はてぶ・Qiita・Zennのトレンド記事を紹介
脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の弱点です。攻撃者に悪用される前に、早期発見と対策が重要です。
「開発者はシークレット使うな」「NISTが脆弱性全件分析、断念」 セキュリティの“前提”が揺らぐ 🔖 22
GitHubが開発者向けのセキュリティ対策として「シークレット」管理の重要性を説き、NIST(米国国立標準技術研究所)が脆弱(ぜいじゃく)性データベース「NVD」の運用方針を見直すなど、IT環境を取り巻くセキュリティの“前提”が大きく変化している話題が注目を集めました。Activ
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 🔖 215
結論から言うと、Cursorユーザーは今すぐバージョン2.5以上にアップデートしてください。 2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9(ほぼ満点) の致命的な脆弱性が公開されました。 あなたが悪意のあるリポジトリをgit cloneするだけで
【緊急】Cursorに「git clone」するだけでPCが乗っ取られる脆弱性!CVSS 9.9のヤバすぎる攻撃手法 🔖 215
結論から言うと、Cursorユーザーは今すぐバージョン2.5以上にアップデートしてください。2026年4月28日、AIコーディングツール「Cursor」にCVSS 9.9(ほぼ満点) の致命的な脆弱性が公開されました。あなたが悪意のあるリポジトリをgit cloneする...
Linuxカーネルの脆弱性「CopyFail (CVE-2026-31431)」をEC2のUbuntu 22.04で実証してみた 🔖 10
こんにちは!株式会社エーアイセキュリティラボのはるぷと申します。 一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を
GHASをパブリックリポジトリで無料試用したら、AIアプリの脆弱性が想像以上に見えた話 🔖 2
こんにちは、エーピーコミュニケーションズ ACS事業部の福井です。 最近、AI系のセキュリティ標準である OWASP AISVS(Artificial Intelligence Security Verification Standard)を勉強しながら、GitHub Advan
Linuxカーネルの脆弱性「CopyFail (CVE-2026-31431)」をEC2のUbuntu 22.04で実証してみた 🔖 127
こんにちは!株式会社エーアイセキュリティラボのはるぷと申します。 一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を
Linuxカーネルの脆弱性「CopyFail (CVE-2026-31431)」をEC2のUbuntu 22.04で実証してみた 🔖 127
こんにちは!株式会社エーアイセキュリティラボのはるぷと申します。一般ユーザーがコマンド一発でrootを取れてしまうLinuxカーネルの脆弱性、CopyFail (CVE-2026-31431) が話題になっています。AIによって発見された論理バグで、汚しても問題ないEC2環境を
【完結編】コードを1行も読ませずに、AIに脆弱性を100%特定させる方法(自作ツールがAIに論破された日) 🔖 1
🚀 TL;DR(忙しい人向けまとめ) 前回の「理論編」の続編。AST(抽象構文木)で抽出した「コードの構造マップ」だけをプロンプトとしてAIに渡す手法の実証編です。 自作の静的解析ツールをこの手法でAI(Gemini 3.1 Pro)に診断させた結果、コードの...
コードを1行も読ませずに、AIに脆弱性を100%特定させる方法(理論編) 🔖 139
🚀 TL;DRAI(LLM)に生のソースコードを読ませるのは、実は効率の悪い「情報の暴力」である。AST(抽象構文木)から「構造」だけを抽出したマップこそが、AIのIQを極限まで引き出す。データの流入から破綻までをグラフ理論で定義すれば、理論上、脆弱性は100%...
