Claude Code を安全に使おう勉強会 / Claude Code Security Basicshttps://dev.classmethod.jp/articles/claude-code-security-basics/
「ソーシャルエンジニアリング」の裏側を暴く5冊。技術が進歩しても、騙しの構造は変わらない【IPUSIRON】|レバテックLAB - レバテックLAB
IPUSIRON(イプシロン) 1979年福島県相馬市生まれ。相馬市在住。タイトルにある「ミジンコ」は、サインに添えて素早く描けるシンプルなイラストとして採用したものであり、同時に「常に初心を忘れない」という自戒も込めている。2001年に『ハッカーの教科書』(データハウス)を上梓。情報・物理的・人的の観点から総合的にセキュリティを研究しつつ、執筆を中心に活動中。その集大成として2026年1月に『サイバー忍者入門』(翔泳社)を刊行。主な著書に『ハッキング・ラボのつくりかた 完全版』『暗号技術のすべて』(翔泳社)、『ホワイトハッカーの教科書』(C&R研究所)などがある。 X:@ipusiron GitHub:ipusiron ブログ:Security Akademeia 著書『暗号技術のすべて』 著書『ハッキング・ラボのつくりかた 完全版』 著者記事一覧 はじめに 本連載「ミジンコの読書案内」
The Attack: How it works
Every time you open LinkedIn in a Chrome-based browser, LinkedIn’s JavaScript executes a silent scan of your installed browser extensions. The scan probes for thousands of specific extensions by ID, collects the results, encrypts them, and transmits them to LinkedIn’s servers. The entire process happens in the background. There is no consent dialog, no notification, no mention of it in LinkedIn’s
自分のOSSリポジトリにGitHubのセキュリティ設定を入れ、自分用の手順書を作った - $shibayu36->blog;
昨今GitHub上で提供されている有名なOSSに対して攻撃がなされることが多い(例: Nxの2025/08の事例)。自分もそこから学び、最低限GitHub上でセキュリティ周りの設定を入れた方が良いと考えた。 設定を考えるにあたって、とくに次の3つの記事が参考になった。 リポジトリを保護するためのクイック スタート - GitHub ドキュメント Nx の攻撃から学べること #s1ngularity | blog.jxck.io GitHub の Immutable Releases を有効にしてセキュリティインシデントを防ごう これらを参考にAIと協力して最低限のセットアップドキュメントを作ったので共有する。もっとこういう設定を入れるべきなどあれば、教えてもらえると嬉しい。 GitHub OSS セキュリティ最低限セット チェックリスト [ ] Dependabot Alertsを有効化
Notepad++ Hijacked by State-Sponsored Hackers | Notepad++
2026-02-02 Following the security disclosure published in the v8.8.9 announcement https://notepad-plus-plus.org/news/v889-released/ the investigation has continued in collaboration with external experts and with the full involvement of my (now former) shared hosting provider. According to the analysis provided by the security experts, the attack involved infrastructure-level compromise that allowe
「カード番号と有効期限」だけで通った時代から10年~決済セキュリティの進化と今すべき対策 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 皆さん、決済していますか?(挨拶) 元々対面取引の後払い・信用払いの方法として登場したクレジットカードですが、インターネットの普及にともないウェブサービスや通販などのオンラインでも使われてきています。 今回は簡単にクレジットカードのオンラインでのセキュリティの歴史と、最近の不正利用と対策について紹介します。 昔のクレジットカード決済はザルだった 日本では2015年くらいまでは、インターネットでのクレジットカード決済は 「カード番号」 と 「有効期限」 があれば決済できていました。 Webフォームにカード番号と有効期限を打ち込め
“透明なレイヤー”をAndroidスマホに重ね、ピクセル情報を盗む攻撃 30秒で二要素認証コードも窃取
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 米UCバークレーや米カーネギーメロン大学などに所属する研究者らが発表した論文「Pixnapping: Bringing Pixel Stealing out of the Stone Age」は、Androidデバイスにおける新たな脅威として、画面上のピクセル情報を盗み取る攻撃手法「Pixnapping」を提案した研究報告だ。 この攻撃は、Androidの基本的な機能を巧妙に悪用することで成り立っている。Androidでは、アプリ同士が「インテント」という仕組みを使って連携できる。攻撃者は、この正規の機能を使って標的となるアプリを起動し、その上に透明ま
【libxml2】libxml2プロジェクトは放棄されました - Qiita
This is open-source software written by hobbyists, maintained by a single volunteer, badly tested, written in a memory-unsafe language and full of security bugs. It is foolish to use this software to process untrusted data. As such, we treat security issues like any other bug. Each security report we receive will be made public immediately and won't be prioritized. これは趣味人たちによって開発され、たった一人のボランティアによっ
