はてぶ・Qiita・Zennのトレンド記事を紹介
セキュリティは、情報やシステムを不正アクセスや攻撃から守るための技術や対策です。パスワード管理やウイルス対策、暗号化などが含まれます。
Adobe Acrobat および Reader の脆弱性対策について(2026年4月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 🔖 8
概要 2026年4月11日(日本時間)に Adobe Acrobat および Reader に関するセキュリティ更新プログラムが公表されています。 これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発
「もう開発者はシークレットを使うな」 GitHubが「今日できる」4つのセキュリティ対策を紹介 🔖 52
「もう開発者はシークレットを使うな」 GitHubが「今日できる」4つのセキュリティ対策を紹介:GitHub Actions起点の攻撃が増加中 GitHubは、オープンソースソフトウェアを狙う攻撃が新たなパターンに移行していると報告した。サイバー攻撃はAPIキーなどのシークレット
Linuxカーネルで「AIが生成したコードのすべての行、およびそれに起因するバグやセキュリティ上の欠陥の法的責任」を提出した人間がしっかりと負うことに 🔖 45
by Mike Cohen Linuxカーネルの開発コミュニティが数ヶ月にわたる議論を経て、AIが生成したコードの寄稿に関する正式なプロジェクト全体のポリシーを策定しました。LinuxカーネルのBDFLであるリーナス・トーバルズ氏とメンテナーたちの合意によって成立したこの規定は、
米財務長官とFRB議長が銀行幹部に警告 Anthropicの最新AI巡り、サイバーセキュリティに懸念 🔖 19
[9日 ロイター] - ベセント米財務長官とパウエル連邦準備理事会(FRB)議長が今週、銀行幹部との緊急会合を開き、米Anthropicの最新人工知能(AI)モデルがもたらすサイバーセキュリティ上のリスクについて警告したと、複数の関係筋が9日明らかにした。 Anthropicは今
MCP vs Skills論争に決着をつける試み。AIエージェントの「拡張手段」を実装・設計・セキュリティで徹底比較する 🔖 1
はじめにこんばんは、mirukyです。「MCPはもう死んだ」「Skillsが新しい標準だ」、、などなど。ニーチェ?ここ数週間、特に英語圏のX(旧Twitter)やHacker Newsでこの手の議論が絶えません。2026年4月2日に投稿された下記の記事は、特に話...
Mythosが脅かすプラットフォームセキュリティの世界を乗り越える 🔖 1
RHELのスペシャリストソリューションアーキテクトの田中司恩(@tnk4on)です。 この記事はRed Hat Blogの Navigating the Mythos-haunted world of platform security を、許可を受けて翻訳したものです。 Cla
Claude次世代モデル「Mythos」が一般公開されないワケ セキュリティ能力高すぎて「ゼロデイ攻撃自律開発」「出られないはずのサンドボックスから脱出」 🔖 52
Claude次世代モデル「Mythos」が一般公開されないワケ セキュリティ能力高すぎて「ゼロデイ攻撃自律開発」「出られないはずのサンドボックスから脱出」 米Anthropicは4月7日(現地時間)、開発中の次世代モデル「Claude Mythos Preview」(以下、Myt
セキュリティエンジニアはこう見る。開発時に認可制御不備を怪しむべき実装パターン10選 - GMO Flatt Security Blog 🔖 161
はじめに こんにちは。GMO Flatt Security株式会社セキュリティエンジニアの村上です。入社してから5年ほどWebアプリケーションを中心に脆弱性診断を担当しています。 近年、言語やフレームワークの進化により、SQL Injectionなどの古典的脆弱性は減少傾向にあり
セキュリティエンジニアはこう見る。開発時に認可制御不備を怪しむべき実装パターン10選 🔖 161
はじめに こんにちは。GMO Flatt Security株式会社セキュリティエンジニアの村上です。入社してから5年ほどWebアプリケーションを中心に脆弱性診断を担当しています。 近年、言語やフレームワークの進化により、SQL Injectionなどの古典的脆弱性は減少傾向にあり
自作の短縮URLを社内Slackに貼ったら「フィッシングです」とセキュリティチームに通報された 🔖 16
個人開発で短縮URLサービスを作っている。クリック分析、UTMパラメータ自動付与、OGPプレビュー。企業向けのBitlyみたいなやつを、個人で安く使える版として開発した。完成した時、嬉しくて社内Slackで共有した。「短縮URLサービス作りました! よかったら使ってく...
