はてぶ・Qiita・Zennのトレンド記事を紹介
脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の弱点です。攻撃者に悪用される前に、早期発見と対策が重要です。
「安全なウェブサイトの作り方」に沿って、Next.jsで脆弱性の攻撃と防御を体験するハンズオン 🔖 3
はじめに「セキュリティ対策が大事なのはわかってるけど具体的に何をどうすればいいの?」そう思っている方向けに脆弱なコードと安全なコードを左右に並べて比較できるハンズオン環境を作りましたNext.js App Router + PostgreSQL で4つの代表...
電源が切れていても攻撃が成立。MediaTekチップの脆弱性がヤバすぎる - すまほん!! 🔖 16
電源オフでも45秒で丸裸。 スマートフォンのセキュリティは、画面ロックやパスコードで守られている。多くの人がそう信じています。しかし、その「信頼」がわずか45秒で崩れ落ちるとしたらどうでしょうか。Android Authorityが伝えています。 暗号資産ハードウェアウォレット大
Playwright + OWASP ZAP + Claude Code で E2E テストから脆弱性診断まで一気通貫でできるかやってみた 🔖 175
はじめに 最近、他チームのエンジニアが「Playwright で書いた E2E テストを OWASP ZAP に通して脆弱性診断をやってみた」という話を聞きました。 「E2E のシナリオってそのまま脆弱性診断にも使えるの?」 気になったので自分でも試してみました。その記録です。
Playwright + OWASP ZAP + Claude Code で E2E テストから脆弱性診断まで一気通貫でできるかやってみた 🔖 175
はじめに最近、他チームのエンジニアが「Playwright で書いた E2E テストを OWASP ZAP に通して脆弱性診断をやってみた」という話を聞きました。「E2E のシナリオってそのまま脆弱性診断にも使えるの?」気になったので自分でも試してみました。その記録です。
「Android」スマホにハードウェアの脆弱性、4台に1台に影響のおそれ 🔖 30
多くの「Android」スマートフォンで見つかったハードウェア側のセキュリティ上の脆弱(ぜいじゃく)性により、ホワイトハットハッカーが端末に1分たらずで侵入できたことが、新たに報告された。侵入後は、メッセージや仮想通貨(暗号資産)ウォレットのシードフレーズなど、機密性の高いユーザ
Windows RDSにゼロデイ脆弱性 悪用コードが22万ドルで闇市場に流通 🔖 7
セキュリティニュースメディア「Cybersecurity News」は2026年3月8日(現地時間、以下同)、「Windows Remote Desktop Services」に存在する権限昇格の脆弱(ぜいじゃく)性「CVE-2026-21533」を悪用するゼロデイ攻撃コードが、
脆弱性管理の次の時代 ── Exposure Management とは何か 🔖 3
はじめに企業のセキュリティチームは今、深刻な問題に直面しています。脆弱性の数が、多すぎる。NVD(National Vulnerability Database)に登録されるCVEは年間 25,000件以上。多くの企業では数万〜数十万の脆弱性がスキャンで検出されます...
個人情報漏えいにつながる脆弱性を報告したら法的責任を示唆する文書が届いたとエンジニアが告白 🔖 36
ダイビングインストラクターでもあるプラットフォームエンジニアのヤニック・ディクスケン氏が、加入しているスポーツ保険会社のポータルサイトで深刻な個人情報漏えいにつながる可能性のある脆弱(ぜいじゃく)性を見つけて報告したところ、保険会社のデータ保護責任者から「刑事犯罪になりうる」など
Goに脆弱性報告した話 | Wantedly Engineer Blog 🔖 37
本日3/6に、 Go 1.26.1 と Go 1.25.8 がリリースされました。 本バージョンで修正された脆弱性のひとつは私が見つけたものです。 せっかくの人生初のCVEなので、経緯を紹介しようと思います。 脆弱性の内容脆弱性は以下で公開されています。 net/url: rej
本日3/6に、 Go 1.26.1 と Go 1.25.8 がリリースされました。本バージョンで修正された脆弱性の...