日本に迫るのは「石油危機」だけではない!ホルムズ海峡封鎖で露呈した日本の脆弱性といま直視すべき真の課題 🔖 38
2026年2月28日に始まった米・イスラエルによるイラン攻撃とそれに続くホルムズ海峡の事実上の封鎖は、日量約2000万バレル─世界の海上石油貿易の4分の1─を一夜にして止めた。国際エネルギー機関(IEA)が「史上最大の供給途絶」と宣言したとおり、1859年に始まった近代石油産業に
MCPに深刻な脆弱性 関連ソフトウェアのダウンロード数は1億5000万件超え 🔖 37
セキュリティ企業のOX Securityは2026年4月15日(米国時間)、AIと外部データやツールをつなぐオープンなプロトコルModel Context Protocol(MCP)の中核に、重大かつ広範囲に影響する設計上の問題が存在すると発表した。 1.5億DLに影響 MCPに
govulncheckで行う脆弱性対応 はじめに 開発本部でデリッシュキッチンプレミアム会員向けの開発を担当しているhondです! 先日axiosのサプライチェーン攻撃が話題になりました。axiosのリードメンテナのnpmアカウントがソーシャルエンジニアリング経由で侵害され、悪意
脆弱性スコア10/10の“独り歩き”に警鐘――Axiosの「深刻な欠陥」は成立困難との指摘 🔖 14
Aikido Securityは2026年4月14日(現地時間)、HTTPクライアントライブラリ「Axios」に関する脆弱(ぜいじゃく)性「CVE-2026-40175」について分析結果を公表した。この脆弱性は当初、「クラウド環境の完全侵害につながる可能性がある重大な問題」として
「MCPにシステム的な脆弱性」とセキュリティ企業が指摘 Anthropicは仕様として修正を拒否 🔖 41
MCPにシステム的な脆弱性が存在し、ダウンストリームのフレームワークやツールのユーザーが危険にさらされているとセキュリティベンダーのOX Securityが指摘している。 セキュリティ企業のOX Securityは2026年4月15日(米国時間)、広く使われているAI連携プロトコ
【こわい】Google APIキーの脆弱性により13時間で約900万円請求される事案が発生! Firebase×Geminiで今すぐやるべきセキュリティ対策 🔖 279
同様の被害は他にも報告されており、13,428USD、82,000USDといった請求がそれぞれ別のユーザーから寄せられています(調べると結構出てきます)。 下の方のredditでは、このままでは倒産してしまう、というかなり悲痛な声があります。82000USDは約1200万円なので
NIST、ついに“脆弱性の全件分析”を断念 CVE爆増でパンク状態、方針転換 🔖 162
米国国立標準技術研究所(NIST)は2026年4月15日(米国時間、以下同)、「NVD」(National Vulnerability Database:脆弱《ぜいじゃく》性情報データベース)における「CVE」(Common Vulnerabilities and Exposur
【こわい】Google APIキーの脆弱性により13時間で約900万円請求される事案が発生! Firebase×Geminiで今すぐやるべきセキュリティ対策 🔖 279
はじめにこんばんは、mirukyです。この画像を見てください。この画像の通り、「FirebaseサービスのAPIキーは非公開ではない」と、Firebaseの公式ドキュメントには書かれています。説明の必要は無いかもしれませんが、FirebaseとはGoogle...
【徳丸本まとめ】Webアプリの脆弱性と対策を一気に整理する 🔖 233
セキュアなWebアプリ開発 ― 押さえておきたい脆弱性と対策まとめ 本記事の出典 徳丸 浩 著『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(SBクリエイティブ)の内容をもとに、要点を整理・再構成したものです。 より詳しい解説や背景については、ぜひ原著をご参照くだ
axiosで発見された重大な脆弱性 - 2026.04.12 🔖 5
!【2026-04-13 追記】本記事はAdvisoryベースで執筆しており、実機での再現確認をしていませんでした。コメント欄でのご指摘を受け調査したところ、Node.js の http モジュールは assertValidHeaderValue により CRLFを含むヘッ
GHSA-fvcv-3m26-pcqx (Axios の脆弱性) がなんか変 🔖 6
GHSA-fvcv-3m26-pcqx (Axios の脆弱性) がなんか変Unrestricted Cloud Metadata Exfiltration via Header Injection Chain (CVE-2026-40175) が先日出されました。適当に読ん
【徳丸本まとめ】Webアプリの脆弱性と対策を一気に整理する 🔖 233
セキュアなWebアプリ開発 ― 押さえておきたい脆弱性と対策まとめ本記事の出典徳丸 浩 著『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(SBクリエイティブ)の内容をもとに、要点を整理・再構成したものです。より詳しい解説や背景については、ぜひ原著を...
