Security Knowledge Base
まず読みたい記事
Glocal VPNの評判は?海外から日本の動画が見れないを解決【2026年】
海外から日本の動画配信サービスが観られない…を解消する、動画視聴に特化した日本製VPN「Glocal VPN」をレビュー。TVer・ABEMA・Netflix(日本)などの対応VOD、月779円〜のシンプル料金、7日間の無料お試し、同時接続1台といった特徴・注意点を公式情報から整理します。
海外から日本の動画を観るVPN比較 - Glocal VPN・NordVPN・ExpressVPNどれ?
海外赴任・留学・旅行中に日本のTVerやNetflix(日本)が「地域制限で見れない」を解決するVPNを、動画視聴特化のGlocal VPNと総合大手のNordVPN・ExpressVPNで比較。目的・料金・同時接続・サポートの違いから、あなたに合う1本を用途別に解説します。
NordVPNの評判は?料金・速度・機能を徹底検証【2026年】
世界最大級のVPN「NordVPN」をレビュー。WireGuardベースの高速プロトコルNordLynx、広告・マルウェアを遮断するThreat Protection、Double VPN、Meshnet、10台同時接続、30日間返金保証など、機能・プラン・注意点を公式情報から整理します。
ExpressVPNの評判は?料金・速度・安全性を徹底検証【2026年】
セキュリティに定評のあるVPN「ExpressVPN」をレビュー。全サーバーがRAMのみで動作するTrustedServer、Rust製プロトコルLightway、耐量子暗号ML-KEMの標準採用、105カ国以上のサーバー、Basic/Advanced/Proの3プラン、30日間返金保証など、機能・プラン・注意点を公式情報から整理します。
新着の記事
ConoHa WINGの評判は?料金・速度・スペックを徹底検証
GMO運営の高速レンタルサーバーの料金・スペック・特徴をまとめたレビュー。LiteSpeed×WEXAL®・WINGパック通常月額1,331円〜(長期契約+キャンペーンで実質678円〜)・独自ドメイン2つ永年無料・自動バックアップ無料を公式情報から整理します。
エックスサーバーの評判は?料金・速度・スペックを徹底検証
国内シェアNo.1の定番レンタルサーバーの料金・スペック・特徴をまとめたレビュー。NVMe SSD×Xアクセラレータ・通常月額990円〜(割引時 実質693円〜)・独自ドメイン永年無料(最大2個)・10日間の無料お試しを公式情報から整理します。
XServer VPSの評判は?料金・スペック・使い道を徹底検証
エックスサーバーの仮想専用サーバー XServer VPS のレビュー。AMD EPYC×NVMe SSDの性能、月額990円〜の料金、初期費用0円、Minecraft/Docker等のテンプレート、root権限での用途を公式情報から整理します。
シンレンタルサーバーの評判は?料金・速度・スペックを徹底検証
エックスサーバー運営の新世代レンタルサーバーの料金・スペック・特徴をまとめたレビュー。NVMe SSD・実質月額539円〜・独自ドメイン永年無料・10日間の無料お試しを公式情報から整理します。
日本国内の主要セキュリティインシデント事例(2020–2025)
国内の主要なセキュリティインシデント12件を一覧で俯瞰し、VPN未更新・委託先/グループ経由・弱い認証という繰り返し現れる侵入経路と失敗パターン、日本企業が今すぐ確認すべき対策チェックリストを事例研究として整理します。
ノートン vs ウイルスバスター 比較2026 - どちらを選ぶべきか
Norton 360とウイルスバスタークラウドを料金・機能・サポート・動作の軽さで比較。VPN・バックアップ内蔵のオールインワンか、Pay Guard・24時間日本語電話サポートの国内安心感か。用途別の選び方を解説します。
すべての記事
ウイルスバスター クラウド レビュー - 機能・料金・特徴を解説
トレンドマイクロのウイルスバスタークラウドの機能・料金プランを解説。AI検知・ランサムウェア対策(フォルダシールド)・Pay Guard・フィッシング対策など、国内シェアNo.1セキュリティソフトの全体像をまとめます。
ノートン 360 レビュー - 機能・料金・特徴を解説【世界No.1】
世界販売台数No.1のノートン(Norton 360)の機能・料金プランを解説。リアルタイム保護・VPN・パスワードマネージャー・クラウドバックアップ・ダークウェブモニタリングなど、オールインワンセキュリティの全体像をまとめます。
お名前.com でドメインを取得する方法 - 料金・手順・注意点を解説
国内シェアNo.1のお名前.comで独自ドメインを取得する手順、主要TLDの料金比較(初回 vs 更新)、Whois代行の設定方法、申し込み時の注意点を初心者向けに解説します。
お名前.com vs XServerドメイン 比較 - どちらで取得すべきか
