとってランサムウェア対策の徹底が不可欠であることを再認識させます。企業は、最新のセキュリティパッチ適用、多層防御体制の構築、定期的なバックアップと脆弱性診断、そして迅速なインシデント対応を実施することで、サイバー攻撃による被害を最小限に抑えることが求められます。さらに、もし自社に対する攻撃や不審な活動が確認された場合は、直ちに弊社の緊急対応窓口までご連絡ください。迅速な調査と対策で、被害拡大を防止いたします。

サイバーインシデント緊急対応

【参考情報】

Reuters（国際的な報道機関）
https://www.reuters.com/technology/cybersecurity/four-russians-arrested-phobos-ransomware-crackdown-europol-says-2025-02-11/
Europol（欧州警察機構の公式サイト）
https://www.europol.europa.eu/media-press/newsroom/news/key-figures-behind-phobos-and-8base-ransomware-arrested-in-international-cybercrime-crackdown

この記事は、ランサムウェア攻撃グループ「8Base」逮捕事件を踏まえ、企業が直面するセキュリティリスクと、ランサムウェア対策の重要性を解説しています。最新パッチの適用や多層防御体制、定期的なバックアップと診断、さらに迅速なインシデント対応体制の構築を通じて、企業は安全な環境を確保することが不可欠です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年4月9日（水）13:00～14:00
「今さら聞けない！スマホアプリのセキュリティあれこれ」

2025年4月16日（水）14:00～15:00
「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～ 」

2025年4月23日（水）14:00～15:00
「今知るべき！サポート切れのソフトウェアへのセキュリティ対策ガイド」

2025年4月30日（水）13:00～13:30
「CVSSとSSVCで実践する次世代脆弱性管理：サイバー攻撃対策セミナー2024」

最新情報はこちら

2025年3月28日2025年5月8日

2025年春のAI最新動向
第1回：生成AIとは？ -生成AIの基礎知識と最新動向-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年春、生成AIが注目を集めています。そこで、本記事では全3回のシリーズを通して、2025年春時点でのAIをめぐる様々な事象をまとめました。連載第1回目となる今回は、生成AI関連で現在注目されている主要用語の解説、そしてDeepSeek R1の登場に伴う生成AIのセキュリティ上の課題について解説します。

はじめに

生成AIは、膨大なデータからパターンを学習し、文章や画像、音声などのコンテンツを自動生成する技術です。私たちの日常生活の中では、車載カメラでの画像認識や農業での生育・病害予測など、深層学習・機械学習を用いたAI技術がすでに利用されていますが、生成AIはさらにその範囲を拡大し、さまざまな業界に革新をもたらしています。

生成AI、エージェントAI、大規模言語モデル（LLM）、基盤モデル

昨今注目されているのは私たちの問いかけに対して何かを生成・出力する生成AIですが、日進月歩の分野でもあることから様々な用語が出てきています。本記事ではジョージタウン大学のCSET（Center for Security and Emerging Technology）やインド工科大学カンプール校(IITK)による定義から以下のように定義して話を進めていきたいと思います。

生成AIとは

コンテンツの生成を主な機能とするあらゆるAIシステム。膨大なデータセットからパターンを発見し、出力するもの

例：

画像生成ツール（Midjourney（ミッドジャーニー）、Stable Diffusionなど）

大規模言語モデル（LLM）（GPT-4、PaLM、Claudeなど）

コード生成ツール（Copilotなど）

オーディオ生成ツール（VALL-E、resemble.aiなど）

エージェントAI（Agentic AI・AIエージェント）とは

事前に設定された目標に対して、人間の継続的な監視なしに、自律的に決定とアクションの実行を行うもの

LLM（大規模言語モデル）とは

言語と連携するAIシステムの一種
– 過去数年間にわたって多くのパラメータでモデルをトレーニングすることでパフォーマンスが向上されるといわれている
– 「言語」のターゲットとしてどこまでが含まれるかの定義は明確ではない（プログラミングコードはカウントされるのか、主に言語で動作するが画像を入力として受け入れるものはどうか、など）

例：OpenAIのGPT-4、GoogleのPaLM、MetaのLLaMAなど

基盤モデルとは

より多くの具体的な目的に適応できる、幅広い機能を備えたAIシステム。多くのLLMが含まれる

例：初代ChatGPTにおける GPT-3.5（LLM、基盤モデル）

出典：
・CSET
「What Are Generative AI, Large Language Models, and Foundation Models?」
・E&ICT Academy, IIT Kanpur
「gentic AI vs. Generative AI: Key Differences and Use Cases in 2025」

機密情報、個人情報とAI

DeepSeekショック

2025年に入って注目を浴びたニュースのひとつに、中国のAI研究所DeepSeekが公開した「DeepSeek-R1」があります。DeepSeekは商用利用可能なオープンソースとして公開され、チャットボットが無料であることで注目される一方で、多くのブログやレポートでセキュリティ上の問題点が指摘されています。指摘された問題は大きく分けて以下の3点になります。

ジェイルブレイク脆弱性
武器や有害物質、悪意のあるスクリプトやマルウェアの生成などが可能となるジェイルブレイク脆弱性の存在*1

通信の安全性や機密情報の取り扱いに関する問題*2

データの送信先
データをチャイナテレコム（中国電信）やバイトダンス（TikTok運営企業）に送信していること*3

AIにおける「ジェイルブレイク」とは

AIジェイルブレイクとは、AIに設定されたガードレール(緩和策)の故障を引き起こす可能性のある手法です。これにより、システムがオペレーターのポリシーに違反したり、1人のユーザーに過度に影響を受けた決定を下したり、悪意のある指示を実行したりするなど、回避されたガードレールから被害が生じます。

参考情報：
・Microsoft「AI jailbreaks: What they are and how they can be mitigated」

このように、悪意のあるスクリプトやマルウェアの生成が容易に行われることは、MaaS/RaaS/PhaaSなどのサービス化したサイバー脅威の普及に匹敵するレベルで、犯罪のすそ野を広げていく可能性があります。実際の攻撃のうち、マルウェアキャンペーンに関しては2024年時点でAIは直接的に大量に使用されていないというレポート*4がありますが、DeepSeekのようなガードレールが機能しない生成AIがこの状況を変える可能性もあります。

また、通信の安全性やデータの取扱いに問題があるサービスを利用することで、うっかり入力した個人情報や機密情報が漏洩し、二次被害を招く可能性も、サイバーセキュリティの観点から注意すべきでしょう。

ジェイルブレイクとガードレール(緩和策)

ここで主要な基盤モデルとそれぞれのジェイルブレイクや情報漏洩の報告の有無をみてみましょう。

表1　主な基盤モデルとジェイルブレイク・情報漏洩の報告の有無


基盤モデル	ジェイルブレイク	情報漏洩
OpenAI GPT-4	あり	該当なし
OpenAI GPT-4o	あり	該当なし
OpenAI GPT-4o-mini	あり	該当なし
Google Gemini Flash	あり	該当なし
Google Gemini Pro	あり	該当なし
Anthropic Claude3.5 Sonnet	あり	該当なし
Anthropic Claude3.5 Opus	あり	該当なし
Meta Llama 3.1	あり	該当なし
Meta Llama 3 8B	あり	該当なし
Grok 3	あり	該当なし
DeepSeek R1	あり	あり

情報漏洩に関して現行の基盤モデルで問題となったのはDeepSeek R1だけとなっていますが、ジェイルブレイクに関してはどの基盤モデルも何らかの形で（悪いほうの）実績があります。多くは論文で報告されているものであり、実際の被害が報告されているものではありません。しかし、かつてサイバーセキュリティにおける脆弱性も同様に論文や実証レベルでの問題が大半で悪用されていなかったものが、組織的に悪用するための武器化や武器化したツールのサービス化などであっという間に広く悪用され、社会を揺るがす問題になっていることを考えると、AIにおいて同じことが起きないとは言い切れません。

もちろん、基盤モデルを提供する事業者各社もジェイルブレイクに対するガードレールは設けていますが、実際にジェイルブレイクを狙った試行も報告*5されています。脅威アクターによるAIの悪用が今後なんらかの被害をもたらす可能性は否定できません。

―第2回「生成AIをめぐる政府機関および世界各国の対応」へ続く―

連載第1回では、生成AIにまつわる基本用語とセキュリティ上の課題について解説しました。次回、第2回では、生成AIに関して政府機関や世界各国はどのような取り決めをしているかについて詳しくみていきます。

