「セキュリティ」の記事一覧
-
仏で暗号資産家族を狙う誘拐未遂、全国で20人以上逮捕
2025-05-27 21:33
社会フランスでは暗号資産起業家やその家族を狙った誘拐未遂が相次いでおり、最新の事件では西部ナント近郊での誘拐計画が未遂に終わり、関連して全国で20人以上が拘束されました。仮想通貨企業レジャーの共同創業者らが標的となり、身代金目的の暴力事件が多発。当局は暗号資産界の著名人の安全対策を強化する方針を示しており、業界内でもフランスがメキシコ化しているとの懸念の声が高まっています。
-
GitHub MCPに深刻な脆弱性、エージェント経由で機密情報が流出
2025-05-26 22:53
IT・ネットInvariant社は、GitHub MCP連携において深刻な脆弱性を発見しました。攻撃者が公開リポジトリに仕込んだ悪質なIssueを通じて、エージェントがプライベートリポジトリのデータを誤って外部に漏洩させる可能性があります。この“トキシック・エージェント・フロー”と呼ばれる攻撃手法は、ユーザーが無意識にエージェントに指示を出すことで成立し、GitHubの仕様そのものには問題がないことから、エージェントシステム全体の構造的見直しが求められています。
-
iOSカーネル脆弱性「tachy0n」の全貌をSiguzaが解説
2025-05-24 19:50
IT・ネット著名なハッカーSiguzaが、5年前にunc0ver v5.0.0で使用されたiOSカーネル脆弱性「tachy0n」の技術的詳細を公開しました。この脆弱性はiOS 13.0〜13.5に存在し、ゼロデイとしてリリースされ、Appleが緊急修正を行いました。記事では、発見経緯や再利用の危険性、そしてAppleがiOS 14以降で講じた根本的なセキュリティ対策(kheap分離、ゾーンガードなど)についても解説されており、攻撃手法の進化と防御の変遷が描かれています。
-
GitLab Duoにリモートプロンプトインジェクションの脆弱性
2025-05-23 07:12
IT・ネットGitLab Duoに発見された脆弱性により、攻撃者が埋め込んだ隠しプロンプトを通じて、非公開ソースコードの漏洩やHTMLインジェクションが可能となっていました。これは、LLMの脆弱性としてOWASP Top 10にも該当する深刻な問題で、GitLabは問題を認識し修正済み。Duoはユーザーと同じ権限を持ち、外部からの隠れた命令に従ってしまう特性があり、今後もAI統合環境では入力内容の信頼性に注意が求められます。
-
Flatpakの未来と直面する課題
2025-05-22 23:51
IT・ネットFlatpakはLinuxアプリの配布手段として人気を集めているが、開発の停滞が懸念されている。主要開発者の離脱によりコードのレビューが滞り、新機能の統合も進まない状況が続いている。OCI対応や権限の細分化など多くの改善提案があるが、放置されがちだ。音声管理の改善やネームスペースの対応、ドライバ共有などの課題も残る。今後はRustによる再構築やOCI準拠への移行を視野に、持続可能な体制構築が求められている。
-
PostgreSQLの新機能「Direct TLS」で接続速度が大幅改善
2025-05-22 05:49
IT・ネットAurora DSQL開発チームが、VPN未使用時に接続が遅くなる問題を調査した結果、社内ネットワークのファイアウォールがTLS証明書を確認するために別の接続を開いていたことが原因と判明しました。PostgreSQL 17では「Direct TLS」によりこの余計な通信を省略でき、接続の初期遅延が解消されました。TLSのみを強制する環境では有効で、AWSのAurora DSQLではこの機能を積極的に推奨しています。
-
ACE-RISCV: RISC-V向けの機密計算フレームワーク
2025-05-21 20:21
科学・技術IBMによるオープンソースプロジェクトACE-RISCVは、RISC-Vアーキテクチャ向けの仮想マシンベースの信頼実行環境(TEE)を提供する機密計算フレームワークです。形式検証されたセキュリティモニターを中核とし、PQC(耐量子暗号)にも対応。ローカルアテステーション機能により、ネット接続のない組み込み機器でも安全性を担保します。Linux KVMやQEMU上での動作も可能で、開発者向けの詳細な構築手順も公開されています。
-
埋め込み空間の普遍的幾何構造を活用する新技術
2025-05-21 18:15
