あなたの家のNASも載ってるかも!? ネット上の“公開資産”を勝手に調査する「Censys」から情報を削除する【イニシャルB】
カバーのセキュリティ対策ーーSAST製品の選定|カバー株式会社 公式note
全VTuber1超絶かわいいのは誰だ!? ドドンドドンドンドン!ぺこちゃん!!!👯♀️ はじめまして、CTO室インフラチームのKと申します。 現在は、内定者インターンとして業務に取り組んでいます。 本記事では、インターンで取り組んだ、SAST製品の選定についてご説明させていただきます。 SASTとはSAST (Static Application Security Testing)とは、ソフトウェアのソースコードを静的に解析し、脆弱性を検出する手法です。 SASTが解決する課題SASTはソースコードを静的に解析することにより、開発段階で脆弱性を早期検出します。 そのため、外部のセキュリティベンダに依頼して行うブラックボックステストと比較して、脆弱性の発見時の手戻りが小さく、対処に掛かるコストを低減できます。 また、ソースコードを分析するため、ブラックボックステストでは検出できない脆弱性
OpenSSH: Post-Quantum Cryptography
OpenSSH Post-Quantum Cryptography OpenSSH supports a number of cryptographic key agreement algorithms considered to be safe against attacks from quantum computers. We recommend that all SSH connections use these algorithms. OpenSSH has offered post-quantum key agreement (KexAlgorithms) by default since release 9.0 (2022), initially via the sntrup761x25519-sha512 algorithm. More recently, in OpenSS
PacketProxyで探るGemini CLIのコンテキストエンジニアリング 〜AIエージェントを信頼できる相棒に〜 | BLOG - DeNA Engineering
2025.07.18 技術記事 PacketProxyで探るGemini CLIのコンテキストエンジニアリング 〜AIエージェントを信頼できる相棒に〜 by akira.kuroiwa #gemini-cli #ai #security #aiエージェント #コンテキストエンジニアリング #packetproxy 「なんかよく分からないけど、すごい」で終わらせないために こんにちは、DeNA セキュリティ技術グループの 黒岩 亮 ( @kakira9618 ) です。 AIエージェント、とくに Gemini CLI のようなコーディングを支援してくれるツールは非常に強力で、私たちの開発体験を大きく変えようとしています。しかし、その一方で、こんな風に感じたことはありませんか? 「このファイルの情報、勝手にAIに送られたりしない? 大丈夫かな?」 と、情報管理・セキュリティ面で漠然とした不安を
Anubis v1.20.0 is now available! | Anubis
Hey all! Today we released Anubis v1.20.0: Thancred Waters. This adds a lot of new and exciting features to Anubis, including but not limited to the WEIGH action, custom weight thresholds, Imprint/impressum support, and a no-JS challenge. Here's what you need to know so you can protect your websites in new and exciting ways! Sponsoring the product If you rely on Anubis to keep your website safe,
パスキーの安全性について - cockscomblog?
パスキーによる認証を開発したとき、パスキーの安全性をどう評価するのが妥当なのか検討していた。もちろんフィッシング耐性が高いというような特性については把握していて、サービス利用者にとって便益の多い認証であることはわかっている。ただそれが、例えばパスワードとTOTPを組み合わせた多要素認証に対して、どちらがより安全と言えるのか。これを一言に表すのはあまり簡単ではない。 パスキーは多要素認証なのか 多要素認証というのは、something you know、something you have、something you are の3種類の要素のうち複数を組み合わせる認証を言う語だ。 多要素認証は単一種類の要素による認証と較べて飛躍的に安全である。例えば、物理的な鍵は something you have であるが、それが盗まれてしまえば安全ではない。鍵が複数あっても、一度に盗まれてしまうかもし
AIを活用した完全自律型の侵入テストツール「XBOW」がHackerOneのランキングでついに人間を抜いて1位に
セキュリティ脆弱(ぜいじゃく)性を発見したハッカーに企業が報奨金を支払うプラットフォームであるHackerOneでは、セキュリティ研究者の貢献度や実績に基づいて順位付けされたリーダーボード(ランキング)が公開されています。シアトルに拠点を置くAIセキュリティエンジニアリング企業のXBOWは、同名のAIツールがHackerOneのリーダーボードで1位になったことを発表しました。 XBOW – The road to Top 1: How XBOW did it https://xbow.com/blog/top-1-how-xbow-did-it/ HackerOne Leaderboard https://hackerone.com/leaderboard This AI Is Outranking Humans as a Top Software Bug Hunter | PCMag h
Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段ですが、複雑な認証基盤の実装に不備があると、依然としてアカウント乗っ取りを含む従来のセキュリティリスクを払拭できません。 本記事では、W3CのWorking Draft(2025年5月現在)である Web Authentication: An API for accessing Public Key Credentials Level 3 を読み解き、Relying Party(RP)としてPasskey認証を導入する際に実装で注意すべき点を説明いたします。 はじめに Passkey認証でも生まれ得るセキュリティリ
New Linux udisks flaw lets attackers get root on major Linux distros
