This is open-source software written by hobbyists, maintained by a single volunteer, badly tested, written in a memory-unsafe language and full of security bugs. It is foolish to use this software to process untrusted data. As such, we treat security issues like any other bug. Each security report we receive will be made public immediately and won't be prioritized. これは趣味人たちによって開発され、たった一人のボランティアによっ
大規模なサプライチェーン攻撃の一部が見え始めた。Googleが発見したこの攻撃では、攻撃側が長い時間を掛けて巧妙な侵入を図ったことと、EDRを回避したために攻撃の全貌がいまだに明らかになっていない。 Googleは2025年9月24日(現地時間、以下同)、これまでで最も重大だと言えるサプライチェーン攻撃を発見したと発表した(注1)。 中国政府と関係のある高度な攻撃者グループが、テクノロジー企業やSaaSプロバイダー、法律事務所などに侵入して、極めて巧妙なマルウェアを用いて企業やその顧客から機密データを盗み出していた。 Googleが発見した史上最大のサプライチェーン攻撃 F5はソースコードが流出 Googleによると、攻撃者はまずサービスプロバイダーを狙い、そこからサービスプロバイダーを利用している企業のネットワークへと侵入先を切り替えた。狙われた企業の一つには法律事務所があった。そこに到
人気ルーターブランドであるTP-Linkのルーターが米国で禁止される可能性が高まっている。The Washington Post(WP)の報道によると、6以上の連邦政府省庁がこの提案を支持しているという。 この件に関するニュースが最初に報じられたのは2024年12月のことだ。商務省、国防総省、司法省の捜査官が、中国との関係に起因する国家安全保障上のリスクを理由に同社への調査を開始したと、The Wall Street Journal(WSJ)が報じた。それ以来、TP-Linkに関するニュースはそれほど多くなかった。 「商務省は、TP-Link Systemsの製品がリスクをもたらすと結論付けた。その理由として、米国に拠点を置く同社の製品が米国の機密データを扱っていること、そして当局が、同社は依然として中国政府の管轄権や影響の下にあると考えていることを挙げている」とWPは伝えている。 TP-
米X(旧Twitter)は10月27日(現地時間)、2要素認証(2FA)の方法としてセキュリティキーを使用しているすべてのアカウントに対し、11月10日までにセキュリティキーを再登録するよう、公式アカウントで求めた。 期日までに再登録されない場合、関連するアカウントは更新が完了するまでロックされる。 Xは「この変更はセキュリティ上の懸念とは関係なく、YubiKeyやパスキーにのみ影響し、他の2FAには影響しない。2FA方式として登録されたセキュリティキーは現在、twitter.comドメインに関連付けられている。セキュリティキーを再登録すると、x.comに関連付けられるようになり、Twitterドメインを廃止できるようになる」と説明した。
美濃工業株式会社 美濃工業株式会社が受けたランサムウェアによるサイバー攻撃について、第一報(10月4日)第二報(6日)に続き、その後の調査にて判明した内容をお知らせいたします。(一部、第一報・第二報でお知らせした内容の修正も含みます。) 【サイバー攻撃の概要】 10月1日(水)19:31 社員用VPNアカウントを悪用され、社内ネットワークへ侵入。 管理者権限がないため徘徊に留まる。(以後、複数回にわたって徘徊を受ける) 10月3日(金)20:58 システム管理者アカウント権限を悪用される。 セキュリティシステム含むシステムの破壊、ファイル暗号化、サーバー初期化等の攻撃が始まる。 10月4日(土)01:21 ランサムノート(身代金脅迫文)を社内フォルダ内に保存される。 【サイバー攻撃に対する対応】 10月4日(土)02:25 サイバー攻撃を確認。 10月4日(土)02:49 ネットワーク切断
この記事は、エージェント型ブラウザにおけるセキュリティとプライバシーの課題に関するシリーズのはじめての投稿になります。この脆弱性研究は、シニアモバイルセキュリティエンジニアのArtem Chaikinによって実施され、Artemとプライバシー・セキュリティ担当VPのShivan Kaul Sahibによって執筆された記事の日本語訳です。 インストラクション・インジェクションの脅威 Braveでは、ブラウザ内AIアシスタントのLeoがユーザーの代わりにWebブラウジングをする機能を開発しています。単に「このページがロンドン便について何を言っているか要約して」と尋ねるだけではなく、将来的には「来週の金曜日のロンドン行きの便を予約して」と指示できるようになります。AIは読むだけでなく、自律的に閲覧し取引を完了します。このような機能拡張により、 Braveのプライバシー保証を保ち、データと閲覧セッ
