https://stand.fm/channels/5ec48451f654bbcab4d3f793 stand.fm Sat, 25 Apr 2026 06:53:47 GMT morning-security-news 忙しいエンジニアへ。毎朝3分で「昨日の重要セキュリティニュース」をチェックしませんか？ noteもやっています🗒️ https://note.com/morning_secunews この番組は、GitHub Advisoriesなどのデータソースから、その日の重要な脆弱性情報やセキュリティトピックをAIが厳選・解説するポッドキャストです。 通勤中や朝のコーヒータイムに聴くだけで、最新の脅威情報やサイバーセキュリティのトレンドを効率よくインプットできます。 【主な配信内容】 ・重大な脆弱性（CVE）の解説 ・緊急の注意喚起 ・最新のサイバー攻撃トレンド 技術のキャッチアップを止められないあなたへ、毎朝のルーティンとしてお届けします。 morning-security-news motty.it03@gmail.com no https://stand.fm/episodes/69ec616f59f9e38c705d9baf https://stand.fm/episodes/69ec616f59f9e38c705d9baf Sat, 25 Apr 2026 06:38:47 GMT ■ 今日のハイライト 本日は、システムを完全に掌握される恐れがある「リモートコード実行（RCE）」の脆弱性や、クラウドインフラで多用される観測基盤ツールのメモリ枯渇リスクなど、重要なセキュリティニュースを解説します。 ■ 注目の脆弱性ニュース ▼ OpenLearnXにおける致命的なRCE（CVE-2026-41900） OpenLearnXのコード実行環境において、Pythonサンドボックスの脱出が可能となる深刻な脆弱性が報告されました。 ・概要：悪意のあるユーザーが制限された環境を抜け出し、ホスト環境で任意のコマンドを実行できる状態でした。 ・対策：サーバーの完全な乗っ取りに直結するため、運用中のシステムは直ちに最新版へアップデートしてください。 ▼ PipecatにおけるPickleデシリアライズを通じたRCE（CVE-2025-62373） 音声・ビデオAIエージェントの構築フレームワーク「Pipecat」における脆弱性です。 ・概要：非デフォルトの「LivekitFrameSerializer」クラスで、安全ではないPythonのPickleモジュールを使用したデシリアライズが行われていました。 ・対策：該当機能を使用している場合、悪意のあるペイロードによってシステムが侵害される恐れがあります。安全な手法への移行が必要です。 ▼ Astro Cloudflare連携におけるSSRF（CVE-2026-41321） NPMパッケージの「@astrojs/cloudflare」において、サーバーサイドリクエストフォージェリ（SSRF）が報告されました。 ・概要：リモート画像をフェッチする際にHTTPリダイレクトにそのまま追従してしまうため、ドメイン制限をバイパスして意図しない内部・外部URLへアクセスさせられる危険があります。 ・対策：最新の修正版へのアップデートを実施してください。 ▼ OpenTelemetry関連パッケージのDoSリスク .NET環境などのOpenTelemetryパッケージにおいて、メモリの過剰割り当てや上限のない読み込みによる脆弱性が複数報告されています。 ・CVE-2026-41173 (AWS)：AWS X-Rayやメタデータエンドポイントからの応答を上限なしにメモリに読み込む問題。 ・CVE-2026-40894 (Propagators)：伝播ヘッダーのパース時に過剰なメモリ割り当てが発生。 ・CVE-2026-40891 / CVE-2026-40182 (OTLP Exporter)：gRPCトレーラーやエラーレスポンスの読み込みで上限なくデータを展開。 ・対策：アプリケーションのメモリ枯渇・サービス拒否（DoS）を防ぐため、関連パッケージのアップデートが必要です。 ■ その他の重要アップデート ・Kirby CMS（CVE-2026-40099, CVE-2026-34587, CVE-2026-32870）：権限バイパスやサーバーサイドテンプレートインジェクション（SSTI）、XMLインジェクションなど複数の脆弱性が修正。 ・Apktool（CVE-2026-39973）：APKデコード時のパストラバーサルによる任意ファイル書き込み。 ・Argo Workflows（CVE-2026-40886）：不正なアノテーションによるコントローラーのクラッシュ。 #セキュリティ #エンジニア #ITニュース #脆弱性 #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:41 #20260425 【RCE注意】OpenLearnX等の深刻な脆弱性 https://stand.fm/episodes/69e952bbfa952c6aadfaddd2 https://stand.fm/episodes/69e952bbfa952c6aadfaddd2 Wed, 22 Apr 2026 22:59:25 GMT ■ 今日のハイライト 本日は、AIアシスタント、CI/CDパイプライン、Webフレームワークなど、開発環境やインフラを脅かす4つの重要なセキュリティニュースをお届けします。 ▼ (1) Claude Code: サンドボックスエスケープの脆弱性 【CVE-2026-39861】 AnthropicのAIコーディングアシスタント「Claude Code」において、サンドボックスをバイパスし任意のファイル書き込みを許す脆弱性が発見されました。プロセスがワークスペース外を指すシンボリックリンクを作成する制限が不十分だったため、これを利用してシステム上の重要ファイルを書き換えられる危険性があります。 ▼ (2) Tekton Pipelines: Git引数インジェクションによるRCE 【CVE-2026-40938】 KubernetesネイティブなCI/CDツール「Tekton Pipelines」において、Gitリゾルバーの「revision」パラメータの検証不備によるリモートコード実行（RCE）の脆弱性が報告されています。ハイフンから始まる入力を許可してしまうため、任意のGitフラグを挿入される恐れがあります。 ▼ (3) Astro: 不完全なサニタイズによるXSS脆弱性 【CVE-2026-41067】 人気のWebフレームワーク「Astro」において、インラインスクリプトタグのサニタイズに大文字小文字を区別する正規表現が使われていたため、HTMLパーサーの挙動の差異を突いたクロスサイトスクリプティング（XSS）が可能となる問題が発覚しました。 ▼ (4) Neko: 認証済みユーザーの特権昇格 【CVE-2026-39386】 ブラウザ共有アプリ「Neko」において、任意の認証済みユーザーが即座に管理者権限を取得でき、インスタンス全体を完全に乗っ取ることが可能な脆弱性が修正されました。 ※ それぞれの詳しい対策や影響バージョンについては、公式のパッチ情報をご確認ください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #ClaudeCode #Tekton #Astro Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:53 #20260423 緊急！Claude CodeやTektonで深刻な脆弱性 https://stand.fm/episodes/69e7fd8163b0715f4ff6f226 https://stand.fm/episodes/69e7fd8163b0715f4ff6f226 Tue, 21 Apr 2026 22:43:28 GMT ■ 今日のハイライト 本日は、開発やインフラ運用に欠かせないツールやライブラリに潜む、深刻な脆弱性のニュースを5件お届けします。特にSpinnakerとOpenMage LTSにおけるリモートコード実行（RCE）の脆弱性は影響が大きいため、該当システムを運用されている方は早急な確認をお願いいたします。 ▼ Spinnakerにおける重大なリモートコード実行（RCE） (1) CVE-2026-32613：echo-pipelinetriggersの脆弱性 SpinnakerのEchoサービスにおいて、Spring Expression Language（SPeL）の評価コンテキストに制限が設けられていない問題が発見されました。これにより完全なJVMアクセスが許可されてしまい、任意のJavaクラスを使用したリモートコード実行が可能となります。 (2) CVE-2026-32604：clouddriver-artifacts-gitrepoの脆弱性 gitrepoアーティファクトタイプを使用する際、ブランチやパスの入力サニタイズが不適切なため、攻撃者がclouddriverのポッド上で任意のコマンドを実行できる脆弱性です。対策パッチを適用するか、回避策としてgitrepoアーティファクトタイプを無効化することが推奨されます。 ▼ python-dotenvにおけるファイル上書きの脆弱性 (3) CVE-2026-28684：シンボリックリンクを通じたファイル上書き python-dotenvの set_key() および unset_key() が .env ファイルを書き換える際、シンボリックリンクを辿ってしまいます。特定の条件（クロスデバイスのリネームフォールバック）が重なると、ローカルの攻撃者が任意のファイルを上書きできる危険性があります。 ▼ OpenMage LTSにおける2件の深刻な脆弱性 (4) CVE-2026-25525：Dataflowモジュールのパストラバーサル ディレクトリトラバーサルを防ぐためのブラックリスト処理が甘く、特定の文字列パターンを利用することでフィルターをバイパスされ、不正なパスにアクセスされる問題です。 (5) CVE-2026-25524：PharデシリアライゼーションによるRCE PHPの特定の関数が phar:// ストリームを処理する際にデシリアライゼーションがトリガーされる問題です。画像検証処理などで攻撃者が制御可能なパスが使われており、悪意のあるファイルをアップロードされることでRCEに繋がる恐れがあります。 #セキュリティ #エンジニア #ITニュース #Spinnaker #Python #PHP Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:12 #20260422 SpinnakerとOpenMageでRCEの危機！ https://stand.fm/episodes/69d9b12b9ad5459238c18aa8 https://stand.fm/episodes/69d9b12b9ad5459238c18aa8 Sat, 11 Apr 2026 02:25:55 GMT ■ 今日のハイライト 今日は土曜日。休日の朝に押さえておきたい最新のセキュリティニュースを4件ピックアップしてお届けします。フロントエンドからAI、WebAssemblyまで幅広い領域で深刻な脆弱性が報告されています。 ▼ 1. AxiosにおけるSSRFバイパスの脆弱性 ・対象：Axios ・識別子：CVE-2025-62718 ・概要：非常に広く使われているHTTPクライアント「Axios」に、環境変数の評価をすり抜ける脆弱性が見つかりました。「localhost.」のように末尾にドットをつけたり、IPv6の「[::1]」を指定したりすると、ホスト名の正規化が正しく行われず、通信がプロキシを経由してしまいます。これにより、意図しない内部ネットワークへのアクセスを許すSSRF攻撃につながる恐れがあります。 ▼ 2. Wasmtimeのサンドボックスエスケープなど多数の脆弱性 ・対象：Wasmtime ・識別子：CVE-2026-34971、CVE-2026-35195 など ・概要：WebAssemblyを安全に実行するためのランタイム「Wasmtime」に、深刻な問題が多数公表されました。特にARM64環境において、メモリへのアクセス処理が誤ってコンパイルされ、サンドボックスを抜け出してホスト環境にアクセスされる「サンドボックスエスケープ」の脆弱性が極めて危険です。また、メモリリークなどのバグも修正されています。 ▼ 3. MetaGPTのOSコマンドインジェクション ・対象：FoundationAgents MetaGPT ・識別子：CVE-2026-5972、CVE-2026-5973、CVE-2026-5974 ・概要：自律型AIエージェントフレームワーク「MetaGPT」に、リモートから任意のOSコマンドが実行可能な脆弱性が3件発見されました。ターミナルコマンドを実行する関数などにおいて、外部からの入力値が適切に無害化されていないことが原因です。サーバーを乗っ取られる危険があるため、早急な対策が必要です。 ▼ 4. MinIOのメモリ枯渇によるDoS脆弱性 ・対象：MinIO ・識別子：CVE-2026-39414 ・概要：オブジェクトストレージ「MinIO」のS3 Select機能において、CSVファイルの読み込み処理に欠陥がありました。改行のない巨大な1行で構成された細工済みのCSVを処理すると、上限なしにメモリを食いつぶし、MinIOがクラッシュしてしまいます。 本日は以上です。休日の間にシステムの見直しやアップデート計画を立てる際にお役立てください。 #セキュリティ #エンジニア #ITニュース #Axios #Wasmtime #MetaGPT #MinIO #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:50 #20260411 緊急！AxiosやWasmtimeの深刻な脆弱性 https://stand.fm/episodes/69d82b359ad5459238c171a4 https://stand.fm/episodes/69d82b359ad5459238c171a4 Thu, 09 Apr 2026 22:42:05 GMT ■ 今日のハイライト 今日は、近年大流行しているAIエージェントフレームワークやデータサイエンス向けツールで相次いで発見された、極めて深刻な脆弱性（リモートコード実行や認証バイパスなど）を中心にお届けします。 ▼ Marimoの認証なしRCE脆弱性（CVE-2026-39987） Pythonベースのリアクティブなノートブック環境であるMarimoにおいて、認証なしでリモートから任意のコードが実行される脆弱性が発見されました。 ・概要：ターミナルのWebSocketエンドポイント（/terminal/ws）に対する認証バリデーションが完全に欠落していました。 ・影響：認証されていない外部の攻撃者が完全なPTYシェルを取得し、ホスト環境でシステムコマンドを自由に実行できる状態になります。 ・対策：システム管理者は、外部からのアクセスを制限するとともに、修正済みの最新バージョンへ直ちにアップデートすることが強く推奨されます。 ▼ PraisonAIにおけるOSコマンドインジェクション（CVE-2026-40088） マルチエージェントを構築するための人気フレームワークPraisonAIにおいて、コマンドインジェクションの脆弱性が報告されました。 ・概要：ワークフローのシェル実行機能（execute_command等）が、YAML定義やLLMが生成したツール呼び出しを通じてユーザーの入力に直接さらされています。 ・影響：シェル特有のメタ文字を利用することで、攻撃者が任意のシェルコマンドを注入・実行することが可能です。これに加えて、同ツールではYAMLのデシリアライズに起因するRCE（CVE-2026-39890）も報告されています。 ▼ LobeHubの認証バイパス（CVE-2026-39411） 高性能なチャットUIを提供するLobeHubにおいて、Web APIルートへの認証を回避される問題が発覚しました。 ・概要：クライアント側で制御可能なヘッダーの難読化に用いられているXOR暗号のキーが、ソースコード内にハードコードされていました。 ・影響：攻撃者はこの公開されているキーを用いて任意の認証ペイロードを偽造し、保護されたAPIへ不正アクセスすることが可能となります。 ▼ その他の重要トピック 本日は他にも、AIツールや開発環境に関する深刻な脆弱性が多数報告されています。 ・【OpenClaw】ビルドツールの環境変数インジェクションによるリモートコード実行（GHSA-cm8v-2vh9-cxf3クラス）。 ・【SiYuan】(CVE-2026-39846) Electronデスクトップクライアントにおける、同期されたテーブルキャプションを通じた保存型XSSによるRCE。 ・【LiquidJS】(CVE-2026-39859) renderFile等の処理におけるパストラバーサル・任意のファイル読み取り。 ・【Axios】(CVE-2026-39865) HTTP/2セッションのクリーンアップ処理における状態破損によるDoS脆弱性。 ■ リスナーの皆様へ 今週はAIツールに関連した脆弱性が目立ちました。特に認証回避とリモートコード実行の組み合わせは被害が甚大になるため、関連ツールを利用されている方は週末に入る前にアップデート状況をご確認ください。 詳しい技術的な解説については、各種公式のセキュリティアドバイザリをご参照ください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #AI #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:31 #20260410 Marimoで認証なしRCE！AI系OSSの脆弱性 https://stand.fm/episodes/69d6d9b8969b21b60c6665c8 https://stand.fm/episodes/69d6d9b8969b21b60c6665c8 Wed, 08 Apr 2026 22:42:18 GMT ■ 今日のハイライト 本日は、以下の重要なセキュリティニュースをピックアップしてお届けします。 ▼ 1. OpenAMにおける事前認証RCE (CVE-2026-33439) 【概要】 OpenIdentityPlatform OpenAMにて、事前認証段階でのリモートコード実行（RCE）の脆弱性が発見されました。 【詳細】 jato.clientSessionというHTTPパラメータの安全でないデシリアライゼーションが原因です。パッチを適用していない環境では、攻撃者にサーバーを完全に乗っ取られる危険性があります。 ▼ 2. Honoフレームワークにおける複数の脆弱性 【概要】 人気の軽量Webフレームワーク「Hono」にて、複数の脆弱性が報告されています。 【詳細】 (1) ミドルウェアバイパス (CVE-2026-39407) serveStaticにおいて、連続したスラッシュを用いたリクエストにより、認証ミドルウェアがバイパスされる問題。 (2) パストラバーサル (CVE-2026-39408) 静的サイト生成の際に、指定された出力ディレクトリ外にファイルが書き込まれてしまう問題。 ▼ 3. Apache Cassandraの複数脆弱性 【概要】 分散型データベース「Apache Cassandra」にて、権限昇格やDoSなど複数の脆弱性が発覚しました。 【詳細】 ・CVE-2026-27314：mTLS環境下での権限昇格。低権限ユーザーがスーパーユーザーのロールに自己の証明書を紐付けられる問題。 ・CVE-2026-32588：CQL経由の認証済みサービス拒否攻撃（DoS）の脆弱性。 ・CVE-2026-27315：cqlshの履歴ファイルによるパスワード等の情報漏洩。 ▼ 4. Electronにおけるクラッシュおよびスコープ逸脱 【概要】 デスクトップアプリ開発用フレームワーク「Electron」のアップデート情報です。 【詳細】 ・CVE-2026-34781：クリップボードから不正な画像を読み込んだ際にプロセスがクラッシュするDoS脆弱性。 ・CVE-2026-34765：別ウィンドウを開く際のターゲット名のスコープ不備によるナビゲーション問題。 【対策】 該当する製品・ライブラリを使用している場合は、直ちに最新の修正バージョンへのアップデートを実施してください。 #セキュリティ #エンジニア #ITニュース #Hono #Cassandra #Electron Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:32 #20260409 【重要】OpenAMでRCEの危機など https://stand.fm/episodes/69d589b2789f0a0feb1582a9 https://stand.fm/episodes/69d589b2789f0a0feb1582a9 Tue, 07 Apr 2026 22:48:26 GMT ■ 今日のハイライト 今日はフロントエンド開発で人気のVite、AIエージェントフレームワークPraisonAI、Strawberry GraphQLで発見された重要な脆弱性について解説します。 ▼ PraisonAIのパストラバーサルおよびファイル書き込み脆弱性 (CVE-2026-35615, CVE-2026-39308, CVE-2026-39306, CVE-2026-39305, CVE-2026-39307) AIツールPraisonAIにおいて、致命的なパス検証の欠陥やZip Slipと呼ばれる任意ファイル書き込み脆弱性が多数報告されました。システムの任意のファイルを読み書きされる危険があるため、利用者は早急な対策が必要です。 ▼ Viteにおける任意ファイル読み取りの脆弱性 Viteの開発サーバー機能において、指定されたファイルアクセス制限のバイパスやパストラバーサルにより、外部からソースコードや機密ファイルが読み取られる問題が報告されました。開発サーバーをネットワークに公開している環境で影響を受けます。 ▼ Strawberry GraphQLのDoSおよび認証バイパス (CVE-2026-35526, CVE-2026-35523) PythonのGraphQLライブラリであるStrawberryにおいて、無制限のWebSocketサブスクリプションによるメモリ枯渇（DoS）と、レガシープロトコルを用いた際の認証バイパスの脆弱性が修正されました。 ▼ Distributionの権限および情報漏洩問題 (CVE-2026-35172, CVE-2026-33540) コンテナレジストリのDistributionにおいて、削除済みデータへのアクセスがキャッシュから復活する問題や、クレデンシャルの漏洩リスクが報告されています。 【ハッシュタグ】 #セキュリティ #エンジニア #ITニュース #脆弱性 #Vite #PraisonAI #GraphQL Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:12 #20260408 ViteやAIツールに脆弱性！ https://stand.fm/episodes/69d43522b9f425e4431b7016 https://stand.fm/episodes/69d43522b9f425e4431b7016 Mon, 06 Apr 2026 22:35:21 GMT ■ 今日のハイライト 本日は、NPM（Node Package Manager）エコシステムで発見された、2件の深刻なセキュリティ脆弱性について解説します。今回取り上げるのは、AIアシスタントなどの外部ツール連携で注目を集めている「MCP（Model Context Protocol）」に関連するパッケージです。 開発者のローカル環境を脅かすOSコマンドインジェクションの脆弱性が報告されており、開発業務に関わる方は必聴の内容です。 ■ 脆弱性の詳細 ▼ 1件目：CVE-2026-5602 ・対象パッケージ：＜@nor2/heim-mcp＞ ・影響バージョン：0.1.3 以下 ・脆弱性の種類：OSコマンドインジェクション 【解説】 Nor2-ioが提供するハイムアプリケーションのクラウドデプロイ用MCPツールにおいて、コマンドインジェクションの脆弱性が特定されました。影響を受けるのは、src/tools.ts ファイル内の registerTools 関数です。 この関数は外部からの入力を受け取ってOSコマンドを組み立てますが、適切な無害化（サニタイズ）が行われていません。攻撃者がこのツールに細工したデータを渡すことで、開発者のローカル環境で任意のOSコマンドが実行されてしまう恐れがあります。 攻撃にはローカルアクセスが必要ですが、開発者のPCを踏み台にするマルウェア感染などの二次被害につながるため、速やかなアップデートが必要です。 ▼ 2件目：CVE-2026-5603 ・対象パッケージ：＜@elgentos/magento2-dev-mcp＞ ・影響バージョン：1.0.2 以下 ・脆弱性の種類：OSコマンドインジェクション 【解説】 elgentosが提供する、Magento 2開発用のMCPツールにおいても、同様のコマンドインジェクション脆弱性が発見されました。問題が存在するのは、src/index.ts の executeMagerun2Command 関数です。 この機能は、Magento 2の操作を行う magerun2 コマンドを実行するものですが、入力値の検証不備により、任意のシステムコマンドを注入することが可能です。 【警告】この脆弱性の最も危険な点は、すでにエクスプロイト（攻撃を実証するコード）が一般に公開されていることです。攻撃手法が確立しているため、悪用されるリスクが非常に高まっています。該当のパッケージを使用している開発者は、ただちに使用を停止し、安全な最新バージョンへアップデートを行ってください。 ■ まとめ MCPのような新しい技術を利用する開発支援ツールであっても、OSコマンドを扱う際の基本的なセキュリティ対策（入力のサニタイズやエスケープ処理）は必須です。ローカル環境だから安全という思い込みを捨て、利用するパッケージのバージョン管理と脆弱性情報の収集を継続しましょう。 #セキュリティ #エンジニア #ITニュース #NPM #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:18 #20260407 NPMのMCPツールに深刻な脆弱性！ https://stand.fm/episodes/69d2e8484983f2d588e7799e https://stand.fm/episodes/69d2e8484983f2d588e7799e Sun, 05 Apr 2026 22:55:17 GMT ■ 今日の歴史解説 今日は、2021年7月に発生し、世界中のIT業界を震撼させた「Kaseya VSAサプライチェーン攻撃」を振り返ります。 ▼ 何が起きたのか？（事件の概要） 米国Kaseya社が提供するITインフラ管理ツール「Kaseya VSA」の脆弱性が突かれ、同ツールを利用しているMSP（マネージドサービスプロバイダ）を経由して、約1,500社もの顧客企業のシステムがランサムウェアに感染しました。 攻撃を実行したのは、ロシアを拠点とするランサムウェア犯罪グループ「REvil」です。彼らは、Kaseya VSAのオンプレミス版サーバーに存在していたゼロデイ脆弱性（CVE-2021-30116など）を悪用しました。 ▼ 技術的背景 Kaseya VSAは、MSPが顧客のネットワーク上のPCやサーバーを遠隔から監視し、アップデートなどを自動化するためのツールであり、システムにおいて最高レベルの権限を持っています。 攻撃者は、認証バイパスの脆弱性などを連鎖的に悪用し、VSAサーバーの制御を奪取。そこから正規のソフトウェアアップデートを装い、顧客企業のすべての端末に対して自動的にランサムウェアを配信しました。信頼された管理ツールが、最悪のマルウェア配送システムへと豹変してしまったのです。 ▼ 被害と影響 直接攻撃を受けたMSPは約60社でしたが、その顧客に被害が波及したため、最終的な感染企業は1,500社以上に上りました。スウェーデンの大手スーパーマーケットチェーンでは、レジシステムが暗号化されて数百店舗が一時休業に追い込まれるなど、市民生活にも甚大な影響を与えました。 要求された身代金は、当時のレートで約77億円という途方もない金額でした。 ▼ 今の私たちが学べる教訓 この事件から、現場のエンジニアは以下のことを学ぶ必要があります。 (1) サプライチェーンの脆弱性の認識 自社の守りが固くても、導入しているツールや委託先のMSPが侵害されれば被害に遭います。ベンダーのセキュリティ評価が不可欠です。 (2) 管理ツールの権限とアクセス制御の見直し 強力な権限を持つ管理ツールは、インターネットから直接アクセスできないようにし、VPNや多要素認証（MFA）を必須にするなどの厳格な制限が必要です。 (3) 外部起因のインシデントを想定した対策 利用している基幹システムやツールが突然使えなくなった場合を想定したインシデント対応計画を策定し、ネットワークから切り離されたオフラインバックアップを確保することが、ランサムウェアへの最後の砦となります。 ■ ハッシュタグ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア #サプライチェーン攻撃 #ランサムウェア #サイバー攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:15 #20260406 【歴史解説】Kaseyaサプライチェーン攻撃！管理ツールが牙 https://stand.fm/episodes/69d1fd36bf25a71bf3b8615f https://stand.fm/episodes/69d1fd36bf25a71bf3b8615f Sun, 05 Apr 2026 06:12:19 GMT ■ 今週のハイライト 今週（2026年3月29日〜4月5日）は、合計436件ものセキュリティニュースや脆弱性が報告される非常に慌ただしい1週間となりました。 特に注目すべきは、開発者を直接狙う「サプライチェーン攻撃」が複数確認されたこと、そして普及が著しい「AI・LLM関連ツール」におけるサンドボックス回避やリモートコード実行の脆弱性が大量に報告されたことです。 ■ サプライチェーン攻撃・マルウェア混入の脅威 【Axiosに関連するサプライチェーン攻撃】 広く使われているHTTPクライアントライブラリ「Axios」の特定バージョンが侵害され、悪意のある依存関係が混入しました。（CVE-2026-34841など） これにより、macOS、Windows、Linuxで動作するリモートアクセス型のトロイの木馬（RAT）がデプロイされる危険性がありました。メンテナのアカウント侵害が原因と見られています。 【Telnyxパッケージへの悪意あるコード挿入】 PyPIに登録されているPythonパッケージ「telnyx」のバージョン4.87.1および4.87.2に、認証情報を盗み出すマルウェアが仕込まれました。正規のリリース手順を迂回して直接公開されたものです。 ■ AI・LLM関連ツールの重大な脆弱性 【Anthropic Claude SDKのサンドボックス回避】 PythonおよびTypeScript向けのClaude SDKにおいて、ローカルファイルシステムを扱うツールにサンドボックス回避の脆弱性が発見されました。（CVE-2026-34452、CVE-2026-34451） 【vLLMのSSRFおよびDoS】 高速LLM推論エンジン「vLLM」において、内部ネットワークに不正リクエストを送信されるSSRF（CVE-2026-34753）や、メモリ枯渇を引き起こすDoS（CVE-2026-34756）が報告されました。 【PraisonAIおよびOpenClawの脆弱性ラッシュ】 AIエージェントフレームワーク「PraisonAI」でOSコマンドインジェクションなどのリモートコード実行（CVE-2026-34955など）が見つかりました。また、「OpenClaw」では今週だけで数十件に及ぶ認可バイパスやSSRF、サンドボックス突破の脆弱性が報告されています。 ■ Webフレームワーク・ライブラリの根本的な不備 【Electron】 解放後使用（Use-after-free）や、コンテキスト分離のバイパスなど、非常に多くのセキュリティパッチがリリースされました。（CVE-2026-34764、CVE-2026-34780など） 【aiohttpおよびRack】 Pythonの非同期HTTPライブラリ「aiohttp」でのHTTPレスポンス分割（CVE-2026-34519）や、Rubyの「Rack」におけるマルチパート解析のDoS（CVE-2026-34829）など、基盤プロトコル処理の不具合が多数修正されています。 ■ CMS・業務システムの大量の脆弱性 【baserCMS】 パストラバーサルによるファイル書き込みや、インストーラーでのOSコマンドインジェクションなど、深刻なRCE脆弱性が報告されています。（CVE-2026-30940、CVE-2026-21861など） 【AVideoおよびCI4MS】 動画配信CMS「AVideo」での認証バイパスや情報漏洩（CVE-2026-35452など）、CMS「CI4MS」での大量のクロスサイトスクリプティングが発覚しました。 ■ ハッシュタグ #セキュリティ #エンジニア #ITニュース #週まとめ #サイバー攻撃 #脆弱性 #AIセキュリティ #サプライチェーン攻撃 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:43 #20260405 今週のセキュリティまとめ：AIとサプライチェーンの脅威 https://stand.fm/episodes/69d0ad7954ac5c1fb097f756 https://stand.fm/episodes/69d0ad7954ac5c1fb097f756 Sat, 04 Apr 2026 06:19:45 GMT ■ 今日のハイライト 本日はオープンソース界隈を揺るがす深刻な脆弱性とインシデントのニュースをお届けします。