はてぶ・Qiita・Zennのトレンド記事を紹介
脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の弱点です。攻撃者に悪用される前に、早期発見と対策が重要です。
ホンダ・シビックに任意のコードを実行可能な脆弱性「EvilValet」が見つかる 🔖 28
ホンダ車は、オーディオシステムやナビを内蔵した車載のヘッドユニットをUSB経由でアップデートすることが可能です。しかし、ここに任意のコードを実行可能な脆弱性があることを、技術専門家のエリック・マクドナルド氏が指摘しています。 Honda Civics and the Evil V
三菱の家電にWi-Fi脆弱性、エアコンや冷蔵庫、炊飯器など広範囲 ユーザーに対応求める 🔖 148
三菱電機は6月11日、エアコン「霧ヶ峰」シリーズをはじめ、冷蔵庫、給湯機、IHクッキングヒーター、炊飯器など同社のWi-Fi対応家電製品の広範囲に脆弱性が見つかったとし、ユーザーに対処を求めている。 Wi-Fi機能に固定のSSIDとパスワードがハードコード(直書き)されていたため
CVSS 9.8ってどれくらい危ない?脆弱性情報を読むためのものさし 🔖 1
はじめにセキュリティ情報を見ていると、こんな表記を見かけることがあります。CVSS 9.8CVSS v3.1 Base ScoreCriticalHigh認証なしでリモートから悪用可能なんとなく「数字が高いほど危なそう」という雰囲気はあります。でも、い...
アメリカ政府がAIの脅威に対処するため最も深刻な脆弱性の対応期限を「3日」に設定 🔖 19
アメリカのサイバーセキュリティ庁(CISA)が、政府のシステムを迅速に防御するための新たな指令を公布しました。CISAは最も深刻な脆弱性について「最短3日以内」に修正する必要があるとしています。 BOD 26-04: Prioritizing Security Updates B
世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正 🔖 21
Apache Software Foundationは2026年6月8日(米国時間)、「Apache HTTP Server 2.4.68」を公開した。2.4系の最新版に位置付けられる一般提供版で、セキュリティ修正や不具合修正、機能追加を含む更新となる。開発元は従来版利用者に対し
AIで脆弱性が増えた今、実際に悪用されているのは何なのか? 🔖 33
測る道具も性質が違います。CVE件数は「発見」であって悪用とは別物。KEVは「確認された悪用」で、CISA KEVは無償・低ノイズですが保守的、VulnCheck KEVは広いものの exploit intelligence を販売する企業の発表です。EPSS(FIRST)は悪用
AIで脆弱性が増えた今、実際に悪用されているのは何なのか? 🔖 33
免責事項本記事は公開情報をもとにした個人的な整理であり、所属組織を代表するものではありません。引用した数値は各レポートの公開時点のものです。 はじめに「AIの進化で、脆弱性の悪用が急増している」——ニュースやレポートでよく目にする話です。確かに、公開されるCVEの件数
CVE-2026-49975「HTTP/2 Bomb」をわかりやすく解説——AIが人間より先に気づいた脆弱性 🔖 67
TL;DR CVE-2026-49975(通称 HTTP/2 Bomb)は、HTTP/2 の仕様上の組み合わせを悪用したリモート DoS 脆弱性 OpenAI Codex が nginx・Apache・IIS・Envoy・Cloudflare Pingora の 5 つの主要 W
【重要】HTTP/2の脆弱性対策に伴う、サーバー設定一時変更のお知らせ | さくらインターネット 🔖 35