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? スパイ映画が現実に?高性能マウスの意外な脆弱性 안녕하신게라!パナソニック コネクト株式会社クラウドソリューション部の加賀です。 「隣の客はよく柿食う客だ」 もしあなたが今、PCの前でこう呟いたとしたら、その声は誰に聞かれているでしょうか? もちろん誰にも聞かれていない…と思いきや、あなたが握っているその光学式マウスに盗聴されているかもしれません。 そんな、まるでスパイ映画のような話を現実の脅威として示した、衝撃的な論文がarXivに投稿されました。Invisible Ears at Your Fingertips: Acoustic
アップデート 2025-10-15 Socket Firewall Freeもbunに対応していることがわかった[1]ので、その旨追記しました。 前置き 2025年9月14日[2]、npmで公開されているパッケージに対する攻撃があったようです。今までの同様の攻撃と比べて規模が大きく、よく利用されるパッケージも攻撃を受け、またマルウェアがワームとして広がったことから注目されている気がします。 パッケージ利用者の観点からは、「信頼しているパッケージが攻撃されて、新しいバージョンにマルウェアが混入した」という、一般的なサプライチェーン攻撃の流れです。 とはいえ最近はサプライチェーン攻撃の頻度も増加し、規模も大きくなっているように思え、現実的な脅威を感じます。 残念ながらサプライチェーン攻撃に対しては、Webアプリケーション開発におけるXSSに対する適切なエスケープ、SQLインジェクションに対する
「あなたがアダルトサイトを見ている姿を撮影した。知り合いにばらまかれたくなければ金銭を支払え」――。このような脅迫メールが2018年ごろに多数出回った。もちろん単なる脅しで、メールの内容は嘘だ。 ところが、このような脅迫メールを一笑に付すことができない時代になった。アダルトサイトを閲覧しているユーザーを実際に撮影するマルウエア(悪質なプログラム)が確認されたのだ。一体、どのようなマルウエアなのだろうか。 日本語の脅迫メールも出現 冒頭で書いたような脅迫メールを使うネット犯罪はセクストーション(性的脅迫)などと呼ばれる。 脅迫メールの送信者(攻撃者)は、受信者が見ていたアダルトサイトの画面と、それを見ていた受信者の姿の両方をマルウエアを使って盗撮したと主張。指定の金額(300~1000ドル程度の場合が多い)をビットコインで支払うよう求め、支払わなければそのビデオを知り合いに送信すると脅迫する
興味深い記事を読みました。「macOS」に内蔵されたセキュリティ対策機構で、マルウェアを防げるかどうか検証したという「Macworld」の記事です。「Can Apple's free antivirus defend a Mac from malware」(Appleの無料アンチウイルスはMacをマルウェアから守れるのか)という記事タイトルから、皆さんはどういう結果になったと思いますか。 筆者は「既知のマルウェアなら即座に検知できるが、未知のマルウェアには歯が立たない」と予想していましたが、一体どういう結果になったのでしょうか。 有償ソフトはもう不要だが「無料アンチウイルス機能で十分」には条件がある 記事では「OSベンダーが提供するストアから、信頼できる開発者のアプリをダウンロードし、OSの警告プロンプトに注意を払えるようなユーザーであれば、安全を保てる」という、それなりに守れるという結論
Strengthening npm security: Important changes to authentication and token management As part of our ongoing commitment to securing the npm ecosystem, we’re implementing the first phase of security improvements outlined in our recent announcement. These changes will roll out over the coming five weeks completing by mid-November 2025 and require action from package maintainers. We’re taking this pha
ritouです。 ここ数年、ユーザー認証のお話をさせていただいている中、最近ようやく「パスキー認証はね、入れとかないと」みたいな雰囲気になってきましたが、しかしその一方で、「パスキー認証のこういうところが好きになれない」といったご意見も当初からいただいています。今回は、その中の「こうしたらやられる」と言う主張、つまりパスキー認証に対する現状の脅威、考えられる対策 について整理しましょう。 ユーザー認証の現状とこれから ユーザー認証はここ数年、脅威の認識と対策の繰り返しの中で変化してきました。 パスキー登場までの経緯については、 “パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係 にて整理しています。 3行でまとめると、次のようになります。 パスワード認証のみの利用は、パスワードの使い回しによる他サービスへの影響範囲を考えても、極めて危機的な状況である 一般的に使われている「パ