参考情報：
・「GPT-4 Jailbreaks Itself with Near-Perfect Success 　 Using Self-Explanation」
　　https://openreview.net/pdf?id=SMK34VBntD
・「ChatGPT-4o contains security bypass vulnerability through time and search functions called “Time Bandit”」
　　https://kb.cert.org/vuls/id/733789
・「BEST-OF-N JAILBREAKING」
　　https://arxiv.org/pdf/2412.03556
・https://github.com/haizelabs/llama3-jailbreak
・https://adversa.ai/blog/grok-3-jailbreak-and-ai-red-teaming/

Security NEWS TOPに戻る
バックナンバー TOPに戻る

【連載一覧】

―第2回「生成AIをめぐる政府機関および世界各国の対応」―
―第3回「生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか？-」―

2025年3月19日2025年8月13日

【緊急】Apache Tomcatの脆弱性 CVE-2025-24813-PoC公開＆攻撃実例、迅速な対応を！-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

はじめに

Apache Tomcatは、多くのWebアプリケーションで利用されている人気のサーブレットコンテナですが、最新の脆弱性CVE-2025-24813が重大なリスクとして報告されています。既にPoC（Proof of Concept）が公開され、実際に攻撃に悪用されている事例も確認されています。これにより、リモートコード実行（RCE）や情報漏洩といった深刻な被害が発生する可能性が高まっています。

脆弱性の詳細

CVE-2025-24813の概要

・概要

Apache Tomcatに存在する脆弱性で、ファイルパスの正規化の不備を突くことで、攻撃者が悪意のあるファイルをアップロードし、シリアライズ済みセッションのデシリアライズ処理時に任意のコード実行が可能となります。

・攻撃シナリオ

攻撃者は、PUTリクエストを利用して、悪意のあるシリアライズ済みJavaセッションファイル（PoCとして公開済み）をTomcatのセッションストレージにアップロードします。その後、GETリクエストでJSESSIONIDを指定することで、Tomcatがこの不正なセッションファイルをデシリアライズし、悪意のあるコードが実行されます。

・リスク

認証不要でリモートからコード実行が可能なため、攻撃者によってシステム全体が乗っ取られるリスクが高いです。さらに、アップロードされたファイルは、従来のセキュリティ対策（WAF等）で検知されにくいという特徴があります。

• CVSSベーススコア

※現状の具体的な数値は各セキュリティ情報サイト等をご確認ください。（本記事ページ下部【参考情報】ご参照）

推奨対策

パッチ適用とアップグレード
• アップグレードの実施
脆弱性が修正された最新バージョンへのアップグレードを速やかに実施してください。Apache Tomcat のバージョンアップにより、脆弱性を根本的に解消できます。
設定変更による一時的な対策
• デフォルト設定の見直し
Webアプリケーションの設定ファイル（例：web.xml）で、デフォルトの書き込み機能を無効化するなど、一時的なセキュリティ強化策を講じることも有効です。
セキュリティ管理の強化
• 脆弱性管理プログラムの導入
定期的な脆弱性診断と評価を行い、システムに内在する脆弱性を早期に検出し修正してください。
• 管理者アクセスの制御
管理者アカウントには多要素認証などの追加対策を実施し、アクセス権限を最小限に絞ることが重要です。

緊急対応窓口のご案内

万が一、CVE-2025-24813に関連する攻撃や不審な活動が自社内で確認された場合は、直ちに弊社緊急対応窓口までご連絡ください。迅速な対応と調査を通じて、被害の拡大を防ぐお手伝いをいたします。

サイバーインシデント緊急対応

まとめ

Apache Tomcatの脆弱性CVE-2025-24813は、既にPoCが公開され攻撃に悪用されている深刻な問題です。お使いのTomcat環境が影響を受けている場合、速やかに最新パッチの適用やアップグレード、必要な設定変更を実施してください。また、万一の攻撃が確認された際には、弊社緊急対応窓口までお知らせいただくことで、迅速な支援を受けることが可能です。

【参考情報】

NVD – CVE-2025-24813
https://nvd.nist.gov/vuln/detail/CVE-2025-24813
GitHub – PoC for CVE-2025-24813
https://github.com/absholi7ly/POC-CVE-2025-24813
Apache Mailing List Thread (脆弱性詳細)
https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq
Snyk Vulnerability Database
https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHETOMCATEMBED-9396739

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年3月26日（水）13:00～14:00
「予防で差がつく！脆弱性診断の話～脆弱性による脅威とその対策～」

2025年4月2日（水）13:00～14:00
「今さら聞けない！PCI DSSで求められる脆弱性診断-いよいよ未来日付要件が有効に！PCI DSSv4.0での脆弱性診断実施におけるポイントとは-」

2025年4月16日（水）14:00～15:00
「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～」

最新情報はこちら

2025年3月17日2025年8月12日

【重要】VMware製品のゼロデイ脆弱性対策ガイド（2025年3月版）

Security NEWS TOPに戻る
バックナンバー TOPに戻る

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

はじめに

2025年3月12日（日本時間）に、VMware 製品に関するセキュリティ更新プログラム（月例）が発表されました。今回の更新プログラムでは、VMware ESXi、Workstation、Fusion などに影響を与える3つのゼロデイ脆弱性（CVE-2025-22224、CVE-2025-22225、CVE-2025-22226）が指摘され、重大なセキュリティリスクが懸念されています。これらの脆弱性が悪用されると、アプリケーションの異常終了や、攻撃者によるシステム制御など、深刻な被害につながる可能性があるため、直ちに最新バージョンへの更新が推奨されます。

各CVEの概要

CVE-2025-22224

概要

VMware ESXiとVMware Workstation における TOCTOU（Time-of-Check Time-of-Use）脆弱性です。

攻撃ベクトル

仮想マシンのローカル管理者権限を持つ不正な攻撃者が、VMXプロセスを経由してコードを実行できるため、ヒープ・オーバーフロー（heap overflow）が引き起こされる可能性があります。

リスク

深刻なシステム破損や不正なコード実行のリスクがあるため、CVSSスコアは9.3と非常に高い評価です。

対策

最新バージョンを直ちにインストールする必要があります。

参考情報

VMwareによると、当該脆弱性が積極的に悪用されていることが確認されています。

CVE-2025-22225

概要

VMware ESXiに存在する任意書き込みの脆弱性です。

攻撃ベクトル

VMXプロセス内で権限を持つ認証されていない攻撃者が、サンドボックスの制約を突破し、不正な書き込みを実行できる可能性があります。

リスク

深刻な権限昇格攻撃により、システム全体の制御が奪われる恐れがあります。

CVSSスコア

最大8.2

対策

最新バージョンを直ちにインストールする必要があります。

参考情報

VMwareによると、当該脆弱性が積極的に悪用されていることが確認されています。

CVE-2025-22226

概要

VMware ESXi、Workstation、および Fusion における情報漏洩リスクがある脆弱性です。

攻撃ベクトル

VMの管理者権限を持つ認証されていない攻撃者が、メモリ内容を不正に読み取る可能性があります。

リスク

機密データや秘密情報の漏洩により、企業内の情報セキュリティが大きく脅かされます。

CVSSスコア

最大7.1

対策

最新バージョンを直ちにインストールする必要があります。

参考情報

VMwareによると、当該脆弱性が積極的に悪用されていることが確認されています。

脆弱性への対策

管理者アクセスの制御

アクセス制限
管理者権限のアクセスは、必要最小限に制限し、ログ監視や二要素認証などの追加セキュリティ措置を実施することが推奨されます。

定期的な脆弱性管理プログラムの実施

脆弱性診断
定期的な脆弱性診断と評価を通じ、システムの弱点を早期に発見し、対策を講じましょう。

インシデントレスポンス計画の策定
万が一の事態に備え、迅速な対応が可能なインシデントレスポンス計画を策定し、訓練を実施してください。

情報共有と最新動向の把握

業界情報の共有
セキュリティ業界の最新動向や専門家の意見を定期的に確認し、脆弱性対策に反映させることが重要です。

影響を受ける製品

今回の脆弱性は、以下のVMware製品に影響を与えます。

VMware ESXi
多くの企業やクラウドサービスで利用される主要な仮想化プラットフォーム

VMware Workstation
デスクトップ上で仮想マシンを実行するためのソフトウェア

VMware Fusion
Mac上で他のオペレーティングシステムを実行するための仮想化ソフトウェア

VMware Cloud Foundation
クラウド環境向けの統合ソリューション

VMware Telco Cloud Platform
通信業界向けの専用ソリューション

これらの製品は、広範なシステムやインフラストラクチャに使用されているため、脆弱性が悪用されると企業全体への影響が大きくなる可能性があります。

まとめ

2025年3月に発表されたVMware製品向けのセキュリティ更新プログラムでは、CVE-2025-22224、CVE-2025-22225、CVE-2025-22226 の3つのゼロデイ脆弱性が指摘され、悪用されると深刻なシステム破損や権限昇格、情報漏洩などのリスクを引き起こす可能性があります。企業やシステム管理者は、VMwareから提供される最新のパッチを速やかに適用し、管理者アクセスの制限や定期的な脆弱性スキャンを実施することで、セキュリティリスクを最小限に抑えることが求められます。

