Security– category –
-
【Cisco ISE】RCE・パストラバーサル脆弱性(CVE-2026-20147 / 20148)の概要と対応手順
はじめに 2026 年 4 月 15 日、Cisco は Cisco Identity Services Engine(ISE)に関する 2 件のセキュリティアドバイザリを公開しました。いずれも認証済みのリモート攻撃者がコマンドを実行したり、機密ファイルにアクセスしたりできる可能性があるもの... -
【Fortinet】FortiSandbox のクリティカル脆弱性(CVSS 9.8)と対策手順
はじめに 2026 年 4 月 14 日(現地時間)、Fortinet 社はサンドボックス型マルウェア対策製品「FortiSandbox」に関するセキュリティアドバイザリを 6 件公開しました。このうち 2 件は CVSSv3.1 ベーススコア 9.8(Critical)と評価されており、いずれも... -
【セキュリティ】2026年開始の経済産業省「SCS 評価制度」に備えるインフラ設計と実装ガイド
はじめに 2026 年 3 月、経済産業省および内閣官房国家サイバー統括室より「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS 評価制度)」の構築方針が公表されました。本制度は、取引先を含めたサプライチェーン全体のセキュリティ対策状況を... -
【DevSecOps】npm や PyPI 等を狙うサプライチェーン攻撃の脅威と Trivy を用いた CI/CD 防衛策
はじめに 近年、オープンソースのパッケージリポジトリを狙ったサプライチェーン攻撃が激化しています。今回のニュースでは、北朝鮮を背景とするハッカー集団がnpmやPyPI、Go、Rustなどのエコシステムを通じて、 1,700 以上の悪意あるパッケージを拡散させ... -
【FortiClient】EMS 脆弱性(CVE-2026-35616)の脅威と推奨されるパッチ適用手順
はじめに エンタープライズ環境のエンドポイント管理に広く利用されている Fortinet の FortiClient EMS において、CVSS スコア 9.1 を記録する重大な脆弱性(CVE-2026-35616)が公開されました。 この脆弱性はすでに野外(In-the-wild)でのエクスプロイ... -
【Linux】Cookie 制御型 PHP Web Shell の脅威と Azure・FortiGate での防御策
はじめに 近年、Linux ホスティング環境において、HTTP Cookie を悪用して PHP ベースの Web Shell を制御する高度なステルス手法が増加しています。 従来の攻撃のように URL パラメータやリクエストボディに悪意のあるコマンドを含めるのではなく、特定の... -
【DevSecOps】Trivy 関連サプライチェーン攻撃 | Axios 侵害と RAT 隠蔽の脅威
はじめに 2026 年 3 月に発生したコンテナスキャナ Trivy の侵害は、単一のツールへの攻撃に留まらず、広範なエコシステムを揺るがす二次、三次被害へと発展しています。 今回、世界で週に 8,300 万回以上ダウンロードされる主要な HTTP クライアントライ... -
【Cisco】IMC および SSM 脆弱性(CVSS 9.8)の影響確認と対応戦略
はじめに エンタープライズネットワークやデータセンターの基盤を支える Cisco(シスコ)製品において、CVSS スコア 9.8 を記録する極めて深刻な脆弱性が複数公開されました。 標的となっているのは、サーバーのハードウェアレベルでの統合管理を担う Cisc... -
【Citrix】NetScaler 脆弱性(CVE-2026-3055)の脅威と実践的対策
はじめに エンタープライズ環境で広く利用されている Citrix NetScaler ADC および NetScaler Gateway において、CVSS スコア 9.3 を記録する極めて深刻な脆弱性(CVE-2026-3055)が公開されました。 すでに攻撃者による探索活動(Reconnaissance)が観測... -
【DevSecOps】Trivy 関連サプライチェーン攻撃 | Telnyx 侵害と WAV 隠蔽の脅威
はじめに 2026 年 3 月に発覚した Trivy 開発環境の侵害に端を発する大規模なサプライチェーン攻撃は、NPM エコシステムや Python パッケージへと連鎖的に被害を拡大させています。 今回、脅威アクターである TeamPCP は、新たに Python の Telnyx パッケ...
