ITmedia Security注目
ChatGPTに「ロックダウンモード」 プロンプトインジェクションによる情報漏えい対策
OpenAIがChatGPTに「ロックダウンモード」を追加した。これはプロンプトインジェクション攻撃(悪意ある指示を埋め込みAIを誤動作させる手法)によるデータ流出を防ぐ機能で、有効化するとWebブラウジングや外部サービス連携が制限される。機密情報をChatGPTで扱う企業は利用を検討すべき設定オプションとなる。
💡 担当者社内でChatGPTを業務利用している場合、ロックダウンモードの有効化を検討し、特に機密データを扱うユーザーへの適用ポリシーを設定・周知してください。
Security NEXT重要
送信メールの添付ファイル保管サーバが侵害 - 石川のSIer
石川コンピュータ・センター(ICC)が、送信メールの添付ファイルを保存するサーバへのサイバー攻撃を受けたことを公表した。添付ファイルの内容が第三者に閲覧された可能性があり、取引先情報の漏洩も懸念される。同社と取引のある企業は連絡を待ちつつ、送受信メールの内容確認を検討すること。
💡 担当者ICCと取引がある場合は公式発表を確認し、添付ファイルで送付した機密情報の内容を特定・記録しておいてください。
Security NEXT注目
サーバに不正アクセス、侵害経路や影響を調査 - ソディック
工作機械メーカーのソディックが不正アクセスによるサーバ侵害を公表し、侵害経路や影響範囲を調査中とのこと。詳細はまだ不明だが、製造業を狙ったサイバー攻撃の一例として注意が必要。同社との取引がある場合は情報共有の状況を確認すること。
💡 担当者ソディックとの取引がある場合は公式発表を注視し、共有している情報の種類を確認・記録しておいてください。
Security NEXT注目
役場でPC盗難、盗難防止ワイヤーが切断 - 大郷町
宮城県大郷町の役場でPCや周辺機器が盗難され、端末内の個人情報が漏洩した可能性がある。盗難防止ワイヤーが切断されており、物理的セキュリティ対策の限界が露呈した。PC内のデータ暗号化やBIOSパスワード設定など、端末紛失・盗難時の情報保護対策を見直すべき。
💡 担当者業務用PCのストレージ暗号化(BitLockerなど)が有効になっているか確認し、未対応の端末は早急に設定を適用してください。
ITmedia Security情報
moomoo証券、監視委が処分勧告 NISA対象外を「対象」と虚偽説明 顧客対応も「著しく杜撰」
証券取引等監視委員会がmoomoo証券に行政処分勧告を行い、NISA対象外商品の虚偽説明や顧客対応の著しい杜撰さが問題とされた。金融商品を扱う企業においてコンプライアンス体制の重要性が改めて示された。投資サービスを利用する際は公式情報を確認し、担当者の説明に疑問があれば書面での確認を求めること。
💡 経営者金融商品を販売・推奨する業務がある場合、商品説明の正確性と記録保持の体制を法務・コンプライアンス担当と確認してください。
ITmedia Security重要
家庭用PCでも数秒でサーバを“落とせる”、HTTP/2の脆弱性をCodexが発見 さくらインターネットも対策
家庭用PCからでも少量の通信でWebサーバを停止させられるHTTP/2の脆弱性「HTTP/2 Bomb」が公表され、さくらインターネットも対策を実施した。DoS攻撃(サービス妨害)ツールとして悪用されるリスクがあり、HTTP/2を有効にしているWebサーバが影響を受ける。自社WebサーバのHTTP/2設定とソフトウェアバージョンを確認し、パッチ適用を検討すること。
💡 担当者自社のWebサーバ(Apache・Nginx等)でHTTP/2を有効にしている場合は、最新バージョンへのアップデートまたはHTTP/2の一時無効化を検討してください。
Security NEXT注目
脆弱性「Dirty Frag」が製品に与える影響を調査 - Fortinet
Linuxカーネルの権限昇格脆弱性「Dirty Frag」がFortinetの製品にも影響する可能性があり、同社が調査を進めている。権限昇格(一般ユーザーが管理者権限を取得する攻撃)は内部不正やマルウェアと組み合わせると深刻な被害につながる。Fortinetの製品を使用している場合はベンダーの発表を注視し、パッチリリース後は速やかに適用を。