IT・ネット研究者たちは、異なるベクトル空間間でテキスト埋め込みをペアデータなしで翻訳可能にする新手法を発表しました。この手法は、あらゆるモデルの埋め込みを「プラトン的表現仮説」に基づく普遍的な意味構造に変換し、高い類似度で異空間へ変換できます。この技術により、埋め込みベクトルから元の文書に関する機密情報が推定される可能性が高まり、ベクトルデータベースのセキュリティにも大きな影響を及ぼします。
-
Signal、Microsoft Recallに対抗する新機能を導入
2025-05-21 16:46
IT・ネットSignalはWindows 11版アプリに「スクリーンセキュリティ」機能を導入し、MicrosoftのRecall機能からのプライバシー保護を強化しました。Recallはアプリ画面を定期的に記録する機能で、プライベートメッセージの漏洩リスクが指摘されています。SignalはDRMフラグを使い、スクリーンショットの取得を無効化。視覚支援技術への影響も考慮し、警告付きで手動解除が可能です。プライバシーを守るための一手として注目されています。
-
LLMの脆弱性「甘い毒」攻撃で明らかに
2025-05-21 05:36
科学・技術大規模言語モデル(LLM)は広範な応用が進む一方で、設計された制限を回避させる「脱獄(Jailbreak)」攻撃の脅威に直面しています。本論文では、モデルの注意重みが入力から出力へ移行することで防御が緩む「防御閾値劣化(DTD)」を突く新たな手法「Sugar-Coated Poison(SCP)」を提案。この手法は一見無害な出力を通じてモデルを誘導し、やがて有害な内容を生成させるものです。対策として、効果的な防御戦略「POSD」も提案されています。
-
政府効率局DOGEの影響でセキュリティ企業が再編加速
2025-05-20 18:27
科学・技術政府のコスト削減を進めるDOGE(政府効率局)の影響で、多くのセキュリティ企業が自社の技術を売り込む動きを強めています。DOGEは数百万人の個人情報を集約する中央データベース構築を進めており、AIの導入による職員削減も視野に入れています。OpenAIやZscalerなどが協力を模索する一方、サイバー人員削減による影響で一部企業では大規模なレイオフも発生しています。業界全体が大きな再編期を迎えています。
-
WireGuard鍵に識別性を──バニティキー生成ツール
2025-05-19 20:16
IT・ネットWireGuardの公開鍵に指定の文字列を含ませる「バニティキー」を生成するコマンドラインツールが紹介されています。このツールはcurve25519鍵ペアを高速に生成し、正規表現や複数接頭辞による検索も可能です。複数コアによる並列処理で効率的に目的の鍵を探せるほか、予測時間の表示や生成確率の提示などユーザビリティも高い構成です。サーバ運用時に誰の鍵か識別したいという現実的な動機から開発されました。
-
Better Auth:TypeScript向けオープンソース認証フレームワーク
2025-05-19 14:48
IT・ネットBetter Authは、TypeScript開発者向けの認証フレームワークで、サードパーティサービスを使わずに、組織機能や2FA、SSOなどの高度な認証機能を自前で簡単に実装可能。拡張可能なプラグイン構成と今後の管理機能インフラ提供も計画されており、自由度と制御性を重視した設計です。
-
Wacomのペンタブレットがすべてのアプリ名を追跡していた疑惑
2025-05-17 19:51
IT・ネット開発者のRobert Heaton氏は、Wacom製ペンタブレットのドライバがGoogle Analyticsを通じて、ユーザーが開いたすべてのアプリケーション名を記録・送信していることを発見しました。これはプライバシーポリシー上では曖昧に表現されており、ユーザーに明示されていません。Heaton氏はBurp Suiteを使って通信内容を解析し、アプリ名が明示的に追跡されている証拠を確認。Wacomは一時的にこの機能を停止していましたが、後に再開されたようです。この件は、デバイスのプライバシー侵害への警鐘を鳴らすものです。
-
プリンター会社が半年間マルウェアを配布、警告を無視
2025-05-17 05:44
IT・ネットProcolored製プリンターの公式ソフトウェアに、半年以上にわたってマルウェアが含まれていたことが発覚しました。ユーザーの報告を当初「誤検知」と否定していた同社ですが、G Data社の調査により実際に複数のウイルスが含まれていたことが確認されました。これにより、利用者のシステムが暗号通貨を盗まれるなどの被害を受けた可能性があります。同社はソフトを一時撤去し、新たな無害版を配布開始しました。
-
MacOSのIPCを悪用したサンドボックス回避の研究
2025-05-16 20:27
