脆弱性 #908 ブラザーおよびその OEM ベンダーが提供する複数製品、初期設定における管理者パスワードがシリアル番号から容易に導出可能
今回の話題はネットワーク対応機器の初期設定に関する脆弱性です。製品のシリアル番号から管理者の初期パスワードが推測できる問題が報告されました。リスナーの皆さんには脆弱性の危険性と具体的な確認方法、すぐに取るべき対策を分かりやすく伝えます。業務...
2025-09
脆弱性 
インシデント #907 今後営業部門への出向は行わない ~ 日本生命からの出向者が不適切に情報取得
今回は、出向者による不適切な情報取得に関する事案を取り上げます。出向という業務慣行がどのようにリスクになるのか、なぜ長期間にわたり見過ごされたのか、組織としてどのように初動対応し再発防止に取り組むべきかを分かりやすく解説します。リスナーの皆...
脆弱性 #906 Century HW RAID Manager に引用符で囲まれていないファイルパスの脆弱性
最近発表されたCentury HW RAID Managerの脆弱性は、システムのローカル権限や運用手順に直接関係する重要な問題です。本日はこの脆弱性がどのように悪用され得るか、実際の影響範囲、現時点でとるべき対策と確認方法を丁寧に解説しま...
インシデント #905 MFAを回避、新たなフィッシング アズ ア サービス「VoidProxy」をOktaが分析
今回はOktaが公開したVoidProxyに関する分析を取り上げます。リスナーの皆さんにはVoidProxyがどのように多要素認証を回避してアカウントの乗っ取りにつながるかを分かりやすく解説し、現場で優先的に取るべき防御策と確認手順を具体的...
業界動向 #904 エージェント型 AI が新たな攻撃対象領域に ~ CrowdStrike「2025年版脅威ハンティングレポート」
今回の話題はCrowdStrikeが発表した「2025年版脅威ハンティングレポート」です。エージェント型AIが新たな攻撃対象となり、生成AIが攻撃の自動化やマルウェア生成に使われる実態が明らかになりました。本回では攻撃の実例と過去の傾向、今...
インシデント #903 窃取された個人情報がダークウェブで閲覧可能となっていることを確認 ~ ニッケのシステムに管理権限 ID による不審なログイン
今回は不正アクセスによる個人情報漏えいが確認されたインシデントについて取り上げます。被害の範囲や検出までの経緯、初動対応と今後の再発防止策に焦点を当て、実務で役立つ具体的な対策や情報公開の考え方まで分かりやすく解説します。リスナーの皆さんは...
インシデント #902 個人情報の売却や公開を示唆する投稿も ~ 元職員がチケット販売システムの会員情報を持ち出し
今回は、チケット販売システムの会員情報が元職員によって持ち出され、一部が外部に流出したという重大なインシデントを取り上げます。被害範囲や流出経路、組織が取るべき初動対応と再発防止策を具体的に解説しますので、システム管理や内部統制を担当するリ...
業界動向 #901 GitHub Desktop を模したマルウェアダウンロードの誘導に GMOイエラエが注意呼びかけ
今回は、GitHub Desktop を装ったダウンロード誘導に関する注意喚起を取り上げます。開発者向けツールの配布経路を悪用した手口で、見た目は公式リンクでも中身が改ざんされている可能性があります。リスナーの皆さんは攻撃の仕組み、見分け方...
インシデント #900 国立研究開発法人でメール BCC 運用
今回は「災害廃棄物情報プラットフォーム」をめぐるメール誤送信の報道を取り上げます。リスナーの皆さんには、どのようなミスが起きたのか、被害の範囲や初動対応で何が重要か、そして現場で実行できる再発防止策までを具体的に理解していただけるよう解説し...
業界動向 #899 正当な理由ない限り脆弱性関連情報を第三者に開示せず ~「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応を呼びかけ
今回は「情報セキュリティ早期警戒パートナーシップガイドライン」に関する最新の呼びかけを取り上げます。発見された脆弱性情報の取り扱いを巡る国の方針変更とそれに伴う企業や報道機関の対応指針が示されました。本編を聞くことで、脆弱性情報の報告先や公...