💡 担当者Fortinet製品(FortiGate等)を使用している場合は公式セキュリティアドバイザリを定期確認し、Dirty Frag関連のパッチがリリースされたら優先的に適用してください。
ITmedia Security注目
カード番号総当たり「クレジットマスター攻撃」に注意、利用履歴の確認を Kyash
クレジットカード番号を総当たりで生成・悪用する「クレジットマスター攻撃」についてKyashが注意喚起を行った。身に覚えのない少額決済から被害が始まるケースが多く、早期発見が重要。Kyashを含む電子決済サービスの利用明細を定期的に確認することが推奨されている。
💡 全員Kyashや他のキャッシュレス決済サービスのアプリで利用履歴を週1回以上確認し、身に覚えのない請求があれば即座にカード・アカウントを停止してください。
Security NEXT重要
「Cisco Catalyst SD-WAN Manager」にゼロデイ脆弱性 - 悪用も確認
Cisco Catalyst SD-WAN Manager(旧SD-WAN vManage)に新たなゼロデイ脆弱性が発見され、実際の攻撃への悪用が確認されている。修正パッチはまだリリースされておらず、今後のアップデートで対応予定とのこと。同製品利用者は公式情報を注視しつつ、暫定対策を直ちに実施すること。
💡 担当者Cisco Catalyst SD-WAN Managerを使用している場合は、CiscoのセキュリティアドバイザリページでWorkaroundを確認し、管理画面へのアクセスを信頼済みIPのみに制限してください。
ITmedia Security情報
「FILCO」のダイヤテックは「忸怩たる破産」だった TSR「背景に為替デリバティブの失敗と需要減」
キーボードブランド「FILCO」で知られるダイヤテックが破産したことが報じられており、為替デリバティブの失敗と需要減が背景にあるとされている。セキュリティ上の直接の脅威はないが、ハードウェアサポート終了に伴う製品の保守・交換計画の見直しが必要になる可能性がある。
💡 経営者FILCOキーボードを多数導入している場合は、今後のサポート・修理対応の可否を確認し、必要に応じて代替製品への移行計画を立案してください。
Security NEXT重要
「Progress Kemp LoadMaster」にRCE脆弱性 - WAF回避のおそれも
アプリケーション配信製品「Progress Kemp LoadMaster」に深刻なRCE(遠隔コード実行)脆弱性が発見され、WAF(Webアプリケーションファイアウォール)の回避も可能とされている。ロードバランサー製品の侵害はネットワーク全体への影響が大きく、早急な対応が必要。同製品を利用している場合はベンダーのパッチ情報を即確認すること。
💡 担当者Progress Kemp LoadMasterを使用している場合は、公式サイトのセキュリティアドバイザリを確認し、最新パッチを直ちに適用してください。
Security NEXT注目
クラウド侵害で個人情報流出か、未発売のゲームデータも - ビジュアルアーツ
ゲームメーカーのビジュアルアーツがクラウド環境への不正アクセスにより、個人情報と未発売ゲームのマスターデータが流出した可能性を公表した。クラウド経由の情報漏洩であり、アクセス制御の不備が原因として疑われる。同社サービス利用者は公式発表を確認し、登録情報の変更を検討すること。
💡 担当者ビジュアルアーツのサービスを利用している場合はパスワードを変更し、自社クラウド環境でも同様のアクセス制御設定(IAMポリシー等)を点検してください。
Security NEXT重要
「Chrome」最新版で脆弱性429件を修正 - クリティカルは22件
GoogleがChrome 149をリリースし、クリティカル22件を含む429件の脆弱性を修正した。ブラウザの脆弱性は業務端末での攻撃に直接利用されるため、早急なアップデートが必要。社内端末のChrome自動更新が有効になっているか確認すること。
💡 担当者社内のすべてのChrome端末でバージョンが149以上になっているか確認し、自動更新が無効になっている端末は手動で更新してください(アドレスバーに「chrome://settings/help」と入力して確認可能)。