【参考情報】

Tenable
https://www.tenable.com/blog/cve-2025-22224-cve-2025-22225-cve-2025-22226-zero-day-vulnerabilities-in-vmware-esxi

Broadcom Support
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

ウェビナー開催のお知らせ

2025年3月19日（水）13:00～14:00
「ランサムウェア攻撃の脅威～感染リスクを可視化する防御策の実践を紹介～」

2025年3月26日（水）13:00～14:00
「予防で差がつく！脆弱性診断の話～脆弱性による脅威とその対策～」

2025年4月16日（水）14:00～15:00
「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～」

最新情報はこちら

2025年3月17日2025年5月8日

脆弱性診断の基礎と実践！手動診断とツール診断の違いを徹底解説第3回：手動診断とツール診断、どちらを選ぶべきか？最適な診断方法の選び方

Security NEWS TOPに戻る
バックナンバー TOPに戻る

手動診断とツール診断、どちらが自社に最適なのか？本記事では、「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの最終回として、手動診断とツール診断の両者の特性や違いを比較し、診断方法を選ぶポイントを解説します。最適な診断方法を見極め、継続的なセキュリティ対策を実現しましょう。

手動診断とツール診断の違い

脆弱性診断には「手動診断」と「ツール診断」の2つの手法があり、それぞれに検出できる脆弱性の範囲、診断の精度、コストや時間といった違いがあります。適切な診断方法を選ぶためには、それぞれの特性を理解することが重要です。

検出可能な脆弱性の範囲


診断手法	検出可能な脆弱性の範囲
ツール診断	CVE、OWASP Top 10などに基づき脆弱性を自動検出。ただし、システム固有の処理に関連する脆弱性の検出や複雑な攻撃手法には対応が難しい。
手動診断	ツール診断では発見が難しいカスタムアプリの脆弱性や認証回避の脆弱性も検出可能。

ツール診断はパターンマッチングに基づく脆弱性スキャンが主であり、定型的なセキュリティホールの発見に優れています。一方、手動診断はシステムごとの特性を考慮した診断が可能で、セキュリティエンジニアによる最新の攻撃手法に基づいたシナリオでの診断にも対応できます。

診断の精度


診断手法	精度
ツール診断	短時間で広範囲の診断が可能だが、誤検知（False Positive）や見落とし（False Negative）が発生することがある。
手動診断	セキュリティエンジニアが攻撃者視点で分析するため、より正確な脆弱性の特定が可能。誤検出を減らし、実際のリスクを精密に評価できる。

ツール診断は効率的に多くのシステムをスキャンできるメリットがありますが、誤検出や見落としのリスクがあるため、結果を精査する必要があります。手動診断は攻撃手法を考慮したテストを実施できるため、リスクの深刻度を正確に判断しやすいのが特長です。

コストと時間の違い


診断手法	コスト	時間
ツール診断	比較的低コストである。	短時間で診断可能（数時間～1日程度）。規模が小さいシステムであれば、数時間程度で診断が完了するため、定期的なスキャンが容易。場合によっては24時間いつでも診断が可能
手動診断	専門のエンジニアが対応するためコストが高い。診断の範囲や内容によって費用が変動	時間がかかる（数日～数か月）。対象システムの複雑さにより診断期間が変動

ツール診断は、コストを抑えて素早く診断ができる点が魅力ですが、ツールの設定や診断結果の解釈には専門知識が必要です。手動診断はコストや時間がかかるものの、外部のセキュリティ専門企業などに委託することによって、より精密な脆弱性評価が可能です。特に重要なシステムや高度なセキュリティ対策が求められる場面では有効です。

診断方法を選ぶ際のポイント

以下のポイントを考慮し、適切な診断方法を選ぶことが重要です。

組織の規模やセキュリティ方針に合わせた選択


組織の特徴	推奨される診断方法
スタートアップ・中小企業（コストを抑え、効率的に診断したい場合）	コストを抑えつつ効率的な診断を行いたい場合は、ツール診断が適している。自動化により定期的なチェックが可能。
大企業・金融・医療・官公庁	高度なセキュリティ対策が求められるため、手動診断＋ツール診断の組み合わせが効果的。特に重要システムには手動診断を推奨。
クラウド環境を利用する組織	クラウド環境特有のリスクに対応するため、クラウドセキュリティに特化したツール診断と、必要に応じた手動診断の併用が理想的。

どのような診断が必要か


診断対象	推奨される診断方法
WEBアプリケーション	ツール診断で基本的な脆弱性をチェックし、重要な部分に手動診断を実施。特に、認証機能や決済機能の診断には手動診断が有効。
ネットワークセキュリティ	ネットワークスキャンツール（例：Nmap、Nessus）を活用し、必要に応じて手動で詳細な分析を実施。ファイアウォールの設定やアクセス制御の確認が重要。
クラウド環境（AWS、AZURE、GCPなど）	クラウド専用の脆弱性診断ツールを活用し、アクセス制御や設定ミスをチェック。特に、IAM（Identity and Access Management）の監査が必要な場合は手動診断も推奨。

ポイント：

Webアプリケーションの診断では、ツール診断でOWASP Top 10の脆弱性をスキャンし、カスタムアプリの診断には手動診断を追加するのが理想的

ネットワーク脆弱性診断では、ツール診断でポートスキャンを行い、不審な通信や設定の誤りを手動診断で確認する方法が有効

クラウド環境は設定ミスが原因の脆弱性が多いため、ツール診断を活用して広範囲をスキャンし、リスクの高い設定には手動診断を組み合わせることが推奨される

手動診断とツール診断の組み合わせ

手動診断とツール診断にはそれぞれメリットと限界があり、両者を適切に組み合わせることで、より高精度なセキュリティ対策が可能になります。ツール単独での診断では見落とされるリスクを補完し、組織のセキュリティレベルを向上させる戦略的なアプローチが求められます。

両者を組み合わせることで得られるメリット

スキャンの自動化と専門家による精査が両立

ツール診断で迅速に広範囲をスキャンし、重大なリスクが懸念される部分のみ手動診断を実施

手動診断でツールの誤検出を精査し、実際のリスクを正確に判断

費用対効果の向上

低コストでツール診断を定期的に実施し、大きな問題が発覚した場合のみ手動診断を適用することで、予算を最適化

診断結果の精度向上

ツール診断のスキャン結果を専門家が分析し、追加の手動診断を行うことで、より正確な脆弱性評価が可能

効果的なセキュリティ診断戦略の構築

手動診断とツール診断を組み合わせることで、組織ごとのセキュリティ要件に応じた診断戦略を構築できます。

(1) 定期的なスキャン+詳細なリスク分析

ツール診断を月次・四半期ごとに実施し、継続的にセキュリティ状況を監視

重大なリスクが検出された場合のみ、対象システムの手動診断を実施して詳細分析

(2) システムの重要度に応じた診断手法の選択

基幹システム・決済システムなどの重要システム
手動診断を優先し、高精度な診断を実施

一般的なWebアプリ・社内システム
ツール診断で定期的にチェックし、基本的なリスクを管理

(3) インシデント対応と診断の連携

過去のセキュリティインシデントの発生状況を分析し、手動診断で重点的にチェックすべき領域を特定

ツール診断のログを蓄積し、将来の診断方針に反映

適切な脆弱性診断サービスの選び方

診断会社を選ぶ際のポイント

脆弱性診断を外部に委託する場合、診断会社の選定は重要な要素となります。まず、診断の実績を確認し、自社の業界やシステムに適した経験があるかをチェックしましょう。特に、金融・医療・ECなどの高いセキュリティが求められる分野では、業界特有のリスクを理解している診断会社が望ましいでしょう。次に、対応範囲を確認し、Webアプリ、ネットワーク、クラウド環境など、自社のシステム構成に適した診断を提供できるかを見極めます。また、診断後のサポート体制も重要なポイントです。診断結果のレポート提供だけでなく、脆弱性修正のアドバイスや再診断が可能かどうかも確認し、長期的なセキュリティ強化に役立つパートナーを選びましょう。

