平素は、マネーフォワードグループが提供するサービスをご利用いただき、誠にありがとうございます。 当社がソフトウェア開発およびシステム管理に利用している『GitHub』※1の認証情報が漏えいし、これを用いた第三者による不正なアクセスが発生し、『GitHub』※1内の「リポジトリ」※2がコピーされたことが判明しました。 ※1『GitHub』： 米国 GitHub 社が提供しているソースコード管理サービス ※2 リポジトリ： プログラムの設計図が入っている保管庫 現時点において、ソースコードおよび、リポジトリに含まれていたファイル内に記載されていた個人情報の一部が流出した可能性があることを確認しております。なお、流出したソースコードおよび個人情報の不正利用等による被害や、お客さま情報を格納している本番データベースからの情報漏えいは確認されておりません。 【流出した可能性のある個人情報】 ・マネー

2026年4月23日、オープンソースのパスワードマネージャ Bitwarden の CLI パッケージ @bitwarden/cli の npm 版が侵害されました。攻撃者はバージョン 2026.4.0 を公開し、preinstall フック経由で情報を窃取するマルウェアを実行させました。本記事は、手元での検証および公開情報を踏まえ、日本のコミュニティ向けに事象を整理するものです。 追記: 本侵害をCTO米内が解説するウェビナーを4月28日（火） 12:00から開催予定です。申し込みページより事前登録いただければ、どなたも無料で視聴が可能です。 TL;DR - 対応指針 悪性バージョンは 2026.4.0 のみです。2026.3.0（直前正規版）と 2026.4.1（復旧版、正規の Trusted Publishing 経由・provenance 付き）は安全です。 2026.4.0 がイ

このたび、当社が提供するLYPプレミアムのプレミアムバックアップ利用開始時に、LINEアカウントのパスワード確認画面でお客様による誤入力があった際、画面上は認証失敗と表示されたにもかかわらず、システム上では誤って入力されたパスワードへ更新されるケースがあったことが判明いたしました。 現在LINEアカウントをご利用中で、本事象の影響を受けた可能性があるお客様には、個別にお知らせしております。 詳細は以下のとおりです。 1. 本事象の概要 2025年4月17日から2026年4月2日までの間、LYPプレミアムのプレミアムバックアップ利用開始時に、LINEアカウントのパスワード確認画面でお客様による誤入力があった際、画面上は認証失敗と表示されたにもかかわらず、システム上では誤って入力されたパスワードへ更新されるケースがありました。 また、パスワードと連動しているシステム上の「マスターキー」（※）に

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

2026年3月19日、Aqua Security が提供するOSSセキュリティスキャナ Trivy のエコシステムが、3週間以内に2度目のサプライチェーン攻撃を受けました。攻撃者は aquasecurity/setup-trivy および aquasecurity/trivy-action の2つのGitHub Actionsに悪意あるコードを注入し、これらを利用するCI/CDパイプラインからクレデンシャルを大規模に窃取するペイロードを配布しました。 本記事では、GitHub Events APIおよびGitHub上に残存するcommitデータから取得したエビデンスをもとに、何が起こっているかを記録します。その上で、取りうる対応指針を示します。 免責 本記事の目的は事態の把握と対応の促進であり、違法行為への加担・助長を意図するものではありません。ペイロードの動作は手法の理解に必要な範囲で要

こんにちは！エーアイセキュリティラボのはるぷです。 2026年2月下旬、オープンソース界隈を揺るがす自動攻撃キャンペーンが実施されました。ターゲットとなったのは、誰もが名前を知るような大手企業のプロジェクトを含む主要なリポジトリ群。攻撃の主導者は 「hackerbot-claw」 と呼ばれる、AI（Claude-Opus-4.5）を搭載した自律型セキュリティ調査エージェントです。 このボットはわずか1週間で、7つのターゲットのうち少なくとも4つでリモートコード実行（RCE）に成功し、書き込み権限を持つGitHubトークンを外部へ流出させました。 このStepSecurityの解析レポートを読み、私は自分のテスト用リポジトリ(private)で、攻撃手法を実際に再現・検証しどの程度簡単にできてしまうのかを調べてみました。 脆弱性の仕組みとリスクが大きくなる条件 実際にGitHub上で、多くの

米AmazonのAmazon Web Services（AWS）の稼働状況を報告する「AWS Health Dashboard」によると、3月1日午前4時30分（太平洋標準時）、アラブ首長国連邦（UAE）のドバイにある中東リージョン（ME-CENTRAL-1）のアベイラビリティゾーン（mec1-az2）が「データセンターに衝突した物体の影響を受け、火花と火災が発生」し、複数のサービスで深刻な障害が及んでいる。 衝突した物体の正体など、詳細は明らかになっていない。だが、このリージョン上でフロントエンド開発者向けのクラウドプラットフォームを展開する米Vercelのギレルモ・ラウフCEOは同日、X上で「AWSアベイラビリティゾーンmec1-az2が💥爆破された」と投稿した。 米国はイスラエルと共同で2月28日にイランへの攻撃を開始した。これに対し、イラン国防省は同日、UAE全域に向けてミサイル

はじめに「あれ、CPUクレジットがゼロになってる…？」 12月9日、AWSコンソールを開いた瞬間、血の気が引いた。t2.microインスタンスのCPUクレジットが完全に枯渇している。 うちのインスタンスは毎日夜中に再起動するのだが、再起動直後、クレジットが回復し始めた途端に一気に消費され、その後枯渇していた。 これは、私の個人開発サーバーが攻撃を受け、仮想通貨マイニングの踏み台にされていた記録です。 異変の発見最初の違和感個人開発で運用していたNext.jsアプリケーション。普段は静かに動いているはずのt2.microのCPUクレジットが何故か枯渇している。 詳しく調べてみると、 ps aux --sort=-%cpu | head -20 USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND ubuntu 2175 0.0 0.0

