サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
衆議院選挙2026
forest.watch.impress.co.jp
zenn.dev/frsk
AIペンテストツールが急に増えた 最近、タイムラインにAIペネトレーションテストの話がやたら出てくる。 1年前はPentestGPTぐらいしかなかった。それが2025年の後半から急に増えて、2026年2月の時点でオープンソースだけで8つ以上、商用サービスも5つ以上ある。 なんでこんなに急に増えたのか。まず、LLMがかなり賢くなって、セキュリティツールとの連携の仕方が固まってきた。NmapやMetasploit、SqlmapといったツールをAIエージェントが自分で選んで回せるようになった。つまり、作る側の準備が整った。 もう1つは、テストしなきゃいけないコードが一気に増えたこと。バイブコーディングで、プログラミングの経験があまりなくてもプロダクトを作れるようになった。そのぶん、セキュリティの穴があるアプリも増えている。人間のペンテスターだけじゃとても回らない。ツールを作れるようになった側と、
atmarkit.itmedia.co.jp
サイバーセキュリティ業界において、ここ数年で急速に広まった言葉がある。「アタックサーフェスマネジメント(ASM)」だ。この言葉は定着し、広がりを見せている。しかし、その本質的な意味や運用方法については語る人間の立場によってぶれがあり、多くの誤解を含んでいるように感じる。 特に経営層や、現場から少し離れた層の間では、「ASMをうたうソリューションを導入すれば、セキュリティレベルが向上するのだろう」という、いわゆる「銀の弾丸」のような捉え方をしているケースが散見される。しかし、これはあまりにも単純化された考え方であり、危険ですらある。 ASMが指すはずのものとは何か。本当の安全を考えたときに、ASMの“盲点”を知る必要があるのではないか。本稿では、ASMがカバーするもの、脆弱(ぜいじゃく)性診断との決定的な違い、そして最近のインシデント事例から見えてくるASMの限界と、その先にあるはずの「セキ
zenn.dev/helloworld
「1行もコードを書いてない」 2026年1月、SNS「Moltbook」がローンチした。バズったのはサービスじゃなくて、創業者の一言 元ポスト — 「Moltbookのコードは1行も書いてない。技術アーキテクチャのビジョンだけ持って、AIがそれを現実にした」 Xでめちゃくちゃ回ってた。「コード書かなくてもここまで作れるのか」って 3日後、全部崩れた curlコマンドを1回叩いただけで、本来見えてはいけない150万件のAPIキーが丸見え。特別なハッキング技術は何もいらなかった 昔、GitHub の public リポジトリに API キーを置いてしまったことがある。Google からすごい請求が来た。英語が上手な同僚が Google とやりとりしてなんとかしてくれたけど、その日1日死んでた。あのときはAIなんてなかったけど、やらかしの中身は同じだった ローンチ3日目の夜 ローンチは1月28日
xenospectrum.com
かつてWindowsにおいて最もシンプルで、最も信頼されていたツールといえば「メモ帳」だった。装飾もなければ、インターネットとの接点もない。その無味乾燥な潔さこそが、多くのエンジニアやライターに愛される理由であった。しかし、Microsoftはその聖域に手を加え、不要な「進化」を強いた。その結果、メモ帳は今や攻撃者がPCを完全に乗っ取るための踏み台へと成り下がってしまった。 2026年2月の「Patch Tuesday(月例セキュリティ更新プログラム)」において、Microsoftはメモ帳に関する深刻な脆弱性、CVE-2026-20841を修正した。これはリモートコード実行(RCE)を許すものであり、被害者が悪意のあるファイルを開き、中にあるリンクを一度クリックするだけで、攻撃者は被害者のPC上で任意のコマンドを実行できるというものだ。 メモ帳が「武器」に変わるまで 今回の脆弱性は、メモ帳
ascii.jp
「サポートが終了したルーターやVPNは、すべて廃棄してください」 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が、連邦政府の「文民行政機関」に対して、こんな命令を出した。2026年2月5日に同庁がウェブサイトで公表している。この「文民行政機関」という言葉が聞き慣れないため調べると、国防総省やCIA(中央情報局)など軍事や情報に関わる機関を除く言葉のようだ。 書き出しの文言については、だいぶ意訳したのであらためて正確に書く。CISAは政府機関に対して次のように命じている。「指定された期限内に、稼働中のエッジデバイスの資産ライフサイクルの管理を強化し、OEM(メーカー)によるサポートが終了したハードウェアおよびソフトウェアデバイスは全て削除しなければならない」 このエッジデバイスという言葉は、政府機関の内部のネットワークと外部のネットワークの境界で使われる機器やソフトウェアを指