科学・技術GoogleのProject Zeroによるこの技術記事では、MacOSのMach IPCメッセージを利用して、権限の低いプロセスから高権限のシステムデーモンにアクセスする「サンドボックス回避」手法が詳細に検証されています。筆者はcoreaudiodデーモンを対象に、独自のファジングハーネスを構築し、クラッシュ分析やコードカバレッジを通じて脆弱性を発見。プロセス間通信の脆弱性を突く高度な攻撃手法が解説されています。
-
SQL注入を防ぐt-stringベースのSQL構築ライブラリ
2025-05-16 12:48
IT・ネットSQL-tStringは、Pythonのt-string構文を用いた安全なSQLクエリの構築を可能にするライブラリです。変数の挿入に制限を設けることで、SQLインジェクションを防止します。オプショナルな条件やnullチェックにも対応し、異なるデータベース方言にも柔軟に対応可能です。PEP 750に準拠した構文を先取りし、Python 3.12以降でも利用できるよう工夫されています。軽量かつ堅牢な設計が特徴です。
-
超高速ハッシュ関数rapidhashが登場
2025-05-14 07:45
科学・技術rapidhashは、SMHasherおよびSMHasher3で最速と評価された新しいハッシュ関数です。旧来のwyhashを上回る速度と精度を持ち、AMD64およびARMアーキテクチャで最適化されており、最大で毎秒70GBのスループットを実現します。衝突率も理想に近く、CおよびC++環境での利用が可能。機械依存命令を使わず、広範なプラットフォームでの導入が容易です。今後のハッシュアルゴリズムの新標準として注目されています。
-
2025年でも銀行の認証はなぜ古臭いままなのか
2025-05-13 18:56
IT・ネット筆者はカナダのTD銀行で、SMSによる2要素認証に依存する設計により海外で完全にアカウントにアクセスできなくなった。専用アプリもSMS認証を必要とするため役に立たなかった。SMSによる認証は安全性が低く、SIMスワップやフィッシング攻撃の標的になりやすい。にもかかわらず、多くの銀行はTOTPやパスキーなどのオープンで安全な標準に対応していない。著者は、金融機関に対し2025年にふさわしい認証設計への刷新を強く求めている。
-
Intelの新たな脆弱性「Branch Privilege Injection」
2025-05-13 16:44
科学・技術Intelのプロセッサに新たな脆弱性「Branch Privilege Injection(CVE-2024-45332)」が発見されました。これはSpectre-BTI型攻撃の一種で、分岐予測器のレースコンディションを突く手法により、特権モードの切り替え時に機密情報が漏洩する可能性があります。従来のeIBRSやIBPBによる対策を回避できる点が特徴で、すでにUbuntu 24.04上での実証に成功。Intelはマイクロコード更新で対応を開始しています。
-
ドメイン末尾のドットがもたらす思わぬ混乱
2025-05-13 15:24
IT・ネットURL中のホスト名末尾に付けるドット(例:example.com.)が、システムの各層で異なる扱いを受けることで、Webアクセスやセキュリティに予期せぬ影響を及ぼす事例が紹介されています。DNSやHTTPヘッダでは通常同一視されますが、TLSのSNIやCookieの処理では微妙な差異が問題を引き起こすこともあります。cURLではこの挙動の調整に長年苦労しており、2022年にはこの扱いを巡って2件のセキュリティ脆弱性が発覚しました。
-
RustlsがTLSサーバー性能を大幅向上
2025-05-13 13:22
科学・技術Rust製のTLSライブラリRustlsが、サーバー側の処理性能を大きく改善しました。最新バージョンでは、接続数の増加に伴う性能低下を抑えるため、再開セッション管理にロック方式を変更。OpenSSLよりも最大2倍の低遅延を実現しています。また、ステートレスなセッション再開への対応や、CPUと帯域使用量の最適化も進められ、よりスケーラブルで安全なTLS環境の構築が可能となりました。
-
Screenに複数の脆弱性、特権昇格や情報漏洩の可能性
2025-05-13 11:28
IT・ネットUNIXターミナルマルチプレクサのScreenに複数の脆弱性が発見され、特に5.0.0バージョンのsetuid-root構成ではローカル権限昇格の可能性がある。主要な問題は、ログファイルの再オープン処理における特権降格の欠如、TTYのパーミッション誤設定、ワールドライト可能なPTY作成など。また、信号送信処理の競合状態や、文字列操作の不適切な使用によるクラッシュの問題も指摘されている。影響範囲は広く、Arch LinuxやNetBSDなどが特に影響を受ける。修正パッチが提供されており、パッケージ管理者には構成変更の明示指定が推奨される。