HomeNewsLinuxNew Linux udisks flaw lets attackers get root on major Linux distros Attackers can exploit two newly discovered local privilege escalation (LPE) vulnerabilities to gain root privileges on systems running major Linux distributions. The first flaw (tracked as CVE-2025-6018) was found in the configuration of the Pluggable Authentication Modules (PAM) framework on openSUSE Leap 15 and SUS
PayPayのフィッシングが簡単すぎた話|j416dy
※この記事は以下記事を読んだ前提で書いてます。 ※あまりに被害が多かったのか、2025/6/19 夕方にPayPay連携機能は止まったようです。 この記事を読んで、QRコードを読み取るだけでお金抜かれるなんてことがあるのか?と思ったら、実際あまりに簡単に抜けるような構成であることがわかったので、検証結果を置いておきます。 WINTICKET連携はQRコード2連続読込方式正規のログイン・連携機能のUIを先に確認します。 PCブラウザでWINTICKETを操作、スマホでPayPayアプリを操作する場合の流れです。 競輪投票のWINTICKETでアカウント作成、ログイン後、 ポイント残高右側の「+」ボタンでチャージ画面に遷移します。 遷移後、入金手段としてPayPayを選択します。 オレンジの+ボタンでポイントをチャージする ※ポイント残高は出金できないが、投票結果の払戻金は出金できる仕様すると
ダイソー、1万件超の個人情報漏えいか 約5年間外部から閲覧可能に 「Googleグループ」の閲覧権限に不備
100円ショップ「ダイソー」を運営する大創産業(広島県東広島市)は6月18日、顧客や取引先、従業員などの個人情報計1万307件に漏えいの可能性があると発表した。同社が利用していた掲示板/メーリングリストサービス「Googleグループ」の設定不備により、2019年12月9日から5年超もの間、外部から閲覧可能となっていた。 閲覧権限に不備があったのは、同社が管理していた57グループ。いずれも登録された関係者限定で利用すべき情報だったが、外部からもアクセスできる設定となっていた。 閲覧可能だった情報は氏名、住所、電話番号、メールアドレスなど。内訳は、同社ECサイトの利用者4498件(うち口座情報49件)、取引先4578件、中途採用の応募者698件(うち履歴書・職務経歴書など615件)、従業員533件(うち健康保険証149件、要配慮個人情報4件を含む)。 問題は4月26日、外部からの指摘を受けて発
オススメのRust製無料プロキシツール「Caido」の紹介 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、最近注目を浴びているオススメの Rust 製の無料プロキシツール「Caido」について紹介します。 本稿で触れるプロキシツールは、Web アプリやスマホアプリの通信を傍受して、リクエストの内容を確認したり書き換えたりするツールを指します。 1. 始めに 想定読者 2. Caido の概要 アドバイザー 主な特徴 ディスクトップアプリと CLI HTTPQL DNS の書き換え ブラウザでレスポンスの表示 SDK・Plugin Caido と Burp Suite の違い Caido の使い始め方 3. Caido の主な機能 Sitemap Intercept HTTP History Match & Replace Replay Automate Workflows Search Findings その他 Built-in
メールを送りつけてAIを操り機密情報を盗み出すゼロクリック攻撃手法「Echoleak」が発見される、メールを受信しただけでアウトでMicrosoft CopilotやMCP対応サービスなどあらゆるAIシステムにリスクあり
Microsoft 365 CopilotなどのAIシステムを導入する企業が増えていますが、新たにセキュリティ企業のAim Securityが「ユーザーにメールを送りつけるだけでCopilotを操って機密情報を送信させる」というゼロクリック攻撃が可能なことを実証しました。Aim Securityは発見した攻撃手法を「Echoleak」と名付けており、MCPに対応したAIシステムなどにも同様のリスクがある可能性を指摘しています。 Aim Labs | Echoleak Blogpost https://www.aim.security/lp/aim-labs-echoleak-blogpost Microsoft Copilot zero-click attack raises alarms about AI agent security | Fortune https://fortune.
JavelinGuard: Low-Cost Transformer Architectures for LLM Security
We present JavelinGuard, a suite of low-cost, high-performance model architectures designed for detecting malicious intent in Large Language Model (LLM) interactions, optimized specifically for production deployment. Recent advances in transformer architectures, including compact BERT(Devlin et al. 2019) variants (e.g., ModernBERT (Warner et al. 2024)), allow us to build highly accurate classifier
Googleアカウントに紐付けられた電話番号が「総当たり」で見つかる問題が発見される
Googleアカウントには電話番号を紐付けることが可能で、2段階認証プロセスに使用したり、ログインパスワードを忘れてしまったときの復旧に用いたりといった用途に活用できます。サイバーセキュリティ研究者が「Googleにどの電話番号が割り当てられているか」を発見できる脆弱(ぜいじゃく)性を指摘し、それを受けてGoogleは問題を修正したことを報告しています。 Bruteforcing the phone number of any Google user https://brutecat.com/articles/leaking-google-phones Google fixes bug that could reveal users' private phone numbers | TechCrunch https://techcrunch.com/2025/06/09/google-fi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
The hottest new vibe coding startup may be a sitting duck for hackers
Hiding secret codes in light protects against fake videos | Cornell Chronicle
IPA、「情報セキュリティ10大脅威 2025」の個人編ハンドブックなど、実践や勉強に役立つ資料を公開 
Mac Sandbox V2 Design Doc
「国家サイバー統括室」(NCO)発足、能動的サイバー防御の導入へ加速 
