本記事は2026年4月25日時点で公開されている情報に基づきます。事件の最終的な影響範囲・攻撃手法の詳細は今後の公式発表で更新される可能性があります。 はじめに 2026年4月24日、クラウドファンディング国内最大手の 株式会社CAMPFIRE が、最大 22万5846人分 の個人情報が漏えいした可能性があると発表しました。プロジェクト実行者の口座情報や支援者の住所など、極めてセンシティブな情報が対象です。 事件の起点は GitHubアカウントへの不正アクセス。「GitHubが侵害されただけでなぜ顧客情報が？」と思った方は多いのではないでしょうか。本記事では、公開情報から事件の経緯と攻撃の流れを整理しつつ、エンジニアとして組織を守るために今すぐ見直すべきポイントをまとめます。 何が起きたか — タイムライン CAMPFIREが段階的に公表してきたプレスリリースをもとに、時系列を整理します。

社内のチームメンバー(クラウド事業本部コンサルティング部)向けに 「 Claude Code を安全に使おう勉強会 」を開催しました。 Claude Code をセキュアに使う上での、 基本的な考え方や権限/サンドボックス機能の紹介、簡単なデモを実施しました。 DevelopersIO向けに調整したスライドを掲載します。 以下勉強会で連携した設定サンプルです。 Claude Code を安全に使おう勉強会: 補足資料 - Gist スライドの内容:テキスト情報を以降に記載します。参考になれば幸いです。 イントロ 勉強会の目的やアジェンダ、スコープについて話します。 勉強会の目的 Claude Code (に限らず、AIエージェント) はとても便利です。 しかしリスクもあり、暴走もします。 この勉強会では、 Claude Codeが適切な範囲で適切に動けるような、 ガードレールの敷き方 を学

本制度は2026年3月に経済産業省と内閣官房国家サイバー統括室が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」に基づき構築された制度で、IPAが運営します。 サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針（経済産業省、2026年3月27日） より具体的な実施内容については、2026年度に検討・詳細化を行い、本サイトにて公開します。 制度運用体制 経済産業省および内閣官房国家サイバー統括室の監督のもと、独立行政法人情報処理推進機構（IPA）が運営します。

個人事業主や法人はとにかくバックオフィス業務が多いです。 経理・会計だと SaaSの請求書（領収書）を毎月集める クレジットカード明細と領収書を突合する 取引先へ請求書を発行する 入金された振込と自分が発行した請求書を突合する freeeに仕訳を切る 決算期に税理士さんに資料を渡す 法人税・消費税・地方税の申告対応（税理士経由） 資金調達・財務だと 信用金庫や日本政策金融公庫からの借入を管理する 借入の返済スケジュールを管理する 資金繰り表の更新 労務・社会保険だと 社会保険（健康保険・厚生年金）の加入手続き・届出 役員報酬の変更手続き（定時株主総会の議事録作成含む） 算定基礎届の提出 労働保険の年度更新 年末調整の対応 住民税の特別徴収の処理 補助金・助成金だと 補助金・助成金の申請書類の作成 交付決定後の実績報告書の作成 証拠書類（見積書・発注書・納品書・請求書・振込明細）の保管 報告

注: 本記事は執筆時点(2026年4月)の情報をもとに書いています。実際のご利用にあたっては、公式ドキュメント等の最新情報を参照し、正確性を確認の上ご利用ください。 さて、axiosへの攻撃の件で、サプライチェーンアタックの恐ろしさを改めて感じさせられました。外部ライブラリを使う場合、基本的にはセキュリティ面も含めて最新バージョンを使いたいわけですが、その更新作業は脆弱性が入り込みやすいタイミングでもあるというジレンマがあるわけです。 なので、以下のようなポリシーとフローでの外部ライブラリ利用が現状の推奨要件と言えるでしょう。 基本は最新バージョンを使う 機能面、パフォーマンス、セキュリティ面でより良い 追随を怠ると更新が困難になり、新機能が使えないだけではなく、セキュリティリスクも高まる ただし、新バージョンリリース直後ではなく、しばらくしてから最新版を適用する 最新バージョンに問題が無

ねくたい @nekutai_start 新人へ ・私物のUSBは仕事で使うな ・社外メールの宛先はちゃんと確認しろ ・エッチなサイトを会社のPCでは絶対見るな ・カフェに社用携帯やパソコンを置き忘れるな ・新幹線でパソコン開くな顧客情報が見えてるぞ ・席を離れるときはWindows +Lで画面ロックしろ 情報セキュリティを甘く見るな 2026-04-17 18:04:49 しお @sodium 地下鉄に乗ってくるなり、ノートPC開いてガンガン仕事しだしたお姉さんは知る由もなかったでしょう。隣に座る地味な買い物帰りの女性が、あなたと同業界の人間かつ取引相手の会社の人間で、あなたのPCの中身が超秘密事項であるはずだと理解し、ビビり倒していることに……。ということはありました……。 2026-04-18 15:47:25

