はてぶ・Qiita・Zennのトレンド記事を紹介
脆弱性は、ソフトウェアやシステムに存在するセキュリティ上の弱点です。攻撃者に悪用される前に、早期発見と対策が重要です。
【徳丸本まとめ】Webアプリの脆弱性と対策を一気に整理する 🔖 218
セキュアなWebアプリ開発 ― 押さえておきたい脆弱性と対策まとめ 本記事の出典 徳丸 浩 著『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(SBクリエイティブ)の内容をもとに、要点を整理・再構成したものです。 より詳しい解説や背景については、ぜひ原著をご参照くだ
axiosで発見された重大な脆弱性 - 2026.04.12 🔖 1
!【2026-04-13 追記】本記事はAdvisoryベースで執筆しており、実機での再現確認をしていませんでした。コメント欄でのご指摘を受け調査したところ、Node.js の http モジュールは assertValidHeaderValue により CRLFを含むヘッ
GHSA-fvcv-3m26-pcqx (Axios の脆弱性) がなんか変 🔖 3
GHSA-fvcv-3m26-pcqx (Axios の脆弱性) がなんか変Unrestricted Cloud Metadata Exfiltration via Header Injection Chain (CVE-2026-40175) が先日出されました。適当に読ん
【徳丸本まとめ】Webアプリの脆弱性と対策を一気に整理する 🔖 218
セキュアなWebアプリ開発 ― 押さえておきたい脆弱性と対策まとめ本記事の出典徳丸 浩 著『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(SBクリエイティブ)の内容をもとに、要点を整理・再構成したものです。より詳しい解説や背景については、ぜひ原著を...
すべてのMacに49.7日バグ—長期稼働でTCP接続不能になる脆弱性が発覚 🔖 194
4月9日、Photon社が「The 49.7-Day Time Bomb Hidden in Every Mac's Network Stack」と題した記事を公開した。 すべてのMacには、49日17時間2分47秒の連続稼働後に新しいネットワーク接続を一切受け付けなくなるという
ECR イメージスキャンでコンテナの脆弱性を検知する 🔖 1
目次 はじめに ECR イメージスキャンとは 構成の全体像 検知の網羅性 通知のノイズ低減 認知のスピード コスト 試算の考え方 試算例 Terraform による構築 1. ECR スキャン設定 2. EventBridge ルール 3. SNS トピック 4. AWS Cha
脆弱性対応と minimumReleaseAge を両立しながら依存管理をクリーンに保つ 🔖 19
はじめにこんにちは。PKSHA Technology で SWE をしている須藤です。npm エコシステムを標的としたサプライチェーン攻撃はすでに現実のリスクです。2026 年 3 月には、週間 8,000 万ダウンロードを超える axios のメンテナーアカウントが乗っ取ら
NEC「Aterm」シリーズに複数の脆弱性 アップデートまたは買い換えを推奨 🔖 548
Japan Vulnerability Notes(JVN)は4月3日、日本電気(NEC)製の複数のWi-Fiルーターに関する脆弱性情報を公開した。 脆弱性の概要と想定される影響は、それぞれ以下のとおり。 ●脆弱性の概要 ・権限チェックの欠如(CVE-2026-4309) ・パス
CopilotエージェントモードでEOL・脆弱性対応を「自動化」してみた! エンジニアが本来の価値創造に集中するために 🔖 1
こんにちは!IDCF運用システム部の飛田です。 エンジニアの皆さん、日々の業務の中で「やりたい開発はあるのに、ライブラリのバージョンアップや脆弱性対応に追われて時間が取れない…」と感じることはありませんか? あるいは機能開発に追われ、やらなければならないバージョンアップが後回しに
「安全なウェブサイトの作り方」に沿って、Next.jsで脆弱性の攻撃と防御を体験するハンズオン 🔖 4
はじめに「セキュリティ対策が大事なのはわかってるけど具体的に何をどうすればいいの?」そう思っている方向けに脆弱なコードと安全なコードを左右に並べて比較できるハンズオン環境を作りましたNext.js App Router + PostgreSQL で4つの代表...
