はてぶ・Qiita・Zennのトレンド記事を紹介
脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の弱点です。攻撃者に悪用される前に、早期発見と対策が重要です。
セキュリティAIエージェントによる脆弱性診断を試してみました - ANDPAD Tech Blog 🔖 34
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
セキュリティAIエージェントによる脆弱性診断を試してみました 🔖 34
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
Next.jsの脆弱性を数日放置したら暗号通貨マイナーを仕込まれた話 🔖 124
やったら動作が遅いなと思ったら、いつの間にか CPU 使用率が100%に。 これはもしや...と思ったら、まさにでした。 PM2にログが残っていたのが救い。 後は、Claude Code におまかせしました。 以下、備忘録: はじめに 2025年12月、運用していた複数のNext
SRE × Dynatrace - AI活用による脆弱性対応の効率化 [DeNA インフラ SRE] 🔖 12
はじめに こんにちは、 IT 本部 IT 基盤部 第三グループの渡邊です。IT 基盤部では、組織横断的に様々なサービスのインフラ運用を行っています。現在、DeNA では AI オールインのスローガンのもと、全社的に AI を活用した生産性の向上に取り組んでいます。1そんな中、
1人が仕事を辞めても問題なかったが、エースが辞めた途端に業務が崩壊した話はよく見る、退職は個人の価値じゃなく組織の脆弱性が露呈するかもしれない 🔖 52
タナカ @johntanaka Aさん「辞める!引継ぎなんてしない!」 上司「……意外と困らなかったわ」 Bさん「辞めます。引継ぎ丁寧にやらせてもらいますね」 上司「さすがエース。助かるわ」 ~Bさん退職後~ 上司「ヤバいヤバいヤバい業務量多すぎお客さん癖強すぎ回らない!!!」
【Android脆弱性】StrandHogg攻撃(タスクハイジャック):解説編 🔖 1
ヴァイキングロゴ StrandHogg攻撃とはヴァイキングの強奪戦略が由来、スパイネットワークを使って奇襲することです。Android端末のマルチタスクの穴を悪用して銀行やSNSアプリのタスクに侵入し、ユーザーが気づかずに個人情報などを奪い取るマルウェアです。その恐ろしさ
法務アシストAIツールに部外者がアクセス可能な脆弱性が存在し10万件近くの機密ファイルが閲覧可能な状態だったことが判明 🔖 16
AIは多くの分野で活用されており、弁護士向けのAIサービスも多く登場しています。そんな中、AIを用いた法務アシストツール「Filevine」に機密情報が漏れる脆弱(ぜいじゃく)性があったことがセキュリティ研究者のアレックス・シャピロ氏によって報告されました。脆弱性はすでに修正され
【緊急】Next.js (CVE-2025-66478) / React (CVE-2025-55182) の脆弱性について 🔖 129
1. はじめに:何が起きたのか 2025年12月3日、Next.js および React Server Components (RSC) の通信プロトコルにおいて、認証不要でリモートコード実行 (RCE) が可能となる重大な脆弱性が公表されました。 今回、特に事態を重くしている要
CVE-2025-55182(Reactの脆弱性)を修正したDify 1.10.1-fix1リリース 🔖 3
はじめにプログデンスの圓佛です。CVEスコアが最大の「10」であるReactの脆弱性が報告されています。CVE-2025-55182CVE-2025-55182(facebook)Critical Security Vulnerability in React Serv
【緊急】Next.js (CVE-2025-66478) / React (CVE-2025-55182) の脆弱性について 🔖 129
1. はじめに:何が起きたのか2025年12月3日、Next.js および React Server Components (RSC) の通信プロトコルにおいて、認証不要でリモートコード実行 (RCE) が可能となる重大な脆弱性が公表されました。今回、特に事態を重くしている要
DeepSeekは中国共産党がセンシティブ扱いするようなプロンプトだと脆弱性を含むコードを出力する可能性が増加 🔖 72
中国製AI・DeepSeek(深度求索)は非常に高い能力を持っていることが第三者の検証でも明らかになっていますが、一方で、中国製ということで、中国政府の好まない相手向けにはわざと低品質な回答を出力している可能性があることが指摘されていました。セキュリティ企業・CrowdStrik
パスキー(FIDO)の安全性と脆弱性と破滅的欠陥 - falsandtruのメモ帳 🔖 299
これはパスキー(FIDO/FIDO2)の安全性と脆弱性と破滅的欠陥そして正しい認証設計の最も包括的かつ総合的な解説である。パスキーの破滅的欠陥の公開はこれが世界初である。特に重要な事項は次に列挙する。少し文量が多ければ最初はハイライト部分だけ流し読んで要点を掴むのもいいだろう。先
脆弱性っぽい挙動を見つけたときの倫理的な行動とは? | ドクセル 🔖 30
脆弱性っぽい挙動を見つけたときの 倫理的な行動とは? 2025-11-29 まっちゃ139勉強会 はせがわようすけ 長谷川陽介(はせがわようすけ) @hasegawayosuke (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事
これ、ランサムウェアの入り口になっちゃうやつでは? 大企業の6割超がVPN機器の脆弱性を「即時特定できない」 🔖 21
近年、企業におけるランサムウェア被害が高水準で推移している。警察庁のサイバー警察局が公表した報告でも、VPN機器などからの侵入がランサムウェアの主な感染経路として指摘されている点が挙げられている(警察庁サイバー警察局「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について
目的脆弱性診断での脆弱性の発見のフローをOWASP BWAを用いて体験する。ツールを用いた自動検証の後、手動でその脆弱性が実際に起こるかまでを手を動かして体験してみることで、ただ単にツールを使えるレベルからツールを使いこなして真に脆弱性があるかを検証できるスキルに近づ...