費用対効果を考慮した最適な診断プランの検討

脆弱性診断のコストは組織にとって大きな課題ですが、単純に安価なサービスを選ぶのではなく、費用対効果を考慮した診断プランの選定が重要です。まず、診断の頻度と範囲を明確にし、必要最低限のコストで最大の効果を得られるプランを検討します。たとえば、定期的な診断が必要な場合はツール診断を活用し、重大なシステムについては手動診断を実施する組み合わせが有効です。また、診断会社ごとに料金体系や提供サービスが異なるため、複数社のプランを比較し、自社に最適なものを選択することが求められます。さらに、初回診断の割引や無料トライアルなどを活用することで、コストを抑えつつ診断の質を確認する方法も有効です。

まとめ：企業にとって最適な診断方法を選択する

脆弱性診断を効果的に活用するためには、自社のシステムやセキュリティ方針に適した診断方法を見極めることが重要です。コストを抑えながら広範囲をスキャンできるツール診断、高度な攻撃手法にも対応可能な手動診断、それぞれの特性を理解し、適切に使い分けることが求められます。また、企業の業種やシステムの重要度によって、手動診断とツール診断の組み合わせを検討することが望ましいです。

さらに、脆弱性診断は一度実施すれば終わりではなく、継続的なセキュリティ対策が必要です。サイバー攻撃の手法は日々進化しており、新たな脆弱性が発見される可能性があるため、定期的な診断と適切なセキュリティ対策の実施が欠かせません。企業のセキュリティレベルを維持・向上させるために、継続的な診断計画を立て、適切な対策を講じることが重要です。

BBSecでは

当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。

＜SQAT診断サービスの特長＞

＜デイリー自動脆弱性診断－Cracker Probing-Eyes®－＞

Security NEWS TOPに戻る
バックナンバー TOPに戻る

―第1回「手動診断のメリットとは？」はこちら―
―第2回「ツール診断のメリットとは？」はこちら―

2025年3月11日2025年8月13日

【セキュリティガイドライン6.0】実践！脆弱性診断で守るクレジットカード決済セキュリティ対策ガイド

Security NEWS TOPに戻る
バックナンバー TOPに戻る

本記事は2025年8月20日開催「EC加盟店・PSP必見！クレジットカード・セキュリティガイドライン6.0版対応ウェビナー」のフォローアップコンテンツです。

本ウェビナーの再配信予定にご関心のある方はこちらからお問い合わせください。

お問い合わせ

お問い合わせはこちらからお願いします。後ほど、担当者よりご連絡いたします。

はじめに

昨今、キャッシュレス化の推進とともにクレジットカード決済の利用が急増しています。日本ではキャッシュレス決済全体のうち、約83.5%をクレジットカード決済が占めており、消費者や加盟店にとって非常に重要な決済手段です。しかし、その一方で情報漏えいや不正利用、特にECサイトなど非対面取引における不正利用被害は深刻な問題となっています。本記事では、「クレジットカード・セキュリティガイドライン【6.0版】」に基づく対策のうち、特に「脆弱性診断」の視点に着目し、決済システムやWebサイトにおけるリスクの検出とその対策の必要性、具体的な診断手法についてご紹介します。

クレジットカード決済の現状とセキュリティリスク

利用環境の変化とリスクの多様化

政府のキャッシュレス化推進施策により、決済手段が多様化する中、クレジットカードは依然として主要な決済手段です。一方、EC加盟店やMO・TO取扱加盟店では、Webサイトの設定不備や既知の脆弱性を悪用した第三者による不正アクセス、フィッシング攻撃によってカード情報が窃取される事例が相次いでいます。このような背景から、決済システムやWebサイトの脆弱性診断が不可欠となっており、早期にリスクを把握し対策を講じる必要があります。

ガイドラインの役割

「クレジットカード・セキュリティガイドライン【6.0版】」は2025年3月、クレジット取引セキュリティ対策協議会によって公開されたガイドラインで、PCI DSSをはじめ、割賦販売法などの法令に基づく実務上の指針や各種技術・運用対策をまとめたものです。その中では、EC加盟店のシステムおよびWebサイトに対して「脆弱性対策」を講じることが強調されており、脆弱性診断やペネトレーションテストの実施が推奨されています。

脆弱性診断の視点から見るセキュリティ対策の現状

脆弱性診断の目的

脆弱性診断は、以下の点でセキュリティ対策の強化に貢献します。

設定ミスや構成不備の検出
システム管理画面のアクセス制限やデータディレクトリの設定不備、ログイン試行回数制限の設定など、運用上の細かな不備を早期に発見。
ソフトウェアやプラグインの脆弱性の把握
SQLインジェクションやクロスサイト・スクリプティングなど、Webアプリケーションの脆弱性診断を通じて、最新の攻撃手口に対応した対策が必要かどうかを判断。
実際の攻撃リスクの定量評価
ペネトレーションテストによって、実際に悪意ある攻撃者が侵入可能なポイントを実証し、リスクの深刻度を数値化することで、対応の優先順位を明確にします。

ガイドラインに基づく対策と脆弱性診断の連携

ガイドラインでは、EC加盟店に対して「脆弱性対策」の実施が求められています。具体的な対策例としては以下のようなものが挙げられます。

システム管理画面のアクセス制限と多要素認証の導入
データディレクトリの露見防止
定期的な脆弱性診断とペネトレーションテストの実施
ウイルス対策ソフトの運用とシグネチャーの更新

これらの対策は、診断結果をもとに、PCI DSS 準拠のための必要な修正や改善措置として実施されます。さらに、ガイドライン内では、不正利用対策としてEMV 3-D セキュアの導入や、リスクベース認証（RBA）の精度向上など、動的な対応策も推奨されています。脆弱性診断の結果を踏まえた上で、システムの安全性を確保するための重要な要素となります。

具体的な脆弱性診断の手法と検査ポイント

システム管理とアクセス制御の検査

脆弱性診断で確認可能なポイント：管理画面ソフトウェアの既知脆弱性（例：古いバージョンの使用）や、デフォルトのパスワードが残っていないかなど、一般的なセキュリティ設定のチェックは脆弱性診断で検出できます。

Webアプリケーションの脆弱性診断

脆弱性診断で確認可能なポイント：SQLインジェクションやクロスサイト・スクリプティング（XSS）など、一般的なWebアプリケーション脆弱性は最新の診断ツールで検出可能です。ファイルアップロード機能における拡張子やファイルサイズの制限が設定されているかも、検証できます。

補足：Webサーバーやアプリケーション全体の構成評価は、脆弱性診断だけでなく、運用監査も併用することが望ましいです。

データディレクトリとサーバー設定の検査

脆弱性診断で確認可能なポイント：公開ディレクトリに重要なファイルが誤って配置されていないかをチェックできます。重要ファイルの配置状況や非公開設定の適切性は、詳細な設定レビューや管理者へのインタビューを通じての評価もしくはペネトレーションテストが必要な場合があります。

ウイルス対策とマルウェア検知の検査

脆弱性診断で確認可能なポイント：ウイルス対策ソフトのシグネチャー更新状況や、定期的なフルスキャンが自動ログから確認できる場合があります。
補足：実際の運用状況（更新頻度やスキャン実施の確実性）は、システム管理者への確認やログの監査が求められます。

委託先管理と情報共有の確認：外部委託先のセキュリティ状況や、PCI DSS準拠、ガイドラインに基づく対策の実施状況は、脆弱性診断では検出できません。委託先との契約内容、セキュリティポリシーの文書、定期監査の結果などを通じて確認する必要があります。

注 ) 上記の検査項目には、脆弱性診断で検出可能なものと、レビューや運用監査が必要なものが混在しています。脆弱性診断だけでは完全に評価できない項目については、管理者へのインタビューや設定ファイルのレビューなど、追加の確認が必要となります。

脆弱性診断を実施するメリットと成功事例

リスク低減と迅速な対応

定期的な脆弱性診断により、システムの設定不備や新たに発見された脆弱性を早期に把握でき、対策の優先順位を明確にできます。実際に、あるEC加盟店では、脆弱性診断の結果を受けてWebサイトの設定見直しとパッチ適用を迅速に実施した結果、不正アクセスによる情報漏えい事故を未然に防いだ事例があります。また前述の通り、脆弱性診断だけでは検出できない項目もあります。あわせてコンサルティングサービスなどによる監査を利用することで、より堅牢なシステムを構築することができます。

