自分のコードをAIに攻撃させたら"守り"が全部ザルだった
「セキュリティ、ちゃんとやってる?」 この質問、正直めちゃくちゃ怖い。 SQLインジェクション対策? やってる。XSS対策? エスケープしてる。CSRF? トークン入れてる。 ——でも、「ちゃんと」って何だ? OWASPのチェックリストを上から順に潰して、ESLintのセキュリティプラグインを入れて、dependabotのアラートを処理して。やることはやっている。はずだった。 自分のコードに自律型AIハッカーをけしかけるまでは。 はじめに セキュリティは「そこそこ意識している」つもりだった。 でも今は、コードを書くときの思考回路がまるっきり変わった。守る側の視点だけでコードを書いていた頃には、絶対に気づけなかったことがある。 きっかけは、GitHub Trendingで爆発的に伸びていた「shannon」という自律型AIハッキングツールだった。1日で+3,000スター以上。AIエージェント
さくらのクラウド、ガバメントクラウドの条件クリアまであと3つまで到達。残りは統制やセキュリティ認証、オブジェクトストレージなどの一部に
さくらのクラウド、ガバメントクラウドの条件クリアまであと3つまで到達。残りは統制やセキュリティ認証、オブジェクトストレージなどの一部に デジタル庁はガバメントクラウドの構築に関して、さくらのクラウドの開発計画の進捗状況を1月30日付けで公表しました。 5つのクラウドがガバメントクラウドに選出 ガバメントクラウドは日本政府共通のクラウドサービスの利用環境となるクラウドであり、国内企業と外国企業を問わず「最新かつ最高レベルの情報セキュリティを確保できること」や「データ保存の安全性を確保できること」などの基準を満たすことが必須とされています。令和5年度の調達では305項目の技術要件が示されました。 現時点でガバメントクラウドには、Amazon Web Services、Google Cloud、Microsoft Azure、Oracle Cloud Infrastructure、さくらのクラウ
「日本はカモにされていた」Metaがいかにして日本政府を欺いていたのか、その「工作」を明らかにする【プラットフォーマーに問う①】|SlowNews | スローニュース
「日本はカモにされていた」Metaがいかにして日本政府を欺いていたのか、その「工作」を明らかにする【プラットフォーマーに問う①】 終わりの見えない「なりすまし詐欺広告」の洪水。前澤友作氏や堀江貴文氏、森永卓郎氏といった著名人の写真が無断で使用され、架空の投資話に誘導される被害が後を絶たない。被害者本人が声を上げ、政府がプラットフォーム事業者に要請を行っても、状況は一向に改善しない。 そんな中、詐欺の舞台の一つFacebookを運営するMetaが意図的に対策を怠っていたのではないかという調査報道スクープをロイターが報じた。取材したのはジェフ・ホーウィッツ記者。 今回、スローニュースは彼に独占インタビューを行った。日本の規制当局がMetaの手玉に取られた経緯と、その結果として日本市場が世界の詐欺集団にとっての「無防備なATM」と化してしまったという、衝撃的な話を明かした。 日本政府はこの事態に
「ホワイトハッカーとして育てろはナンセンス」徳丸浩が斬る、未成年不正アクセス事件への“誤解” - エンジニアtype | 転職type
2026.01.21 ITニュース セキュリティー生成AI 2025年に相次いだ、学生による不正アクセス事件。回線の不正契約や会員情報の大量取得といった行為は、単なる「いたずら」では済まされない被害を生んだ。いずれも未成年による犯行とされ、生成AIが一部で使われていた点も大きな注目を集めた。 それでも事件が報じられるたび、SNSでは「才能ある若者を犯罪者として終わらせるべきではない」 「ホワイトハッカーとして育てる道があるのではないか」といった、ある種の“善意の議論”も活発化している。 この議論は、本当に現場の実態を踏まえたものなのだろうか。今回その疑問をぶつけたのは、日本のサイバーセキュリティー分野を代表する専門家の一人、EGセキュアソリューションズ・CTOの徳丸 浩さん。 徳丸さんに話を伺うと、学生事件の背景にある「コミュニティー」の実態と生成AIが果たした役割、そして「ホワイトハッカ
Curl ending bug bounty program after flood of AI slop reports
