はてぶ・Qiita・Zennのトレンド記事を紹介
セキュリティは、情報やシステムを不正アクセスや攻撃から守るための技術や対策です。パスワード管理やウイルス対策、暗号化などが含まれます。
サイバーセキュリティタスクフォース(第47回)の局所を掘り下げる(PQC編) 🔖 1
GMOコネクトの菅野(かんの)です。PQCの件で気になったことがあったので満を持して記事を書いてみたいと思います。フィードバックとかあれば、嬉しいです。今回のテーマは9月1日に開催された「サイバーセキュリティタスクフォース(第47回)」の資料47-1「ICTサイバーセ...
【サーバレス】リリース間もないSaaSのセキュリティチェックシートに苦しんだ【AWS】 🔖 1
はじめに技術顧問としてSaaSのベータ版リリースに関わる中で、セキュリティチェックシートを記入する機会がありました。しかも、営業がやたら優秀なせいでまあまあな企業の出すオリジナリティに溢れるフォーマットのシートを複数です。私自身はセキュリティやインフラが専門領域ではないうえ、ベ
Felica(フェリカ)のセキュリティーに重大な脆弱性 データ改ざんされる恐れ | 社会 | 全国のニュース | 福井新聞ONLINE 🔖 118
交通系ICカードや電子マネーなど社会インフラとして全国で使われている非接触式IC技術「FeliCa(フェリカ)」のセキュリティーに重大な脆弱(ぜいじゃく)性が見つかったことが28日、関係者への取材で分かった。暗号システムを突破してデータを改ざんされる恐れがある。累計出荷18億個以
Googleへ不正アクセス、Gmail アカウント 情報の最大25億人分が漏洩の可能性-パスワード変更を推奨|セキュリティニュース-セキュリティ対策Lab 🔖 310
2025年8月、GoogleのSalesforce基盤で運用されていたデータベースが不正アクセスを受け、Gmailの利用者情報、最大25億人規模への影響が懸念される事案が報じられました。攻撃は2025年6月頃から始まり、IT担当を装う電話等のソーシャルエンジニアリングで従業員に悪
ハッカーの視点を身に付ける!新卒が学んだセキュリティ研修 🔖 1
今年度新卒として入社した恩智さんが、新卒研修の一環として受講したセキュリティ研修について紹介します。
リモートデスクトップPCが1日5000回も攻撃されていた!実体験で学ぶセキュリティ対策 🔖 189
はじめに 近年、サイバー攻撃の脅威がますます増加しています。企業や個人にとって、セキュリティ対策はもはや避けて通れない重要な課題です。 この記事では、メンテナンス作業中に発見した攻撃内容やその対策を共有したいと思います! リモートデスクトップ接続を使用している人のこれからのセキュ
AWSネイティブセキュリティに限界を感じたら → CNAPPという解決策 🔖 76
AWSネイティブセキュリティに限界を感じたら → CNAPPという解決策はじめにクラウド環境の利用が進む中、セキュリティ対策もクラウドに最適化された形が求められています。AWSには多くのネイティブセキュリティ機能が用意されており、適切に使えば高い効果を発揮します。...