-
wtfis:人間向けのOSINT情報取得ツール
2025-05-12 22:15
IT・ネットwtfisは、ドメイン名やIPアドレスに関する情報を複数のOSINTサービスから収集するCLIツールです。VirusTotalを必須とし、ShodanやAbuseIPDB、Greynoiseなどは任意で利用可能。APIキーの設定によって柔軟に情報を取得でき、ユーザーが読みやすい出力を重視しています。カラフルな表示やリンク付きのパネル表示にも対応し、Dockerでの実行も可能です。セキュリティ調査やインシデント対応に有用です。
-
スタートアップ向けSOC 2コンプライアンス管理ツールLumoar
2025-05-12 19:05
IT・ネットLumoarは、スタートアップが迅速にSOC 2コンプライアンス体制を構築するための無料プラットフォームを提供している。ガイド付きのチェックリスト、ポリシー自動生成、証拠管理、チーム協働機能などを備え、監査準備の負担を軽減する。将来的には証拠自動収集や統合機能も提供予定で、効率的かつ継続的なセキュリティ遵守が可能になることを目指す。初期フェーズのSaaSやセキュリティ重視の企業に最適なツール。
-
macOSの許可ポップアップに潜む脆弱性「TCC, Who?」
2025-05-12 18:26
IT・ネットmacOSに存在したCVE-2025-31250という脆弱性により、悪意あるアプリが他のアプリに成りすましてユーザーの許可を取得し、その結果を別のアプリに適用することが可能だった。この脆弱性はAppleのTCC(Transparency, Consent, and Control)機構の実装ミスに起因し、XPC通信で送信される特定のメッセージに対する検証不足によって起こっていた。macOS Sequoia 15.5で修正されているが、この脆弱性はマイクやカメラなどの主要な権限取得にも悪用できた可能性がある。
-
脆弱な認証と開放APIが招いたデートアプリの個人情報漏洩
2025-05-12 16:39
IT・ネットCercaというデートアプリにおいて、OTP認証の不備と開放されたAPIエンドポイントにより、ユーザーの氏名、位置情報、性的指向、パスポート情報などの機密データが誰でも取得可能な状態にあったことが報告されました。報告者は責任ある開示を行いましたが、Cercaは対応を公表せず、ユーザーへの通知も行っていません。これは深刻なプライバシー侵害であり、被害拡大の可能性も指摘されています。
-
Nixで実現する検証可能なソフトウェアサプライチェーン
2025-05-12 14:54
科学・技術Nixは、厳格な規制要件に対応しつつ、開発の自由度を維持できるソフトウェアサプライチェーン管理を可能にします。すべての依存とソースを記録し、完全な再構築によって真正性と一貫性を保証。固定出力導出(FOD)や閉包のエクスポートにより、政府機関や監査機関に対する証明も容易です。Nixは高い再現性を持ち、オフラインでの完全再構築も現実的に実行可能な仕組みを提供します。
-
StarGuard:オープンソースの信頼性を可視化する新ツール
2025-05-12 12:59
IT・ネットStarGuardは、GitHub上の偽スター、不正依存、リスクのあるライセンスなど、リポジトリの信頼性に関わる指標を自動検出するCLIツールです。数百万の偽スターを調査した研究をもとに、CTOや投資家、セキュリティチームが数秒でオープンソース評価を行える仕組みを提供します。出力はJSONやPNGなど多様で、信頼スコアや可視化グラフも生成されます。静的解析を用い、安全性と透明性の確保に寄与します。
-
旅行中にWindows Security Centerをリバースして後悔した話
2025-05-12 03:34
IT・ネット筆者は韓国旅行中に、過去に公開していたWindows Defender無効化ツールの「クリーンな実装」を試み、WSC(Windows Security Center)の仕組みを深く解析する羽目に。手元にx86環境がない状況で、友人のPCを借りてデバッグやリバースエンジニアリングを行い、署名チェックやSID検証など数々の技術的難関に直面します。最終的にタスクスケジューラの設定ミスに気づき、機能実装を完了させますが、過酷な環境と時差の中での作業に疲弊します。
-
なぜオブジェクト・ケイパビリティ言語が普及しないのか?
