はてぶ・Qiita・Zennのトレンド記事を紹介
脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の弱点です。攻撃者に悪用される前に、早期発見と対策が重要です。
Felica脆弱性問題、「楽天Edy」「nanaco」「WAON」「QUICPay」も「安心して使って」と声明 🔖 40
楽天Edyは今回の脆弱性について、「独自のセキュリティ対策を導入しているため顧客への影響はない。報道された脆弱性を悪用した不正なチャージ・決済は行えない」とコメント。 JCBは「QUICPayでは取引監視などの各種セキュリティ対策を講じており、これまで通り利用できる」と発表した。
JR東日本「Suicaは安心して利用して」--「FeliCaに重大な脆弱性」報道にコメント 🔖 12
また、FeliCaの提供元のソニーも「FeliCaのICチップのうち、2017年以前に出荷された一部のICチップについて、独立行政法人情報処理推進機構(IPA)の『情報セキュリティ早期警戒パートナーシップガイドライン』に基づき外部から指摘を受け、報告された操作により、当該チップに
【独自】フェリカに重大な脆弱性 交通系IC、データ改ざんの恐れ 🔖 19
交通系ICカードや電子マネーに使われている非接触式IC技術「FeliCa(フェリカ)」のセキュリティーに重大な脆弱性が見つかったことが28日、関係者への取材で分かった。データを改ざんされる恐れがある。開発元のソニーは「2017年以前に出荷された一部に脆弱性があり、暗号を突破される
ドコモからのお知らせ : FeliCa脆弱性に関する一部報道について | お知らせ | NTTドコモ 🔖 121
お客さまの設定により、お客さま情報が「非表示」となっております。お客さま情報を表示するにはdアカウントでログインしてください。 お客さま情報表示についてへ お客さま情報表示についてへ Tweet FeliCa脆弱性に関する一部報道について 2025年8月28日 平素は、NTTドコ
「Suica」などに採用の「FeliCa」に脆弱性見つかる それでもソニーが「引き続き安心」とアピールする理由 🔖 168
交通系ICカードなどに使われる非接触型IC技術「FeliCa(フェリカ)」のICチップに脆弱性があると指摘された件で8月28日、開発元のソニーや「Suica」に同チップを採用したJR東日本、「iD」のNTTドコモなどが相次ぎ「引き続き安心して使える」旨の声明を発表した。 ソニーに
ソニー、フェリカに脆弱性 17年以前のICカードの一部に該当 - 日本経済新聞 🔖 28
ソニーグループ傘下のソニーは28日、交通系ICカードなどに使う通信技術「フェリカ」のセキュリティーに脆弱性が見つかったと発表した。2017年以前に出荷された旧型のチップが入った一部のカードが該当する。暗号システムを突破されデータが改ざんされる可能性があり、影響を受ける範囲の特定や
「FeliCa」の脆弱性に関する一部報道について:楽天Edy 🔖 16
2025年8月28日に、ソニー株式会社が提供する通信技術である「FeliCa」に改ざんなどが可能となる脆弱性があるとの一部報道がありましたが、「楽天Edy」は独自のセキュリティ対策を導入しているため、お客様への影響はございません。 「楽天Edy」の各種カードおよび対応するスマート
TLS 1.1 までには既に深刻な脆弱性が報告されており、公式には廃止(非推奨)となっています。 しかし、組み込み機器や医療・製造機器などのレガシーシステムや、システム更新に時間と費用が掛かる金融・公共機関のシステム、古いブラウザや OS との互換性を維持しているシステムなどでは
初めにこんにちは、新卒二年目のセキュリティエンジニアです。普段は Qiita で主にHackTheBox の WriteUp などを投稿しています。大学時代は非情報系の専攻だったこともあり、今まであまり暗号系の勉強はしてこなかったのですが、セキュリティを生業にしてい...