【図解】Torネットワークによる匿名化と、.onionドメインにアクセスする仕組みについて - Qiita
背景 インターネットには特定のソフトウェアを使用しないとアクセスできないダークウェブと呼ばれる領域があります ダークウェブの一部としてTorで構成されたネットワークが有名です 本記事では、Torで匿名通信を実現する仕組みを解説した後に、Torネットワーク内の.onionドメインにどのような仕組みでアクセスできるかについて解説します Torとは Torは1990年代に米国海軍研究所で開発された技術です 匿名通信を実現するために、通信トラフィックを複数のサーバを経由させ、経路の各段階で暗号化するというアイデアをベースにしてTorは作られています Torの機能は主に下記2つです 匿名通信を実現する Torネットワークを経由することでインターネット上の通信を追跡されにくくなります 匿名でサービスを公開する Torを使用することによってサーバのIPアドレスを秘匿しながらサービスを公開することができま
Google、「プライバシーサンドボックス」を実質終了 関連技術のほとんどを廃止へ
米Googleは10月17日(現地時間)、ユーザーのプライバシーを保護しつつ、最適な広告を表示するためのイニシアチブ「Privacy Sandbox」(日本では「プライバシーサンドボックス」)のほとんどの関連技術を廃止すると発表した。実質的なプロジェクトの終了だ。 Googleは米ADWEEKに対し、「Chrome、Android、Web全体のプライバシー向上に向けた取り組みは継続するが、プライバシーサンドボックスというブランドは今後廃止していく」と語った。 プライバシーサンドボックスは2019年8月に発表されたイニシアチブ。ユーザーのプライバシーを保護しながら、Webサイト運営者や広告主がビジネスを継続できるように、サードパーティCookieに代わる新しい技術を開発する取り組みだった。 サードパーティCookieは、プライバシー上の問題は大きいものの、長年にわたってWebの無料コンテンツ
パスキー認証に対する脅威と対策 (2025秋)
ritouです。 ここ数年、ユーザー認証のお話をさせていただいている中、最近ようやく「パスキー認証はね、入れとかないと」みたいな雰囲気になってきましたが、しかしその一方で、「パスキー認証のこういうところが好きになれない」といったご意見も当初からいただいています。今回は、その中の「こうしたらやられる」と言う主張、つまりパスキー認証に対する現状の脅威、考えられる対策 について整理しましょう。 ユーザー認証の現状とこれから ユーザー認証はここ数年、脅威の認識と対策の繰り返しの中で変化してきました。 パスキー登場までの経緯については、 “パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係 にて整理しています。 3行でまとめると、次のようになります。 パスワード認証のみの利用は、パスワードの使い回しによる他サービスへの影響範囲を考えても、極めて危機的な状況である 一般的に使われている「パ
スクレイピング・自動化対策について
はじめに 昔からサービスの運営者を困らせてきたものはいくつかあると思いますが、 特に代表的なのが “自動化による悪用” です。 スクレイピングによる無断データ収集や、予約システムを狙ったボット、さらには不正ログインを試みる自動化ツールなど、その形は時代とともに多様化してきました。 X (旧Twitter) には、今でも詐欺DMを送るボットが多いです。(自分は毎日来ます。) また、大阪万博の予約を勝ち取るために、サーバーに過度の負荷をかける形で自動化が悪用された事例もあります。 そして、最近はAIを利用した巧妙なものも増えています。 この記事を読んで、そのような事態に対処できるように知識が少しでも増えれば良いな、と思っています。 ぜひ少しでも役に立てば、いいね・他SNSへの共有など、よろしくお願いします!! 実例 2025年現在、大阪万博なる物が開催されており、DX化の一環として予約をウェブ
脆弱性情報、勝手に開示しないで 経産省などがクギを刺す FeliCaの事例念頭か
経済産業省は9月9日、報道におけるソフトウェアなどの脆弱性情報の取り扱いについて、改めて「情報セキュリティ早期警戒パートナーシップガイドライン」に即した対応を求める声明を出した。8月28日に共同通信が報じた「FeliCa」の事例が念頭にあるとみられる。 このガイドラインでは、発見された脆弱性情報は関係者の間のみで管理され、検証と対策実施が済んでから公表する手順になっている。脆弱性が悪用される可能性を低減させるための措置だ。 しかしFeliCaの件では、IPAやソニーが脆弱性に関する情報を公開していなかったにも関わらず、脆弱性の発見者に取材した報道機関が大々的に報じた。発見者は7月に脆弱性について報告していた。 経産省は、脆弱性の発見者はIPAへの届出を行い、正当な理由がない限り関連情報を第三者に開示しないこと、正当な理由により開示が必要な場合でも、事前にIPAに相談するように求めた。併せて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
これが本音? Microsoft、Windows 11でサードパーティ製ウイルス対策ソフトは不要との見解【やじうまWatch】
【緊急】月間9500万DLのLiteLLMが乗っ取られた。インストールしただけでSSH鍵・AWS認証・仮想通貨が全部盗まれる - Qiita
“忘れられた技術”―P2Pファイル共有ソフト「BitTorrent」で今、何が起きているのか? 著作権侵害による開示請求急増の背景 今知っておくべきP2Pファイル共有ソフトの特徴と注意点
新セキュリティ基準「JC-STAR」はなぜ作られたのか? 完全に理解するためIPAに聞いてきた Wi-FiルーターなどIoT機器を守る新制度が生まれた背景や目的を知る
これは“とっつきやすい”かも! オランダ版「サイバーセキュリティ経営ガイドライン」が日本のものと比べてかなりコンパクト【海の向こうの“セキュリティ”】
パスキーの保存先をOSから「1Password」に ~Windows 11でテスト中
警視庁、偽のCAPTCHA画面でマルウェアをインストールさせる手口に注意喚起 