2025-05-11 18:57
IT・ネットソフトウェアのサプライチェーン攻撃が増加する中、ライブラリの権限を制限できるオブジェクト・ケイパビリティ(OC)型言語の導入が注目されています。しかし既存のプログラミング言語との互換性や標準ライブラリの再設計、サンドボックス設計の複雑さ、Spectreなどの副作用が大きな課題となっています。JavaのSecurityManagerやChromeのMojoなど、実装例はあるものの、開発者の負担が大きく普及に至っていません。
-
2038年問題に警鐘、Epochalypse Projectが始動
2025-05-11 10:08
科学・技術2038年1月19日、Unix時間の32ビット上限により、多数の埋め込みシステムが誤作動を起こす懸念があります。医療機器やインフラ、金融システムなど広範囲に影響が及ぶ可能性があり、NTPの脆弱性を悪用した攻撃リスクも指摘されています。対応にはシステムの更新や脆弱性の可視化が不可欠であり、有志が立ち上げたEpochalypse Projectが啓発と技術的対応の中核を担っています。時間は限られており、今こそ行動が求められています。
-
ASUSドライバにRCE脆弱性、研究者が詳細を公開
2025-05-11 05:11
IT・ネットセキュリティ研究者は、ASUSのプレインストールソフト「DriverHub」に、ローカルホストを経由したリモートコード実行(RCE)脆弱性があることを発見しました。特定のOriginヘッダー処理の甘さと、署名済みインストーラとの連携を悪用し、管理者権限で任意のコードを実行できる可能性がありました。ASUSは報告後、脆弱性を修正し、CVEも公開済みです。研究者は被害が拡大する前に問題を解決できたと述べています。
-
Microsoft Teams、会議中のスクリーンショットをブロックへ
2025-05-10 19:39
IT・ネットMicrosoftは2025年7月から、Teams会議中にスクリーンショットを撮ることを防止する新機能「Prevent Screen Capture」を導入します。ユーザーが画面をキャプチャしようとすると、ウィンドウが黒くなる仕組みで、Windows・Mac・iOS・Androidに対応予定です。これにより、機密情報の流出を防止します。また、Copilotによる議事録の自動生成やブランドなりすまし検知などのセキュリティ機能も強化される予定です。
-
Linux向けC/POSIX標準ライブラリの比較
2025-05-10 14:55
IT・ネットこの記事では、Linux上で使用可能なC/POSIX標準ライブラリの代表的な実装、musl、uClibc、dietlibc、glibcについて、機能、パフォーマンス、メモリ消費、互換性、セキュリティなど多岐にわたる観点から徹底的に比較しています。特にbloat(不要な肥大化)とのバランスを評価し、各ライブラリが持つ設計哲学や用途に応じた選択指針を明らかにしています。muslの作者による視点からの詳細な分析が特徴です。
-
GitHubが未認証アクセスのレート制限を強化
2025-05-09 14:11
IT・ネットGitHubはAPIの無断使用やスクレイピング対策として、未認証アクセスに対するレート制限を強化する方針を発表した。これにより、HTTPS経由でのリポジトリクローンやREST API、rawファイルのダウンロードなどが制限対象となる。認証付きリクエストを利用する開発者は従来どおりのアクセスが可能。セキュリティと安定性確保を目的とした変更で、今後は認証を前提とした運用が推奨される。
-
Linuxカーネル開発におけるPGP Web of Trustの課題
2025-05-09 10:39
IT・ネットLinuxカーネル開発では、サブシステムメンテナーが署名付きタグでプルリクエストを行うため、PGPキーの信頼関係が重要です。しかし、SHA-1署名の非推奨が進む中、Linus Torvaldsからの信頼パスが失われつつあり、Web of Trustの維持が困難になっています。特にSHA-1署名の削除により、主要開発者の多くのキーが信頼パスを失い、公式リポジトリに登録できなくなる恐れがあります。
-
Rustの依存関係がもたらす課題とジレンマ