Security NEXT注目
「OpenStack Mistral」に脆弱性 - API認証ユーザーがコード実行可能
OpenStackのワークフロー管理コンポーネント「Mistral」に脆弱性が発見され、API認証済みユーザーが任意のコードを実行できる状態になっていることが判明した。クラウド基盤に直接影響する脆弱性であり、OpenStackを利用している組織は対応が必要。最新バージョンへのアップデートと認証ポリシーの見直しを実施すること。
💡 担当者OpenStack環境を運用している場合は、MistralコンポーネントのバージョンをOpenStackの公式セキュリティアドバイザリと照合し、パッチを適用してください。
ITmedia Security注目
量子コンピュータが暗号を破る「Q-Day」迫る Googleは2029年を期限に対応、セキュリティ各社も警告
量子コンピュータが現在の暗号技術を破る「Q-Day」がGoogleの試算では2029年より早く到来する可能性があるとされ、業界や政府への対応促進が進んでいる。現在使われているRSAや楕円曲線暗号が将来的に無効化されるリスクがあり、耐量子暗号への移行計画が急務となっている。長期的な暗号化戦略の見直しを経営レベルで検討すべきタイミング。
💡 経営者現在利用している暗号化方式(VPN・電子証明書等)がポスト量子暗号への移行計画に含まれているかを確認し、NISTの耐量子暗号標準化動向を注視してください。
ITmedia Security情報
「無駄な事務作業」はなぜ増え続けるのか? “善意”からタスクが生まれるメカニズム、米MITが論文発表
MITの研究がPNASに発表され、組織内の無駄な事務作業が「善意」から生まれるメカニズムを解明した。セキュリティとは直接関係しないが、過剰な承認プロセスがセキュリティ対応の遅延につながる観点で参考になる。組織の意思決定プロセスの効率化を検討する際の参考情報として活用できる。
💡 経営者セキュリティインシデント対応フローに不必要な承認ステップが含まれていないか見直し、迅速に対処できる権限委譲の仕組みを整備してください。
Security NEXT重要
ランサム攻撃で情報流出、詳細は調査中 - 中央紙器工業
段ボールメーカーの中央紙器工業がランサムウェア攻撃を受け、一部情報が外部に流出したことを公表した。詳細は現在調査中とのことだ。取引先企業も二次被害に備えた警戒が必要だ。
💡 経営者取引先として中央紙器工業と情報共有を行っている場合は、自社システムへの不審なアクセスがないかログを確認し、EDRやバックアップの状況を点検してください。
Security NEXT重要
ECサイトの複数ページで改ざん被害、外部サイトへ誘導 - 健康器具販売サイト
コラントッテのECサイトで複数ページが改ざんされ、利用者が外部カジノサイトへ誘導される被害が発生した。polyfill.io経由のサプライチェーン攻撃が原因とみられている。サイト訪問者は不審なリダイレクトに注意が必要だ。
💡 担当者自社ECサイトでpolyfill.ioや外部JavaScriptを読み込んでいる場合は即時削除または公式代替CDNへ切り替え、サイトのHTMLソースに不審なスクリプトがないか確認してください。
Security NEXT情報
個人情報含む教員マニュアルを一時紛失、空港トイレで - 大阪府
大阪府の高校教諭が生徒の個人情報を含む宿泊研修の教員マニュアルを一時紛失したが、その後発見・回収された。個人情報を含む書類の持ち出しルールの徹底が求められる事案だ。
💡 全員個人情報を含む書類の持ち出しルールを社内規程で明確化し、持ち出し時は台帳記録と紛失時の報告手順を全員に周知してください。
ITmedia Security重要
患者1365人分の個人情報漏えいか 看護師が私物PCに情報保存→サポート詐欺被害に 藤田医科大学病院
藤田医科大学病院の看護師が院内規程に反して患者情報を個人PCに保存し、サポート詐欺被害により患者1365人分の個人情報が外部に漏えいした可能性がある。私物デバイスへの業務情報保存が情報漏えいリスクになることが改めて示された。
