はてぶ・Qiita・Zennのトレンド記事を紹介
脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の弱点です。攻撃者に悪用される前に、早期発見と対策が重要です。
脆弱性診断士/ペネトレーションテスター倫理綱領#脆弱性診断士スキルマッププロジェクト/ISOG-J WG1では「脆弱性診断士/ペネトレーションテスター倫理綱領」を制定し、脆弱性診断士/ペネトレーションテスターの行動規範を示すこととしました。 このドキュメントは「情報処理安全確保支
CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデルが登場 🔖 33
GCVE initiativeは2026年1月7日(現地時間)、新たな公開脆弱(ぜいじゃく)性助言データベース「db.gcve.eu」の公開を発表した。 この基盤は誰でも無償で利用でき、世界中で公開されている脆弱性情報を統合的に参照できる場を提供する。米国の脆弱性情報データベース
AIによる低品質な脆弱性レポート連発でcURLがバグ報奨金プログラムを停止 🔖 23
オープンソースのネットワークツール「cURL」の開発チームは、2019年からセキュリティの脆弱(ぜいじゃく)性を発見した研究者に報奨金を支払う「バグ報奨金プログラム」を実施していました。しかし、近年はAIが生成した低品質な脆弱性報告が大量に届くようになっていたため、cURLのセキ
Node.jsの脆弱性対応を迅速に進めるために実施したこと 🔖 1
こんにちは、サーバーサイドエンジニアおよびスマートバンク 新春エンジニア駅伝 2026の第十一区走者 すてにゃん (id:stefafafan)です。 第十区走者は toshimaru さんによる DBスキーマ変更をオンラインで安全に行うための仕組み - inSmartBank
MicrosoftのAI「Copilot」にURLを1回クリックするだけでさまざまな機密データが盗まれる脆弱性があると判明 🔖 37
MicrosoftのAIアシスタントである「Copilot」はさまざまな事柄について質問したり、会話したり、画像を生成させたり、資料を作らせたりすることが可能です。そんなCopilotに、URLリンクを1回クリックするだけでさまざまな機密データが盗まれる脆弱(ぜいじゃく)性がある
Windows 11最新更新「KB5074109」公開。114件の脆弱性を修正、NPU搭載PCの電力問題も解消 🔖 8
Windows 11最新更新「KB5074109」公開。114件の脆弱性を修正、NPU搭載PCの電力問題も解消:Tech News Microsoftは2026年1月13日(米国時間)、Windows 11(24H2/25H2)向けの月例更新プログラム「KB5074109」をリリ
sponsored ダークウェブで攻撃者がやり取りする情報も把握、ASMから進化した“CTEM”=「FortiRecon」 化学メーカーの研究データが漏洩! 脆弱性診断が見落としたVPN装置… どうやったら防げた? sponsored 2025年に多く発生したランサムウェア被害、
ChatGPTの脆弱性「ZombieAgent」、AIプロダクトPMとして知っておきたいこと 🔖 33
はじめに 広告代理店で生成AI関連のプロダクトマネジメントをしているsawadeeeenです。 2026年1月8日に、セキュリティ企業Radwareが「ZombieAgent」という脆弱性を公開しました。ChatGPTの外部連携機能を悪用して、ユーザーが気づかないうちにデータを抜
VSCodeベースの開発環境に脆弱性、マルウェア感染を導く恐れ 🔖 91
Koi Securityは1月6日(現地時間)、「How We Prevented Cursor, Windsurf & Google Antigravity from Recommending Malware」において、Visual Studio Codeから派生した統合開発環
OSS では日々様々なセキュリティ対応がされています。私自身も CVE を発行したり、対応をした経験があります。 最近だと CVE-2025-62596 の対応をしました。 公開後の情報がまとまった CVE や以下のような Security Advisory を見ることは多くある
SNMPのオープンソース実装「Net-SNMP」に緊急脆弱性、利用製品に影響及ぼす可能性 🔖 15
net-snmpの開発者らは12月23日(現地時間)、「Net-SNMP snmptrapd vulnerability · Advisory · net-snmp/net-snmp · GitHub」において、簡易ネットワーク管理プロトコル(SNMP: Simple Netwo
実例のスクリーンショットをもとに、GitHubでホストされるOSSの脆弱性対応を、報告→確認→Security Advisory→CVSS/CVE→パッチ→公開までの流れで解説します。 temporary private forkを使った非公開修正の進め方など、脆弱性対応の舞台裏
Astroでreact2shellのような脆弱性が起きない理由 🔖 35
2025年12月3日に公開されたサーバー側での任意コード実行が可能となるReact及びNext.jsにおける脆弱性CVE-2025-55182。通称react2shell。この脆弱性は単なる実装バグとしては片付けられない、フロントエンド界隈全体に及ぶ議論を巻き起こしました。!