電源が切れていても攻撃が成立。MediaTekチップの脆弱性がヤバすぎる - すまほん!! 🔖 16
電源オフでも45秒で丸裸。 スマートフォンのセキュリティは、画面ロックやパスコードで守られている。多くの人がそう信じています。しかし、その「信頼」がわずか45秒で崩れ落ちるとしたらどうでしょうか。Android Authorityが伝えています。 暗号資産ハードウェアウォレット大
Playwright + OWASP ZAP + Claude Code で E2E テストから脆弱性診断まで一気通貫でできるかやってみた 🔖 177
はじめに 最近、他チームのエンジニアが「Playwright で書いた E2E テストを OWASP ZAP に通して脆弱性診断をやってみた」という話を聞きました。 「E2E のシナリオってそのまま脆弱性診断にも使えるの?」 気になったので自分でも試してみました。その記録です。
Playwright + OWASP ZAP + Claude Code で E2E テストから脆弱性診断まで一気通貫でできるかやってみた 🔖 177
はじめに最近、他チームのエンジニアが「Playwright で書いた E2E テストを OWASP ZAP に通して脆弱性診断をやってみた」という話を聞きました。「E2E のシナリオってそのまま脆弱性診断にも使えるの?」気になったので自分でも試してみました。その記録です。
「Android」スマホにハードウェアの脆弱性、4台に1台に影響のおそれ 🔖 30
多くの「Android」スマートフォンで見つかったハードウェア側のセキュリティ上の脆弱(ぜいじゃく)性により、ホワイトハットハッカーが端末に1分たらずで侵入できたことが、新たに報告された。侵入後は、メッセージや仮想通貨(暗号資産)ウォレットのシードフレーズなど、機密性の高いユーザ
Windows RDSにゼロデイ脆弱性 悪用コードが22万ドルで闇市場に流通 🔖 7
セキュリティニュースメディア「Cybersecurity News」は2026年3月8日(現地時間、以下同)、「Windows Remote Desktop Services」に存在する権限昇格の脆弱(ぜいじゃく)性「CVE-2026-21533」を悪用するゼロデイ攻撃コードが、
脆弱性管理の次の時代 ── Exposure Management とは何か 🔖 4
はじめに企業のセキュリティチームは今、深刻な問題に直面しています。脆弱性の数が、多すぎる。NVD(National Vulnerability Database)に登録されるCVEは年間 25,000件以上。多くの企業では数万〜数十万の脆弱性がスキャンで検出されます...
個人情報漏えいにつながる脆弱性を報告したら法的責任を示唆する文書が届いたとエンジニアが告白 🔖 36
ダイビングインストラクターでもあるプラットフォームエンジニアのヤニック・ディクスケン氏が、加入しているスポーツ保険会社のポータルサイトで深刻な個人情報漏えいにつながる可能性のある脆弱(ぜいじゃく)性を見つけて報告したところ、保険会社のデータ保護責任者から「刑事犯罪になりうる」など
Goに脆弱性報告した話 | Wantedly Engineer Blog 🔖 38
本日3/6に、 Go 1.26.1 と Go 1.25.8 がリリースされました。 本バージョンで修正された脆弱性のひとつは私が見つけたものです。 せっかくの人生初のCVEなので、経緯を紹介しようと思います。 脆弱性の内容脆弱性は以下で公開されています。 net/url: rej
本日3/6に、 Go 1.26.1 と Go 1.25.8 がリリースされました。本バージョンで修正された脆弱性の...
GitHub で実現する Dependabot × SBOM による依存関係の脆弱性管理を考えて試してみた 🔖 2
GitHubのDependabotとSBOM機能を活用して、依存関係管理とソフトウェア構成の可視化を実現する方法を詳しく解説します。
ローカルLLMの脆弱性があるんか?〜CVE-2024-50050から学ぶ「自分だけで使ってるから安全」の落とし穴〜 🔖 180
2.3 RCE(Remote Code Execution)とは 攻撃者がリモートから任意のコードを実行できる脆弱性のこと。これが成立すると、あなたのマシンで攻撃者が好き放題にコマンドを叩ける。ローカルLLMの脆弱性の多くはこのRCEに分類される。 2.4 デシリアライズ(Des
Claude Codeに重大な脆弱性 設定ファイル経由でRCEやAPIキー窃取の恐れ 🔖 29
Check Point Software Technologiesは2026年2月25日(現地時間)、AI開発支援ツール「Claude Code」に重大な脆弱(ぜいじゃく)性が存在したと発表した。 Anthropicが提供する同ツールにおいて、悪意あるリポジトリー設定ファイルを読
AIがOpenSSLのゼロデイを12個見つけた話〜20年以上見つからなかった脆弱性をAIが暴く〜 🔖 1
この記事の対象読者OpenSSLを利用するシステムの開発・運用に携わるエンジニアの方AIによるセキュリティ研究の最前線に関心がある方LLMやAIのサイバーセキュリティへの応用に興味がある方この記事で得られることAISLE社のAIシステムがOpenSS...