特に影響が広範囲に及ぶ可能性のある事案をピックアップしました。 ▼ Axios関連パッケージにおけるサプライチェーン攻撃 ・影響を受けるツール: @lightdash/cli、@usebruno/cli など ・概要: 著名なHTTPクライアントライブラリ「axios」の特定バージョン（1.14.1 および 0.30.4）が侵害され、悪意のある推移的依存関係「plain-crypto-js」が混入しました。これにより、macOS、Windows、Linux上で動作するリモートアクセストロイの木馬（RAT）が展開される恐れがあります。該当期間中にインストール操作を行った場合は、直ちにシステムの調査が必要です。 ▼ Pythonフレームワーク「Kedro」におけるリモートコード実行 (CVE-2026-35171) ・概要: Pythonのデータパイプライン構築フレームワーク「Kedro」にて、極めて深刻なリモートコード実行（RCE）の脆弱性が発見されました。ログ設定の読み込み処理において、ユーザーが制御可能な環境変数を通じた入力検証が不足しており、悪意のある設定ファイルを読み込ませることで任意のPythonコードが実行可能になってしまいます。 ▼ Electronにおける多数の脆弱性修正 (代表: CVE-2026-34780 等) ・概要: デスクトップアプリ開発フレームワーク「Electron」で十数件の脆弱性が修正されました。中でも、WebCodecs APIを通じてVideoFrameオブジェクトを転送する際にコンテキスト分離がバイパスされてしまう脆弱性（CVE-2026-34780）など、アプリの根幹に関わるセキュリティリスクが報告されています。Electronアプリの開発者は迅速なアップデートが必要です。 ▼ Ruby向けライブラリ「Rack」の脆弱性 (CVE-2026-34835 等) ・概要: RubyのWebサーバーインターフェース「Rack」において、不正な文字を含むHostヘッダーを許容してしまい、アプリケーション側のアクセス制御をすり抜ける可能性のある脆弱性などが多数報告されました。 最新のパッチ情報を確認し、システムの安全を確保しましょう。 #セキュリティ #エンジニア #ITニュース #脆弱性 #プログラミング Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:38 #20260404 緊急！Axiosへのサプライチェーン攻撃と深刻なRCE https://stand.fm/episodes/69cef079f6da99988ffaabff https://stand.fm/episodes/69cef079f6da99988ffaabff Thu, 02 Apr 2026 22:41:06 GMT ■ 今日のハイライト 本日は、AI開発界隈とPython界隈で大きな話題となっている、非常に深刻な脆弱性ニュースをピックアップしてお届けします。AIエージェントフレームワークや人気公式SDK、そして定番のWebライブラリに致命的な欠陥が複数報告されました。 ▼ PraisonAIにおける多数の深刻な脆弱性 AIエージェントを構築・管理する人気ツール「PraisonAI」において、システムを完全に掌握されかねない脆弱性が立て続けに報告されています。 (1) OSコマンドインジェクション（CVE-2026-34935, CVE-2026-34937）：入力値のサニタイズ不足により、攻撃者がホスト上で任意のOSコマンドを実行できる危険性があります。 (2) サンドボックスエスケープ（CVE-2026-34955, CVE-2026-34938）：分離された環境を抜け出し、制限を超えた操作が可能になる欠陥です。 (3) 認証バイパスとSSRF（CVE-2026-34953, CVE-2026-34954）：任意のトークンで認証をすり抜けたり、内部ネットワークへリクエストを強制させたりする問題が判明しています。 影響を受ける環境では、直ちに最新版へのアップデートが必要です。 ▼ Anthropic Claude SDKのサンドボックスエスケープ Claude APIを利用するための公式SDKでも、ローカルファイルを扱う機能に脆弱性が見つかりました。 (1) Python版（CVE-2026-34452）：パス検証のタイミングの隙（競合状態）を突かれ、検証をバイパスして外部ファイルにアクセスされる問題。 (2) TypeScript版（CVE-2026-34451）：ディレクトリ名の前方一致チェックの甘さを突かれ、似た名前の別ディレクトリへアクセスされてしまう問題。 AIにファイル操作を許可しているアプリケーションは要注意です。 ▼ 人気Pythonライブラリ「aiohttp」の複数脆弱性 非同期通信で広く使われる「aiohttp」でも複数のアドバイザリが出ています。 (1) メモリDoS（CVE-2026-34517等）：巨大なリクエストを送りつけることで、サーバーのメモリを枯渇させるサービス拒否攻撃が可能です。 (2) Windows環境での情報漏洩（CVE-2026-34515）：UNCパスを悪用し、NTLMv2などの認証情報が漏洩するリスクがあります。 WebサーバーやAPIバックエンドで利用している方は、早急にバージョンアップを実施してください。 【ハッシュタグ】 #セキュリティ #エンジニア #ITニュース #Python #AI #LLM #脆弱性情報 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:32 #20260403 緊急！AI関連ツールとaiohttpの脆弱性 https://stand.fm/episodes/69cd9ed6a8d6a76b1b457c00 https://stand.fm/episodes/69cd9ed6a8d6a76b1b457c00 Wed, 01 Apr 2026 22:40:30 GMT ■ 今日のハイライト 今日はシステム乗っ取りに直結するリモートコード実行（RCE）の話題を中心に、3件の重要なセキュリティニュースを深掘りしてお届けします。ご自身のプロジェクトや利用中のアプリが該当していないか、ぜひチェックしてください。 ▼ 1. baserCMSにおける複数の重大な脆弱性（RCEやSQLiなど） ・CVE-2026-21861, CVE-2026-30940, CVE-2026-30880 ほか 国内でも多くのウェブサイトで導入されている国産CMS「baserCMS」において、サーバーを完全に制御されてしまう恐れのある致命的な脆弱性が複数発見されました。 特に危険なのが、システムのコアアップデート機能に存在した「OSコマンドインジェクション」です。管理画面から送信された入力値が、安全かどうかの確認（サニタイズ）を行わないまま裏側のプログラムに渡されていたため、権限を持ったユーザーであれば任意のコマンドをサーバー上で実行できてしまう状態でした。 また、テーマファイルの管理機能を利用したパストラバーサルの脆弱性もあり、悪意のあるPHPファイルを意図しない場所に書き込み、それを実行させることで同じくサーバーの乗っ取りが可能となっていました。 すでに修正プログラムが提供されているため、運用中の担当者の方はバージョンアップ作業を最優先で行うことを推奨します。 ▼ 2. ノートアプリ「SiYuan」のクロスオリジンRCE ・CVE-2026-34449 プライバシーを重視したオフライン対応のノートアプリケーション「SiYuan」に、非常にトリッキーで危険な脆弱性が見つかりました。 SiYuanはローカル環境でAPIサーバーを立ち上げて動作する仕組みを持っていますが、外部からの通信を許可するCORS（Cross-Origin Resource Sharing）の設定が極めて甘く、あらゆるサイトからのアクセスを許容する状態でした。 この設定不備により、ユーザーがSiYuanを起動したままブラウザで「悪意のあるウェブサイト」を開くだけで、攻撃者が用意した不正なスクリプトがローカルのSiYuanに送り込まれてしまいます。結果として、アプリの権限を利用してOS上で任意のコマンドが実行されてしまう（RCE）という、まさにドライブバイダウンロードのような手口が成立します。すぐに最新の修正版へアップデートしてください。 ▼ 3. FastMCPにおけるSSRFおよびパストラバーサル ・CVE-2026-32871 AI分野で注目を集めるModel Context Protocol（MCP）のサーバーを構築するフレームワーク「FastMCP」で、サーバーサイド・リクエスト・フォージェリ（SSRF）などの脆弱性が報告されました。 OpenAPIの仕様を読み込んでAPIを構築する機能において、リクエストURLを組み立てる処理に欠陥がありました。これを悪用されると、攻撃者はMCPサーバーを踏み台にして、本来は外部からアクセスできない社内ネットワークや内部データベースに対して不正なリクエストを送信することができてしまいます。AIエージェントの普及に伴い、こうした連携部分の脆弱性は内部情報漏洩の大きなリスクとなります。該当システムを運用している場合は、フレームワークの更新と併せてネットワークの分離設定（セグメンテーション）を見直すことが重要です。 ■ 本日のまとめ 本日は入力値のチェック漏れや設定の不備が招く、クリティカルな脆弱性について解説しました。攻撃の手法は日々高度化していますが、最新パッチの適用やアクセス権限の最小化といった基本対策が最大の防御となります。 #セキュリティ #エンジニア #ITニュース #脆弱性 #脆弱性情報 #baserCMS #SiYuan #FastMCP #RCE #SSRF Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:42 #20260402 baserCMSやSiYuanでRCEの脅威！ https://stand.fm/episodes/69cc4bafd4f9124b2b70a127 https://stand.fm/episodes/69cc4bafd4f9124b2b70a127 Tue, 31 Mar 2026 22:33:27 GMT ■ 今日のハイライト 今日は、インフラ管理ツールや開発エコシステムにおける非常に深刻なセキュリティニュースをピックアップしてお届けします。特にサーバー管理者やPythonエンジニアの方は必見の内容です。 ▼ PyPIパッケージ「telnyx」へのマルウェア混入（サプライチェーン攻撃） Pythonのパッケージ「telnyx」において、認証情報を盗むマルウェアが含まれたバージョン（4.87.1および4.87.2）が公開される事件が発生しました。 ・概要：脅威アクターが漏洩したPyPIの認証情報を使って不正なバージョンを直接公開しました。正規のGitHubリリースを経由していないため、パッケージリポジトリの認証管理の重要性が問われています。 ・対策：該当バージョンを使用している場合は直ちに削除し、システム内の認証情報をすべてローテーションしてください。 ▼ Nginx-UIにおけるリモートテイクオーバーなど多数の脆弱性 Nginxの管理画面ツール「Nginx-UI」において、システムを完全に掌握される恐れのある脆弱性が複数報告されました。 ・CVE-2026-33032：認証なしのMCPエンドポイントを突いたリモートテイクオーバーの脆弱性。IPホワイトリストの設定不備と組み合わさり、攻撃者にNginxを乗っ取られます。 ・CVE-2026-33030：他人のDNS APIトークンや秘密鍵が見えてしまうIDOR（認可制御の欠落）の脆弱性。 ・CVE-2026-33027：パストラバーサルにより、設定ディレクトリを再帰的に削除される脆弱性。 ・対策：Nginx-UIを直ちに最新版へアップデートし、外部からのアクセス制限を厳格化してください。 ▼ Fleet（MDMツール）における深刻なSQLインジェクションとDoS デバイス管理ツール「Fleet」のバージョン4系で致命的な脆弱性が報告されています。 ・CVE-2026-34385：Apple MDMプロファイル配信におけるセカンドオーダーSQLインジェクション。データベース内のAPIトークンや資格情報が漏洩・改ざんされる恐れがあります。 ・CVE-2026-34388：gRPCエンドポイントでのDoS脆弱性。不正なログタイプを送信されるだけで、Fleetサーバープロセス全体がクラッシュし、全デバイスの管理が停止します。 ・CVE-2026-34389：アカウント招待機能において、招待されたメールアドレスの検証が行われない脆弱性。 ・対策：エンタープライズ環境でFleetを利用している場合は、速やかなアップデートが必要です。 ▼ その他の重要トピック ・【Parse Server】CVE-2026-34373：GraphQL APIエンドポイントがCORSのオリジン制限を無視する脆弱性。 ・【OpenClaw】NPMパッケージのOpenClawにて、任意の悪意あるコード実行や認可バイパスなど多数の脆弱性が修正されました。 #セキュリティ #エンジニア #ITニュース #サイバーセキュリティ #脆弱性 #Nginx #Python #MDM Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:38 #20260401 【警告】Nginx乗っ取りとPyPIマルウェア https://stand.fm/episodes/69cafcf6367a77b39defb020 https://stand.fm/episodes/69cafcf6367a77b39defb020 Mon, 30 Mar 2026 22:45:21 GMT ■ 今日のハイライト 本日は、アプリケーション開発者やインフラエンジニアに多大な影響を与える、重要な脆弱性ニュースを5つピックアップしてお届けします。Node.jsのエコシステムや、クラウドインフラに関する重大なセキュリティアップデートが多数報告されています。 ▼ 【OpenClaw】大量11件のアドバイザリが報告 NPMパッケージの「OpenClaw」において、一挙に11件のアドバイザリが公表されました。 ・影響：ACP CLIの承認プロンプトにおけるANSIエスケープシーケンスのインジェクションや、Telegram・Teams・Feishuなどのチャット連携における認証バイパス、SSRF（サーバーサイドリクエストフォージェリ）などが含まれます。 ・対策：バージョン2026.3.24以下の利用者は、直ちに修正版である「2026.3.25」へアップデートしてください。 ▼ 【MikroORM】SQLインジェクションとプロトタイプ汚染 TypeScript向けの人気ORM「MikroORM」にて、2つの重大な脆弱性が報告されています。 ・CVE-2026-34220：特別に細工されたオブジェクトがそのまま生のSQLクエリとして解釈されてしまう、SQLインジェクションの脆弱性。 ・CVE-2026-34221：内部関数におけるプロトタイプ汚染の脆弱性。悪意のある入力を通じてJavaScriptオブジェクトの動作を改ざんされる恐れがあります。 ▼ 【Traefik】アクセス制御をすり抜ける脆弱性（CVE-2026-33186） リバースプロキシ「Traefik」において、依存している「gRPC-Go」の脆弱性に起因する問題が判明しました。 ・影響：先頭のスラッシュを省略した不正なHTTP/2の疑似ヘッダーを送信することで、未認証の攻撃者がTraefikのアクセス拒否（Deny）ルールをバイパスし、バックエンドへ到達できる危険性があります。 ▼ 【Parse Server】MFAバイパスと機密データ漏洩 BaaSプラットフォーム「Parse Server」で認証に関する致命的な問題が2件確認されました。 ・CVE-2026-34224：同時並行でログインリクエストを送信することで、1回しか使えないはずのMFAワンタイムトークンを使い回し、複数セッションを作成できる競合状態の脆弱性。 ・CVE-2026-34215：パスワード検証エンドポイントが、MFAのTOTPシークレットやOAuthトークンなどの機密情報をそのまま返却してしまう情報漏洩の脆弱性。 ▼ 【GitHub Actions】ワークフローでのコマンドインジェクション（CVE-2026-34243） 「njzjz/wenxian」リポジトリのGitHub Actionsにおいて、Issueのコメント本文をサニタイズせずにシェルコマンドに渡している問題が報告されました。悪意のあるコメントを投稿するだけで、ランナー上で任意のコードが実行されてしまう危険な状態です。 エンジニアの皆様は、使用しているライブラリやツールのバージョンを今一度ご確認ください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:22 #20260331 【NPM・Go】大量の脆弱性発覚 https://stand.fm/episodes/69c9abe29416b336bb4f6871 https://stand.fm/episodes/69c9abe29416b336bb4f6871 Sun, 29 Mar 2026 22:47:13 GMT ■ 今日の用語解説 本日は、Webセキュリティの超重要キーワード「クロスサイトスクリプティング (XSS)」について解説します。 ▼ クロスサイトスクリプティング (XSS) とは？ Webサイトの脆弱性を突いて、悪意のあるプログラム（スクリプト）をユーザーのブラウザ上で実行させる攻撃手法のことです。 本来、Webサイトはユーザーに便利な機能を提供するためにプログラムを動かしますが、開発側の安全確認が不十分だと、悪い人が作ったプログラムを勝手に動かされてしまう穴（脆弱性）が生まれます。 ▼ なぜXSSは危険なのか？（想定される被害） (1) アカウントの乗っ取り ユーザーがログインしている証明となる「クッキー（Cookie）」を盗み出し、パスワードを知らなくても本人になりすましてアクセスされてしまいます。 (2) 個人情報の漏えい 画面上に本物そっくりの偽の入力画面を表示させ、クレジットカード番号や個人情報を盗み取ります。 (3) 偽サイトへの誘導 アクセスしただけで、ウイルスが仕込まれた別の危険なサイトへ強制的に飛ばされてしまいます。 (4) 意図しない操作の実行 SNSで勝手にスパム投稿をされたり、掲示板に不正な書き込みをされたりします。 ▼ XSSの3つの種類 (1) 反射型XSS 罠が仕掛けられたURLをクリックさせることで、その一回だけ不正なプログラムを実行させる手口です。メールやメッセージアプリなどで送られてくる怪しいリンクに注意が必要です。 (2) 蓄積型XSS 誰でも書き込める掲示板などに、あらかじめ罠のプログラムを書き込んで保存（蓄積）させておく手口です。その掲示板を見たすべての人に被害が及ぶため、非常に危険です。 (3) DOM Based XSS サーバーを通さず、ユーザーのブラウザ上で動くプログラムの隙を突く少し複雑な手口です。 ▼ 開発者が行うべき対策 (1) エスケープ処理（無害化） ユーザーが入力した文字を表示するときに、プログラムとして動いてしまう特殊な記号（＜や＞など）を、ただの文字に変換して無力化します。 (2) HttpOnly属性の活用 万が一攻撃されてもクッキーを盗まれないように、プログラムからの読み取りを禁止する設定を行います。 (3) WAFの導入 Webサイトへの攻撃を入り口で監視してブロックするシステムを導入し、多層防御を行います。 ▼ ユーザーができる対策 (1) 不審なメールやメッセージのリンクを安易にクリックしない (2) ブラウザやOSのアップデートを常に行い、最新の状態を保つ XSSは古くからある脆弱性ですが、いまだに多くのWebサイトで見つかる深刻な問題です。ITエンジニアを目指す方は、必ず仕組みと対策を理解しておきましょう！ #セキュリティ #用語解説 #学習 #エンジニア #クロスサイトスクリプティング #XSS #プログラミング初心者 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:52 #20260330 【用語解説】XSSとは？3分で学ぶ基本 https://stand.fm/episodes/69c883735ee80a4451517dee https://stand.fm/episodes/69c883735ee80a4451517dee Sun, 29 Mar 2026 01:42:21 GMT ■ 今週のハイライト 2026年3月最終週は、300件以上ものセキュリティアドバイザリが公開される非常に慌ただしい1週間となりました。特に、開発インフラを狙ったサプライチェーン攻撃や、業務自動化プラットフォームにおける致命的なリモートコード実行（RCE）が多数報告されています。 ▼ 詳細解説 (1) 警戒すべきサプライチェーン攻撃 今週最も注目すべきは、開発ツールそのものが狙われた事件です。 ・Trivyエコシステムの侵害 (CVE-2026-33634)：コンテナ脆弱性スキャナ「Trivy」のGitHub Actionsにおいて、漏洩した認証情報を悪用し、認証情報を窃取するマルウェアを含んだ悪意のあるバージョンが公開されました。 ・LiteLLMのマルウェア混入：LLMのプロキシツールとして人気のLiteLLMでも、マルウェア入りの悪意あるパッケージがPyPIに公開されました。CI/CDでこれらのツールを利用している場合は、認証情報のローテーションが強く推奨されます。 (2) 業務自動化・AIプラットフォームの深刻な脆弱性 ・n8nの複数脆弱性：ワークフロー自動化ツールn8nにて、AlaSQLサンドボックスを回避してリモートコード実行が可能になる問題 (CVE-2026-33660) や、他のユーザーのHTTP認証情報を窃取できる権限昇格問題 (CVE-2026-33663)、LDAPメールアドレスを偽装したアカウント乗っ取り (CVE-2026-33665) などが報告されました。 ・OpenClawの大量脆弱性：AIエージェントプラットフォームOpenClawにおいて、Gatewayでの権限昇格、Webhookのレート制限不備によるブルートフォース攻撃、パストラバーサルなど、数十件の脆弱性が一挙に修正されています。 (3) インフラストラクチャ・ミドルウェアの脅威 ・NATS Server：メッセージングシステムのNATSで、認証前の攻撃者が不正な長さのWebSocketフレームを送るだけでサーバーをクラッシュさせるDoS脆弱性 (CVE-2026-27889) や、mTLSの認証をバイパスできる重大な欠陥 (CVE-2026-33248) が報告されました。 ・Incus (CVE-2026-33945) と Docker/Moby (CVE-2026-34040)：コンテナ管理ツールにおいて、ホストシステムへのファイル書き込みや認可プラグインのバイパスが可能になる問題が修正されています。 (4) WebアプリケーションとCMSの脆弱性 ・AVideo：動画プラットフォームAVideoにおいて、OSコマンドインジェクション (CVE-2026-33648) やファイルアップロードを利用したRCE (CVE-2026-33717)、SQLインジェクションなど多数の致命的な欠陥が発覚しました。 ・Craft CMS (CVE-2026-33157)：認証済みユーザーがリモートコード実行を行える脆弱性が修正されています。 ・Vikunja：タスク管理ツールにおいて、他のプロジェクトの添付ファイルを削除できるIDORや、Webhookの認証情報の平文漏洩 (CVE-2026-33677) が報告されました。 (5) 主要フレームワーク・ライブラリ ・Ruby on Rails：Active Storageにおけるパストラバーサル (CVE-2026-33195) や、Active SupportにおけるXSS (CVE-2026-33170) が修正されました。 ・Handlebars.js と Scriban：テンプレートエンジンにおいて、プロトタイプ汚染やスタックオーバーフローによるDoS脆弱性が多数報告されています。 ■ 対策のポイント 自動化ツールやAIエージェントはシステム全体に強い権限を持つため、脆弱性が悪用された場合の被害が甚大です。該当製品を利用している場合は直ちにアップデートを実施してください。 【ハッシュタグ】 #セキュリティ #エンジニア #ITニュース #週まとめ #サイバー攻撃 #脆弱性 #サプライチェーン攻撃 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:34 #20260329 今週のセキュリティまとめ！サプライチェーンと自動化ツールの危 https://stand.fm/episodes/69c727ed51b6f444b6d010fe https://stand.fm/episodes/69c727ed51b6f444b6d010fe Sat, 28 Mar 2026 00:59:33 GMT ■ 今日のハイライト 本日は、多数のシステムで利用されている自動化ツールやライブラリに関する深刻なセキュリティニュースをお届けします。システムの乗っ取りや暗号署名の偽造など、早急な対応が必要な情報が目白押しです。 ▼ エヌエイトエヌ(n8n)の深刻な脆弱性（RCE・インジェクション） ワークフロー自動化ツールであるn8nに複数の脆弱性が報告されました。 (1) プロトタイプ汚染によるRCE (CVE-2026-33696) XMLおよびGSuiteAdminノードの設定パラメータを悪用することで、リモートから任意のコードを実行される恐れがあります。 (2) LDAPインジェクション (CVE-2026-33751) LDAP検索の入力サニタイズ処理に不備があり、不正な検索を実行される可能性があります。 (3) SQLインジェクション (CVE-2026-33713) データテーブルノードの設定不備により、データベースを直接操作される危険性があります。 ▼ オープンクロウ(OpenClaw)に対する多数の脆弱性報告 システム操作に利用されるOpenClawにおいて、20件以上の脆弱性が一挙に公開されました。 特に危険なのは、低権限のユーザーが管理者の権限を不正に承認できてしまう権限昇格の脆弱性です。これによりシステム全体が乗っ取られる恐れがあります。また、様々なエンドポイントで認証をバイパスして内部APIを叩ける不具合も多数報告されています。 ▼ ノードフォージ(node-forge)の暗号実装に関する欠陥 JavaScriptの暗号化ライブラリであるnode-forgeにおいて、署名検証や証明書チェーンの欠陥が見つかりました。 (1) RSA署名偽造 (CVE-2026-33894) (2) Ed25519署名偽造 (CVE-2026-33895) (3) 証明書チェーンのバイパス (CVE-2026-33896) 特に証明書チェーンの欠陥は、不正な証明書が認証局（CA）として機能してしまうという深刻なものです。また、ゼロを入力すると無限ループに陥るDoS脆弱性(CVE-2026-33891)も報告されています。 ▼ LibreNMSにおけるリモートコード実行 ネットワーク監視ツールのLibreNMSにおいて、認証済みの管理者がシステムのバイナリパス設定を改ざんし、任意のコードを実行できる脆弱性が報告されました。 各ツールの管理者および開発者は、至急最新バージョンへのアップデートを実施してください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #RCE Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:15 #20260328 n8nでRCEの恐れ！OpenClaw等多数の脆弱性 https://stand.fm/episodes/69c5b67cf0f4da56b9ca8aca https://stand.fm/episodes/69c5b67cf0f4da56b9ca8aca Thu, 26 Mar 2026 22:43:15 GMT ■ 今日のハイライト 本日は、自動化ワークフローツールの n8n、機械学習モデルのデプロイを支える BentoML、そして OpenTelemetry Javaagent に関する重大なセキュリティニュースをお届けします。 ▼ エヌエイトエヌにおける複数の深刻な脆弱性 ＜CVE-2026-33660 / CVE-2026-33665 他＞ ワークフロー自動化ツールの n8n において、複数の致命的な脆弱性が修正されました。 (1) AlaSQL を用いたリモートコード実行（RCE）：制限を回避してホスト上のファイルを読み取ったりコードを実行したりできる問題。 (2) LDAP認証時のアカウント乗っ取り：メール属性を悪用して他ユーザー（管理者など）になりすますことができる問題。 ▼ BentoML におけるコマンドインジェクション ＜CVE-2026-33744＞ AI・機械学習のパッケージングツールである BentoML の設定ファイル（bentofile.yaml）における脆弱性です。パッケージ名を指定する設定値のサニタイズ不足により、Dockerfileの RUN コマンドに任意のOSコマンドを紛れ込ませることが可能でした。 ▼ OpenTelemetry Javaagent における RCE ＜CVE-2026-33701＞ Java アプリケーションの監視エージェントにおいて、安全でないデシリアライゼーションの脆弱性が発覚しました。RMI や JMX ポートにアクセス可能な攻撃者が、JVM上でリモートから任意のコードを実行（RCE）できるおそれがあります。 ▼ その他の重要トピック 本日はこれ以外にも、動画プラットフォームの AVideo や タスク管理ツールの Vikunja で数十件にのぼる脆弱性が一斉に公開されています。該当製品をご利用の方は、必ず公式のセキュリティアドバイザリをご確認の上、最新版へのアップデートを実施してください。 #セキュリティ #エンジニア #ITニュース #n8n #BentoML #OpenTelemetry Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:13 #20260327 n8nやBentoMLで深刻な脆弱性が発覚！ https://stand.fm/episodes/69c465ae229d2b288261c8ab https://stand.fm/episodes/69c465ae229d2b288261c8ab Wed, 25 Mar 2026 22:46:15 GMT ■ 今日のハイライト 本日は、インフラ基盤や開発プロセスに甚大な影響を及ぼす重大なセキュリティニュースをお届けします。コンテナセキュリティの定番ツールでのサプライチェーン攻撃、AI開発用ライブラリへのマルウェア混入、そして広く使われているメッセージング基盤の深刻な脆弱性について解説します。 ▼ Trivyエコシステムに対するサプライチェーン攻撃（CVE-2026-33634） コンテナの脆弱性スキャナーとして広く普及している「Trivy」のGitHub Actionsエコシステムが侵害される事件が発生しました。 ・概要：悪意のあるアクターが漏洩した認証情報を使用し、悪意のあるTrivyのリリースを公開。さらに、GitHub Actionsのタグを強制プッシュし、認証情報を窃取するマルウェアに置き換えました。 ・影響：CI/CDパイプラインで該当のアクションを実行した環境から、クラウドアカウントのシークレット等が流出した可能性があります。該当時期の利用者は認証情報の即時ローテーションが必要です。 ▼ LiteLLMパッケージへの認証情報窃取マルウェア混入 ・概要：Pythonの生成AI用API統合ライブラリ「litellm」のPyPI公式レジストリに、マルウェアを含むバージョンがアップロードされました。依存関係の脆弱性を突かれてAPIトークンが露出したことが原因です。 ・影響：インストールおよび実行時にマルウェアが起動し、環境内の機密ファイルや認証情報を外部のサーバーへ送信してしまいます。 ▼ NATS Server における複数の深刻な脆弱性 高性能なパブサブ分散通信技術「NATS Server」において、多数の脆弱性が一斉に公開されました。 ・CVE-2026-33248：mTLSにおけるクライアント証明書のSubject DNのマッチング不備による認証バイパス。 ・CVE-2026-33246：leafnode接続を利用したIDヘッダーのスプーフィング（なりすまし）。 ・CVE-2026-33222：JetStreamの管理APIを通じた認可チェックのバイパス。 ・その他、MQTTクライアントのハイジャックやプレーンテキストパスワードの漏洩など、影響範囲は多岐にわたります。 ▼ Scriban における多数のDoS脆弱性 .NET向けのテンプレートエンジン「Scriban」において、CPU資源の枯渇や無制限のメモリ割り当て、スタックオーバーフローを誘発しプロセスをクラッシュさせる複数の脆弱性が発見されました。信頼できないユーザーからのテンプレート入力を許可しているアプリケーションは至急アップデートが必要です。 #セキュリティ #エンジニア #ITニュース #Trivy #脆弱性情報 #サプライチェーン攻撃 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:57 #20260326 【緊急】Trivyサプライチェーン攻撃 https://stand.fm/episodes/69c312c489172c373f960abe https://stand.fm/episodes/69c312c489172c373f960abe Tue, 24 Mar 2026 22:40:17 GMT ■ 今日のハイライト 本日はRuby on Railsや各種CMSにおける重要アップデートなど、多数のセキュリティニュースをお届けします。 ▼ Ruby on Railsにおける多数の脆弱性 Ruby on Railsの各コンポーネント（Active Storage、Active Supportなど）で9件の脆弱性が一斉に公表されました。 ・CVE-2026-33202：Active StorageにおけるGlobインジェクション。意図しないファイル削除のリスクがあります。 ・CVE-2026-33195：Active Storageにおけるパストラバーサル。ファイルの不正な読み書きの恐れがあります。 ・CVE-2026-33176：Active SupportにおけるDoS（サービス拒否）脆弱性。指数表記の文字列処理によりCPUとメモリを枯渇させます。 該当バージョンを使用中の場合は、速やかなアップデートが推奨されます。 ▼ Connect CMSにおける複合的な脆弱性 オープンソースのCMS「Connect CMS」において、RCE（リモートコード実行）を含む複数の深刻な脆弱性が報告されました。 ・CVE-2026-32276：Code Studyプラグインにおける、認証済みユーザーによる任意のコード実行。 ・CVE-2026-32279：外部ページ移行機能におけるSSRF（サーバーサイドリクエストフォージェリ）。 ・CVE-2026-32300：マイページプロフィール更新機能での認可不備。 パッチ適用済みのバージョン（1.41.1 または 2.41.1）への更新が必要です。 ▼ MantisBTにおけるMySQL環境特有の認証バイパス ・CVE-2026-30849：MantisBTのSOAP APIにおいて、MySQLの暗黙の型変換を利用した認証バイパスの脆弱性が発見されました。MySQLおよび互換データベースを使用しているインスタンスが対象です。 ▼ その他の重要トピック ・Indico（CVE-2026-33046）：LaTeXインジェクションを通じたRCE。 ・New API（CVE-2026-30886）：VideoProxyにおけるIDOR（認可制御の欠如による他ユーザーデータへのアクセス）。 ・h3（NPM）：オープンリダイレクトやチャンク化されたCookieの無制限処理によるDoS脆弱性。 #セキュリティ #エンジニア #ITニュース Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:35 #20260325 緊急！RailsとCMSの深刻な脆弱性 https://stand.fm/episodes/69c1c5538e3d1082d3737813 https://stand.fm/episodes/69c1c5538e3d1082d3737813 Mon, 23 Mar 2026 22:57:47 GMT ■ 今日の歴史解説 今日は「Stuxnet (2010)」を振り返ります。 2010年に発見されたこのマルウェアは、これまでのサイバー攻撃の常識を根底から覆す歴史的な事件でした。 ▼ 何が起きた？ Stuxnet（スタックスネット）は、国家が関与したとされる世界初の「サイバー兵器」です。 最大の目的は、イランのナタンズ核施設にあるウラン濃縮用の「遠心分離機」を物理的に破壊することでした。 インターネットから完全に切り離された「エアギャップ環境」にあった核施設ですが、攻撃者は「USBメモリ」を利用して施設内のパソコンにマルウェアを感染させることに成功しました。 侵入したStuxnetは、誰にも知られていないWindowsの弱点（ゼロデイ脆弱性）を4つも悪用し、さらに有名なハードウェアメーカーから盗み出した「本物のデジタル証明書」を使ってセキュリティの網をすり抜けました。 そして、特定の条件に合致するシーメンス製の産業用制御システムだけをピンポイントで乗っ取りました。監視モニターには「すべて正常」という嘘の数値を表示させながら、裏では遠心分離機を暴走させて破壊するという極めて巧妙かつ悪質な隠蔽工作を行い、結果として約1,000台の遠心分離機が破壊されました。 サイバー空間の攻撃が、現実世界の物理的な機械を破壊できることを証明してしまった、まさに歴史の転換点となる事件です。 ▼ 今の私たちに活かせる教訓 このインシデントは私たちの日常業務にも直結する重要な教訓が含まれています。 (1) 「閉鎖網だから安全」は幻想 インターネットに繋がっていなくても、保守用の持ち込みPCやUSBメモリを経由して脅威は侵入します。隔離されているという過信を捨て、デバイス制御や運用ルールの徹底が必要です。 (2) 内部侵入を前提とした対策（ゼロトラスト） 一度ネットワーク内部に入り込まれた後、どれだけ早く異変に気づけるかが勝負です。内部から内部への通信監視や、重要システムへのアクセス制御を厳格に行うゼロトラストの考え方が不可欠です。 (3) 「正常なログ」を盲信しない Stuxnetは監視システムを騙しました。一つの監視ツールの結果だけを鵜呑みにせず、ネットワークの振る舞いやシステムの細かな変化など、複数の視点から多層的に状態を把握（オブザーバビリティの向上）する仕組みが重要です。 社会インフラや工場（OT環境）のセキュリティが声高に叫ばれるようになった原点とも言える事件です。過去の教訓から、現在のセキュリティ対策の「盲点」を見直してみましょう。 ▼ ハッシュタグ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア #Stuxnet #サイバー兵器 #ゼロトラスト #ITエンジニア #情報セキュリティ --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:50 #20260324 【歴史解説】現実を破壊したサイバー兵器！スタックスネットの脅 https://stand.fm/episodes/69c0711ab97478045f95c97d https://stand.fm/episodes/69c0711ab97478045f95c97d Sun, 22 Mar 2026 22:45:57 GMT ■ 今日の歴史解説 今日は、2017年に世界中をパニックに陥れた歴史的セキュリティインシデント「WannaCry（ワナクライ）」について振り返ります。 ▼ 何が起きた？ 2017年5月12日、WannaCryと呼ばれるランサムウェアが突如として世界中で猛威を振るい始めました。このマルウェアはPC内のデータを暗号化し、復号のためにビットコインでの身代金支払いを要求します。 しかし、最も恐ろしかったのはその「自己増殖能力」でした。ワーム型のマルウェアであったため、一度ネットワーク内に侵入すると、あっという間に他の端末へ感染を広げたのです。わずか数日の間に、150カ国以上で30万台前後のコンピュータが感染しました。 被害はIT企業だけでなく、社会インフラを直撃しました。イギリスの国民保健サービスでは医療システムがダウンし、救急患者の受け入れが停止。他にも、フランスの自動車メーカーやドイツの鉄道網がストップするなど、サイバー空間の脅威が現実の物理社会の機能を停止させた衝撃的な事件となりました。 ▼ 感染拡大のからくり（技術的背景） WannaCryは、Windowsのファイル共有プロトコルである「SMBv1」に存在した脆弱性（CVE-2017-0144 / MS17-010）を悪用しました。 さらに、アメリカ国家安全保障局が開発したとされる強力なエクスプロイトツール「EternalBlue」がハッカー集団によって流出し、これがWannaCryに組み込まれたことで、軍事兵器級の感染力を持つことになったのです。 非常に悔やまれるのは、開発元であるMicrosoft社が、事件発生の2ヶ月も前にこの脆弱性を修正するパッチを公開していたという事実です。「再起動の手間」「古いOSの放置」「互換性テストの遅れ」といった理由でパッチ適用を怠っていた組織が、この致命的な攻撃の標的となりました。 ▼ 今の私たちが実践すべき教訓 この歴史的事件から、現場のエンジニアが今の業務に活かせる実践的な教訓は数多くあります。 (1) 迅速なパッチ適用の徹底 公開された脆弱性は、攻撃者にとって「開いたままの窓」です。メーカーから提供されるセキュリティパッチを迅速に適用する「パッチマネジメント」の仕組みが、組織を守る上で最重要となります。 (2) レガシーシステムの隔離とネットワーク分割 サポート切れのOSや、稼働を止められない制御機器など、どうしてもパッチが当てられないシステムが存在する場合は、他のシステムと同一ネットワークに混在させないことが重要です。万が一の侵入に備え、ネットワークを分割し、被害の延焼を防ぐ設計が求められます。 (3) 外部公開ポートの管理と遮断 WannaCryはインターネットに公開されていたSMBポート（ポート445）を入口としました。社内向けの通信プロトコルを不必要に外部公開していないか、自分たちのアタックサーフェス（攻撃対象領域）を常に監視し、不要な経路は確実に塞ぐ必要があります。 (4) オフラインバックアップの確保 ランサムウェアは、ネットワークに接続されたバックアップデータまで暗号化しようとします。物理的にネットワークから切り離されたオフライン環境や、変更不可能なストレージにバックアップを保管しておくことが、最後の命綱となります。 過去の事件から学び、日々のアタリマエの運用を徹底していくことが最高の防御です。ぜひ自社のパッチ適用状況やネットワーク設定を見直すきっかけにしてみてください！ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:51 #20260323 【歴史解説】WannaCryが世界を止めた日と実践的教訓 https://stand.fm/episodes/69bf8980d0bfd13b908b9b43 https://stand.fm/episodes/69bf8980d0bfd13b908b9b43 Sun, 22 Mar 2026 06:18:02 GMT 今週1週間（2026年3月15日〜3月22日）のセキュリティニュースを総まとめしてお届けします！ 今週は特定のコンテンツ管理システムで数十件規模の脆弱性が一挙に公開されたほか、認証基盤やAI関連ツールでの重大なリスクが多数報告されました。 ■ 今週のハイライト ・動画プラットフォーム「AVideo」とノートアプリ「SiYuan」でRCEやSQLiなど大量の脆弱性報告 ・OryエコシステムやMinIOなど、バックエンド認証・認可基盤における致命的な欠陥 ・LangflowやMLflowなど、AI・機械学習ツールでの任意のファイル書き込みとRCEリスク ・Next.jsやSpring Boot、etcdなどの主要フレームワーク・インフラのアップデート ■ テーマ別解説 ▼ 動画プラットフォームとCMSの深刻な脆弱性 オープンソースの動画プラットフォーム「AVideo」では、非常に多くの脆弱性が公開されました。 (1) CVE-2026-33478：CloneSiteプラグインのマルチチェーン攻撃による完全なリモートコード実行（RCE）。 (2) CVE-2026-33502：内部ネットワークへのアクセスを許す認証不要のSSRF。 また、プライバシー重視のノートアプリ「SiYuan」においても、マーケットプレイス機能を通じたXSSからRCEに繋がる問題（CVE-2026-33067）や、WebSocketの認証バイパスによるDoS（CVE-2026-33203）など、多数の脆弱性が報告されています。 ▼ 認証・認可基盤のセキュリティ欠陥 ID管理基盤を提供する「Ory」のエコシステム（Keto、Hydra、Kratos）において、ページネーショントークンの暗号化不備を利用したSQLインジェクションが報告されました（CVE-2026-33505など）。 また、Parse Serverでは外部認証プロバイダのバリデーションバイパス（CVE-2026-33409）、MinIOではOIDC認証時のJWTアルゴリズムの混乱脆弱性（CVE-2026-33322）など、認証周りの致命的な欠陥が目立ちました。 ▼ AI・データ処理ツールの実行環境リスク AIアプリケーション構築ツールの「Langflow」では、V2 APIにおける任意のファイル書き込みからRCEに繋がる脆弱性（CVE-2026-33309）が修正されました。また「MLflow」では、モデル展開時に細工されたtarアーカイブによってファイルが上書きされる問題（CVE-2025-15031）が発覚しています。システムモニタリングツールの「Glances」でもコマンドインジェクションや資格情報の漏洩など多数のリスクが報告されました。 ▼ 主要フレームワークのアップデート ・Next.js（CVE-2026-29057）：リライト機能におけるHTTPリクエストスマグリング。 ・Spring Boot（CVE-2026-22733）：Actuatorエンドポイントの特定のパスにおける認証バイパス。 ・etcd（CVE-2026-33413）：ネストされたトランザクションを利用したRBAC認可バイパス。 今週は影響範囲の広いバックエンド基盤から、近年導入が進むAIツールまで、多岐にわたるアップデートがリリースされています。自社の利用技術スタックを確認し、速やかなパッチ適用をお願いします。 #セキュリティ #エンジニア #ITニュース #週まとめ #脆弱性 #サイバーセキュリティ #バックエンド #AIツール Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:04:30 #20260322 【週まとめ】動画CMSの大量脆弱性とAIツールのRCEリスク https://stand.fm/episodes/69bdf4264eff446895cad1ec https://stand.fm/episodes/69bdf4264eff446895cad1ec Sat, 21 Mar 2026 01:28:17 GMT ■ 今日のハイライト 本日は、エンタープライズ環境で広く使われているOSSの重大なセキュリティアップデートを3つピックアップして解説します。 ▼ Spring Framework と Spring Bootの複数脆弱性 ・CVE-2026-22733 / CVE-2026-22731: Actuatorにおける認証バイパス。特定の設定下で認証なしで管理用エンドポイントにアクセスされる恐れがあります。 ・CVE-2026-22735: SSEのストリーム破損による不具合。 ・CVE-2026-22737: スクリプトビューテンプレートを用いた不適切なパス制限により、ファイル内容が漏洩する危険性があります。 ▼ Kubernetes ingress-nginxでの任意コード実行 (CVE-2026-4342) インプレスコントローラにおいて、アノテーションを悪用したNginx設定のインジェクションが可能になる脆弱性です。最悪の場合、任意のコード実行やシークレット情報の漏洩につながるため、マルチテナント環境では特に警戒が必要です。 ▼ MinIOのJWTアルゴリズムの混乱 (CVE-2026-33322) S3互換ストレージのMinIOにおける、OIDC認証時の重大なバイパス脆弱性です。クライアントシークレットを知る攻撃者がトークンを偽造し、管理者権限を含む任意のS3クレデンシャルを奪取できる可能性があります。 ▼ その他の重要トピック ・【Parse Server】CVE-2026-33409: 認証バイパス ・【Vikunja】CVE-2026-29794: レートリミットバイパス ・【AVideo】多数の脆弱性 (SQLインジェクション、SSRF、IDORなど) ・【Juju】CVE-2026-32694 など権限昇格・シークレット漏洩 ・【Langflow】CVE-2026-33309: 任意ファイル書き込み(RCE) #セキュリティ #エンジニア #ITニュース #脆弱性 #Spring #Kubernetes Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:03 #20260321 緊急！SpringやK8sで重大な脆弱性 https://stand.fm/episodes/69bc7adaacd1aadf1e743d92 https://stand.fm/episodes/69bc7adaacd1aadf1e743d92 Thu, 19 Mar 2026 22:38:27 GMT ■ 今日のハイライト 本日は、開発者の間で話題のAIコーディングツール「Claude Code」や、Pythonエコシステムの人気ライブラリで発見された、非常に深刻なリモートコード実行（RCE）などの脆弱性ニュースを厳選して4つお届けします。開発インフラや本番環境の安全性を脅かす危険な内容が含まれています。 ■ ニュース詳細 ▼ 1. Claude Codeにおけるワークスペース信頼ダイアログのバイパス ・該当CVE：CVE-2026-33068 ・概要：Anthropic社のAIコーディングエージェント「Claude Code」に発見された脆弱性です。通常、新しいリポジトリを開く際は安全性を確認するダイアログが表示されます。しかし、悪意のある設定ファイル（.claude/settings.json）がリポジトリに含まれていると、ダイアログが表示される前に権限が「バイパス」に設定されてしまう問題がありました。開発者が罠の仕掛けられたリポジトリをクローンして開くだけで、システムが危険に晒される恐れがあります。AIツールを狙ったサプライチェーン攻撃のリスクを示す重要な事例です。 ▼ 2. mcp-bridgeにおける未認証のOSコマンドインジェクション ・該当CVE：CVE番号未採番（GitHub Advisory）GHSA-wvr4-3wq4-gpc5 ・概要：MCP（Model Context Protocol）を扱う「mcp-bridge」というツールにおいて、初期設定のまま（認証トークンの環境変数が未設定のまま）ネットワークに公開されていると、誰でも「/bridge」エンドポイントにアクセスできる状態になっていました。攻撃者が細工したリクエストを送信することで、サーバー上で任意のOSコマンドを実行（RCE）できてしまう非常に危険な脆弱性です。デフォルト設定のまま運用することの危険性が浮き彫りになりました。 ▼ 3. DynaconfにおけるSSTI経由のリモートコード実行 ・該当CVE：CVE-2026-33154 ・概要：Pythonの設定管理ライブラリ「Dynaconf」において、設定値にJinja2テンプレートを含める機能に問題がありました。テンプレートの評価が安全な隔離環境（サンドボックス）で行われないため、攻撃者が環境変数などを経由して悪意のあるテンプレートを注入すると、サーバー上で任意のPythonコードが実行されてしまいます。設定ファイルの入力ソースに対する検証不足が引き起こした脆弱性です。 ▼ 4. Mesopにおける未認証のリモートコード実行 ・該当CVE：CVE-2026-33057 ・概要：PythonベースのUI構築フレームワーク「Mesop」で発見された脆弱性です。テスト用のモジュールに含まれる「/exec-py」というエンドポイントが、何の認証もなしに外部からのPythonコードを受け取り、そのまま実行してしまう状態でした。テスト用コードが本番環境や公開ネットワークに露出していると、容易にシステムを乗っ取られてしまいます。テストエンドポイントの確実な無効化が必要です。 ■ まとめ 本日は開発ツールやテストコードの残留に起因する重大な脆弱性を中心にご紹介しました。開発環境や本番環境の設定を見直し、速やかにアップデートを適用してください。詳しい技術情報や対策については、必ず公式のセキュリティアドバイザリをご確認ください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #Python #AI Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:57 #20260320 Claude Code脆弱性やPython製ツールのRCE https://stand.fm/episodes/69bb2b7203722b9667205d83 https://stand.fm/episodes/69bb2b7203722b9667205d83 Wed, 18 Mar 2026 22:47:33 GMT ■ 今日のハイライト 今日は、Web開発や認証基盤で広く使われているOSSの重要セキュリティニュースを4つのトピックに分けて詳しくお届けします。 ▼ 1. ネクストジェイエス（Next.js）の複数脆弱性 大人気フレームワークのネクストジェイエスにおいて、多数の脆弱性が修正されました。 ・CVE-2026-29057：リライト機能におけるHTTPリクエストスマグリングの脆弱性。チャンクエンコーディングの処理の解釈の違いを悪用され、他者の通信に干渉される恐れがあります。 ・CVE-2026-27980：画像最適化のキャッシュが無制限に肥大化し、ディスク容量を枯渇させることによるDoS（サービス拒否）の脆弱性。 ・CVE-2026-27978：特定の条件下でOriginがnullの場合に、CSRF（クロスサイトリクエストフォージェリ）のチェックをすり抜けてしまう脆弱性。 ▼ 2. キークローク（Keycloak）のSAML関連の脆弱性 認証・認可基盤のキークロークで、SAML（サミュル）認証に関連する重要な修正が行われました。 ・CVE-2026-2575：極度に圧縮されたSAMLリクエストを受け取った際、展開時のサイズ制限が効かず、サーバーのメモリが枯渇（OutOfMemory）してしまうDoS脆弱性。 ・CVE-2026-2092 / CVE-2026-2603：署名されていないSAML応答の検証不備や、無効化されたIdP（アイデンティティプロバイダ）経由での不正なログインを許してしまう認証バイパスの脆弱性。 ▼ 3. パースサーバー（Parse Server）の深刻な脆弱性 バックエンド構築を支援するパースサーバーにおいて、セキュリティ機構を根本から揺るがす問題が報告されています。 ・CVE-2026-33042：アカウント作成時に空の認証データを送ることで、ユーザー名やパスワードなしで正規のセッションを発行できてしまう認証バイパスの脆弱性。 ・CVE-2026-32878：プロトタイプ汚染攻撃により、本来変更できないはずのデータベーススキーマ構造を書き換えられてしまう問題。 ▼ 4. スプリングエーアイ（Spring AI）のインジェクション AIモデルとの連携を容易にするスプリングエーアイのライブラリで問題が発覚しました。 ・CVE-2026-22730：マリアディービー（MariaDB）用のフィルター変換処理において入力値の無害化が不足しており、任意のSQLが実行可能になるSQLインジェクションの脆弱性。 ・CVE-2026-22729：ベクターストアへの問い合わせ処理におけるJSONPathインジェクションの脆弱性。 該当の技術スタックを利用している開発チームや運用担当者の方は、早急に利用バージョンの確認と最新版へのアップデートを実施してください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #Web開発 #Nextjs #Keycloak #Java Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:01 #20260319 Next.jsやKeycloakの深刻な脆弱性 https://stand.fm/episodes/69b9d91f59596f02c4d2dbcd https://stand.fm/episodes/69b9d91f59596f02c4d2dbcd Tue, 17 Mar 2026 22:43:50 GMT ■ 今日のハイライト 本日は、認証ライブラリ「Authlib」、人気の「Craft CMS」、そしてシステム監視ツール「Glances」などで発見された多数の深刻な脆弱性について解説します。 ▼ 1. Authlibの重大な暗号・認証バイパス脆弱性 Pythonの認証ライブラリ「Authlib」において、非常に深刻な脆弱性が複数報告されました。 ・CVE-2026-28498: OIDCハッシュバインディングにおけるフェイルオープンの問題。トークン検証が不正に成功する恐れがあります。 ・CVE-2026-28490: RSA1_5アルゴリズムにおけるBleichenbacherパディングオラクルの問題。 ・CVE-2026-27962: JWS JWKヘッダーインジェクションによる署名検証バイパス。 システムでAuthlibを利用している場合は、直ちにパッチが適用された最新バージョンへアップデートすることが強く推奨されます。 ▼ 2. Craft CMSにおける権限昇格とリモートコード実行 「Craft CMS」本体および関連プラグインにて、複数の致命的な脆弱性が修正されました。 ・CVE-2026-32267: 権限昇格の脆弱性。低権限ユーザーが管理者権限を奪取できる可能性があります。 ・CVE-2026-32264 / CVE-2026-32263: 振る舞いインジェクションの脆弱性を悪用したリモートコード実行（RCE）。 ・CVE-2026-32261: Webhooksプラグインにおけるテンプレートインジェクション（SSTI）によるRCE。 その他、AWS S3やAzure Blob Storage等のプラグインでも、未認証ユーザーにバケット情報が漏洩する脆弱性（CVE-2026-32265等）が発覚しています。 ▼ 3. システム監視ツールGlancesの多数の脆弱性 クロスプラットフォームのシステム監視ツール「Glances」において、複数のセキュリティ欠陥が明らかになりました。 ・CVE-2026-32596: デフォルトでREST APIが認証なしで公開され、システム上のプロセス引数（パスワードやAPIキー等）が漏洩する問題。 ・CVE-2026-32608: アクションコマンドテンプレート経由でのコマンドインジェクション。任意のシェルコマンドが実行される危険があります。 ・CVE-2026-32611: DuckDBエクスポートモジュールにおけるSQLインジェクション。 ▼ その他の重要トピック ・【SiYuan】CVE-2026-32767など：デスクトップおよびモバイル版におけるSQLインジェクションやリモートコード実行が多数報告。 ・【Admidio】CVE-2026-32756など：ファイルアップロードを通じたRCEやSQLインジェクションの脆弱性。 ・【Filebrowser】CVE-2026-32760：サインアップ機能有効時、設定次第で誰でも管理者アカウントを作成できてしまう問題。 ・【IncusOS】CVE-2026-32606：物理アクセスによりLUKS暗号化をバイパスできる脆弱性。 #セキュリティ #エンジニア #ITニュース #脆弱性 #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:31 #20260318 AuthlibやCraft CMSの重大な脆弱性 https://stand.fm/episodes/69b888755971c2e8376a9826 https://stand.fm/episodes/69b888755971c2e8376a9826 Mon, 16 Mar 2026 22:47:28 GMT ■ 今日の歴史解説 今日は、日本の宇宙開発の中枢を担う組織で発覚した「JAXA サイバー攻撃 (2023-2024)」を振り返ります。 日本の最先端技術が集積する機関がどのような手口で狙われ、私たちITエンジニアはそこから何を学べるのかを深掘りします。 ▼ 事件の概要と何が起きたのか 2023年秋ごろから2024年にかけて、宇宙航空研究開発機構（JAXA）のネットワークに対する大規模な不正アクセスが発覚しました。この事件の最大のポイントは以下の2つです。 (1) VPN装置の脆弱性の悪用 攻撃の入り口となったのは、外部から社内ネットワークにアクセスするためのVPN装置でした。インターネットに直接繋がっているこの機器に潜む脆弱性が突かれ、正規の認証を回避して内部への侵入を許してしまいました。 (2) アクティブディレクトリ（AD）の侵害 内部に侵入した攻撃者は、社内システムの「マスターキー」とも言えるユーザー管理サーバー（アクティブディレクトリ）を掌握した可能性が高いとされました。これにより、攻撃者は正規のユーザーになりすましてネットワーク内を自由に移動できる状態になってしまいました。 幸いにも、ロケット運用などの最重要機密は別ネットワークに分離されていたため無事でしたが、職員の個人情報や業務上のデータなどが流出する事態となりました。 ▼ 教訓：いま私たちが実務でできること このインシデントは、どんなに高度な技術を持つ組織であっても、「従来の境界防御（社内と社外を分ける壁）」だけでは防ぎきれないことを証明しました。現場のエンジニアが明日から意識すべきアクションプランを4つ紹介します。 (1) ネットワーク機器のパッチ管理の徹底 サーバーやPCのOSだけでなく、ルーターやVPN装置、ファイアウォールなどの「エッジデバイス」のファームウェア更新を最優先で行う体制を作りましょう。 (2) ゼロトラストの考え方を取り入れる 「VPNで接続しているから安全」という考え方を捨て、すべてのアクセスに対して都度認証と認可を行う仕組み（ゼロトラストアーキテクチャ）への移行を検討しましょう。 (3) 侵入前提の監視体制（ログ管理） 侵入されることを前提とし、エンドポイントの振る舞い検知（EDR）や、不審な特権アカウントの利用を早期に発見できるログ監視体制を構築することが重要です。 (4) 多要素認証（MFA）の義務化 管理者権限を持つアカウントはもちろん、社内システムへアクセスする全てのアカウントにMFAを導入し、パスワード漏洩時のリスクを最小化しましょう。 過去のインシデントを知ることは、未来の自社を守るための最も効果的なシミュレーションです。ぜひ皆さんのチームでも、この事例を共有して対策を見直してみてください！ ■ ハッシュタグ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア #サイバー攻撃 #ゼロトラスト --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:46 #20260317 【歴史解説】JAXAサイバー攻撃とVPNの罠 https://stand.fm/episodes/69b7378872030fe226ec4c91 https://stand.fm/episodes/69b7378872030fe226ec4c91 Sun, 15 Mar 2026 22:49:57 GMT ■ 今日の歴史解説 今日は、ITの歴史に残る最大規模のセキュリティインシデント「Yahoo!大規模情報漏洩 (2013-2014)」を振り返ります。 ▼ 事件の概要 2013年から2014年にかけて、アメリカのYahoo!で当時の全ユーザーにあたる約30億アカウントの個人情報が流出しました。これは歴史上、最も規模の大きいデータ漏洩事件として記録されています。しかも、事件が発覚して世間に公表されるまでには数年の歳月がかかりました。2016年、ちょうど米通信大手Verizon社がYahoo!の中核事業を買収しようとしていたタイミングでこの漏洩が発覚し、買収額が約3.5億ドル（約380億円）も減額されるという、ビジネス上にも大打撃を与えた事件です。 ▼ 何が起きたのか？ この事件は大きく2つの攻撃によって引き起こされました。 (1) 2013年の攻撃 システムの脆弱性を突かれ、名前、メールアドレス、電話番号、生年月日、ハッシュ化されたパスワード、さらには「秘密の質問とその答え」などの情報が全ユーザー分盗み出されました。 (2) 2014年の攻撃 国家支援型のハッカー集団がYahoo!の社内ネットワークに侵入。カスタマーサポート担当者などが使う「アカウント管理ツール」にアクセスし、システム内部の仕組みを解析しました。その結果、パスワードなしで任意のユーザーになりすましてログインできる「Cookie（クッキー）偽造ツール」を作り出し、自由にアカウントに侵入できる状態を作り上げました。 さらに問題だったのは、一部のパスワードが「MD5」という古くて安全ではない暗号化方式で保存されていたことです。これにより、ハッカーは容易にパスワードを解読することができてしまいました。 ▼ 現代のエンジニアに向けた実践的な教訓 この事件は、今の私たちの開発現場にも多くの教訓を残しています。 (1) 古い暗号化アルゴリズムの撲滅 パスワードの保存にMD5やSHA-1を使ってはいけません。現代の計算能力では一瞬で解読されます。必ずbcryptやArgon2などの強力なアルゴリズムを使用し、ソルト（Salt）を付与して保存しましょう。 (2) 「秘密の質問」の危険性 「母親の旧姓」などの秘密の質問は、一度漏洩すると変更が効かないため、非常に危険な静的パスワードと同じです。現代では多要素認証（MFA）を導入し、秘密の質問という仕様自体を廃止するべきです。 (3) 社内ツールの厳格なアクセス保護 ユーザー向け画面のセキュリティは固くても、「社内管理画面」のセキュリティが手薄なケースは多々あります。社内ツールが乗っ取られるとシステム全体が崩壊します。内部ツールにこそ、ゼロトラストの考え方と厳密な多要素認証・権限管理を導入することが必須です。 ▼ 最後に セキュリティの欠陥は、企業のブランドや買収額といったビジネス価値を直接的に破壊します。日々私たちが構築・運用しているシステムが、企業の命運を握っていることを再認識させてくれる歴史的なインシデントです。 ハッシュタグ： #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:50 #20260316 【歴史解説】史上最大級の漏洩！