GitHub Actions policy now supports blocking and SHA pinning actions - GitHub Changelog
GitHub Actions policy now supports blocking and SHA pinning actions GitHub Actions is powered by a diverse ecosystem of first-party and community contributed actions. If one of these actions has a vulnerability or is compromised by a malicious actor, it can impact all of its dependents in the supply chain. Tools like Dependabot can identify and upgrade actions versions with known vulnerabilities t
MNPでスマホのキャリアを変えたら、X.comの二要素認証のためのSMSが届かなくなった - kichijojipm’s blog
タイトルの通りなのだけど、MNPの情報が海外のキャリアに伝播するのには一定の時間がかかり(数日から1週間)、通話用の情報はすぐに切り替わっても、国際SMSの経路は切り替わらず、結果として機種変した端末で二要素認証ができない、という事象になってしまった X.comを除いて、SMSは普通に届いていたので、最初は原因が分からなかったけど、検索したら、同じ事象に遭遇している人が多かった X.comのサポートに連絡して、一時的にSMS認証を解除してもらって、無事にログイン成功 孫の代まで伝えたいこと 「MNPする時は、SMSの2要素認証を切る!」— magnoliak🍧 (@magnolia_k_) July 17, 2025 あ...ブログのポスト先を間違えた...でも吉祥寺.pmの運営に支障があった事案なので、そのまま残しておきます
警察庁、ランサムウェア「Phobos/8Base」で暗号化されたデータを復号するツールを開発・公開
警察庁の地方機関・関東管区警察局のサイバー特別捜査部が開発した。「世界中の被害企業等の被害回復が可能となるよう、ランサムウェア対策を世界規模で進め、その活用を促す観点から」公開したという。 Phobosは、2018年ごろから確認されている、Windowsシステムを標的とするランサムウェア攻撃集団。 8Baseは、Phobos系のランサムウェアを利用し、世界中の中小企業を狙うハッカー集団で、日本ではイセトー(京都市)を攻撃したとみられている。 2025年2月には、警察庁や欧州警察機構(ユーロポール)などが参加する国際共同捜査で、8Base幹部のロシア人の男4人が逮捕されている。 関連記事 イセトーから6万件情報流出したクボタクレジット「当面の委託は継続」 再発防止策は クボタクレジットが、委託先のイセトーから顧客情報が漏えいした問題について、再発防止策を講じ、安全性を確認した上で「当面の業務
Dependabot supports configuration of a minimum package age - GitHub Changelog
The cooldown feature is now generally available for Dependabot version updates! This feature gives you control over when version update pull requests are created to bump your dependencies. What’s new The cooldown feature allows you to configure a minimum age requirement before Dependabot creates a pull request for a newly released dependency. This is perfect for folks using version updates with: M
How HTTPS Works
「HTTPSのしくみ」がマンガになったよ! 🌈 🎉 🍕 ブラウザのアドレスバーに、なんでみどりのかぎアイコンが出るのか、なぜそれが大切なのか気になったことはあるかな? わたしたちも気になったので、マンガにしたよ! ニャン子(Certificat)、ピー子(Browserbird)、ワン太(Compugter)と冒険に出かけよう。ウェブの未来に、HTTPSがなんで大切なのか、どんな風に動いているのかを教えるよ。 悪者のカニに捕まらないように気をつけてね。(マンガを読めばわかるよ。) HTTPSが何であるか、なぜHTTPSがあなたのプライバシーのために大切なのかわかるよ。
フロントエンドカンファレンス北海道公式ウェブサイトの乗っ取りについて経緯と原因、現況のご報告|フロントエンドカンファレンス北海道実行委員会
フロントエンドカンファレンス北海道2025実行委員会の実行委員長を務めております、n13u(西村航)です。この度は当実行委員会が運営する公式ウェブサイトの乗っ取りにつきまして、皆様に大変ご心配をおかけいたしました。 現在、公式ウェブサイトでは対応を行い2024年度開催分のページが公開されています。また、後述する原因に基づき、各種設定の見直しを行い再発防止策を実施済みです。公式ウェブサイトへのアクセスについて問題なく行えることを確認しておりますが、DNSレコード設定の反映等で一部の環境にて正しくない、または不正なウェブサイトが表示される可能性もございます。反映が完了する数日程度は継続してウェブサイトの閲覧をお控えいただくようお願いいたします。※1 記事公開時点において、今回の件による個人情報流出等の具体的な被害等については報告を受けておりません。万が一何からの被害に遭われた方がいましたらお手
