解説：脆弱性関連情報取扱制度の運用と今後の課題について（前編）～公益性のある脆弱性情報開示とは何か～ - JPCERT/CC Eyes 🔖 12

※脆弱性関連情報取扱制度は経済産業省およびIPAとともに運用していますが、本稿はJPCERT/CCとして執筆したものです。 日本では、「情報セキュリティ早期警戒パートナーシップ」[1][2]に基づく運用を20年以上行ってきた実績があり、各国に先んじて、いわゆる「協調された脆弱性開

Google、Android セキュリティ更新を新方式へ。高リスク脆弱性を優先配信 🔖 12

Google が、Android のセキュリティアップデート提供方式を「リスクベース」と呼ばれる新しいアプローチに変更しました。これにより、緊急性の高い脅威からユーザーをよりすばやく保護することを目指します。 これまで毎月公開されてきた「Android セキュリティ情報」ですが、

脆弱性情報はガイドラインに即した取り扱いを。経産省が声明 🔖 23

脆弱性情報、勝手に開示しないで　経産省などがクギを刺す　FeliCaの事例念頭か 🔖 286

経済産業省は9月9日、報道におけるソフトウェアなどの脆弱性情報の取り扱いについて、改めて「情報セキュリティ早期警戒パートナーシップガイドライン」に即した対応を求める声明を出した。8月28日に共同通信が報じた「FeliCa」の事例が念頭にあるとみられる。 このガイドラインでは、発見

FeliCaの“脆弱性”報道はなにが問題なのか 🔖 316

インストーラーの修復でUACが必須に ～2025年8月以降のWindowsパッチで仕様変更／脆弱性に対処するためのセキュリティ強化の一環 🔖 26

NXの脆弱性『s1ngularity』でAI CLI を利用した攻撃を調査したら勉強になった話 🔖 4

2025年8月26日、Nxで悪意のあるパッケージが配布されました。開発者が普段から利用しているAI CLIツール（Claude Code, Gemini CLIなど） を利用する攻撃ということで、注目を集めました。私も普段からコーディングにClaude CodeやCursor

VS Codeでプロンプトインジェクションを可能にする3つの脆弱性　GitHubが対策とともに解説 🔖 29

GitHubは2025年8月25日（米国時間）に公開したブログ記事で、悪意のあるプロンプトでAI（人工知能）に本来とは違う意図の動作や回答をさせる攻撃「プロンプトインジェクション攻撃」について解説した。 これは「Visual Studio Code」（以下、VS Code）の「G

「FeliCa」の脆弱性で共同通信の報道が波紋　ソニーが公表していなかった“真っ当”な理由とは？ 🔖 386

共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。当初はFeliCaが持つ暗号システムを破ってデータ改ざんが可能になるという速報ベースのものだったが、独自と題した続報では旧式のシステムが持つ暗号鍵の脆弱性を利用することで、新型のシステムにお

2017年以前に出荷された一部のFeliCaの脆弱性、公開鍵暗号ではなく全カードで共通の共通鍵暗号を使ってきたことがことが原因 🔖 23

極端流形式仕様 初代𝕍𝕚𝕖𝕟𝕟𝕒𝕋𝕒𝕝𝕜𝕖𝕣 @tomooda 暗号界隈こわいからあまり大きな声で言わないけどさ、NISTが3DESダメと言ったのが2018年で、FeliCaで使ってたのは2017年以前のカードでしょ？それで「いつまでも使ってるほうが悪い」ということになるなら、今

JR東日本「Suicaは安心して利用して」--「FeliCaに重大な脆弱性」報道にコメント 🔖 12

また、FeliCaの提供元のソニーも「FeliCaのICチップのうち、2017年以前に出荷された一部のICチップについて、独立行政法人情報処理推進機構（IPA）の『情報セキュリティ早期警戒パートナーシップガイドライン』に基づき外部から指摘を受け、報告された操作により、当該チップに

