- ホーム
- ニュース
ニュース一覧
-
2025.12.22
会社
新着情報
年末年始休業のご案内
お客様各位サービス&セキュリティ株式会社年末年始休業のご案内拝啓貴社ますますご清栄のこととお喜び申し上げます。平素は格別のご高配を賜り、厚く御礼申し上げます。さて、誠に勝手ながら、弊社は下記期間を年末年始の休業とさせて頂きます。ご迷惑をお掛けすることと存じますが、何卒ご容赦頂きますようお願い申し上げます。........
-
2025.12.22
セキュリティ
新着情報
RaaS型ランサムウェアの拡大:Qilin事例と企業が行うべき対策
2024年以降、RaaS(RansomwareasaService)※1モデルを悪用したランサムウェア攻撃が世界的に急増しています。2024年に世界で公表されたランサムウェア被害は5,400件超と、前年から約1~2割増加しています。日本企業を標的とした被害も相次いでおり、国内外の企業・組織の情報資産に深刻な影響が懸念されています。警察庁などの統計では2025年上半期だけで116件が確認されるなど、企業規模を問わず広範な被害が発生しています。RaaSを利用することで、専門知識の乏しい攻撃者でも活動が可能となり、攻撃者層と被害範囲の拡大を招いています。本稿では、増加傾向にあるランサムウェア攻撃の実際の事例と主な侵入経路を紹介します。
-
2025.11.27
セキュリティ
新着情報
AIの攻撃手法であるプロンプトインジェクションについて
近年、人工知能(AI)の進化は目覚ましく、特にNLP(自然言語処理:NaturalLanguageProcessing)を担うLLM(大規模言語モデル:LargeLanguageModels)の登場により、私たちの生活やビジネスの在り方は大きく変化しています。ChatGPTやGemini、Claudeなどの対話型AIは、文章生成、翻訳、要約、プログラミング支援など多岐にわたる用途で活用されており、教育、医療、金融、行政などの分野でも導入が進んでいます。 このようなAIの普及に伴い、利便性と同時に新たなセキュリティリスクも顕在化しています。その中でも特に注目されているのが「プロンプトインジェクション(PromptInjection)」という攻撃手法です。従来のサイバー攻撃とは異なり、AIモデルの指示文を悪用することで意図しない情報漏えいや不正な操作を引き起こす可能性があり、社会的影響も大きいと考えられます。最も大きな問題は機密情報の漏洩であり、内部設定や認証情報、顧客データなどが外部に流出する危険があります。利用者自身への直接的な被害も見逃せず、AIが攻撃者の仕込みに従ってパスワードやクレジットカード番号を要求するようになれば、個人情報や金銭的な損失につながります。総じて、プロンプトインジェクションは単なる技術的脆弱性ではなく、情報資産の保護、利用者の安全、そして社会的信頼を揺るがす重大な脅威であるといえます。 実際にBingChatのシステムプロンプトが漏洩し、内部コードネームや非公開の動作ルールが露出した事例もあります。そのため今回の記事ではプロンプトインジェクションをテーマとして取り上げ、攻撃手法の特徴やリスク、そして防止策について考察することで、AI利用の安全性向上を目的としています。
-
2025.10.30
セキュリティ
新着情報
パスキーについて~パスワードの要らない認証技術とは~
2025年8月、独立行政法人情報処理推進機構(IPA)から、インターネットサービスへの不正ログインが増加傾向にあり、IPA情報セキュリティ安心相談窓口には過去最多となる144件の相談が寄せられたと発表がありました(2025年7月)。IPAは対策の一つに、ログイン認証方法としてパスキー認証を推奨しています。 このように、近頃認証強化のための対策として、「パスキー認証」を推奨・導入する事例が増加傾向にあります。本記事ではパスキー認証の仕組み、他の認証技術との違い、およびメリット・デメリットについて解説します。
-
2025.9.30
セキュリティ
新着情報
急増する「ClickFix攻撃」とは? その手口と有効な対策