Today, we’re launching Claude Design, a new Anthropic Labs product that lets you collaborate with Claude to create polished visual work like designs, prototypes, slides, one-pagers, and more. Claude Design is powered by our most capable vision model, Claude Opus 4.7, and is available in research preview for Claude Pro, Max, Team, and Enterprise subscribers. We’re rolling out to users gradually thr

Claude Codeで実際に起きたセキュリティ事故7選と防止策 「Claude Code は便利だけど、なんとなく怖い」——この感覚は正しいです。強力なツールは強力な事故を起こします。実際に開発現場で起きがちなケースを7つ取り上げ、原因と防止策を解説します。 事例1: .env ファイルをGitHubにプッシュ 「CI に環境変数を渡したいので .env もコミットして」という指示で、Claude Code が素直に git add .env && git commit を実行。数分でクローラーが APIキーを検出。 防止策: .gitignore に追加 + Hookでコミット前チェック // .claude/settings.json { "hooks": { "PreToolUse": [ { "matcher": "Bash(git add*)", "hooks": [{ "ty

突如チャートに現れた「MONTAGEM HIKARI」 TikTokにおけるPhonkの台頭【～2022年】 Funk（ファンキ）の席巻【～2026】 連載バックナンバー 突如チャートに現れた「MONTAGEM HIKARI」今年1月14日にリリースされてから、国内バイラルチャートで長らく上位にランクインした「MONTAGEM HIKARI」という曲がある。同曲は「超かぐや姫！」のエンディングテーマやM!LKの新曲などと競り合いながら2月中旬まではトップに座して、執筆時点（2026年4月11日）でSpotifyでは1400万、YouTubeでは計2600万の再生回数を記録するに至った。もしもあなたがTikTokユーザーならば、ダンス動画とともに「朝の光の中で♪」と歌うリフレインが思い出されることだろう。 BellyJay「MONTAGEM HIKARI」 知らない人も一聴すれば、これがYO

「npm install」は任意コード実行のようなもの？ Trivyやaxiosへのサプライチェーン攻撃を踏まえた、開発環境への新たな向き合い方 （本記事はフリーランスライター 高橋睦美氏によるゲストポストです） 近年のソフトウェア開発では、ビルドやデプロイ、テストなどを手作業で行うのではなく、CI/CDパイプラインを構築し、パッケージマネージャを活用して依存するnpmパッケージなどを自動的に組み合わせて環境を構築し、リリースしていく手法が一般的だ。AIエージェントの進化によって、その傾向はさらに加速している。 しかし2025年以降、このプロセスを悪用したセキュリティインシデントが多発し、ソフトウェアサプライチェーン全体の信頼を揺るがしかねない状態となっている。 ソフトウェアサプライチェーンのセキュリティリスクが注目を集めるようになったのはこの10年あまりのことだ。Apache Log4j

TikTokにおけるPhonkの台頭【～2022年】市場、コミュニティ、音楽性などさまざまな側面で「Japanese Funk」の土台となったジャンルがPhonkである。カーレースや怒りたけったサッカー選手、アニメの戦闘シーンなど、何か針が振り切れたような昂りを演出するBGMとして聴いた覚えがあるのではないか。 OG Phonk Vibes ⏐ Best of 2020-2022 PhonkはTikTok以降の音楽シーンで最も論争的なジャンルの1つだ。例えば「2020年代で最も収益性が高く、しかし空虚なジャンル」という批判がある。縦型動画の現場が巨大なインセンティブを生んだことで、頻繁に何億回ものストリーミングを記録するのだとか、月に15万ドル（2千万円超!?）稼ぐプロデューサーがいるのだとか、とにかくPhonkは世界中の若者たちが一攫千金を狙う猟場となり、トレンドを追うばかりの無個性な楽

はじめに 「Agentic Coding　生成AI時代のシステム開発入門」という本を出すくらいなのでAIエージェントのハーネスには興味があって、1週間ほど調査した結果、「ハーネス」の見え方が固まりつつあるので、表題についてラフに書き留めておきます。根拠があるものないものがあるので話半分に読んでください。 スライドの形式で読みたい人はこのスライドの30Pまでくらいを読むと、本記事に近い知見を得られます。 1. ハーネスという言葉への混乱 最近、AI Agent関連のドキュメントやブログで「エージェントハーネス」「ハーネスエンジニアリング」という言葉がよく出てきます。言葉がそれぞれ指す概念が曖昧かつズレている場合がちらほらあり、バズワードなのかなと感じてしまうのが最近の悩みです。 内部ハーネスと外部ハーネス コーディングエージェントユーザ視点でのmartinfowlerのハーネスの記事があって

1830年頃、わずかな夜の明かりを得るためには、約3時間の労働が必要でした。しかし1992年ごろにはそれが1秒にも満たない労働ですむようになったと言われています。ロウソクから白熱電球、蛍光灯へという技術的発展が、光を劇的に安くしたのです。 そうして光が安くなったとき、人は同じ量の光を単に安く買って終わり――ということにはなりませんでした。 人々は、かつて置こうとも思わなかった場所にまで光を置き、街路、工場、看板といった、社会のあらゆる場所に安くなった光を敷き詰めていきました。そうして、工場は曇りや雨の日にも稼働することができるようになったり、深夜営業や夜の読書といった新しい活動が可能になったのです。 そこで儲けたのは、光を提供した会社だけではなく、それをうまく使った会社でした。 では、ソフトウェアや知能が安くなったとき、私たちはそれをどのように使うのでしょうか。 生成AIによる大きな変化は