💡 全員業務データを私物PCや個人デバイスに保存することを禁止するルールを全従業員に再周知し、違反者への対応フローを含むルールの徹底を図ってください。
ITmedia Security重要
東芝や無印良品など、複数の企業で「不審なログイン画面」 各社が注意呼びかけ 「polyfill io」経由か
無印良品・象印・ボートレースなど複数の企業・団体のサイトで、polyfill.io経由とみられる不審な認証画面が表示される被害が確認された。各社は情報漏えいを否定しているが、当該画面に入力したユーザーへのパスワード変更を呼びかけている。自社サイトでpolyfill.ioを利用しているか確認が必要だ。
💡 担当者自社WebサイトのHTMLソースやCDN設定にpolyfill.ioへの参照が含まれていないか即時確認し、含まれている場合はcdnjs等の代替サービスへ切り替えてください。
Security NEXT情報
許可のもと持ち帰った全校児童名簿が所在不明に - 東かがわ市
香川県東かがわ市の小学校で児童の個人情報を含む名簿が所在不明となった。許可を得て持ち帰った書類の管理が不十分だったことが原因とみられる。
💡 全員個人情報を含む書類の持ち出し・保管ルールを改めて確認し、持ち出し記録簿の運用と定期棚卸しを実施してください。
ITmedia Security重要
Key新作「anemoi」マスターデータ流出、個人情報も漏えいか ビジュアルアーツに不正アクセス 取引先のマイナンバーも
ゲームブランド「Key」の新作「anemoi」のマスターデータが発売前に流出し、ビジュアルアーツへの不正アクセスによって個人情報と取引先のマイナンバーも漏えいした可能性が明らかになった。マイナンバーを含む機密情報の管理強化が求められる。
💡 経営者取引先のマイナンバーや機密情報を保管するシステムのアクセスログを確認し、不審なアクセスがないか調査するとともに、アクセス権限の最小化を見直してください。
Security NEXT情報
「Chrome 149」がリリース - セキュリティ情報は近日公開
GoogleがChrome 149をリリースした。セキュリティ修正の詳細は近日公開予定とのことで、内容確認後に対応の必要性を判断することが求められる。
💡 担当者Chrome 149のセキュリティ情報が公開され次第内容を確認し、組織内ブラウザのアップデートポリシーに従って速やかに更新を展開してください。
ITmedia Security情報
日本政府、AI「Mythos」アクセス権を取得 サイバー防衛強化に活用
日本政府がAnthropicのAI「Mythos」のアクセス権を取得し、サイバー防衛強化に活用する方針とのことだ。三菱UFJ・三井住友・みずほ銀行もアクセス権を得たとみられている。国内の大手組織でAI活用によるサイバー防衛強化が進んでいる。
💡 経営者国内でのAI活用によるサイバー防衛動向を注視し、自組織のセキュリティロードマップへのAI導入検討を議題として取り上げてください。
Security NEXT重要
「MLflow」にアクセスキーなど機密情報が流出する深刻な脆弱性
機械学習ライフサイクル管理ツール「MLflow」に深刻な脆弱性が発見され、アクセスキーや暗号化キーなどの機密情報が外部に流出する恐れがある。MLflowを利用している開発・データサイエンス環境は早急な対応が必要だ。
💡 担当者社内でMLflowを使用している場合は、最新バージョンへのアップデートを行い、環境変数に保存されているアクセスキー・暗号化キーをローテーションしてください。
Security NEXT重要
米当局、脆弱性3件を悪用カタログに追加 - 早期対応求める
米CISAがLinuxカーネルを含む3件の脆弱性を既知の悪用脆弱性カタログ(KEV)に追加し、早期対応を求めた。すでに実際の攻撃に悪用されていることが確認されているため、対象システムの確認が急務だ。
💡 担当者CISA KEVカタログで追加された3件の脆弱性を確認し、Linuxカーネルを使用するサーバーやシステムにパッチが適用されているか、優先的に点検・更新してください。
Security NEXT重要
「Cisco Unified CM」にクリティカル脆弱性 - 実証コードが公開済み