iOS 18.6.2公開 全ユーザー推奨のセキュリティ修正(Impress Watch) - Yahoo!ニュース 🔖 11
アップルは21日、「iOS 18.6.2」を公開した。重要なセキュリティ修正が含まれ、すべてのユーザに推奨される。 問題はImageIOに起因し、悪意のある画像ファイルの処理により、メモリ破損が発生する可能性があるというもの。この問題は、特定の標的に対する高度な攻撃で悪用された可
セキュリティ・キャンプ 2025 全国大会専門Bに参加しました (プロダクトセキュリティクラス) 🔖 1
はじめにみなさん、こんにちは。calloc134 です。自分は 8/12~8/16 の 5 日間、セキュリティキャンプ全国大会 2025 に受講生として参加しました。5 日間、講師やチューターの方に非常に多くのサポートや交流をいただき、知りたい分野の解像度の大幅な向上・学習意
🌐 Read this post in English 本番サーバーのセキュリティ対策には、多くの時間と労力が注がれます。しかし、その一方で開発者の手元で動いているローカルサーバーのセキュリティは、見過ごされがちでしょう。実際に、今年の頭に複数のフロントエンド開発ツールの脆弱性を
MIXI、新卒向け技術研修資料を公開 AIやセキュリティなど計15科目 4時間超の「iOS研修」動画も 🔖 65
MIXIは8月19日、同社の公式テックブログ上で、2025年度の新卒向け技術研修で使用した資料を無償公開した。「QA・ソフトウェアテスト」「ソフトウェアアーキテクチャ」など15科目の資料に加え、同社の開発現場で働くエンジニアが講師を務めた研修動画も掲載している。 「QA・ソフトウ
新卒エンジニア向けセキュリティ研修を開催しました - 弁護士ドットコム株式会社 Creators’ blog 🔖 43
前回の記事「新卒エンジニア向けHTML/CSS研修を開催しました」では、弁護士ドットコムが国内新卒エンジニアの採用を始めたこと、HTML/CSSの新卒研修を実施したことについてご紹介しました。新卒採用と研修の全体像については以下の記事をご覧ください。 弁護士ドットコム、初の「入社
「守る」から「攻める」へ。セキュリティエンジニアがビジネスに貢献するために - カミナシ エンジニアブログ 🔖 87
どうもセキュリティエンジニアの西川です。このブログは Black Hat USA の帰りの道中で書きました。私は Hayabusa や Suzaku というファストフォレンジックツールを大和セキュリティというコミュニティで開発しており、その発表に行ってきました。 毎年 AWS r
「守る」から「攻める」へ。セキュリティエンジニアがビジネスに貢献するために 🔖 87
どうもセキュリティエンジニアの西川です。このブログは Black Hat USA の帰りの道中で書きました。私は Hayabusa や Suzaku というファストフォレンジックツールを大和セキュリティというコミュニティで開発しており、その発表に行ってきました。 毎年 AWS r
「守る」から「攻める」へ。セキュリティエンジニアがビジネスに貢献するために 🔖 87
どうもセキュリティエンジニアの西川です。このブログは Black Hat USA の帰りの道中で書きました。私は Hayabusa や Suzaku というファストフォレンジックツールを大和セキュリティというコミュニティで開発しており、その発表に行ってきました。 毎年 AWS r
セキュリティ・キャンプ2025 全国大会 Bクラス チューター参加記 🔖 1
はじめに今年はチューターとして人生2回目のセキュリティキャンプに参加させていただきました!!私をチューターに選んでくださった方には大感謝です!このブログでは、各講義で学んだこと、LTイベントの様子、チューター業務などなど、今年のセキュキャンで経験したことを伝えていきます!
【セキュリティ】DNS汚染・DNSハイジャックの仕組みと防御策まとめ 🔖 6
はじめにインターネットを利用するうえで欠かせない「DNS(Domain Name System)」ですが、この仕組みを悪用した攻撃には DNS汚染(DNS Cache Poisoning) と DNSハイジャック(DNS Hijacking) があります。本記事では両...
Claude Code、自動セキュリティレビュー機能をリリース — コードの安全性を大幅に改善する革新的な機能 🔖 54
8月7日、Anthropicが「Automate security reviews with Claude Code」と題した記事を公開した。この記事では、Claude Codeでセキュリティレビューを自動化する新機能(ターミナルからの/security-reviewコマンドとG
Systemd ユニットのセキュリティスコアを改善する 🔖 34
systemd は Linux の標準的なシステム・サービスマネージャで、sysvinit の代替の init プロセスとなることを目指して開発されたソフトウェアである。長らく色々論争が行われ、紆余曲折はあったものの、現在ではほとんどの Linux ディストリビューションが標準的
みなさん、お久しぶりです。セキュリティ好きですか?好きですよね??(圧)というわけで、セキュリティ・キャンプ 2025 全国大会へ参加してきました!ここでは、そこで学んできたことをいくつか話そうと思います。とにかくセキュキャン愛が強い記事になっています。画像が...
セキュリティ・キャンプ2025 ジュニア応募課題晒し 🔖 1
はじめにの前にこんにちは。初めて記事を書くので文章下手だったらすみません...あとQiita以外にもZennとかnoteとかいろんなサービスがあってどれがいいか迷ってるんですよ。使い分けとかあったら教えて欲しいです!(とりあえず今回は全部に書いてみようと思っています!...