セキュリティAIエージェントによる脆弱性診断を試してみました - ANDPAD Tech Blog 🔖 41
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
セキュリティAIエージェントによる脆弱性診断を試してみました 🔖 41
こんにちは、アンドパッドセキュリティチームの小野寺です。この記事は ANDPAD Advent Calendar 2025 17 日目の記事です。 現在、セキュリティチームでは脆弱性診断の内製化に取り組んでいます。今回はセキュリティAIエージェントを活用して、Webアプリケーショ
Next.jsの脆弱性を数日放置したら暗号通貨マイナーを仕込まれた話 🔖 125
やったら動作が遅いなと思ったら、いつの間にか CPU 使用率が100%に。 これはもしや...と思ったら、まさにでした。 PM2にログが残っていたのが救い。 後は、Claude Code におまかせしました。 以下、備忘録: はじめに 2025年12月、運用していた複数のNext
SRE × Dynatrace - AI活用による脆弱性対応の効率化 [DeNA インフラ SRE] 🔖 14
はじめに こんにちは、 IT 本部 IT 基盤部 第三グループの渡邊です。IT 基盤部では、組織横断的に様々なサービスのインフラ運用を行っています。現在、DeNA では AI オールインのスローガンのもと、全社的に AI を活用した生産性の向上に取り組んでいます。1そんな中、
1人が仕事を辞めても問題なかったが、エースが辞めた途端に業務が崩壊した話はよく見る、退職は個人の価値じゃなく組織の脆弱性が露呈するかもしれない 🔖 53
タナカ @johntanaka Aさん「辞める!引継ぎなんてしない!」 上司「……意外と困らなかったわ」 Bさん「辞めます。引継ぎ丁寧にやらせてもらいますね」 上司「さすがエース。助かるわ」 ~Bさん退職後~ 上司「ヤバいヤバいヤバい業務量多すぎお客さん癖強すぎ回らない!!!」
【Android脆弱性】StrandHogg攻撃(タスクハイジャック):解説編 🔖 1
ヴァイキングロゴ StrandHogg攻撃とはヴァイキングの強奪戦略が由来、スパイネットワークを使って奇襲することです。Android端末のマルチタスクの穴を悪用して銀行やSNSアプリのタスクに侵入し、ユーザーが気づかずに個人情報などを奪い取るマルウェアです。その恐ろしさ
法務アシストAIツールに部外者がアクセス可能な脆弱性が存在し10万件近くの機密ファイルが閲覧可能な状態だったことが判明 🔖 16
AIは多くの分野で活用されており、弁護士向けのAIサービスも多く登場しています。そんな中、AIを用いた法務アシストツール「Filevine」に機密情報が漏れる脆弱(ぜいじゃく)性があったことがセキュリティ研究者のアレックス・シャピロ氏によって報告されました。脆弱性はすでに修正され
【緊急】Next.js (CVE-2025-66478) / React (CVE-2025-55182) の脆弱性について 🔖 131
1. はじめに:何が起きたのか 2025年12月3日、Next.js および React Server Components (RSC) の通信プロトコルにおいて、認証不要でリモートコード実行 (RCE) が可能となる重大な脆弱性が公表されました。 今回、特に事態を重くしている要
