GCPのCISO室が作ったセキュリティガイドライン "Google Cloud の最小実行可能な安全なプラットフォーム | Security | Google Cloud Documentation" https://docs.cloud.google.com/docs/security/gcmvsp?hl=ja
09.03.2026 02:17
👍 0
🔁 0
💬 0
📌 0
GCPのCISO室が作ったセキュリティガイドライン "Google Cloud の最小実行可能な安全なプラットフォーム | Security | Google Cloud Documentation" https://docs.cloud.google.com/docs/security/gcmvsp?hl=ja
AI経由で人を雇えるサービスなんだが、プロンプトの検証が不足した場合、悪意を証明できない攻撃ができてしまいそうで怖い "RentAHuman.ai - Hire Humans for AI Agents | MCP Integration" https://rentahuman.ai/
AI経由で人を雇えるサービスなんだが、プロンプトの検証が不足した場合、悪意を証明できない犯罪ができてしまいそうで怖い "RentAHuman.ai - Hire Humans for AI Agents | MCP Integration" https://rentahuman.ai/
"30分で全完できるということは、同じことが攻撃側でも起こり得るということを意味します。この現実を認識した上で、AIを防衛にどう活かすかを考えるきっかけになれば" "【優勝🥇】防衛省サイバーコンテストをAIで攻略した話 #Security - Qiita" https://qiita.com/satoki/items/955302bf2615813bae5a
何度も延期されたNode.jsの脆弱性修正バージョンと、脆弱性の詳細が公開。High3,Medium4,Low1。まだCVSSベクタは公開されていなそう "Node.js — Tuesday, January 13, 2026 Security Releases" https://nodejs.org/en/blog/vulnerability/december-2025-security-releases
Cloudflare障害中か "Cloudflare Status" https://www.cloudflarestatus.com/
AndroidでC++からRustに変更したところ4倍ロールバック率が低く、レビュー時間も25%短縮した。脆弱性密度も4~5000倍程度改善してそう。脆弱性0.2個/MLOCはすごいな。 "Google Online Security Blog: Rust in Android: move fast and fix things" https://security.googleblog.com/2025/11/rust-in-android-move-fast-fix-things.html
VSCode Extensionに含まれる機微情報についての取り組み。主に開発者のミスが原因で配布パッケージ内に機微情報が含まれている "Supply Chain Risk in VSCode Extension Marketplaces | Wiz Blog" https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces
YouTube落ちてるの珍しい。公式のサービスステータスを確認できるページないのかな "Is YouTube down? See status and problems | NordVPN" https://nordvpn.com/ja/is-it-down/youtube/
SaaSのデータ保護に関するレポート。AIの情報が多め。AI利用の67%が個人アカウントで利用されており、77%の利用者がデータを貼り付けて利用している。AIに渡すデータは平均14回/日そのうち、20%は機密データが含まれる "The LayerX Enterprise AI & SaaS Data Security Rep…" https://go.layerxsecurity.com/the-layerx-enterprise-ai-saas-data-security-report-2025?utm_source=THN&utm_campaign=AI_report_2025
npmのセキュリティ対策(クラシックトークンの廃止、TOTPの段階的廃止)のスケジュールが公開。11月中旬までに実施予定とのこと "Strengthening npm security: Important changes to authentication and token management - GitHub Changelog" https://github.blog/changelog/2025-09-29-strengthening-npm-security-important-changes-to-authentication-and-token-management/
自己増殖するnpmパッケージマルウェアへの対策計画に関するGitHubのブログ。FIDOベースの2FA,クラシックトークンの終了など "Our plan for a more secure npm supply chain - The GitHub Blog" https://github.blog/security/supply-chain-security/our-plan-for-a-more-secure-npm-supply-chain/
CVEアドバイザリとパッチから学習して、AIから自動でエクスプロイトコードを作成する研究。現状14個のエクスプロイトコードがある様子。未検証 "Auto Exploits - Security Research Repository" https://autoexploit.ai/
「情報セキュリティ白書2025」PDF版の公開がはじまった "情報セキュリティ白書2025 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構" https://www.ipa.go.jp/publish/wp-security/2025.html
"I/F設計ガイドライン | フューチャー株式会社" https://future-architect.github.io/arch-guidelines/documents/forIF/if_guidelines.html
