はてなブックマーク

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 皆さん、決済していますか？（挨拶） 元々対面取引の後払い・信用払いの方法として登場したクレジットカードですが、インターネットの普及にともないウェブサービスや通販などのオンラインでも使われてきています。 今回は簡単にクレジットカードのオンラインでのセキュリティの歴史と、最近の不正利用と対策について紹介します。 昔のクレジットカード決済はザルだった 日本では2015年くらいまでは、インターネットでのクレジットカード決済は 「カード番号」 と 「有効期限」 があれば決済できていました。 Webフォームにカード番号と有効期限を打ち込め

この記事は「Security.any 今年あった一言いいたいセキュリティ Advent Calendar 2025」の21日目の記事です。 なぜVPNが危険なのか？ VPN（Virtual Private Network）は、脆弱性や設計上の構造的な問題から攻撃者にとって格好の侵入口となり、ランサムウェア被害の主要経路になっています。 脆弱性が多い 古いプロトコル（例：PPTP）は暗号化が弱く、脆弱性が放置されやすい 設定ミスや証明書管理の不備が攻撃を許すきっかけになる VPN機器そのものにCVEが存在し、パッチ未適用だと即座に侵入されうる ランサムウェアの主要感染経路 2024年のランサムウェア被害の約50％がVPN経由で発生している 攻撃者はVPN装置の脆弱性を突いて認証を回避したり、漏洩したID/パスワードを使って侵入する 設計上の問題 「一度ログインすれば社内LAN全体にアクセス可

「飛行機に乗り合わせたたった一人の医者」をGeminiに描かせたら一人でジェット機の操縦席に座る医者になってしまった件 はじめに こんにちは、freeeセキュリティチーム マネージャーのただただし（tdtds）です。この記事はfreee Developers Advent Calendar 2025の21日目です。昨日はreiyaさんの「新卒の歩きかた in freee」でした。 例年、このあいさつは「PSIRTマネージャーの」で始めていたのですが、先日とうとうセキュリティチーム全体が両肩に乗っかってきてしまいまして。せっかくなので、これまで5年以上にわたって別々に活動してきたCSIRTとPSIRTを合体して、ひとつのチームにすることにしました。 CSIRT（Computer Security Incident Response Team）は一般的にはその名のとおり、社内のコンピューターや

Neowinは12月18日(現地時間)、「User finds how a key Windows 11 feature could be quietly eating lots of RAM on your PC - Neowin」において、最近の更新プログラムの影響でWindows 11のシステムサービスがメモリリークを起こしている可能性があることを伝えた。 これはRedditユーザーのNiff_Naff氏の投稿にて明らかになった。同氏によるとWindowsサービスをホストするプロセス「svchost.exe」が、メモリを上限一杯まで消費するという。 配信最適化サービスにメモリリークの可能性 同氏はログを分析することで問題のWindowsサービスが「DoSvc(Delivery Optimisation Service)」であることを特定している。DoSvcは更新プログラムの配信最適化

関連キーワード OSS | オープンソース | ITガバナンス 「費用削減のために無償のオープンソースソフトウェア（OSS）を採用する」。プロジェクトの発足時はその方針で固まっていたはずだった。しかし、いざ具体的な運用設計に入ると、「何かあったときの責任」を恐れるあまり、雲行きが怪しくなっていく。気付けば要件定義書には「プロプライエタリ（商用）製品同等の24時間365日サポート」が必須項目として書き加えられ、サポート契約を結んだ結果、当初の費用削減計画は崩れ去っていた――。こうした話は決して珍しくない。日本のOSS活用現場は今、矛盾した要求に引き裂かれている。 OSSの商業的な普及促進を目指す団体Linux Foundationは2025年12月、調査レポート「日本のオープンソースの現状 2025」を発表した。調査によると、日本企業の約9割が、無償のOSSに対してトラブル発生時の「12時間

西側諸国のアマゾン・ウェブ・サービス（AWS）のインフラ利用者を標的とした5年にわたるサイバー攻撃が、継続的な分析を経て、アマゾンの脅威インテリジェンス・チームにより確認された。この脅威は、Sandworm（サンドワーム。APT44、Seashell Blizzardなどとも）と呼ばれる攻撃主体と結び付けられており、ロシアの軍事情報機関である参謀本部情報総局（GRU）と協働するハッカーに関連するとされる。さらに不気味なことに、アマゾンの最高セキュリティ責任者は、北朝鮮の工作員による執拗な脅威が「大規模」に存在することも確認した。 ■ロシアの攻撃は、AWSインフラ上でホストされるデバイスの「設定ミス」が標的――脆弱性は狙いではない ロシア国家支援のサイバー攻撃は「重要インフラを標的とした攻撃における大きな進化」を示すものだと、CJ・モーゼスが12月15日の分析で述べた。モーゼスは、かつて米連

米サイバーセキュリティ大手のPalo Alto Networksは12月19日（現地時間）、米Google傘下のGoogle Cloudと、数十億ドル規模の新たな契約を結んだと発表した。この契約は、既存の戦略的提携の拡大であり、エンジニアリング面での協力を深めるものになるとしている。Palo Alto Networksは、主要な社内ワークロードをGoogle Cloudに移行する。 Palo Alto Networksは現在、自社製品に搭載するAIアシスタント機能（Copilot）の基盤として、Google CloudのVertex AIプラットフォームとGeminiを採用している。同社は既にGoogle Cloudと75以上の共同統合を行っており、Google Cloud Marketplaceを通じて20億ドルの売上を達成している。 新たな提携の一環として、Palo Alto Netw