【セキュリティ】JWTの署名を信頼していたら `alg: none` で管理者権限を奪取された話 🔖 4
導入:改ざん不可能なはずのトークン「JWTって署名が付いてるから改ざんされませんよね?」認証基盤の設計レビューで、私はそう発言しました。チームの誰もが同意し、JWTベースの認証システムは予定通りリリースされました。数週間後、脆弱性診断レポートの一番上に赤字の【Cri...
総務省が出したAIセキュリティのガイドラインを読んで軽くまとめた 🔖 2
令和8年3月、総務省が「AIのセキュリティ確保のための技術的対策に係るガイドライン」を公開した。LLMを組み込んだシステムが普及してきた中で、脅威が顕在化してきたので整理しましたという内容。対象読者はAI開発者とAI提供者。脅威は主に2種類ガイドラインが主に扱う...
新しいセキュアブート証明書が適用済みかWindowsセキュリティからわかるように | ニッチなPCゲーマーの環境構築Z 🔖 22
Microsoftは、Windows11 / Windows10 / Windows Serverにおいて、新しいセキュアブート証明書への更新が完了しているかどうかを、Windowsセキュリティ上から確認できる新機能を発表しました。 2026年6月に既存の古いセキュアブート証明書
TOP > セキュリティブログ > Webアプリ > Claude CodeもCodex Securityも見落とした、CSRFトークン漏洩の脆弱性 はじめに こんにちは。オフェンシブセキュリティ部の山崎です。突然ですが、以下はRailsで実装されたSAML IdPのフォームで、
【2026年最新版】エンジニアが知っておくべきセキュリティインシデント8選 🔖 128
対象パッケージの合計週間ダウンロード数は2,000万以上。500以上のGitHubユーザー、150以上のGitHub組織のデータが流出しました。 エンジニアとしての教訓 npmトークンに2FAを必ず設定する postinstallスクリプトを含む依存関係を定期的に監査する npm
Cloudflare、WordPressの機能をTypeScriptで再構築した「EmDash」をオープンソースとしてプレビューリリース ―WordPressプラグインのセキュリティ問題を解消 Cloudflareは2026年4月1日、メジャーなCMSであるWordPress
Claude Code もろもろのセキュリティ周りの件で、Claudeにセルフチェックさせる指示文をつくったので共有 🔖 1
はじめにいえらぶGROUPの開発部で執行役員を務めています、和田です。わだけんです。Claude Code周りのセキュリティ事件、話題になってますね。AIの開発スピードがどうだとか人的ミスがどうだとか、いろいろと話がありますが、とりあえず手元のClaudeのセキュリ...
