はてぶ・Qiita・Zennのトレンド記事を紹介
脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の弱点です。攻撃者に悪用される前に、早期発見と対策が重要です。
OpenAIがGPT-5ベースの脆弱性検知ツール「Aardvark」を発表、OpenAI社内ではすでに稼働中 🔖 41
ソースコードリポジトリを継続的に分析して脆弱(ぜいじゃく)性の特定を行うAIエージェント「Aardvark」を、OpenAIが発表しました。人間のようにコードを「読んで」セキュリティ対策を行うツールとされています。 Aardvark Private Beta | OpenAI h
VPN装置の脆弱性を突かれランサム被害に遭った関通、社長が語る侵害からの脱出劇 🔖 37
物流事業者の関通は2024年9月12日、ランサムウエア攻撃の被害に遭った。攻撃者はVPN装置経由で社内ネットワークに侵入。業務システムだけでなくバックアップデータも暗号化した。関通はこの緊急時をどう脱出したのか、一部始終を解説する。 ランサムウエアを使ったサイバー攻撃が活発だ。警
はじめに会社の社内勉強会で『安全なWebアプリケーションの作り方』1という本を選定し、シリアライゼーションに関する解説部分を担当することになって整理して見ました。本の内容を参考にしつつも、ほとんどの部分を自分なりに再構成してまとめました。本記事では、プログラム間でデー...
万博の予約サイト、かなり深刻な脆弱性があったが最後まで修正されなかった、「チケットIDさえわかれば誰でもなりすまし可能な状態でした」 🔖 98
J416DY @j416dy 万博予約サイト、最後まで修正されなかった脆弱性 パビリオン入場もほぼ終わったことなので公開。 万博予約サイトは、チケットIDさえわかればQRコードと予約情報が取り放題な脆弱性がありました。 チケットの追加登録のcheck用APIが、他アカウントに紐つ
Unityランタイムにおける任意コード実行が可能な脆弱性の技術的解説(CVE-2025-59489) 🔖 23
※ 本記事は Unity と開示タイミングを調整し公開された英語版の第一報記事の翻訳版です。 はじめに こんにちは、GMO Flatt Security株式会社でセキュリティエンジニアをしている RyotaK(@ryotkak)です。 本記事では、2025年5月に開催された Me
Gemini CLIに新機能、コード変更の分析、脆弱性の特定、デプロイの自動化など 🔖 37
新しいオープンソースツール「Gemini CLI Security拡張機能」は、ターミナルでコマンドを使用するか、GitHub Actionsの統合機能を通じて、セキュリティ分析を自動化し、問題をプロアクティブに検出・修正する。 具体的には、コード変更の分析を行い、専用のプロンプ
はじめに 依存関係の脆弱性 余談 脆弱性発生時の対応 Dependabot による脆弱性の検知 定期的にバージョンアップをする文化づくり Dependabot を活用した組織的な脆弱性対応 ACS 事業部のご紹介 はじめに こんにちは、ACS事業部の田中です。 今回は依存関係(ラ
2025年版Web脆弱性TOP10完全解説!SQLインジェクションはなぜ首位ではないのか? 🔖 2
はじめに開発現場でセキュリティに携わるようになってから、僕はずっとSQLインジェクションが最大の脅威だと思っていました。学校でも会社でも「SQLインジェクションは絶対に防げ!」と口酸っぱく言われてきたからです。でも、2025年の脆弱性ランキングを見て愕然としました。S...