GitHub で実現する Dependabot × SBOM による依存関係の脆弱性管理を考えて試してみた 🔖 2
GitHubのDependabotとSBOM機能を活用して、依存関係管理とソフトウェア構成の可視化を実現する方法を詳しく解説します。
ローカルLLMの脆弱性があるんか?〜CVE-2024-50050から学ぶ「自分だけで使ってるから安全」の落とし穴〜 🔖 180
2.3 RCE(Remote Code Execution)とは 攻撃者がリモートから任意のコードを実行できる脆弱性のこと。これが成立すると、あなたのマシンで攻撃者が好き放題にコマンドを叩ける。ローカルLLMの脆弱性の多くはこのRCEに分類される。 2.4 デシリアライズ(Des
Claude Codeに重大な脆弱性 設定ファイル経由でRCEやAPIキー窃取の恐れ 🔖 29
Check Point Software Technologiesは2026年2月25日(現地時間)、AI開発支援ツール「Claude Code」に重大な脆弱(ぜいじゃく)性が存在したと発表した。 Anthropicが提供する同ツールにおいて、悪意あるリポジトリー設定ファイルを読
AIがOpenSSLのゼロデイを12個見つけた話〜20年以上見つからなかった脆弱性をAIが暴く〜 🔖 1
この記事の対象読者OpenSSLを利用するシステムの開発・運用に携わるエンジニアの方AIによるセキュリティ研究の最前線に関心がある方LLMやAIのサイバーセキュリティへの応用に興味がある方この記事で得られることAISLE社のAIシステムがOpenSS...
Wi-Fiの「クライアント分離」が無意味だった――AirSnitch脆弱性の衝撃|情報の灯台 🔖 18
あなたが今つながっているWi-Fi。暗号化されているから安全だ、と思っているなら、その前提が揺らぎ始めている。テストされた全てのネットワークが突破された。 「安全な壁」は存在しなかった同じWi-Fiにつないでいる他人から自分の通信を守る仕組みである「クライアント分離」(Clien
LiveServerの脆弱性から見るCORSの必要性 🔖 2
はじめに先日、Visual Studio Codeで利用される拡張機能「Live Server」に脆弱性が見つかった。https://www.security-next.com/181218内容を見てみるとCORSなど見慣れた単語が出てきており、脆弱性自体も容易に再...
CSSを表示しただけでコード実行 -- ブラウザUAF脆弱性の仕組み 🔖 32
この記事では、以下の内容を扱います。 use-after-free(UAF)脆弱性がなぜ危険なのか CSSの処理がどのようにメモリ破壊を引き起こすのか UAFからリモートコード実行に至るエクスプロイトチェーンの全体像 ブラウザの防御機構と、開発者としてできること 対象読者: We
中国製のスマートアイマスクに他人の脳波を読み取れる脆弱性があることが判明 🔖 39
AIエンジニアのアイミリオス・ハツィスタム氏が、Kickstarterで購入した中国製のスマートアイマスクにおいて、他人の脳波をリアルタイムで読み取り、さらに電気刺激を送信できる深刻な脆弱(ぜいじゃく)性が存在することを発見しました。 My smart sleep mask br
日々公開される脆弱性情報を眺めるのは、単なる情報収集というより「最近どんな穴が多いのか」「どんな製品が狙われやすいのか」を知る楽しさがあります。深刻なものから軽微なものまで含めて眺めていると、セキュリティの流行や時代背景が見えてきます。今回は、日本国内で公開されている脆...
はじめにこんにちは、三菱電機の坂本です。三菱電機 情報技術総合研究所では、製品開発時のセキュリティ対策にフィードバックする目的で、複数種類のハニーポットを設置・運用しています。運用しているハニーポットの1つに、IoT機器を応答機能に設置した「IoT家電ハニーポット」...