Cisco Unified Communications Managerにクリティカルな脆弱性が発見され、概念実証コード(PoC)が既に公開されている。攻撃者が認証なしでroot権限を取得できる可能性があるため、即時パッチ適用が必要だ。
💡 担当者Cisco Unified Communications Managerを使用している場合は、Ciscoが提供する最新アップデートを直ちに適用し、適用完了まで外部からのアクセスを制限してください。
Security NEXT重要
宿泊予約サービスの口座情報が改ざん、不正送金被害 - ポラリスHD
ポラリス・ホールディングスが利用する宿泊予約サービスのアカウントが不正アクセスを受け、口座情報の改ざんと不正送金被害が発生した。フィッシングメッセージも送信されており、顧客への二次被害の可能性がある。同種サービスを利用する企業はアカウント管理の見直しが急務。
💡 担当者宿泊予約や業務委託サービスのアカウントに多要素認証(MFA)を設定し、登録口座情報に不審な変更がないか至急確認してください。
ITmedia Security注目
阿波銀行の情報漏えい、被害のテスト環境は「本来廃止すべきだった」 システム高度化作業でも利用
阿波銀行で発生した顧客情報漏えいの原因が、本来廃止すべきだったテスト環境を転用し続けていたことと判明した。管理態勢の不備が認められ、頭取を含む役員が処分を受けた。不要なシステム環境の放置がセキュリティリスクを高めるという教訓として重要。
💡 経営者社内の不要なテスト環境・開発環境が残存していないか棚卸しを実施し、廃止すべきシステムは速やかに削除・ネットワーク遮断するよう担当者に指示してください。
Security NEXT注目
企業向け一斉送信メールに名簿ファイルを誤添付 - 沖縄県
沖縄県が企業向け案内メールを一斉送信した際、名簿ファイルを誤添付して個人情報が流出した。行政機関でも発生するメール誤送信事故は、民間企業でも頻発するリスクがある。一斉送信メールの運用ルール見直しが求められる。
💡 全員一斉送信メールを送る際は送信前に添付ファイルの内容を複数人で確認するルールを設け、個人情報を含むファイルの取り扱い手順を社内で再周知してください。
ITmedia Security注目
Androidに「なりすまし電話」検知機能 AIディープフェイク詐欺の急増に対応──Pixelから順次提供
GoogleがAIを使った「なりすまし詐欺電話」をリアルタイムで検知するAndroid新機能「fake call detection」を発表し、Pixelから順次提供開始。AIディープフェイクを使った電話詐欺の急増に対応する機能で、利用者の詐欺被害防止に役立つ。従業員へのAndroid更新推奨と詐欺電話の注意喚起が有効。
💡 全員社員に対しAndroidデバイスを最新バージョンに更新するよう促し、AIによるなりすまし詐欺電話の手口について注意喚起メールを配信してください。
Security NEXT重要
中学校でサポート詐欺被害、1000万円が不正送金 - 牧之原市
静岡県牧之原市の中学校でサポート詐欺被害が発生し、学校の金融機関口座から約1000万円が外部口座に不正送金された。サポート詐欺とは、偽のウイルス警告画面でサポートセンターへの連絡を促し、遠隔操作や送金を誘導する手口。学校・教育機関や中小企業でも十分起こりうるリスクである。
💡 全員「Windowsのサポートに電話してください」等の警告画面が出た場合は絶対に電話せずPCを再起動するよう全社員に周知し、金融機関への送金操作は上長確認を必須とするルールを設けてください。
ITmedia Security重要
CAMPFIRE「従業員がGitHub認証情報を個人開発サーバに誤アップロード」 不正アクセスの原因公表
クラウドファンディングサービスCAMPFIREで、従業員がGitHub認証情報を個人開発サーバに誤ってアップロードし、第三者に悪用されて不正アクセスが発生した。認証情報の管理ミスによる情報漏えいは中小企業でも起こりやすいリスク。認証情報の適切な管理と漏えい時の即時失効対応が求められる。
💡 担当者GitHubのトークンやAPIキーをソースコードやサーバに直接記載・アップロードしないよう開発者に徹底し、GitHubの「Secret scanning」アラートを有効化して漏えい検知体制を整備してください。