解説:脆弱性関連情報取扱制度の運用と今後の課題について(後編)~脆弱性悪用情報のハンドリングと今後の課題~ - JPCERT/CC Eyes 🔖 24
はじめに 本稿の前編では、「情報セキュリティ早期警戒パートナーシップ」[1]制度に基づく、いわゆる「協調された脆弱性開示(CVD)」について解説し、平時における取り組みをご紹介しました。後編では、脆弱性がすでに悪用されている、あるいは悪用の蓋然性が高まっている状況における対処オペ
解説:脆弱性関連情報取扱制度の運用と今後の課題について(前編)~公益性のある脆弱性情報開示とは何か~ - JPCERT/CC Eyes 🔖 23
※脆弱性関連情報取扱制度は経済産業省およびIPAとともに運用していますが、本稿はJPCERT/CCとして執筆したものです。 日本では、「情報セキュリティ早期警戒パートナーシップ」[1][2]に基づく運用を20年以上行ってきた実績があり、各国に先んじて、いわゆる「協調された脆弱性開
Google、Android セキュリティ更新を新方式へ。高リスク脆弱性を優先配信 🔖 14
Google が、Android のセキュリティアップデート提供方式を「リスクベース」と呼ばれる新しいアプローチに変更しました。これにより、緊急性の高い脅威からユーザーをよりすばやく保護することを目指します。 これまで毎月公開されてきた「Android セキュリティ情報」ですが、
脆弱性情報、勝手に開示しないで 経産省などがクギを刺す FeliCaの事例念頭か 🔖 286
経済産業省は9月9日、報道におけるソフトウェアなどの脆弱性情報の取り扱いについて、改めて「情報セキュリティ早期警戒パートナーシップガイドライン」に即した対応を求める声明を出した。8月28日に共同通信が報じた「FeliCa」の事例が念頭にあるとみられる。 このガイドラインでは、発見
NXの脆弱性『s1ngularity』でAI CLI を利用した攻撃を調査したら勉強になった話 🔖 5
2025年8月26日、Nxで悪意のあるパッケージが配布されました。開発者が普段から利用しているAI CLIツール(Claude Code, Gemini CLIなど) を利用する攻撃ということで、注目を集めました。私も普段からコーディングにClaude CodeやCursor
VS Codeでプロンプトインジェクションを可能にする3つの脆弱性 GitHubが対策とともに解説 🔖 29
GitHubは2025年8月25日(米国時間)に公開したブログ記事で、悪意のあるプロンプトでAI(人工知能)に本来とは違う意図の動作や回答をさせる攻撃「プロンプトインジェクション攻撃」について解説した。 これは「Visual Studio Code」(以下、VS Code)の「G
「FeliCa」の脆弱性で共同通信の報道が波紋 ソニーが公表していなかった“真っ当”な理由とは? 🔖 385
共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。当初はFeliCaが持つ暗号システムを破ってデータ改ざんが可能になるという速報ベースのものだったが、独自と題した続報では旧式のシステムが持つ暗号鍵の脆弱性を利用することで、新型のシステムにお
2017年以前に出荷された一部のFeliCaの脆弱性、公開鍵暗号ではなく全カードで共通の共通鍵暗号を使ってきたことがことが原因 🔖 22
極端流形式仕様 初代𝕍𝕚𝕖𝕟𝕟𝕒𝕋𝕒𝕝𝕜𝕖𝕣 @tomooda 暗号界隈こわいからあまり大きな声で言わないけどさ、NISTが3DESダメと言ったのが2018年で、FeliCaで使ってたのは2017年以前のカードでしょ?それで「いつまでも使ってるほうが悪い」ということになるなら、今
JR東日本「Suicaは安心して利用して」--「FeliCaに重大な脆弱性」報道にコメント 🔖 12
また、FeliCaの提供元のソニーも「FeliCaのICチップのうち、2017年以前に出荷された一部のICチップについて、独立行政法人情報処理推進機構(IPA)の『情報セキュリティ早期警戒パートナーシップガイドライン』に基づき外部から指摘を受け、報告された操作により、当該チップに
Felica脆弱性問題、「楽天Edy」「nanaco」「WAON」「QUICPay」も「安心して使って」と声明 🔖 40
楽天Edyは今回の脆弱性について、「独自のセキュリティ対策を導入しているため顧客への影響はない。報道された脆弱性を悪用した不正なチャージ・決済は行えない」とコメント。 JCBは「QUICPayでは取引監視などの各種セキュリティ対策を講じており、これまで通り利用できる」と発表した。
【独自】フェリカに重大な脆弱性 交通系IC、データ改ざんの恐れ 🔖 19
交通系ICカードや電子マネーに使われている非接触式IC技術「FeliCa(フェリカ)」のセキュリティーに重大な脆弱性が見つかったことが28日、関係者への取材で分かった。データを改ざんされる恐れがある。開発元のソニーは「2017年以前に出荷された一部に脆弱性があり、暗号を突破される
「FeliCa」の脆弱性に関する一部報道について:楽天Edy 🔖 16