お客さま各位 平素よりさくらインターネットをご利用いただき、誠にありがとうございます。 「さくらのレンタルサーバ」で利用されているHTTP/2通信に関して、外部からの攻撃によりサービスが停止する可能性がある脆弱性が公表されました。 本脆弱性への暫定対策として、弊社では対象サービス
GitHubのアクセストークンが「リンクを1回クリックしただけ」で盗まれる脆弱性が報告される 🔖 36
GitHubのブラウザ版開発環境「github.dev」で、細工されたリンクをクリックするだけでGitHubの認証トークンが盗まれる可能性があった脆弱(ぜいじゃく)性が報告されました。 1-Click GitHub Token Stealing via a VSCode Bug
エージェントに「脆弱性を探して」はなぜ失敗するのか──Cloudflareが50+リポで示したharnessの正体 🔖 4
!最先端AIを技術の中身まで日本語で読み解く「AIウォッチ」の深掘り記事です。題材は Cloudflare の "Project Glasswing: what Mythos showed us"(2026-05-18)。一次情報(Cloudflare 公式ブログ)の全文を当た
Microsoft、事前共有なしのゼロデイ脆弱性公表を批判 バグハンターと対立 🔖 23
協調的脆弱性開示(CVD)とは、研究者が発見した脆弱性をベンダーやベンダーへの報告が可能な政府機関・民間機関などに共有し、修正プログラムを用意したあと一般に公開する仕組みを指す。 同社は、脆弱性を悪用する犯罪者やその助長者への訴訟を継続し、必要に応じて各国の法執行機関と連携してい
「Claude Mythos」が1万件以上の脆弱性を発見 しかし修正追い付かず Anthropicが報告書 🔖 21
米Anthropicは5月22日(現地時間)、今年4月に立ち上げたセキュリティプロジェクト「Project Glasswing」の初期報告について、同社が別途進めてきたオープンソースソフトウェアの検査結果と合わせて公表した。 Project Glasswingとは、Anthrop
Claude Mythos Previewは深刻度「高」以上と推定される脆弱性候補を6202件発見、日本の銀行でも利用に向けた動きが進む高性能AIの初期レポートが公開される 🔖 16
ソフトウェアの脆弱(ぜいじゃく)性を探す作業はこれまで、専門知識を持つセキュリティ研究者がコードを読み、問題が本当に悪用可能かどうかを検証するという時間のかかる作業でした。しかし、Anthropicが開発した高性能AI「Claude Mythos Preview」は、脆弱性の発見
脆弱性の“発見”から“修正”がボトルネックに 「Mythos Preview」で見えた成果と課題感 🔖 11
Anthropicは2026年5月22日(現地時間)、AIを活用したサイバー防衛計画「Project Glasswing」の初期成果を公表した。高度なAIモデル「Claude Mythos Preview」(以下、Mythos Preview)を使い、重要インフラを支えるソフトウ
XSS(クロスサイトスクリプティング)とは?脆弱性の診断方法と対策 🔖 1
こんにちは。 エニグモのWebアプリケーションエンジニアのレミーです! Webセキュリティにおいて最も頻繁に発生する脅威の一つがXSS(クロスサイトスクリプティング)です。ユーザーに大きな被害をもたらし、企業の信頼を失墜させるこの脆弱性について、その仕組みから対策まで解説します。
脆弱性診断・脅威モデリングを行うセキュリティエージェントを実装しました 🔖 35
こんにちは!システムセキュリティ推進グループの小笠原 (@gassara5) です。 最近では連日の ...