Security NEXT注目
「Zoho Mail for WordPress」にCSRF脆弱性 - 設定改ざんのおそれ
WordPressプラグイン「Zoho Mail for WordPress」にCSRF(クロスサイトリクエストフォージェリ)脆弱性が発見され、プラグインの設定を改ざんされる恐れがある。WordPressサイトを運営する企業はプラグインを最新バージョンにアップデートする必要がある。
💡 担当者WordPressの管理画面で「Zoho Mail for WordPress」プラグインを最新バージョンに更新し、その他のプラグインも合わせて定期的なアップデートを実施してください。
ITmedia Security情報
サイバーセキュリティクラウドで働くみんなのデスク環境 上場セキュリティ企業を支える机をチェック
セキュリティ企業「サイバーセキュリティクラウド」の社員デスク環境を紹介する企業PR的な記事。セキュリティ情報として直接的な実務的価値は低い。業界の働き方や企業文化の参考情報として位置づけられる。
💡 全員特段の対応は不要ですが、セキュリティ業界の動向把握として参考にしてください。
Security NEXT重要
「Android」に月例セキュリティ更新、脆弱性122件を修正 - 悪用の兆候も
Googleが2026年6月のAndroid月例セキュリティアップデートを公開し、122件の脆弱性を修正した。一部の脆弱性はすでに悪用されており、早急なアップデートが求められる。社内で使用するAndroidデバイス(スマートフォン・タブレット)の全台への適用が必要。
💡 担当者社内で利用している全AndroidデバイスでOSの設定から「システムアップデート」を確認し、2026年6月のセキュリティパッチが適用済みかを速やかにチェックしてください。
ITmedia Security注目
ネット青少年保護、年齢確認を厳格化 一律年齢制限には踏み込まず 総務省有識者案
総務省の有識者会議が、インターネット上の青少年保護のためSNS等の事業者に年齢確認の厳格化を求める報告書案を公表した。生成AIを悪用した加害ケースへの対策も含まれるが、一律の年齢制限は見送られた。法規制の動向として経営者・担当者が把握しておくべき情報。
💡 経営者自社が子ども向けサービスやSNS関連サービスを提供している場合、総務省の報告書案の内容を確認し、年齢確認機能の対応要否を法務・コンプライアンス部門と検討してください。
ITmedia Security注目
トランプ米大統領、AI安全保障に関する大統領令に署名 最先端モデルを公開30日前に政府が検査可能に
トランプ米大統領がAI安全保障に関する大統領令に署名し、政府による先進AIモデルの事前検証(任意)の枠組みが構築されることになった。CISAによるサイバー防衛強化も含まれており、米国AIガバナンスの方向性を示す重要な政策動向。日本企業にも間接的な影響が生じる可能性がある。
💡 経営者米国のAI規制動向が自社のAI活用方針や取引先への影響を及ぼす可能性があるため、法務・IT部門と連携して自社のAIガバナンス方針を確認・整備してください。
Security NEXT注目
「Firefox」が複数の脆弱性を修正 - iOS版のアップデートも
MozillaがFirefoxおよびFirefox for iOSのセキュリティアップデートをリリースし、複数の脆弱性を修正した。ブラウザの脆弱性は攻撃の入り口になりやすいため、社内でFirefoxを使用している場合は速やかに更新が必要。
💡 担当者社内でFirefoxを使用しているPCおよびiOSデバイスを最新バージョンに更新するよう利用者に周知し、自動更新が有効になっているか確認してください。
ITmedia Security情報
Microsoft、NVIDIAのSoC搭載でAI特化のミニPC「Surface RTX Spark Dev Box」披露
MicrosoftがAI特化型ミニPC「Surface RTX Spark Dev Box」を発表した。セキュリティ上の直接的な脅威ではなく、AI開発環境の新製品情報である。
💡 経営者AI開発を内製化する計画がある場合、本製品の仕様を参考に導入検討の情報として収集してください。