Felica脆弱性問題、「楽天Edy」「nanaco」「WAON」「QUICPay」も「安心して使って」と声明 🔖 39

楽天Edyは今回の脆弱性について、「独自のセキュリティ対策を導入しているため顧客への影響はない。報道された脆弱性を悪用した不正なチャージ・決済は行えない」とコメント。 JCBは「QUICPayでは取引監視などの各種セキュリティ対策を講じており、これまで通り利用できる」と発表した。

17年以前のFeliCaチップに脆弱性　「引き続き安心して利用を」 🔖 20

【独自】フェリカに重大な脆弱性　交通系IC、データ改ざんの恐れ 🔖 19

交通系ICカードや電子マネーに使われている非接触式IC技術「FeliCa（フェリカ）」のセキュリティーに重大な脆弱性が見つかったことが28日、関係者への取材で分かった。データを改ざんされる恐れがある。開発元のソニーは「2017年以前に出荷された一部に脆弱性があり、暗号を突破される

FeliCaに脆弱性、ドコモは「おサイフケータイに影響なし」 🔖 12

「FeliCa」の脆弱性に関する一部報道について：楽天Edy 🔖 15

2025年8月28日に、ソニー株式会社が提供する通信技術である「FeliCa」に改ざんなどが可能となる脆弱性があるとの一部報道がありましたが、「楽天Edy」は独自のセキュリティ対策を導入しているため、お客様への影響はございません。 「楽天Edy」の各種カードおよび対応するスマート

ドコモからのお知らせ : FeliCa脆弱性に関する一部報道について | お知らせ | NTTドコモ 🔖 121

お客さまの設定により、お客さま情報が「非表示」となっております。お客さま情報を表示するにはdアカウントでログインしてください。 お客さま情報表示についてへ お客さま情報表示についてへ Tweet FeliCa脆弱性に関する一部報道について 2025年8月28日 平素は、NTTドコ

「Suica」などに採用の「FeliCa」に脆弱性見つかる　それでもソニーが「引き続き安心」とアピールする理由 🔖 168

交通系ICカードなどに使われる非接触型IC技術「FeliCa（フェリカ）」のICチップに脆弱性があると指摘された件で8月28日、開発元のソニーや「Suica」に同チップを採用したJR東日本、「iD」のNTTドコモなどが相次ぎ「引き続き安心して使える」旨の声明を発表した。 ソニーに

ソニー、フェリカに脆弱性　17年以前のICカードの一部に該当 - 日本経済新聞 🔖 28

ソニーグループ傘下のソニーは28日、交通系ICカードなどに使う通信技術「フェリカ」のセキュリティーに脆弱性が見つかったと発表した。2017年以前に出荷された旧型のチップが入った一部のカードが該当する。暗号システムを突破されデータが改ざんされる可能性があり、影響を受ける範囲の特定や

SSL/TLS の変遷と代表的な脆弱性 🔖 46

TLS 1.1 までには既に深刻な脆弱性が報告されており、公式には廃止(非推奨)となっています。 しかし、組み込み機器や医療・製造機器などのレガシーシステムや、システム更新に時間と費用が掛かる金融・公共機関のシステム、古いブラウザや OS との互換性を維持しているシステムなどでは

SSL/TLS の変遷と代表的な脆弱性 🔖 46

初めにこんにちは、新卒二年目のセキュリティエンジニアです。普段は Qiita で主にHackTheBox の WriteUp などを投稿しています。大学時代は非情報系の専攻だったこともあり、今まであまり暗号系の勉強はしてこなかったのですが、セキュリティを生業にしてい...