GitHub MCP Exploited: Accessing private repositories via MCP
We showcase a critical vulnerability with the official GitHub MCP server, allowing attackers to access private repository data. The vulnerability is among the first discovered by Invariant's security analyzer for detecting toxic agent flows. Invariant has discovered a critical vulnerability affecting the widely-used GitHub MCP integration (14k stars on GitHub). The vulnerability allows an attacker
現場のAI活用希望 vs セキュリティ - 板挟みコーポレートエンジニアのためのセキュリティ・ガバナンス実践録 - GMO Flatt Security Blog
はじめに こんにちは。GMO Flatt Security株式会社でコーポレートセキュリティエンジニアをしています、hamayanhamayanです。 様々な企業で生成AIの活用が進んでいることと思います。その流れは当社も例外ではなく、今年に入ってから、生成AIの全社的な利用、生成AIを利用した診断業務の効率化、生成AIを活用した製品開発と、怒涛のように生成AIの利活用が進んでいます。 そんな中でコーポレートエンジニアは、ビジネスの前進に必要な生成AIの利活用は止めたくない、しかし、企業の責任としてセキュリティやガバナンスは疎かにできないという板挟みの中にいると思います。私も例外ではなく様々な情報を集め、リスク評価を行い、社内整備を進めてきました。 本稿は、私がその過程で得た知識を凝縮した記事となります。生成AIに馴染みの無い方にも手にとって貰えるよう初歩的な部分から説明していて、また、内
Dependabot now lets you schedule update frequencies with cron expressions · GitHub Changelog
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
危険なURLを安全に共有できるような変換形式 - ASnoKaze blog
フィッシングやマルウェアのURLを共有する時、リンク化されないように hxxp://example[.]comのように記載する事があると思います。 その変換形式を定義する、『A Standard for Safe and Reversible Sharing of Malicious URLs and Indicators』という提案仕様がIETFに提出されています。 用語 難読化(Obfuscating): 誤ってクリックされないようにする変換のこと 難読化解除(De-obfuscating): 難読化されたものをもとに戻す変換のこと IOC: indicators of compromise。悪意あるURL、メールアドレスのこと もともとは、『無害化(defanging)』『もとに戻す(refanging)』の用語を使ってはいたがObfuscating, De-obfuscatingに
閲覧履歴があってもリンクの色が変わらないケースについて | blog.jxck.io
Intro 4 月末にリリースされる Chrome 136 からは、一部のケースで「閲覧履歴があってもリンクの色が変わらない」状態が発生する。 もしこの挙動に依存して閲覧をしているユーザがいれば、多少不便に感じるかもしれない。 しかし、これは長年問題視されてきた、ユーザのプライバシー保護のための更新だ。 ユーザ側でも、「サイトが壊れたのでは?」と思う人もいるだろうため、前半は技術用語を少なめに解説し、エンジニア向けの解説は後半で行う。 従来の挙動 例えば、Wikipedia では、リンクをクリックして閲覧先を確認すると、閲覧済みのリンクの色が変わる。 これは、ブラウザに保存された閲覧履歴に該当するリンクの色を、訪問済みとして変えるブラウザの機能だ。 多くのリンクがある場合、確認済みかどうかがわかるために、便利に使われることもあるだろう。 (最近では、閲覧済みでもリンクの色を変えないように実
IIJセキュアMXサービスにおけるお客様情報の漏えいについて | IIJについて | IIJ
PDF [172KB] / English 当社が法人向けに提供するメールセキュリティサービス「IIJセキュアMXサービス」において、下記の通り、お客様情報の一部が外部に漏えいした可能性があることを、4月10日に確認しました。該当のサービスをご利用いただいたお客様におかれましては、ご不明な点がございましたら下記のご相談フォームでお問い合わせいただけますようお願い申し上げます。お客様には多大なご迷惑をおかけすることとなり誠に申し訳ございません。深くお詫び申し上げます。 記 情報漏えいの概要 IIJ セキュアMXサービス (電子メールサーバ・セキュリティ機能のアウトソーシングサービス)のサービス設備が、2024年8月3日以降に不正なアクセスを受け、当該サービスを提供する設備上で不正なプログラムが実行されていたことを確認いたしました。これにより、当該サービス上で送受信された電子メールの情報、当該
GitHub のセキュリティ改善
