はてなブックマーク

Welcome to the 10th edition of JavaScript Rising Stars! What a year it has been! From the explosion of AI agents transforming how we build applications to critical vulnerabilities and security attacks that shook the ecosystem, 2025 has been a year of both remarkable innovation and sobering challenges. The following graphs compare the number of stars added on GitHub over the last 12 months. We anal

OS とデフォルトバージョンのリストを見ると、現在主要な OS は ed25519 鍵に対応しているし、 OpenSSH 7.3 以上であれば、今回紹介する方法は実現できる。のでどれか一つでも試してみましょう。 ファイル構造 ¶複数の端末を使う場合、 dotfiles にして Git で管理することになる。 この場合管理対象が増えてくると構造化して案件やプロジェクトが終了したら ~/.ssh/conf.d/nodes/ の設定ファイルで Include をやめるか conf.old のように名前を変えれば接続先には出ず、不用意にアクセスすることを防止するが設定は保管しておくことができる。(結構、廃止したプロジェクトでも過去のアクセス情報を探すのに ssh/config を確認するケースは多い) $ tree ~/.ssh ~/.ssh ├── conf.d conf はすべてここに入れる

PublickeyのIT業界予想2026。メモリ高騰による消極的なクラウド選択、AIエージェントを前提とした開発方法論、Rust採用の広がりなど 2025年を振り返ると、生成AIに始まり生成AIに終わると言っても良いほど話題の中心のほとんどに生成AIがあった年でした。 2026年も生成AIが注目されることは間違いないと思われますが、その位置づけは2025年とはまた少し違ったものになるはずです。そして生成AI以外にもIT業界には注目すべき動向がいくつも存在します。 果たして2026年はIT業界にとってどんな1年になるのでしょうか。期待を込めて予想してみました。 ITを取り巻く状況の現状認識 まずは予想の下敷きとして、IT業界にとどまらず世の中の状況がどうなっているのか、現時点での認識をまとめておきましょう。 国際自由貿易の停滞と米国への不信 2025年1月、米国大統領にドナルド・トランプ氏が

セキュリティ企業Infobloxの研究者らが発表したレポートによると、有名サイトに似せたドメインや、期限切れのドメインを悪用した詐欺が急増中。 たった1文字の打ち間違いで、本来のサイトではなく「スケアウェア（不安を煽る詐欺広告）」や「マルウェア」を仕込んだサイトに放り込まれてしまうのです。 見た目はそっくり！「タイポスクワッティング」の恐怖この詐欺は、ユーザーがブラウザののアドレスバーに直接URLを入力する際の「うっかりミス」を狙っています。具体的には、以下のような部分の打ち間違いをサイバー犯罪者は手ぐすね引いて待っているのです。 トップレベルドメイン（TLD）： 例：「.com」を「.cm」や「.co」と間違えるセカンドレベルドメイン（SLD）： 例：「google」を「gogle」と入力する犯罪者は、あらかじめこうした「間違いやすい名前」でドメインを登録（タイポスクワッティング）してい

はじめに 認可サーバーを構築するタスクがアサインされた。技術選定の裁量はある。仕事の合間にRFC 6749や技術書をいくつか読み始めた。 datatracker.ietf.org 帰宅後の深夜、週末の空き時間。3日目の深夜2時、私は確信した。 これは自前で作るべきではない。 認可コードフロー、インプリシットフロー、リソースオーナーパスワードクレデンシャル、クライアントクレデンシャル。4つのグラントタイプ。それぞれにセキュリティ要件がある。PKCEも必要だ。OpenID Connectも。IDトークンのクレーム設計。JWKSエンドポイント。セッション管理。トークン失効。リフレッシュトークンのローテーション。 仕様を読めば理解できる。実装もできる。でも、これをプロダクション品質で検証し続けるのは、私たちの仕事ではない。3日間RFCを読んで分かったのは、「自前で作ることの非合理性」だった。 調べ