コンプライアンス遵守と信頼性向上

ガイドラインに沿った対策を実施することで、PCI DSSや関連法令に準拠し、顧客や取引先からの信頼を得られます。その一環として、脆弱性診断および定期監査は第三者機関による評価や認証取得にもつながり、企業のセキュリティ体制の信頼性を向上させます。

まとめ

クレジットカード決済におけるセキュリティは、企業の信頼性や消費者の安全な利用環境に直結する重要な課題です。クレジットカード・セキュリティガイドライン【6.0版】に示されている対策の中でも、脆弱性診断はシステムの現状を正確に把握し、迅速な対策を講じるための基盤となります。

定期的な脆弱性診断やペネトレーションテストを通じ、設定不備や最新の攻撃手法に対する脆弱性を検出し、必要な修正や改善措置を講じることで、不正利用被害のリスクを大幅に低減できるでしょう。また、診断結果をもとに、PCI DSSやガイドラインに沿った対策の実施が、企業のセキュリティレベル向上とコンプライアンス遵守に寄与するため、各企業や加盟店は今後も継続的に脆弱性診断を実施することが求められます。

BBSecでは

BBSecは、PCI SSC認定QSA（PCI DSS準拠の訪問審査を行う審査機関）です。準拠基準についての疑問や対応困難な状況があるといったような懸念・不安などは曖昧なままにせず、QSAにご相談いただくことをおすすめいたします。準拠に向けた適切な対応を検討するためのアドバイスや、事情に応じた柔軟な対応も可能です。

お問い合わせはこちら
※外部サイトにリンクします。

PCI DSS v4.0対応脆弱性診断サービス随時対応受付中！

【※オプションサービス】脆弱性診断後対策支援サービス（VulCare）

組織が直面するサイバー脅威やリスクに対して、迅速かつ効果的に対応するための助言型サービスです。最短で1ヶ月～年間の期間にわたってセキュリティの継続的な改善とリスク低減を実現するために、専門家による分析と提案を活用し、常に最新の脅威に対応するためにご活用ください。

<サービス概要>

診断結果をもとに、セキュリティの専門家が具体的な対策方法の助言を行い、最適な改善策を提供します。短期的な緊急対応から、長期的なセキュリティ強化まで、貴社のニーズに応じた柔軟なサポートを展開し、脆弱性から組織を守ります。
お問い合わせはこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

最新情報はこちら

2025年3月10日2025年5月8日

脆弱性診断の基礎と実践！
手動診断とツール診断の違いを徹底解説
第2回：ツール診断のメリットとは？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ツール診断は、短時間で広範囲をスキャンし、コストを抑えながら効率的にセキュリティ対策を実施できる手法です。本記事は「脆弱性診断の基礎と実践」をテーマに全3回のシリーズのうちの第2回として、脆弱性診断の手法の一つであるツール診断のメリットや適しているケースについて解説します。

第1回「手動診断のメリットとは？」はこちら

ツール診断とは？

ツール診断とは、セキュリティベンダーが商用または自社開発した脆弱性診断ツールを使用し、システムやアプリケーションのセキュリティ上の脆弱性を自動的に検出する手法です。自動診断とも呼ばれ、比較的手軽に実施できるため、開発段階での利用や定期的な簡易診断としても活用されています。ただし、機械的な検査であるため、過検知や誤検知が含まれることが多く、その結果は技術者が補正することで正確な情報が得られます。ツール診断は、コストを低減しつつ最新のセキュリティ状態を保つ手段として有効です。

ツール診断の一般的な実施プロセス

ツール診断は、一般的に以下の流れで実施されます。

1.スキャンの対象設定

診断対象のIPアドレス、ドメイン、アプリケーションURLなどを指定

必要に応じて認証情報を設定し、ログイン後の動作も診断

2.脆弱性スキャンの実行

診断ツールが自動で対象システムをスキャンし、脆弱性を検出

既知の攻撃パターン（シグネチャ）を照合し、不正アクセスのリスクを評価

3.診断結果の解析

スキャン結果をもとに、発見された脆弱性の種類や影響範囲を整理

誤検知が含まれていないかチェック（必要に応じて手動で確認）

4.結果レポートによる対策検討

検出された脆弱性のリスクレベルを分類（例：高・中・低）し、結果を出力

修正が必要な項目をリストアップし、対応策を検討

ツール診断のメリット

ツール診断を実施するメリットは、特に以下の3つの点があります。

1.短時間での診断が可能（大量のシステムやWebサイトを効率的にチェック）

ツール診断の最大の強みは、短時間で一括チェックが可能な点です。

手動診断では膨大な時間がかかる大規模システムでも、診断対象を絞ることにより迅速にスキャンが可能。

企業が運営する複数のWebサイトやサーバを一度に診断できる。

2.コストを抑えやすい（手動診断より低コストで運用可能）

ツール診断は自動化によって効率的になり、手動診断より低コストでの運用が可能です。

エンジニアの人的コストを削減
・手動診断は専門のセキュリティエンジニアが時間をかけて実施するため、コストが高くなりがち。
・ツール診断は自動で診断を行うため、人的リソースを節約できる。

継続的な診断でも費用負担が少ない
・手動診断は1回ごとの費用が高く、頻繁に実施するのが難しい。
・ツール診断ならライセンス契約やサブスクリプション型などのツールを利用するため、低コストで定期的に診断することが可能。

導入・運用の負担が少ない
・クラウド型の診断ツールも多く、専用機材の導入不要でスムーズに利用開始ができる。

3.定期的な診断が容易（スケジュールを自動化できる）

セキュリティ対策は一度行えば終わりではなく、継続的な監視と対策が不可欠です。ツール診断を活用すれば、コストを抑えつつ、定期的なスキャンを自動で実施し、最新の脆弱性を常にチェックできます。

スケジュール設定で定期スキャンが可能
・ツールを活用すれば、毎週・毎月・四半期ごとの定期スキャンを自動化できる。
・システムの更新後（パッチ適用後など）の検証にも活用できる。

継続的なセキュリティ監視ができる
・手動診断では頻繁に実施するのが難しいが、ツールなら日常的なセキュリティ監視が可能。
・システム改修のたびに手動診断を依頼するより、ツールを活用して迅速に問題を検出できる。

ツール診断が適しているケース

ツール診断は特に以下のケースで実施が推奨されます。

1.定期的にスキャンしてセキュリティリスクを管理したい企業

ツール診断を導入することで、定期的なスキャンを自動化し、常に最新のセキュリティ状態を維持できます。

システムのアップデート後に迅速なリスクチェックが可能
・OS、アプリケーション、ミドルウェアのアップデート後に、脆弱性が新たに発生していないか即時に確認ができる。
・システム改修や機能追加時の影響を即座に確認できる。

運用中のシステムに影響を与えない
・日常業務に影響を与えず、バックグラウンドで実施できる。

2.コストを抑えながらセキュリティ対策を進めたい場合

セキュリティ診断を実施したいものの、手動診断の高コストがネックとなる組織にとって、ツール診断は費用対効果の高い選択肢です。

人件費が抑えられるため、低コストで運用可能

大規模なシステムでもコストを抑えやすい
特に、中小企業や予算が限られた組織にとって、手軽にセキュリティ対策を実施できる手法となる。

社内での脆弱性診断の内製化が可能
手動診断は外部のセキュリティ専門企業へ依頼するケースが多いが、ツール診断は自社で運用可能なため、外部委託のコストを抑えられる。

3.基本的な脆弱性を素早く把握したい場合

ツール診断なら、開発段階や運用中のシステムに対して、迅速にリスクを把握し、適切な対応が可能になります。

即時スキャンで迅速な脆弱性検出

開発段階での脆弱性検出に活用
・開発中のWebアプリやシステムに対して、リリース前に簡易スキャンを実施できる。
・これにより、本番環境でのリスクを最小限に抑えられる。

ツール診断の限界

ツール診断はコストを抑えて効率的に運用できる点がメリットですが、場合によってツール診断だけでは限界があります。

1.誤検出や見落としの可能性がある

ツール診断は、自動でシステムの脆弱性をチェックする仕組みですが、その診断結果には誤検知（False Positive）や見落とし（False Negative）が含まれる可能性があります。

誤検知（False Positive）
・実際には問題のないコードや設定を「脆弱性あり」と誤って検出するケース。
・例：「このページの入力欄にSQLインジェクションのリスクがある」とツールが指摘するものの、実際には適切なエスケープ処理が施されている場合。

見落とし（False Negative）
・実際には脆弱性が存在するのに「問題なし」と判定してしまうケース。
・例：カスタム開発された認証フローに不備があっても、一般的な攻撃パターンにマッチしないため検出されない。