2025-05-09 09:11
IT・ネットRustは安全性と高性能を兼ね備えた言語として人気を集めていますが、依存関係の管理に課題もあります。著者はdotenvのような小さな非保守パッケージの影響や、tokioのような巨大な依存がもたらすコード量の膨張に懸念を抱き、自身の1000行程度のコードが360万行の依存コードに包まれる状況を問題視。標準ライブラリへの拡張や依存コードの可視化といった改善が必要だと提言しています。
-
WebAssembly 2.0のコア仕様とは何か
2025-05-09 08:01
科学・技術WebAssembly(Wasm)は、安全でポータブルな低レベルコード形式であり、Web上での高性能なアプリケーション実行を可能にすることを目的としています。この記事では、2024年版のWasmコア仕様2.0を紹介し、設計目標、仮想命令セットとしての機能、安全性、型システム、スタックベースの実行モデル、バイナリおよびテキスト形式、エンベッダーとの関係など、詳細な技術的要素が解説されています。また、Web環境以外での応用やセキュリティへの配慮についても触れています。
-
Starlink端末の構造とセキュリティを解析 DARKNAVYが調査報告
2025-05-09 03:03
科学・技術DARKNAVYがSpaceXの衛星インターネットサービス「Starlink」のユーザー端末(UTA)を分解・解析し、ハードウェア構成とセキュリティ設計についての調査結果を公表しました。解析ではカスタムSoCやセキュリティチップの搭載が確認され、ファームウェアにはテレメトリーデータを記録する機能も含まれていることが判明。SSH鍵の大量登録など、潜在的なセキュリティリスクも指摘されています。
-
PyPIのテストスイートを81%高速化した最適化手法
2025-05-08 20:54
IT・ネットTrail of Bitsは、PythonパッケージリポジトリPyPIのテストスイートを81%高速化するために、並列実行、Python 3.12のsys.monitoring活用、テスト探索の効率化、不要なインポートの削除などを実施しました。これにより、テスト数が増加しているにもかかわらず、実行時間は約160秒から30秒まで短縮されました。この改善により、開発者は頻繁なテストを行いやすくなり、セキュリティと品質保証の向上にもつながります。
-
Gmail、古い暗号方式「3DES」のサポートを終了へ
2025-05-08 04:09
IT・ネットGoogleは、GmailのSMTP接続において、古い暗号化方式「3DES」のサポートを間もなく終了することを発表しました。これにより、より安全な通信が求められるようになります。利用中のメールサーバーが3DESに依存している場合は、早急な対応が必要です。
-
SSLライブラリの現状と課題
2025-05-07 04:06
IT・ネット本記事は、HAProxyが内部向けにまとめたSSLスタックの分析を元に、公開された技術レポートです。OpenSSL 3.0の登場により、従来の安定性やパフォーマンスが大きく揺らぎ、QUICサポートやAPI非互換、マルチスレッド環境での性能低下が深刻な課題となっています。代替ライブラリとしてBoringSSL、LibreSSL、WolfSSL、AWS-LCなどが検討されていますが、各ライブラリには一長一短があります。特にパフォーマンス、機能互換性、保守性、QUIC対応の可否が鍵となり、今後の選定において重要な要素となっています。
-
TM SGNLの実態:米政権関係者が使用する改造版Signalアプリの重大な脆弱性
2025-05-06 20:17
IT・ネットイスラエル企業TeleMessageが提供する改造版Signalアプリ「TM SGNL」は、安全性を強調してマーケティングされているが、実際には利用者のメッセージを平文で同社のサーバーへ送信・保存しており、重大なセキュリティリスクを孕んでいます。米トランプ政権の高官も使用しており、通信の内容が外部に漏れる可能性が指摘されています。さらに、TeleMessageのサーバーはAWS上に構築され、ハッキング被害も受けたことから、情報漏洩リスクは現実的なものとなっています。
