「メールを送るだけ」でAI悪用攻撃可なMicrosoft 365 Copilotの脆弱性。緊急で対策済み 🔖 32

【WordPress】脆弱性対策について｜インフラエンジニアが解説 🔖 1

自動脆弱性診断ツールの導入と効率化の取り組み 🔖 50

はじめに こんにちは、PSIRTの田口です。 今回は、自動脆弱性診断ツール「AeyeScan」の導入とそれを活用するための取り組みによってサイボウズの脆弱性診断がどのように変わったのかをご紹介します。 背景となる課題、導入に向けた検討、そして実際の運用に至るまでの取り組みををまと

NISTが脆弱性管理の新指標「LEV」を提案　EPSSやKEVより信頼できる？ 🔖 34

米国国立標準技術研究所（NIST）は2025年5月19日（現地時間）、悪用される可能性のある脆弱（ぜいじゃく）性の予測に関する新たなセキュリティ指標「Likely Exploited Vulnerabilities」（LEV）を提案するホワイトペーパー（CSWP 41）を公開した

セキュリティ界の猛者が集うイエラエ新入社員、 驚くべきその“自己PR方法”とは？ | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ 🔖 56

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共にゲストを他社からお迎えし、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第5回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO

GitHub のニュースたくさん、脆弱性の管理を楽にする新機能など｜Productivity Weekly(2025-05-07) 🔖 1

こんにちは。サイボウズ株式会社 生産性向上チームの佐々木です。僕たち生産性向上チームは毎週水曜日に Productivity Weekly という「1 週間の間に発見された開発者の生産性向上に関するネタを共有する会」を社内で開催しています。本記事はその時のネタをまとめたもので

🛡️ AutoPentest：LLMで自動化する脆弱性管理 🔖 20

こんにちは！やきとりです。 今回は、「大規模言語モデル（LLM）を使って、ペネトレーションテスト（侵入テスト）を自動化し、脆弱性管理を効率化する」という論文を紹介します。 元論文情報 タイトル：AutoPentest: Enhancing Vulnerability Manage

ハッキング大会「Pwn2Own」で「Firefox」がまた陥落……するも、「本丸」は死守！／21時間以内に脆弱性をふさぐ対応の早さも見せつける【やじうまの杜】 🔖 33

「もう手動での対応は無理……」　Linux関連の脆弱性は前年比で967％増加 🔖 71

Action1は2025年5月15日（現地時間）、2025年版「Software Vulnerability Ratings Report」を発表し、2024年におけるソフトウェア脆弱（ぜいじゃく）性の発見数が前年比で61％増加し、既知の悪用された脆弱性も96％増加したことを明ら

Burp MCP Serverを使って自然言語でBurpを操作する 脆弱性診断を自動化したい 🔖 76

Burp MCP Serverを使って自然言語でBurpを操作して脆弱性診断を一部自動化したい 🔖 76

これは何?最近流行りのMCP(Model Context Protocol)使うといろんな操作をAIエージェントにやってもらえるようになる。今回は脆弱性診断等で使用されるBurp SuiteをB…

修正済みのWindows脆弱性を悪用　NTLMの欠陥を悪用する攻撃が急増中 🔖 22

Check Point Software Technologiesの研究部門であるCheck Point Researchは2025年4月16日（現地時間、以下同）、「Windows」ネットワークで使用される認証プロトコルNTLM認証に使われるハッシュ値が外部に漏れる恐れのある脆

MCPセキュリティ評価：文献調査によるMCPセキュリティ脅威の特定と脆弱性分析 🔖 1

AIシステムにおけるモデルコンテキストプロトコルとそのセキュリティ上の意味合いに関する15の主要研究論文の体系的分析に基づく技術白書1.序論と目的1.1 背景と論拠AIシステムが急速なペースで…

IIJ不正アクセス、原因は「Active! mail」の脆弱性を悪用したゼロデイ攻撃　586契約で漏えい判明 🔖 37

586契約で情報漏えいを確認 情報漏えいの対象となった契約数は586契約（同一顧客で重複しているものは除外）。内訳は、電子メールのアカウント・パスワードの漏えいが132契約、電子メールの本文・ヘッダ情報の漏えいが6契約、当該サービスと連携されていた他社クラウドサービスの認証情報の

【RubyKaigi 2025クイズ解説】GitLabの事例に学ぶ、Webアプリケーションの重大な脆弱性 🔖 23

GMO Flatt Securityの大崎です。RubyKaigi 2025の弊社ブースで「バグバウンティクイズ」に回答いただいた皆様ありがとうございました。 私はブースには立ちませんでしたが、今回作問を担当しました。各脆弱性の解説ブログとして本記事を執筆させていただきます。 ブ