はじめにこの記事は、個人開発やハッカソンに打ち込んでいる、あるいはソフトウェアエンジニアを目指している、そんな学生の方に向けた記事です。私は今までセキュリティとは無縁でした。所属する組織の先輩からの紹介でセキュリティ・キャンプの存在を知りましたが、これまでセキュリティについ
【悪用ダメ】セキュリティ試験でよく見る 「OR 1=1」 で侵害する攻撃をやってみた(SQL インジェクション) 🔖 4
はじめにセキュリティに関する試験の勉強をする中で、OR 1=1 でデータベースを侵害する攻撃 をよく目にするな~と感じていました。また、そうした攻撃手法が SQL インジェクション と呼ばれるんだな~くらいの理解で過ごしてきました。そこで、本記事では、SQL インジェク...
フィッシング詐欺のようなSMSを送ってくる本家ネットバンクのセキュリティと立ち位置:新倉茂彦の情報セキュリティAtoZ:オルタナティブ・ブログ 🔖 11
メールよりSMSのが見られるから送ってくるのでしょう。宅配便不在とか通販サイトとか電話料金とかのフィッシング詐欺と変わらないものを、本家が送るリスクってわかってるのでしょうか?まったく信用出来ない残念な銀行に落ちたものです。 【******銀行】当社をご利用のお客さまにカードロー
設計・開発・テストにおけるセキュリティの実践と考え方を知ろう | ドクセル 🔖 210
セキュリティ・キャンプ全国大会、プロダクトセキュリティクラス(Bクラス) B2『設計・開発・テストにおけるセキュリティの実践と考え方を知ろう』 プロダクトのセキュリティを担保するためには、できる限り開発工程の前段階でセキュリティリスクを発見することが大事であり、これを Shift
CCoE視点で考えるセキュリティサービス導入時のポイント 🔖 12
本記事は AWSアワード受賞者祭り 20日目の記事です。 ✨🏆 19日目 ▶▶ 本記事 ▶▶ 21日目 🏆✨ こんにちは、西内です。 この度、2025 Japan AWS Top Engineersおよび2025 Japan All AWS Certifications Engi
日本のサイバーセキュリティは20年遅れ? 「攻撃前に潰す」が常識の今、各国のサイバー戦略とは【西尾素己】 - エンジニアtype | 転職type 🔖 31
転職・求人情報サイトのtype エンジニアtype ITニュース 日本のサイバーセキュリティは20年遅れ? 「攻撃前に潰す」が常識の今、各国のサイバー戦略とは【西尾素己】 NEW! 2025.08.06 ITニュース セキュリティーグローバルイベント 「陸・海・空、そして宇宙。そ
「eラーニングで不正をする」セキュリティ勉強会を社内で開催しました 🔖 23
本記事で取り上げているのは、自社開発のサービスではなく、外部のサービスです。 また、特定のサービスに対して批判や問題を指摘することを目的とした記事ではありません。 はじめに 会社からeラーニング受けるようにと指示があったのですが、簡単に不正ができることに気づいてしまいました。 そ
ホビー中心のECサイト「駿河屋」、クレカ番号/セキュリティコードを含む深刻な情報漏洩の可能性 🔖 16
フィギュア、ホビー、ゲームなどを中心とするECサイト「駿河屋.JP」は、第三者による不正アクセスを受け、ユーザーのクレジットカード情報を含む個人情報が漏洩した事実を確認したと発表した。 当初不正アクセスを検知したのは7月23日。同日以降、各種調査やモニタリングの結果、8月4日にシ
駿河屋の第三者不正アクセス、なんでセキュリティコードが抜かれるんだよ…→ページ改ざんによるWebスキミング攻撃なので、同店で最近クレカ使用した人は要注意 🔖 82
駿河屋更新情報【公式】 @surugaya_kosin 重要なお知らせ 「駿河屋.JP」への第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ 本件詳細は下記よりご確認ください。 s.suruga-ya.jp/oix1k5qbg8 2025-
三菱・スバルなど多くの自動車メーカーが採用しているローリングコードセキュリティはFlipper Zeroで一発解錠可能、大規模な車両リコール以外に簡単な対応策はなしか 🔖 37
車の電子キーは、通信内容を傍受されて再利用されることを防ぐため、クリックごとに異なるコードを生成して信号を発する「ローリングコード」セキュリティを実装しています。ところが、こうしたセキュリティが破られてしまう可能性があると、複数のセキュリティ専門家が指摘しています。 Millio
