はてなブックマーク

2025年12月3日、JavaScriptライブラリ Reactを開発するThe React Teamは、React Server Componentsに深刻な脆弱性が確認されたとして脆弱性情報を公開し、修正版への更新を案内しました。ここでは関連する情報をまとめます。 どんな脆弱性が確認されたの？ React Server function のflightプロトコルにおいて、信頼できないデータのデシリアライズに関する脆弱性 が確認された。この脆弱性は認証不要でリモートから悪用が可能であり、リモートコード実行（RCE） に至る恐れがある。深刻度は 緊急（CVSS 基本値 10.0） と評価されており、開発元は利用者に対して速やかな対応を呼びかけている。 React はエンタープライズ環境を含む幅広いシステムで採用されており、日本国内でも React を用いたシステムを公開しているホストが多数

らら🐹 @rararachan6655 有識者求む これって普通にゴミで捨てていいんです？爆発とかしませんか？？ いま家にあるんですけど発火怖すぎて流しに置いてある。どしたらいいんだ、、 x.com/rararachan6655… 2025-12-07 15:07:29

はじめに カミナシの認証認可チームのmanaty（@manaty226）です。今年もラスベガスにて12月1日から12月5日まで開催されているre:Inventに参加しています。この記事では、最終日に参加した以下のワークショップセッションについて記載します。 Active defense strategies using AWS Al/ML services [REPEAT] (SEC401-R1) AIを使った能動的防御 サイバーセキュリティにおける能動的防御とは、攻撃を受ける前にその予兆を把握して対処することです。特に、本ワークショップではサイバーセキュリティ欺瞞（Cyber Security Deception）と呼ばれる、偽の脆弱なコンテンツを使った攻撃手法の能動的な収集について取り扱っています。 link.springer.com 私は専門でないためハニーポットと欺瞞（decept

AIは多くの分野で活用されており、弁護士向けのAIサービスも多く登場しています。そんな中、AIを用いた法務アシストツール「filevine」に機密情報が漏れる脆弱(ぜいじゃく)性があったことがセキュリティ研究者のアレックス・シャピロ氏によって報告されました。脆弱性はすでに修正されていますが、約10万件の機密ファイルにアクセス可能な状態だったとのことです。 How I Reverse Engineered a Billion-Dollar Legal AI Tool and found 100k+ Confidential files | Alex Schapiro https://alexschapiro.com/security/vulnerability/2025/12/02/filevine-api-100k filevineは判例管理や文書管理などの機能を備えた法務アシストツールで

By Etolane インターネットの規制が厳しい国では、外部からはサイトがホストされているのかどうかすらわからない場合があります。そんな折、国外でコンピューター関連の仕事をしているイラン人技術者が、CDNを利用するウェブサイトがイラン国内でホストされているかどうかを判定するために「おっぱいチェック」なる手法を編み出したことが、ソーシャルニュースサイトのHacker Newsで話題になっています。 Let me introduce you to my most novel and oldest technique to verify if sites behind CDN are hosted in Inside Iran or not. Works most of the time. I call it the BOOBS CHECK. curl -i https://domain/bo

1. 依存パッケージの脆弱性診断（SCA） 対象ツール：Snyk、OSV-Scanner、npm audit SCA（Software Composition Analysis） は、package.json や package-lock.json を解析し、依存パッケージに既知の脆弱性（CVE）がないかチェックします。 CI では OSV-Scanner をベースにして、さらに必要なら Snyk を足す。npm audit はローカルの軽いチェック or サブとして運用みたい形がいいのかなと思います。 2. 静的セキュリティチェック（SAST） 対象ツール：Semgrep SAST（Static Application Security Testing） は、ソースコードをパターンマッチでスキャンし、セキュリティリスクを検出します。 Semgrep が検出する主な脆弱性 XSS（クロスサ

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? （Linux）大規模基盤のLinux運用で得た知見まとめ （障害対応／テンプレ化／OS更改） はじめに 私はフリーランスインフラエンジニアとして 10年以上、大規模Linux基盤の構築・運用・保守 に携わってきました。 RHEL / CentOS(RedHat系ディストリビューション)を中心に、 OS更改（RHEL6→7→8） テンプレート化・標準化（KVM/VMware） 障害対応（切り分け〜再発防止） 運用改善・自動化 といった領域を一貫して担当してきました。 長く現場を経験する中で強く感じたのは： （あくまで個人的に感じたことです

米Cloudflareは12月5日（現地時間）、同日に発生した自社ネットワーク障害の原因と影響範囲を説明するブログを公開した。障害は同日8時47分から9時12分まで（協定世界時。日本時間では17時47分から18時12分まで）発生し、約25分間にわたって同社ネットワークの一部がダウンした。影響を受けたのはCloudflareが処理する全HTTPトラフィックの約28％に相当するという。 今回の障害は自社システムに対するサイバー攻撃や悪意ある活動によるものではなく、「React Server Components」の新たな脆弱性への対応作業の一環として、Webアプリケーションファイアウォール（WAf）のボディ解析ロジックを変更したことが直接のきっかけであったと説明している。 この変更が、同社の古いプロキシで動作するルールモジュール内のバグを顕在化させ、一部の構成の顧客環境でHTTP 500エラー