Wi-Fiの「クライアント分離」が無意味だった――AirSnitch脆弱性の衝撃|情報の灯台 🔖 18
あなたが今つながっているWi-Fi。暗号化されているから安全だ、と思っているなら、その前提が揺らぎ始めている。テストされた全てのネットワークが突破された。 「安全な壁」は存在しなかった同じWi-Fiにつないでいる他人から自分の通信を守る仕組みである「クライアント分離」(Clien
LiveServerの脆弱性から見るCORSの必要性 🔖 2
はじめに先日、Visual Studio Codeで利用される拡張機能「Live Server」に脆弱性が見つかった。https://www.security-next.com/181218内容を見てみるとCORSなど見慣れた単語が出てきており、脆弱性自体も容易に再...
CSSを表示しただけでコード実行 -- ブラウザUAF脆弱性の仕組み 🔖 32
この記事では、以下の内容を扱います。 use-after-free(UAF)脆弱性がなぜ危険なのか CSSの処理がどのようにメモリ破壊を引き起こすのか UAFからリモートコード実行に至るエクスプロイトチェーンの全体像 ブラウザの防御機構と、開発者としてできること 対象読者: We
中国製のスマートアイマスクに他人の脳波を読み取れる脆弱性があることが判明 🔖 39
AIエンジニアのアイミリオス・ハツィスタム氏が、Kickstarterで購入した中国製のスマートアイマスクにおいて、他人の脳波をリアルタイムで読み取り、さらに電気刺激を送信できる深刻な脆弱(ぜいじゃく)性が存在することを発見しました。 My smart sleep mask br
日々公開される脆弱性情報を眺めるのは、単なる情報収集というより「最近どんな穴が多いのか」「どんな製品が狙われやすいのか」を知る楽しさがあります。深刻なものから軽微なものまで含めて眺めていると、セキュリティの流行や時代背景が見えてきます。今回は、日本国内で公開されている脆...
はじめにこんにちは、三菱電機の坂本です。三菱電機 情報技術総合研究所では、製品開発時のセキュリティ対策にフィードバックする目的で、複数種類のハニーポットを設置・運用しています。運用しているハニーポットの1つに、IoT機器を応答機能に設置した「IoT家電ハニーポット」...