先日 tj-actions/changed-files などの人気の GitHub Actions のセキュリティインシデントがありました (CVE-2025-30066)。 自分は OSS の開発者として様々な OSS を公開しており、こういったセキュリティインシデントは他人事ではありません。 そこでこの 1 ヶ月弱セキュリティ周りを見直し、かなり改善することが出来ました。 本記事では GitHub のセキュリティを改善する方法について紹介します。 主なターゲットしては自分のような OSS の開発者ですが、 GitHub を使っている方全てに参考になる内容かなと思います。 皆さんが本記事を参考にセキュリティを改善し、セキュリティインシデントを未然に防ぐことが出来れば幸いです。 先日登壇した GitHub Actions 関連の資料 先日 2025-03-11 に GitHub Actio
tj-actions のインシデントレポートを読んだ
先日起きた tj-actions や reviewdog のセキュリティインシデントのレポートを読みました。 その内容を個人的な検証結果や感想を挟みつつかいつまんで書きたいと思います。 詳細は原文を読んでください。 なお、侵害された repository 及び tag は全て修正され、盗まれた Personal Access Token (PAT) も revoke されているはずです。 攻撃の流れ tj-actions/changed-files が侵害されるまでに複数の PAT の流出及びリポジトリの侵害が連鎖的に起こっています。 つまり tj-actions/changed-files が直接的にいきなり侵害されたというより、複数のリポジトリをいわば踏み台のようにして侵害したという感じでしょうか。 攻撃者は PAT が盗まれたりした GitHub Account とは別に複数の Gi
GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2)
GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2) Executive Summary Update April 2: Recent investigations have revealed preliminary steps in the tj-actions and reviewdog compromise that were not known until now. We have pieced together the stages that led to the original compromise, provid
アプリケーションロジック固有の脆弱性を防ぐ、開発者のためのセキュリティ観点をまとめたスライド(全59ページ)を無償公開しました - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security の小島です。 先週、GMO Flatt Securityでは日本初のセキュリティ診断AIエージェントである「Takumi」をリリースしました。Takumiは高度なセキュリティレビューを自律的に行えるAIです。 今回はこのリリースに関連し、機能開発におけるロジックの脆弱性を防ぐためのセキュリティ観点をまとめたスライドを公開しました。 AIエージェントである Takumi は、ソースコードを元にセキュリティ診断を行いますが、脆弱なスニペットのパターンマッチに留まらず、アプリケーション固有のロジックを理解し、ロジックに潜む脆弱性まで発見します。 GMO Flatt Securityがこれまで脆弱性診断サービスの中でお客様に報告した1000件以上の脆弱性を元に公開したデータで過半数を占めていたのがロジックの脆弱性であり、その重要度は明らか
悪いのは全部 Eve だと思ってた | blog.jxck.io
Intro いつも本ブログを読んで頂いている皆様、そしてセキュリティ関係者の皆様へ。 この度は、筆者による "Eve" に対する不適切な引用、および、原稿内における不名誉な扱いについて、この場を借りて謝罪させていただきます。 Alice と Bob ネットワークやセキュリティ系の解説の中で、プロトコルの送受信を二人の対話構成になぞらえる場合、一方を Alice、もう一方を Bob とする通例があります。 その構成は、業界では長くこの通例が使われており、私的な文書から現場実務まで、あらゆる文書で Alice と Bob は対話を重ねて参りました。 この二人の会話の間で、ひっそりと盗み聞きしている存在が「Eve」です。 C (Charlie), D (Dave) を飛ばしていきなり Eve が登場するのは、盗聴を意味する Eavesdropper に由来していることと、Charlie と Da
Postmortem on Next.js Middleware bypass - Vercel
Last week, we published CVE-2025-29927 and patched a critical severity vulnerability in Next.js. Here’s our post-incident analysis and next steps. Timeline2025-02-27On 27 Feb 2025 06:03:00 GMT, the vulnerability was disclosed to the Next.js team through GitHub private reporting. The researchers also emailed security@vercel.com. The initial report disclosed the vulnerability in older versions of Ne
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
four new versions published with no code changes to repo · Issue #339 · prettier/eslint-config-prettier
[BUG] Co-author Misattribution · Issue #1655 · anthropics/claude-code