すべてのMacに49.7日バグ—長期稼働でTCP接続不能になる脆弱性が発覚 🔖 198
4月9日、Photon社が「The 49.7-Day Time Bomb Hidden in Every Mac's Network Stack」と題した記事を公開した。 すべてのMacには、49日17時間2分47秒の連続稼働後に新しいネットワーク接続を一切受け付けなくなるという
ECR イメージスキャンでコンテナの脆弱性を検知する 🔖 1
目次 はじめに ECR イメージスキャンとは 構成の全体像 検知の網羅性 通知のノイズ低減 認知のスピード コスト 試算の考え方 試算例 Terraform による構築 1. ECR スキャン設定 2. EventBridge ルール 3. SNS トピック 4. AWS Cha
脆弱性対応と minimumReleaseAge を両立しながら依存管理をクリーンに保つ 🔖 20
はじめにこんにちは。PKSHA Technology で SWE をしている須藤です。npm エコシステムを標的としたサプライチェーン攻撃はすでに現実のリスクです。2026 年 3 月には、週間 8,000 万ダウンロードを超える axios のメンテナーアカウントが乗っ取ら
NEC「Aterm」シリーズに複数の脆弱性 アップデートまたは買い換えを推奨 🔖 552
Japan Vulnerability Notes(JVN)は4月3日、日本電気(NEC)製の複数のWi-Fiルーターに関する脆弱性情報を公開した。 脆弱性の概要と想定される影響は、それぞれ以下のとおり。 ●脆弱性の概要 ・権限チェックの欠如(CVE-2026-4309) ・パス
CopilotエージェントモードでEOL・脆弱性対応を「自動化」してみた! エンジニアが本来の価値創造に集中するために 🔖 1
こんにちは!IDCF運用システム部の飛田です。 エンジニアの皆さん、日々の業務の中で「やりたい開発はあるのに、ライブラリのバージョンアップや脆弱性対応に追われて時間が取れない…」と感じることはありませんか? あるいは機能開発に追われ、やらなければならないバージョンアップが後回しに
「安全なウェブサイトの作り方」に沿って、Next.jsで脆弱性の攻撃と防御を体験するハンズオン 🔖 4
はじめに「セキュリティ対策が大事なのはわかってるけど具体的に何をどうすればいいの?」そう思っている方向けに脆弱なコードと安全なコードを左右に並べて比較できるハンズオン環境を作りましたNext.js App Router + PostgreSQL で4つの代表...
電源が切れていても攻撃が成立。MediaTekチップの脆弱性がヤバすぎる - すまほん!! 🔖 16
電源オフでも45秒で丸裸。 スマートフォンのセキュリティは、画面ロックやパスコードで守られている。多くの人がそう信じています。しかし、その「信頼」がわずか45秒で崩れ落ちるとしたらどうでしょうか。Android Authorityが伝えています。 暗号資産ハードウェアウォレット大
Playwright + OWASP ZAP + Claude Code で E2E テストから脆弱性診断まで一気通貫でできるかやってみた 🔖 177
はじめに 最近、他チームのエンジニアが「Playwright で書いた E2E テストを OWASP ZAP に通して脆弱性診断をやってみた」という話を聞きました。 「E2E のシナリオってそのまま脆弱性診断にも使えるの?」 気になったので自分でも試してみました。その記録です。
Playwright + OWASP ZAP + Claude Code で E2E テストから脆弱性診断まで一気通貫でできるかやってみた 🔖 177
はじめに最近、他チームのエンジニアが「Playwright で書いた E2E テストを OWASP ZAP に通して脆弱性診断をやってみた」という話を聞きました。「E2E のシナリオってそのまま脆弱性診断にも使えるの?」気になったので自分でも試してみました。その記録です。
「Android」スマホにハードウェアの脆弱性、4台に1台に影響のおそれ 🔖 30
多くの「Android」スマートフォンで見つかったハードウェア側のセキュリティ上の脆弱(ぜいじゃく)性により、ホワイトハットハッカーが端末に1分たらずで侵入できたことが、新たに報告された。侵入後は、メッセージや仮想通貨(暗号資産)ウォレットのシードフレーズなど、機密性の高いユーザ
Windows RDSにゼロデイ脆弱性 悪用コードが22万ドルで闇市場に流通 🔖 7
セキュリティニュースメディア「Cybersecurity News」は2026年3月8日(現地時間、以下同)、「Windows Remote Desktop Services」に存在する権限昇格の脆弱(ぜいじゃく)性「CVE-2026-21533」を悪用するゼロデイ攻撃コードが、
脆弱性管理の次の時代 ── Exposure Management とは何か 🔖 4
はじめに企業のセキュリティチームは今、深刻な問題に直面しています。脆弱性の数が、多すぎる。NVD(National Vulnerability Database)に登録されるCVEは年間 25,000件以上。多くの企業では数万〜数十万の脆弱性がスキャンで検出されます...