お名前.comとXServerドメインを料金・TLD数・WHOIS代行・サーバー連携の観点で徹底比較。XServerを使うなら一元管理が強み、XServer以外なら豊富なTLDと低コストのお名前.comが有利。用途別の選び方を解説します。
NordVPN vs ExpressVPN 比較2026 - ITエンジニアが選ぶVPNの違いと結論
NordVPNとExpressVPNを料金・プロトコル・安全性・機能で比較。NordLynx vs Lightway+耐量子暗号Kyber、TrustedServer(全RAM動作)の意味、Double VPN・Threat Protection、シナリオ別おすすめをIT担当者向けに整理します。
セキュリティ資格 比較・一覧 - 自分に合った資格の選び方
情報処理安全確保支援士・CISSP・CompTIA Security+・CEH・OSCP・AWS Security Specialtyなど主要セキュリティ資格を難易度・費用・実務経験要件・キャリアへの影響で比較します。
情報処理安全確保支援士 勉強方法・合格率・おすすめ参考書
情報処理安全確保支援士(登録セキスペ)の難易度・合格率・試験形式・独学スケジュール・おすすめ参考書・午後対策を実務目線で解説します。
CISSP難易度・合格率・勉強時間をわかりやすく解説
世界最高峰のセキュリティ資格CISSPの難易度、必要な実務経験、勉強時間、日本語試験、情報処理安全確保支援士との比較を解説します。
ゼロトラストとは?わかりやすく解説 - 導入製品と実践手順
Never Trust, Always Verify を原則とするゼロトラストセキュリティを初心者向けに解説。従来型との違い、NIST SP 800-207、代表製品、導入ステップをまとめます。
セキュリティインシデント対応手順 - 初動から報告書作成まで
NIST SP 800-61 に沿った検知・証拠保全・封じ込め・根絶・復旧・再発防止の各フェーズ、ランサムウェア対応の注意点、報告書テンプレートを実務目線で整理します。
サポート詐欺(偽警告詐欺)の手口と対処法 - 偽セキュリティ警告・遠隔操作・電話詐欺
ブラウザに突然表示される偽のウイルス警告や、Microsoftをかたる電話で遠隔操作ソフトをインストールさせる「サポート詐欺」の手口。IPA・警察庁の被害統計、画面が閉じられない時の具体的対処、AnyDesk/Quick Assistを使った詐取の流れ、遠隔操作を許してしまった後の対応を日本語で解説します。
MCPのセキュリティ - Tool Poisoning・Rug Pull・サプライチェーンの実例と対策
AIエージェントの標準プロトコルMCPの攻撃面を体系整理。ツール説明文に指示を仕込むTool Poisoning、承認後に定義を差し替えるRug Pull(CVE-2025-54136)、偽MCPサーバのサプライチェーン、過剰権限トークン、MCP Inspector RCEなど2025〜26年の実例と、最小権限・人間による承認・サーバ検証の防御を日本語で解説します。
ClickFix攻撃とは - 偽CAPTCHAで「自分で感染させる」手口とFileFix亜種・対策
偽CAPTCHA・偽エラーでWin+RやPowerShellにコマンドを貼り付け実行させ、Lumma/StealCなどを自分で感染させるClickFix攻撃を解説。Run無効化を回避するFileFix亜種、700サイト改ざん(CVE-2026-26980)などの実例、利用者教育・GPO・ASR・ログ監視による多層防御を日本語で整理します。
AIブラウザの危険性 - Comet/Atlasを乗っ取る間接プロンプトインジェクション
Perplexity CometやChatGPT AtlasなどのAIブラウザを狙う間接プロンプトインジェクションを解説。Webページに隠した指示でAIを操り、ログイン中のGmailや1Passwordを横断悪用してOTPを盗むBraveのPoC、Zenityのゼロクリック乗っ取り、Same-Origin Policyが無力化される理由、入力分離・操作ゲート・モード分離による対策を日本語で整理します。
インフォスティーラーとセッションCookie窃取 - MFAを回避するpass-the-cookie
情報窃取マルウェアがMFAを突破ではなく迂回する仕組みを解説。Lumma/StealCが数十秒で全ブラウザのCookieと保存パスワードを盗み、攻撃者がpass-the-cookieで本人になりすます流れ、3.9億件規模の被害、ClickFix等の感染経路、ChromeのDBSC・FIDO2・短命セッション・条件付きアクセス・異常検知による多層防御を日本語で整理します。
Quishing(QRコードフィッシング)とは - 急増する手口と回避テク・対策
2026年Q1に四半期で146%増と最速で伸びるQuishing(QRコードフィッシング)を解説。URLをQR画像に隠してメールフィルタを回避し利用者を管理外スマホへ誘導する仕組み、ASCIIアートQRやPDF添付などの検知回避、AitMによるセッション窃取とMFA回避、北朝鮮Kimsukyの事例、Passkey・画像対応メールセキュリティ・教育による多層防御を日本語で整理します。