Dockerは12月17日（現地時間）、1000を超える「Docker Hardened Images（DHI）」を、無料かつApache 2.0ライセンスで公開したと発表した。DHIはDebianやAlpineといった広く利用されているオープンソースディストリビューションをもとに構築されており、誰でも権利の制限なく利用・共有・改変が可能となった。 これにより開発者や企業、組織、政府機関まで、幅広いユーザーが高セキュリティのコンテナイメージを基盤として利用できる。DHIは脆弱性を最大95%削減できるとされ、distrolessランタイムの採用で攻撃対象領域を抑制しつつ、開発に必要なツールは維持している。SBOM（ソフトウェア部品表）やCVE情報の公開、SLSA Build Level 3の実現、暗号学的な真正性証明などを備えている。 Dockerはさらに、AIワークフロー向けのModel

実例のスクリーンショットをもとに、GitHubでホストされるOSSの脆弱性対応を、報告→確認→Security Advisory→CVSS/CVE→パッチ→公開までの流れで解説します。 temporary private forkを使った非公開修正の進め方など、脆弱性対応の舞台裏も紹介します。 3-shake SRE Tech Talk #14 オンサイトでの発表資料です。 https://3-shake.connpass.com/event/351203/

はじめに こんにちは。calloc134 です。 Digital Identity 技術勉強会 #iddance Advent Calendar 2025 18 日目の記事です。 近年、Auth0 などの外部認証プロバイダを用いて、 OAuth/OIDC ベースでログインを実装するサービスが増えています。 その際、フロントエンドとバックエンド API を分けて実装し、 ログインをフロントエンドで済ませ、バックエンド API をアクセストークン付きで呼び出す形態を取ることが多いようです。 しかしそのアクセストークンの検証に不備がある場合、 成りすまし攻撃が可能になることがあります。 今回の記事では、この脆弱性の根本的な問題はそもそも何なのか、 この実装のどこに問題があるのか、 そして OAuth 仕様から見てこの実装は果たして行儀が良いのか？ などを解説していきたいと思います。 想定シナリオ

おはようございます。セキュリティ本部セキュリティエンジニアの soh です。 当社セキュリティ本部では、プロダクトセキュリティとコーポレートセキュリティを分けることなく、他部署の協力を得ながら各種対応を行っています。 さて、一口に「セキュリティエンジニア」といっても、担当する責任範囲は各社さまざまだと思います。 当社でも積極的に採用を進めていますが、面談や面接の際には「どこまで担当できるのか」「求められることは何か」が気になる方が多いのではないでしょうか。 そこで本記事では、当社におけるセキュリティエンジニアの取り組みや、私がセキュリティベンダーから転職した際に感じたギャップなどを紹介します。 当社の現状 2025年現在、セキュリティ本部は少人数のメンバーおよびマネージャー（うち兼務1名）で構成され、技術推進本部やIT本部など近い部署と連携しながら活動しています。担当範囲は前述のとおり、プ

2025年12月3日に公開されたサーバー側での任意コード実行が可能となるReact及びNext.jsにおける脆弱性CVE-2025-55182。通称react2shell。この脆弱性は単なる実装バグとしては片付けられない、フロントエンド界隈全体に及ぶ議論を巻き起こしました。 結論 RSFで起こった脆弱性はAstro Actionsでは起きないように設計されている。 それ以外にもAstro Actionsはサイトを脆弱にしないための仕組みを持っている。 安全なサイトにするための手段は一つではないし、無数にある。 react2shellはなぜ起こるの？ RSCが有効になっているサーバーに細工されたリクエストを送ることで、サーバー側で攻撃者の指定する任意のコードを実行することができます。具体的にはReactのFlightプロトコルに関数の参照やプロトタイプ汚染などを仕組むことで、認証の有無に関係

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに メールセキュリティの用語って、アルファベットばかりで難しく感じませんか？ 「 SPF 」「 DKIM 」「 DMARC 」...。 どれも重要だと言われますが、具体的に何をしているのかイメージしづらいのが正直なところです。 この記事では、専門用語を極力使わず、 直感的なイラストと例え話 で、これらの仕組みを「世界一わかりやすく」解説します。 1. SPF (Sender Policy Framework) ：「招待客リスト」を持ったドアマン SPF は、メールの 「送信元の住所（IPアドレス）」 をチェックする仕組みです。 例

セキュリティ運用、およびエンドポイント保護製品を提供するアークティックウルフジャパンは2025年12月初めに、日本のサイバーセキュリティ市場における新たな戦略の一手として、インシデント対応サービス「Arctic Wolf Incident360リテーナー」の提供開始を発表した。Arctic Wolf Networks（以下、Arctic Wolf）は2025年2月にCylanceの事業を継承しており、Arctic Wolfのエンドポイント保護製品に加え、日本におけるインシデント対応サービスも拡充するという。 記者発表では、新サービスを提供する背景として、Arctic WolfでDigital Forensics／Incident Response担当バイス・プレジデントを務めるケリー・シェイファー・ペイジ氏が、ランサムウェア（身代金要求型マルウェア）攻撃の現実を浮き彫りにした。IBMの「X

「自分の契約しているサーバーがハッキングされて勝手に仮想通貨「Monero(モネロ)」のマイニングに使われていた」という体験談をソフトウェアエンジニアのジェイク・サンダース氏が投稿しました。 I got hacked, my server started mining Monero this morning. | Unfinished Side Projects https://blog.jakesaunders.dev/my-server-started-mining-monero-this-morning/ サンダース氏はドイツに拠点を置くホスティング企業「Hetzner」のサーバーを契約し、ブログやウェブサイトを公開していました。ところが、2025年12月17日にHetznerから「攻撃の兆候を確認しました」「問題の原因と今後の対応を確認できない場合、サーバーがブロックされる可能性が