新着情報 | サービス&セキュリティ株式会社

ニュース News

ホーム
ニュース

ニュース一覧

2025.11.27 セキュリティ新着情報
AIの攻撃手法であるプロンプトインジェクションについて

近年、人工知能（AI）の進化は目覚ましく、特にNLP(自然言語処理：NaturalLanguageProcessing）を担うLLM(大規模言語モデル：LargeLanguageModels）の登場により、私たちの生活やビジネスの在り方は大きく変化しています。ChatGPTやGemini、Claudeなどの対話型AIは、文章生成、翻訳、要約、プログラミング支援など多岐にわたる用途で活用されており、教育、医療、金融、行政などの分野でも導入が進んでいます。このようなAIの普及に伴い、利便性と同時に新たなセキュリティリスクも顕在化しています。その中でも特に注目されているのが「プロンプトインジェクション（PromptInjection）」という攻撃手法です。従来のサイバー攻撃とは異なり、AIモデルの指示文を悪用することで意図しない情報漏えいや不正な操作を引き起こす可能性があり、社会的影響も大きいと考えられます。最も大きな問題は機密情報の漏洩であり、内部設定や認証情報、顧客データなどが外部に流出する危険があります。利用者自身への直接的な被害も見逃せず、AIが攻撃者の仕込みに従ってパスワードやクレジットカード番号を要求するようになれば、個人情報や金銭的な損失につながります。総じて、プロンプトインジェクションは単なる技術的脆弱性ではなく、情報資産の保護、利用者の安全、そして社会的信頼を揺るがす重大な脅威であるといえます。実際にBingChatのシステムプロンプトが漏洩し、内部コードネームや非公開の動作ルールが露出した事例もあります。そのため今回の記事ではプロンプトインジェクションをテーマとして取り上げ、攻撃手法の特徴やリスク、そして防止策について考察することで、AI利用の安全性向上を目的としています。
2025.10.30 セキュリティ新着情報
パスキーについて～パスワードの要らない認証技術とは～

2025年8月、独立行政法人情報処理推進機構（IPA）から、インターネットサービスへの不正ログインが増加傾向にあり、IPA情報セキュリティ安心相談窓口には過去最多となる144件の相談が寄せられたと発表がありました（2025年7月）。IPAは対策の一つに、ログイン認証方法としてパスキー認証を推奨しています。このように、近頃認証強化のための対策として、「パスキー認証」を推奨・導入する事例が増加傾向にあります。本記事ではパスキー認証の仕組み、他の認証技術との違い、およびメリット・デメリットについて解説します。
2025.9.30 セキュリティ新着情報
急増する「ClickFix攻撃」とは？その手口と有効な対策

近年、企業の情報セキュリティ対策が高度化する一方で、サイバー攻撃の手口も技術的な防御をすり抜けるためますます巧妙化しています。その一つとして特に問題視されているのがソーシャルエンジニアリングです。ソーシャルエンジニアリングとは、技術的な脆弱性ではなく、人間の心理的な隙や行動の誤りを悪用して、情報の窃取や不正な操作の誘導を行う攻撃手法です。こうしたソーシャルエンジニアリングが多様化・高度化するなか、2024年上旬には新たな手法である「ClickFix攻撃」が確認され、世界的に急速な拡大を見せています。日本国内でも既に攻撃が観測されており、あらゆる組織が標的となり得る状況です。この攻撃手法では、偽のエラーメッセージを表示するダイアログボックスを用いて、ユーザに悪意のあるコマンドを実行させます。操作がユーザ起点に見えるためセキュリティ製品の防御をすり抜けやすく、侵害成功率が高いとされています。巧妙な手口によりユーザの警戒心をかいくぐるClickFix攻撃は、企業や個人の情報資産に深刻な影響を及ぼす可能性があり警戒が必要です。
2025.9.29 セキュリティ新着情報
【号外】注意喚起：Cisco ASAおよびFTDにおける複数の脆弱性（CVE-2025-20333、CVE-2025-20362）について

2025年9月25日（現地時間）、CiscoSystems社がCiscoAdaptiveSecurityAppliance（ASA）およびFirewallThreatDefense（FTD）における複数の脆弱性に関する情報を公表しました。これらのうち、制限付きのURLエンドポイントに認証なしでアクセス可能な脆弱性（CVE-2025-20362）と、認証後に任意コード実行可能な脆弱性（CVE-2025-20333）を組み合わせた攻撃を確認しており、9月26日にJPCERTコーディネーションセンター（JPCERT/CC）にて緊急で注意喚起が行われています。本脆弱性（CVE-2025-20333）のCVSSv3.0のベーススコアは9.9（Critical）と極めて高く、任意のコマンド実行が可能な脆弱性のため、脆弱性対象の製品を使用している場合は、CiscoSystems社が提供する情報を参照し、早急に修正済みバージョンへのアップデートなどの対策を実施することが推奨されています。
2025.8.29 セキュリティ新着情報
AIが生んだ新型マルウェア「Koske」について

近年、AI技術の進化はサイバー攻撃の手法に大きな変革をもたらしています。その中でも特に注目を集めているのが、2025年7月にセキュリティ企業AquaSecurityの調査チーム「Nautilus」によって発見された新型Linuxマルウェア「Koske（コスケ）」です。このマルウェアは、従来のものとは一線を画し、見た目には無害なパンダのJPEG画像に悪意あるコードを隠し持つという極めて巧妙な手口を用います。
2025.8.7 セキュリティ新着情報
【号外】注意喚起：トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性について

2025年8月6日、トレンドマイクロ株式会社は、TrendMicroApexOne、TrendMicroApexOneSaaS、TrendVisionOneEndpointSecurity-StandardEndpointProtectionの管理コンソールにおける複数のOSコマンドインジェクションの脆弱性（CVE-2025-54948、CVE-2025-54987）に関する情報を公表しました。CVE-2025-54948を悪用した攻撃はすでに確認されており、８月６日にJPCERTコーディネーションセンター（JPCERT/CC）にて緊急で注意喚起が行われています。本脆弱性（CVE-2025-54948、CVE-2025-54987）のCVSSv3.0のベーススコアは9.4（Critical）と高く、遠隔から認証なしで任意のコードが実行可能な脆弱性のため、脆弱性対象の製品を使用している場合は、トレンドマイクロ株式会社が提供する情報を参照し、早急にパッチ適用などの対策を実施することが推奨されています。
2025.7.30 セキュリティ
「システムの脆弱性を突いた攻撃」を防ぐには～ASMと脆弱性診断の必要性～

今年の「情報セキュリティ10大脅威2025」では、昨年5位の「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」と7位の「脆弱性対策情報の公開に伴う悪用増加」が統合され、「システムの脆弱性を突いた攻撃」として掲載されています。順位は3位に上がっており、システムの脆弱性対策の重要性が増していることが分かります。システムの脆弱性対策を怠っているとマルウェア感染や情報漏洩につながるおそれがあり大変危険です。システムの脆弱性の発見および対策方法としてASM（AttackSurfaceManagement）と脆弱性診断の効果的な利用を提案いたします。
2025.6.27 セキュリティ
SMS認証のセキュリティリスクと次世代の認証方式

2段階認証の手段として広く利用されているSMS認証は、ユーザが普段使用している携帯電話番号を利用し、特別な機器やアプリを必要としないことから、導入・運用が行いやすく、ユーザにとっての利便性の高さが評価されています。しかしその利便性の反面、SMS認証には複数のセキュリティリスクが存在するため、現在ではより安全性の高い認証方式への移行が推奨されています。