「LGTM 🚀」 このたった4文字、何回書いてきただろう。 PRが来て、差分を見て、ロジックを追って、「まあ問題なさそうだな」でApprove。正直、金曜の夕方に来た30ファイル変更のPRに対して、全行を真剣に読んだかと聞かれたら——答えに詰まる。 たぶん、あなたもそうだと思う。
「LGTM 🚀」このたった4文字、何回書いてきただろう。PRが来て、差分を見て、ロジックを追って、「まあ問題なさそうだな」でApprove。正直、金曜の夕方に来た30ファイル変更のPRに対して、全行を真剣に読んだかと聞かれたら——答えに詰まる。たぶん、あなたもそうだと思う。
AIが脆弱性を96%見つける時代に、僕らがセキュリティを学ぶ意味はあるのか 🔖 179
「このコード、セキュリティ的に大丈夫かな……」 PRレビューのたびに、なんとなく不安になる。SQLインジェクション、XSS、CSRF——知識としては知っている。でも、自分のレビューで本当に脆弱性を潰しきれているかと聞かれたら、正直自信がない。 そしてある日、こんなニュースが流れて
脆弱性診断士/ペネトレーションテスター倫理綱領#脆弱性診断士スキルマッププロジェクト/ISOG-J WG1では「脆弱性診断士/ペネトレーションテスター倫理綱領」を制定し、脆弱性診断士/ペネトレーションテスターの行動規範を示すこととしました。 このドキュメントは「情報処理安全確保支
CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデルが登場 🔖 33
GCVE initiativeは2026年1月7日(現地時間)、新たな公開脆弱(ぜいじゃく)性助言データベース「db.gcve.eu」の公開を発表した。 この基盤は誰でも無償で利用でき、世界中で公開されている脆弱性情報を統合的に参照できる場を提供する。米国の脆弱性情報データベース
AIによる低品質な脆弱性レポート連発でcURLがバグ報奨金プログラムを停止 🔖 23
オープンソースのネットワークツール「cURL」の開発チームは、2019年からセキュリティの脆弱(ぜいじゃく)性を発見した研究者に報奨金を支払う「バグ報奨金プログラム」を実施していました。しかし、近年はAIが生成した低品質な脆弱性報告が大量に届くようになっていたため、cURLのセキ
Node.jsの脆弱性対応を迅速に進めるために実施したこと 🔖 2
こんにちは、サーバーサイドエンジニアおよびスマートバンク 新春エンジニア駅伝 2026の第十一区走者 すてにゃん (id:stefafafan)です。 第十区走者は toshimaru さんによる DBスキーマ変更をオンラインで安全に行うための仕組み - inSmartBank
MicrosoftのAI「Copilot」にURLを1回クリックするだけでさまざまな機密データが盗まれる脆弱性があると判明 🔖 37
MicrosoftのAIアシスタントである「Copilot」はさまざまな事柄について質問したり、会話したり、画像を生成させたり、資料を作らせたりすることが可能です。そんなCopilotに、URLリンクを1回クリックするだけでさまざまな機密データが盗まれる脆弱(ぜいじゃく)性がある
Windows 11最新更新「KB5074109」公開。114件の脆弱性を修正、NPU搭載PCの電力問題も解消 🔖 8
Windows 11最新更新「KB5074109」公開。114件の脆弱性を修正、NPU搭載PCの電力問題も解消:Tech News Microsoftは2026年1月13日(米国時間)、Windows 11(24H2/25H2)向けの月例更新プログラム「KB5074109」をリリ
sponsored ダークウェブで攻撃者がやり取りする情報も把握、ASMから進化した“CTEM”=「FortiRecon」 化学メーカーの研究データが漏洩! 脆弱性診断が見落としたVPN装置… どうやったら防げた? sponsored 2025年に多く発生したランサムウェア被害、
ChatGPTの脆弱性「ZombieAgent」、AIプロダクトPMとして知っておきたいこと 🔖 33
はじめに 広告代理店で生成AI関連のプロダクトマネジメントをしているsawadeeeenです。 2026年1月8日に、セキュリティ企業Radwareが「ZombieAgent」という脆弱性を公開しました。ChatGPTの外部連携機能を悪用して、ユーザーが気づかないうちにデータを抜
VSCodeベースの開発環境に脆弱性、マルウェア感染を導く恐れ 🔖 91
Koi Securityは1月6日(現地時間)、「How We Prevented Cursor, Windsurf & Google Antigravity from Recommending Malware」において、Visual Studio Codeから派生した統合開発環
OSS では日々様々なセキュリティ対応がされています。私自身も CVE を発行したり、対応をした経験があります。 最近だと CVE-2025-62596 の対応をしました。 公開後の情報がまとまった CVE や以下のような Security Advisory を見ることは多くある
SNMPのオープンソース実装「Net-SNMP」に緊急脆弱性、利用製品に影響及ぼす可能性 🔖 15
net-snmpの開発者らは12月23日(現地時間)、「Net-SNMP snmptrapd vulnerability · Advisory · net-snmp/net-snmp · GitHub」において、簡易ネットワーク管理プロトコル(SNMP: Simple Netwo
実例のスクリーンショットをもとに、GitHubでホストされるOSSの脆弱性対応を、報告→確認→Security Advisory→CVSS/CVE→パッチ→公開までの流れで解説します。 temporary private forkを使った非公開修正の進め方など、脆弱性対応の舞台裏
Astroでreact2shellのような脆弱性が起きない理由 🔖 35
2025年12月3日に公開されたサーバー側での任意コード実行が可能となるReact及びNext.jsにおける脆弱性CVE-2025-55182。通称react2shell。この脆弱性は単なる実装バグとしては片付けられない、フロントエンド界隈全体に及ぶ議論を巻き起こしました。!