2025年8月28日に、ソニー株式会社が提供する通信技術である「FeliCa」に改ざんなどが可能となる脆弱性があるとの一部報道がありましたが、「楽天Edy」は独自のセキュリティ対策を導入しているため、お客様への影響はございません。 「楽天Edy」の各種カードおよび対応するスマート
ソニー、フェリカに脆弱性 17年以前のICカードの一部に該当 - 日本経済新聞 🔖 28
ソニーグループ傘下のソニーは28日、交通系ICカードなどに使う通信技術「フェリカ」のセキュリティーに脆弱性が見つかったと発表した。2017年以前に出荷された旧型のチップが入った一部のカードが該当する。暗号システムを突破されデータが改ざんされる可能性があり、影響を受ける範囲の特定や
「Suica」などに採用の「FeliCa」に脆弱性見つかる それでもソニーが「引き続き安心」とアピールする理由 🔖 168
交通系ICカードなどに使われる非接触型IC技術「FeliCa(フェリカ)」のICチップに脆弱性があると指摘された件で8月28日、開発元のソニーや「Suica」に同チップを採用したJR東日本、「iD」のNTTドコモなどが相次ぎ「引き続き安心して使える」旨の声明を発表した。 ソニーに
ドコモからのお知らせ : FeliCa脆弱性に関する一部報道について | お知らせ | NTTドコモ 🔖 121
お客さまの設定により、お客さま情報が「非表示」となっております。お客さま情報を表示するにはdアカウントでログインしてください。 お客さま情報表示についてへ お客さま情報表示についてへ Tweet FeliCa脆弱性に関する一部報道について 2025年8月28日 平素は、NTTドコ
TLS 1.1 までには既に深刻な脆弱性が報告されており、公式には廃止(非推奨)となっています。 しかし、組み込み機器や医療・製造機器などのレガシーシステムや、システム更新に時間と費用が掛かる金融・公共機関のシステム、古いブラウザや OS との互換性を維持しているシステムなどでは
初めにこんにちは、新卒二年目のセキュリティエンジニアです。普段は Qiita で主にHackTheBox の WriteUp などを投稿しています。大学時代は非情報系の専攻だったこともあり、今まであまり暗号系の勉強はしてこなかったのですが、セキュリティを生業にしてい...
本当は怖くない?CVSSスコアに惑わされない脆弱性との付き合い方 🔖 26
レバテック開発部の松浪です。先日、 multipart/form-data形式のHTTPリクエストを生成できるnpmパッケージ form-data にCVSSスコア9.4(Critical)の脆弱性が見つかりました。CVE-2025-7783CVSSスコア9.4(Criti
AIエージェント技術「MCP」に脆弱性報告が相次ぐ、 外部接続に情報窃取のリスク 🔖 125
AI(人工知能)エージェントと外部システムをつなぐ共通プロトコル「MCP(Model Context Protocol)」に関連する脆弱性の報告が相次いでいる。 2025年5月にはセキュリティーベンダーの米Snyk(スニーク)が、米Amazon Web Services(アマゾン
OSSは“使う前に”Claude Codeで脆弱性診断しよう 🔖 209
ここはサボってはいけないと感じた 「あ、便利そう 🤩」と感じたOSSのプラグインやMCP Serverをそのまま使っていませんか? Vibe Codingで作られ、誰がセキュリティを見ているのか分からないOSSも最近増えてきました。 そんな中でリスクを無視し「動けば OK」と投入
OSSは“使う前に”Claude Codeで脆弱性診断しよう 🔖 209
ここはサボってはいけないと感じた「あ、便利そう 🤩」と感じたOSSのプラグインやMCP Serverをそのまま使っていませんか?Vibe Codingで作られ、誰がセキュリティを見ているのか分からないOSSも最近増えてきました。そんな中でリスクを無視し「動けば OK」と投入
お疲れ様です。エムスリーでセキュリティなどを担当している山本です。 最近は「生成AI x セキュリティ」にも関心を寄せており、色々と試していますので、その辺りの話をブログリレーの中で書いてみたいと思います。 テーマは「検出された少ないライブラリ脆弱性にどのようにAIを武器にして向
脆弱性診断 with AIエージェント、ついに開発チームにひろがりました。 🔖 133
こんにちは!PSIRT red team の kaworu と yusui です。4月に公開した脆弱性診断 with AIエージェント、はじめました。では、 AIエージェントを利用した脆弱性診断内製化について紹介しました。 約3ヶ月が経過し、記事で目標に掲げていた「開発のタイミン
徳丸さんは好きな脆弱性はありますか? 私はクリックジャッキングです。 初めて脆弱性を学習したとき、透明化したページを重ねてユーザーに意図しない処理を実行するメカニズムに感動した覚えがあります。 (こういうやり方があるのか、みたいな感じでした。)
Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog 🔖 242
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段