LOLBins・環境寄生型攻撃(Living off the Land)とは - 正規ツール悪用の手口と検知
PowerShell・certutil・mshta・rundll32・MSBuildなどWindows標準ツールを悪用するLOLBins/環境寄生型(LOTL)攻撃を解説。検出の79%がマルウェア無しという実態、MITRE ATT&CK技法との対応、Flax TyphoonやTA505の実例、複数バイナリのチェイン、BYOVDによるEDR無効化、プロセス系譜・Sysmon・アプリ制御・ASR・PowerShellロギングによる検知と防御を日本語で整理します。
デバイスコードフィッシングとは - MFAを回避するEntra ID乗っ取りの手口と対策
正規のOAuthデバイスコードフローを悪用してMicrosoft Entra ID/M365アカウントを乗っ取る手口を解説。被害者本人がMFAを完了するためMFAが効かない仕組み、リフレッシュトークン/PRTの悪用、ロシア系Storm-2372の標的型、PhaaS(EvilTokens)による商品化と37倍増、条件付きアクセスでのフロー遮断・ログ監視・デバイス登録検知・トークン失効による対策を日本語で整理します。
ソフトウェアサプライチェーン攻撃2026 - npm/PyPIの6類型と防御
npm/PyPIを狙うサプライチェーン攻撃を6類型(タイポスクワッティング・依存関係混同・slopsquatting・メンテナ乗っ取り・悪意あるインストールスクリプト・自己増殖ワーム)で体系整理。Mini Shai-HuludやTrapDoor、AIが幻覚した存在しないパッケージ名の悪用、累計120万超の悪性パッケージの実態と、lockfile・Trusted Publishing・リポジトリファイアウォール・SBOM・環境分離による防御を日本語で解説します。
MITRE ATT&CK入門 - 戦術・技術・手順とID体系、実務での使い方
攻撃者の実際の振る舞いを体系化した知識ベース MITRE ATT&CK を入門解説。Tactics/Techniques/Proceduresの3層構造、TxxxxのID体系、14のEnterprise戦術、Groups/Software/Campaigns、v18のDetection Strategies刷新やv19(2026年4月)の変更、検知エンジニアリング・脅威インテリジェンス・カバレッジ可視化での使い方、Cyber Kill Chainとの違いを日本語で整理します。
ランサムウェア2026の最新動向 - 暗号化なし恐喝・RaaS・初期アクセスブローカー
2026年のランサムウェアの実態を実務者向けに解説。約35%が暗号化を伴わない「データ窃取のみの恐喝」へ移行した理由、RaaSと初期アクセスブローカー(IAB)の分業、Qilin・Cl0p・Akiraの動き、Oracle EBS大量悪用やBYOVDによるEDR無効化、二重〜四重恐喝の進化、攻撃ライフサイクル各段で効く防御を日本語で整理します。
プロンプトインジェクション総論 - 直接/間接の違い・Lethal Trifecta・実例と対策
OWASP LLM Top 10第1位のプロンプトインジェクション(LLM01)を体系解説。LLMが指示とデータを区別できない根本原因、直接(ジェイルブレイク)と間接(外部コンテンツ由来・2026年は55%超)の違い、EchoLeak(CVE-2025-32711)やMCP経由のゼロクリックRCEなどの実例、危険な組み合わせLethal Trifecta、Spotlighting・ガードレール・CaMeL・最小権限・人間による承認といった多層防御とその限界を日本語で整理します。
クリックジャッキング詳解 - 透明iframeとX-Frame-Options/CSPで防ぐ
透明iframeでUIを重ねて意図しないクリックを誘発する攻撃の仕組み、likejacking/cursorjackingなどUIリドレッシング全般、X-Frame-Options と CSP frame-ancestors による防御を解説します。
SSRF 詳解 - クラウドメタデータ狙いとCapital One事件・IMDSv2
SSRFの仕組みと典型攻撃、AWS IMDS (169.254.169.254) を狙うクラウドAPI悪用、Capital One 1億件流出事件、許可リスト方式・IMDSv2・SSRFガード設計を日本語で解説します。
パストラバーサル詳解 - ../攻撃・URLエンコード回避・防御の基本
パストラバーサル(ディレクトリトラバーサル)の仕組み、../ や URLエンコードを使った検査回避、Null Byte挿入、ZipSlip、防御策としての正規化後の許可リスト・抽象化APIを解説します。
独自ドメイン取得ガイド - XServerドメインで .jp / .com / .dev を選ぶ判断
独自ドメインのメリット、TLDの選び方、XServerドメインでの取得手順、Vercelとの連携、AdSense承認との関係を実体験ベースで整理します。