はじめに 昔からサービスの運営者を困らせてきたものはいくつかあると思いますが、 特に代表的なのが “自動化による悪用” です。 スクレイピングによる無断データ収集や、予約システムを狙ったボット、さらには不正ログインを試みる自動化ツールなど、その形は時代とともに多様化してきました。 X (旧Twitter) には、今でも詐欺DMを送るボットが多いです。(自分は毎日来ます。) また、大阪万博の予約を勝ち取るために、サーバーに過度の負荷をかける形で自動化が悪用された事例もあります。 そして、最近はAIを利用した巧妙なものも増えています。 この記事を読んで、そのような事態に対処できるように知識が少しでも増えれば良いな、と思っています。 ぜひ少しでも役に立てば、いいね・他SNSへの共有など、よろしくお願いします!! 実例 2025年現在、大阪万博なる物が開催されており、DX化の一環として予約をウェブ
先週金曜、突如OpenAIのCodex CLIというコーディングエージェントがリリースされましたが、このリポジトリを見て特に気になったのは、ツールの機能そのものよりも、以下の記述*1でした。 macOS 12+ – commands are wrapped with Apple Seatbelt (sandbox-exec). Everything is placed in a read‑only jail except for a small set of writable roots ($PWD, $TMPDIR, ~/.codex, etc.). Outbound network is fully blocked by default – even if a child process tries to curl somewhere it will fail. この記述によると、Co
2025-07-06 設定ファイルと起動オプションに不備があったので修正しました。今度こそ大丈夫です!!!!! 2025-07-09 設定ファイルに不備があり、セッションの更新がされずAPIエラーになる事象を修正しました。本当に今度こそ大丈夫だと思います!!!!!!! 2025-07-10 挑戦に失敗はつきもの Claude Codeくんは便利ですが、ちょっとドジなところもあるので目を離すのはちょっとこわいですね。 このようなときはVMやコンテナで開発環境を完全に隔離すれば安全安心が手に入るわけですが、プロジェクトごとに設定するのは面倒くさい。 悪意のないAIのうっかりミスを防げる程度の軽量なサンドボックスがあると嬉しいのですが、Macには意外と手頃なものがないんですね。 普段dev containerを使ってる人ならそれで良さそうですが、わたしはMac上で直接開発したいので……。 ところ
Intro 前回は、Nx の事例をベースに「パッケージを公開する側」の対策について解説した。 今回は、「パッケージを使う側」、もっと言えば「OSS を使う上で開発者が考えるべきこと」について考察する。 OSS の危険性 npm 起因のサプライチェーン攻撃が確認されたことで「npm は危険だ」という話になると、「npm を禁止すべき」といった極端な話になったりする。 前回のブログで紹介したような対策を行うなら、多少は良くなるかもしれない。しかし、それらは全てパッケージ公開者に委ねられる。自分が公開者として実施するなら、自分が原因で攻撃が発生することは防げるだろう。 一方、攻撃に必要な突破口は 1 つあれば良い。npm にある全てのパッケージが対策されない限り、npm を主語とした安全が担保される日は来ない。 この広大な依存関係の中には、闇落ちした開発者が、それまでの善良なコードを、自分の意志
ローカル開発のために GitHub App からセキュアに User Access Token を生成する CLI である ghtkn を紹介します。 まとめ ghtkn は Device Flow を用いて GitHub App から User Access Token を生成する CLI セキュアなローカル開発を実現 No More Personal Access Token Personal Access Token と違い短命 (8時間) な access token GitHub App とユーザー両方が持ってる権限しか持たず、両方がアクセスできるリポジトリにしかアクセスできない Secret manager を用いて access token を管理 プレインテキストや shell の環境変数に access token を露出しないため、流出リスクが低い 複数の GitHub
パッケージを利用する側、パッケージを公開する側でサプライチェーン攻撃を防ぐためにできることのメモ書きです。 パッケージを利用する側 npmやGitHub Actionsなどを利用する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。 ロックファイルを使う npmやYarn、pnpmなどのパッケージマネージャーは、依存関係のバージョンを固定するためにロックファイル(例: package-lock.json, yarn.lock, pnpm-lock.yaml)を使用する GitHub ActionsではSHA Pinを行う pinactなどを使ったGitHub ActionsのSHA Pinを行う また、GitHubリポジトリの"Require actions to be pinned to a full-length commit SHA”を有効にする https://gi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
