「セキュリティ」の記事一覧

• Linuxカーネル開発におけるPGP Web of Trustの課題

  2025-05-09 10:39

  IT・ネット

  Linuxカーネル開発では、サブシステムメンテナーが署名付きタグでプルリクエストを行うため、PGPキーの信頼関係が重要です。しかし、SHA-1署名の非推奨が進む中、Linus Torvaldsからの信頼パスが失われつつあり、Web of Trustの維持が困難になっています。特にSHA-1署名の削除により、主要開発者の多くのキーが信頼パスを失い、公式リポジトリに登録できなくなる恐れがあります。

• WebAssembly 2.0のコア仕様とは何か

  2025-05-09 08:01

  科学・技術

  WebAssembly（Wasm）は、安全でポータブルな低レベルコード形式であり、Web上での高性能なアプリケーション実行を可能にすることを目的としています。この記事では、2024年版のWasmコア仕様2.0を紹介し、設計目標、仮想命令セットとしての機能、安全性、型システム、スタックベースの実行モデル、バイナリおよびテキスト形式、エンベッダーとの関係など、詳細な技術的要素が解説されています。また、Web環境以外での応用やセキュリティへの配慮についても触れています。

• Starlink端末の構造とセキュリティを解析　DARKNAVYが調査報告

  2025-05-09 03:03

  科学・技術

  DARKNAVYがSpaceXの衛星インターネットサービス「Starlink」のユーザー端末（UTA）を分解・解析し、ハードウェア構成とセキュリティ設計についての調査結果を公表しました。解析ではカスタムSoCやセキュリティチップの搭載が確認され、ファームウェアにはテレメトリーデータを記録する機能も含まれていることが判明。SSH鍵の大量登録など、潜在的なセキュリティリスクも指摘されています。

• Gmail、古い暗号方式「3DES」のサポートを終了へ

  2025-05-08 04:09

  IT・ネット

  Googleは、GmailのSMTP接続において、古い暗号化方式「3DES」のサポートを間もなく終了することを発表しました。これにより、より安全な通信が求められるようになります。利用中のメールサーバーが3DESに依存している場合は、早急な対応が必要です。

• TM SGNLの実態：米政権関係者が使用する改造版Signalアプリの重大な脆弱性

  2025-05-06 20:17

  IT・ネット

  イスラエル企業TeleMessageが提供する改造版Signalアプリ「TM SGNL」は、安全性を強調してマーケティングされているが、実際には利用者のメッセージを平文で同社のサーバーへ送信・保存しており、重大なセキュリティリスクを孕んでいます。米トランプ政権の高官も使用しており、通信の内容が外部に漏れる可能性が指摘されています。さらに、TeleMessageのサーバーはAWS上に構築され、ハッキング被害も受けたことから、情報漏洩リスクは現実的なものとなっています。

• AIによる粗悪な脆弱性報告に警鐘を鳴らすcurlの開発者

  2025-05-06 17:07

  IT・ネット

  curlの開発者であるDaniel Stenberg氏は、AIによって生成された脆弱性報告の質の低さに対して強く批判し、HackerOneでの報告者に対してAIの使用有無の確認を義務付け、AIによる報告を即時排除する方針を打ち出しました。AIによる報告が妥当性を欠き、セキュリティチームへの負担や時間の浪費を生んでおり、まるでDDoS攻撃のようだと警告しています。オープンソースにおけるAI利用の是非が問われています。

• GitHub Actionsの脆弱性と対策：最近の攻撃事例から学ぶ

  2025-05-06 02:07

  IT・ネット

  GitHub Actionsに対するサプライチェーン攻撃が近年発生し、悪意あるコードが拡散される事例が報告されました。特にUltralyticsやtj-actionsなどが狙われ、個人アクセストークンやシークレットの漏洩が発生しました。記事では、組織レベルの設定やセキュアなワークフローの構築、秘密情報の管理、第三者Actionsの選定基準など、セキュリティ強化の実践的ガイドを紹介しています。

• 2025年のサイバー犯罪：信頼性を悪用した新手法

  2025-05-05 15:33

  IT・ネット

  サイバー犯罪者は、政府機関や教育機関の脆弱なウェブサイトを悪用し、信頼性の高いドメインを利用してフィッシングやアフィリエイト詐欺を行っている。これらの手法は、セキュリティツールによる検出を回避し、RobuxやAmazonギフトカードなどを餌にユーザーを誘導する。

• AWS公式ツールが招いたセキュリティリスク

  2025-05-05 11:37

  IT・ネット

  AWSが開発したセキュリティ監査ツール「Account Assessment for AWS Organizations」は、本来の目的に反してクロスアカウントの権限昇格リスクを生む構成を推奨していたことが判明しました。特に管理アカウント以外にハブロールを設置するよう促す公式ガイドが問題で、低セキュリティの開発アカウント経由で本番環境にアクセスできるルートが生まれていました。AWSは指摘を受けてガイドを修正しましたが、旧ガイドに従った組織は即時対応が必要です。

• トランプ政権関係者が使用する非公式Signalアプリの実態

  2025-05-02 23:20

  IT・ネット

  元米国家安全保障補佐官マイク・ウォルツが使用していたメッセージアプリ「TM SGNL」は、公式のSignalアプリを改変した非公式版で、暗号化された通信の平文を自動的に保存する仕組みを持つとされます。このアプリは企業向けに限定配布され、イスラエル出身の開発者によって運営されており、ライセンス違反の疑いもあります。記録された会話がクラウドなどに保存されている可能性があり、機密情報の漏洩リスクが懸念されています。