XServer VPSとは?初心者向けの始め方とレンタルサーバーとの違い
VPSと共有レンタルサーバーの違い、マイクラサーバーやDiscord Botなど代表的な用途、XServer VPSを選ぶときの判断材料を初心者向けに整理します。
エックスサーバー vs ConoHa WING 比較 - 初心者向けおすすめ診断
無料お試し、料金の見方、WordPressの始めやすさ、サポート、更新時の注意点を比較し、初心者が納得して選べる判断基準を整理します。
XSS の基本と防ぎ方
Reflected / Stored / DOM XSS の違い、出力エスケープ、CSP、危険な実装パターンを整理します。
CSRF の仕組みと対策
SameSite Cookie、CSRFトークン、Origin検証を中心に、ログイン済みユーザーを狙う攻撃を理解します。
SQLインジェクション入門
文字列連結が危険な理由、プレースホルダ、ORM利用時の注意点、Blind SQLi の考え方を解説します。
OWASP Top 10 入門
Webアプリの代表的なリスクを、A01からA10まで実装者が押さえるべき観点で読み解きます。
MFA、TOTP、FIDO2、Passkey の違い
多要素認証の方式ごとの強み、フィッシング耐性、復旧手段を比較して選び方を整理します。
パスワードハッシュの選び方
平文保存が危険な理由、salt、pepper、bcrypt / scrypt / Argon2 の位置づけを説明します。
CORS と Same-Origin Policy
ブラウザの同一オリジン制約、プリフライト、credentials、危険なCORS設定を整理します。
セッション認証とJWT認証の違い
保存場所、失効、リフレッシュトークン、用途別の選び方を比較します。
公開鍵暗号の基本
RSA、ECDSA、Ed25519、鍵交換、署名、証明書の役割を開発者向けに整理します。
OAuth 2.0 と OpenID Connect 入門
認可と認証の違い、Authorization Code + PKCE、id_token と access_token の役割を説明します。
HTTPセキュリティヘッダー詳解
CSP、HSTS、X-Frame-Options、Permissions-Policy など、ブラウザ防御に効くヘッダーを整理します。
安全な乱数の基本
CSPRNG と Math.random の違い、modulo bias、rejection sampling を実装者視点で説明します。
MACアドレスとARPの仕組み
L2でパケットが届く仕組み、ARP Request/Reply、ARP spoofing、IPv6のNDPとの違いを整理します。
HTTP/1.1、HTTP/2、HTTP/3 の違い
Keep-Alive、多重化、Head-of-Line Blocking、QUICなど、Web通信の進化を比較します。
VPNの仕組み
IPsec、OpenVPN、WireGuard、リモートアクセス、プライバシー面の誤解を整理します。
IPv4 と IPv6 の違い
アドレス長、表記、SLAAC、NDP、デュアルスタック、NAT不要という設計思想を解説します。
ファイアウォールの基本
ステートレス、ステートフル、L7、WAF、クラウドのセキュリティグループまで整理します。
DHCP の仕組み
Discover / Offer / Request / Ack の流れ、リース、DHCPリレー、トラブルシュートを説明します。
JWT のよくあるセキュリティ問題
alg=none、アルゴリズム混同、弱い秘密鍵、payloadの過信など、JWTで起きがちな事故を実務目線で整理します。
パスワード強度はどう決まるか
文字数だけではなく、エントロピー、総当たり時間、パスフレーズの考え方から安全なパスワードを説明します。
CIDR記法の読み方と仕組み
/24 の意味、サブネットマスク、ホスト数、/31 の扱いなどをネットワーク初学者向けに解説します。
TCP と UDP の違い
信頼性と速度のトレードオフ、HTTP、DNS、動画配信、QUICなど用途別の選び方を説明します。
DNSの仕組みと名前解決の流れ
ブラウザにURLを入力してからIPアドレスが見つかるまでを、レコード種別とキャッシュ込みで追います。
HTTPS と TLS の仕組み
TLSハンドシェイク、証明書チェーン、HSTS、MITM対策など、HTTPSの基本を整理します。
OSI参照モデルとTCP/IPモデル
L1からL7までの役割、カプセル化、代表プロトコル、障害切り分けへの使い方を説明します。
ポート番号の基本
well-known、registered、dynamic/private の違いと、80、443、22など代表的な番号を整理します。
NAT とポートフォワーディング
家庭用ルーターで何が起きているか、NAPT、UPnP、CGNAT、IPv6との関係を説明します。
ICMP / ping / traceroute の基本
疎通確認、TTL、経路調査、パケットロスの読み方など、ネットワーク調査の入口を説明します。