近年、企業の情報セキュリティ対策が高度化する一方で、サイバー攻撃の手口も技術的な防御をすり抜けるためますます巧妙化しています。その一つとして特に問題視されているのがソーシャルエンジニアリングです。ソーシャルエンジニアリングとは、技術的な脆弱性ではなく、人間の心理的な隙や行動の誤りを悪用して、情報の窃取や不正な操作の誘導を行う攻撃手法です。 こうしたソーシャルエンジニアリングが多様化・高度化するなか、2024年上旬には新たな手法である「ClickFix攻撃」が確認され、世界的に急速な拡大を見せています。日本国内でも既に攻撃が観測されており、あらゆる組織が標的となり得る状況です。この攻撃手法では、偽のエラーメッセージを表示するダイアログボックスを用いて、ユーザに悪意のあるコマンドを実行させます。 操作がユーザ起点に見えるためセキュリティ製品の防御をすり抜けやすく、侵害成功率が高いとされています。巧妙な手口によりユーザの警戒心をかいくぐるClickFix攻撃は、企業や個人の情報資産に深刻な影響を及ぼす可能性があり警戒が必要です。
-
2025.9.29
セキュリティ
新着情報
【号外】注意喚起:Cisco ASAおよびFTDにおける複数の脆弱性 (CVE-2025-20333、CVE-2025-20362)について
2025年9月25日(現地時間)、CiscoSystems社がCiscoAdaptiveSecurityAppliance(ASA)およびFirewallThreatDefense(FTD)における複数の脆弱性に関する情報を公表しました。これらのうち、制限付きのURLエンドポイントに認証なしでアクセス可能な脆弱性(CVE-2025-20362)と、認証後に任意コード実行可能な脆弱性(CVE-2025-20333)を組み合わせた攻撃を確認しており、9月26日にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。 本脆弱性(CVE-2025-20333)のCVSSv3.0のベーススコアは9.9(Critical)と極めて高く、任意のコマンド実行が可能な脆弱性のため、脆弱性対象の製品を使用している場合は、CiscoSystems社が提供する情報を参照し、早急に修正済みバージョンへのアップデートなどの対策を実施することが推奨されています。
-
2025.8.29
セキュリティ
新着情報
AIが生んだ新型マルウェア「Koske」について
近年、AI技術の進化はサイバー攻撃の手法に大きな変革をもたらしています。その中でも特に注目を集めているのが、2025年7月にセキュリティ企業AquaSecurityの調査チーム「Nautilus」によって発見された新型Linuxマルウェア「Koske(コスケ)」です。このマルウェアは、従来のものとは一線を画し、見た目には無害なパンダのJPEG画像に悪意あるコードを隠し持つという極めて巧妙な手口を用います。
-
2025.8.7
セキュリティ
【号外】注意喚起:トレンドマイクロ製企業向けエンドポイントセキュリティ製品における複数のOSコマンドインジェクションの脆弱性について
2025年8月6日、トレンドマイクロ株式会社は、TrendMicroApexOne、TrendMicroApexOneSaaS、TrendVisionOneEndpointSecurity-StandardEndpointProtectionの管理コンソールにおける複数のOSコマンドインジェクションの脆弱性(CVE-2025-54948、CVE-2025-54987)に関する情報を公表しました。CVE-2025-54948を悪用した攻撃はすでに確認されており、8月6日にJPCERTコーディネーションセンター(JPCERT/CC)にて緊急で注意喚起が行われています。本脆弱性(CVE-2025-54948、CVE-2025-54987)のCVSSv3.0のベーススコアは9.4(Critical)と高く、遠隔から認証なしで任意のコードが実行可能な脆弱性のため、脆弱性対象の製品を使用している場合は、トレンドマイクロ株式会社が提供する情報を参照し、早急にパッチ適用などの対策を実施することが推奨されています。