ネットに顔写真を載せると加工や悪用のリスクが高いため、個人情報は公開しない方が安全。特に子どもには徹底して教えるべきだ。

プライバシー保護やセキュリティ強化、各種制限の回避など様々な理由でVPNサービスが普及していますが、主要なVPNサービスを提供する企業の所有関係や業界の実態についてはあまり知られていません。VPNサービスプロバイダーのWindscribeが、ExpressVPN・NordVPN・Surfsharkといった主要VPNサービスの所有関係やアフィリエイトサイトとの関係性を可視化したインタラクティブマップを公開しています。 Who Owns Express VPN, Nord, Surfshark? VPN Relationships Explained https://windscribe.com/blog/the-vpn-relationship-map/ サイトに埋め込まれているインタラクティブマップでも操作が可能ですが「Take me to the full map」をクリックして埋め込み

タイトルについて 記事を書く上で今回の壁打ち相手のGPTくんに「この話は必要以上に強いタイトルにするべきだ」と強く言われたので、強いタイトルにしました。 この記事で言いたいことは「Agent Skillsの業務プロダクトへの安易な導入はセキュリティ的に推奨しない」ということなのですが、本音としては「プロダクトに導入したいから安全に使えるケースを教えてくれ」です。この記事で挙げるような問題点を掻い潜って業務プロダクトでAgent Skillsを有効活用できる案があれば教えてください。 何故Agent Skillsをプロダクトに導入してはいけないのか 最近Agent Skillsが流行っているので、試しに開発用のSandbox環境で業務用のAgentにAgent Skillsを組み込んでみました。その結果、プロンプトインジェクションにより開発環境を破壊することに成功しました。 Agent Sk

「脱VPN」がいよいよ加速？　ランサムウェア感染、“SSL VPN廃止”の動きも：「前提が崩れた1年」　＠IT編集部員の2026年展望 企業のITインフラを巡る前提が大きく揺らいだ2025年。その1年を振り返る中で、特に従来の当たり前が通じなくなったのが「VPN」でした。ランサムウェア攻撃の多発などもあり、そのリスクが浮き彫りになりました。 企業のITインフラの“当たり前”として捉えられてきたもの――。2025年は、幾つかの視点からそれを見直す年になりました。仮想化インフラの分野で起きているような製品体系の再編や新たな事業者の参入といった変化もさることながら、アサヒグループホールディングスへのランサムウェア（身代金要求型マルウェア）攻撃も象徴的でした。ITシステムがいかに事業継続上の脆弱（ぜいじゃく）なポイントになり得るのかという現実を突き付けられました。 安心、安全の常識が揺らいだ1年だ

2025年が幕を下ろす直前、PS5のROMキーが漏えいし、いわゆる「脱獄（ジェイルブレイク）」につながる可能性が浮上したと報じられています。 これは、PlayStation開発者向けの非公式Wikiであるpsdevwikiなどに大量のデータダンプが公開され、その中に「Level 0 BootROMキー」が含まれていたというものです。その後、ハッキングコミュニティにおいて本物であることが広く確認されました。 「Level 0 BootROMキー」とは、ブートプロセスの最下層（Level 0）にあたるROMへ焼き込まれた暗号鍵のことです。PS5の電源投入直後に実行されるコードで、次段階のブートローダー（Level 1）を復号し、署名を検証して正規のものかどうかを確認する役割を担っています。ブートローダーはOS起動を司る存在であり、いわば「最初の番人プログラム」と言えるでしょう。 このROMキー

PlayStation 5の起動時、スタートアッププロセスが走るよりも前に最初に起動する「BootROM」コードのROM鍵が外部に流出したことが報じられています。これが本物だとすると、PS5の安全性は根底から覆されることになるのですが、PS5の心臓に相当するAPUに直接書き込まれている内容であり、あとから変更することができないため、話題を呼んでいます。 PS5 ROM Keys Leaked: Sony’s Unpatchable Security Nightmare (2026) | The CyberSec Guru https://thecybersecguru.com/news/ps5-rom-keys-leaked/ PlayStation 5 ROM keys leaked — jailbreaking could be made easier with BootROM cod