OpenClawで脆弱性情報収集と自社システムチェック判定を定期自動稼働させた 🔖 128
はじめに 脆弱性情報の収集は、CVE一覧を眺めるだけだと運用に乗りにくいところがあります。 特に、以下のような環境では「このCVEは自社のどのサーバーに関係しそうか」を毎回人間が判断する必要があります。 本番、検証、踏み台、DB、メールなど役割の違うサーバーが混在している OSや
AIミュトスで脆弱性1万件超発見 アンソロピック「企業は早く修正を」 - 日本経済新聞 🔖 46
【シリコンバレー=伴正春】米アンソロピックは22日、高性能な人工知能(AI)モデル「ミュトス」を利用した企業で、危険度が高いソフトの「脆弱性」が1万件以上見つかったと発表した。同レベルのAI公開に備え、企業はソフトの修正対応を早める必要があるとした。同社は4月、ミュトスについてサ
Linuxカーネルに深刻な脆弱性 PoCでは100回から2000回の試行で悪用成功 🔖 16
Linuxカーネルに、重大な権限昇格につながる脆弱(ぜいじゃく)性が見つかった。カーネル内部の欠陥として報告されており、識別番号は「CVE-2026-46333」。一般ユーザー権限しか持たない攻撃者でも、条件次第でroot権限ユーザーしか読めない機密ファイルにアクセスできる恐れが
CloudflareがAnthropicの未公開AIモデル「Mythos」を検証、脆弱性の調査で見えた実力とは? 🔖 12
Cloudflareが、Anthropicのセキュリティ特化AIモデル「Claude Mythos Preview」を使い、50件を超えるリポジトリで脆弱(ぜいじゃく)性の検証を行った結果を公開しました。 Project Glasswing: what Mythos showed
Anthropicの「Mythos」でCloudflareがサイバー防衛テスト──脆弱性発見から悪用までが数分に短縮と警告 🔖 25
米CDN大手のCloudflareは5月18日(現地時間)、サイバーセキュリティの防衛を目的とした取り組み「Project Glasswing」の一環として、Anthropicのプレビュー版AIモデル「Mythos Preview」を自社の50以上のリポジトリでテストした結果を公
AI「Claude Mythos」脆弱性対策、民間・海外と協力 政府が関係省庁会議 - 日本経済新聞 🔖 10
政府は18日、新型の人工知能(AI)モデル「Claude Mythos(クロード・ミュトス)」を巡る関係省庁会議の初会合を開いた。今後出現が想定される高性能AIからのサイバー防御体制を官民で迅速に構築するための対応策を示した。会議にはサイバー安全保障担当の松本尚デジタル相をはじめ
AI使い脆弱性点検、システム提供元に要請 国の「ミュトス」対応案 - 日本経済新聞 🔖 34
政府がまとめる新型人工知能(AI)「Claude Mythos(クロード・ミュトス)」の対応案の全容が判明した。サイバー防御を強めるための企業向け指針をつくる。情報システムの提供企業にAIで脆弱性を点検するよう求める。18日に松本尚デジタル相をトップとする関係省庁会議を開いて対応
nginxに18年前から存在する重大な脆弱性が発見される | gihyo.jp 🔖 33
オープンソースのWebサーバーnginxで2026年5月13日、2008年から存在するヒープバッファオーバーフローを引き起こす深刻度:緊急(Critical)を含む4つの脆弱性が報告された。この脆弱性はnginxのバージョン0.6.27~1.30.0に存在し、最新のnginx-1
NGINXのrewrite機能に「緊急」の脆弱性 “見落とし設定”がRCEの入り口に 🔖 23
depthfirstは、オープンソースのWebサーバ・リバースプロキシソフトウェア「NGINX」の書き換え機能に存在していた深刻な脆弱(ぜいじゃく)性「CVE-2026-42945」を公開した。 対象となるのは「NGINX Open Source」と「NGINX Plus」で、細
セキュリティ診断AIツールTakumiを使った、脆弱性診断の現状 — HACK The Nikkei 🔖 76
はじめに 日本経済新聞社のCDIO室でセキュリティエンジニアとしてインターンをしている佐藤浩一郎です。 昨今、AIを活用した開発ツールが一般化し、プロダクト開発のスピードは飛躍的に向上しました。しかし、その裏側では「開発速度に対してセキュリティチェックが追いつかない」という新たな
Claude Mythosの「脆弱性発見能力が高い」というのは誇大宣伝だとcURL開発者が指摘 🔖 20
ソフトウェアの脆弱(ぜいじゃく)性を発見する能力が高いため悪用されるリスクがあるとして発表されたAnthropicのAI「Claude Mythos」について、cURLの開発者であるダニエル・ステンバーグ氏が「誇大宣伝でただのマーケティング戦略だ」と一蹴しました。cURLをCla
サイバー犯罪グループがAIを使って2要素認証を回避できるゼロデイ脆弱性を発見していたとGoogleが報告 🔖 20
近年のAIはあまりに性能が高いため、「誰も気付いていなかったソフトウェアの脆弱(ぜいじゃく)性」を発見することが可能となり、サイバーセキュリティ上の脅威になっていると指摘されています。新たにGoogle脅威インテリジェンスグループ(GTIG)が、「著名なサイバー犯罪の脅威アクター