2025年11月28日、証券口座の不正取引へ関与した容疑で不正アクセス禁止法違反と金融商品取引法違反の容疑で男二人が逮捕されました。ここでは関連する情報をまとめます。 取引記録から不審な証券口座を特定 警視庁などの合同捜査本部の捜査を受けて、逮捕されたのは中国籍の男二人（会社経営者と職業不詳）。容疑は不正アクセス禁止法違反と金融商品取引法違反（相場操縦）で、証券口座のっとりによる不正取引に関係した摘発は初めて。*1 男二人は他の人物と共謀し、2025年3月17日に不正に入手したIDなどを用いて10都道府県の10人の証券口座を乗っ取り、東証スタンダード上場の人材開発企業の株を不正に釣り上げるために大量の売買を行った疑いがもたれている。警視庁は男らの認否について明らかにしていない。 証券会社に記録された不正取引に使用されたIPアドレスを基に使用者情報を照会したところ、事案と直接関係のない住居や

2025年11月4日、日本経済新聞社は同社社員個人が保有するPCがマルウェアに感染し、端末から認証情報が流出したために、同社が業務で利用しているビジネスチャットツール「Slack」へ不正ログインが発生したと公表しました。ここでは関連する情報をまとめます。 私物PCマルウェア感染によりSlackの認証情報流出 マルウェアの感染が確認されたのは日本経済新聞社社員が個人で保有するPC。この感染を介して、Slackの認証情報が流出した。Slackへの不正ログインはこの流出した認証情報が悪用されたと同社はみている。 同社が不正ログインを把握したのは2025年9月頃。その後パスワードの変更などの措置を講じている。 流出した可能性のある情報として、同社が説明したのはSlack上に登録されていた社員、取引先の1万7368人分の氏名、メールアドレス、チャット履歴など。*1 同社は報道・著述目的の個人情報は漏

謹啓　この度、株式会社バンダイナムコフィルムワークスが運営する「バンダイチャンネル」におきまして、不正アクセスにより、一部の会員様において意図せず退会処理が行われてしまうという障害が発生いたしました。 それにより会員様の個人情報（メールアドレス、ニックネーム、バンダイナムココイン残高情報、会員様が選択された支払い方法）が漏えいしたおそれのあることが発覚したため、2025年11月6日23時30分から緊急措置として当サービスを一時停止しております。 多大なるご心配とご迷惑をおかけし、深くお詫び申し上げます。 なお、漏えい等のおそれのある個人情報には、ログインパスワードやクレジットカード番号その他不正決済に利用できる情報は含まれておらず、現時点において、個人情報の不正利用等の二次被害は確認されておりません。

2025年9月29日、アサヒグループホールディングスはサイバー攻撃によりシステム障害が発生していると公表しました。同社はその後、攻撃がランサムウェアによるものであったことを明らかにしています。ここでは関連する情報をまとめます。 ランサムウェアの攻撃受けシステム障害発生 アサヒグループホールディングス（以降アサヒGHDと表記）が自社へのサイバー攻撃を確認したのは9月29日。攻撃の影響により国内システムが起動不能となった。。*1 その後、同社は社内に緊急事態対策本部を設置し調査を進めた結果、同社サーバーがランサムウェアの攻撃を受けていたことが明らかになった。 同社は顧客や取引先の重要データ保護を最優先とし、被害拡大を防ぐためシステムを遮断する措置を講じた。この結果、国内グループ各社の受注・出荷業務やコールセンター業務が停止した。さらに、社外からのメール受信も不可能となった。 9月29日時点では

「アジアパシフィック (東京)リージョンにおいて、お客様の Amazon SES アカウントが一時停止中であるため、現時点ではこの申請を承認することができません。バウンスが原因で、お客様のアカウントのメール送信機能が一時停止されています。この問題の詳細は、2017年5月7日に Amazon から送信されたメールに記載されております。」

※この記事は以下記事を読んだ前提で書いてます。 ※あまりに被害が多かったのか、2025/6/19 夕方にPayPay連携機能は止まったようです。 この記事を読んで、QRコードを読み取るだけでお金抜かれるなんてことがあるのか？と思ったら、実際あまりに簡単に抜けるような構成であることがわかったので、検証結果を置いておきます。 WINTICKET連携はQRコード2連続読込方式正規のログイン・連携機能のUIを先に確認します。 PCブラウザでWINTICKETを操作、スマホでPayPayアプリを操作する場合の流れです。 競輪投票のWINTICKETでアカウント作成、ログイン後、 ポイント残高右側の「＋」ボタンでチャージ画面に遷移します。 遷移後、入金手段としてPayPayを選択します。 オレンジの＋ボタンでポイントをチャージする ※ポイント残高は出金できないが、投票結果の払戻金は出金できる仕様すると

PayPayを装ったフィッシング詐欺による被害が発生していることを受けて、PayPayは6月20日11時ごろ、ユーザー向けに注意喚起のお知らせを公式サイトで公開。また、同日中に緊急的な対策を講じている。 詐欺の手口としては、PayPayの「スマートペイメント」機能を偽装し、正規サービスと誤認させるQRコードを提示して、ユーザーにスキャンさせることで不正な送金を誘発するというもの。73万円をだまし取られたとする報告もあった（参考：PayPayで73万円取られる…　体験談がSNSで話題に）。 不審なメールに含まれるリンクやQRコードは無視 心当たりのないサービス連携がある場合は「解除する」 これに対するPayPay側の緊急対策は3つ。 まず、スマートペイメントを利用したアカウント連携時に表示されるQRコードを廃止し、今後は電話番号とパスワードによるログインのみに限定する仕様変更を実施した。 さ