はじめに Web開発やインフラに関わっていると、必ず目にするのがHTTPSです。 今や「HTTPではなくHTTPSが当たり前」という世界になっています。 一方で、こんな経験はありませんか？ 証明書エラーが出たけど、よく分からず無視した 「オレオレ証明書」と言われてもピンとこない HTTPSなのに「安全ではありません」と表示されて混乱した SSL/TLSは使うことは簡単ですが、何が起きているかを理解するのは意外と難しい技術です。 特に新人エンジニアのうちは、 「HTTPS ＝ 暗号化されていて安全」 というイメージだけで通り過ぎてしまいがちです。 しかし実際の SSL/TLS は、暗号化だけでなく「相手が本物かどうか」を確認する仕組みでもあります。 この記事で扱うこと・扱わないこと この記事では、SSL/TLS を 次の視点 から説明します。 TLSは何を守っているのか サーバーはどうやって

はじめに 新年早々またなにやらXのAI（Grok）関連が荒れていますね。 2025年12月、Xに「画像を編集」機能が追加され自分の投稿だけじゃなく、他人の投稿画像も編集できてしまうようになったり、 年が明けた現在はコスプレイヤーや一般女性の投稿した写真を、第三者が勝手にGrokを使ってビキニ姿に変換する行為が流行ってきています。 いやまあXならさもありなん、という気がしないでもないですが、当然当人たちにとっても、見てる僕にとっても気持ちいいものではないですね。 じゃあXを離れたらAI利用については安全か？と言われると決してそんなことはないでしょう。 でも、まずは現実を知ったうえで各々自分の進む道を考えてほしいと思います。 インターネットとAI学習・利用の現実 結論から言えば、原理的にインターネット上に「安全で快適な場所」は存在し得ないです。 まず根本的な話として、インターネットの設計思想そ

国民に「マイナンバー」の共通番号法案を閣議決定、２０１５年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター／NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか？ (情報セキュリティプロフェッショナルをめざそう！(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に！ (■ＣＦＯのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう！(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ

セキュリティサービス部 佐竹です。 あけましておめでとうございます。「セキュリティエンジニアにおすすめの本」として、1冊の本をご紹介します。2026年のセキュリティは、この本から始めてみてはいかがでしょうか。 はじめに 著者について どのような人にお勧めか どのようなことを学べるのか 最初期のセキュリティは物理との闘い タイムシェアリングの導入というパラダイムシフト 差し込まれる逸話が秀逸 まとめ はじめに セキュリティを学ぶためのおすすめの本 1選は、2022年10月12日刊行の「情報セキュリティの敗北史: 脆弱性はどこから来たのか」です。原著「A Vulnerable System: The History of Information Security in the Computer Age」は2021年に刊行されたもので、その邦訳です。 情報セキュリティの敗北史 （白揚社） 私は物

《この記事を読むのに必要な時間は約 53 分です（1分600字計算）》 HON.jp News Blog 編集長の鷹野が、年初に公開した出版関連動向予想12025年出版関連の動向予想〈HON.jp News Blog（2025年1月15日）〉 https://hon.jp/news/1.0/0/53623を検証しつつ、2025年を振り返ります。 要するに？ NotebookLMに、要約・解説してもらいました。 インフォグラフィック 音声解説（16分47秒） 動画解説（7分10秒） ［要約ここまで］ 2025年出版概況 まず概況から。出版科学研究所「出版指標マンスリー・レポート」2出版指標マンスリーレポート〈出版科学研究所オンライン〉 https://shuppankagaku.com/monthly-report/2025年12月号によると、2025年1～11月期の紙の書籍雑誌推定販売額は