誤検知や見落としの原因
・ツールの設定ミス：適切なスキャン設定を行わないと、正しい診断結果が得られない。
・検出ロジックの限界：ツールは既知の脆弱性パターンをもとに診断を行うため、未知の脆弱性やゼロデイ攻撃の検出には弱い。
・環境依存の問題：特定のアプリケーションやネットワーク環境では正しく診断できないことがある。

2.システム固有の脆弱性や複雑な攻撃パターンには対応できない

ツール診断は、主に既知の脆弱性をパターンマッチングによって検出するため、システム固有の処理に関わる脆弱性や、複雑な攻撃パターンには対応できません。

システム固有の処理に関連する脆弱性の例
・決済システムの不正操作：カートに入れた商品の価格を改ざんする攻撃。
・アクセス制御の不備：本来は管理者のみアクセス可能な機能を一般ユーザが利用できてしまう。
・認証バイパス：特定のリクエストを送ることで、パスワードなしでログインできてしまう。

複雑な攻撃パターンの例
・API連携を悪用した攻撃：ツール診断ではAPI間の不正な連携による情報漏えいを検出しづらい。
・多段階の攻撃手法（チェーン攻撃）：攻撃者が複数の脆弱性を組み合わせて攻撃する手法は、ツール単独では検出が難しい。

ツール診断は、効率的でコストパフォーマンスに優れたセキュリティ診断の手法ですが、その限界も理解し、必要に応じて手作業による診断と組み合わせることで、より信頼性の高いセキュリティ対策が可能となります。

まとめ

ツール診断は、自動化された脆弱性診断ツールを活用し、短時間で広範囲をスキャンできる効率的なセキュリティ対策です。手動診断と比べてコストを抑えながら、定期的な診断が容易に実施できるため、継続的なセキュリティリスク管理に適しています。また、基本的な脆弱性を素早く把握できるため、初期段階のリスク検出や、手動診断の補助としても活用可能です。しかし、ツール診断には誤検知や見落としといったリスクのほか、ビジネスロジックの脆弱性や複雑な攻撃手法の検出が難しいというデメリットが存在するため、単独では限界があります。そのため、より高度なセキュリティ対策を実現するには、手動診断との組み合わせが重要となります。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

―第1回「手動診断のメリットとは？」はこちら―
―第3回「手動診断とツール診断、どちらを選ぶべきか？最適な診断方法の選び方」はこちら―

2025年3月4日2025年5月8日

情報セキュリティ10大脅威 2025
-「地政学的リスクに起因するサイバー攻撃」とは？-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

国家間の対立が深まる中、サイバー攻撃は政治・外交の手段として活用されるケースが増えています。国家支援型ハッカーグループによる標的型攻撃や、ランサムウェアを用いた攻撃が確認されており、日本もその標的となっています。本記事では、独立行政法人情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2025」の第7位『地政学的リスクに起因するサイバー攻撃』について、国家間の緊張がもたらすサイバー攻撃の実態、日本への影響を解説します。

IPA「情報セキュリティ10大脅威 2025」速報版の記事はこちらです。こちらもあわせてぜひご覧ください。『【速報版】情報セキュリティ10大脅威 2025 -脅威と対策を解説-』
https://www.sqat.jp/kawaraban/34353/

【関連ウェビナー開催情報】
弊社では4月16日（水）14:00より、「知っておきたいIPA『情報セキュリティ10大脅威 2025』～セキュリティ診断による予防的コントロール～」と題したウェビナーを開催予定です。10項目の脅威とその対策例について脆弱性診断による予防的コントロールの観点から講師が解説いたします。ご関心がおありでしたらぜひお申込みください。詳細はこちら。

新設された「地政学的リスクに起因するサイバー攻撃」

「地政学注 1)的リスクに起因するサイバー攻撃」は2025年に初めて選定されたものです。IPAの「情報セキュリティ10大脅威」はその年に注意すべき脅威を「10大脅威選考会」によって選定しており、通常は攻撃手法等に焦点が置かれていますが、この項は政治的・外交的理由や背景という、動機の部分に焦点が置かれたカテゴリとなります注 2)。対象となる脅威グループの中には、サブグループがランサムウェア攻撃を実行したケースも確認されており注 3)、本項とランサムウェア攻撃との関連性も指摘されています。さらに、サイバー攻撃は一方的に行われるものではなく、紛争当事国や関係国間、政治的・外交的要因で緊張関係にある国家間で実施されるため、被害側として名前が挙げられている国が、同時に加害側となっている場合も存在します。

日本を対象にした事例

地政学的リスクに起因するサイバー攻撃の脅威が新設された背景には、日本を標的としたサイバー攻撃が増加していることなどが挙げられます。例えば以下のような事例があります。

MirrorFace（Earth Kasha）による攻撃キャンペーン

概要

MirrorFaceは中国語を使用する APT (Advanced Persistent Threat) グループであり、日本を主なターゲットとしている組織です。多くの情報から、APT10の傘下組織の1つと考えられています*6。
攻撃キャンペーンの主な目的は、安全保障や先端技術に関する情報窃取とされています。

主なキャンペーン

特徴と補足：いずれのキャンペーンでもマルウェアの使用が確認されています。特に、スピアフィッシングキャンペーンではLiving off the land戦術を用いることで、通常の検出を回避する工夫が見られます。また、MirrorFaceはEU向けの攻撃も行っているとの指摘があります*5。

Living off the land 戦術（通称 LOTL）とは
システムに元々存在するネイティブツール（Living off the Land バイナリ、LOLBins）を悪用します。これにより、通常のシステムアクティビティに紛れ込み、検出やブロックが難しくなるとともに、オンプレミス、クラウド、ハイブリッド環境（Windows、Linux、macOSなど）で効果的に運用され、カスタムツールの開発投資を回避できるという利点があります。

関連の情報セキュリティ10大脅威項目

3位：システムの脆弱性をついた攻撃
5位：機密情報などを狙った標的型攻撃

北朝鮮の動向

北朝鮮は、国際連合安全保障理事会決議に基づく制裁措置を回避しながら外貨を獲得するため、さまざまな活動を展開しています。ここでは、人材の採用に関連する2つの事例に注目します。

暗号資産の窃取を目的とした攻撃

概要：昨年、暗号資産関連事業者から約482億円相当の暗号資産が窃取された事件が発生しました。公開されている事件の流れは以下のとおりです。注 4)

暗号資産関連事業者にコールドウォレットソフトウェアを提供する企業（以下A社）の従業員Bに、ビジネス専用SNSから偽のリクルーターが接触。（Bは契約中のクラウドサービス上にあるKubernetesの本番環境にアクセスできる権限を持っていた。）
偽のリクルーターは、採用プロセスの一環として、ソフトウェア開発プラットフォーム上から指定されたPythonスクリプトをBのレポジトリにコピーするよう指示。
コピー後、何らかの方法でBの業務用端末で当該Pythonスクリプトが実行され、本番環境へのアクセス認証情報が窃取される。
不正アクセス時には、正規のトランザクションに不正なデータを追加する細工が施された。

補足：暗号資産全体の窃取額は2022年がピークでしたが、北朝鮮による攻撃は昨年がピークとなっており、攻撃成功率も上昇している*6ため、2025年も引き続き警戒が必要です。

偽IT労働者問題

概要：2024年3月に、財務省、外務省、警察庁、経済産業省が発表。北朝鮮IT労働者に関する企業などに対する注意喚起により、身分を偽った北朝鮮IT労働者が海外企業で業務に従事している事例が存在することが明らかになりました。
米国での事例：司法省が2025年1月23日付で訴追を公表した事例では、以下のような例が確認されています。被害企業が発送した業務用PCを協力者が受け取り、ラップトップファーム注 5)に設置
⇒被害企業のポリシーに反し、リモートデスクトップ接続用ソフトウェアがインストールされた。
北朝鮮の偽IT労働者は、VPN経由で他国からアクセスして業務に従事
⇒一部企業ではマルウェアのインストールを試みた事例も報告されています*7。
日本国内の状況:日本では具体的な事例は報道されていませんが、2025年1月に発表されたアメリカ企業のレポートにより、日本企業でも偽IT労働者が雇用されている事実が明らかになりました。このレポートにある企業はスタートアップ企業が多く、中小企業における採用プロセスや業務委託プロセスでのチェック体制の確立が求められます。

関連の情報セキュリティ10大脅威項目

5位：機密情報などを狙った標的型攻撃
6位：リモートワーク等の環境や仕組みを狙った攻撃

SQAT.jpでは以下の記事でも解説しています。こちらもあわせてぜひご参照ください。
「標的型攻撃とは？事例や見分け方、対策をわかりやすく解説」
「テレワーク環境に求められるセキュリティ強化」