攻撃者の視点で学ぶPHPセキュリティ|Kali Linuxで実践する脆弱性テスト 🔖 2
攻撃者の視点で学ぶPHPセキュリティ|Kali Linuxで実践する脆弱性テスト 1. はじめにこれまでの記事で、セキュリティを守りながら生成AIでPHPを学ぶ方法を実践してきました。生成AIでプログラミング学習、その前に|社内SEが知っておくべきセキュリティの基本:
同じ脆弱性情報を使っているはずなのに!?なぜか発生した脆弱性の検知漏れ:パッケージの分類がもたらした落とし穴 🔖 38
NTTドコモビジネスが開発しているSBOM管理ソリューション「Threatconnectome」において、Trivyと同じ脆弱性データベースを使用しているにもかかわらず、特定のパッケージで脆弱性検出漏れが発生した事例を紹介します。 はじめに 1. Trivyにおけるパッケージの分
Suicaの脆弱性を指摘したセキュリティ企業トップが「暗号領域の情報が読み取れるSuicaビューア」公開で物議 目的を聞いた 🔖 158
アンノウン・テクノロジーズ(東京都千代田区)のCEOを務める切敷裕大さんが10月30日、個人のXアカウントで「世界初!暗号領域の情報が読み取れるSuicaビューアを公開」と投稿し、一部で注目を集めている。アンノウン・テクノロジーズは、8月に話題になったSuicaの脆弱性を指摘した
Apple、iOS/iPadOS 26.1で50件以上、macOS 26.1 Tahoeでは100件以上の脆弱性を修正したと発表。 🔖 7
AppleがiOS/iPadOS 26.1で50件以上、macOS 26.1 Tahoeでは100件以上の脆弱性を修正したと発表しています。詳細は以下から。 Appleは現地時間2025年11月03日、iPhoneやiPad向けに「iOS/iPadOS 26.1 (23B85)」
Takumi AIを活用したSAST脆弱性診断をしてみた 🔖 8
はじめに こんにちは、セキュリティ推進グループの徐承賢(a.k.a. sunchan)です。前回、Burp AIを活用したDASTの脆弱性診断について紹介しました(Burp AI: セキュリティ診断にAIの力を借りる - hacomono TECH BLOG)。今回はその続編とし
OpenAIがGPT-5ベースの脆弱性検知ツール「Aardvark」を発表、OpenAI社内ではすでに稼働中 🔖 42
ソースコードリポジトリを継続的に分析して脆弱(ぜいじゃく)性の特定を行うAIエージェント「Aardvark」を、OpenAIが発表しました。人間のようにコードを「読んで」セキュリティ対策を行うツールとされています。 Aardvark Private Beta | OpenAI h
VPN装置の脆弱性を突かれランサム被害に遭った関通、社長が語る侵害からの脱出劇 🔖 37
物流事業者の関通は2024年9月12日、ランサムウエア攻撃の被害に遭った。攻撃者はVPN装置経由で社内ネットワークに侵入。業務システムだけでなくバックアップデータも暗号化した。関通はこの緊急時をどう脱出したのか、一部始終を解説する。 ランサムウエアを使ったサイバー攻撃が活発だ。警
はじめに会社の社内勉強会で『安全なWebアプリケーションの作り方』1という本を選定し、シリアライゼーションに関する解説部分を担当することになって整理して見ました。本の内容を参考にしつつも、ほとんどの部分を自分なりに再構成してまとめました。本記事では、プログラム間でデー...
万博の予約サイト、かなり深刻な脆弱性があったが最後まで修正されなかった、「チケットIDさえわかれば誰でもなりすまし可能な状態でした」 🔖 99
J416DY @j416dy 万博予約サイト、最後まで修正されなかった脆弱性 パビリオン入場もほぼ終わったことなので公開。 万博予約サイトは、チケットIDさえわかればQRコードと予約情報が取り放題な脆弱性がありました。 チケットの追加登録のcheck用APIが、他アカウントに紐つ
Unityランタイムにおける任意コード実行が可能な脆弱性の技術的解説(CVE-2025-59489) 🔖 23
※ 本記事は Unity と開示タイミングを調整し公開された英語版の第一報記事の翻訳版です。 はじめに こんにちは、GMO Flatt Security株式会社でセキュリティエンジニアをしている RyotaK(@ryotkak)です。 本記事では、2025年5月に開催された Me
Gemini CLIに新機能、コード変更の分析、脆弱性の特定、デプロイの自動化など 🔖 37
新しいオープンソースツール「Gemini CLI Security拡張機能」は、ターミナルでコマンドを使用するか、GitHub Actionsの統合機能を通じて、セキュリティ分析を自動化し、問題をプロアクティブに検出・修正する。 具体的には、コード変更の分析を行い、専用のプロンプ
はじめに 依存関係の脆弱性 余談 脆弱性発生時の対応 Dependabot による脆弱性の検知 定期的にバージョンアップをする文化づくり Dependabot を活用した組織的な脆弱性対応 ACS 事業部のご紹介 はじめに こんにちは、ACS事業部の田中です。 今回は依存関係(ラ
2025年版Web脆弱性TOP10完全解説!SQLインジェクションはなぜ首位ではないのか? 🔖 2
はじめに開発現場でセキュリティに携わるようになってから、僕はずっとSQLインジェクションが最大の脅威だと思っていました。学校でも会社でも「SQLインジェクションは絶対に防げ!」と口酸っぱく言われてきたからです。でも、2025年の脆弱性ランキングを見て愕然としました。S...