HomeNewsSecurityCurl ending bug bounty program after flood of AI slop reports The developer of the popular curl command-line utility and library announced that the project will end its HackerOne security bug bounty program at the end of this month, after being overwhelmed by low-quality AI-generated vulnerability reports. The change was first discovered in a pending commit to curl's BUG-BOUNTY.md
ペイペイ鳴らして未払い…「音量設定」悪用した25歳女に有罪判決 「PayPayは信頼関係が前提」 | TBS NEWS DIG
電子決済サービス「PayPay」の音量設定機能を悪用し、支払い音だけを鳴らして商品をだまし取ったとして、詐欺の罪に問われている女の裁判。長崎地裁は20日、女に対し懲役2年、執行猶予4年の有罪判決を言い渡しまし…
商品券詐欺疑いで再逮捕の容疑者 “ぜい弱性ないか探した” | NHKニュース
通販サイトで販売されていた農作物の商品券の価格を0円などに改ざんした情報をサーバーに送りつけ、およそ420万円相当の商品券をだまし取ったなどとして再逮捕された23歳の容疑者が、「ギャンブルに負けて、家…
OWASP Top 10:2025
OWASP Top 10:2025 Welcome to the OWASP Top 10:2025 Release. The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the most critical security risks to web applications. About This Release This is the 2025 version of the OWASP Top 10. This version includes updates based on the latest data and security trends. Main Project
クレカ利用通知が止まらない…… 我が家で起きた不正アクセス被害のいきさつ
2025年もそろそろ終わり、というところで大事件が起きました。何と我が家のクレジットカードで不正アクセス被害が発生したのです。日頃からセキュリティ対策を怠らないように伝えてきましたが恥ずかしい限りです。ぜひ“他山の石”にしてください。 2025年も間もなく終わりです。本年も教科書に載るような大規模なサイバー事件が数多く発生しました。国内でもランサムウェアやサプライチェーン攻撃、VPNを突破した内部侵入、内部不正などが起き、ビジネスが止まり私たちの生活にも目に見える形で影響が及びました。 「サイバー世界は基本的に“攻撃者有利”で、防御側にできることは少ない」という表現がしばしば使われます。しかしその言葉はまだサイバー攻撃をジブンゴト化できていない証拠なのかもしれません。「できることはあるけど、やってない」という事実が、このような惨事を招いたとも考えられます。 ここからは自戒を込めてなのですが
React Server Componentsの脆弱性(CVE-2025-55182)と「SiteGuardシリーズ」の対応
Java ScriptライブラリReact Server Componentsにおける認証不要のリモートコード実行の脆弱性(CVE-2025-55182)が公開されました。 この脆弱性を悪用することで、リモートから任意のコマンドを実行される恐れがあります。すでに悪用事例が確認されているほか、「SiteGuardシリーズ」による攻撃の検出も増加の傾向にありますので、下記の情報などを参考に対策を実施することが推奨されます。 参考情報: React Server Componentsの脆弱性(CVE-2025-55182)について(JPCERT/CC) https://www.jpcert.or.jp/newsflash/2025120501.html なお、「SiteGuardシリーズ」では、既存のシグネチャによる検出を確認しているほか、複数の攻撃パターンの存在を確認したため、2025年12月
相場操縦容疑で摘発された国内証券口座のっとり事案についてまとめてみた - piyolog
2025年11月28日、証券口座の不正取引へ関与した容疑で不正アクセス禁止法違反と金融商品取引法違反の容疑で男二人が逮捕されました。ここでは関連する情報をまとめます。 取引記録から不審な証券口座を特定 警視庁などの合同捜査本部の捜査を受けて、逮捕されたのは中国籍の男二人(会社経営者と職業不詳)。容疑は不正アクセス禁止法違反と金融商品取引法違反(相場操縦)で、証券口座のっとりによる不正取引に関係した摘発は初めて。*1 男二人は他の人物と共謀し、2025年3月17日に不正に入手したIDなどを用いて10都道府県の10人の証券口座を乗っ取り、東証スタンダード上場の人材開発企業の株を不正に釣り上げるために大量の売買を行った疑いがもたれている。警視庁は男らの認否について明らかにしていない。 証券会社に記録された不正取引に使用されたIPアドレスを基に使用者情報を照会したところ、事案と直接関係のない住居や