-
AIによる粗悪な脆弱性報告に警鐘を鳴らすcurlの開発者
2025-05-06 17:07
IT・ネットcurlの開発者であるDaniel Stenberg氏は、AIによって生成された脆弱性報告の質の低さに対して強く批判し、HackerOneでの報告者に対してAIの使用有無の確認を義務付け、AIによる報告を即時排除する方針を打ち出しました。AIによる報告が妥当性を欠き、セキュリティチームへの負担や時間の浪費を生んでおり、まるでDDoS攻撃のようだと警告しています。オープンソースにおけるAI利用の是非が問われています。
-
GitHub Actionsの脆弱性と対策:最近の攻撃事例から学ぶ
2025-05-06 02:07
IT・ネットGitHub Actionsに対するサプライチェーン攻撃が近年発生し、悪意あるコードが拡散される事例が報告されました。特にUltralyticsやtj-actionsなどが狙われ、個人アクセストークンやシークレットの漏洩が発生しました。記事では、組織レベルの設定やセキュアなワークフローの構築、秘密情報の管理、第三者Actionsの選定基準など、セキュリティ強化の実践的ガイドを紹介しています。
-
2025年のサイバー犯罪:信頼性を悪用した新手法
2025-05-05 15:33
IT・ネットサイバー犯罪者は、政府機関や教育機関の脆弱なウェブサイトを悪用し、信頼性の高いドメインを利用してフィッシングやアフィリエイト詐欺を行っている。これらの手法は、セキュリティツールによる検出を回避し、RobuxやAmazonギフトカードなどを餌にユーザーを誘導する。
-
AWS公式ツールが招いたセキュリティリスク
2025-05-05 11:37
IT・ネットAWSが開発したセキュリティ監査ツール「Account Assessment for AWS Organizations」は、本来の目的に反してクロスアカウントの権限昇格リスクを生む構成を推奨していたことが判明しました。特に管理アカウント以外にハブロールを設置するよう促す公式ガイドが問題で、低セキュリティの開発アカウント経由で本番環境にアクセスできるルートが生まれていました。AWSは指摘を受けてガイドを修正しましたが、旧ガイドに従った組織は即時対応が必要です。
-
トランプ政権関係者が使用する非公式Signalアプリの実態
2025-05-02 23:20
IT・ネット元米国家安全保障補佐官マイク・ウォルツが使用していたメッセージアプリ「TM SGNL」は、公式のSignalアプリを改変した非公式版で、暗号化された通信の平文を自動的に保存する仕組みを持つとされます。このアプリは企業向けに限定配布され、イスラエル出身の開発者によって運営されており、ライセンス違反の疑いもあります。記録された会話がクラウドなどに保存されている可能性があり、機密情報の漏洩リスクが懸念されています。
-
xAIの内部LLMがAPIキー漏洩で2カ月間外部からアクセス可能に
2025-05-02 00:56
IT・ネットイーロン・マスクのAI企業xAIの従業員が、GitHub上で内部APIキーを誤って公開し、SpaceXやTeslaなどの社内データでファインチューニングされたLLM群に誰でもアクセス可能な状態が2カ月間続いていたことが判明しました。セキュリティ企業GitGuardianは、このキーで最大60種の非公開モデルへアクセスできたと報告。内部データの漏洩リスクや悪用の可能性が指摘されています。xAIは指摘を受けた後に該当リポジトリを削除しましたが、対応の遅さが問題視されています。
-
Macアプリ起動遅延の正体はマルウェアスキャンだった
2025-05-01 15:25
IT・ネットMac上でXcodeやFileMergeなど一部アプリの起動が極端に遅い原因が、macOSのセキュリティプロセスsyspolicydによるマルウェアスキャンであることが判明しました。YARAエンジンを使用してアプリやライブラリを検査しており、大規模アプリほど遅延が顕著です。SIP(System Integrity Protection)を無効化することでこのスキャンを回避できるものの、一般ユーザーには推奨されません。Appleのセキュリティ設計に対する批判が高まりそうです。
