Étiquettes
Parcourez et recherchez les étiquettes. Chaque page contient une explication accessible.
Rootio Linux
419
Rootio Linuxは、ベンダーが提供するLinuxオペレーティングシステムの一つです。このLinuxディストリビューションは、特にクローズドソースの管理とサポートを提供することを目的としています。企業や組織では、特定のセキュリティ標準やコンプライアンス要件を満たすために利用されることが多いです。セキュリティの側面から見ると、Rootio Linuxはセキュリティアップデートやパッチの提供が迅速である点が重要です。そうすることで、システムの脆弱性をできるだけ速やかに修正し、リスクを低減します。
Vendors
Microsoft
386
Microsoftは Windows、Office、Azure、Active Directory などを提供する世界最大のソフトウェア企業のひとつです。
企業の業務システムの大半が Microsoft 製品で動いているため、Microsoft製品の脆弱性は常に最重要監視対象です。
毎月第2火曜日 (Patch Tuesday) に脆弱性修正がまとめて配信されます。
Vendors
C
237
Explication à venir
Programming Languages
Java
183
Javaは銀行・証券・保険など大企業の業務システムで広く使われている老舗プログラミング言語です。
Androidアプリも基本的にJavaまたはKotlin (Java互換) で書かれています。
脆弱性の文脈では、デシリアライゼーション攻撃やライブラリ (Log4j等) の脆弱性が世界的な事件を起こしてきました。
Programming Languages
Vendors
Bitnami
178
Explication à venir
Container Tech
Package Ecosystems
Jre
178
Explication à venir
Vendors
Java Min
178
Explication à venir
Vendors
Windows
177
Explication à venir
Operating Systems
Products
Rootdebian11
175
Explication à venir
Package Ecosystems
Rootdebian12
151
Explication à venir
Package Ecosystems
Linux
130
Explication à venir
Operating Systems
Vendors
Cwe 20
125
CWE-20は「ユーザーから受け取ったデータが、想定された形式・範囲・型かをきちんとチェックせずに使ってしまう欠陥」のことです。
非常に広い概念で、SQLi・XSS・コマンドインジェクションなど多くの攻撃の前段階となります。
「入力は信用するな (Trust Boundaries の概念)」がセキュリティ設計の基本原則です。
CWE
Cwe 78
120
CWE-78は「ユーザー入力をシェルコマンドの一部として使うとき、適切にエスケープせず、攻撃者がコマンドを追加実行できてしまう欠陥」のことです。
例えば `ping {ユーザー入力IP}` の {ユーザー入力IP} に `; rm -rf /` のような文字列を入れられると、サーバー上のファイルが削除されます。
対策は「シェル経由を避け、引数を配列として直接渡す (PHPなら escapeshellarg)」。
CWE
Linux Kernel
106
Explication à venir
Cwe 787
105
CWE-787はCWE-119の中でも特に「メモリの確保された範囲外に書き込んでしまう」欠陥です。
書き込みできるとプログラムを完全に乗っ取れる (任意コード実行) ことが多く、CVSSスコアが極めて高くなりがちです。
MITREの「危険な脆弱性Top 25」で常に上位を占めています。
CWE
Cwe 416
99
CWE-416は「メモリを解放した後にそのメモリを使ってしまう」欠陥です。
C/C++のような手動メモリ管理言語で頻発し、攻撃者はこれを利用して任意のコードを実行できることが多いです。
ブラウザのJavaScriptエンジン (V8, JavaScriptCore) でよく見つかり、ブラウザ経由のゼロデイ攻撃の典型的な原因となります。
CWE
Apple
99
AppleはmacOS, iOS, iPadOS, watchOS等のOSと、iPhone・Mac等のハードウェアを提供しています。
特にiOSは世界中のスマートフォンの約3割を占め、企業の役員クラスや要人がiPhoneを使う比率が高いため、ゼロデイ脆弱性は国家レベルのスパイウェア (Pegasus等) で悪用されることがあります。
Vendors
Cwe 22
96
CWE-22は「ファイル名のパスをユーザー入力から組み立てるとき、`../` のような相対パス記号をきちんと無害化せず、本来アクセスできないファイルを読み書きされてしまう欠陥」のことです。
ファイルダウンロード機能・画像表示機能・テンプレート機能でよく見られます。
対策は「絶対パスへの正規化 + 許可されたディレクトリ内かのチェック」、または「ファイル名にIDのみを使い、パス記号を一切使わない設計」。
CWE
Rootdebian13
93
Explication à venir
Package Ecosystems
Cwe 119
90
CWE-119は「C/C++など低レベル言語で、配列の確保された範囲外にデータを読み書きしてしまう欠陥」のことです。
バッファオーバーフローやヒープオーバーフローと呼ばれる古典的な脆弱性で、攻撃者はこれを使って任意のコード実行を狙います。
ブラウザ・OS・ファームウェアなど低レベルなシステムで頻発します。
CWE
Cisco
89
Ciscoは世界最大のネットワーク機器メーカーで、企業のルーター・スイッチ・VPN・ファイアウォール等のシェアが大きいです。
ネットワーク機器の脆弱性は、企業ネットワーク全体への侵入経路になるため非常に深刻です。
Vendors
Denial of Service
85
Explication à venir
Attack Types
Cwe 94
84
CWE-94は「攻撃者が送ったデータが、プログラムコードとして解釈・実行されてしまう」欠陥です。