「eラーニングで不正をする」セキュリティ勉強会を社内で開催しました 🔖 23
!本記事で取り上げているのは、自社開発のサービスではなく、外部のサービスです。また、特定のサービスに対して批判や問題を指摘することを目的とした記事ではありません。 はじめに会社からeラーニング受けるようにと指示があったのですが、簡単に不正ができることに気づいてしまいま
Geminiで要件・設計のセキュリティレビューを自動化し、工数を90%削減した話 🔖 201
1. はじめに 開発プロセスにおける要件・設計のセキュリティレビューは、専門知識を要するため属人化しやすく、工数の増大が開発全体のボトルネックとなり得る課題です。 本稿では、私たちセキュリティチームがこの課題に対し、生成AIであるGeminiを活用してレビュープロセスを自動化し、
ALB のパブリックIPアドレスに直接アクセスできる状態は危険です。リスナールールを使ってセキュリティを強化しましょう。 🔖 1
こんにちは😸 カスタマーサクセス部の山本です。 Application Load Balancer (ALB) のパブリック IP アドレスに https 接続できるような状態において、潜む危険があったりします。 その部分を解説してみようと思います。 ALB のパブリック IP
【バイブコーディング】セキュリティについてまとめてみました【AI開発】 🔖 1
本記事はあくまで個人が考えたバイブコーディングにおけるセキュリティガイドラインです。参照及び活用頂くことは結構ですが、ご自身の責任においてご活用ください。また、内容に誤りや認識に齟齬があればコメントにてご指摘ください。これを組み込んだ方がよい。というアドバイスも大...
中国、エヌビディア担当者を呼び出し 深刻なセキュリティー問題めぐり 🔖 28
【7月31日 AFP】中国当局は30日、米半導体大手エヌビディアの担当者を呼び出し、同社が中国向けに設計した人工知能(AI)半導体チップH20に関する「深刻なセキュリティー問題」について協議した。中国サイバースペース管理局(CAC)が明らかにした。 エヌビディアは今年、同社の先進
Google MCP Security で Google Cloud のセキュリティ運用を楽にしたい 🔖 4
こんにちは、クラウドエースの小田です。Google Security Command Center (SCC)、Google SecOps SIEM/SOAR、Google Threat Intelligence 用の Google MCP Security という、Googl
2025年度版:Strategic Intelligenceの取り扱いについて - セキュリティコンサルタントの日誌から 🔖 20
最近、様々な場所で脅威インテリジェンスやそれに関する講演、議論をさせていただく機会を頂戴するのですが、その中の一つで、「Strategic Intelligenceをどのように実現すべきか?」という議論がよく持ち上がります。 中でも、よくある相談事項として、「Strategic
生成AI時代のデータセキュリティ ~実践的ガイドラインと最新技術~ 🔖 1
プロローグ 2025年、生成AI(GenAI)の進化と社会実装は、情報の利活用に新たな地平をもたらす一方、企業には従来とは異なる次元のデータセキュリティ責任が求められています。AI活用現場のCISSPやCCSP、CISMといった国際資格ホルダーの視点からも、「透明性」「説明責任」
今日のサイバーセキュリティリーダーを形作る書籍に学ぶ - YAMDAS現更新履歴 🔖 19
blackhatnews.tokyo ワタシ自身は「サイバーセキュリティリーダー」でもなんでもないが、職業柄どういう本が推されているかは気になる。 ブルース・シュナイアーのようなセキュリティ研究者、ケビン・ミトニックのようなかつてのブラックハットハッカーの本は定番といってよい。あ
生成AI連携型セキュリティアラート管理システム: Warren 🔖 20
小規模なセキュリティチームにとって、大量のアラートを限られたリソースで処理することは大きな課題です。突然発生した数百件のアラートのうち、多くは同じ事象の重複や誤検知ですが、その中に重要なアラートが埋もれている可能性もあります。従来のSOAR(Security Orchestra