諸外国を対象にした事例

以下、各国・地域における地政学的リスクに起因するサイバー攻撃の事例を紹介します。

台湾

概要：台湾政府は、中国からのサイバー攻撃が2023年の約2倍に増加したと発表*8しています。多くの攻撃は検知・ブロックされるものの、Living off-the-landなどの手法により、検出や防御が回避されるケースが報告されています。また、フィッシングキャンペーン、DDoS攻撃、ランサムウェア攻撃など、幅広い攻撃が展開されています。

関連の情報セキュリティ10大脅威項目：

1位：ランサムウェア攻撃による被害
3位：システムの脆弱性をついた攻撃
5位：機密情報などを狙った標的型攻撃
8位：分散型サービス妨害攻撃（DDoS）

シンガポール

概要:2024年6月、シングテル（シンガポールテレコム）に対して、中国の脅威アクターVolt Typhoonによる攻撃が報じられました（2024年11月の報道*9）。シングテルおよびその親会社、さらにはシンガポール政府からの公式コメントは得られていませんが、アメリカの通信事業者への攻撃テストとして実施された可能性が指摘されています。

関連の情報セキュリティ10大脅威項目：詳細不明のため該当なし

アメリカ

アメリカに対するサイバー攻撃は、政治的・外交的背景に基づく複数の事例が報告されています。特にSalt Typhoon に関連する以下の事例を紹介します。

通信事業者に対する攻撃

発表と対応:
・2024年2月7日、CISA、FBI、NSAにより、Volt Typhoonが重要インフラのIT組織を侵害していることと、その対応策が公開されました*10。
・同年10月25日、CISAとFBIによる共同声明で、通信事業者が攻撃対象となっていることが発表されました*11。
・報道によれば、攻撃者はSalt Typhoonとされています*12。
・2024年12月18日にリリースされたモバイル通信に関するベストプラクティスガイドでは、攻撃は機微情報を狙ったものであったと推測されます*13。
・Volt TyphoonとSalt Typhoonの関係性は、同一の中国の脅威アクターであること以外は不明です。

米財務省に対する攻撃

概要：2024年12月30日、中国の脅威アクターによる侵害行為について、上院へ財務省が通知を行いました*14。VPNを使用しないリモートアクセスツールの脆弱性を悪用した攻撃が、同年12月上旬に発覚し、イエレン長官（当時）など高官が侵害されたとの情報*15もあります。

関連の情報セキュリティ10大脅威項目：

3位：システムの脆弱性を突いた攻撃
5位：機密情報等を狙った標的型攻撃
7位：リモートワーク等の環境や仕組みを狙った攻撃

中国

概要：中国も他国の脅威アクターからの侵害行為が報告されています。報道は少ないものの、ベトナム政府の支援を受けるとされるAPT32（別名 OceanLotus）が、GitHub上のオープンソースセキュリティツールプロジェクトからマルウェアを中国のサイバーセキュリティ研究者にダウンロードさせ、バックドアを形成した事例*16が確認されています。

関連の情報セキュリティ10大脅威項目：

5位：機密情報等を狙った標的型攻撃

北欧・バルト三国

概要：北欧・バルト三国では、各国間をつなぐ通信用・電力用の海底ケーブルが、相次いで船舶によって破壊された事件*17が記憶に新しいでしょう。欧州委員会は12月25日に発生したケーブル破壊に関する共同声明で、ロシアの影響を指摘しています。

関連の情報セキュリティ10大脅威項目：物理破壊によるため該当なし

ポーランド

概要：大統領選挙を控えるポーランドでは、ロシアによる国民の買収に対抗するため、「選挙の傘（Parasol Wyborczy）」と呼ばれる選挙保護プログラムを立ち上げました*18。また、2024年12月には、ルーマニアの大統領選挙の第1回投票が、ロシアによる工作を理由に無効とされ、2025年に再投票が決定しています*19。

関連の情報セキュリティ10大脅威項目：情報セキュリティ10大脅威 2025の「組織」向け脅威では該当なし

イスラエルとその対抗勢力

イスラエルのガザ地区侵攻に伴い、以下のようなサイバー攻撃と思われる事件が発生しています。

イスラエル側の攻撃事例

ヒズボラのメンバーが使用していたポケットベルが、レバノンとシリアで同時に爆発した事件*20
イスラエル政府機関向けに監視ソフトウェアを開発する企業が作成したスパイウェアが、WhatsApp経由でジャーナリストなどをターゲットに展開された事件*21

ただし、イスラエルは国内企業に対してスパイウェアの開発・運営を公認しているなど、サイバー空間における倫理観が日本とは大きく異なるため、注意が必要です。

イスラエルへの攻撃事例

親パレスチナのハクティビストグループなどによる、イスラエル政府や重要インフラに対するDDoS攻撃*22
フェイクニュース、ランサムウェア攻撃、ICSへの攻撃などを含む、イランによる対イスラエル・サイバー攻撃キャンペーン*23

関連の情報セキュリティ10大脅威項目：

1位：ランサムウェア攻撃による被害
5位：機密情報等を狙った標的型攻撃
8位：分散型サービス妨害攻撃（DDoS攻撃）

注：
1)　本項では地政学をCritical geopolitics（批判的地政学）という地理学の一分野のうちの popular geopolitics に相当するものとして取り扱う。Popular geopoliticsについての定義は次のURLなどを参照。
・https://pmc.ncbi.nlm.nih.gov/articles/PMC7315930/
・https://www.e-ir.info/2018/09/16/plotting-the-future-of-popular-geopolitics-an-introduction/
2)　IPA からのプレスリリース（https://digitalpr.jp/r/103159）を参照。
3)　Lazarus GroupのサブグループであるAndarielがランサムウェア「Maui」や「Play」、「Lockbit2.0」を使用した例や、イランのAPTがNoEscape、Ransomhouse、ALPHVなどのランサムウェアアフィリエイトと協業したケース、APT10との関連が疑われるDEV-0401がランサムウェア「Lockbit2.0」を実行したケース、本文にあるイラン政府をスポンサーとする脅威グループがランサムウェア攻撃を行ったケースなどが挙げられる。
・https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-040a
・https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
・https://jsac.jpcert.or.jp/archive/2024/pdf/JSAC2024_2_6_hayato_sasaki_jp.pdf
4)　警察庁の注意喚起、被害企業によるプレスリリースをもとに記載。
・https://www.npa.go.jp/bureau/cyber/pdf/020241224_pa.pdf
・https://www.ginco.co.jp/news/20250128_pressrelease
5)　ラップトップファームは、被害企業が発送したPCをホストする設備を指す。2024年8月8日に訴追されたケースでは、自宅を協力者がラップトップファームとして提供していた。
・https://www.justice.gov/usao-mdtn/pr/department-disrupts-north-korean-remote-it-worker-fraud-schemes-through-charges-and

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年3月12日（水）14:00～15:00
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！-ツール診断と手動診断の比較-」

2025年3月13日（木）11:00～12:00
「脆弱性診断、やりっぱなしになっていませんか？高精度診断と充実サポートでリスクを最小化〜サイバー保険で安心診断から守るまでを徹底解説〜」

2025年3月19日（水）13:00～14:00
「ランサムウェア攻撃の脅威～感染リスクを可視化する防御策の実践を紹介～」

最新情報はこちら

2025年2月25日2025年8月12日

テレワーク環境に求められるセキュリティ強化

Security NEWS TOPに戻る
バックナンバー TOPに戻る

テレワークの普及に伴い、セキュリティ対策の重要性が一層高まっています。特に、在宅勤務やモバイルワークなど、多様な働き方が浸透する中で、情報漏えいや不正アクセスといったリスクへの対応が求められます。本記事では、最新のガイドラインや具体的な対策を踏まえ、テレワーク環境におけるセキュリティ強化のポイントを解説します。

テレワークの現状とセキュリティの重要性

総務省によれば、テレワークは「ICT（情報通信技術）を利用し、時間や場所を有効に活用できる柔軟な働き方」と定義されています。

テレワークを推進する総務省が刊行する「テレワークセキュリティガイドライン（第5版）」では、テレワークの形態を自宅を勤務場所とする「在宅勤務」、出先や移動中に作業する「モバイル勤務」、本社から離れた営業所やシェアオフィスなどを利用する「サテライトオフィス勤務」の3つに分類しています。