cloud.watch.impress.co.jp
gigazine.net
GoogleのネットワークカメラであるGoogle Nest Camでは、基本的に過去の録画データを閲覧するには有料サブスクリプションサービスのGoogle Home Premiumに加入する必要があります。この有料サブスクリプションを使わずにGoogle Nest Camを利用する場合、過去数時間分の映像しかチェックできないのですが、過去の録画データはGoogleのサーバーに勝手に保存されてしまうことが明らかになりました。 Cybersecurity experts explain how surveillance footage of Nancy Guthrie's home was recovered - CBS News https://www.cbsnews.com/news/cybersecurity-experts-nancy-guthrie-surveillance-foo
speakerdeck.com/matsu802
Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest. →
blog.shibayu36.org
title: 自分のOSSのレポジトリに最低限GitHubのセキュリティ設定を入れた 昨今GitHub上で提供されている有名なOSSに対して攻撃がなされることが多い(例: Nxの2025/08の事例)。自分もそこから学び、最低限GitHub上でセキュリティ周りの設定を入れた方が良いと考えた。 設定を考えるにあたって、とくに次の3つの記事が参考になった。 リポジトリを保護するためのクイック スタート - GitHub ドキュメント Nx の攻撃から学べること #s1ngularity | blog.jxck.io GitHub の Immutable Releases を有効にしてセキュリティインシデントを防ごう これらを参考にAIと協力して最低限のセットアップドキュメントを作ったので共有する。もっとこういう設定を入れるべきなどあれば、教えてもらえると嬉しい。 GitHub OSS セキュリ
note.yakan-hiko.com
問い合わせも多くあるのと、選挙も終わったけどいろいろと問題が続いているので、ハートビート的に状況を整理したいと思います。 必要なことはまあまあ取りまとめて報告なども終え、一般に向けて所見でも書きます。 まず、SaaSや生成AIなど経由でマルウェア仕込まれたり堂々と入られて情報を漁られたりという事例が多発しているので、これへの対処は必要です。特に官公庁や官邸は極めて重大なリスクの中にあると思っています。どうにかしたいんですが、せっせと報告して対処を求めても事実関係が確認できない(本当に事実関係の確認までされているのかすら分からん、なんか大きい会議があったらしいが)ので、要するに上手くいってないんじゃないかと感じます。というか、まだこちらから見えているので対処されていないのでしょう。困りましたね。
www.itmedia.co.jp
全国43ヵ所のホテルを運営するワシントンホテル(愛知県名古屋市)は2月14日、一部業務用サーバーへの第三者による不正アクセスとランサムウェア感染を確認したと発表した。被害状況の確認と復旧対応を進めているが、被害の全容究明には「今しばらくの時間を要する」としている。 この影響により、一部ホテルでクレジットカード端末が使用できない障害が発生しているが、営業に支障はないという。情報流出については調査中。なお、会員組織である「ワシントンネット」の顧客情報は別会社が管理しており、14日時点でそちらへの不正アクセスは確認されていない。 事態を把握したのは13日の午後10時ごろ。一部サーバーでランサムウェアによるものとみられる不正アクセスを検知し、一部サーバーへの侵入も確認した。同社は外部ネットワークを遮断し、翌14日には社内に対策本部を立ち上げ、警察や外部専門家への相談を行った。 同社は利用者や関係者
internet.watch.impress.co.jp