元上司が「IEEE」を「イェ~~」と呼んでいた件と、IT業界の初見殺し単語帳 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 私の元職場の上司は、IEEEのことを「イェ~~」と呼んでいた。 パリピかよ。 会議中に「その規格はイェ~~が決めていて……」と仰るものだから、こっちは笑いが止まらないのである。正解はご存知「アイトリプルイー」である。 だが、よく考えたらIT業界には初見では読めない単語(あるいは読み方が直感的でない単語)が多すぎるのである。 そこで今回は、新人が現場で赤っ恥をかかないため、あるいはベテランがこっそり自信を取り戻すための「IT業界・初見殺し単語帳」をまとめてみた。 殿堂入り:誰もが一度は通る道 nginx • ❌ ンギンクス •
第三者不正アクセスに関するフォレンジック調査完了および判明事項についてのお知らせ
お客様各位 この度、弊社が提供するサービスへの第三者不正アクセスにより、お客様の個人情報およびクレジットカード情報が漏洩した可能性につきまして、多大なるご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます。 本お知らせは、2025年8月8日に公表した前回のお知らせ(https://www.suruga-ya.jp/feature/osirase/2025_08_08.html)の続報です。8月8日のお知らせ以降、外部専門家によるフォレンジック調査を実施し、2025年10月10日に完了しました。原因および対象範囲に関する報告書を受領しました。 漏洩の疑いがある対象件数はクレジットカード30,431件、それに付随するお客様の情報29,932名でした。 お客様ならびに関係者の皆様に多大なるご心配とご不便をおかけしておりますことを、深くお詫び申し上げます。 本件の詳細情報および弊社の対応
本人認証技術「パスキー」を活用した認証サービスを提供開始
ホーム ニュース 本人認証技術「パスキー」を活用した認証サービスを提供開始 ~クレジットカードの本人認証への適用をはじめ、CAFIS®が安心・安全な決済環境の実現を支援~ トピックス 2025年11月27日 株式会社NTTデータ 株式会社NTTデータ(以下、NTTデータ)は、日本最大級のキャッシュレス決済総合プラットフォーム「CAFIS®」のセキュリティソリューションのひとつとして、本人認証技術「パスキー」を活用した認証サービスの提供を開始します。パスキーとは、従来のID・パスワードやSMSによるワンタイムパスワード(以下、OTP)認証に続く新しい認証方式です。利用者のデバイス内に安全に保存された鍵情報を使って認証を行うことで、情報が外に漏れにくく、フィッシング被害を防ぎながら、生体認証によるスムーズな操作で安心かつ便利な認証を実現します。 まずは、クレジットカードの本人認証である3-Dセ
「公共Wi-Fiを避ける」「QRコードをスキャンしない」「公共のUSBポートでデバイスを充電しない」「パスワードを定期的に変更する」など時代遅れのセキュリティアドバイスを止めろと専門家グループが声を上げる
現役の情報セキュリティ責任者やセキュリティ専門家などで構成されるグループが、国民・企業・ジャーナリスト・政策立案者に向けて、インターネット上や公共のコラムなどで依然として広く流布されている誤ったセキュリティアドバイスである「ハックロア」を止めるよう求めています。 The Letter — Stop Hacklore! https://www.hacklore.org/letter 専門家グループはハックロアとして、以下の6つを挙げています。 1:公共Wi-Fiを避ける 公共Wi-Fiを介した大規模なセキュリティ侵害は、記事作成時点では極めてまれです。最新の製品は、オープンネットワーク上でもトラフィックを保護できる暗号化技術を採用しており、OSやブラウザは信頼できない接続についてユーザーに警告を表示するようになりました。個人用VPNサービスは、ほとんどの人にとってセキュリティやプライバシーの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Kindleアプリ、Webリンクから直接購入可能に
Amazon、一部のKindle本がEPUBまたはPDF形式でのダウンロードに対応へ。2026年1月20日から【やじうまWatch】
特殊詐欺Gに振り込み口座提供か 犯罪収益を隠した容疑で男2人逮捕:朝日新聞
「市場の番人」から託された証券口座 乗っ取り事件逮捕までの8カ月:朝日新聞
サイバー被害、相次ぐベンダーへの賠償請求 過失割合の基準求める声 - 日本経済新聞