これらの働き方は柔軟性を提供する一方で、情報セキュリティの観点から新たな課題も浮上しています。特に、家庭内ネットワークの脆弱性や公共のWi-Fiを利用する際のリスクなど、従来のオフィス環境とは異なる脅威が存在します。

テレワークのセキュリティの基本的考え方

ガイドラインでは、クラウドサービスの活用やゼロトラストセキュリティの概念など、最新のセキュリティ動向を踏まえた対策が示されています。また、中小企業向けには「テレワークセキュリティに関する手引き（チェックリスト）」が提供されており、具体的な対策項目が整理されています。

図：テレワークにおける脅威と脆弱性について

（画像出典：総務省：「テレワークセキュリティガイドライン（第5版）」より一部抜粋）

テレワークにおけるセキュリティ対策の基本方針

テレワーク環境のセキュリティ対策は、「ルール」「人」「技術」の3つの要素のバランスが重要です。総務省のガイドラインでは、以下のポイントが強調されています。

ルールの整備：情報セキュリティポリシーの策定や、テレワーク時のデバイス使用に関する規定を明確にする
人への教育：従業員に対する定期的なセキュリティ教育や訓練を実施し、フィッシング詐欺やマルウェアへの対処方法を周知する
技術的対策：VPNの導入や多要素認証の活用、最新のセキュリティパッチの適用など、技術的な防御策を講じる

テレワーク環境下の人を狙ったサイバー攻撃

総務省ガイドラインが示す「ルール」「人」「技術」の中でも、特に忘れてはならない重要ポイントは人の問題です。令和元年度の情報通信白書においても、「ソーシャルエンジニアリング」が再び攻撃の中心になるという予測を紹介しています。

ソーシャルエンジニアリング対策としては、警視庁が「そのテレワーク、犯罪者が狙ってる！」と題する動画や、短編アニメ「テレワーク勤務時のセキュリティ基本篇」、啓発チラシ「ちょっと待って！そのテレワーク、セキュリティは大丈夫？」などを公開配布しています。

オフィスでみんなが席を並べて仕事していたら、いつもと違うメールが着信しても「こんなメールが届いた」と、隣席の同僚や情報システム部門に気軽に相談することができます。しかしテレワークではそれが簡単ではなくなります。人間心理の隙間を衝くような標的型攻撃メールなどに今まで以上に警戒が必要です。

また、政府のセキュリティ機関である内閣サイバーセキュリティセンター（NISC）は2020年4月、「テレワークを実施する際にセキュリティ上留意すべき点について」と題したテレワークに関する注意喚起を行っています。

NISCの注意喚起では、「政府機関」「重要インフラ事業者」「国民一般」の3つのカテゴリー毎に、セキュリティポリシーやルール整備、ICT環境の準備、安全な接続方法であるVPNやリモートデスクトップなどの技術活用にあたっての留意事項、遠隔会議システムの安全な利活用、機器のアップデートやパスワードの複雑化など、必要なセキュリティ対策がリストアップされています。

さらに、ノートPCの支給が間に合わずに個人端末の使用を許す場合もあり、これまでのような情報システム・IT部門による一括管理は難しくなりました。情報システム部門が個人端末に対してどこまで管理できるかの法的な問題もあります。また、一般社員に向けて、テレワークのセキュリティの留意点を告知したとしても、すべての社員がその内容を理解できているとは限りません。従業員向けの通達の意味が分からない場合、そのまま放置される可能性はどの程度あるでしょうか。それがリスクにつながるのであれば、通達の方法を変更するべきです。全従業員による確実な実施を徹底するため、情報システム部門からの通達内容において、使用されているIT用語は読み手のスキルレベルに対して適切か、耳慣れないと想定される言葉やプロセスは図を使用するなどして誰にでも等しくわかるような説明がなされているか、といった観点の校閲を設けるくらいの心構えが必要です。

テレワーク環境下でのセキュリティ対策

テレワーク環境の安全性を確保するためには、以下のようなポイントでセキュリティ対策を実施することを推奨いたします。

デバイスの管理：業務用デバイスと私用デバイスを明確に区別し、業務データの漏えいを防止する
ネットワークの安全性確保：自宅のWi-Fiには強固なパスワードを設定し、公共のWi-Fi利用は避ける
データの暗号化：重要なデータは暗号化し、万が一の情報漏えいに備える
アクセス権限の管理：必要最小限のアクセス権限を設定し、不正アクセスを防ぐ
定期的なセキュリティ診断：専門機関によるセキュリティ診断やペネトレーションテストを実施し、システムの安全性を確認する

技術的な対策だけでなく、従業員のセキュリティ意識の向上や定期的なルールの見直しを行い、組織全体で継続的にセキュリティ対策を強化していくことが重要です。

セキュリティ診断もリモートで実施可能

情報システム部門が安全のためにできることがもうひとつあります。それは、リモートワーク環境を構成するVPN機器や認証サーバ、クラウド環境の接続拠点といったアクセスの出入り口における設定不備や、不正アクセスの原因となりうるセキュリティ上の欠陥の有無について、ハードやソフト面のセキュリティ診断を行うことです。

Webアプリケーションの脆弱性診断や、脆弱性が悪用された場合のインパクトを事前に調べるペネトレーションテストといったセキュリティ診断の多くは、インターネットを介して行うことができます。新型コロナ感染症対策でテレワークを経験した企業では、今後もテレワークを希望する人が少なくありません。今後もこうした働き方を継続するのであれば、一度は脆弱性の有無を確認し、安全な環境で業務を行えるよう環境を整備することをお勧めします。

まとめ

・新型コロナウイルス感染対策にともない、多くの組織が拙速にテレワークに移行したためセキュリティの課題がある。
・まずは警視庁や内閣サイバーセキュリティセンターの注意喚起を参照。
・総務省の出している詳しいガイドラインに沿って「ルール」「人」「技術」を見直そう。
・VPN機器やクラウド環境などテレワーク環境全体のセキュリティ診断を受けよう。

【関連情報】

●＜インタビュー＞上野宣氏／ ScanNetSecurity 編集長

●＜コラム＞「ゼロトラストアーキテクチャ」とは？

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年3月5日（水）13:00～14:00
「ランサムウェア対策の要！ペネトレーションテストとは？-ペネトレーションテストの効果、脆弱性診断との違い-」

2025年3月12日（水）14:00～15:00
「サイバー攻撃に備えるために定期的な脆弱性診断の実施を！-ツール診断と手動診断の比較-」

最新情報はこちら

はじめに

脆弱性の概要とその影響

悪用事例と新たなマルウェアの動向

技術的な攻撃手法の解説

脅威アクターとその背景

推奨対策と今後の対応

まとめ

ウェビナー開催のお知らせ

事件概要

事件の背景と脅威

ランサムウェア対策の例

まとめ

ウェビナー開催のお知らせ

はじめに

生成AI、エージェントAI、大規模言語モデル（LLM）、基盤モデル

生成AIとは

エージェントAI（Agentic AI・AIエージェント）とは

LLM（大規模言語モデル）とは

基盤モデルとは

機密情報、個人情報とAI

DeepSeekショック

AIにおける「ジェイルブレイク」とは

ジェイルブレイクとガードレール(緩和策)

はじめに

脆弱性の詳細

CVE-2025-24813の概要

推奨対策

緊急対応窓口のご案内

まとめ

ウェビナー開催のお知らせ

はじめに

CVE-2025-22224

概要

攻撃ベクトル

リスク

対策

参考情報

CVE-2025-22225

概要

攻撃ベクトル

リスク

CVSSスコア

対策

参考情報

CVE-2025-22226

概要

攻撃ベクトル

リスク

CVSSスコア

対策

参考情報

脆弱性への対策

最新のセキュリティパッチの適用

管理者アクセスの制御

定期的な脆弱性管理プログラムの実施

情報共有と最新動向の把握

影響を受ける製品

まとめ

ウェビナー開催のお知らせ

手動診断とツール診断の違い

検出可能な脆弱性の範囲

診断の精度

コストと時間の違い

診断方法を選ぶ際のポイント

組織の規模やセキュリティ方針に合わせた選択

どのような診断が必要か

手動診断とツール診断の組み合わせ

両者を組み合わせることで得られるメリット

効果的なセキュリティ診断戦略の構築

適切な脆弱性診断サービスの選び方

診断会社を選ぶ際のポイント

費用対効果を考慮した最適な診断プランの検討

まとめ：企業にとって最適な診断方法を選択する

BBSecでは

はじめに

クレジットカード決済の現状とセキュリティリスク

利用環境の変化とリスクの多様化

ガイドラインの役割

脆弱性診断の視点から見るセキュリティ対策の現状

脆弱性診断の目的