Yahoo30億件流出事件 https://stand.fm/episodes/69b63f883ad28b2f66d3fc1a https://stand.fm/episodes/69b63f883ad28b2f66d3fc1a Sun, 15 Mar 2026 05:11:50 GMT ■ 今週のセキュリティハイライト（2026年3月8日〜3月15日） 今週は300件以上の脆弱性が報告された激動の1週間となりました。AI関連プロダクトから基盤インフラ、CMS、サプライチェーン攻撃まで、幅広い分野で深刻な問題が明らかになっています。 ■ (1) AI・LLM関連の脆弱性が急増 自律型AIエージェントやLLM推論エンジンにおいて、多くの致命的な問題が報告されました。 ・OpenClaw：サンドボックス回避、認証バイパス、RCEなど多数の脆弱性 ・SGLang：Pythonのpickleデシリアライズによる未認証RCE（CVE-2026-3060, CVE-2026-3059, CVE-2026-3989） ・vLLM：SSRF保護のバイパス（CVE-2026-25960） ・MCP（Model Context Protocol）関連：Atlassian MCPでの任意のファイル書き込み（CVE-2026-27825）やSSRF（CVE-2026-27826）、Azure MCPでのSSRF（CVE-2026-26118） ■ (2) クラウド・インフラストラクチャにおける重大な欠陥 ・HashiCorp Consul：Kubernetes認証時の任意のファイル読み取り（CVE-2026-2808） ・Envoy：レートリミット処理でのクラッシュ（CVE-2026-26330）、RBACバイパス（CVE-2026-26308） ・Traefik：HTTPRouteにおけるルールインジェクション（CVE-2026-29777） ・Argo Workflows：Pod仕様の不正パッチによるセキュリティ設定のバイパス（CVE-2026-31892） ■ (3) 主要CMSやWebフレームワークでのコード実行・情報漏洩 ・Parse Server：大量のNoSQL/SQLインジェクションや認証バイパスが報告（CVE-2026-31901, CVE-2026-31840など数十件） ・Craft CMS：Twigテンプレートでのリモートコード実行（CVE-2026-31857）、Craft CommerceでのXSSやSQLi ・TinaCMS：開発サーバーでのパストラバーサルとファイル漏洩（CVE-2026-28793） ・Sylius：APIのDQLインジェクション（CVE-2026-31825） ■ (4) サプライチェーンとランタイムのリスク ・xygeni-action（GitHub Actions）：C2バックドアを含むシェルコードがタグ改ざんによって混入（CVE-2026-31976） ・.NETランタイム：DoSおよび特権昇格の脆弱性（CVE-2026-26127, CVE-2026-26130, CVE-2026-26131） ・ImageMagick：多数のヒープバッファオーバーフローなどメモリ破壊系の脆弱性 対象の技術スタックをご利用のエンジニアは、早急なアップデートと設定の見直しをお願いいたします。 #セキュリティ #エンジニア #ITニュース #脆弱性 #週まとめ #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:04:47 #20260315 【週まとめ】AI・インフラの重大リスク https://stand.fm/episodes/69b49f627f5d15b95144da4d https://stand.fm/episodes/69b49f627f5d15b95144da4d Fri, 13 Mar 2026 23:36:11 GMT ■ 今日のハイライト 本日は、開発基盤やフレームワークを脅かす、重要度の高いセキュリティニュースを解説します。ヘッドレスCMSのTinaCMSや、バックエンド開発のParse Serverなどで深刻な脆弱性が多数報告されています。 ■ 主要なニュース解説 ▼ TinaCMSにおける開発サーバーとパス操作の脆弱性 ヘッドレスCMSとして人気のTinaCMSにて、複数の深刻な問題が報告されました。 (1) CVE-2026-29066 開発サーバーの設定不備により、ファイルシステムのアクセス制限が無効化されており、非認証の攻撃者がホスト上の任意のファイルを読み取れる危険性があります。 (2) CVE-2026-28793, CVE-2026-28791, CVE-2026-24125 メディアアップロードやGraphQLの処理においてパスの検証が甘く、意図しないディレクトリのファイルを読み書き・削除できる「パストラバーサル」の脆弱性が存在します。 (3) CVE-2026-28792 開発サーバーのCORS設定が非常に緩いこととパストラバーサルが組み合わさり、罠サイトにアクセスしただけでローカルファイルが奪われる「ドライブバイ攻撃」のリスクがあります。 ▼ Parse Serverにおけるアカウント乗っ取りとSQLインジェクション BaaSとして広く利用されているParse Serverにも致命的な脆弱性が見つかりました。 (1) CVE-2026-32248 匿名認証など特定の認証プロバイダを使用している場合、細工したログインリクエストによって演算子を注入され、任意のアカウントを乗っ取られる恐れがあります。 (2) CVE-2026-32234 データベースにPostgreSQLを利用している場合、クエリ制約におけるフィールド名の処理に問題があり、マスターキーを持つ攻撃者によるSQLインジェクションが可能です。 (3) CVE-2026-32242 OAuth2アダプタが複数のプロバイダ設定をまたいで状態を共有してしまうバグがあり、同時並行のアクセス時に認証処理が混線するリスクが報告されています。 ▼ その他の重要トピック ・【Black】CVE-2026-32274：Pythonのコードフォーマッター「Black」にて、オプション値のサニタイズ漏れにより、任意の場所にキャッシュファイルを書き込まれる脆弱性。 ・【multipart】CVE-2026-28356：Pythonのmultipartライブラリにおける正規表現の処理に問題があり、悪意のあるヘッダーによりDoS攻撃（ReDoS）を受ける脆弱性。 ・【tinyauth】CVE-2026-32246：Go製の認証サーバー「tinyauth」で、パスワードさえ分かれば2要素認証をバイパスしてトークンを取得できてしまう脆弱性。 各プロジェクトでパッチがリリースされています。関連技術を利用している方は、速やかにアップデートを確認してください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #TinaCMS #ParseServer #Python Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:15 #20260314 【注意】TinaCMS等で重大な脆弱性 https://stand.fm/episodes/69b338c7b62f21da38fc38a6 https://stand.fm/episodes/69b338c7b62f21da38fc38a6 Thu, 12 Mar 2026 22:06:08 GMT ■ 今日のハイライト 今日は、ImageMagickの多数の脆弱性、.NETのDoSおよび特権昇格、SGLangのRCEなど、注目のセキュリティニュースをお届けします。 ▼ ImageMagick (Magick.NET) における大量のメモリ関連脆弱性 (CVE-2026-30937, CVE-2026-30936など数十件) 画像処理ライブラリであるImageMagick（およびMagick.NET）において、ヒープバッファオーバーフローやスタックオーバーフロー、解放後メモリ使用（Use-After-Free）など、メモリ破壊を引き起こす脆弱性が多数報告されました。 ・影響範囲：細工された画像を処理させることで、クラッシュ（DoS）や任意のコード実行に繋がる恐れがあります。 ・対策：ライブラリを最新のパッチ適用済みバージョンへアップデートすることが強く推奨されます。不要なフォーマットの処理をポリシーで制限することも有効です。 ▼ .NET Core / ASP.NET Core のDoSおよび特権昇格の脆弱性 (CVE-2026-26127, CVE-2026-26130, CVE-2026-26131) Microsoftから、.NET 8.0, 9.0, 10.0に関する複数のセキュリティアドバイザリが公開されました。 ・概要：悪意のある入力を通じてサービス拒否（DoS）を引き起こす脆弱性のほか、Linux環境下における特権昇格の脆弱性が含まれています。 ・対策：Microsoftが提供する最新の更新プログラムを適用し、アプリケーションのランタイムおよびベースコンテナイメージをアップデートしてください。 ▼ SGLang における非認証RCEの脆弱性 (CVE-2026-3060, CVE-2026-3059, CVE-2026-3989) 大規模言語モデル（LLM）向けのデプロイメント・実行フレームワークであるSGLangにおいて、致命的なリモートコード実行（RCE）の脆弱性が発見されました。 ・概要：Pythonのpickleモジュールを使用した安全でないデシリアライズが行われており、認証なしでサーバー上で任意のコードを実行される危険性があります。 ・対策：SGLangを最新バージョンに更新するとともに、信頼できないネットワークからの直接アクセスを遮断するネットワーク構成に見直してください。 ▼ その他の重要トピック ・【Backstage】CVE-2026-32237 他：プラグインにおけるSSRFやシークレット漏洩の脆弱性 ・【StudioCMS】CVE-2026-32106 他：権限昇格やIDORなどの深刻な脆弱性 ・【Tornado】CVE-2026-31958：マルチパート解析時のDoS脆弱性 #セキュリティ #エンジニア #ITニュース #脆弱性 #NET #ImageMagick #SGLang Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:38 #20260313 ImageMagickの大量脆弱性や.NETのDoS問題 https://stand.fm/episodes/69b1f0d82c62fd5e85b20f20 https://stand.fm/episodes/69b1f0d82c62fd5e85b20f20 Wed, 11 Mar 2026 22:46:59 GMT ■ 今日のハイライト 今日は非常に多くのセキュリティアドバイザリが公開されました。その中から、Webシステムやインフラで広く利用されている「Craft CMS」「Parse Server」「Envoy」に関する重要かつ深刻な脆弱性をピックアップして詳しく解説します。 ▼ Craft CMSにおけるリモートコード実行などの脆弱性 人気のヘッドレスCMSであるCraft CMSおよび拡張機能のCraft Commerceにおいて、複数の脆弱性が報告されました。 ・CVE-2026-31857：Craft CMS 5におけるリモートコード実行（RCE）の脆弱性です。条件指定システムのTwigレンダリング関数においてエスケープが無効化されており、認証された攻撃者がサーバー上で任意のコードを実行できる恐れがあります。 ・CVE-2026-31858：ブラインドSQLインジェクションの脆弱性。 ・CVE-2026-31859：反射型XSSの脆弱性。 ・その他、Craft Commerceにおいても蓄積型XSS（CVE-2026-29177等）やSQLインジェクションが多数修正されています。 ▼ Parse Serverにおける多数の深刻な脆弱性 BaaSプラットフォームのParse Serverでも、致命的な脆弱性が一斉に報告されました。 ・CVE-2026-31871 / CVE-2026-31856：PostgreSQL利用環境におけるSQLインジェクションの脆弱性。ドット記法を用いたネストされたオブジェクトの操作時に、入力値が適切にエスケープされません。 ・CVE-2026-30941：MongoDB利用環境におけるNoSQLインジェクション。パスワードリセットなどのトークンを通じて、データベースからハッシュ化されたパスワード等を抽出される可能性があります。 ・CVE-2026-30965：セッショントークンが漏洩し、アカウント乗っ取りにつながる脆弱性。 ・CVE-2026-30966：マスターキーなしで内部テーブルを書き換えられ、権限昇格が可能になる脆弱性。 ▼ EnvoyプロキシにおけるクラッシュおよびRBACバイパス クラウドネイティブ環境のプロキシサーバーとして標準的なEnvoyにも重要な脆弱性が報告されています。 ・CVE-2026-26308：RBAC（ロールベースアクセス制御）のヘッダー検証バイパス。複数の同名ヘッダーが結合される仕様を悪用し、アクセス制限を迂回される恐れがあります。 ・CVE-2026-26311：Use-After-Free（解放後使用）によるクラッシュ脆弱性。 ・CVE-2026-26330：レートリミット機能の不具合によるクラッシュ脆弱性。トラフィックの入り口となるEnvoyのダウンは、システム全体のサービス拒否（DoS）に直結します。 各種システムを運用しているエンジニアやセキュリティ担当者の方は、直ちに影響有無を確認し、パッチ適用を進めてください。詳しい脆弱性番号や影響バージョンは公式のアドバイザリをご確認ください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #インフラ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:41 #20260312 【緊急】有名CMSやEnvoyで深刻な脆弱性が多数発覚 https://stand.fm/episodes/69b09ebf8dbd0e8d37e1a544 https://stand.fm/episodes/69b09ebf8dbd0e8d37e1a544 Tue, 10 Mar 2026 22:44:22 GMT ■ 今日のハイライト 今日は、システムの根幹を揺るがす重大な脆弱性ニュースを4つのトピックに分けてお届けします。Parse ServerやOneUptimeなど、インフラやバックエンドに関わる方は必聴の内容です。 ▼ OneUptimeにおけるRCEとテナント分離バイパス OneUptime（ワンアップタイム）において、非常に深刻な脆弱性が報告されています。 (1) リモートコード実行 (CVE-2026-30957) Synthetic Monitor（外形監視）機能において、権限の低いユーザーがサーバー上で任意のコマンドを実行できる脆弱性があります。 (2) アカウント乗っ取りとテナント分離バイパス (CVE-2026-30956) クライアントから送信される特定のヘッダーをサーバーが盲目的に信頼してしまうため、他のテナントのデータを覗き見たり、アカウントを乗っ取ることが可能になっていました。 ▼ Parse Serverの複数の重大な脆弱性 モバイルやWebアプリのバックエンドとして人気のParse Server（パースサーバー）で、多数の脆弱性が修正されました。 (1) サービス運用妨害 (CVE-2026-30939, CVE-2026-30925) クラウド関数呼び出し時のプロトタイプ汚染を利用したプロセスクラッシュや、LiveQueryにおける正規表現のDoS（ReDoS）により、サーバー全体がダウンする危険があります。 (2) 認証およびアクセス制御のバイパス (CVE-2026-30863 ほか) GoogleやAppleなどのソーシャルログイン用アダプターで、設定漏れがある場合にJWTの検証が適切に行われない問題や、ファイルアクセス時の権限チェックがスキップされる問題が発見されています。 ▼ Netmakerでの特権昇格と機密情報漏洩 VPN管理ツールのNetmaker（ネットメーカー）に関する脆弱性です。 (1) 特権昇格 (CVE-2026-29195) 単なる管理者権限のユーザーが、API経由でユーザー情報を更新する際に、自分自身を最高権限の「スーパー管理者」に昇格させることができてしまう不備がありました。 (2) WireGuard秘密鍵の漏洩 (CVE-2026-29196) 一部のAPIエンドポイントが適切なフィルタリングを行わず、ネットワーク全体のVPN秘密鍵を返却してしまう問題が確認されています。 ▼ vLLMのSSRF防御バイパス AIの推論サーバーとして使われるvLLM（ブイエルエルエム）において、以前修正されたはずのSSRF（サーバーサイド・リクエスト・フォージェリ）の脆弱性が、別の手法でバイパスされてしまう問題（CVE-2026-25960）が報告されています。内部ネットワークへの不正アクセスに繋がるため、早急な対策が必要です。 詳しい影響バージョンや対策については、各公式のセキュリティアドバイザリをご確認ください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #バックエンド Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:37 #20260311 Parse Server等で多数の脆弱性発覚！今すぐ確認を https://stand.fm/episodes/69af505470f509ad3e23eaaa https://stand.fm/episodes/69af505470f509ad3e23eaaa Mon, 09 Mar 2026 22:57:34 GMT ■ 今日の歴史解説 今日は、インターネット黎明期の1999年に世界中を大パニックに陥れた「メリッサウイルス事件」について振り返ります。 ▼ 何が起きたのか？ 1999年3月、ワード文書の「マクロ機能」を悪用したウイルスが登場しました。 このウイルスに感染した文書ファイルを開いてしまうと、利用者のメールソフト（アウトルック）が裏で勝手に操作され、アドレス帳の先頭50件の連絡先に対して、ウイルス自身を添付したメールを自動送信してしまうという恐ろしいものでした。 メールの件名には「あなたからの重要なメッセージ」、本文には「頼まれていた文書です。他の人には絶対に見せないでください」といった、思わず開きたくなるような文章が書かれていました。 知人や同僚からのメールであるため、受け取った人は疑うことなくファイルを開いてしまい、そこからさらに50人に感染メールが送られるという、ネズミ算式の爆発的な拡散を引き起こしました。 ▼ 被害の実態 メリッサウイルス自体には、データを消去したり情報を盗み出したりするような悪質な破壊機能はありませんでした。 しかし、あまりにも短期間で膨大な数のメールが自動送信されたため、マイクロソフトやインテルなどを含む、世界中の企業のメールサーバーが過負荷状態（パンク状態）になり、システムがダウンしてしまいました。業務の生命線であるメール連絡がストップし、被害総額は当時の金額で約8000万ドル（約96億円）に上ったと言われています。 ▼ 今の私たちが学べる教訓 この事件から、私たちは現代の業務にも直結する以下の3つの重要な教訓を学ぶことができます。 (1) 便利な機能にはリスクが伴う マクロは業務を自動化する非常に便利な機能ですが、強力な権限を持つため、悪用されると危険な武器になります。近年猛威を振るったエモテットなどのマルウェアも、全く同じ仕組みを悪用していました。「業務に必要のない便利機能は無効化しておく」という原則が重要です。 (2) 「知人からのメール＝安全」ではない 送信元が上司や同僚、取引先であっても、添付ファイルやリンクが無条件に安全だとは限りません。「誰から来たか」で信用するのではなく、「送られてきたもの自体は安全か」を常に疑って検証するゼロトラストの視点が必要です。 (3) ひとつの対策に頼らない多層防御 ウイルス対策ソフトだけに頼るのではなく、メールの入り口でのブロック機能、パソコンの不審な動きを検知する仕組み（EDRなど）、そして何より従業員へのセキュリティ教育など、複数の壁でシステムを守る「多層防御」の考え方が不可欠です。 メリッサウイルスの事件は、システムの脆弱性だけでなく、人間の心理的な隙を突く「ソーシャルエンジニアリング」の恐ろしさを教えてくれました。過去の教訓を胸に、日々の業務でのセキュリティ意識を高めていきましょう！ ■ ハッシュタグ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア #サイバー攻撃 #メリッサウイルス --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:58 #20260310 【歴史解説】メリッサウイルス 知人のメールが招く大パニック https://stand.fm/episodes/69adfd15e5cb9fe9fa8a6d8d https://stand.fm/episodes/69adfd15e5cb9fe9fa8a6d8d Sun, 08 Mar 2026 22:50:08 GMT ■ 今日の歴史解説 今日は、2017年にアメリカで発生した歴史的なサイバーセキュリティ事件、「Equifax情報漏洩」について振り返ります。 ▼ 事件の概要 アメリカの三大信用情報機関の一つである「Equifax」から、約1億4700万人分の個人情報が流出しました。当時のアメリカの成人の半数以上が影響を受けた計算になります。 流出した情報には、名前や生年月日だけでなく、社会保障番号や一部の運転免許証番号など、一生変更することが極めて難しい「超機密情報」が含まれていました。信用情報機関という絶対的な安全が求められる組織での大事件として、世界中に衝撃を与えました。 ▼ 技術的背景 この事件の発端となったのは、ウェブアプリケーションを構築するためのフレームワーク「アパッチストラッツ2」の脆弱性でした。 2017年3月、この脆弱性が公開され、修正するためのプログラム（パッチ）も同時に提供されました。この脆弱性は、特別な設定なしにインターネット越しでシステムを乗っ取ることができる非常に危険なものでした。 しかし、Equifaxはこの修正パッチをシステムに適用していませんでした。 結果として、数ヶ月間にわたり攻撃者にシステムへ侵入され、長期間にわたってデータを盗み出されてしまいました。 ▼ なぜ防げなかったのか（3つの失敗） 単なる「パッチの当て忘れ」だけでなく、組織的・構造的な問題が被害を拡大させました。 (1) 資産管理の不備 Equifaxのシステムは巨大で複雑でした。そのため「自社のどのサーバーで、どのバージョンのアパッチストラッツが動いているのか」を正確に把握できていませんでした。社内でパッチ適用の指示は出ていたものの、漏洩の起点となったサーバーは見落とされていました。 (2) 内部ネットワークの防御不足 ウェブサーバーに侵入された後、攻撃者は内部ネットワークを比較的自由に動き回り、機密データベースへアクセスできました。システム同士を分離するネットワークの区切り（セグメンテーション）が不十分だったため、被害が拡大しました。 (3) 監視システムの停止 Equifaxは内部の怪しい通信を監視するシステムを導入していました。しかし、通信を解析するための内部証明書の有効期限が切れたまま放置されていたため、システムが長期間機能していませんでした。その結果、大量のデータが外部に送信されているという異常事態に、長期間誰も気づくことができませんでした。 ▼ 今の業務に活かす実践的教訓 この歴史的な事件から、現在の私たちがシステム開発や運用で学べることは多くあります。 ・【何を持っているかを把握する】 自社のシステムで使っているソフトウェアの部品やライブラリを正確にリスト化しましょう。守るべき対象を知らなければ、守ることはできません。 ・【パッチ管理の徹底と自動化】 緊急のパッチを素早く適用し、テストできる環境を日頃から整えておくことが重要です。 ・【侵入されることを前提とした多層防御】 入り口の防御を突破されても、重要なデータベースには到達できないようにする。権限を最小限に絞り、ネットワークを細かく分ける考え方が必要です。 ・【セキュリティツールの健全性確認】 「導入して終わり」ではありません。証明書が切れていないか、アラートが正しく通知されるかを定期的に点検・テストする運用が不可欠です。 ▼ 終わりに セキュリティの基本を怠ることが、いかに甚大な被害をもたらすかを教えてくれる事件です。明日の業務から、まずは「自分たちが使っているライブラリのバージョン確認」から始めてみてはいかがでしょうか。 #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア #ITエンジニア #情報漏洩 #脆弱性管理 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:25 #20260309 【歴史解説】1.47億人が被害！Equifax事件の教訓 https://stand.fm/episodes/69ad0d44e3984af830ff59de https://stand.fm/episodes/69ad0d44e3984af830ff59de Sun, 08 Mar 2026 05:46:53 GMT ■ 今日の歴史解説 今日は、2020年に発覚し、世界中のIT業界を震撼させた「SolarWinds サプライチェーン攻撃」を振り返ります。 アメリカの重要政府機関から名だたる巨大IT企業まで、約1万8000もの組織が被害を受けたこの事件。なぜ「最強のセキュリティ」を誇る組織たちがいとも簡単にハッキングされてしまったのか？その背後にある驚くべき手口と、現代のエンジニアが明日から業務に活かせる実践的な教訓を徹底解説します。 ▼ 事件の概要 2020年12月、ネットワーク監視ソフトウェアを提供するSolarWinds社の正規アップデートプログラムに、悪意のあるバックドアが混入していたことが発覚しました。 攻撃者は標的を直接狙うのではなく、標的が「信頼して使っているソフトウェアベンダー」を乗っ取るという、サプライチェーン（供給網）を悪用した手口を使いました。 ▼ 攻撃の巧妙な手口 ・正規の電子署名：バックドアが仕込まれたプログラムには、SolarWinds社の正規の電子署名が付与されていました。そのため、セキュリティソフトは「安全なファイル」と誤認してしまいました。 ・高度な隠密性：インストール直後にはすぐ活動せず、最長2週間は潜伏。セキュリティソフトの動作を監視し、見つからないように慎重に通信を開始するという、極めて洗練された動きを見せました。 ▼ 奇跡的な発覚の経緯 この巧妙な攻撃を見破ったのは、サイバーセキュリティ企業のFireEye社でした。 自社の従業員アカウントで「多要素認証（MFA）に新しいデバイスが登録された」というわずかな異常なログを見逃さず、執念の調査を行った結果、この世界的インシデントが明るみに出たのです。 ▼ エンジニアが学ぶべき教訓 この事件から私たちが学べるポイントは以下の4つです。 (1) 「信頼できるベンダー」を盲信しない 正規のアップデートであっても、検証環境で動作確認と通信の監視を行うプロセスが必要です。 (2) ゼロトラストの徹底 「社内ネットワークは安全」という境界防御は通用しません。すでに侵入されている前提で、最小特権の原則やシステム間通信の制限を厳格化しましょう。 (3) 異常なログを見逃さない FireEye社のように、不審な認証ログや権限変更のログなど、小さなアノマリー（異常）に気付ける監視体制とアラート設定がインシデント対応の鍵を握ります。 (4) CI/CDパイプラインの保護 開発者は、ソースコードだけでなく、ビルドサーバーやデプロイプロセスのセキュリティ（DevSecOps）を強化し、改ざんを防ぐ仕組みを構築する必要があります。 歴史を知ることで、私たちはより強固なシステムを作ることができます。今日の学びを、ぜひご自身のプロジェクトや業務のセキュリティ見直しに役立ててください！ ■ ハッシュタグ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:06 #20260308 【歴史解説】SolarWindsサプライチェーン攻撃の全貌 https://stand.fm/episodes/69acde8381e0d5498a381b92 https://stand.fm/episodes/69acde8381e0d5498a381b92 Sun, 08 Mar 2026 02:27:27 GMT 今週1週間（2026年3月1日〜3月8日）に報告された、エンジニアやセキュリティ担当者が知っておくべき重要なセキュリティニュースをわかりやすく解説します。 ■ 今週のハイライト 今週は、業務への導入が進む「AIプラットフォームやエージェントツール」において、システムの乗っ取りに繋がる深刻な脆弱性が多数報告されました。また、Rustエコシステムにおける機密情報窃取マルウェアの継続的な観測や、Pingora、Traefikといったモダンインフラを支えるプロキシサーバーの致命的な欠陥も明らかになっています。 ■ 1. AI・LLM関連プラットフォームで相次ぐ重大な脆弱性 AIのコンテキスト管理やエージェント実行を担うツールで、RCE（リモートコード実行）などの致命的な問題が相次いでいます。 ・WeKnora (CVE-2026-30861 他)：MCP stdio構成バリデーションの不備によるコマンドインジェクションや、SQLインジェクションのバイパスによるRCE、さらにはテナント間の完全なデータ分離の欠如による機密情報漏洩が報告されました。 ・OpenClaw：今週だけで数十件の脆弱性が公開されました。特に、エージェントが実行するシェルコマンドの制限（allowlist）をバイパスする手法や、ツールの実行結果に悪意あるディレクティブを埋め込んでローカルファイルを外部に流出させるサンドボックスエスケープなどが深刻です。 ・Flowise / Gradio：FlowiseではNVIDIA NIMエンドポイントの認証欠如やIDOR（CVE-2026-30823）、Gradioではproxy_urlの検証不備によるSSRF（CVE-2026-28416）など、AI開発用フレームワークの基礎的なアクセス制御の欠陥が目立ちました。 ■ 2. Rustエコシステムにおけるサプライチェーン攻撃 Rustのパッケージマネージャ（crates.io）において、開発者の「.env」ファイル（APIキーやパスワードなどの環境変数が記述されたファイル）を窃取する悪意のあるクレートが多数発見されました。 ・time-sync、dnp3times、tracing-check など、有用なライブラリの名前を少しだけ変えた「タイポスクワッティング」の手法が使われています。パッケージ導入時のスペル確認と提供元の検証を徹底してください。 ■ 3. クラウドインフラ・Webプロキシの脆弱性 クラウドネイティブ環境で広く採用されているインフラコンポーネントでも、ネットワーク層の重要なパッチがリリースされました。 ・Pingora (CVE-2026-2836, CVE-2026-2835)：Cloudflare発のRust製プロキシにおいて、不完全なキャッシュキー生成によるキャッシュポイズニングや、HTTP/1.0およびUpgradeヘッダー処理の不備によるHTTP Request Smugglingの脆弱性が修正されています。 ・Traefik / Caddy：TraefikではX-Forwardedヘッダーの保護を小文字のConnectionヘッダーでバイパスできる問題（CVE-2026-29054）やOOMを引き起こすDoS脆弱性が、Caddyでは正規表現マッチャーによるユーザー入力の二重展開（CVE-2026-30852）が確認されました。 ・CoreDNS (CVE-2026-26017)：プラグインの実行順序に起因するTOCTOU（Time-of-Check Time-of-Use）の欠陥により、ACLによるアクセス制御がバイパスされる問題が発覚しました。 ■ 4. 主要CMSやKubernetes管理基盤の脆弱性 ・Craft CMS (CVE-2026-28695)：TwigテンプレートエンジンにおけるSSTIを通じて、認証済みユーザーがリモートコード実行を行える脆弱性。 ・Rancher (CVE-2023-22648, CVE-2022-31247 等)：Kubernetes管理ツールのRancherにおいて、Azure ADでの権限変更がアクティブセッションに即座に反映されない問題や、クラスタートテンプレートの回答データに含まれる認証情報の平文保存など、複数の脆弱性情報が更新・公開されています。 ■ 総括 AIエージェントの自律的なOSコマンド実行やファイル操作の実装には、従来以上に厳格な境界防御とサンドボックス化が求められます。今週発覚した膨大な脆弱性を教訓に、AIツールを本番・社内環境へ導入する際のセキュリティレビュー体制を見直しましょう。 【ハッシュタグ】 #セキュリティ #エンジニア #ITニュース #週まとめ #サイバーセキュリティ #AI #Rust #脆弱性 #プロキシ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:04:38 #20260308 今週のまとめ：AIツールの脆弱性急増とRustマルウェア https://stand.fm/episodes/69ab7707dda37c4c7d4093eb https://stand.fm/episodes/69ab7707dda37c4c7d4093eb Sat, 07 Mar 2026 00:53:42 GMT ■ 今日のハイライト 本日は、サプライチェーン攻撃や身近なシステムの脆弱性など、4つの重要トピックをお届けします。 ▼ 1. Rustクレート「time-sync」のマルウェア混入 Rustのパッケージマネージャに登録された「time-sync」というクレートに、環境変数ファイル（.env）を窃取して外部サーバーに送信する悪意のあるコードが含まれていました。 ・影響：データベースのパスワードやAPIキーなどの機密情報の漏洩 ・対策：不正なパッケージの依存関係確認とタイポスクワッティングへの注意 ▼ 2. EC-CUBEにおけるMFAバイパスの脆弱性 国内で人気のEC構築プラットフォーム「EC-CUBE」にて、管理画面の多要素認証（MFA）を迂回できる脆弱性が発覚しました。 ・影響バージョン：4.1.0から4.3.1 ・影響：管理者のID・パスワードが漏洩している場合、2段階認証を突破され管理画面が乗っ取られる危険性 ・対策：公式の最新パッチの適用とアップデート ▼ 3. Nginx-UIの認証回避とバックアップキー漏洩（CVE-2026-27944） NginxのGUI管理ツールで、認証なしでシステムのバックアップがダウンロードできる脆弱性が見つかりました。 ・影響：バックアップの復号キーがレスポンスヘッダーで漏洩し、システム内のすべてのパスワードや設定ファイルが読み取られる ・対策：最新バージョンへのアップデートと、既存の認証情報のリセット ▼ 4. Pingoraの複数の脆弱性（CVE-2026-2833, CVE-2026-2835, CVE-2026-2836） Cloudflareが開発したRust製プロキシ「Pingora」で、リクエストスマグリングやキャッシュポイズニングの脆弱性が修正されました。 ・影響：不正なリクエストがバックエンドに送り込まれたり、キャッシュが汚染されユーザーに不正なデータが返される ・対策：Pingora 0.8.0以降へのアップデート ■ その他の脆弱性情報 ・【Plane】CVE-2026-30244：未認証でのワークスペースメンバー情報漏洩 ・【Fastify】CVE-2026-3419：Content-Typeの不正な検証 ・【MimeKit】CVE-2026-30227：SMTPコマンドインジェクション #セキュリティ #エンジニア #ITニュース #Rust #ECCUBE #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:15 #20260307 Rust悪意あるクレート＆EC-CUBE脆弱性 https://stand.fm/episodes/69aa0ba66c66906b030c404f https://stand.fm/episodes/69aa0ba66c66906b030c404f Thu, 05 Mar 2026 23:03:24 GMT ■ 今日のハイライト 今日は、開発環境やシステム運用に直結する重要なセキュリティニュースを4つピックアップしてお届けします。 ▼ ロキュータス (locutus) におけるRCE脆弱性 (CVE-2026-29091) NPMパッケージのlocutusにおいて、リモートコード実行の脆弱性が発見されました。 (1) 影響：call_user_func_array関数の実装に問題があり、任意のJavaScriptコードがインジェクションされる危険があります。 (2) 対策：利用している場合は、最新情報とパッチの適用状況を早急に確認してください。 ▼ ラスト (Rust) エコシステムにおける悪意のあるパッケージの発見 crates.ioにて、dnp3times、time_calibratorsなどの悪意あるパッケージが発見・削除されました。 (1) 概要：正規のパッケージ名を微妙にもじったタイポスクワッティング攻撃です。 (2) 影響：インストールすると、システム内の「.env」ファイルを読み取り、外部の悪意あるサーバーへ送信してしまいます。認証情報の漏洩に直結するため、タイポには十分注意してください。 ▼ ボールトワーデン (Vaultwarden) における2FAバイパス (CVE-2026-27801) Bitwarden互換サーバーであるVaultwardenのv1.34.3以前に、二要素認証をバイパスできる脆弱性が存在します。 (1) 影響：レート制限の欠陥により、認証済みのユーザー権限を奪った攻撃者が、APIキーの取得など本来2FAが必要な操作を実行できてしまいます。 (2) 対策：最新版へのアップデートを実施してください。 ▼ オープンクロー (OpenClaw) における多数の脆弱性 AIエージェントツールのOpenClawで、キャンバス認証バイパスやローカルファイル持ち出し、SSRFガードの回避など複数の脆弱性が報告されています。ワークスペースの制限を越えたアクセスが可能になるものもあり、運用には細心の注意が必要です。 ＜関連ハッシュタグ＞ #セキュリティ #エンジニア #ITニュース #Rust #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:42 #20260306 Rust悪意あるパッケージとRCEの脅威 https://stand.fm/episodes/69a8b7624cdfa8723cbd65d4 https://stand.fm/episodes/69a8b7624cdfa8723cbd65d4 Wed, 04 Mar 2026 22:51:22 GMT ■ 今日のハイライト 今日は非常にインパクトの大きいセキュリティニュースをお届けします。NPMパッケージの大規模な修正ラッシュから、著名CMSのリモートコード実行、そしてクラウド環境でのクレデンシャル漏洩まで、幅広く解説します。 ▼ 1. OpenClawの歴史的な大量パッチリリース オープンソースのAIエージェントフレームワークなどに関連するNPMパッケージ「OpenClaw」において、100件近い脆弱性が一挙に公開・修正されました。 ・影響範囲：サンドボックスのバイパス、各種プラグイン（Discord、Telegram等）での認証回避、シェルラッパーの引数解釈の不備によるコマンドインジェクションなど。 ・特筆すべき点として、エンコードされたパス（..%2fなど）によるAPIのアクセス制御回避や、Windowsのタスクスケジューラ生成時のエスケープ漏れなど、あらゆるレイヤーで致命的なバグが発見されています。利用している方は必ず最新版へのアップデートを行ってください。 ▼ 2. Craft CMSとGhostにおける深刻なリモートコード実行 Webサイト構築基盤として人気の高い2つのCMSで、任意のコードが実行されてしまう深刻な脆弱性が報告されました。 ・Craft CMS（CVE-2026-28695 / CVE-2026-28784）：Twigテンプレートエンジンを悪用したサーバーサイドテンプレートインジェクション（SSTI）の脆弱性です。特にCVE-2026-28695は過去のパッチを回避する新たな手法で、特定の関数とガジェットチェーンを組み合わせることでRCEが可能になります。 ・Ghost：悪意のあるテーマをインストールすることで、サーバー上で任意のコードが実行される問題が修正されました。 ▼ 3. Rancher Backup OperatorからのS3トークン漏洩 ・CVE-2025-62879：Kubernetes環境で利用されるバックアップツールにおいて、S3バケットへのアクセスキーとシークレットキーが、ポッドの標準ログにそのまま出力されてしまう脆弱性です。ログを外部システムに転送している場合は、すでに認証情報が広範囲に漏洩している可能性があるため、直ちにキーのローテーションが必要です。 ▼ 4. 機械学習系ライブラリBentoMLの脆弱性 ・CVE-2026-27905：機械学習モデルのパッケージングツールであるBentoMLにおいて、Tarファイルの展開時にシンボリックリンクのリンク先を適切に検証していないパストラバーサルの脆弱性が発見されました。これにより、システム上の任意の場所にファイルを上書きされる危険性があります。 【重要な対策】 今回紹介した脆弱性は、システムを完全に掌握されたり、機密情報がごっそり抜けたりする深刻なものばかりです。該当するシステムをご利用の場合は、公式のアドバイザリを確認し、速やかにアップデートを実施してください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:27 #20260305 OpenClaw大量修正とCraftCMS等のRCE解説 https://stand.fm/episodes/69a7698a1208650da42df044 https://stand.fm/episodes/69a7698a1208650da42df044 Tue, 03 Mar 2026 23:06:58 GMT ■ 今日のハイライト 今日は、特定のオープンソースプロジェクトで大量に報告された脆弱性のニュースを中心にお届けします。 ▼ OpenClawにおける多数の深刻な脆弱性 AIエージェントフレームワークのOpenClawにおいて、数十件に及ぶ脆弱性が一挙に公開されました。 (1) リモートコード実行（RCE） ゲートウェイを経由したノードの承認フローをバイパスし、任意のコードが実行される危険性があります。 (2) サンドボックス回避 Dockerネットワークの設定不備を突き、隔離された環境から抜け出す脆弱性が発見されました。 (3) パストラバーサルやSSRFなど アーカイブ展開時のディレクトリトラバーサル（Zip Slip）や、内部ネットワークへの攻撃を可能にする脆弱性が多数報告されています。対象バージョンを使用している場合は即座にアップデートが必要です。 ▼ NocoDBにおける複数のセキュリティ欠陥 ノーコードデータベースのNocoDBでも、複数の脆弱性が報告されています。 ・CVE-2026-28360：共有ビューのパスワードがデータベースに平文で保存されている問題 ・CVE-2026-28359 / CVE-2026-28357：リッチテキストや数式セルを通じた格納型XSS ・CVE-2026-28396：パスワードリセット時にリフレッシュトークンが無効化されない問題 アカウント乗っ取りやデータ改ざんにつながる致命的な問題が含まれています。 ▼ Rustパッケージのタイポスクワッティング攻撃 Rustのパッケージマネージャーであるcrates.ioにて、「tracing-check」という悪意のあるクレートが削除されました。これは人気パッケージの名前をわずかに変更して誤認させるタイポスクワッティング攻撃であり、認証情報の窃取を目的としたサプライチェーン攻撃の一種です。 詳しい脆弱性番号や影響するバージョンについては、各公式のセキュリティアドバイザリをご確認ください。 #セキュリティ #エンジニア #ITニュース #OpenClaw #NocoDB #Rust Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:27 #20260304 OpenClawの大量脆弱性とNocoDBの欠陥 https://stand.fm/episodes/69a61094ef3b0bcc0e45e57a https://stand.fm/episodes/69a61094ef3b0bcc0e45e57a Mon, 02 Mar 2026 22:35:12 GMT ■ 今日のハイライト おはようございます。今回は、Node.jsのエコシステムにおいて非常に人気の高いWebフレームワーク「NestJS」と「Fastify」の組み合わせで発見された、深刻なミドルウェアバイパスの脆弱性について詳しく解説します。Webアプリケーションの開発に携わるエンジニアの皆様は必聴の内容です。 ▼ CVE-2026-2293：NestJSにおけるFastifyミドルウェアバイパスの脆弱性 【概要】 GitHub Advisory Databaseにて報告されたこの脆弱性は、NestJSアプリケーションにおいてFastifyプラットフォームアダプター（@nestjs/platform-fastify）を使用している環境で発生します。Fastifyの特定のパス正規化オプションを有効にしている場合、攻撃者が認証や認可などを担うミドルウェアを不正にスキップして、アプリケーション内部にアクセスできてしまうという非常に危険なものです。 【技術的な仕組み】 NestJSは、内部のHTTPサーバーとして標準のExpressの代わりに、より高速なFastifyを選択することができます。この際に使われるのが@nestjs/platform-fastifyです。 Fastifyには、URLの末尾のスラッシュを無視する（ignoreTrailingSlash）、連続するスラッシュを1つにまとめる（ignoreDuplicateSlashes）、セミコロンを区切り文字として使う（useSemicolonDelimiter）といった、便利なパス正規化機能が備わっています。 しかし、これらのオプションが有効になっている状態で、攻撃者が特殊なURLエンコーディング（URLの文字をパーセント記号と英数字に変換する手法）を施した悪意のあるリクエストを送信すると問題が発生します。システム側でURLの解釈にズレが生じ、セキュリティチェックを行うためのミドルウェアの実行条件からは外れるものの、最終的な処理を行うコントローラーにはリクエストが届いてしまうという事態に陥ります。 【影響とリスク】 この脆弱性の最大のリスクは、認証やアクセス制御のバイパスです。本来であればログインしていないと見られないユーザー情報や、管理者しか操作できないデータの削除APIなどが、誰でも実行可能な状態になってしまう恐れがあります。また、入力値のチェックを行うミドルウェアが回避されると、不正なデータがデータベースに送り込まれ、システム全体の破壊や情報漏えいにつながる危険性もあります。 【対策方法】 (1) 修正版パッケージへのアップデート 最も確実な対策は、@nestjs/platform-fastifyを含む関連パッケージを、脆弱性が修正された最新のパッチバージョンにアップデートすることです。アップデート後には、APIの挙動に問題がないか必ずテストを行ってください。 (2) パス正規化オプションの一時的な無効化 すぐにアップデートできない場合の応急処置として、Fastifyの設定で ignoreTrailingSlash や ignoreDuplicateSlashes などのオプションを無効化（falseに設定）することが考えられます。ただし、この対応により一部の正しいアクセスがエラーになってしまう可能性があるため、十分な影響調査が必要です。 (3) WAFによる不正アクセスの遮断 前段のWAF（ウェブアプリケーションファイアウォール）で、不自然なURLエンコーディングが含まれるリクエストをブロックするルールを追加することも有効な多層防御となります。 便利な機能の裏には、思わぬセキュリティの落とし穴が潜んでいることがあります。フレームワークの設定はデフォルトに頼らず、セキュリティのリスクを考慮した上で適切に行うよう心がけましょう。 #セキュリティ #エンジニア #ITニュース #脆弱性 #NestJS #Nodejs Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:53 #20260303 認証をすり抜ける？NestJSの重大な脆弱性 https://stand.fm/episodes/69a4bf265b07cfdea76faf08 https://stand.fm/episodes/69a4bf265b07cfdea76faf08 Sun, 01 Mar 2026 22:35:28 GMT ■ 今日のハイライト 本日は、機械学習アプリ開発でおなじみの「Gradio」や、人気CMSの「Statamic」、Node.js環境の「Multer」などで発見された複数の重要なセキュリティニュースをお届けします。 ▼ Gradioにおける複数の脆弱性 Pythonで簡単にWebインターフェースを作れるGradioに、複数の深刻な問題が報告されました。 ・【CVE-2026-28416】SSRFの脆弱性 外部スペースを読み込む機能において、悪意のあるURLを注入されることで、サーバーを踏み台にしたリクエスト送信（SSRF）を許す可能性があります。 ・【CVE-2026-28415】オープンリダイレクトの脆弱性 OAuth連携のフローにおいて、ユーザーを意図しない外部の悪意あるサイトへ誘導される恐れがあります。 ・【CVE-2026-28414】絶対パストラバーサル（Windows/Python3.13+） Windows上でPython3.13以上を利用している場合、システム上の任意のファイルを読み取られる危険性があります。 ・【CVE-2026-27167】モックOAuthによる認証情報の漏洩 ▼ Statamic CMSの重大な脆弱性群 LaravelベースのCMSであるStatamicでは、システムの完全な侵害につながる脆弱性が発見され、バージョン5.73.11および6.4.0で修正されています。 ・【CVE-2026-28425】リモートコード実行 (RCE) ・【CVE-2026-28426】保存型クロスサイトスクリプティング (XSS) ・【CVE-2026-28423】Glide経由のSSRF ・【CVE-2026-28424】メールアドレスの情報漏洩 ▼ Node.jsミドルウェア Multerの脆弱性 ファイルアップロード処理で広く使われるMulterに、サービス拒否（DoS）につながる脆弱性が報告されています。バージョン2.1.0へのアップデートが推奨されます。 ・【CVE-2026-3304】不完全なクリーンアップによるDoS ・【CVE-2026-2359】リソース枯渇によるDoS ▼ その他の重要トピック ・【CVE-2026-28406】Kanikoにおけるパストラバーサル 各ツールのユーザーは、影響範囲の確認と最新版へのアップデートを急いでください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #Gradio #Nodejs Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:35 #20260302 緊急！GradioやCMSに深刻な脆弱性 https://stand.fm/episodes/69a3924f24e51a5695517d38 https://stand.fm/episodes/69a3924f24e51a5695517d38 Sun, 01 Mar 2026 01:11:54 GMT 今週1週間（2026年2月22日〜3月1日）の重要なセキュリティニュースをまとめて解説します。ワークフロー自動化ツールやAIツールでのリモートコード実行（RCE）、有名画像処理ライブラリの大量のメモリ破損、そしてWebサーバーのルーティングバイパスなど、非常にクリティカルな脆弱性が多数報告された1週間でした。 通勤時間や作業の合間に、ぜひ今週のトレンドをキャッチアップしてください。 ■ 1. ワークフロー自動化ツール「n8n」における多数の致命的な脆弱性 今週最も衝撃的だったのは、OSSのワークフロー自動化プラットフォーム「n8n」で報告された大量の脆弱性です。 ・SandboxエスケープによるRCE（CVE-2026-27495, CVE-2026-27494, CVE-2026-27577） ・SQLインジェクションやマージノードを悪用したRCE（CVE-2026-27497, CVE-2026-27498, CVE-2026-27578） ・Webhookの署名検証不備による偽装 ワークフローの作成権限を持つユーザーが、バックエンドのサーバーを完全に掌握できる状態になっていました。各種APIクレデンシャルが集まるシステムなだけに、早急なアップデートが必要です。 ■ 2. ImageMagickにおける大量のメモリ破損脆弱性 画像処理のデファクトスタンダードである「ImageMagick」で、多数のバッファオーバーフローやメモリリークが修正されました。 ・SVGやPSDなどのデコーダーにおけるInteger OverflowやOut of Bounds Read（CVE-2026-25987, CVE-2026-25984 等） ・セキュリティポリシーのバイパス（CVE-2026-25966, CVE-2026-25965） ユーザーからの画像アップロードを受け付けているサービスは、DoS攻撃や情報漏洩のリスクが高まるため要注意です。 ■ 3. Webサーバー・フレームワークにおけるルーティングバイパスとSSRF ・Caddyのアクセス制御バイパス：ホストリストが100件を超えたり、URLにパーセントエンコードが含まれたりすると、大文字小文字の区別や正規化が狂い、意図せずアクセス制御をすり抜けられる問題（CVE-2026-27588, CVE-2026-27587）。 ・GoFiberのトラバーサルとDoS：Windows環境での任意ファイル読み取り（CVE-2026-25891）やCookieによるメモリ枯渇（CVE-2026-25899）。 ・AstroのSSRF：エラーページレンダリング時のHostヘッダーインジェクションによるSSRF（CVE-2026-25545）。 ■ 4. AI・LLM関連ツールにおけるRCEとSSRF ・LangflowのCSV AgentにおけるRCE：危険なコード実行フラグがデフォルトで有効になっており、プロンプトインジェクションでOSコマンドが実行可能（CVE-2026-27966）。 ・LangGraphとLangChain：キャッシュ機構を通じたRCE（CVE-2026-27794）や、リダイレクト追跡を悪用したSSRF（CVE-2026-27795）。 ■ 5. インフラ・データベース管理ツールの脆弱性 ・Vitess：バックアップデータの改ざんによる本番環境へのRCE（CVE-2026-27965）。 ・Apache Airflow：DAG作成権限を持つユーザーによるWebサーバーコンテキストでのRCE（CVE-2024-56373）。 自社のシステムに該当するツールがないか、ぜひ確認してみてください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #週まとめ #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:36 #20260301 【週まとめ】自動化ツールやAIでRCEの嵐！ https://stand.fm/episodes/69a2bf79a314e5967fc1531a https://stand.fm/episodes/69a2bf79a314e5967fc1531a Sat, 28 Feb 2026 10:12:17 GMT ■ 今日の歴史解説 今日は、2021年の年末に世界中のITエンジニアを震撼させた脆弱性「Log4Shell（ログフォーシェル）」の事件を振り返ります。 ▼ 事件の概要 2021年12月、Java言語で開発されたアプリケーションにおいて、ログを出力するための標準的なライブラリ「Apache Log4j」に、極めて重大な脆弱性（CVE-2021-44228）が発見されました。 この脆弱性の深刻度を示すCVSSスコアは、10段階中で最高水準の「10.0（緊急）」。認証をすり抜けて、攻撃者が遠隔からサーバーを乗っ取ることができる「リモートコード実行（RCE）」の脆弱性でした。 Apple、Amazon、Twitterなどの巨大IT企業も影響を受け、世界中のサーバー管理者が週末を返上して対応に追われました。 ▼ なぜ起きたのか（技術的背景） 原因は、Log4jに組み込まれていた「JNDIルックアップ」という機能にありました。これは、ログに出力されるテキストの中に特定の文字列が含まれていた場合、外部のサーバーに問い合わせて情報を取得し、ログに展開する機能です。 攻撃者は、Webサイトの入力フォームや通信ヘッダーの中に、悪意のあるサーバーへ誘導する特殊な命令文を仕込みました。 システムがそれを「単なるログの記録」として保存しようとすると、Log4jが自動的にその命令文を読み解き、攻撃者の用意したプログラムをダウンロードして実行してしまうという仕組みでした。入力欄に文字列を打ち込むだけで攻撃が成立する、非常に恐ろしい仕様の穴でした。 ▼ 企業への影響と混乱 この事件が厄介だったのは「間接的な依存関係」です。 自分たちで直接Log4jをインストールした覚えがなくても、自社で使っている別のソフトウェアやライブラリが、その裏側で密かにLog4jを使っているケースが多発しました。 そのため、「自社のシステムに脆弱性が潜んでいるかどうかの調査」自体が極めて困難を極めたのです。 ▼ 今のエンジニアが学ぶべき教訓 この歴史的インシデントから、私たちが今の業務に活かせる教訓は以下の3つです。 (1) ソフトウェア部品表（SBOM）の導入 自分たちが開発・運用しているシステムが、どのような外部ライブラリの組み合わせでできているのかを一覧化し、常に把握しておくことが重要です。いざという時の初動スピードが全く変わります。 (2) 外部入力値の無条件な信頼をしない ユーザーが入力したテキストや通信データをそのままログに出力する行為にはリスクが伴います。入力されたデータを評価・実行しないような安全な設定や無害化が必要です。 (3) アウトバウンド通信の制限（多層防御） サーバーが外部のインターネットへ勝手に通信できないようにネットワーク側で制限をかけておけば、今回のように外部から不正なプログラムをダウンロードさせられる被害を防ぐことができました。アプリケーション内部だけでなく、インフラ層も含めた防御が重要です。 #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:52 【歴史解説】世界を揺るがしたLog4Shell事件 https://stand.fm/episodes/69a2896b24e51a5695516ea5 https://stand.fm/episodes/69a2896b24e51a5695516ea5 Sat, 28 Feb 2026 06:21:41 GMT ■ 今日の歴史解説 今日は、2000年に世界中をパニックに陥れた「ILOVEYOU ウイルス」を振り返ります。技術的には単純な仕組みでありながら、なぜこれほど被害が拡大したのか？そこには現代にも通じる重要な教訓があります。 ▼ 何が起きた？ ・2000年5月、フィリピン発のメールワームが発生 ・件名「ILOVEYOU」、添付ファイルを開くと感染 ・Outlookのアドレス帳にある全員へ自動拡散 ・被害総額は数十億ドル、CIAや国防総省もメール遮断 ▼ 技術的なポイント (1) VBScript (ブイビースクリプト) の悪用 Windows標準のスクリプト機能を使い、ファイル破壊やメール送信を実行しました。 (2) 拡張子の偽装トリック 「.txt.vbs」という二重拡張子を使用。当時のWindows設定では末尾の「.vbs」が隠れ、ただのテキストファイルに見える罠が仕掛けられていました。 (3) ソーシャルエンジニアリング 「愛の告白」という件名で人の心を揺さぶり、クリックさせる心理的な攻撃手法が使われました。 ▼ エンジニアへの教訓 ・「拡張子を表示しない」デフォルト設定の危険性 ・不要なスクリプト実行環境は無効化する（最小特権） ・「人はミスをする」前提でのシステム設計（EDR等の導入） 歴史を知ることは、未来の防御につながります。今日の業務でも、不審なファイルやデフォルト設定には気をつけましょう！ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:10 【歴史解説】愛の告白が世界を破壊？ILOVEYOU事件 https://stand.fm/episodes/69a2634d340418c80e644a2f https://stand.fm/episodes/69a2634d340418c80e644a2f Sat, 28 Feb 2026 03:39:02 GMT ■ 今日のハイライト 2026年2月28日、土曜日のセキュリティニュースです。 データベース、自動化ツール、Webフレームワークと幅広い分野で脆弱性が報告されています。 ▼ Vitess：バックアップ改ざんによるRCE ・識別子：CVE-2026-27965 ・概要：バックアップストレージへのアクセス権を持つユーザーが、マニフェストを操作してリストア時に任意コード実行が可能になる脆弱性。 ▼ n8n：Webhook偽造と認証バイパス ・Zendesk/GitHub Triggerでの署名検証不備 ・Chat Triggerでの認証回避 ・SSO強制設定のバイパス ※複数のCVEが報告されており、最新版への更新が推奨されます。 ▼ Webフレームワークの脆弱性 (1) Koa (CVE-2026-27959) ・Hostヘッダーインジェクションの脆弱性。 (2) Svelte (CVE-2026-27901, 27902) ・SSR時におけるXSS脆弱性。 ▼ その他のトピック ・Kubernetes Sealed Secretsのスコープ拡大問題 ・Fleet（MDM）におけるGoogleカレンダー認証情報の露出 #セキュリティ #エンジニア #ITニュース #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:18 #20260228 VitessのRCEとn8nの認証回避 https://stand.fm/episodes/69a0cb46ac17d5a88e80daaa https://stand.fm/episodes/69a0cb46ac17d5a88e80daaa Thu, 26 Feb 2026 22:38:42 GMT ■ 今日のハイライト 本日は、認証基盤やAI開発ライブラリに関する緊急性の高いセキュリティニュースをお届けします。 ▼ CVE-2026-27804：Parse Serverのアカウント乗っ取り Google認証を利用しているParse Server環境において、JWTのアルゴリズム混同攻撃により、認証なしで任意のユーザーになりすまし可能な脆弱性が発覚しました。 ・影響：Google認証を有効にしている全環境 ・対策：パッチ適用済みバージョンへの更新 ▼ CVE-2026-27795 / 27794：LangChainエコシステムの脆弱性 AI開発で人気のLangChainおよびLangGraphに脆弱性です。 (1) LangChain Community：リダイレクト処理を悪用したSSRFにより、内部ネットワークへのアクセスが可能。 (2) LangGraph：キャッシュ処理におけるデシリアライズ不備により、リモートコード実行(RCE)のリスク。 ▼ n8nにおける複数のRCE脆弱性 ワークフロー自動化ツールn8nにて、サンドボックス回避によるコード実行の脆弱性が複数報告されています（CVE-2026-27577等）。権限を持つユーザーが悪意のあるワークフローを作成することでサーバーの制御を奪われる可能性があります。 #セキュリティ #エンジニア #ITニュース #ParseServer #LangChain #n8n Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:10 #20260227 Parse Server乗っ取り危機とAIライブラリの脆弱性 https://stand.fm/episodes/699f7ba0e8fffbd2172a0d73 https://stand.fm/episodes/699f7ba0e8fffbd2172a0d73 Wed, 25 Feb 2026 22:46:02 GMT ■ 今日のハイライト 今日はインフラエンジニア必須の重要アップデート情報をお届けします。 ▼ CVE-2026-27586：Caddy WebサーバーのmTLS認証回避 人気のWebサーバー「Caddy」で、CA証明書の設定不備がある場合に認証が「素通り」してしまう（Fail Open）深刻な脆弱性が発見されました。また、管理APIの設定書き換え脆弱性（CVE-2026-27589）も報告されています。 ・影響：認証の無効化、設定の乗っ取り ・対策：最新版への即時アップデート、設定ファイルの権限確認 ▼ CVE-2026-25985他：ImageMagickの脆弱性ラッシュ 画像処理ライブラリでバッファオーバーフローやメモリリーク、DoS攻撃につながる脆弱性が20件以上報告されました。 ・Magick.NETを含む関連ライブラリの更新が必要です。 ▼ その他のトピック ・【Go Fiber】CVE-2026-25899：クッキー処理によるメモリ枯渇DoS ・【Dagu】CVE-2026-27598：パストラバーサルによる任意ファイル書き込み #セキュリティ #エンジニア #ITニュース #Caddy #ImageMagick #GoLang Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:38 #20260226 Caddy認証回避とImageMagick大量修正 https://stand.fm/episodes/699e24668bdc542dc9a8ff0c https://stand.fm/episodes/699e24668bdc542dc9a8ff0c Tue, 24 Feb 2026 22:21:34 GMT ■ 今日のハイライト 2026年2月25日、本日はWeb開発者やツール利用者に影響の大きい脆弱性情報をお届けします。特にCraft CMSでの高度な攻撃手法と、yt-dlpでのコマンド実行リスクに注目です。 ▼ Craft CMS：複数の脆弱性 Webサイト構築で人気のCraft CMSに3つの脆弱性が報告されました。 (1) CVE-2026-27128：トークン使用制限の回避 競合状態（Race Condition）を利用し、チェック処理と更新処理の間の隙を突くことで、制限以上のトークン使用が可能になるTOCTOU脆弱性です。 (2) CVE-2026-27127：DNSリバインディングによるSSRF回避 GraphQLのアセット処理において、検証時と取得時のDNS解決のタイミング差を悪用され、内部ネットワークへアクセスされる危険性があります。 (3) CVE-2026-27126：Stored XSS HTMLカラムタイプを使用するテーブルフィールドにおいて、サニタイズ不備によるXSSが可能です。 ▼ yt-dlp：任意のコマンド実行 ・CVE-2026-26331 動画ダウンローダー「yt-dlp」にて、--netrc-cmdオプション使用時に、細工されたURLを処理することで任意のコマンドが実行される恐れがあります。自動化スクリプトなどでこのツールを使っている場合は要注意です。 ▼ その他の重要トピック ・【Astro】CVE-2026-25545：エラーページ生成時、Hostヘッダーインジェクションにより内部リソースへアクセスされるSSRFの脆弱性。 ・【Ormar】CVE-2026-26198：Python製ORMにて、min()やmax()関数使用時にSQLインジェクションが可能。 ・【New API】CVE-2026-25802 / 25591：MarkdownレンダラーでのXSSおよびトークン検索でのDoS脆弱性。 #セキュリティ #エンジニア #ITニュース #脆弱性 #CraftCMS #ytdlp Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:14 #20260225 Craft CMSとyt-dlpの重大な脆弱性に注意！ https://stand.fm/episodes/699cd95202f713695b79517f https://stand.fm/episodes/699cd95202f713695b79517f Mon, 23 Feb 2026 22:49:04 GMT ■ 今日の歴史解説 今日は「NotPetya (2017)」を振り返ります。 ▼ 何が起きた？ ウクライナの会計ソフト経由で拡散。世界で100億ドル（約1兆円以上）の被害を出した、史上最も破壊的なサイバー攻撃と呼ばれるインシデントです。 ▼ ここがポイント (1) サプライチェーン攻撃 正規のソフトウェアアップデートを悪用して侵入しました。 (2) 凶悪な拡散力 「EternalBlue」という脆弱性攻撃ツールと、認証情報を盗む機能を組み合わせ、ネットワーク内で爆発的に感染しました。 (3) 実はランサムウェアではない 金銭要求画面が出ましたが、実態はデータを破壊するだけの「ワイパー」でした。 ▼ エンジニアへの教訓 ・ネットワーク内部の分割（セグメンテーション）が重要 ・パッチ適用はスピード勝負 ・バックアップは必ず「オフライン」にも持つこと ■ 配信について ITセキュリティの歴史的事件から、現代に通じる知識を毎朝3分で解説しています。 #セキュリティ #歴史に学ぶ #インシデント #NotPetya #エンジニア #サイバー攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:00 【歴史解説】世界で1兆円被害！NotPetyaの衝撃 https://stand.fm/episodes/699bbc2ee555cd5c53f7e528 https://stand.fm/episodes/699bbc2ee555cd5c53f7e528 Mon, 23 Feb 2026 02:32:26 GMT ■ 今日の歴史解説 今日のテーマは「Emotet（エモテット）テイクダウンと復活 (2021-2022)」です。 世界最凶と呼ばれたマルウェアが、国際的な警察の捜査で一度は壊滅しながらも、なぜゾンビのように蘇ったのか。その経緯と、私たちがそこから学ぶべき教訓を解説します。 ▼ エピソードのポイント ・2021年1月、国際作戦「オペレーション・レディバード」による劇的な壊滅 ・そのわずか10ヶ月後、別のボットネット経由での復活劇 ・「MaaS（マルウェア・アズ・ア・サービス）」というビジネスモデルの脅威 ・PPAP（パスワード付きZIP）が悪用された背景 ▼ エンジニアが学ぶべき教訓 (1) 攻撃インフラは「持ちつ持たれつ」のエコシステムである (2) エンドポイント防御とマクロ制御の重要性 (3) 「いたちごっこ」を前提とした多層防御の思考 ▼ パーソナリティ セキュア（ITセキュリティ解説者） #セキュリティ #歴史に学ぶ #Emotet #インシデント #エンジニア #教訓 #サイバー攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:24 【歴史解説】Emotet壊滅と復活：不死身の脅威から学ぶ https://stand.fm/episodes/699a6502e555cd5c53f7d14b https://stand.fm/episodes/699a6502e555cd5c53f7d14b Sun, 22 Feb 2026 02:08:18 GMT 今週（2026/2/15〜2/22）のセキュリティニュースを3分で振り返り！急速に普及するAIツールや、企業インフラの要となるNAS製品に重大な脆弱性が相次ぎました。 【今週のハイライト】 ■ AIエージェント・開発基盤の落とし穴 ・OpenClaw：Webフック認証回避やコンテナエスケープなど、20件以上の修正 (CVE-2026-27488, CVE-2026-27002 他) ・Google Cloud Vertex AI：XSSおよびRCEの可能性 (CVE-2026-2472, CVE-2026-2473) ■ インフラ・ストレージの危機 ・QNAP NAS：Qsync CentralやFile Station 5でのコマンドインジェクション、バッファオーバーフローなど多数の修正 ・Fortinet：FortiOS、FortiClientでの脆弱性修正 ■ 開発環境（CI/CD）のセキュリティ ・Jenkins：情報漏洩およびXSS脆弱性 (CVE-2026-27100, CVE-2026-27099) ・GitLab：複数のXSS、CSRF、認証バイパスの修正 ■ Apple製品の一斉アップデート ・macOS/iOS：カーネル、WebKit等の権限昇格・サンドボックス回避の修正 【一言メモ】 AIエージェントは便利ですが、ローカルファイルへのアクセス権限など、セキュリティ設定には十分な注意が必要です。また、NAS製品はランサムウェアの標的になりやすいため、アップデートは最優先で行いましょう。 #セキュリティ #エンジニア #ITニュース #週まとめ #脆弱性 #AI #QNAP Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:53 #20260222 AIエージェントとNASの脆弱性に注意！今週のまとめ https://stand.fm/episodes/6999409c700d9f6d4bfb67ed https://stand.fm/episodes/6999409c700d9f6d4bfb67ed Sat, 21 Feb 2026 05:20:38 GMT ■ 今日のハイライト 今日は開発者ツールやAIライブラリに関する緊急性の高いセキュリティニュースを3点ピックアップしてお届けします。 ▼ Dagu：デフォルト設定で認証なしRCE Go言語製ワークフローエンジン「Dagu」において、デフォルト設定のままAPIを使用すると、認証なしで任意のコマンドが実行可能な状態であることが判明しました。 ・影響：サーバーの完全な乗っ取り ・対策：認証の有効化、ネットワーク制限 ▼ NPMパッケージ「cline」への悪意あるコード混入 NPMパッケージ「cline」のバージョン2.3.0に、侵害されたトークン経由で悪意あるpostinstallスクリプトが含まれていたことが報告されました。 ・影響：データ流出の恐れ ・対策：当該バージョンの削除と調査 ▼ Microsoft Semantic Kernel (Python) の脆弱性 識別子：CVE-2026-26030 MicrosoftのAIライブラリのInMemoryVectorStoreフィルタ機能にRCE脆弱性が発見されました。 ・対象：Python SDK ・対策：v1.39.4以上へ更新 ▼ その他のトピック ・【bn.js】CVE-2026-2739：無限ループによるDoS ・【SvelteKit】：リモートフォーム処理時のCPU/メモリ枯渇 #セキュリティ #エンジニア #ITニュース #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:10 #20260221 DaguでRCE、Cline汚染、MS製AIライブラリの脆弱 https://stand.fm/episodes/69984cf6399d44e8398da6b9 https://stand.fm/episodes/69984cf6399d44e8398da6b9 Fri, 20 Feb 2026 12:01:08 GMT ■ 今日の用語解説 今日は「EDR (Endpoint Detection and Response)」について解説します。 ▼ EDRとは？ PCやサーバーなどの「エンドポイント」における脅威の検知と事後対応を支援する仕組みです。 ・従来のアンチウイルス(EPP)が「侵入を防ぐ」ものなら ・EDRは「侵入された後に素早く見つけて対処する」ものです。 ▼ なぜ重要なのか？ (1) マルウェアの高度化（すり抜けの増加） (2) テレワークによる境界防御の限界 (3) 被害拡大を防止するための「早期発見」の重要性 ▼ 主な機能 ・常時監視とログ収集 ・不審な挙動の検知（振る舞い検知） ・感染端末のネットワーク隔離などの対応 EPP（予防）とEDR（事後対応）を組み合わせた多層防御が、現代のセキュリティの基本です。 #セキュリティ #用語解説 #学習 #エンジニア #EDR(EndpointDetectionandResponse) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:40 【用語解説】EDRとは？侵入後の対策の切り札 https://stand.fm/episodes/69984a0a149797adaeda8c1e https://stand.fm/episodes/69984a0a149797adaeda8c1e Fri, 20 Feb 2026 11:48:33 GMT ■ 今日の用語解説 今日は「多要素認証 (MFA)」について解説します。 ▼ 多要素認証 (MFA) とは？ アクセス時に「知識」「所持」「生体」という3つの要素のうち、2つ以上を組み合わせて本人確認を行う仕組みです。 ▼ 認証の3要素 (1) 知識情報 (Knowledge)：パスワードなど「知っていること」 (2) 所持情報 (Possession)：スマホやトークンなど「持っているもの」 (3) 生体情報 (Inherence)：指紋や顔など「自分自身」 ▼ なぜ重要なのか？ ・パスワードの使い回しによるリスト型攻撃を防ぐため ・フィッシング詐欺でパスワードが盗まれても不正ログインを防ぐため ▼ エンジニア向けポイント 「2段階認証」と「多要素認証」は厳密には異なります。同じ要素（パスワード＋秘密の質問など）を2回行うのは2段階ですが、多要素ではありません。より強固なFIDO2（ファイドツー）やTOTP（ティーオーティーピー）の採用が推奨されます。 #セキュリティ #用語解説 #学習 #エンジニア #多要素認証 #MFA --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:07 【解説】多要素認証(MFA)って何？3つの要素と重要性 https://stand.fm/episodes/69981d61119fb84c32012cc2 https://stand.fm/episodes/69981d61119fb84c32012cc2 Fri, 20 Feb 2026 08:38:01 GMT ■ 今日の用語解説 今日のテーマは「フィッシング (Phishing)」です。 ▼ フィッシングとは？ 実在する組織や個人になりすまし、偽のWebサイトへの誘導やマルウェア付きの添付ファイルを通じて、ID・パスワード・クレジットカード情報などの機密情報を盗み出す攻撃手法です。 ▼ エンジニアが押さえておくべきポイント (1) 攻撃の進化 単なる「ばらまき型」から、特定の個人を狙う「スピアフィッシング」や、経営層を狙う「ホエリング」へと手口が巧妙化しています。 (2) 技術的な仕組み ・送信ドメインの偽装（Fromヘッダの改ざん） ・類似ドメインやIDNホモグラフ攻撃（見た目がそっくりのURL） ・AiTM（中間者攻撃）によるMFA突破 (3) 対策の鍵 ・メール送信ドメイン認証（SPF、DKIM、DMARC）の導入 ・フィッシング耐性のある認証（FIDO、パスキー）への移行 ▼ 今日のアクション 自分の管理しているサービスのメール設定（DNSレコード）を確認してみましょう。DMARCの設定は「p=none」のまま放置されていませんか？ #セキュリティ #用語解説 #学習 #エンジニア #フィッシング(Phishing) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:19 【用語解説】フィッシング (Phishing) の仕組みと対策 https://stand.fm/episodes/6997ff19a6350706807be315 https://stand.fm/episodes/6997ff19a6350706807be315 Fri, 20 Feb 2026 06:28:50 GMT ■ 今日の用語解説 今日は「セッションハイジャック」について解説します。 ▼ セッションハイジャックとは？ ユーザーとサーバーの接続状態（セッション）を管理する「セッションID」を攻撃者が盗み出し、正規ユーザーになりすます攻撃手法です。 パスワードが破られていなくても、ログイン後の「鍵」であるIDが盗まれれば、アカウントは乗っ取られてしまいます。 ▼ 主な攻撃手法 (1) 盗聴（スニフィング）：暗号化されていない通信からIDを盗む (2) クロスサイトスクリプティング（XSS）：スクリプトを使ってCookieからIDを抜く (3) セッションフィクセーション：攻撃者が用意したIDをユーザーに使わせる ▼ エンジニアができる対策 ・常時SSL/TLS化（HTTPS）の実装 ・Cookieへの「Secure」属性と「HttpOnly」属性の付与 ・ログイン成功時のセッションID再発行 ・適切なセッションタイムアウト設定 #セキュリティ #用語解説 #学習 #エンジニア #セッションハイジャック --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:13 【用語解説】セッションハイジャックとは？なりすましの恐怖 https://stand.fm/episodes/6997d70dfb3da6ef69239480 https://stand.fm/episodes/6997d70dfb3da6ef69239480 Fri, 20 Feb 2026 03:38:11 GMT ■ 今日の用語解説 今日は「ランサムウェア」について解説します。 ▼ ランサムウェアとは？ 感染したPCやサーバーのデータを暗号化し、復旧の対価として身代金（ランサム）を要求するマルウェアです。 近年はデータを盗み出した上で「公開するぞ」と脅す「二重脅迫」が主流です。 ▼ エンジニアが知るべき攻撃ステップ (1) 初期侵入：VPNの脆弱性やフィッシングメール (2) 内部探索：Active Directory等の権限奪取 (3) 横展開：重要サーバーへの感染拡大 (4) データ窃取＆暗号化：情報を盗んでからロックする ▼ 重要な対策 ・オフラインバックアップ（3-2-1ルール） ・VPN機器等の脆弱性パッチ適用 ・多要素認証（MFA）の徹底 ・EDRによる不審な挙動の検知 #セキュリティ #用語解説 #学習 #エンジニア #ランサムウェア #サイバー攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:44 【用語解説】ランサムウェアとは？仕組みと対策を3分で解説 https://stand.fm/episodes/6997d495399d44e8398d9f27 https://stand.fm/episodes/6997d495399d44e8398d9f27 Fri, 20 Feb 2026 03:27:25 GMT ■ 今日の用語解説 今日は「サプライチェーン攻撃」について解説します。 ▼ サプライチェーン攻撃とは？ ターゲット企業を直接攻撃するのではなく、取引先や利用しているソフトウェア（ライブラリやツール）を足がかりにして侵入するサイバー攻撃の手法です。 ▼ エンジニアにとっての重要ポイント 特に「ソフトウェアサプライチェーン」のリスクが高まっています。 (1) ライブラリへの混入 npmやPyPIなどのパッケージ管理システムで、正規のライブラリに見せかけたマルウェアが配布されるケース。 (2) CI/CDツールの侵害 ビルドプロセスやデプロイツールが改ざんされ、開発段階で悪意あるコードが埋め込まれるリスク。 (3) アップデート機能の悪用 信頼している正規ソフトウェアのアップデートサーバーが乗っ取られ、公式の更新プログラムとしてウイルスが配布される事例。 ▼ どう対策するか ・SBOM（エスボム／ソフトウェア部品表）による依存関係の管理 ・外部ライブラリのバージョン固定とハッシュ検証 ・開発環境における最小権限の原則の徹底 外部のリソースを「無条件に信頼しない」姿勢が重要です。 #セキュリティ #用語解説 #学習 #エンジニア #サプライチェーン攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:08 【用語解説】サプライチェーン攻撃とは？見えない裏口を防ぐ https://stand.fm/episodes/6997931c63e65eaed083263a https://stand.fm/episodes/6997931c63e65eaed083263a Thu, 19 Feb 2026 22:48:05 GMT ■ 今日のハイライト 今週の締めくくりとして、インフラからAIまで幅広い分野のセキュリティニュースをお届けします。 ▼ Jenkins：情報漏洩とXSSの脆弱性 識別子：CVE-2026-27100, CVE-2026-27099 CI/CDツールのデファクトスタンダードであるJenkinsに、ビルド情報の漏洩と格納型XSSの脆弱性が修正されました。ノードのオフライン理由などの入力値処理に不備がありました。 ・対策：最新のLTS版などへの更新を推奨 ▼ OpenStack Nova：qemu-img呼び出しの不備 識別子：CVE-2026-24708 クラウド基盤OpenStackのNovaにおいて、ディスクリサイズ時にフォーマット制限なしでqemu-imgが呼び出される問題が発覚。ホスト上のファイル読み取りやデータ破壊のリスクがあります。 ▼ Keras：モデル読み込みによるファイル漏洩 識別子：CVE-2026-1669 TensorFlow/Kerasにおいて、悪意のあるHDF5重みファイルを読み込むことで、任意のローカルファイルが読み取られる脆弱性（LFD）があります。外部モデルの取り扱いに注意が必要です。 ▼ その他の重要トピック ・【OpenClaw】CVE-2026-27002：Dockerコンテナ脱出の脆弱性など多数 ・【LibreNMS】CVE-2026-26990：SQLインジェクションおよびXSS ・【Go Ethereum】CVE-2026-26315：P2Pハンドシェイク時のキー検証不備 #セキュリティ #エンジニア #ITニュース #Jenkins #OpenStack #AI Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:03 #20260220 JenkinsとOpenStackに緊急警告！AI脆弱性も https://stand.fm/episodes/699707b163e65eaed0831ef6 https://stand.fm/episodes/699707b163e65eaed0831ef6 Thu, 19 Feb 2026 12:53:16 GMT ■ 今日の用語解説 今日は「DNSポイズニング」について解説します。 ▼ DNSポイズニングとは？ インターネット上の住所案内システムであるDNS（Domain Name System）のキャッシュサーバーに、嘘のIPアドレス情報を注入する攻撃手法です。 ▼ なぜ重要なのか？（リスク） (1) ユーザーが正しいURLを入力しても偽サイトへ飛ばされる (2) フィッシング詐欺やマルウェア配布に悪用される (3) 利用者側での検知が非常に難しい ▼ 技術的なポイント ・DNSキャッシュサーバーへの「なりすまし応答」が基本原理 ・「カミンスキー攻撃」によって脅威レベルが跳ね上がった ・対策の切り札はデジタル署名技術を使った「DNSSEC」 #セキュリティ #用語解説 #学習 #エンジニア #DNSポイズニング --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:31 【3分解説】DNSポイズニングとは？偽サイト誘導の罠 https://stand.fm/episodes/6996e58663e65eaed0831ca4 https://stand.fm/episodes/6996e58663e65eaed0831ca4 Thu, 19 Feb 2026 10:27:26 GMT ■ 今日の用語解説 今日は、セキュリティの歴史において最も有名かつ危険な脆弱性の一つ、「バッファオーバーフロー」について解説します。 ▼ バッファオーバーフローとは？ プログラムが用意したメモリ領域（バッファ）の容量を超えてデータが入力され、あふれたデータが隣接するメモリを書き換えてしまう現象です。 ▼ 発生するとどうなる？ ・プログラムの異常終了（クラッシュ） ・悪意あるコードの実行（乗っ取り） ・管理者権限の奪取 ▼ なぜ危険なのか C言語やC++のように、メモリ管理をプログラマ自身が行う言語で発生しやすい脆弱性です。攻撃者はこれを悪用して、システムの制御を奪うことができます。 ▼ 主な対策 (1) 安全な関数の使用（strcpyではなくstrncpyなど） (2) メモリ安全な言語の採用（Rust, Go, Javaなど） (3) OSの保護機能（ASLR, DEPなど）の有効化 原理を知ることは、安全なコードを書くための第一歩です。 #セキュリティ #用語解説 #学習 #エンジニア #バッファオーバーフロー --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:40 【基礎解説】バッファオーバーフローの仕組みと対策 https://stand.fm/episodes/699640e8885f4c2e2f916701 https://stand.fm/episodes/699640e8885f4c2e2f916701 Wed, 18 Feb 2026 22:45:05 GMT ■ 今日のハイライト 今日は開発者・インフラエンジニア必須の重要セキュリティニュースをお届けします。特にAIエージェント基盤とNode.jsエコシステムに大きな動きがあります。 ▼ OpenClawにおける複数の深刻な脆弱性 AIエージェント「OpenClaw」で、RCE、SSRF、認証バイパスなど多数の脆弱性が報告されました。 ・CVE-2026-24764：プロンプトインジェクションによるRCE ・CVE-2026-25474：Telegram Webhookの認証バイパス ・その他、パストラバーサルやSSRFなど多数 ▼ Node.js「tar」パッケージの脆弱性 ・CVE-2026-26960：ハードリンク処理の不備による任意のファイル読み書き 多くのプロジェクトが依存しているため、npm updateが必須です。 ▼ その他の重要トピック ・【Gogs】CVE-2026-25232他：Gitサービスでの権限昇格・不正操作 ・【横河電機】CVE-2025-1924：Vnet/IPインターフェースでの整数アンダーフロー ・【CASL Ability】CVE-2026-1774：プロトタイプ汚染 #セキュリティ #エンジニア #ITニュース #脆弱性対応 Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedia --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:16 #20260219 OpenClawとNode.js tarに致命的脆弱性 https://stand.fm/episodes/6995c715871dbc2f5074faa2 https://stand.fm/episodes/6995c715871dbc2f5074faa2 Wed, 18 Feb 2026 14:05:29 GMT ■ 今日の用語解説 今日は「SQLインジェクション」について解説します。 ▼ SQLインジェクションとは？ Webアプリケーションの入力フォームなどを通じて、不正なデータベース操作命令（SQL）を送り込む攻撃手法です。Webセキュリティにおいて最も有名で危険な脆弱性の一つです。 ▼ なぜ重要なのか？（リスク） (1) 情報漏洩：顧客リストやパスワードが盗まれる (2) 認証回避：パスワードなしで管理者としてログインされる (3) データ破壊：データベースの中身を消去・改ざんされる ▼ どうやって防ぐ？ 【最重要】プリペアドステートメント（静的プレースホルダ）を使用すること。 SQLの「命令文」と「入力データ」を明確に分けることで、入力値をコマンドとして実行させないようにします。 ▼ その他の対策 ・WAF（ワフ）の導入 ・入力値の検証（バリデーション） ・データベース接続ユーザーの権限を最小限にする エンジニアであれば必ず知っておくべき必須知識です。 #セキュリティ #用語解説 #学習 #エンジニア #SQLインジェクション --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:03 【用語解説】SQLインジェクションとは？基本と対策 https://stand.fm/episodes/6995b3e5917fb0f098daf3b1 https://stand.fm/episodes/6995b3e5917fb0f098daf3b1 Wed, 18 Feb 2026 12:43:27 GMT ■ 今日の用語解説 今日は「Security Operation Center (SOC)」について解説します。 ▼ SOC（ソック）とは？ 組織の情報システムへの脅威を監視・検知・分析するための専門組織または施設のことです。サイバー攻撃の兆候を24時間体制で見守る、いわば「デジタル空間の監視カメラセンター」です。 ▼ なぜ重要なのか？ (1) 侵入を前提とした対策へのシフト（早期発見の重要性） (2) 膨大なログデータの統合的な分析 (3) 専門家による高度な判断と誤検知の排除 ▼ 関連用語 ・SIEM（シーム）：ログを一元管理・分析する仕組み ・CSIRT（シーサート）：インシデント発生後の対応部隊 #セキュリティ #用語解説 #学習 #エンジニア #SecurityOperationCenter(SOC) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:40 【用語解説】SOC（ソック）とは？組織を守る24時間のサイバー監視塔 https://stand.fm/episodes/6995aff063e65eaed08309f2 https://stand.fm/episodes/6995aff063e65eaed08309f2 Wed, 18 Feb 2026 12:26:44 GMT ■ 今日の用語解説 今日は「SBOM (Software Bill of Materials)」について解説します。 ▼ SBOMとは？ 「エスボム」と読みます。ソフトウェアを構成するコンポーネントやライブラリ、モジュールのバージョン情報をリスト化した「ソフトウェアの部品表」のことです。 ▼ なぜ重要なのか？ 現代の開発ではオープンソース(OSS)の利用が不可欠ですが、これには「サプライチェーンリスク」が伴います。 (1) 脆弱性対応の迅速化 特定のライブラリに脆弱性が見つかった際（例：Log4j問題）、自社システムのどこに使われているかを即座に特定できます。 (2) ライセンス管理 意図しないライセンス違反（GPL混入など）を防ぐために利用されます。 ▼ 代表的なフォーマット ・SPDX (エスピーディーエックス) ・CycloneDX (サイクロンディーエックス) #セキュリティ #用語解説 #学習 #エンジニア #SBOM #サプライチェーンセキュリティ --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:39 【用語解説】SBOMとは？ソフトウェアの部品表で守る https://stand.fm/episodes/6995aa718a3a7812c8da3f9c https://stand.fm/episodes/6995aa718a3a7812c8da3f9c Wed, 18 Feb 2026 12:03:07 GMT ■ 今日の用語解説 今日は「ゼロデイ攻撃」について解説します。 ▼ ゼロデイ攻撃とは？ ソフトウェアの脆弱性が発見され、修正プログラム（パッチ）が配布される「前」に行われるサイバー攻撃のことです。 防御側の対策準備期間が「ゼロ日」であることから名付けられました。 ▼ なぜ危険なのか？ (1) 従来のウイルス対策ソフト（パターンマッチング）ですり抜けやすい (2) ベンダーが気づいていない「未知の脆弱性」を突かれる (3) 完全な防御が難しく、被害が拡大しやすい ▼ エンジニアができる対策 決定打となる防御策は存在しませんが、被害を最小化することは可能です。 ・多層防御（サンドボックス、EDRなど）の導入 ・不要な機能やポートを閉じる（アタックサーフェスの縮小） ・パッチが公開されたら即座に適用する運用体制の構築 ■ 次回予告 明日もセキュリティの基礎知識を深掘りしていきます。お楽しみに！ #セキュリティ #用語解説 #学習 #エンジニア #ゼロデイ攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:59 【用語解説】ゼロデイ攻撃って何？パッチがない脅威への対抗策 https://stand.fm/episodes/6995a407917fb0f098daf27e https://stand.fm/episodes/6995a407917fb0f098daf27e Wed, 18 Feb 2026 11:35:44 GMT ■ 今日の用語解説 今日は「トロイの木馬（Trojan Horse）」について解説します。 ▼ トロイの木馬とは？ 一見すると便利なツールや無害なファイル（画像やPDFなど）に見せかけて、ユーザーに実行させることで侵入するマルウェアです。 ▼ ウイルスとの違い ・自己増殖（コピー）を行わない ・ユーザー自身の手で実行させる必要がある ▼ 主な機能 (1) バックドア（裏口）の作成 (2) 外部からの遠隔操作（RAT） (3) 銀行口座情報やパスワードの窃取 (4) 別のマルウェアのダウンロード ▼ 対策のポイント ・信頼できないソースからソフトをダウンロードしない ・ファイルの拡張子を必ず確認する ・EDRなどの振る舞い検知製品を利用する #セキュリティ #用語解説 #学習 #エンジニア #トロイの木馬 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:59 【用語解説】トロイの木馬とは？無害を装う罠の仕組み https://stand.fm/episodes/69958492ad936a657e7a7534 https://stand.fm/episodes/69958492ad936a657e7a7534 Wed, 18 Feb 2026 09:21:31 GMT ■ 今日の用語解説 今日は「バックドア（Backdoor）」について解説します。 ▼ バックドアとは？ 正規の認証手続きを飛ばして、システムに侵入・操作するために設置された「裏口」のことです。 攻撃者が侵入後に設置する場合もあれば、開発者がメンテナンス用に作ったものが悪用される場合もあります。 ▼ なぜ危険なのか？ (1) 永続性：脆弱性が修正されても、裏口から入り続けられる (2) 隠蔽性：正規の通信を装うため発見が難しい (3) 全権掌握：管理者権限を奪われ、データ盗難や踏み台攻撃に使われる ▼ 代表的な種類 ・ウェブシェル：Webサーバーに置かれる不正スクリプト ・RAT（ラット）：遠隔操作型のトロイの木馬 ・ハードウェアレベル：機器自体に組み込まれた裏口 ▼ エンジニアができる対策 ・ファイル整合性監視（FIM）で不正なファイル追加を検知する ・EDRなどで不審な通信（振る舞い）を監視する ・開発コードにデバッグ用の裏口を残さない #セキュリティ #用語解説 #学習 #エンジニア #バックドア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:48 【用語解説】バックドアとは？