• xAIの内部LLMがAPIキー漏洩で2カ月間外部からアクセス可能に

  2025-05-02 00:56

  IT・ネット

  イーロン・マスクのAI企業xAIの従業員が、GitHub上で内部APIキーを誤って公開し、SpaceXやTeslaなどの社内データでファインチューニングされたLLM群に誰でもアクセス可能な状態が2カ月間続いていたことが判明しました。セキュリティ企業GitGuardianは、このキーで最大60種の非公開モデルへアクセスできたと報告。内部データの漏洩リスクや悪用の可能性が指摘されています。xAIは指摘を受けた後に該当リポジトリを削除しましたが、対応の遅さが問題視されています。

• Macアプリ起動遅延の正体はマルウェアスキャンだった

  2025-05-01 15:25

  IT・ネット

  Mac上でXcodeやFileMergeなど一部アプリの起動が極端に遅い原因が、macOSのセキュリティプロセスsyspolicydによるマルウェアスキャンであることが判明しました。YARAエンジンを使用してアプリやライブラリを検査しており、大規模アプリほど遅延が顕著です。SIP（System Integrity Protection）を無効化することでこのスキャンを回避できるものの、一般ユーザーには推奨されません。Appleのセキュリティ設計に対する批判が高まりそうです。

• 新興ブラウザエンジン「LibJS」に深刻な脆弱性

  2025-04-30 23:59

  IT・ネット

  SerenityOSプロジェクトから派生した新しいブラウザエンジン「Ladybird」のJavaScriptエンジン「LibJS」にて、ファジングにより深刻な脆弱性が発見されました。特に引数バッファのメモリが解放された後に再利用される「use-after-free（UAF）」バグが再現可能であり、最終的には任意のコード実行に繋がる恐れがあります。この脆弱性は、プロキシオブジェクトと特定のハンドラ操作によって引き起こされるもので、既に修正パッチが適用されています。

• Windows RDPがパスワード変更後も古い認証を許可、Microsoftは仕様と説明

  2025-04-30 23:48

  IT・ネット

  Windowsのリモートデスクトップ機能（RDP）で、ユーザーがパスワードを変更しても古いパスワードでログインが可能な場合があると、独立系研究者が報告しました。これは脆弱性ではなく設計上の仕様とMicrosoftは回答しており、システムがオフラインであっても少なくとも1つのアカウントがログインできるようにするためとしています。しかしこの仕様は、一般的なセキュリティの認識と食い違い、アカウントが乗っ取られてもアクセスが遮断されないリスクがあると批判されています。Microsoftは仕様変更の予定はないと述べています。

• 人気ゲーム「BeamNG.drive」のModにマルウェア、パスワード窃取の危険

  2025-04-30 19:17

  IT・ネット

  人気車両シミュレーションゲーム「BeamNG.drive」の非公式Modに、悪意のあるコードが含まれていたことが発覚しました。Modに仕込まれていたJavaScriptと難読化されたCSSが、ゲーム内のChromiumベースUIの脆弱性を突いてシェルコードを実行。最終的には、遠隔のDLLファイルをダウンロードして実行し、ブラウザや暗号通貨ウォレットからパスワードや個人情報を窃取するマルウェアが展開されました。このModはすでに公式から削除されましたが、約3500人のユーザーが感染版をダウンロードした可能性があるとされ、注意が呼びかけられています。

• Kexa.io、セキュリティ自動化OSSを公開、AIエージェントでSaaS展開へ

  2025-04-30 13:04

  IT・ネット

  フランスのEuratechで開発されたKexa.ioは、セキュリティおよびコンプライアンス確認を自動化するOSSツールを公開。CISベンチマークなどに基づいた構成チェックを簡単に定義・実行可能。今後はAI駆動のクラウドセキュリティ管理エージェントを搭載したSaaS版を2025年6月にリリース予定。AWS、GCP、Azureを対象とし、脆弱性への自動対応も視野に入れる。GitHubでの試用・評価が呼びかけられている。

• AppleのAirPlayに重大なゼロクリック脆弱性、20億台に影響か

  2025-04-29 13:09

  IT・ネット

  Oligo Securityは、AppleのAirPlayおよびAirPlay SDKに、ゼロクリックでのリモートコード実行（RCE）などを可能にする23の脆弱性を発見。「AirBorne」と名付けられたこれらの脆弱性は、Mac、iPhone、AppleTVだけでなく、CarPlay搭載車やサードパーティのオーディオ機器にも影響。特にCVE-2025-24252などはネットワーク内の他のデバイスへ自動的に感染が拡大する“ワーム型”攻撃を許す危険性がある。Appleは17件のCVEを発行し、最新OSで修正済み。Oligoは即時のアップデートとAirPlay受信機の無効化、通信ポート制限などを推奨している。

• AEADとは？暗号化と認証の基本をやさしく解説

  2025-04-28 21:59

  IT・ネット

  AEAD（Authenticated Encryption with Associated Data）は、暗号化と認証を同時に行う手法。TLS 1.3やQUICなど現代の標準プロトコルに採用され、安全なデータ転送に不可欠。本文では、従来の暗号化方式との違いや、認証付き暗号の重要性、そして「付随データ」も保護する理由が丁寧に説明されている。