「LGTM 🚀」 このたった4文字、何回書いてきただろう。 PRが来て、差分を見て、ロジックを追って、「まあ問題なさそうだな」でApprove。正直、金曜の夕方に来た30ファイル変更のPRに対して、全行を真剣に読んだかと聞かれたら——答えに詰まる。 たぶん、あなたもそうだと思う。
「LGTM 🚀」このたった4文字、何回書いてきただろう。PRが来て、差分を見て、ロジックを追って、「まあ問題なさそうだな」でApprove。正直、金曜の夕方に来た30ファイル変更のPRに対して、全行を真剣に読んだかと聞かれたら——答えに詰まる。たぶん、あなたもそうだと思う。
AIが脆弱性を96%見つける時代に、僕らがセキュリティを学ぶ意味はあるのか 🔖 179
「このコード、セキュリティ的に大丈夫かな……」 PRレビューのたびに、なんとなく不安になる。SQLインジェクション、XSS、CSRF——知識としては知っている。でも、自分のレビューで本当に脆弱性を潰しきれているかと聞かれたら、正直自信がない。 そしてある日、こんなニュースが流れて
脆弱性診断士/ペネトレーションテスター倫理綱領#脆弱性診断士スキルマッププロジェクト/ISOG-J WG1では「脆弱性診断士/ペネトレーションテスター倫理綱領」を制定し、脆弱性診断士/ペネトレーションテスターの行動規範を示すこととしました。 このドキュメントは「情報処理安全確保支
CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデルが登場 🔖 33
GCVE initiativeは2026年1月7日(現地時間)、新たな公開脆弱(ぜいじゃく)性助言データベース「db.gcve.eu」の公開を発表した。 この基盤は誰でも無償で利用でき、世界中で公開されている脆弱性情報を統合的に参照できる場を提供する。米国の脆弱性情報データベース
AIによる低品質な脆弱性レポート連発でcURLがバグ報奨金プログラムを停止 🔖 23
オープンソースのネットワークツール「cURL」の開発チームは、2019年からセキュリティの脆弱(ぜいじゃく)性を発見した研究者に報奨金を支払う「バグ報奨金プログラム」を実施していました。しかし、近年はAIが生成した低品質な脆弱性報告が大量に届くようになっていたため、cURLのセキ
Node.jsの脆弱性対応を迅速に進めるために実施したこと 🔖 2
こんにちは、サーバーサイドエンジニアおよびスマートバンク 新春エンジニア駅伝 2026の第十一区走者 すてにゃん (id:stefafafan)です。 第十区走者は toshimaru さんによる DBスキーマ変更をオンラインで安全に行うための仕組み - inSmartBank
MicrosoftのAI「Copilot」にURLを1回クリックするだけでさまざまな機密データが盗まれる脆弱性があると判明 🔖 37
MicrosoftのAIアシスタントである「Copilot」はさまざまな事柄について質問したり、会話したり、画像を生成させたり、資料を作らせたりすることが可能です。そんなCopilotに、URLリンクを1回クリックするだけでさまざまな機密データが盗まれる脆弱(ぜいじゃく)性がある
Windows 11最新更新「KB5074109」公開。114件の脆弱性を修正、NPU搭載PCの電力問題も解消 🔖 8
Windows 11最新更新「KB5074109」公開。114件の脆弱性を修正、NPU搭載PCの電力問題も解消:Tech News Microsoftは2026年1月13日(米国時間)、Windows 11(24H2/25H2)向けの月例更新プログラム「KB5074109」をリリ
sponsored ダークウェブで攻撃者がやり取りする情報も把握、ASMから進化した“CTEM”=「FortiRecon」 化学メーカーの研究データが漏洩! 脆弱性診断が見落としたVPN装置… どうやったら防げた? sponsored 2025年に多く発生したランサムウェア被害、
ChatGPTの脆弱性「ZombieAgent」、AIプロダクトPMとして知っておきたいこと 🔖 33
はじめに 広告代理店で生成AI関連のプロダクトマネジメントをしているsawadeeeenです。 2026年1月8日に、セキュリティ企業Radwareが「ZombieAgent」という脆弱性を公開しました。ChatGPTの外部連携機能を悪用して、ユーザーが気づかないうちにデータを抜
VSCodeベースの開発環境に脆弱性、マルウェア感染を導く恐れ 🔖 91
Koi Securityは1月6日(現地時間)、「How We Prevented Cursor, Windsurf & Google Antigravity from Recommending Malware」において、Visual Studio Codeから派生した統合開発環
OSS では日々様々なセキュリティ対応がされています。私自身も CVE を発行したり、対応をした経験があります。 最近だと CVE-2025-62596 の対応をしました。 公開後の情報がまとまった CVE や以下のような Security Advisory を見ることは多くある
SNMPのオープンソース実装「Net-SNMP」に緊急脆弱性、利用製品に影響及ぼす可能性 🔖 15
net-snmpの開発者らは12月23日(現地時間)、「Net-SNMP snmptrapd vulnerability · Advisory · net-snmp/net-snmp · GitHub」において、簡易ネットワーク管理プロトコル(SNMP: Simple Netwo
実例のスクリーンショットをもとに、GitHubでホストされるOSSの脆弱性対応を、報告→確認→Security Advisory→CVSS/CVE→パッチ→公開までの流れで解説します。 temporary private forkを使った非公開修正の進め方など、脆弱性対応の舞台裏