CVE-2025-55182(Reactの脆弱性)を修正したDify 1.10.1-fix1リリース 🔖 3
はじめにプログデンスの圓佛です。CVEスコアが最大の「10」であるReactの脆弱性が報告されています。CVE-2025-55182CVE-2025-55182(facebook)Critical Security Vulnerability in React Serv
【緊急】Next.js (CVE-2025-66478) / React (CVE-2025-55182) の脆弱性について 🔖 131
1. はじめに:何が起きたのか2025年12月3日、Next.js および React Server Components (RSC) の通信プロトコルにおいて、認証不要でリモートコード実行 (RCE) が可能となる重大な脆弱性が公表されました。今回、特に事態を重くしている要
DeepSeekは中国共産党がセンシティブ扱いするようなプロンプトだと脆弱性を含むコードを出力する可能性が増加 🔖 72
中国製AI・DeepSeek(深度求索)は非常に高い能力を持っていることが第三者の検証でも明らかになっていますが、一方で、中国製ということで、中国政府の好まない相手向けにはわざと低品質な回答を出力している可能性があることが指摘されていました。セキュリティ企業・CrowdStrik
パスキー(FIDO)の安全性と脆弱性と破滅的欠陥 - falsandtruのメモ帳 🔖 300
これはパスキー(FIDO/FIDO2)の安全性と脆弱性と破滅的欠陥そして正しい認証設計の最も包括的かつ総合的な解説である。パスキーの破滅的欠陥の公開はこれが世界初である。特に重要な事項は次に列挙する。少し文量が多ければ最初はハイライト部分だけ流し読んで要点を掴むのもいいだろう。先
脆弱性っぽい挙動を見つけたときの倫理的な行動とは? | ドクセル 🔖 30
脆弱性っぽい挙動を見つけたときの 倫理的な行動とは? 2025-11-29 まっちゃ139勉強会 はせがわようすけ 長谷川陽介(はせがわようすけ) @hasegawayosuke (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事
これ、ランサムウェアの入り口になっちゃうやつでは? 大企業の6割超がVPN機器の脆弱性を「即時特定できない」 🔖 21
近年、企業におけるランサムウェア被害が高水準で推移している。警察庁のサイバー警察局が公表した報告でも、VPN機器などからの侵入がランサムウェアの主な感染経路として指摘されている点が挙げられている(警察庁サイバー警察局「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について
目的脆弱性診断での脆弱性の発見のフローをOWASP BWAを用いて体験する。ツールを用いた自動検証の後、手動でその脆弱性が実際に起こるかまでを手を動かして体験してみることで、ただ単にツールを使えるレベルからツールを使いこなして真に脆弱性があるかを検証できるスキルに近づ...