本当は怖くない?CVSSスコアに惑わされない脆弱性との付き合い方 🔖 26
レバテック開発部の松浪です。先日、 multipart/form-data形式のHTTPリクエストを生成できるnpmパッケージ form-data にCVSSスコア9.4(Critical)の脆弱性が見つかりました。CVE-2025-7783CVSSスコア9.4(Criti
AIエージェント技術「MCP」に脆弱性報告が相次ぐ、 外部接続に情報窃取のリスク 🔖 125
AI(人工知能)エージェントと外部システムをつなぐ共通プロトコル「MCP(Model Context Protocol)」に関連する脆弱性の報告が相次いでいる。 2025年5月にはセキュリティーベンダーの米Snyk(スニーク)が、米Amazon Web Services(アマゾン
OSSは“使う前に”Claude Codeで脆弱性診断しよう 🔖 209
ここはサボってはいけないと感じた 「あ、便利そう 🤩」と感じたOSSのプラグインやMCP Serverをそのまま使っていませんか? Vibe Codingで作られ、誰がセキュリティを見ているのか分からないOSSも最近増えてきました。 そんな中でリスクを無視し「動けば OK」と投入
OSSは“使う前に”Claude Codeで脆弱性診断しよう 🔖 209
ここはサボってはいけないと感じた「あ、便利そう 🤩」と感じたOSSのプラグインやMCP Serverをそのまま使っていませんか?Vibe Codingで作られ、誰がセキュリティを見ているのか分からないOSSも最近増えてきました。そんな中でリスクを無視し「動けば OK」と投入
お疲れ様です。エムスリーでセキュリティなどを担当している山本です。 最近は「生成AI x セキュリティ」にも関心を寄せており、色々と試していますので、その辺りの話をブログリレーの中で書いてみたいと思います。 テーマは「検出された少ないライブラリ脆弱性にどのようにAIを武器にして向
脆弱性診断 with AIエージェント、ついに開発チームにひろがりました。 🔖 133
こんにちは!PSIRT red team の kaworu と yusui です。4月に公開した脆弱性診断 with AIエージェント、はじめました。では、 AIエージェントを利用した脆弱性診断内製化について紹介しました。 約3ヶ月が経過し、記事で目標に掲げていた「開発のタイミン
徳丸さんは好きな脆弱性はありますか? 私はクリックジャッキングです。 初めて脆弱性を学習したとき、透明化したページを重ねてユーザーに意図しない処理を実行するメカニズムに感動した覚えがあります。 (こういうやり方があるのか、みたいな感じでした。)
Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog 🔖 242
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段
Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク 🔖 242
こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。WebAuthnによるPasskey認証は強固な認証手段ですが
Webアプリの脆弱性診断を依頼するための事前準備のポイント〜一診断員の視点から〜 🔖 3
はじめに こんにちは。森井です。今回は、一診断員の視点から、Webアプリケーション診断を円滑かつ効率的に進めるための事前準備のポイントについてご紹介します。 弊社では、診断準備の第一歩として、ヒアリングシートへのご記入をお願いしています。このシートには、ご担当者様の連絡先、診断対
はじめに こんにちは、PSIRTの田口です。 今回は、自動脆弱性診断ツール「AeyeScan」の導入とそれを活用するための取り組みによってサイボウズの脆弱性診断がどのように変わったのかをご紹介します。 背景となる課題、導入に向けた検討、そして実際の運用に至るまでの取り組みををまと
NISTが脆弱性管理の新指標「LEV」を提案 EPSSやKEVより信頼できる? 🔖 34
米国国立標準技術研究所(NIST)は2025年5月19日(現地時間)、悪用される可能性のある脆弱(ぜいじゃく)性の予測に関する新たなセキュリティ指標「Likely Exploited Vulnerabilities」(LEV)を提案するホワイトペーパー(CSWP 41)を公開した
セキュリティ界の猛者が集うイエラエ新入社員、 驚くべきその“自己PR方法”とは? | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ 🔖 56
イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共にゲストを他社からお迎えし、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第5回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO
GitHub のニュースたくさん、脆弱性の管理を楽にする新機能など|Productivity Weekly(2025-05-07) 🔖 1
こんにちは。サイボウズ株式会社 生産性向上チームの佐々木です。僕たち生産性向上チームは毎週水曜日に Productivity Weekly という「1 週間の間に発見された開発者の生産性向上に関するネタを共有する会」を社内で開催しています。本記事はその時のネタをまとめたもので
🛡️ AutoPentest:LLMで自動化する脆弱性管理 🔖 20
こんにちは!やきとりです。 今回は、「大規模言語モデル(LLM)を使って、ペネトレーションテスト(侵入テスト)を自動化し、脆弱性管理を効率化する」という論文を紹介します。 元論文情報 タイトル:AutoPentest: Enhancing Vulnerability Manage