Pythonの `eval()`・PHPの `eval()`/`include()` にユーザー入力を渡すような実装が典型例です。
リモートコード実行 (RCE) の直接的な原因となるため、最も重大なクラスの脆弱性です。
CWE
Multiple Products
79
Explication à venir
Products
Adobe
78
Explication à venir
Vendors
Google
77
Explication à venir
Vendors
Cwe 502
70
CWE-502は「シリアライズされたデータ (オブジェクトをバイト列に変換したもの) を信頼せずに復元 (デシリアライズ) してしまう」欠陥です。
Java・Python・PHP・.NETなどで、攻撃者が細工したオブジェクトを送ると任意コード実行されてしまうため、Webサーバー乗っ取りの典型ルートです。
CWE
Cwe 79
66
CWE-79は「Webアプリがユーザー入力をきちんと無害化せずに画面に出力してしまう欠陥」のことです。
結果として、攻撃者はWebページに悪意あるJavaScriptを埋め込めるようになり、見た人のCookie (ログイン情報) や入力情報を盗めるようになります。
対策はWebの基本中の基本: 出力時のHTMLエスケープです。
CWE
Cwe 89
54
CWE-89は「Webアプリがユーザー入力をきちんとパラメータ化せずにSQL文に埋め込んでしまう欠陥」のことです。
攻撃者はSQL文の構造を書き換えてデータベースを直接操作でき、全ユーザーのID/パスワードを抜く・データ改ざん・データベース全削除など何でもされます。
対策は「プリペアドステートメント (パラメータ化クエリ)」を必ず使うこと。
CWE
Apache
47
Explication à venir
Web Frameworks
Vendors
Products
Cwe 918
44
Explication à venir
CWE
Cwe 284
43
Explication à venir
CWE
Oracle
42
Explication à venir
Vendors
JavaScript
41
JavaScriptはブラウザの中で動くプログラミング言語で、ボタンを押したときの動きやページの動的な変化を担当します。
近年は Node.js でサーバー側でも使われ、Webアプリ全体で最も使われている言語のひとつです。
脆弱性の文脈では XSS (クロスサイトスクリプティング) という、攻撃者がページに悪意あるスクリプトを混入させる攻撃が代表的です。
Programming Languages
PHP
41
PHPはサーバーサイドで動くプログラミング言語で、Webサイトの裏側を作るのに広く使われています。
WordPress、Laravel、Drupalなど、世界中の多くのサイトの土台になっています。
セキュリティ脆弱性の文脈では「インジェクション系」(攻撃文字列を実行させる) や「ファイルアップロードの不備」が典型的な弱点として知られています。
Programming Languages
Vendors
Products
Cwe 287
41
Explication à venir
CWE
Cwe 77
40
Explication à venir
CWE
Cwe 306
38
Explication à venir
CWE
Chromium V8
38
Explication à venir
Products
Cwe 843
37
Explication à venir
CWE
Internet Explorer
34
Explication à venir
Products
Cwe 122
34
Explication à venir
CWE
Cwe 125
34
Explication à venir
CWE
Flash Player
34
Explication à venir
Products
Ivanti
34
IvantiはVPN・モバイルデバイス管理 (MDM)・エンドポイント管理等のエンタープライズ向け製品を提供しています。
2024年〜2026年にかけて、Ivanti製品の脆弱性が国家支援の攻撃グループに頻繁に悪用され、CISA KEV カタログ常連となっています。
Vendors
Cwe 200
34
Explication à venir
CWE
Cwe 264
31
Explication à venir
CWE
Office
29
Explication à venir
Products
iOS
28
Explication à venir
Mobile Platforms
Products
Kernel
28
Explication à venir
Products
Cross-Site Scripting
27
XSSは「Webページの中に、攻撃者の悪意あるJavaScriptを忍び込ませる」攻撃です。
例えば掲示板に `<script>盗む()</script>` のような投稿をして、それを見た他のユーザーのCookie (ログイン情報) を盗む、といった攻撃が典型的です。
対策は「ユーザー入力を画面に出すときに、HTMLとして無害化 (エスケープ) する」こと。多くのフレームワークでは標準で対策されています。
Attack Types
Vmware
26
Explication à venir
Vendors
D Link
26
Explication à venir
Vendors
Fortinet
26
Explication à venir
Vendors
Win32K
25
Explication à venir
Products
Cwe 74
25
Explication à venir
CWE
SQL Injection
23
SQLインジェクションは「Webフォームに特殊な文字列を入れて、データベースに不正な命令を実行させる」古典的な攻撃です。
たとえばログイン画面で `' OR '1'='1` と入力するだけでパスワードチェックを回避できる、というのが最も有名な例です。
対策は「プリペアドステートメント」を使うことで、初学者向けの教科書にも載っている基本中の基本ですが、いまだに世界中で被害が続いています。
Attack Types
Cwe 863
23
Explication à venir
CWE
Cwe 190
22
Explication à venir
CWE
Cwe 434
22
Explication à venir
CWE