はじめに こんにちは！グロービスでセキュリティ推進、SIRT運営など全社セキュリティを担当していますnagamineです 。この記事は、GLOBIS Advent Calendar 2025の6日目の記事です。 今回は、事業部門横断で取り組むセキュリティチェックシート（SCS）対応の効率化に向けた取り組みについて、事例を紹介したいと思います。 概要 グロービスでは、オンライン学習サービス「グロービス学び放題」や研修事業、ビジネススクールなどを運営しています 。これらのサービスに関する商談では、顧客からセキュリティチェックシート（SCS）の提出を求められることがあり、その回答を取りまとめるのに1件あたり数営業日をかけて対応していました。 この負荷を軽減するため、各プロダクト関係者の協力を得てヒアリング項目に必要なナレッジを整理 。そして、そのナレッジを元に、様々なフォーマットのSCSにそのま

sponsored 次世代映えPCの決定版！ ケーブルが見えない究極のピラーレスゲーミングPC「流界2」は曲面ディスプレーも最高でした sponsored 動画配信系PCを組むならUSBを23ポート装備のASRock「B850 LiveMixer Wifi」でキマリ！ 動作音ほぼなしのPCを組んでみた sponsored 「我王（Gao）」「巌（iwao）」「雷（ikazuchi）」「翼（tasuku）」 見たことない形状……これが本当にパソコンか？ 唯一無二のゲーミングPCを求めるならばアプライドの「RAIZAN」は見逃せない sponsored 34型＋ウルトラワイド＋湾曲でゲームに仕事に没頭できる！ 湾曲型ディスプレー「VX3418C-2K」を使ってみたらホントにスゴかった sponsored JN-CG-15SQ3N1をレビュー ワンタッチでぐるんと回転！iPhoneにAirPod

私たちは全てを知っている。そして、報道各社や警察関係者が嘘をついていることも知っている。私たちは真実を伝えるべきだし、私たちもそうしようと思ったのでここに書くことにした。私たちが偽物だと思うならohnostartedbruh[at]pissmail.comまで連絡してほしい。彼とは関わりがあったので、その証拠としてデータの一部を開示することができる。 忙しい方向け報道各社は、生成AIを悪用した犯罪だと書いているが、全てが嘘である。インターネット上にある情報で、逮捕と不正アクセス以外に真実は存在しない。私たちは彼が生成AIを使ってプログラミングをすることを好む人間ではないと知っているし、そもそも日頃からそのような人間を馬鹿にしている発言を見かけていた。おそらく警察関係者か報道各社には生成AIをひとまとめにして悪だという思想が存在する。 それに、脆弱性の内容と不正アクセスプログラムの説明も事実

どうも Security Engineering の西川（@nishikawaakira）です。今回は AWS の脅威インテリジェンスについてセッションでお伺いしてきたのでシェアしたいと思います。 どういうセッションだったか まず AWS 社がどういった脅威インテリジェンスの取り組みを行っているかという話があり、それらの知見をサービスに落とし込んでくれていて、我々ユーザーがどのようにそのナレッジを検知や防御に活かせば良いかという内容でした。こんなに簡単にまとめていますが、とても長い記事なので覚悟してください。 AWS の観測範囲 IPv4 アドレスは約43億あるわけですが、AWS が毎日何らかの形でやり取りしている IP アドレスはなんと 26億にも及ぶそうです。つまりインターネットの約60%とやり取りがあるということです。 で、これらの数値というのは下記から観測しています。 ネットワーク

【現代AI童話「AIスクール・まじか☆サギカ」】──「僕と契約して生成AIインフルエンサーになってよ」　繰り返される悲劇とは：マスクド・アナライズの「AIしてま～す！」（1/5 ページ） 交わした契約忘れたいよ　目を閉じ確かめる　押し寄せた引き落とし　無視して見ないよ　いつになったらなくした貯金を　通帳でまた見ることできるの？　溢れ出した督促の紙を　何度でも破って役所に謝りにいこう SNSや動画投稿サイトにおいて、生成AIの情報があふれています。情報を拡散させるのは、生成AIインフルエンサーと呼ばれる人たちです。そんな存在に憧れた人は、どうなるのでしょうか。今回は、もしかしたらあり得るかもしれないトラブル事例を現代AI童話（ぐうわ）「AIスクール・まじか☆サギカ」として紹介します。 【第1話】「僕と契約して生成AIインフルエンサーになってよ」 都内の企業で働く隣真希（となり　まき・仮名）さ

12月5日午後6時ごろから、CDN（コンテンツ・デリバリー・ネットワーク）サービス「Cloudflare」で障害が発生している。ダッシュボードやAPIで問題が発生しているという。 ITmedia NEWS編集部が確認したところ、ECサイト構築サービス「Shopify」でCloudflareの障害によりWebページを正常に表示できない問題が発生していた。その他にもZoom、メルカリ、AI検索サービス「Perplexity」、ピクシブのコンテンツ販売プラットフォーム「BOOTH」でも同じタイミングで障害が発生している。 Cloudflareでは11月18日にも障害が発生。影響はChatGPT、X、Spotify、Zoom、Microsoft Teams、Canva、Visaなど広範囲に及び、完全復旧までには7時間近くかかった。 18時20分に復旧 米Cloudflareは、問題が午後6時20分

オライリー・ジャパンより「実践 Webペネトレーションテスト」という書籍を出版しました。 （表紙はモモンガでもムササビでもなく、ヒヨケザルという動物です。） 本書の内容 ペネトレーションテスト（侵入テスト）はシステムに対する擬似的な攻撃を行うことですが、本書ではWebアプリケーションを対象としたものを特にWebペネトレーションテストと呼んでいます。 本書はこのWebペネトレーションテストの手法を実践的に学ぶことができる書籍で、Webアプリケーションやネットワークの基礎的な知識が必要となるものの、セキュリティエンジニアのみならず、Webアプリケーションの開発に携わる方にとっても楽しめる内容となっています。 構成としては、「第I部 実践編」と「第II部 発展編」の2部に分かれています。 「第I部 実践編」では、Webペネトレーションテストに必要な技術を紹介し、ハンズオン環境で侵入してから攻撃を