米国、海外製ルーター禁止 中国系TP-Linkに“異常なレベルの脆弱性” 🔖 279
米国の連邦通信委員会(FCC)が2026年3月23日から、外国製のルーターの輸入規制をはじめた。 この日、規制の対象となる製品のリストに「外国で製造されたルーター」が追加された。規制対象は、すべての消費者向けのルーターを含む。3月23日までにFCCの承認を得ている製品については、
AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変 🔖 120
オープンソースソフトウェア(OSS)の脆弱性に懸賞金をかけて発見を促し、対応を支援してきた米セキュリティ企業のHackerOneが、新規の報告受け付けを停止している。AIで生成された質の低い脆弱性報告の激増が原因といい、影響は主要OSSプロジェクトに及ぶ。同様の懸賞金プログラムを
Linuxの主要ディストリビューションに影響がある深刻な脆弱性「Dirty Frag」 🔖 31
ほぼすべての主要なLinuxディストリビューションでローカルユーザーがroot権限を取得可能な脆弱(ぜいじゃく)性「Dirty Frag」が報告されました。セキュリティ専門家によると攻撃の成功率は極めて高く、また、攻撃に失敗してもカーネルパニックを引き起こさないため危険性も高いと
「Linux」に極めて重大な脆弱性--「Copy Fail」発覚 🔖 196
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「Copy Fail」として知られる「CVE-2026-31431」は、2017年から潜伏していた「Linux」カーネルの深
「開発者はシークレット使うな」「NISTが脆弱性全件分析、断念」 セキュリティの“前提”が揺らぐ 🔖 23
GitHubが開発者向けのセキュリティ対策として「シークレット」管理の重要性を説き、NIST(米国国立標準技術研究所)が脆弱(ぜいじゃく)性データベース「NVD」の運用方針を見直すなど、IT環境を取り巻くセキュリティの“前提”が大きく変化している話題が注目を集めました。Activ
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 🔖 229
結論から言うと、Cursorユーザーは今すぐバージョン2.5以上にアップデートしてください。 2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9(ほぼ満点) の致命的な脆弱性が公開されました。 あなたが悪意のあるリポジトリをgit cloneするだけで
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 🔖 229
結論から言うと、Cursorユーザーは今すぐバージョン2.5以上にアップデートしてください。2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9(ほぼ満点) の致命的な脆弱性が公開されました。あなたが悪意のあるリポジトリをgit cloneする...
Linuxカーネルの脆弱性「CopyFail (CVE-2026-31431)」をEC2のUbuntu 22.04で実証してみた 🔖 10
こんにちは!株式会社エーアイセキュリティラボのはるぷと申します。 一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を
GHASをパブリックリポジトリで無料試用したら、AIアプリの脆弱性が想像以上に見えた話 🔖 2
こんにちは、エーピーコミュニケーションズ ACS事業部の福井です。 最近、AI系のセキュリティ標準である OWASP AISVS(Artificial Intelligence Security Verification Standard)を勉強しながら、GitHub Advan
Linuxカーネルの脆弱性「CopyFail (CVE-2026-31431)」をEC2のUbuntu 22.04で実証してみた 🔖 127
こんにちは!株式会社エーアイセキュリティラボのはるぷと申します。 一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を
Linuxカーネルの脆弱性「CopyFail (CVE-2026-31431)」をEC2のUbuntu 22.04で実証してみた 🔖 127
こんにちは!株式会社エーアイセキュリティラボのはるぷと申します。一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を
【完結編】コードを1行も読ませずに、AIに脆弱性を100%特定させる方法(自作ツールがAIに論破された日) 🔖 1
🚀 TL;DR(忙しい人向けまとめ) 前回の「理論編」の続編。AST(抽象構文木)で抽出した「コードの構造マップ」だけをプロンプトとしてAIに渡す手法の実証編です。 自作の静的解析ツールをこの手法でAI(Gemini 3.1 Pro)に診断させた結果、コードの...