セキュリティAIエージェントによる脆弱性診断を試してみました - ANDPAD Tech Blog 🔖 41
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
セキュリティAIエージェントによる脆弱性診断を試してみました 🔖 41
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
Next.jsの脆弱性を数日放置したら暗号通貨マイナーを仕込まれた話 🔖 125
やったら動作が遅いなと思ったら、いつの間にか CPU 使用率が100%に。 これはもしや...と思ったら、まさにでした。 PM2にログが残っていたのが救い。 後は、Claude Code におまかせしました。 以下、備忘録: はじめに 2025年12月、運用していた複数のNext
SRE × Dynatrace - AI活用による脆弱性対応の効率化 [DeNA インフラ SRE] 🔖 14
はじめに こんにちは、 IT 本部 IT 基盤部 第三グループの渡邊です。IT 基盤部では、組織横断的に様々なサービスのインフラ運用を行っています。現在、DeNA では AI オールインのスローガンのもと、全社的に AI を活用した生産性の向上に取り組んでいます。1そんな中、
1人が仕事を辞めても問題なかったが、エースが辞めた途端に業務が崩壊した話はよく見る、退職は個人の価値じゃなく組織の脆弱性が露呈するかもしれない 🔖 53
タナカ @johntanaka Aさん「辞める!引継ぎなんてしない!」 上司「……意外と困らなかったわ」 Bさん「辞めます。引継ぎ丁寧にやらせてもらいますね」 上司「さすがエース。助かるわ」 ~Bさん退職後~ 上司「ヤバいヤバいヤバい業務量多すぎお客さん癖強すぎ回らない!!!」
【Android脆弱性】StrandHogg攻撃(タスクハイジャック):解説編 🔖 1
ヴァイキングロゴ StrandHogg攻撃とはヴァイキングの強奪戦略が由来、スパイネットワークを使って奇襲することです。Android端末のマルチタスクの穴を悪用して銀行やSNSアプリのタスクに侵入し、ユーザーが気づかずに個人情報などを奪い取るマルウェアです。その恐ろしさ
法務アシストAIツールに部外者がアクセス可能な脆弱性が存在し10万件近くの機密ファイルが閲覧可能な状態だったことが判明 🔖 16
AIは多くの分野で活用されており、弁護士向けのAIサービスも多く登場しています。そんな中、AIを用いた法務アシストツール「Filevine」に機密情報が漏れる脆弱(ぜいじゃく)性があったことがセキュリティ研究者のアレックス・シャピロ氏によって報告されました。脆弱性はすでに修正され
【緊急】Next.js (CVE-2025-66478) / React (CVE-2025-55182) の脆弱性について 🔖 131
1. はじめに:何が起きたのか 2025年12月3日、Next.js および React Server Components (RSC) の通信プロトコルにおいて、認証不要でリモートコード実行 (RCE) が可能となる重大な脆弱性が公表されました。 今回、特に事態を重くしている要