AI関連の機能がより早く利用できるようになるなら嬉しいが、GitHubがAI事業の一部になると仕様変更を気軽にされそうでちょっと怖い "GitHub、Microsoftの「CoreAI部門」の一部に ドムケCEOは退任し起業の道へ - ITmedia NEWS" https://www.itmedia.co.jp/news/articles/2508/12/news050.html
CISAが作成した、インシデントと対策のシナリオを作成するためのツール。テンプレートとしてVolt Typhoonなどが存在 "cisagov/playbook-ng: Playbook-NG is a stateless web-based application used to match incident findings with countermeasures for adversary contai…" https://github.com/cisagov/playbook-ng
気になる "脆弱性診断 with AIエージェント、ついに開発チームにひろがりました。 - freee Developers Hub" https://developers.freee.co.jp/entry/AI-agent-securitytest-used-by-devteam
「自筆証書遺言書保管制度」うちも1Passwordを利用しているので同じことをしよう "1Password と遺言保管制度を用いたデジタル終活 | blog.jxck.io" https://blog.jxck.io/entries/2025-07-25/digital-regacy.html
eslint-config-prettierなどで悪意あるコードが存在するバージョンが公開された。攻撃者はPhishingによりメンテナのなりすましを行ったとのこと。影響力が大きいパッケージなので共有 "Popular npm linter packages hijacked via phishing to drop malware" https://www.bleepingcomputer.com/news/security/popular-npm-linter-packages-hijacked-via-phishing-to-drop-malware/
LLMのポチョムキン理解(知識の応用や、概念を一貫して使うことができない状態)に関する論文。既存の評価指数では好成績だがはりぼて状態なので、評価指数の見直しをすべきでは "[2506.21521] Potemkin Understanding in Large Language Models" https://arxiv.org/abs/2506.21521
GitHubでのDevice Code Phishing手法について。無効化方法はないので、検知できるよう監査ログをチェック "Introducing: GitHub Device Code Phishing | Praetorian" https://www.praetorian.com/blog/introducing-github-device-code-phishing/
自分で考えることの大切さがわかる。アスリートじゃなくても話自体が面白い "【神回】全アスリート必見!高橋尚子が世界記録を出した、驚きのトレーニングと技術に刮目せよ! - YouTube" https://www.youtube.com/watch?v=A1IEbi_iSyI
e-Govからの申請データは90日程度で申請した履歴すら削除される仕様だった。これが「よくある質問」にもないの何でだ。 "よくあるご質問(FAQ) | e-Govポータル" https://www.e-gov.go.jp/help/faq/
Copilot ChatのVSCode拡張が公開されていた "microsoft/vscode-copilot-chat: Copilot Chat extension for VS Code" https://github.com/microsoft/vscode-copilot-chat
MCPの概要/セキュリティリスク/作成方法などがまとまっているので、詳しくない人にも共有できるよい資料 "MCP x Security / SSG × SGE.Web MCP 勉強会 | CyberAgent Developers Blog" https://developers.cyberagent.co.jp/blog/archives/57243/
エージェントでのスキャンが辛くてEFSを利用したこともあるので、こういう情報は助かる "GuardDuty Malware Protection for S3 でスキャンと通知を組んでみる(Terraform) 〜 1/1000にコストを抑える 〜 - CARTA TECH BLOG" https://techblog.cartaholdings.co.jp/entry/terraform-guardduty-malware-protection-for-s3
Wizが毎月CTFを作ってくれる "The Ultimate Cloud Security Championship | 12 Months × 12 Challenges | Wiz Blog" https://www.wiz.io/blog/the-ultimate-cloud-security-championship-12-months-x-12-challenges
Authenticodeの仕様をついた攻撃。今後、AIを利用して署名領域外の改ざんが容易になると思うと怖い "Hackers turn ScreenConnect into malware using Authenticode stuffing" https://www.bleepingcomputer.com/news/security/hackers-turn-screenconnect-into-malware-using-authenticode-stuffing/
Cloudflare Containersの情報。Edgeでコンテナを起動し従量課金 "Containers are available in public beta for simple, global, and programmable compute" https://blog.cloudflare.com/containers-are-available-in-public-beta-for-simple-global-and-programmable/