オンラインビデオ会議サービス「Zoom」に致命的な脆弱性／最大深刻度は「Critical」、最新版への更新を 🔖 49

Rustで書かれたWindowsカーネルコンポーネントで初めて脆弱性が発見される 🔖 44

本当は怖くない？CVSSスコアに惑わされない脆弱性との付き合い方 🔖 26

レバテック開発部の松浪です。先日、 multipart/form-data形式のHTTPリクエストを生成できるnpmパッケージ form-data にCVSSスコア9.4（Critical）の脆弱性が見つかりました。CVE-2025-7783CVSSスコア9.4（Criti

AIエージェント技術「MCP」に脆弱性報告が相次ぐ、 外部接続に情報窃取のリスク 🔖 125

AI（人工知能）エージェントと外部システムをつなぐ共通プロトコル「MCP（Model Context Protocol）」に関連する脆弱性の報告が相次いでいる。 2025年5月にはセキュリティーベンダーの米Snyk（スニーク）が、米Amazon Web Services（アマゾン

OSSは“使う前に”Claude Codeで脆弱性診断しよう 🔖 209

ここはサボってはいけないと感じた 「あ、便利そう 🤩」と感じたOSSのプラグインやMCP Serverをそのまま使っていませんか？ Vibe Codingで作られ、誰がセキュリティを見ているのか分からないOSSも最近増えてきました。 そんな中でリスクを無視し「動けば OK」と投入

OSSは“使う前に”Claude Codeで脆弱性診断しよう 🔖 209

ここはサボってはいけないと感じた「あ、便利そう 🤩」と感じたOSSのプラグインやMCP Serverをそのまま使っていませんか？Vibe Codingで作られ、誰がセキュリティを見ているのか分からないOSSも最近増えてきました。そんな中でリスクを無視し「動けば OK」と投入

ライブラリ脆弱性に対するAIトリアージの試み 🔖 4

お疲れ様です。エムスリーでセキュリティなどを担当している山本です。 最近は「生成AI x セキュリティ」にも関心を寄せており、色々と試していますので、その辺りの話をブログリレーの中で書いてみたいと思います。 テーマは「検出された少ないライブラリ脆弱性にどのようにAIを武器にして向

脆弱性診断 with AIエージェント、ついに開発チームにひろがりました。 🔖 133

こんにちは！PSIRT red team の kaworu と yusui です。4月に公開した脆弱性診断 with AIエージェント、はじめました。では、 AIエージェントを利用した脆弱性診断内製化について紹介しました。 約3ヶ月が経過し、記事で目標に掲げていた「開発のタイミン

徳丸さんは好きな脆弱性はありますか？ 私はクリックジャッキングです。 初めて脆弱性を学習したとき、透明化したページを重ねてユーザーに意図しない処理を実行するメカニズムに感動した覚えがあります。 （こういうやり方があるのか、みたいな感じでした。） | mond 🔖 258

徳丸さんは好きな脆弱性はありますか？ 私はクリックジャッキングです。 初めて脆弱性を学習したとき、透明化したページを重ねてユーザーに意図しない処理を実行するメカニズムに感動した覚えがあります。 （こういうやり方があるのか、みたいな感じでした。）

解凍・圧縮ソフト「7-Zip」にヒープバッファーオーバーフローの脆弱性、GitHubが報告／修正版への更新を 🔖 230

ハッキング大会「Pwn2Own」で「VMware」攻略に用いられた脆弱性、ようやく修正が完了／最大深刻度は「Critical」、対策版への更新を 🔖 10

解凍・圧縮ソフト「7-Zip」v25.00がリリース、64以上のCPUコアをより賢く活用する改善／圧縮パフォーマンスの改善、脆弱性の修正も 🔖 31

Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog 🔖 242

はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段

Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク 🔖 242

こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。WebAuthnによるPasskey認証は強固な認証手段ですが

Webアプリの脆弱性診断を依頼するための事前準備のポイント〜一診断員の視点から〜 🔖 3

はじめに こんにちは。森井です。今回は、一診断員の視点から、Webアプリケーション診断を円滑かつ効率的に進めるための事前準備のポイントについてご紹介します。 弊社では、診断準備の第一歩として、ヒアリングシートへのご記入をお願いしています。このシートには、ご担当者様の連絡先、診断対