脆弱性管理を担うCVEプログラムの運営資金が2025年4月16日で失効することが明らかに 🔖 39

共通脆弱(ぜいじゃく)性識別子(CVE)プログラムは個別製品中の脆弱性を対象として、アメリカ政府の支援を受けた非営利団体・MITREが脆弱性ごとに識別子を付与する制度です。このCVEプログラムが、アメリカの国土安全保障省が資金提供契約を更新しなかったことで、現地時間の2025年4

継続的な脆弱性管理と改善への取り組みのはなし 🔖 2

はじめまして、SRE 部に所属しているもりと申します。「弊社が運営する、ウェルネス産業に特化した会員管理・予約・決済システムを提供するバーティカルSaaSであるhacomono」のサービス運用や信頼性向上のためのセキュリティ施策の実施をしたりしております。 本記事では SRE 部

AMD、最新Ryzenなども対象の脆弱性。Zen 1から5に影響 🔖 49

脆弱性診断 with AIエージェント、はじめました。 - freee Developers Hub 🔖 77

こんにちは！PSIRT red team の kaworu と yusui です。 最近力を入れて取り組んでいる、 AIエージェントを利用した脆弱性診断の取り組みについて紹介します。 取り組みの背景 はじめに、現在のfreeeの脆弱性診断の体制と、取り組みの背景についてです。 f

脆弱性診断 with AIエージェント、はじめました。 🔖 77

こんにちは！PSIRT red team の kaworu と yusui です。 最近力を入れて取り組んでいる、 AIエージェントを利用した脆弱性診断の取り組みについて紹介します。 取り組みの背景 はじめに、現在のfreeeの脆弱性診断の体制と、取り組みの背景についてです。 f

アプリケーション固有の「ロジックの脆弱性」を防ぐ開発者のためのセキュリティ観点 🔖 159

スライド内でも紹介している、ロジックの脆弱性の診断やセキュリティ観点での仕様レビューが可能なAIエージェント「Takumi」は下記からウェイトリストにご登録いただけます。 https://flatt.tech/takumi

日本人の「デモ嫌い」が生むプロパガンダへの脆弱性を解明 🔖 52

日本人の「デモ嫌い」が生むプロパガンダへの脆弱性を解明 ― 超イデオロギー的に受容される親中ナラティブ― 発表のポイント 日本では、「2019年の香港デモはCentral Intelligence Agency（CIA）やNational Endowment for Democr

政府高官が軍事計画の情報共有に使っていたメッセージアプリ「Signal」の脆弱性について政府が職員に警告していたことが判明 🔖 15

安全性に定評があるメッセージアプリ・Signalの使用について、アメリカ国家安全保障局(NSA)が職員に対して警告を発していたことがわかりました。 NSA warned of vulnerabilities in Signal app a month before Houthi

Next.jsのMiddlewareで認証している方はすぐに確認を！認可バイパス脆弱性（CVE-2025-29927）の解説と対策 🔖 6

Next.jsのCVE-2025-29927という脆弱性情報はもうご存じでしょうか？ Next.jsのMiddleware(ミドルウェア)で行っている認証・認可チェックを攻撃者にすり抜けられてしまう…

Next.jsの脆弱性CVE-2025-29927まとめ 🔖 114

本記事の文章表現の一部には、生成AI(Google Gemini)を用いた校正・改善を行っています。ただし、掲載されている情報の正確性については筆者自身が責任をもって確認・執筆しています。AIの力を借りながらも情報の信頼性を最優先にしていますので安心してお読みいただければ幸いです

Next.jsの脆弱性CVE-2025-29927まとめ 🔖 114

!本記事の文章表現の一部には、生成AI(Google Gemini)を用いた校正・改善を行っています。ただし、掲載されている情報の正確性については筆者自身が責任をもって確認・執筆しています。AIの力を借りながらも情報の信頼性を最優先にしていますので安心してお読みいただければ幸い

PHPの重大脆弱性を悪用した暗号通貨マイニング攻撃が急増中 – 日本の組織も標的に - イノベトピア 🔖 112

サイバーセキュリティ企業Bitdefenderの報告によると、脅威アクターがPHPの重大な脆弱性（CVE-2024-4577）を悪用して、暗号通貨マイナーやリモートアクセストロイの木馬（RAT）を配布する攻撃が急増している。 この脆弱性は、Windows系システム上でCGIモード

Devindabot: Devinで実現するライブラリの脆弱性自動対応システム 🔖 96

freee PSIRT( Product Security Incident Response Team ) のhikaeです。freeeでも自律型AI AgentのDevin*1を雇用しています。 今回はPSIRTの業務の一つである Dependabot対応におけるDevinの

【CISA】2023年に最も悪用された脆弱性トップ15 🔖 1

アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が、先日2024/11/12に2023 Top Routinely Exploited Vulnerabilitiesというレポートを公開してい…