解説:脆弱性関連情報取扱制度の運用と今後の課題について(後編)~脆弱性悪用情報のハンドリングと今後の課題~ - JPCERT/CC Eyes 🔖 24
はじめに 本稿の前編では、「情報セキュリティ早期警戒パートナーシップ」[1]制度に基づく、いわゆる「協調された脆弱性開示(CVD)」について解説し、平時における取り組みをご紹介しました。後編では、脆弱性がすでに悪用されている、あるいは悪用の蓋然性が高まっている状況における対処オペ
解説:脆弱性関連情報取扱制度の運用と今後の課題について(前編)~公益性のある脆弱性情報開示とは何か~ - JPCERT/CC Eyes 🔖 23
※脆弱性関連情報取扱制度は経済産業省およびIPAとともに運用していますが、本稿はJPCERT/CCとして執筆したものです。 日本では、「情報セキュリティ早期警戒パートナーシップ」[1][2]に基づく運用を20年以上行ってきた実績があり、各国に先んじて、いわゆる「協調された脆弱性開
Google、Android セキュリティ更新を新方式へ。高リスク脆弱性を優先配信 🔖 14
Google が、Android のセキュリティアップデート提供方式を「リスクベース」と呼ばれる新しいアプローチに変更しました。これにより、緊急性の高い脅威からユーザーをよりすばやく保護することを目指します。 これまで毎月公開されてきた「Android セキュリティ情報」ですが、
脆弱性情報、勝手に開示しないで 経産省などがクギを刺す FeliCaの事例念頭か 🔖 286
経済産業省は9月9日、報道におけるソフトウェアなどの脆弱性情報の取り扱いについて、改めて「情報セキュリティ早期警戒パートナーシップガイドライン」に即した対応を求める声明を出した。8月28日に共同通信が報じた「FeliCa」の事例が念頭にあるとみられる。 このガイドラインでは、発見
NXの脆弱性『s1ngularity』でAI CLI を利用した攻撃を調査したら勉強になった話 🔖 5
2025年8月26日、Nxで悪意のあるパッケージが配布されました。開発者が普段から利用しているAI CLIツール(Claude Code, Gemini CLIなど) を利用する攻撃ということで、注目を集めました。私も普段からコーディングにClaude CodeやCursor
VS Codeでプロンプトインジェクションを可能にする3つの脆弱性 GitHubが対策とともに解説 🔖 29
GitHubは2025年8月25日(米国時間)に公開したブログ記事で、悪意のあるプロンプトでAI(人工知能)に本来とは違う意図の動作や回答をさせる攻撃「プロンプトインジェクション攻撃」について解説した。 これは「Visual Studio Code」(以下、VS Code)の「G
「FeliCa」の脆弱性で共同通信の報道が波紋 ソニーが公表していなかった“真っ当”な理由とは? 🔖 385
共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。当初はFeliCaが持つ暗号システムを破ってデータ改ざんが可能になるという速報ベースのものだったが、独自と題した続報では旧式のシステムが持つ暗号鍵の脆弱性を利用することで、新型のシステムにお
2017年以前に出荷された一部のFeliCaの脆弱性、公開鍵暗号ではなく全カードで共通の共通鍵暗号を使ってきたことがことが原因 🔖 22
極端流形式仕様 初代𝕍𝕚𝕖𝕟𝕟𝕒𝕋𝕒𝕝𝕜𝕖𝕣 @tomooda 暗号界隈こわいからあまり大きな声で言わないけどさ、NISTが3DESダメと言ったのが2018年で、FeliCaで使ってたのは2017年以前のカードでしょ?それで「いつまでも使ってるほうが悪い」ということになるなら、今
Felica脆弱性問題、「楽天Edy」「nanaco」「WAON」「QUICPay」も「安心して使って」と声明 🔖 40
楽天Edyは今回の脆弱性について、「独自のセキュリティ対策を導入しているため顧客への影響はない。報道された脆弱性を悪用した不正なチャージ・決済は行えない」とコメント。 JCBは「QUICPayでは取引監視などの各種セキュリティ対策を講じており、これまで通り利用できる」と発表した。