攻撃者の視点で学ぶPHPセキュリティ|Kali Linuxで実践する脆弱性テスト 🔖 2
攻撃者の視点で学ぶPHPセキュリティ|Kali Linuxで実践する脆弱性テスト 1. はじめにこれまでの記事で、セキュリティを守りながら生成AIでPHPを学ぶ方法を実践してきました。生成AIでプログラミング学習、その前に|社内SEが知っておくべきセキュリティの基本:
同じ脆弱性情報を使っているはずなのに!?なぜか発生した脆弱性の検知漏れ:パッケージの分類がもたらした落とし穴 🔖 38
NTTドコモビジネスが開発しているSBOM管理ソリューション「Threatconnectome」において、Trivyと同じ脆弱性データベースを使用しているにもかかわらず、特定のパッケージで脆弱性検出漏れが発生した事例を紹介します。 はじめに 1. Trivyにおけるパッケージの分
Suicaの脆弱性を指摘したセキュリティ企業トップが「暗号領域の情報が読み取れるSuicaビューア」公開で物議 目的を聞いた 🔖 158
アンノウン・テクノロジーズ(東京都千代田区)のCEOを務める切敷裕大さんが10月30日、個人のXアカウントで「世界初!暗号領域の情報が読み取れるSuicaビューアを公開」と投稿し、一部で注目を集めている。アンノウン・テクノロジーズは、8月に話題になったSuicaの脆弱性を指摘した
Apple、iOS/iPadOS 26.1で50件以上、macOS 26.1 Tahoeでは100件以上の脆弱性を修正したと発表。 🔖 7
AppleがiOS/iPadOS 26.1で50件以上、macOS 26.1 Tahoeでは100件以上の脆弱性を修正したと発表しています。詳細は以下から。 Appleは現地時間2025年11月03日、iPhoneやiPad向けに「iOS/iPadOS 26.1 (23B85)」
Takumi AIを活用したSAST脆弱性診断をしてみた 🔖 8
はじめに こんにちは、セキュリティ推進グループの徐承賢(a.k.a. sunchan)です。前回、Burp AIを活用したDASTの脆弱性診断について紹介しました(Burp AI: セキュリティ診断にAIの力を借りる - hacomono TECH BLOG)。今回はその続編とし
OpenAIがGPT-5ベースの脆弱性検知ツール「Aardvark」を発表、OpenAI社内ではすでに稼働中 🔖 42
ソースコードリポジトリを継続的に分析して脆弱(ぜいじゃく)性の特定を行うAIエージェント「Aardvark」を、OpenAIが発表しました。人間のようにコードを「読んで」セキュリティ対策を行うツールとされています。 Aardvark Private Beta | OpenAI h
VPN装置の脆弱性を突かれランサム被害に遭った関通、社長が語る侵害からの脱出劇 🔖 37
物流事業者の関通は2024年9月12日、ランサムウエア攻撃の被害に遭った。攻撃者はVPN装置経由で社内ネットワークに侵入。業務システムだけでなくバックアップデータも暗号化した。関通はこの緊急時をどう脱出したのか、一部始終を解説する。 ランサムウエアを使ったサイバー攻撃が活発だ。警
はじめに会社の社内勉強会で『安全なWebアプリケーションの作り方』1という本を選定し、シリアライゼーションに関する解説部分を担当することになって整理して見ました。本の内容を参考にしつつも、ほとんどの部分を自分なりに再構成してまとめました。本記事では、プログラム間でデー...
万博の予約サイト、かなり深刻な脆弱性があったが最後まで修正されなかった、「チケットIDさえわかれば誰でもなりすまし可能な状態でした」 🔖 99
J416DY @j416dy 万博予約サイト、最後まで修正されなかった脆弱性 パビリオン入場もほぼ終わったことなので公開。 万博予約サイトは、チケットIDさえわかればQRコードと予約情報が取り放題な脆弱性がありました。 チケットの追加登録のcheck用APIが、他アカウントに紐つ
Unityランタイムにおける任意コード実行が可能な脆弱性の技術的解説(CVE-2025-59489) 🔖 23
※ 本記事は Unity と開示タイミングを調整し公開された英語版の第一報記事の翻訳版です。 はじめに こんにちは、GMO Flatt Security株式会社でセキュリティエンジニアをしている RyotaK(@ryotkak)です。 本記事では、2025年5月に開催された Me
Gemini CLIに新機能、コード変更の分析、脆弱性の特定、デプロイの自動化など 🔖 37
新しいオープンソースツール「Gemini CLI Security拡張機能」は、ターミナルでコマンドを使用するか、GitHub Actionsの統合機能を通じて、セキュリティ分析を自動化し、問題をプロアクティブに検出・修正する。 具体的には、コード変更の分析を行い、専用のプロンプ
はじめに 依存関係の脆弱性 余談 脆弱性発生時の対応 Dependabot による脆弱性の検知 定期的にバージョンアップをする文化づくり Dependabot を活用した組織的な脆弱性対応 ACS 事業部のご紹介 はじめに こんにちは、ACS事業部の田中です。 今回は依存関係(ラ