日本コロムビアグループ（NCG）は4月13日、AI技術を活用したクリエイティブコンテスト「COLOTEK（コロテック）」の開催を発表し、参加登録の受付を開始した。賞金総額は1000万円。「次の100年愛されるアニメ」をテーマに、最新テクノロジーと物語性を融合させた新たな映像表現を募集する。 COLOTEKは、創立115年以上の歴史を持つ日本コロムビアを傘下に持つNCGが主催する、最新AI技術と音楽を掛け合わせたコンテストだ。AI技術と音楽を融合させたクリエイティブを通じ、次世代の才能発掘とエンタテインメント創造を目指している。 コンテストでは、AI技術の巧拙よりも、アイデアや世界観、物語の魅力を最重視し、物語の入り口が感じられるような作品を募集する。受賞作品には、賞金のほか、NCGの強みを生かした主題歌や劇伴などの音楽展開を共に検討するなどの支援を予定している。 応募対象は作品の映像表現に

音楽ユニットLOVE PSYCHEDELICO（ラブサイケデリコ）のギターNAOKI（52）が13日、Xを更新。SNS上で話題となっている有名ギタリスト布袋寅泰（64）の投稿に言及した。 NAOKIは、布袋が11日にXで投稿し、その後削除したとされる投稿を紹介したまとめサイトの記事を引用。記事では布袋のアカウントで「未だかつて日本の首相がロックンロールと交わったことがあったか？素晴らしいことなんだよ」と記したと伝えている。11日に、来日している英国の伝説的ハードロックバンド、ディープ・パープルが東京・日本武道館公演を前に、首相官邸を表敬訪問し、大ファンで知られる高市早苗首相と面会したことから、その内容を受けての投稿とみられていた。 NAOKIはこの内容に触れ「ハッキリ言っておきたい。全く素晴らしいと思わない」とキッパリ。「芸術に政府のお墨付きなんていらない」と“NO”を突きつけた。 LOV

こんにちは。AI LabチームのHan Kil Roです。サービスに必要なAIモデルやソリューションを開発するチームで業務に携わっています。 最近、LINEヤフー社内で実施された Orchestration Development Workshop において、「MCPとAgent Skillの理解」というテーマで講師を務めました。 今回のブログでは、そのワークショップの内容にいくつかの具体例を補足しながらまとめています。 はじめに 最近のAIエージェント開発の動向を見ると、MCP（Model Context Protocol）サーバーを構築するアプローチから、Agent Skillベースへと開発方針を切り替える流れが明確になってきています。実際に適用してみると、実装は確かにシンプルになり、アーキテクチャ自体もかなり軽量になることを実感できます。すでに多くのユーザーがSkillの利点を認識し

アドビ（Adobe）は、WindowsおよびmacOSの両プラットフォームでAdobe AcrobatおよびReaderを使用しているユーザーに影響を与える深刻な脆弱性「CVE-2026-34621」が、すでに攻撃者に悪用されていることを正式に認めた（APSB26-43）。この脆弱性を突いたエクスプロイトは任意のコード実行を可能にし、悪意あるPDFドキュメントを開くだけで発動する──それ以上のユーザー操作は一切不要だ。アドビはセキュリティアップデートを72時間以内にインストールするよう呼びかけている。 編注：アドビが直接的に「72時間以内」と挙げているわけではない。本稿では、APSB26-43の優先度（Priority）が「1」であること、緊急度のレート（Rating）が「クリティカル」となっていることから、「セキュリティ緊急度」ページの情報をもとに「72時間以内」と記載している。 アドビ

はじめに こんばんは、mirukyです。 2026年3月31日、npmの Axios パッケージ（週間1億ダウンロード）がサプライチェーン攻撃を受けました。攻撃者はメンテナーへの標的型ソーシャルエンジニアリングでセッションを乗っ取り、悪意ある依存 plain-crypto-js を注入した axios@1.14.1 と axios@0.30.4 をレジストリに公開しました。このパッケージは postinstall フックで多段階RATを展開し、macOS・Windows・Linuxすべてに対応する本格的なバックドアを設置するものです。影響はOpenAIのmacOS署名パイプラインにまで及び、証明書のローテーションが実施される事態となりました。 OWASP Top 10:2025でも Software Supply Chain Failures（サプライチェーンの障害）が第3位 に新設される

https://aid.connpass.com/event/386203/

Harnesses encode assumptions that go stale as models improve. Managed Agents—our hosted service for long-horizon agent work—is built around interfaces that stay stable as harnesses change. Get started with Claude Managed Agents by following our docs. A running topic on the Engineering Blog is how to build effective agents and design harnesses for long-running work. A common thread across this work