脆弱性と脅威
Microsoft Web Deploy 4.0 において遠隔からの任意のコード実行につながるシリアライズデータ処理の不備(Scan Tech Report)
2025 年 8 月に公開された Microsoft Web Deploy 4.0 の脆弱性を悪用するエクスプロイトコードが公開されています。
2026.03.17(火)
- 注目検索ワード
ScanNetSecurity は人間の編集者・記者・撮影者・取材対象者の協力によって企画、取材、執筆、報道、所有されているオンラインメディアです。生成 AI には書けない記事を配信します。
そして何よりも ScanNetSecurity の読者は、AI スクレイパーやボット、検索アルゴリズムではなく生身の人間です。人間に向けて記事を書き人間復興(RENAISSANCE! 🍺*🍺)を目指す ScanNetSecurity の一部の/全部のコンテンツにアクセスするには、無料/有料の、または法人会員登録をして会員になってください。NO SECURITY, NO BUSINESS.
2025 年 8 月に公開された Microsoft Web Deploy 4.0 の脆弱性を悪用するエクスプロイトコードが公開されています。
攻撃の高度化によって、従来の対策をすり抜ける手法が次々と登場した。この文脈で 2010 年代半ば頃から普及したのが、EDR だった。エンドポイントの挙動を監視記録し、侵害発生時に対応を行う。時を同じくして、レジリエンスという概念も積極的に提唱されるようになった。もちろんそれらは圧倒的かつ完全に正しい。しかし「侵入そのものを防ぐ『予防』の議論が手薄になってはいないだろうか」中西氏の講演はこんな問いを投げかける。
ScanNetSecurity は海外カンファレンスの取材を、あくまで読者のかわりに参加しているというジェームズ・キャメロン アバター的意識があるので、そこで得た情報も物品もすべて本来の持ち主は ScanNetSecurity 読者だと考えているため、開期中にこのバックパックを使うことは一切ありません。他人のものなので。そして創刊キャンペーンのときに「本来の持ち主に返却する」という意味でお送りすることにしています。
トグルホールディングスグループのつくるAI株式会社は2月28日、同社が管理するシステムへの不正アクセスについて発表した。
しかし求人情報にはこんなトホホな条件が書かれている。「この予算は確約ではありません。したがって当局はどれだけ仕事があるか、いくら払うかを保証できません」提示された金額から考えると、採用される C++ プログラマーは勤務時間のごく一部だけをこの仕事に充てることになりそうだ。つまり、せいぜい副業程度の扱いということだ。
![ポーランド軍施設に中国製車両立入禁止/ドイツ鉄道 DDoS 攻撃で障害 ほか [Scan PREMIUM Monthly Executive Summary 2026年2月度]](proxy.php?url=/imgs/p/R6O9BpFTaEW-PJL4ByThnm8IJAfaBQQDAgEA/52196.jpg)
2 月には中国人民解放軍が、南シナ海の南沙諸島で中国が実効支配する永暑礁(ファイアリー・クロス礁)にサイバー空間部隊が駐屯していることを初めて公にしました。この海域には多くの海底ケーブルが通っています。そう考えると、情報封鎖戦は決して遠い話ではなく、日本にとっても現実的に警戒すべき戦術だと言えます。
2025 年 8 月に公開された Microsoft Web Deploy 4.0 の脆弱性を悪用するエクスプロイトコードが公開されています。
日本プルーフポイント株式会社は3月2日、「Proofpoint Collaboration Protection」がAmazon Web Servicesの統合セキュリティソリューション「AWS Security Hub」の拡張プランと連携すると発表した。
Tenable Holdings, Inc.は2月12日、ガートナーの2025年レポートでAIを活用した脆弱性評価分野の「現在トップの企業」に選出されたと発表した。
GMOサイバーセキュリティ byイエラエ株式会社は3月10日、同社とGMO-Z.com LA、GMOブランドセキュリティがラオス政府と連携し、3月11日にセキュリティセミナー「Cybersecurity Threat Prevention and Brand Security」をラオスのビエンチャンで開催すると発表した。
Okta Japan株式会社は3月3日、「Auth0 Agent Skills」の提供を開始したと同社ブログで発表した。同記事では、AIコーディングアシスタンスを利用した際にさまざまなフレームワークでAuth0を正しく実装するための知識を提供している。
セコムトラストシステムズ株式会社は2月26日、「セコム安否確認サービス」が「ITreview Grid Award 2026 Winter」の安否確認システム部門でLeaderを受賞したと発表した。
「もうひとつの問題はセキュリティには高級品しかないこと。セキュリティ対応をすることそのものがある意味ブルジョアな感じだと思います。セキュリティ対策をやろうってなった時に、最初に来るのが「高い」「お金がかかる」「手間がかかる」。だから後回しにしようとなります。そういう連続性のあるセキュリティ対応に必要なものを、いかに誰でも手が届くように民主化していくか、簡単に言うとカローラを作っていくことだと思っています(吉田)」
Cloudbase株式会社は3月2日、同社が提供する国産CNAPP製品Cloudbaseの機能「Cloudbase Sensor」を拡張し、Node.jsアプリケーションにおける依存パッケージのスキャンとSBOM収集への対応を発表した。
HENNGE株式会社は3月10日、「HENNGE One」がSky株式会社のクライアント運用管理ソフトウェア「SKYSEA Client View」との連携を発表した。
生成 AI モデルは、マルウェア分析の一部では非常に有効ですが、大規模で複雑なマルウェア サンプルの処理においては有効性が限られています。その中で、最大 100 万トークンを処理できる Gemini 1.5 Pro のリリースは大きな進歩となります。
DX推進により急増するWebサイトやサービス。各事業部門が次々に立ち上げる“DX祭り”の裏で、IT・セキュリティ部門は脆弱性対応に追われ「てんやわんや」になっていませんか?本講演では、AIを活用したWeb資産の発見とリスク評価、優先順位付けの考え方など、ASMとトリアージによる効率的な脆弱性管理の実践手法を解説する。
株式会社TwoFiveは2月24日、フィッシングサイト検出サービス「PHISHNET/25」のオプションサービスとして「PHISHNET/25 コンサルティング」を同日から提供開始すると発表した。