アダルトグッズメーカーTENGAから顧客情報が流出:アダルトテックが直面する「デジタル・プライバシー」の極北と2026年のサイバー脅威 2026年2月13日、日本を拠点とする世界的なアダルトグッズメーカー、TENGAが重大なデータ侵害の事実があったとして顧客に宛てに電子メールを通知していることが明らかになった。この事案は、個人の極めてプライベートな領域に関わる「情報の質」がいかに脆い土台の上に成り立っているかを浮き彫りにするものだ。テクノロジーが人間の本能や親密な生活に深く浸透する「SexTech(セックステック)」市場において、一度のセキュリティ不備がブランドの信頼性をいかに致命的に毀損するか、その生々しい教訓がここにある。 従業員メールの奪取という「静かなる侵入」 今回のインシデントの引き金となったのは、TENGAの従業員1名の業務用メールアカウントに対する不正アクセスだ。攻撃者は、ビ
tech.legalscape.co.jp
こんにちは、エンジニアのあざらし 🦭 です。 少し前の話になりますが、Google Chrome 140 (stable) が 2025/09/03 (JST) にリリースされました。スクロールや View Transition 周りなど、気になる変更も多くありましたが、本記事ではその中から Cookie の新しい prefix __Http-, __Host-Http- に焦点を当てて紹介します。 developer.chrome.com 注意: リリースノートでは __HostHttp- とハイフンが抜けている記述になっていますが、2025/09 において正しくは __Host-Http- です。 Cookie Prefix Cookie Prefix とは、特定の prefix のついたクッキーが特定の属性(e.g. Secure, HttpOnly, ...)を持っていることを保
qiita.com/emi_ndk
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
maguro.dev
2026年2月14日、CIで走らせているテストケースが突然失敗するようになりました。エラーメッセージを見ると、example.com への HTTPS リクエストで証明書エラーが起きています。テストコードは何も変更していないのに。 example.com に依存するテストがあること自体の是非はさておき1、壊れたものは直さないといけません。原因を調べていくと、TLS証明書の検証の仕組みや、クライアントごとに異なる挙動の違いなど、思った以上に深い話に辿り着きました。 何が起きたのか まずは状況を整理します。 手元のNixOSマシンで curl を使って example.com にアクセスしてみると、確かにエラーになります。
www.lifehacker.jp
自分の名前を検索して、見覚えのないサイトに住所や電話番号が載っていたら……。想像するだけでゾッとしますよね。 Googleは火曜日の朝、ネット上にさらされた機密情報を削除するための2つの新機能を発表しました。ツールはこちら。 正確には「ネット上から完全に消し去る」わけではありませんが、「Google検索のインデックスから除外する」ことで、他人の目に触れる可能性を劇的に下げてくれます。 今回のアップデートの目玉は、公的なID番号への対応と、悪質な画像へのスピーディな対処です。 運転免許証やパスポート番号も!「自分に関する結果」ツールの進化Googleには以前から、自分の連絡先などが検索結果に出ていないかチェックできる「Results about you(自分に関する結果)」というツールがありました。 これまでは氏名、電話番号、メールアドレス、住所などが対象でしたが、今回のアップデートでさらに
newsdig.tbs.co.jp
キャッシュレス決済が主流になりつつある今、クレジットカードのトラブルも増加の一途をたどっています。身に覚えのない不正利用の被害が拡大していて、1年間の被害額は過去最多の555億円に上っています。井上貴博…
note.cloudnative.co.jp
シンジです。2026年2月9日の午前1時50分、日本医科大学武蔵小杉病院のナースコールシステムがランサムウェア攻撃を受けました。侵入経路は医療機器保守用VPN装置です。またVPNです。またです。人類は過去の経験から学ばない生き物でしたね。 約1万人分の患者の個人情報(氏名、性別、住所、電話番号、生年月日、患者ID)が院外に持ち出されたことが確認されています。厚労省の初動対応チームが派遣される事態となりました。ナースコールですよ。入院患者さんが緊急時にナースを呼ぶためのあのボタンの裏側にあるシステムが、ランサムウェアにやられたわけです。 「医療機器保守用VPN装置」という闇今回の侵入経路が「医療機器保守用VPN装置」だったということは、つまり医療機器ベンダーが遠隔で保守するために設置されたVPN装置が入口になったということです。 これ、医療業界に限った話じゃないんですよね。製造業でも、ビル管
次のページ