個人情報漏えいにつながる脆弱性を報告したら法的責任を示唆する文書が届いたとエンジニアが告白 🔖 36
ダイビングインストラクターでもあるプラットフォームエンジニアのヤニック・ディクスケン氏が、加入しているスポーツ保険会社のポータルサイトで深刻な個人情報漏えいにつながる可能性のある脆弱(ぜいじゃく)性を見つけて報告したところ、保険会社のデータ保護責任者から「刑事犯罪になりうる」など
Goに脆弱性報告した話 | Wantedly Engineer Blog 🔖 38
本日3/6に、 Go 1.26.1 と Go 1.25.8 がリリースされました。 本バージョンで修正された脆弱性のひとつは私が見つけたものです。 せっかくの人生初のCVEなので、経緯を紹介しようと思います。 脆弱性の内容脆弱性は以下で公開されています。 net/url: rej
本日3/6に、 Go 1.26.1 と Go 1.25.8 がリリースされました。本バージョンで修正された脆弱性の...
GitHub で実現する Dependabot × SBOM による依存関係の脆弱性管理を考えて試してみた 🔖 2
GitHubのDependabotとSBOM機能を活用して、依存関係管理とソフトウェア構成の可視化を実現する方法を詳しく解説します。
ローカルLLMの脆弱性があるんか?〜CVE-2024-50050から学ぶ「自分だけで使ってるから安全」の落とし穴〜 🔖 180
2.3 RCE(Remote Code Execution)とは 攻撃者がリモートから任意のコードを実行できる脆弱性のこと。これが成立すると、あなたのマシンで攻撃者が好き放題にコマンドを叩ける。ローカルLLMの脆弱性の多くはこのRCEに分類される。 2.4 デシリアライズ(Des
Claude Codeに重大な脆弱性 設定ファイル経由でRCEやAPIキー窃取の恐れ 🔖 29
Check Point Software Technologiesは2026年2月25日(現地時間)、AI開発支援ツール「Claude Code」に重大な脆弱(ぜいじゃく)性が存在したと発表した。 Anthropicが提供する同ツールにおいて、悪意あるリポジトリー設定ファイルを読
AIがOpenSSLのゼロデイを12個見つけた話〜20年以上見つからなかった脆弱性をAIが暴く〜 🔖 1
この記事の対象読者OpenSSLを利用するシステムの開発・運用に携わるエンジニアの方AIによるセキュリティ研究の最前線に関心がある方LLMやAIのサイバーセキュリティへの応用に興味がある方この記事で得られることAISLE社のAIシステムがOpenSS...
Wi-Fiの「クライアント分離」が無意味だった――AirSnitch脆弱性の衝撃|情報の灯台 🔖 18
あなたが今つながっているWi-Fi。暗号化されているから安全だ、と思っているなら、その前提が揺らぎ始めている。テストされた全てのネットワークが突破された。 「安全な壁」は存在しなかった同じWi-Fiにつないでいる他人から自分の通信を守る仕組みである「クライアント分離」(Clien
LiveServerの脆弱性から見るCORSの必要性 🔖 2
はじめに先日、Visual Studio Codeで利用される拡張機能「Live Server」に脆弱性が見つかった。https://www.security-next.com/181218内容を見てみるとCORSなど見慣れた単語が出てきており、脆弱性自体も容易に再...
CSSを表示しただけでコード実行 -- ブラウザUAF脆弱性の仕組み 🔖 32
この記事では、以下の内容を扱います。 use-after-free(UAF)脆弱性がなぜ危険なのか CSSの処理がどのようにメモリ破壊を引き起こすのか UAFからリモートコード実行に至るエクスプロイトチェーンの全体像 ブラウザの防御機構と、開発者としてできること 対象読者: We
中国製のスマートアイマスクに他人の脳波を読み取れる脆弱性があることが判明 🔖 39
AIエンジニアのアイミリオス・ハツィスタム氏が、Kickstarterで購入した中国製のスマートアイマスクにおいて、他人の脳波をリアルタイムで読み取り、さらに電気刺激を送信できる深刻な脆弱(ぜいじゃく)性が存在することを発見しました。 My smart sleep mask br