-
新興ブラウザエンジン「LibJS」に深刻な脆弱性
2025-04-30 23:59
IT・ネットSerenityOSプロジェクトから派生した新しいブラウザエンジン「Ladybird」のJavaScriptエンジン「LibJS」にて、ファジングにより深刻な脆弱性が発見されました。特に引数バッファのメモリが解放された後に再利用される「use-after-free(UAF)」バグが再現可能であり、最終的には任意のコード実行に繋がる恐れがあります。この脆弱性は、プロキシオブジェクトと特定のハンドラ操作によって引き起こされるもので、既に修正パッチが適用されています。
-
Windows RDPがパスワード変更後も古い認証を許可、Microsoftは仕様と説明
2025-04-30 23:48
IT・ネットWindowsのリモートデスクトップ機能(RDP)で、ユーザーがパスワードを変更しても古いパスワードでログインが可能な場合があると、独立系研究者が報告しました。これは脆弱性ではなく設計上の仕様とMicrosoftは回答しており、システムがオフラインであっても少なくとも1つのアカウントがログインできるようにするためとしています。しかしこの仕様は、一般的なセキュリティの認識と食い違い、アカウントが乗っ取られてもアクセスが遮断されないリスクがあると批判されています。Microsoftは仕様変更の予定はないと述べています。
-
人気ゲーム「BeamNG.drive」のModにマルウェア、パスワード窃取の危険
2025-04-30 19:17
IT・ネット人気車両シミュレーションゲーム「BeamNG.drive」の非公式Modに、悪意のあるコードが含まれていたことが発覚しました。Modに仕込まれていたJavaScriptと難読化されたCSSが、ゲーム内のChromiumベースUIの脆弱性を突いてシェルコードを実行。最終的には、遠隔のDLLファイルをダウンロードして実行し、ブラウザや暗号通貨ウォレットからパスワードや個人情報を窃取するマルウェアが展開されました。このModはすでに公式から削除されましたが、約3500人のユーザーが感染版をダウンロードした可能性があるとされ、注意が呼びかけられています。
-
Kexa.io、セキュリティ自動化OSSを公開、AIエージェントでSaaS展開へ
2025-04-30 13:04
IT・ネットフランスのEuratechで開発されたKexa.ioは、セキュリティおよびコンプライアンス確認を自動化するOSSツールを公開。CISベンチマークなどに基づいた構成チェックを簡単に定義・実行可能。今後はAI駆動のクラウドセキュリティ管理エージェントを搭載したSaaS版を2025年6月にリリース予定。AWS、GCP、Azureを対象とし、脆弱性への自動対応も視野に入れる。GitHubでの試用・評価が呼びかけられている。
-
AppleのAirPlayに重大なゼロクリック脆弱性、20億台に影響か
2025-04-29 13:09
IT・ネットOligo Securityは、AppleのAirPlayおよびAirPlay SDKに、ゼロクリックでのリモートコード実行(RCE)などを可能にする23の脆弱性を発見。「AirBorne」と名付けられたこれらの脆弱性は、Mac、iPhone、AppleTVだけでなく、CarPlay搭載車やサードパーティのオーディオ機器にも影響。特にCVE-2025-24252などはネットワーク内の他のデバイスへ自動的に感染が拡大する“ワーム型”攻撃を許す危険性がある。Appleは17件のCVEを発行し、最新OSで修正済み。Oligoは即時のアップデートとAirPlay受信機の無効化、通信ポート制限などを推奨している。
-
AEADとは?暗号化と認証の基本をやさしく解説
2025-04-28 21:59
IT・ネットAEAD(Authenticated Encryption with Associated Data)は、暗号化と認証を同時に行う手法。TLS 1.3やQUICなど現代の標準プロトコルに採用され、安全なデータ転送に不可欠。本文では、従来の暗号化方式との違いや、認証付き暗号の重要性、そして「付随データ」も保護する理由が丁寧に説明されている。