セキュリティ技術の人気エントリー
ITの新着エントリー
はてなブログ(テクノロジー)の新着エントリー
AI・機械学習の新着エントリー
プログラミングの新着エントリー
エンジニアの新着エントリー
nowokay.hatenablog.com
コーディングエージェントはもはや当たり前になってきています。エージェントにコードを作らせるとき、ブレなくコードを生成できるプロンプトを作るのが大事です。 ここでプロンプトには、AGENT.mdなどのファイルも含みます。 コンテキストに乗るもの全てなので、実際にはコンテキストをちゃんと健全に保つことが大事ということになるのですが、入力プロンプトが中でも重要なのでここではプロンプトとしておきます。 最初に与える設計などの情報をちゃんと作るのはもちろんのこと、途中の指示も「この機能いれて」「やっぱこうしよう」「ここは不要だった」のように機能を入れたり削ったり変えたりしていると、エージェントだけではなく人間がコードを書くときにも、コードが汚れていきます。 エージェントの場合、そういった試行錯誤がコンテキストに残ると、生成の性能も悪くなります。 指示をするとき、的確に指示をすることが大切です。 そう
blog.statsbeginner.net
今年、大学院入試の取りまとめ役をやっていたのですが、私が所属してる専攻は教員が100人ぐらいいるんですけど、毎年1名のメイン担当がほぼすべての情報を把握し、ほぼすべての書類を作成するので、けっこう大変でした。夏の院試は170人ぐらい、冬の院試は30人ぐらいが受験していて、一斉に行われる筆記試験はともかく、1人1人違う時間、違う部屋で行う面接試験のスケジュール管理などは非常に神経をつかう仕事で、面接官をやる先生もすべて変わるので、誰に何を依頼するか間違えそうでハラハラします。大学院入試というのは案外複雑な制度で、受験資格や試験のカテゴリが何種類もあるので、「この人にはこの書類でよかったっけ?」というのがよく分からなくなりがちです。 で、受験生ごとの個別資料にせよ全員に関わる共通資料にせよ、「去年までの書類をベースに、日付や名前や番号だけを書き換える」という作業がとても多く、こういうものは自動
techblog.zozo.com
はじめに こんにちは。Developer Engagementブロック(略称DevEngブロック)の@wirohaです。ZOZO TECH BLOGの運営や、開発者向けイベントの企画・運営などを担当しています。 TECH BLOGの運営において、レビューには一定の工数がかかるため、効率化を進めています。その一環として、Claude CodeのAgent Skills(以下、スキル)を用いたレビュー支援の仕組みを整備しました。Claude Code上で記事のレビューを依頼すると、定義したルールに基づくレビュー結果を得られます。 以下は、スキルによるレビュー結果の抜粋です。 本記事では、このスキルを用いたTECH BLOGレビューの取り組みについて紹介します。 目次 はじめに 目次 背景・課題 解決の方針 スキルの設計 SKILL.md rules.md スキルの使用方法 実行例 導入効果 運
はてなブログ(テクノロジー)の人気エントリーをもっと読む
このページを最初にブックマークしてみませんか?
『セキュリティ技術』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
死んだ人のアカウントを引き継いで投稿やチャットを続けるAIの特許をMetaが取得
「全講師が現役VTuberのオンライン学習塾」爆誕 1コース月額9900円
Claude Code Agent Skillsを活用したTECH BLOGレビュー ── AIで推進するレビュー自動化 - ZOZO TECH BLOG
コーディングエージェントがブレなくコードを生成できるプロンプトが大切 - きしだのHatena
生成AIに頼ることで失われるもの - StatsBeginner: 初学者の統計学習ノート
国防総省がAnthropicを「サプライチェーンリスク」に指定して請負業者に取引中止を求めることも検討
ゲームエンジンUnity、「ゲームまるごと制作できるAI機能」を出すと表明。ノーコードで使えるAIツールで、“誰でもゲーム開発者時代”をアピール - AUTOMATON
【コピペすら不要】tmux + Neovimで作るVSCodeライクなターミナル開発環境
OpenClawを活用した全自動開発のメモ|深津 貴之 (fladdict)
[みんなのケータイ]サンデープログラマーはClaude Codeにプッシュ通知をしてほしい
不確実性と向き合いながら、候補者体験を磨く。BizDev一体のAXスクワッドがやっていること - ROXX開発者ブログ