侵入者が仕掛ける裏口の恐怖 https://stand.fm/episodes/6994f0420c9fcbda0fcf2d29 https://stand.fm/episodes/6994f0420c9fcbda0fcf2d29 Tue, 17 Feb 2026 22:48:50 GMT ■ 今日のハイライト 今日は開発者とインフラ管理者に影響の大きい、3つの主要なセキュリティトピックをお届けします。 ▼ トピック1：GitLabにおけるSSRFと認証回避 GitLabにて、サーバーサイドリクエストフォージェリ（SSRF）や認証回避など、複数の深刻な脆弱性が修正されました。 ・影響：認証済みユーザーによる内部ネットワークへの攻撃や、不正な権限行使の可能性 ・対象：GitLab CE/EEのバージョン18系など ・対策：修正版（18.6.6, 18.7.4, 18.8.4等）へのアップデート ▼ トピック2：Apple製品の一斉セキュリティ更新 iPhone、Mac、iPadなどのApple製品向けに、多数の脆弱性を修正するアップデートが公開されました。 ・内容：カーネル権限の昇格、WebKitでの任意コード実行、サンドボックス回避など ・対象OS：iOS 18.7.5, macOS Sequoia 15.7.4, iPadOS 18.7.5など ▼ トピック3：QNAPとFortinetの脆弱性 NAS製品のQNAPと、セキュリティアプライアンスのFortinetにも注意が必要です。 ・QNAP：File Station 5やQsync Centralでのパストラバーサル、SQLインジェクション ・Fortinet：FortiOSにおける認証回避（LDAP関連）や権限昇格 ▼ その他の重要ニュース ・Google Chrome：Use-after-freeやUIスプーフィングの修正（v145.0.7632.45未満） ・Webフレームワーク：ReactやwebpackにおけるDoSやSSRFの脆弱性 #セキュリティ #エンジニア #ITニュース #GitLab #Apple #QNAP #Fortinet Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedia --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:22 #20260218 GitLabとApple製品に緊急パッチ https://stand.fm/episodes/699470c3917fb0f098dadf6e https://stand.fm/episodes/699470c3917fb0f098dadf6e Tue, 17 Feb 2026 13:44:55 GMT ■ 今日の用語解説 今日は「シャドーIT」について解説します。 ▼ シャドーITとは？ 企業やIT部門が許可・把握していないデバイスやクラウドサービスを、従業員が独自に業務利用することです。 例： ・個人のスマホを業務で使う ・許可されていないチャットツールやストレージを使う ▼ なぜ重要なのか？ 一見、業務効率化に見えますが、企業の管理外であるため重大なリスクになります。 (1) 情報漏洩（設定ミスや退職後のアクセス） (2) ウイルス感染の検知漏れ (3) アカウント管理の不備（パスワード使い回しなど） ▼ 対策のポイント 単に禁止するだけでは解決しません。 ・CASB（キャスビー）などのツールで利用状況を可視化する ・現場が使いたくなる公式ツールを整備する ・リスク教育を行う 管理と利便性のバランスを取ることが、エンジニアや情シス担当者の腕の見せ所です。 #セキュリティ #用語解説 #学習 #エンジニア #シャドーIT --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:55 【用語解説】シャドーITとは？隠れたリスクを3分で学ぶ https://stand.fm/episodes/69944dbf0c9fcbda0fcf24bc https://stand.fm/episodes/69944dbf0c9fcbda0fcf24bc Tue, 17 Feb 2026 11:15:21 GMT ■ 今日の用語解説 今日は「DDoS攻撃（分散型サービス拒否攻撃）」について解説します。 昨日は目立ったセキュリティ事故がなく平和な一日でしたので、基礎知識の復習回です。 ▼ DDoS攻撃とは？ 世界中の多数の機器から一斉にアクセスを送りつけ、Webサイトやサービスをダウンさせる攻撃手法です。単一犯のDoS攻撃と違い、攻撃元が分散しているため防御が難しいのが特徴です。 ▼ 主な攻撃タイプ (1) インフラ層攻撃（L3/L4） 回線の帯域やファイアウォールをパンクさせる攻撃。 ・UDP Flood ・SYN Flood (2) アプリケーション層攻撃（L7） WebサーバーのCPUやメモリを消費させる攻撃。 ・HTTP Flood ・Slowloris ▼ どうやって防ぐ？ ・CDN（コンテンツデリバリーネットワーク）で負荷分散 ・WAF（ウェブアプリケーションファイアウォール）の導入 ・レートリミッティング（アクセス頻度制限） 平和な時こそ、足元のセキュリティ対策を見直しましょう！ #セキュリティ #用語解説 #学習 #エンジニア #DDoS攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:37 #20260217 【基礎解説】DDoS攻撃の仕組みと対策 https://stand.fm/episodes/69931dacfc56dc310e811809 https://stand.fm/episodes/69931dacfc56dc310e811809 Mon, 16 Feb 2026 13:37:59 GMT ■ 今日の用語解説 今日は「CSIRT（シーサート）」について解説します。 ▼ CSIRTとは？ Computer Security Incident Response Teamの略称です。 セキュリティ事故（インシデント）が発生した際に、その対応を行う専門チームのことを指します。 ▼ なぜ重要なのか？ サイバー攻撃を100%防ぐことは不可能な現在、「侵入された後にいかに素早く対応するか」が重要視されています。 CSIRTは、火事が起きたときに駆けつける「消防隊」のような役割を担い、被害の極小化を目指します。 ▼ SOC（ソック）との違い よく混同されますが、役割が異なります。 ・SOC：監視カメラを見る警備員（検知・監視がメイン） ・CSIRT：火を消す消防隊（対処・復旧・判断がメイン） ▼ 今日の学習ポイント (1) CSIRTはインシデント対応の司令塔 (2) 平常時は教育や訓練、有事には封じ込めや復旧を行う (3) SOCと連携して動くことが一般的 #セキュリティ #用語解説 #学習 #エンジニア #CSIRT --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:35 【用語解説】CSIRT（シーサート）とは？緊急時の組織防衛隊 https://stand.fm/episodes/69924b68f51eb3ed40930c38 https://stand.fm/episodes/69924b68f51eb3ed40930c38 Sun, 15 Feb 2026 22:40:48 GMT ■ 今日の用語解説 今日は、平和なニュースの代わりにセキュリティの基礎用語「中間者攻撃 (MITM)」について詳しく解説します。 ▼ 中間者攻撃 (MITM) とは？ 通信を行う二者の間に攻撃者が割り込み、通信内容を盗聴したり改ざんしたりする攻撃手法です。 Man-in-the-Middle Attack (マン・イン・ザ・ミドル・アタック) の頭文字をとってMITMと呼ばれます。 ▼ 具体的な手口 (1) 偽のWi-Fiスポット (Evil Twin) カフェなどで正規のWi-Fiと同じ名前の偽アクセスポイントを設置し、接続してきたユーザーの通信を覗き見ます。 (2) ARPスプーフィング 社内LANなどで「自分がルーターだ」と嘘の信号を送り、通信経路を自分に向けさせます。 (3) DNSスプーフィング 正しいURLを入力しても、偽のサイト（IPアドレス）へ誘導します。 ▼ エンジニアができる対策 ・常時SSL/TLS化 (HTTPS) の徹底 ・HSTSの設定でHTTPSを強制する ・VPNを利用して通信をトンネル化する ・アプリ開発での証明書ピン留め (Certificate Pinning) 通信経路は基本的に「信頼できないもの」として設計・利用することが、現代のセキュリティ（ゼロトラスト）の基本です。 #セキュリティ #用語解説 #学習 #エンジニア #中間者攻撃 #MITM --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:31 #20260216 【用語解説】中間者攻撃（MITM）の仕組みと対策 https://stand.fm/episodes/6991bd169747588e05306166 https://stand.fm/episodes/6991bd169747588e05306166 Sun, 15 Feb 2026 12:33:35 GMT ■ 今日の用語解説 今日は、パスワードセキュリティにおいて知っておくべき攻撃手法「レインボーテーブル」について解説します。 ▼ レインボーテーブルとは？ ハッシュ化されたパスワードを高速に解読（クラッキング）するために、あらかじめ計算結果を保存しておいた「特殊な換算表」のことです。 単純なリストではなく、計算結果の「始点」と「終点」だけを記録することで、データ容量を節約しつつ高速な検索を可能にしています。 ▼ なぜ危険なのか？ (1) 解析スピードが速い 総当たり攻撃（ブルートフォース）では何年もかかる解析が、数秒から数分で終わってしまいます。 (2) 漏洩時のリスク データベースからハッシュ値が漏洩した場合、簡単なパスワードは一瞬で元の文字列を特定されてしまいます。 ▼ どうやって防ぐ？ 最強の対策は「ソルト（Salt）」です。 パスワードにランダムな文字列（ソルト）を混ぜてからハッシュ化することで、攻撃者が用意したテーブルを無効化できます。 ▼ 学べるポイント ・ハッシュ関数の不可逆性への過信は禁物 ・「タイム・メモリ・トレードオフ」という概念 ・ソルトとストレッチングの重要性 #セキュリティ #用語解説 #学習 #エンジニア #レインボーテーブル --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:37 【用語解説】レインボーテーブル：パスワード解析の魔術 https://stand.fm/episodes/6991638b6b323c112320df66 https://stand.fm/episodes/6991638b6b323c112320df66 Sun, 15 Feb 2026 06:11:38 GMT ■ 今日の用語解説 今日は「キーロガー」について解説します。 ▼ キーロガーとは？ キーボードの入力操作（キーストローク）を記録し、外部へ送信したり保存したりする技術の総称です。 ・もともとは管理・監視ツールとして開発 ・現在はパスワード窃取などの攻撃に悪用されることが多い ▼ 技術的な種類 (1) ソフトウェア型：PC内部でAPIやカーネルに介入して動作 (2) ハードウェア型：USBポートとキーボードの間に物理的に設置 ▼ なぜ危険なのか？ ・暗号化通信（HTTPS）の「前」に入力内容を盗むため、通信の暗号化では防げない ・ID、パスワード、クレカ情報がそのまま漏洩する ▼ 対策のポイント ・多要素認証 (MFA) を必ず設定する ・パスワードマネージャーによる自動入力を活用する ・アンチウイルスソフトやEDRの導入 ・物理的なUSBポートの確認 #セキュリティ #用語解説 #学習 #エンジニア #キーロガー --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:38 【用語解説】キーロガーとは？入力を全て記録する脅威 https://stand.fm/episodes/69913c136b323c112320dd13 https://stand.fm/episodes/69913c136b323c112320dd13 Sun, 15 Feb 2026 03:23:11 GMT ■ 今日のハイライト 今日は週末に公開された重要なセキュリティアップデートを3つピックアップして解説します。Webアプリの乗っ取りリスクから、開発ツールの権限管理ミスまで、週明け前にチェックしておきたい内容です。 ▼ Known：パスワードリセットトークンの漏洩 (CVE-2026-26273) ソーシャルパブリッシングツール「Known」v1.6.2において、致命的な不備が見つかりました。 ・内容：パスワードリセットページの隠しHTMLフィールドに、リセットトークンがそのまま出力されてしまう。 ・影響：認証なしで誰でも他人のアカウントを乗っ取り可能。 ・対策：直ちに修正版へアップデートしてください。 ▼ Renovate：環境変数の全漏洩 依存関係更新ツール「Renovate」の子プロセス管理に問題がありました。 ・内容：子プロセスに対して環境変数のフィルタリングが効かず、親プロセスの全環境変数が継承されていた。 ・影響：CI/CD環境のシークレット情報が悪意あるスクリプト等に読み取られるリスク。 ▼ Rust：悪意あるクレートの削除 crates.ioから「polymarket-client-sdks」が削除されました。 ・内容：正規ライブラリに名前を似せたタイポスクワッティング。 ・挙動：ローカルファイルからクレデンシャルを盗むコードが含まれていた。 ▼ その他の重要トピック ・【Wildfly】CVE-2025-23368：CLI認証におけるブルートフォース攻撃への脆弱性 ・【beautiful-mermaid】CVE-2026-26226：SVG属性インジェクションによるXSS ・【rPGP】CVE-2026-21895他：整合性チェック不備やDoSにつながるクラッシュの問題 #セキュリティ #エンジニア #ITニュース #Rust #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedia --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:18 #20260215 Knownの乗っ取り脆弱性とRust悪性クレート https://stand.fm/episodes/69908d790cfc8785557b835d https://stand.fm/episodes/69908d790cfc8785557b835d Sat, 14 Feb 2026 14:58:10 GMT ■ 今日の用語解説 今日は「ドライブバイダウンロード」について解説します。 ▼ ドライブバイダウンロードとは？ Webサイトを閲覧しただけで、ユーザーの許可なくマルウェアに感染させる攻撃手法です。 ・「ダウンロード」ボタンを押す必要がない ・正規のサイトが改ざんされて仕掛けられることもある ・OSやブラウザの「脆弱性」が悪用される ▼ 攻撃の仕組み (1) 攻撃者がWebサイトを改ざんし、罠を仕掛ける (2) ユーザーがサイトを訪問すると、裏で攻撃サーバーへ転送される (3) ユーザーのPCに脆弱性（更新忘れ等）がないかスキャンされる (4) 脆弱性が見つかると、勝手にウイルスが送り込まれる ▼ エンジニアができる対策 ・OSやブラウザ、プラグインを常に最新版にアップデートする（最重要） ・不要なソフトやアドオンを削除する ・広告ブロッカーなどを活用してリスクを下げる 閲覧するだけで感染するため、日頃の「パッチ適用」が最大の防御策となります。 #セキュリティ #用語解説 #学習 #エンジニア #ドライブバイダウンロード --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:56 【用語解説】閲覧だけで感染？ドライブバイダウンロード https://stand.fm/episodes/699088be0cfc8785557b831b https://stand.fm/episodes/699088be0cfc8785557b831b Sat, 14 Feb 2026 14:38:04 GMT ■ 今日のハイライト 今日は週末のメンテナンスに役立つ、ハードウェアからミドルウェアまでの重要セキュリティニュースをお届けします。 ▼ TP-Link Archer AX53 の深刻な脆弱性 家庭用Wi-Fiルーター「Archer AX53」に、任意のコード実行（RCE）やサービス拒否（DoS）につながるヒープベースバッファオーバーフローが多数報告されました。 ・影響：v1.0 から 1.3.1 (Build 20241120) まで ・対策：ファームウェアの即時更新 ▼ Moodle の複数の脆弱性 教育用プラットフォームMoodleにおいて、XSSやオープンリダイレクトなどの脆弱性が修正されています。 ・AIプロンプトや数式エディタを通じたスクリプト注入のリスク ・OAuthログイン時のリダイレクト検証不備 ▼ 開発者向け：Go/ミドルウェア関連のCVE (1) Traefik (CVE-2026-25949) STARTTLSリクエストによるTCP読み取りタイムアウトのバイパス。DoSのリスク。 (2) FrankenPHP (CVE-2026-24894, CVE-2026-24895) ワーカーモードでのセッションデータ漏洩や、パス処理におけるUnicodeの不適切な扱い。 (3) WebTransport-Go (CVE-2026-21438 他) ストリームのクリーンアップ漏れによるメモリ枯渇攻撃のリスク。 #セキュリティ #エンジニア #ITニュース #脆弱性 #TPLink #Moodle Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedia --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:48 #20260214 TP-LinkルーターとMoodleの脆弱性 https://stand.fm/episodes/698f1f2daaa5e5ae5e8fc7f3 https://stand.fm/episodes/698f1f2daaa5e5ae5e8fc7f3 Fri, 13 Feb 2026 12:55:17 GMT ■ 今日のハイライト 今日はAI開発ツールとハードウェアプロトコルに関する重要なセキュリティニュースをお届けします。 ▼ Claude Code (Anthropic) の複数脆弱性 エージェント型コーディングツール「Claude Code」に、ファイル書き込み制限の回避やサンドボックス保護の不備など、複数の問題が発覚しました。 ・影響バージョン：v2.0.57以前、v2.1.7未満など ・内容：ディレクトリトラバーサルによる保護回避、シンボリックリンクの悪用など ・対策：最新版へのアップデートを強く推奨 ▼ PCIe IDE プロトコルの仕様上の欠陥 (CVE-2025-9612) PCIe通信を暗号化する「PCIe IDE」に仕様上の脆弱性が指摘されました。 ・内容：トランザクション順序やタイミングの操作が可能になる恐れ ・影響：ハードウェアレベルでのデータ整合性へのリスク ▼ Milvus ベクトルデータベースの認証回避 AI基盤として使われるMilvusのAPIポート(9091)に深刻な認証不備が見つかりました。 ・内容：デバッグエンドポイント等を介した未認証アクセス ▼ その他の重要トピック ・【M-Audio】CVE-2026-25676：M-Track Duo HDインストーラのDLL読み込み脆弱性 ・【FreeRDP】v3.22.0で大量のメモリ破壊系脆弱性を修正 #セキュリティ #エンジニア #ITニュース #AI Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedia --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:35 #20260213 Claude Code脆弱性とPCIe暗号化の死角 https://stand.fm/episodes/698dd3b6cec41016d34ea5f2 https://stand.fm/episodes/698dd3b6cec41016d34ea5f2 Thu, 12 Feb 2026 13:21:07 GMT ■ 今日の用語解説 今日のテーマは「パスワードリスト攻撃」です。 ▼ パスワードリスト攻撃（Credential Stuffing）とは？ 攻撃者がどこか別の場所で入手した「IDとパスワードのリスト」を使って、ターゲットのサイトへログインを試みる攻撃手法です。 ・従来の「総当たり攻撃」とは異なり、実際に使われていたペアを使うため成功率が高い ・ユーザーの「パスワード使い回し」が最大の原因 ▼ なぜ危険なのか？ (1) サイト自体に脆弱性がなくても突破される (2) ボットを使って短時間に大量に試行される (3) ポイント不正利用や個人情報流出に直結する ▼ エンジニアができる対策 ・多要素認証（MFA）の実装 ・WAF（ワフ）やCAPTCHA（キャプチャ）の導入 ・ログイン試行回数の制限（ロックアウト機能） ITエンジニアとして、システムを守るだけでなく、ユーザーに「使い回しのリスク」を伝えることも重要です。 #セキュリティ #用語解説 #学習 #エンジニア #パスワードリスト攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:30 【用語解説】パスワードリスト攻撃とは？使い回しの恐怖 https://stand.fm/episodes/698db9e9cec41016d34ea37b https://stand.fm/episodes/698db9e9cec41016d34ea37b Thu, 12 Feb 2026 11:31:00 GMT ■ 今日の用語解説 今日は、ネットワークセキュリティの要である「IDS (侵入検知システム)」と「IPS (侵入防御システム)」について解説します。 ▼ IDSとIPSの違い 一言で言うと「アクション」の違いです。 ・IDS (検知)：攻撃を見つけたらアラートを出す（監視カメラ） ・IPS (防御)：攻撃を見つけたら通信を遮断する（警備員） ▼ なぜファイアウォールだけではダメなのか？ ファイアウォールは「住所と宛先（IPとポート）」は見ますが、「荷物の中身（パケットの内容）」までは深く見ません。 IDS/IPSは中身を検査し、Webアクセスに見せかけた攻撃コードなどを発見します。 ▼ 2つの検知手法 (1) シグネチャ型：犯人の指名手配写真と照合するような方式。既知の攻撃に強い。 (2) アノマリ型：普段と違う挙動を不審者として扱う方式。未知の攻撃に対応できるが、誤検知も多い。 #セキュリティ #用語解説 #学習 #エンジニア #IDS/IPS(侵入検知/防御システム) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:13 【用語解説】IDS/IPSとは？検知と防御の違いを3分で学ぶ https://stand.fm/episodes/698db6414d0bf57e7c6b8227 https://stand.fm/episodes/698db6414d0bf57e7c6b8227 Thu, 12 Feb 2026 11:15:22 GMT ■ 今日の用語解説 今日は「多層防御 (Defense in Depth)」について解説します。 ▼ 多層防御とは？ 単一のセキュリティ対策に頼らず、複数の対策を組み合わせて情報資産を守る手法です。「城壁を突破されても本丸は守る」という考え方に基づきます。 ▼ なぜ重要なのか？ (1) 単一障害点の排除：一つの対策が破られても次で防げる (2) 検知機会の増加：各層でログを取ることで攻撃に気づきやすくなる (3) 被害の極小化：侵入されても情報を持ち出させない ▼ 主な4つのレイヤー ・入口対策（FW、IPSなど） ・内部対策（ネットワーク分離など） ・エンドポイント対策（EDR、アンチウイルス） ・出口対策（DLP、プロキシ） セキュリティに「絶対」はないため、何重もの網を張ることがエンジニアにとっての基本戦略となります。 #セキュリティ #用語解説 #学習 #エンジニア #多層防御(DefenseinDepth) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:38 【3分解説】多層防御とは？何重もの鍵で守る仕組み https://stand.fm/episodes/698d04b574c29599e4475eba https://stand.fm/episodes/698d04b574c29599e4475eba Wed, 11 Feb 2026 22:37:57 GMT ■ 今日のハイライト 本日は、AI開発者とデータエンジニアにとって見逃せない重要なセキュリティ更新情報を中心にお届けします。LangChainでのSSRF、OpenMetadataでの管理者権限漏洩など、即座に対応が必要なものが含まれています。 ■ 取り上げたニュース詳細 (1) LangChainにおけるSSRF脆弱性 識別子: CVE-2026-26013 AIチャットモデルのトークン計算処理において、画像のURL検証が不十分なため、サーバーサイド・リクエスト・フォージェリ(SSRF)が可能になる問題です。内部ネットワークへのアクセスなどに悪用される恐れがあります。 (2) OpenMetadataでのJWT漏洩 識別子: CVE-2026-26010 データ取り込みパイプラインのAPIにおいて、特権を持つ「ingestion-bot」の認証トークン(JWT)が漏洩する脆弱性です。読み取り専用ユーザーでも、このトークンを使えば管理者級の操作が可能になり、データの破壊につながる危険性があります。 (3) 画像処理ライブラリ Pillow の脆弱性 識別子: CVE-2026-25990 Pythonで有名な画像処理ライブラリPillowにおいて、PSD画像を読み込む際にメモリの境界外書き込みが発生する問題です。バージョン12.1.1での修正が予定されています。 (4) その他のアップデート ・【.NET】CVE-2026-21218：System.Security.Cryptography.Cose におけるセキュリティ機能バイパスの脆弱性 (.NET 8.0/9.0/10.0) ・【Cryptography】CVE-2026-26007：Python暗号化ライブラリにおける楕円曲線の検証不備 ・【CASL Ability】CVE-2026-1774：プロトタイプ汚染の脆弱性 #セキュリティ #エンジニア #ITニュース #LangChain #Python Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedia --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:01:48 #20260212 LangChainとOpenMetadataに要注意脆弱性 https://stand.fm/episodes/698c9354bc9c0cf348a58377 https://stand.fm/episodes/698c9354bc9c0cf348a58377 Wed, 11 Feb 2026 14:34:09 GMT ■ 今日の用語解説 今日は「ペネトレーションテスト（侵入テスト）」について解説します。 ▼ ペネトレーションテストとは？ ホワイトハッカーが攻撃者の視点で、実際にシステムへの侵入を試みるテストのことです。「ペンテスト」とも呼ばれます。 ▼ 脆弱性診断との違い ・脆弱性診断：網羅的に「穴」を探す（健康診断） ・ペンテスト：その穴を使って何ができるか「深さ」を検証する（防犯訓練） ▼ 主なポイント (1) 実際に侵入できるか実証する (2) ブラックボックス、ホワイトボックスなどの手法がある (3) 多層防御の実効性を確認するために重要 エンジニアとしては、ツール任せの診断だけでなく、実際の攻撃シナリオを想定したテストの重要性を理解しておきましょう。 #セキュリティ #用語解説 #学習 #エンジニア #ペネトレーションテスト --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:30 【3分解説】ペネトレーションテストとは？侵入テストの基礎 https://stand.fm/episodes/698c76299b4c3920ebebeee1 https://stand.fm/episodes/698c76299b4c3920ebebeee1 Wed, 11 Feb 2026 12:29:38 GMT ■ 今日の用語解説 今日は「ビジネスメール詐欺 (BEC)」について解説します。 ▼ ビジネスメール詐欺 (BEC) とは？ 業務メールを装い、従業員や取引先を騙して金銭や情報を盗む攻撃手法です。 ・Business Email Compromise の略 ・マルウェアを使わず、人の心理を突く攻撃が多い ・経営者や取引先になりすます手口が一般的 ▼ なぜ危険なのか？ (1) 被害額が極めて大きい（ランサムウェア以上の場合も） (2) セキュリティソフトで検知しにくい（ウイルスがないため） (3) 正規のメールスレッドを悪用される場合がある ▼ 技術的な対策ポイント ・送信ドメイン認証（SPF, DKIM, DMARC）の導入 ・メールアカウントへの多要素認証（MFA）の徹底 ・類似ドメインの監視 ・振込先変更時は「メール以外で確認」するルールの徹底 #セキュリティ #用語解説 #学習 #エンジニア #ビジネスメール詐欺(BEC) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:51 【用語解説】ビジネスメール詐欺(BEC)の脅威と対策 https://stand.fm/episodes/698c6a56bc9c0cf348a5808a https://stand.fm/episodes/698c6a56bc9c0cf348a5808a Wed, 11 Feb 2026 11:39:22 GMT ■ 今日の用語解説 今日は「WAF (Web Application Firewall)」について解説します。 ▼ WAFとは？ Webアプリケーションの脆弱性を突く攻撃を検知・遮断するセキュリティツールです。 従来のファイアウォール（FW）とは異なり、HTTP/HTTPS通信の中身（レイヤー7）を解析して防御します。 ▼ なぜ重要なのか？ Webサイトへの攻撃は年々高度化しています。 FWだけでは、正常なポート（80/443番）を通る攻撃（SQLインジェクションなど）を防げません。 開発時のバグや、使用しているCMSの脆弱性を狙われた際、WAFが「盾」となって被害を防ぎます。 ▼ 主な防御対象 (1) SQLインジェクション (2) クロスサイトスクリプティング (XSS) (3) OSコマンドインジェクション ▼ 導入のポイント 現在は導入や運用が手軽な「クラウド型WAF」が主流になっていますが、誤検知（フォールスポジティブ）を防ぐためのチューニングも重要です。 #セキュリティ #用語解説 #学習 #エンジニア #WAF(WebApplicationFirewall) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:18 【用語解説】WAFとは？Webアプリを守る必須の盾 https://stand.fm/episodes/698c6406bc9c0cf348a58024 https://stand.fm/episodes/698c6406bc9c0cf348a58024 Wed, 11 Feb 2026 11:12:22 GMT ■ 今日の用語解説 今日は「ファイルレスマルウェア」について解説します。 ▼ ファイルレスマルウェアとは？ コンピュータのハードディスク等のストレージに実行ファイルを保存せず、メモリ（RAM）上で直接動作する悪意あるプログラムのことです。痕跡が残りにくく、従来のウイルス対策ソフトでは検知が難しいのが特徴です。 ▼ なぜ危険なのか？ (1) 従来の検知回避 ファイルの実体がないため、ファイルスキャン型のアンチウイルスソフトをすり抜けてしまいます。 (2) 正規ツールの悪用（Living off the Land） PowerShellやWMIといった、Windows標準の管理ツールを悪用して攻撃を行うため、システム側からは「正規の動作」に見えてしまいます。 ▼ 主な対策 ・EDR（Endpoint Detection and Response）の導入で「振る舞い」を監視する ・OSやアプリの脆弱性対策（パッチ適用）を徹底する ・不要なマクロやスクリプト実行を制限する #セキュリティ #用語解説 #学習 #エンジニア #ファイルレスマルウェア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:18 【用語解説】見えない脅威「ファイルレスマルウェア」とは？ https://stand.fm/episodes/698bf8e5bc9c0cf348a578f1 https://stand.fm/episodes/698bf8e5bc9c0cf348a578f1 Wed, 11 Feb 2026 03:35:16 GMT ■ 今日の用語解説 今日のテーマは「OSINT (Open Source Intelligence)」です。 ▼ OSINTとは？ 一般に公開されている情報（オープンソース）を合法的に収集・分析し、有用な知見を得る手法のことです。「オシント」と読みます。 ▼ なぜ重要なのか？ (1) 攻撃者の偵察に使われる サイバー攻撃の準備段階で、攻撃者はターゲットに気づかれないようにSNSや公開サーバーの情報を集めます。 (2) 防御側の資産管理に役立つ 自社の情報がネット上に漏れていないか、攻撃者視点でチェックする「ASM（アタック・サーフェス・マネジメント）」において必須のスキルです。 ▼ 主な情報源 ・SNS (X, LinkedIn, Facebook等) ・Whois情報、DNSレコード ・GitHubなどのコードリポジトリ ・検索エンジン (Google, Shodan等) エンジニアとしては、不用意にコードにパスワードを含めて公開しないことや、SNSでの発信内容に注意することが基本の対策となります。 #セキュリティ #用語解説 #学習 #エンジニア #OSINT(OpenSourceIntelligence) #オシント --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:23 【用語解説】OSINTとは？公開情報に潜むリスク https://stand.fm/episodes/698bf675bc9c0cf348a578c3 https://stand.fm/episodes/698bf675bc9c0cf348a578c3 Wed, 11 Feb 2026 03:24:47 GMT ■ 今日の用語解説 今日は「BYOD (Bring Your Own Device) のリスク」について解説します。 ▼ BYODとは？ 従業員の私用端末（スマホやPC）を業務に利用することです。コスト削減や利便性のメリットがある一方、セキュリティ管理が難しくなる諸刃の剣です。 ▼ 主な技術的リスク (1) 紛失・盗難による情報漏洩 (2) シャドーIT（管理外アプリの利用） (3) マルウェア感染と踏み台利用 (4) 公衆Wi-Fi経由の盗聴 ▼ エンジニアが知るべき対策 ・MDM（モバイルデバイス管理）によるリモートワイプ ・MAM（モバイルアプリケーション管理）によるデータ分離 ・コンテナ化技術による業務領域の保護 私用だからこそ、公私混同によるデータ流出を防ぐ仕組み作りが重要です。 #セキュリティ #用語解説 #学習 #エンジニア #BYOD(BringYourOwnDevice)のリスク --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:24 【用語解説】BYODのリスクとは？便利さと裏腹な危険性 https://stand.fm/episodes/698bcc69bc9c0cf348a57609 https://stand.fm/episodes/698bcc69bc9c0cf348a57609 Wed, 11 Feb 2026 00:25:31 GMT ■ 今日の用語解説 今日は「ボットネット」について解説します。 ▼ ボットネットとは？ マルウェアに感染し、攻撃者に遠隔操作される状態になった多数のコンピュータやIoT機器のネットワークのことです。 ・感染した端末は「ボット」や「ゾンビ」と呼ばれる ・持ち主が気づかないうちにサイバー攻撃に加担させられる ▼ 仕組みと脅威 (1) C2サーバー（司令塔）からの命令で一斉に動作 (2) 大規模なDDoS攻撃の実行部隊として利用される (3) IoT機器（カメラやルーター）が狙われやすい ▼ エンジニアの対策ポイント ・C2サーバーへの不審な通信（アウトバウンド）の監視 ・IoT機器のデフォルトパスワード変更 ・ファームウェアの定期的な更新 #セキュリティ #用語解説 #学習 #エンジニア #ボットネット --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:46 【用語解説】ボットネットとは？悪用されるデバイスたち https://stand.fm/episodes/698bb1a237192c8c3c25adb7 https://stand.fm/episodes/698bb1a237192c8c3c25adb7 Tue, 10 Feb 2026 22:31:17 GMT ■ 今日のハイライト 本日は、Web基盤やデータ分析基盤に影響する重要なセキュリティ更新情報をお届けします。 ▼ Craft CMS におけるリモートコード実行 (CVE-2026-25498 他) PHP製CMS「Craft CMS」で、認証済みユーザーによる任意のコード実行（RCE）が可能となる脆弱性が報告されました。その他、SQLインジェクションやSSRFなど複数の問題が修正されています。 ・対策：最新版へのアップデート ▼ Apache Druid の認証回避 (CVE-2026-23906) ビッグデータ分析基盤「Apache Druid」にて、LDAP設定に依存した認証回避の脆弱性が発見されました。匿名バインドが許可されているLDAPサーバーを使用している場合、攻撃者が認証をすり抜ける可能性があります。 ▼ Apache Shiro のタイミング攻撃 (CVE-2026-23901) Javaセキュリティフレームワーク「Apache Shiro」にて、応答時間の差からユーザー名を推測できる脆弱性が修正されました。 ▼ TP-Link Archer BE230 のコマンドインジェクション Wi-Fi 7ルーター「Archer BE230」のファームウェアに、複数のOSコマンドインジェクション脆弱性が報告されています。 #セキュリティ #エンジニア #ITニュース #脆弱性 #CraftCMS #Apache Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedi --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:32 #20260211 CraftCMSのRCEとApacheDruid認証回避 https://stand.fm/episodes/698af89045af976cd5dd2ad0 https://stand.fm/episodes/698af89045af976cd5dd2ad0 Tue, 10 Feb 2026 09:21:31 GMT ■ 今日の用語解説 今日は、現代セキュリティの基本概念「ゼロトラスト (Zero Trust)」について解説します。 ▼ ゼロトラストを一言でいうと？ 「決して信頼せず、常に検証する（Never Trust, Always Verify）」という考え方に基づいたセキュリティモデルです。 ▼ 従来の防御との違い ・従来（境界型防御）：社内ネットワーク（内側）は安全、社外（外側）は危険という「境界」を作る。 ・ゼロトラスト：社内・社外を問わず、すべてのアクセスを疑い、その都度検証する。 ▼ なぜ重要なのか？ (1) クラウド利用の拡大（データが社外にある） (2) テレワークの普及（人が社外にいる） (3) サイバー攻撃の高度化（一度侵入されると内部で自由に動かれてしまう） ▼ ゼロトラストの3大原則 1. すべてのデータソースとコンピューティングサービスをリソースとみなす。 2. アクセス制御は可能な限りきめ細かく実施する（最小権限）。 3. すべてのリソースの認証と認可を動的に行い、厳格に実施する。 エンジニアとしては、VPN（ブイピーエヌ）に頼り切りにならず、ID管理（IAM）や端末管理（MDM/EDR）を組み合わせた多層的な防御設計が求められます。 #セキュリティ #用語解説 #学習 #エンジニア #ゼロトラスト(ZeroTrust) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:11 【用語解説】ゼロトラストとは？「信頼しない」が最強の防御 https://stand.fm/episodes/698aaa3e84dd32a3547ec4a1 https://stand.fm/episodes/698aaa3e84dd32a3547ec4a1 Tue, 10 Feb 2026 03:47:23 GMT ■ 今日の用語解説 今日は「公開鍵暗号基盤 (PKI)」について解説します。 ▼ PKI（ピーケーアイ）とは？ インターネット上で「通信相手が本人であること」を証明し、安全な通信を行うための社会的な基盤のことです。 単なる暗号化技術ではなく、信頼できる第三者機関（認証局）を含めた仕組み全体を指します。 ▼ なぜ重要なのか？ インターネットは顔が見えない世界です。 (1) なりすましサイト（フィッシング）の防止 (2) 通信の盗聴防止 (3) データの改ざん検知 これらを実現するために、Webサイト閲覧（HTTPS）や電子メールなどで不可欠な技術です。 ▼ 仕組みのポイント ・「秘密鍵」と「公開鍵」のペアを使う ・「認証局 (CA)」が身分証明書（デジタル証明書）を発行する ・ブラウザ等は認証局を信頼することで、接続先を信用する（信頼の連鎖） ▼ エンジニアの対策ポイント ・サーバー証明書の有効期限管理（更新忘れ防止） ・秘密鍵の厳重な保管 ・脆弱な古い暗号化方式を使わないこと #セキュリティ #用語解説 #学習 #エンジニア #公開鍵暗号基盤 #PKI --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:01 【用語解説】PKI（公開鍵暗号基盤）とは？ネットの印鑑証明 https://stand.fm/episodes/698aa7e41e53a293bff1cee1 https://stand.fm/episodes/698aa7e41e53a293bff1cee1 Tue, 10 Feb 2026 03:37:19 GMT ■ 今日の用語解説 今日は「デジタル署名」について解説します。 ▼ デジタル署名とは？ 現実世界の「印鑑」や「サイン」の役割を、デジタルデータに対して行う技術です。 公開鍵暗号方式を応用し、以下の3つを保証します。 (1) 真正性（誰が作ったか） (2) 完全性（改ざんされていないか） (3) 否認防止（後で「送っていない」と言わせない） ▼ 仕組みのポイント ・送信者は「秘密鍵」を使ってハッシュ値を暗号化（署名）します。 ・受信者は「公開鍵」を使って署名を検証します。 ・もしデータが1ビットでも改ざんされていたら、ハッシュ値が合わず検証に失敗します。 ▼ なぜ重要なのか？ Web通信のHTTPS（TLS）、メールのS/MIME、ソフトウェアのアップデートなど、インターネット上のあらゆる「信頼」はこの技術によって支えられています。 #セキュリティ #用語解説 #学習 #エンジニア #デジタル署名 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:27 【用語解説】デジタル署名：信頼を担保する仕組み https://stand.fm/episodes/698a736e84dd32a3547ec122 https://stand.fm/episodes/698a736e84dd32a3547ec122 Mon, 09 Feb 2026 23:53:48 GMT ■ 今日の用語解説 今日は「標的型攻撃 (APT)」について解説します。 ▼ 標的型攻撃 (APT) とは？ 特定の組織や個人をターゲットに絞り、執拗かつ高度な手法を用いて行われるサイバー攻撃のことです。 「Advanced Persistent Threat」の略で、長期間にわたって潜伏するのが特徴です。 ▼ なぜ危険なのか？ ・一般的なウイルス対策ソフトでは検知しにくい ・「数打ちゃ当たる」ではなく「狙い撃ち」される ・取引先を踏み台にする「サプライチェーン攻撃」にも繋がる ▼ 攻撃のステップ（サイバーキルチェーン） (1) 偵察（情報収集） (2) 配送（メールなどでマルウェアを送る） (3) 感染・潜伏（バックドア設置） (4) 目的実行（情報窃取など） ▼ エンジニアの対策ポイント ・「侵入される前提」で考える ・EDRなどのエンドポイント監視を強化する ・多要素認証でIDを守る #セキュリティ #用語解説 #学習 #エンジニア #標的型攻撃(APT) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:44 【用語解説】標的型攻撃(APT)の恐怖と対策 https://stand.fm/episodes/698a630284dd32a3547ebfc2 https://stand.fm/episodes/698a630284dd32a3547ebfc2 Mon, 09 Feb 2026 22:43:21 GMT ■ 今日のハイライト 本日は、オフィス機器の設定ツール、業務用IPカメラ、そして産業用制御システムに関する重要なセキュリティ情報をお届けします。 ▼ 沖電気工業 Configuration Toolの脆弱性 沖電気およびOEM製品（リコー、村田機械）の設定ツールに「引用符で囲まれていない検索パス」の問題が見つかりました。 ・識別子：CVE-2026-24466 ・内容：Windowsのパス解釈を悪用され、不正なプログラムが実行される（権限昇格）リスクがあります。 ・対策：修正版へのアップデートが必要です。 ▼ TP-Link製IPカメラ VIGIシリーズの認証不備 ・識別子：CVE-2026-0629 ・内容：パスワードリカバリ機能の認証が不適切なため、カメラの制御を奪われる恐れがあります。 ▼ 産業用・スマートデバイスの脆弱性まとめ (1) 横河電機 FAST/TOOLS ・識別子：CVE-2025-66594 等 ・内容：エラーメッセージによる情報漏えいやCSRFなど複数の問題。 (2) Ilevia EVE X1 ・識別子：CVE-2025-34184 等 ・内容：OSコマンドインジェクションなど、深刻な脆弱性が複数報告されています。 (3) Hitachi Energy製品 ・識別子：CVE-2024-3596 ・内容：通信メッセージの完全性検証不備。 #セキュリティ #エンジニア #ITニュース #脆弱性 #OKI #TPLink Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedia --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:18 #20260210 沖電気ツールやIPカメラVIGIに脆弱性発見 https://stand.fm/episodes/6989d48f505ab8b36e346316 https://stand.fm/episodes/6989d48f505ab8b36e346316 Mon, 09 Feb 2026 12:35:35 GMT ■ 今日の用語解説 今日は「SIEM（シーム）」について解説します。 ▼ SIEMとは？ Security Information and Event Managementの略称です。 社内の様々な機器（ファイアウォール、サーバー、ネットワーク機器など）からログを集め、それらを分析してサイバー攻撃の予兆を見つけるシステムのことを指します。 ▼ なぜ重要なのか？ (1) 点と点をつなぐ分析 単体の機器では「ただのエラー」に見えるものでも、複数の機器のログを組み合わせる（相関分析する）ことで、「攻撃を受けている」と判断できるようになります。 (2) リアルタイム検知 ログを後から見るのではなく、今起きていることを監視することで、被害が出る前に対処可能になります。 (3) ログの一元管理 形式の異なるログを統一（正規化）し、人間が見やすく整理してくれます。 ▼ 覚え方のポイント 「セキュリティ製品のログをまとめて翻訳し、異常を見つける司令塔」とイメージしてください。 #セキュリティ #用語解説 #学習 #エンジニア #SIEM --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:23 【用語解説】SIEMとは？ログから脅威を見抜く仕組み https://stand.fm/episodes/6989cf2fb271f07403685321 https://stand.fm/episodes/6989cf2fb271f07403685321 Mon, 09 Feb 2026 12:12:40 GMT ■ 今日の用語解説 今日は「ソーシャルエンジニアリング」について解説します。 ▼ ソーシャルエンジニアリングとは？ IT技術を使わず、人間の心理的な隙や行動のミスにつけ込んで、機密情報を盗み出す攻撃手法の総称です。「人間のバグ」を突く攻撃とも言えます。 ▼ なぜ重要なのか？ どんなに堅牢なファイアウォールや暗号化技術を導入していても、それを扱う人間がパスワードを漏らしてしまえば意味がありません。攻撃者にとっては、技術的なハッキングよりも低コストで成功率が高い手法として多用されています。 ▼ 代表的な手口 (1) フィッシング (Phishing) 偽のメールやSMSで、偽サイトへ誘導し情報を入力させる。 (2) プリテキスティング (Pretexting) IT担当者や上司になりすまし、言葉巧みに情報を聞き出す。 (3) ベイティング (Baiting) マルウェア入りのUSBメモリをわざと落とし、拾った人の好奇心を利用してPCに接続させる。 (4) テールゲーティング (Tailgating) 社員証を持つ人の後ろについていき、物理的にオフィスへ侵入する。 ▼ 対策のポイント ・多要素認証 (MFA) を導入し、パスワード以外の壁を作る ・「パスワードを電話で聞くことはない」等のルール徹底 ・定期的なセキュリティ訓練と意識向上 #セキュリティ #用語解説 #学習 #エンジニア #ソーシャルエンジニアリング --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:21 【用語解説】ソーシャルエンジニアリングとは？人は最大の脆弱性 https://stand.fm/episodes/698957a538cbf03500928f53 https://stand.fm/episodes/698957a538cbf03500928f53 Mon, 09 Feb 2026 03:42:55 GMT ■ 今日の用語解説 今日は「内部不正（Insider Threat）」について解説します。 外部攻撃よりも発見が難しく、被害が甚大になりやすいこの脅威。なぜ発生するのか、そしてどう防ぐのかを学びましょう。 ▼ 内部不正とは？ 従業員や元従業員、委託先など、組織内部の人間が権限を悪用して情報を持ち出したり、システムを破壊したりする行為です。 IPAの「情報セキュリティ10大脅威」でも常に上位に入る、深刻な問題です。 ▼ なぜ発生するのか？（不正のトライアングル） (1) 動機（プレッシャー、不満） (2) 機会（アクセスできてしまう環境） (3) 正当化（自分への言い訳） この3つが揃った時に発生しやすいと言われています。 ▼ エンジニアができる技術的対策 エンジニアは「機会」を減らすことが使命です。 ・特権ID管理（PAM）：権限の最小化と管理 ・UEBA：ユーザーの行動分析による異常検知 ・DLP：USBやクラウドへのデータ持ち出し制限 ・退職者IDの即時無効化 ▼ 重要な視点 対策は「人を疑う」ためではなく、「魔が差してしまった人を犯罪者にさせない」ための優しさでもあります。 #セキュリティ #用語解説 #学習 #エンジニア #内部不正 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:58 【内部不正】なぜ多発？身内による脅威とエンジニアができる対策 https://stand.fm/episodes/698955a73c2e8194d26a4eaa https://stand.fm/episodes/698955a73c2e8194d26a4eaa Mon, 09 Feb 2026 03:34:20 GMT ■ 今日の用語解説 今日は「ハッシュ関数」について解説します。 ▼ ハッシュ関数とは？ 任意のデータから固定長の文字列（ハッシュ値）を生成する計算手順のことです。 ・不可逆性：計算結果から元のデータには戻せない ・雪崩効果：元データが1ビットでも変わると結果が激変する ▼ なぜ重要なのか？ (1) パスワード保存の鉄則（平文保存の禁止） (2) 改ざん検知（ファイルの整合性チェック） (3) デジタル署名やブロックチェーンの基盤技術 ▼ エンジニアが知っておくべきポイント ・「暗号化」とは違い、元に戻す（復号）ことはできない。 ・MD5やSHA-1は脆弱性があるため使用しない。 ・パスワード保存には「ソルト」と「ストレッチング」が必須。 #セキュリティ #用語解説 #学習 #エンジニア #ハッシュ関数 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:28 【用語解説】ハッシュ関数とは？戻せないからこそ安全な理由 https://stand.fm/episodes/698910bc45af976cd5dd0ae5 https://stand.fm/episodes/698910bc45af976cd5dd0ae5 Sun, 08 Feb 2026 22:40:06 GMT ■ 今日の用語解説 今日は、セキュリティの基本用語「ブルートフォース攻撃（総当たり攻撃）」について解説します。 ▼ ブルートフォース攻撃とは？ ユーザーIDやパスワードとして考えられる「全てのパターン」を、機械的に総当たりで試してログインを突破しようとする攻撃手法です。 例えるなら、自転車のダイヤル錠（0000〜9999）を全て回して開けようとする行為のデジタル版です。 ▼ なぜ危険なのか？ (1) コンピュータの性能向上により、短いパスワードは一瞬で解析される (2) 攻撃ツールが容易に入手可能で、自動化されている (3) 「数打ちゃ当たる」戦法のため、対策していないサイトは必ず被害に遭う ▼ 主な対策 エンジニアや管理者が実装すべき対策は以下の通りです。 ・アカウントロック機能（数回失敗で一時停止） ・多要素認証（MFA）の導入 ・複雑で長いパスワードの強制 ・レート制限（同一IPからの連続アクセス制限） ▼ 関連用語 ・辞書攻撃：よくある単語リストを使う手法 ・リバースブルートフォース：パスワードを固定してIDを変える手法 #セキュリティ #用語解説 #学習 #エンジニア #ブルートフォース攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:18 #20260209【用語解説】ブルートフォース攻撃：基本にして最大の脅威 https://stand.fm/episodes/69884de47190bcf72efacd26 https://stand.fm/episodes/69884de47190bcf72efacd26 Sun, 08 Feb 2026 08:48:49 GMT ■ 今日の用語解説 今日のテーマは「水飲み場型攻撃（Watering Hole Attack）」です。 ▼ 水飲み場型攻撃とは？ 攻撃ターゲットが頻繁に訪れる「正規のウェブサイト」を改ざんし、そこで待ち伏せしてマルウェアに感染させる標的型攻撃の一種です。 野生動物が水飲み場に集まる習性を狙って肉食獣が狩りをする様子に例えられています。 ▼ 技術的な仕組み (1) 偵察：ターゲットがよく見るサイト（業界ニュースや関連企業など）を特定 (2) 改ざん：そのサイトに悪意あるスクリプトを埋め込む (3) 攻撃：閲覧者のブラウザの脆弱性を突き、自動的にマルウェアを送り込む（ドライブバイダウンロード） ▼ なぜ怖いのか？ ・「いつものサイト」なのでユーザーが警戒しにくい ・特定のIPアドレスからのアクセスのみ攻撃するなど、隠蔽工作が巧妙 ・メールフィルターなどの境界防御をすり抜ける ▼ エンジニアができる対策 ・OSやブラウザ、プラグインの脆弱性パッチを即時適用する ・EDR（エンドポイントでの検知・対応）を導入する ・ブラウザ分離（インターネット分離）技術を検討する #セキュリティ #用語解説 #学習 #エンジニア #水飲み場型攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:23 【用語解説】信頼を利用する罠！水飲み場型攻撃とは？ https://stand.fm/episodes/698842ae3ffaa9be94906185 https://stand.fm/episodes/698842ae3ffaa9be94906185 Sun, 08 Feb 2026 08:00:58 GMT ■ 今日の用語解説 今日は「クリックジャッキング」について解説します。 ▼ クリックジャッキングとは？ ユーザーを視覚的に騙し、意図しないクリック操作を行わせる攻撃手法です。「UIリドレス攻撃」とも呼ばれます。 ▼ 攻撃の仕組み (1) 攻撃者のサイト上に、透明にした「標的サイト」を重ねる（iframeを使用） (2) ユーザーは「懸賞に応募」などの偽ボタンをクリックしたつもりになる (3) 実際には、透明化された標的サイトの「送金」や「退会」ボタンをクリックさせられている ▼ 対策のポイント（エンジニア向け） ・Content-Security-Policy (CSP) の frame-ancestors ディレクティブを設定する ・X-Frame-Options ヘッダ（DENY または SAMEORIGIN）を使用する ・Cookieの SameSite 属性を適切に設定する ウェブサイトが「他人のサイトの中に埋め込まれる」ことを防ぐ設定が重要です。 #セキュリティ #用語解説 #学習 #エンジニア #クリックジャッキング --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:03:14 【用語解説】クリックジャッキングとは？透明な罠の仕組み https://stand.fm/episodes/69883e101be8bc69489e54ba https://stand.fm/episodes/69883e101be8bc69489e54ba Sun, 08 Feb 2026 07:41:13 GMT ■ 今日の用語解説 今日はWebセキュリティの基本中の基本、「クロスサイトスクリプティング (XSS)」について解説します。 ▼ クロスサイトスクリプティング (XSS) とは？ Webサイトの脆弱性を利用して、悪意のあるスクリプトを埋め込む攻撃手法です。 ・ユーザーのブラウザ上で不正な処理を実行させる ・CSSと区別するため「XSS」と略される ▼ なぜ危険なのか？（リスク） (1) セッションハイジャック（なりすまし） (2) 個人情報の漏洩 (3) 偽サイトへの誘導（フィッシング） ▼ 3つの主要なタイプ ・反射型XSS：悪意あるURLを踏ませて攻撃 ・格納型XSS：DBにスクリプトが保存され、閲覧者全員に影響 ・DOM-based XSS：ブラウザ上のJS処理の不備を突く ▼ エンジニアができる対策 ・出力時のエスケープ処理（サニタイズ）を徹底する ・WAF（Web Application Firewall）の導入 ・CSP（Content Security Policy）の設定 ・CookieへのHttpOnly属性の付与 フレームワークを使っているから安心、ではなく、仕組みを理解して実装することが大切です。 #セキュリティ #用語解説 #学習 #エンジニア #クロスサイトスクリプティング #XSS #Web開発 #脆弱性 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:37 【XSS】Webエンジニア必須！クロスサイトスクリプティング対策 https://stand.fm/episodes/69881c10288f2ee6ed82f40f https://stand.fm/episodes/69881c10288f2ee6ed82f40f Sun, 08 Feb 2026 05:16:11 GMT ■ 今日の用語解説 今日は「クロスサイトリクエストフォージェリ (CSRF)」について解説します。 ▼ CSRFとは？ ログイン済みのユーザーに、意図しない操作（リクエスト）を行わせる攻撃手法です。 Webサイトへの「なりすまし操作」とも言えます。 ▼ どんな被害がある？ ・勝手にパスワードを変更される ・知らない間に商品を購入される ・SNSで勝手に投稿される ▼ 仕組みのポイント (1) ブラウザはCookie（ログイン情報）を自動送信してしまう (2) サーバーは「Cookieがある＝本人」と信じてしまう (3) 攻撃者はその隙を突いて、裏でリクエストを飛ばす ▼ エンジニア向けの対策 ・「CSRFトークン（ワンタイムトークン）」の実装が基本 ・Cookieの「SameSite属性」を適切に設定する #セキュリティ #用語解説 #学習 #エンジニア #クロスサイトリクエストフォージェリ(CSRF) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:44 【用語解説】勝手に処理が実行？CSRFの仕組みと対策 https://stand.fm/episodes/6987d4e11be8bc69489e4df4 https://stand.fm/episodes/6987d4e11be8bc69489e4df4 Sun, 08 Feb 2026 00:12:25 GMT ■ 今日のハイライト 本日は開発者やエンジニアに直結する重要なセキュリティニュースをお届けします。 ▼ 【重要】Claude Codeのサンドボックス回避脆弱性 AIコーディングツール「Claude Code」に複数の脆弱性が発見されました。 ・CVE-2026-25725：設定ファイル注入によるサンドボックス脱出 ・CVE-2026-25723：sedコマンドによるファイル書き込み制限回避 ・CVE-2026-25722：cdコマンドによる保護ディレクトリ回避 ※開発環境の乗っ取りに繋がるため、即座にアップデートしてください。 ▼ 【重要】Gogsの認可バイパス セルフホストGit「Gogs」で権限管理の不備が発覚。 ・CVE-2025-65852：読み取り専用ユーザーによるリポジトリ全削除 ・CVE-2026-23632：読み取り専用ユーザーによるコード改ざん ▼ その他のトピック ・【Sliver】CVE-2026-25791：DNS C2におけるOTPバイパスとDoS ・【Malware】Rust/Pythonエコシステムでの悪意あるパッケージ削除（暗号資産窃取など） #セキュリティ #エンジニア #ITニュース #脆弱性 #AI Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedia --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:38 #20260208 Claude Code脱出とGogsの危機 https://stand.fm/episodes/6987007e26845a08cd53ccdd https://stand.fm/episodes/6987007e26845a08cd53ccdd Sat, 07 Feb 2026 09:06:15 GMT ■ 今日のハイライト 本日は週末を前に、緊急性の高いセキュリティ更新情報をまとめてお届けします。開発ツールからCMSまで、幅広い技術領域で深刻な脆弱性が報告されています。 ▼ Sliver: 認証済みパストラバーサル Red Team操作ツール「Sliver」にて、認証済みユーザーがサーバー上の任意のファイルを読み取れる脆弱性が発覚しました。 ・影響: 設定ファイル、クレデンシャル、SSHキーの漏洩リスク ・対策: 最新版への即時アップデートとアクセスログの確認 ▼ SandboxJS: 複数のサンドボックス回避 (CVE-2026-25641 他) JavaScriptサンドボックス「@nyariv/sandboxjs」で、複数の回避手法が発見されました。 (1) TOCTOUバグによるバリデーション回避 (2) プロトタイプ汚染によるホワイトリスト無効化 (3) MapプロトタイプやFunctionコンストラクタを経由したコード実行 これらにより、サンドボックス外での任意コード実行が可能になります。 ▼ Qdrant & NiceGUI: ファイル操作の脆弱性 ・【Qdrant】CVE-2026-25628: ログエンドポイント(/logger)を悪用し、読み取り権限のみでサーバー上の任意ファイルへ追記が可能。 ・【NiceGUI】CVE-2026-25732: ファイルアップロード時のファイル名サニタイズ不足により、パストラバーサル経由で任意の場所にファイルを書き込み可能。 ▼ Web/CMS関連の重要バグ ・【Payload CMS】CVE-2026-25544: JSON/RichTextクエリにおけるSQLインジェクション。PostgreSQL/SQLiteアダプター利用時は要注意。 ・【Spree Commerce】ゲスト購入フローにおけるIDOR脆弱性。他人の住所情報や注文履歴へのアクセスが可能。 ・【OpenFGA】CVE-2026-24851: ポリシー強制の不備によるアクセス制御バイパス。 ▼ ビルドツール・インフラ ・【Webpack】CVE-2025-68458: buildHttp機能における許可リスト(allowedUris)のバイパス。SSRFのような挙動を引き起こす可能性。 ・【FrankenPHP】ベースイメージ(Alpine/Go/PHP)のセキュリティ修正が遅延して反映される問題。 今週はファイルシステムに直接影響する脆弱性が目立ちます。週末のメンテナンスウィンドウで依存関係の更新をご検討ください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #CVE Data sources: GitHub Advisory Database (CC-BY 4.0), JVN iPedia --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793 no 00:02:24 #20260207 Sliverのファイル読取とSandboxJS回避脆弱性