セキュリティ要件定義書を最後に更新したのはいつですか? 🔖 1
こんにちは。エーピーコミュニケーションズ ACS事業部の福井です。 近年、生成AIやLLM(大規模言語モデル)を活用したアプリケーションの開発・導入が急速に進んでいます。一方で、セキュリティ要件定義の現場はそのスピードに追いついていないという課題が浮き彫りになっています。 そんな
Ubieにおける一年間のセキュリティ分析AIエージェントの運用 🔖 22
Ubie社内でセキュリティ分析に利用できる生成AIエージェントを開発・運用をはじめておよそ1年が経ちました。よい区切りではあるので、セキュリティ分析における生成AI利用について得られた知見などをまとめたいと思います。 前提:「セキュリティ分析」とは? まず、セキュリティアラートと
開発チームに入ってセキュリティを向上するということ - カミナシ エンジニアブログ 🔖 34
「カミナシ レポート」の開発・運用をしている、AWS インフラが得意な Security Engineering の furuya です(属性過多)。妙に流行り物に乗っかるときがあるのですが、「超かぐや姫!」を見てきました。よかったです。それはさておき今回は「カミナシ レポート」
【OsecT】米国OTセキュリティカンファレンス「S4x26」に出展 🔖 2
こんにちは、イノベーションセンターの石禾(GitHub:rhisawa)です。NTTドコモビジネス内製OT向け侵入検知システム(OT-IDS)であるOsecTの開発・運用・拡販業務に取り組んでおります。 このたび、米国マイアミで開催された大規模OTセキュリティカンファレンスS4x
開発チームに入ってセキュリティを向上するということ 🔖 34
「カミナシ レポート」の開発・運用をしている、AWS インフラが得意な Security Engineering の furuya です(属性過多)。妙に流行り物に乗っかるときがあるのですが、「超かぐや姫!」を見てきました。よかったです。それはさておき今回は「カミナシ レポート」
開発チームに入ってセキュリティを向上するということ 🔖 34
「カミナシ レポート」の開発・運用をしている、AWS インフラが得意な Security Engineering の furuya です(属性過多)。妙に流行り物に乗っかるときがあるのですが、「超かぐや姫!」を見てきました。よかったです。それはさておき今回は「カミナシ レポート」
Ubieにおける一年間のセキュリティ分析AIエージェントの運用 🔖 22
Ubie社内でセキュリティ分析に利用できる生成AIエージェントを開発・運用をはじめておよそ1年が経ちました。よい区切りではあるので、セキュリティ分析における生成AI利用について得られた知見などをまとめたいと思います。 前提:「セキュリティ分析」とは?まず、セキュリティアラー
Ubieにおける一年間のセキュリティ分析AIエージェントの運用 🔖 22
Ubie社内でセキュリティ分析に利用できる生成AIエージェントを開発・運用をはじめておよそ1年が経ちました。よい区切りではあるので、セキュリティ分析における生成AI利用について得られた知見などをまとめたいと思います。 前提:「セキュリティ分析」とは?まず、セキュリティアラー
Ubieにおける一年間のセキュリティ分析AIエージェントの運用 🔖 22
Ubie社内でセキュリティ分析に利用できる生成AIエージェントを開発・運用をはじめておよそ1年が経ちました。よい区切りではあるので、セキュリティ分析における生成AI利用について得られた知見などをまとめたいと思います。 前提:「セキュリティ分析」とは?まず、セキュリティアラー
RFC 9931、HTTP/1.1における楽観的プロトコル遷移のセキュリティ - ASnoKaze blog 🔖 22
『RFC 9931 Security Considerations for Optimistic Protocol Transitions in HTTP/1.1』が発行されました。 このRFCはHTTP/1.1におけるプロトコル遷移(Protocol Transitions)の
AIの、AIによる、AIのためのペネトレーションテスト - ラック・セキュリティごった煮ブログ 🔖 17
デジタルペンテスト部の鈴木です。 普段はプラットフォーム診断を担当しています。 はじめに 近年、生成AIやAIエージェントの急速な発展により、さまざまな分野で業務の自動化が進んでいます。ソフトウェア開発や運用の分野でもAIの活用が広がっており、セキュリティ領域においてもその流れは
AIエージェント導入で「セキュリティどうするの?」と聞かれたときの技術的な答え方 🔖 334
この記事を読んでほしい人 Claude Code / Cursor などのAIエージェントをチームに導入したいエンジニア 情シスから「セキュリティ面の対応は?」と聞かれて技術的に答えたい人 AIツール導入のセキュリティ面の検討材料を探している情シス担当 AIエージェント導入で必ず
やさしいとこから始めるGitHubリポジトリのセキュリティ 🔖 98
Azure DevOpsオンライン Vol.14 ~ DevSecOps https://tfsug.connpass.com/event/385605/
セキュリティコンサルタント1年目が最初に身につけるべき「情報の読み解き方」 🔖 2
TL;DR技術知識だけでは「事実の要約」止まり。顧客が求めるのは「判断材料と提案」3つの問い(背景・目的・効果)を立てるだけで、情報の読み解き方が変わる毎週のJPCERT/CC Weekly Reportで繰り返し練習できる対象読者セキュリティコンサルタ...