「メールを送るだけ」でAI悪用攻撃可なMicrosoft 365 Copilotの脆弱性。緊急で対策済み 🔖 35

【WordPress】脆弱性対策について｜インフラエンジニアが解説 🔖 1

自動脆弱性診断ツールの導入と効率化の取り組み 🔖 50

はじめに こんにちは、PSIRTの田口です。 今回は、自動脆弱性診断ツール「AeyeScan」の導入とそれを活用するための取り組みによってサイボウズの脆弱性診断がどのように変わったのかをご紹介します。 背景となる課題、導入に向けた検討、そして実際の運用に至るまでの取り組みををまと

NISTが脆弱性管理の新指標「LEV」を提案　EPSSやKEVより信頼できる？ 🔖 34

米国国立標準技術研究所（NIST）は2025年5月19日（現地時間）、悪用される可能性のある脆弱（ぜいじゃく）性の予測に関する新たなセキュリティ指標「Likely Exploited Vulnerabilities」（LEV）を提案するホワイトペーパー（CSWP 41）を公開した

セキュリティ界の猛者が集うイエラエ新入社員、 驚くべきその“自己PR方法”とは？ | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ 🔖 56

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共にゲストを他社からお迎えし、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第5回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO

GitHub のニュースたくさん、脆弱性の管理を楽にする新機能など｜Productivity Weekly(2025-05-07) 🔖 1

こんにちは。サイボウズ株式会社 生産性向上チームの佐々木です。僕たち生産性向上チームは毎週水曜日に Productivity Weekly という「1 週間の間に発見された開発者の生産性向上に関するネタを共有する会」を社内で開催しています。本記事はその時のネタをまとめたもので

🛡️ AutoPentest：LLMで自動化する脆弱性管理 🔖 20

こんにちは！やきとりです。 今回は、「大規模言語モデル（LLM）を使って、ペネトレーションテスト（侵入テスト）を自動化し、脆弱性管理を効率化する」という論文を紹介します。 元論文情報 タイトル：AutoPentest: Enhancing Vulnerability Manage

ハッキング大会「Pwn2Own」で「Firefox」がまた陥落……するも、「本丸」は死守！／21時間以内に脆弱性をふさぐ対応の早さも見せつける【やじうまの杜】 🔖 34

「もう手動での対応は無理……」　Linux関連の脆弱性は前年比で967％増加 🔖 71

Action1は2025年5月15日（現地時間）、2025年版「Software Vulnerability Ratings Report」を発表し、2024年におけるソフトウェア脆弱（ぜいじゃく）性の発見数が前年比で61％増加し、既知の悪用された脆弱性も96％増加したことを明ら

Burp MCP Serverを使って自然言語でBurpを操作する 脆弱性診断を自動化したい 🔖 76

Burp MCP Serverを使って自然言語でBurpを操作して脆弱性診断を一部自動化したい 🔖 76

これは何?最近流行りのMCP(Model Context Protocol)使うといろんな操作をAIエージェントにやってもらえるようになる。今回は脆弱性診断等で使用されるBurp SuiteをB…

修正済みのWindows脆弱性を悪用　NTLMの欠陥を悪用する攻撃が急増中 🔖 22

Check Point Software Technologiesの研究部門であるCheck Point Researchは2025年4月16日（現地時間、以下同）、「Windows」ネットワークで使用される認証プロトコルNTLM認証に使われるハッシュ値が外部に漏れる恐れのある脆

MCPセキュリティ評価：文献調査によるMCPセキュリティ脅威の特定と脆弱性分析 🔖 1

AIシステムにおけるモデルコンテキストプロトコルとそのセキュリティ上の意味合いに関する15の主要研究論文の体系的分析に基づく技術白書1.序論と目的1.1 背景と論拠AIシステムが急速なペースで…

IIJ不正アクセス、原因は「Active! mail」の脆弱性を悪用したゼロデイ攻撃　586契約で漏えい判明 🔖 37

586契約で情報漏えいを確認 情報漏えいの対象となった契約数は586契約（同一顧客で重複しているものは除外）。内訳は、電子メールのアカウント・パスワードの漏えいが132契約、電子メールの本文・ヘッダ情報の漏えいが6契約、当該サービスと連携されていた他社クラウドサービスの認証情報の