「もう手動での対応は無理……」 Linux関連の脆弱性は前年比で967%増加 🔖 71
Action1は2025年5月15日(現地時間)、2025年版「Software Vulnerability Ratings Report」を発表し、2024年におけるソフトウェア脆弱(ぜいじゃく)性の発見数が前年比で61%増加し、既知の悪用された脆弱性も96%増加したことを明ら
Burp MCP Serverを使って自然言語でBurpを操作して脆弱性診断を一部自動化したい 🔖 76
これは何?最近流行りのMCP(Model Context Protocol)使うといろんな操作をAIエージェントにやってもらえるようになる。今回は脆弱性診断等で使用されるBurp SuiteをB…
修正済みのWindows脆弱性を悪用 NTLMの欠陥を悪用する攻撃が急増中 🔖 22
Check Point Software Technologiesの研究部門であるCheck Point Researchは2025年4月16日(現地時間、以下同)、「Windows」ネットワークで使用される認証プロトコルNTLM認証に使われるハッシュ値が外部に漏れる恐れのある脆
MCPセキュリティ評価:文献調査によるMCPセキュリティ脅威の特定と脆弱性分析 🔖 1
AIシステムにおけるモデルコンテキストプロトコルとそのセキュリティ上の意味合いに関する15の主要研究論文の体系的分析に基づく技術白書1.序論と目的1.1 背景と論拠AIシステムが急速なペースで…
IIJ不正アクセス、原因は「Active! mail」の脆弱性を悪用したゼロデイ攻撃 586契約で漏えい判明 🔖 37
586契約で情報漏えいを確認 情報漏えいの対象となった契約数は586契約(同一顧客で重複しているものは除外)。内訳は、電子メールのアカウント・パスワードの漏えいが132契約、電子メールの本文・ヘッダ情報の漏えいが6契約、当該サービスと連携されていた他社クラウドサービスの認証情報の
【RubyKaigi 2025クイズ解説】GitLabの事例に学ぶ、Webアプリケーションの重大な脆弱性 🔖 23
GMO Flatt Securityの大崎です。RubyKaigi 2025の弊社ブースで「バグバウンティクイズ」に回答いただいた皆様ありがとうございました。 私はブースには立ちませんでしたが、今回作問を担当しました。各脆弱性の解説ブログとして本記事を執筆させていただきます。 ブ
脆弱性管理を担うCVEプログラムの運営資金が2025年4月16日で失効することが明らかに 🔖 39
共通脆弱(ぜいじゃく)性識別子(CVE)プログラムは個別製品中の脆弱性を対象として、アメリカ政府の支援を受けた非営利団体・MITREが脆弱性ごとに識別子を付与する制度です。このCVEプログラムが、アメリカの国土安全保障省が資金提供契約を更新しなかったことで、現地時間の2025年4
はじめまして、SRE 部に所属しているもりと申します。「弊社が運営する、ウェルネス産業に特化した会員管理・予約・決済システムを提供するバーティカルSaaSであるhacomono」のサービス運用や信頼性向上のためのセキュリティ施策の実施をしたりしております。 本記事では SRE 部
脆弱性診断 with AIエージェント、はじめました。 - freee Developers Hub 🔖 77
こんにちは!PSIRT red team の kaworu と yusui です。 最近力を入れて取り組んでいる、 AIエージェントを利用した脆弱性診断の取り組みについて紹介します。 取り組みの背景 はじめに、現在のfreeeの脆弱性診断の体制と、取り組みの背景についてです。 f
脆弱性診断 with AIエージェント、はじめました。 🔖 77
こんにちは!PSIRT red team の kaworu と yusui です。 最近力を入れて取り組んでいる、 AIエージェントを利用した脆弱性診断の取り組みについて紹介します。 取り組みの背景 はじめに、現在のfreeeの脆弱性診断の体制と、取り組みの背景についてです。 f
アプリケーション固有の「ロジックの脆弱性」を防ぐ開発者のためのセキュリティ観点 🔖 159
スライド内でも紹介している、ロジックの脆弱性の診断やセキュリティ観点での仕様レビューが可能なAIエージェント「Takumi」は下記からウェイトリストにご登録いただけます。 https://flatt.tech/takumi
日本人の「デモ嫌い」が生むプロパガンダへの脆弱性を解明 🔖 52
日本人の「デモ嫌い」が生むプロパガンダへの脆弱性を解明 ― 超イデオロギー的に受容される親中ナラティブ― 発表のポイント 日本では、「2019年の香港デモはCentral Intelligence Agency(CIA)やNational Endowment for Democr
政府高官が軍事計画の情報共有に使っていたメッセージアプリ「Signal」の脆弱性について政府が職員に警告していたことが判明 🔖 15
安全性に定評があるメッセージアプリ・Signalの使用について、アメリカ国家安全保障局(NSA)が職員に対して警告を発していたことがわかりました。 NSA warned of vulnerabilities in Signal app a month before Houthi
Next.jsのMiddlewareで認証している方はすぐに確認を!認可バイパス脆弱性(CVE-2025-29927)の解説と対策 🔖 6
Next.jsのCVE-2025-29927という脆弱性情報はもうご存じでしょうか? Next.jsのMiddleware(ミドルウェア)で行っている認証・認可チェックを攻撃者にすり抜けられてしまう…
Next.jsの脆弱性CVE-2025-29927まとめ 🔖 114
本記事の文章表現の一部には、生成AI(Google Gemini)を用いた校正・改善を行っています。ただし、掲載されている情報の正確性については筆者自身が責任をもって確認・執筆しています。AIの力を借りながらも情報の信頼性を最優先にしていますので安心してお読みいただければ幸いです