新人プログラマがLLM APIを使う前に知っておくべきセキュリティの基本 🔐 🔖 2
はじめにI'm a fullstack coding instructor. Every bootcamp cycle, I see the same pattern: new developers get excited about LLM APIs, build s...
AIエージェント導入で「セキュリティどうするの?」と聞かれたときの技術的な答え方 🔖 334
この記事を読んでほしい人Claude Code / Cursor などのAIエージェントをチームに導入したいエンジニア情シスから「セキュリティ面の対応は?」と聞かれて技術的に答えたい人AIツール導入のセキュリティ面の検討材料を探している情シス担当!本記事はAIエージ
「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」(SCS評価制度の構築方針)を公表しました (METI/経済産業省) 🔖 12
【2026年3月27日更新】関連資料を一部差し替えました。 経済産業省及び内閣官房国家サイバー統括室は、「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(SCS(Supply Chain Security)評価制度の構築方針(案))に対して実施し
攻撃経路「オンプレからクラウドへ」はもう古い インフォスティーラーが変えたセキュリティの新常識 🔖 15
「インフォスティーラー」は単なる技術的な流行語ではなく、企業の事業継続を脅かす戦略的なリスクとして認識され始めている。その脅威が現実のものとして社会に衝撃を与えたのが、2025年上半期に日本国内で発生した大規模な証券口座乗っ取り事件だ。 この事件では、2025年1~6月のわずか半
Security.any#09で「建設DXを支えるANDPAD: 2025年のセキュリティの取り組みと卒業したいセキュリティ」というタイトルで発表しました! 🔖 2
こんにちは! アンドパッド セキュリティグループの 宜野座(ぎのざ)です。 2026/03/19(木)に開催されたSecurity.any#09でアンドパッドは会場スポンサーとして協賛し、スポンサーLTに参加させていただきました! 私のLTでは、「建設DXを支えるANDPAD:
丸谷元人 @h_marutani これは本当にその通り。 ナイジェリアの石油施設で、 セキュリティ主任として勤務していた頃、 当時同国で暴れ回り、市民を殺しまくっていた 国際テロ組織「ボコハラム」が なぜ、あれだけ強力で、 高価な最新の兵器で重武装し、 ナイジェリア軍の動きを ま
AI前提のセキュリティ対策室での仕事 - Pepabo Tech Portal 🔖 46
セキュリティ対策室のn01e0です。 この記事では、セキュリティ対策室で私がAI(広義)をどのように活用しているかを紹介します。 Attack Surface Managementの自動化から、機械学習による異常検知、AIエージェントを活用した脆弱性診断まで、私の業務の各領域でA
NemoClaw触ってみた:OpenClawのセキュリティ問題を解消できるのか? 🔖 46
本記事はNemoClaw Alpha版(2026年3月17日時点)の検証です。仕様は今後変更される可能性があります。 Komlock lab VPoE阿部(@takupeso)です。 僕はリリース初期からOpenClawエージェントを並列稼働させ、 開発、情報収集、読書サポート、
GPT-5.4 Computer Use を実際に動かしてわかったこと ── API設計・実装パターン・セキュリティの勘所 🔖 1
LLM が「PC を操作する」時代に入った2026年3月、OpenAI が GPT-5.4 をリリースしました。目玉機能の一つが Computer Use です。これまで LLM の仕事は「テキストを生成すること」でした。コードを書く、文章を要約する、質問に答える...