Tomoya AMACHI
@tomoyamachi.bsky.social
CEO@GoodWithLLC
/ Author of Dockle(OSS), Container Image Linter / http://github.com/goodwithtech / CISSP / AWS|Azure|Kubernetes Security Specialist
/ Author of Dockle(OSS), Container Image Linter / http://github.com/goodwithtech / CISSP / AWS|Azure|Kubernetes Security Specialist
VSCode Extensionに含まれる機微情報についての取り組み。主に開発者のミスが原因で配布パッケージ内に機微情報が含まれている "Supply Chain Risk in VSCode Extension Marketplaces | Wiz Blog" https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces
October 16, 2025 at 12:36 AM
VSCode Extensionに含まれる機微情報についての取り組み。主に開発者のミスが原因で配布パッケージ内に機微情報が含まれている "Supply Chain Risk in VSCode Extension Marketplaces | Wiz Blog" https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces
YouTube落ちてるの珍しい。公式のサービスステータスを確認できるページないのかな "Is YouTube down? See status and problems | NordVPN" https://nordvpn.com/ja/is-it-down/youtube/
October 16, 2025 at 12:10 AM
YouTube落ちてるの珍しい。公式のサービスステータスを確認できるページないのかな "Is YouTube down? See status and problems | NordVPN" https://nordvpn.com/ja/is-it-down/youtube/
SaaSのデータ保護に関するレポート。AIの情報が多め。AI利用の67%が個人アカウントで利用されており、77%の利用者がデータを貼り付けて利用している。AIに渡すデータは平均14回/日そのうち、20%は機密データが含まれる "The LayerX Enterprise AI & SaaS Data Security Rep…" https://go.layerxsecurity.com/the-layerx-enterprise-ai-saas-data-security-report-2025?utm_source=THN&utm_campaign=AI_report_2025
October 8, 2025 at 5:48 AM
SaaSのデータ保護に関するレポート。AIの情報が多め。AI利用の67%が個人アカウントで利用されており、77%の利用者がデータを貼り付けて利用している。AIに渡すデータは平均14回/日そのうち、20%は機密データが含まれる "The LayerX Enterprise AI & SaaS Data Security Rep…" https://go.layerxsecurity.com/the-layerx-enterprise-ai-saas-data-security-report-2025?utm_source=THN&utm_campaign=AI_report_2025
npmのセキュリティ対策(クラシックトークンの廃止、TOTPの段階的廃止)のスケジュールが公開。11月中旬までに実施予定とのこと "Strengthening npm security: Important changes to authentication and token management - GitHub Changelog" https://github.blog/changelog/2025-09-29-strengthening-npm-security-important-changes-to-authentication-and-token-management/
October 1, 2025 at 12:38 AM
npmのセキュリティ対策(クラシックトークンの廃止、TOTPの段階的廃止)のスケジュールが公開。11月中旬までに実施予定とのこと "Strengthening npm security: Important changes to authentication and token management - GitHub Changelog" https://github.blog/changelog/2025-09-29-strengthening-npm-security-important-changes-to-authentication-and-token-management/
自己増殖するnpmパッケージマルウェアへの対策計画に関するGitHubのブログ。FIDOベースの2FA,クラシックトークンの終了など "Our plan for a more secure npm supply chain - The GitHub Blog" https://github.blog/security/supply-chain-security/our-plan-for-a-more-secure-npm-supply-chain/
September 24, 2025 at 3:04 AM
自己増殖するnpmパッケージマルウェアへの対策計画に関するGitHubのブログ。FIDOベースの2FA,クラシックトークンの終了など "Our plan for a more secure npm supply chain - The GitHub Blog" https://github.blog/security/supply-chain-security/our-plan-for-a-more-secure-npm-supply-chain/
CVEアドバイザリとパッチから学習して、AIから自動でエクスプロイトコードを作成する研究。現状14個のエクスプロイトコードがある様子。未検証 "Auto Exploits - Security Research Repository" https://autoexploit.ai/
September 17, 2025 at 12:59 AM
CVEアドバイザリとパッチから学習して、AIから自動でエクスプロイトコードを作成する研究。現状14個のエクスプロイトコードがある様子。未検証 "Auto Exploits - Security Research Repository" https://autoexploit.ai/
「情報セキュリティ白書2025」PDF版の公開がはじまった "情報セキュリティ白書2025 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構" https://www.ipa.go.jp/publish/wp-security/2025.html
September 11, 2025 at 1:51 AM
「情報セキュリティ白書2025」PDF版の公開がはじまった "情報セキュリティ白書2025 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構" https://www.ipa.go.jp/publish/wp-security/2025.html
"I/F設計ガイドライン | フューチャー株式会社" https://future-architect.github.io/arch-guidelines/documents/forIF/if_guidelines.html
August 18, 2025 at 11:25 AM
"I/F設計ガイドライン | フューチャー株式会社" https://future-architect.github.io/arch-guidelines/documents/forIF/if_guidelines.html
AI関連の機能がより早く利用できるようになるなら嬉しいが、GitHubがAI事業の一部になると仕様変更を気軽にされそうでちょっと怖い "GitHub、Microsoftの「CoreAI部門」の一部に ドムケCEOは退任し起業の道へ - ITmedia NEWS" https://www.itmedia.co.jp/news/articles/2508/12/news050.html
August 12, 2025 at 1:24 AM
AI関連の機能がより早く利用できるようになるなら嬉しいが、GitHubがAI事業の一部になると仕様変更を気軽にされそうでちょっと怖い "GitHub、Microsoftの「CoreAI部門」の一部に ドムケCEOは退任し起業の道へ - ITmedia NEWS" https://www.itmedia.co.jp/news/articles/2508/12/news050.html
CISAが作成した、インシデントと対策のシナリオを作成するためのツール。テンプレートとしてVolt Typhoonなどが存在 "cisagov/playbook-ng: Playbook-NG is a stateless web-based application used to match incident findings with countermeasures for adversary contai…" https://github.com/cisagov/playbook-ng
August 4, 2025 at 12:26 AM
CISAが作成した、インシデントと対策のシナリオを作成するためのツール。テンプレートとしてVolt Typhoonなどが存在 "cisagov/playbook-ng: Playbook-NG is a stateless web-based application used to match incident findings with countermeasures for adversary contai…" https://github.com/cisagov/playbook-ng
気になる "脆弱性診断 with AIエージェント、ついに開発チームにひろがりました。 - freee Developers Hub" https://developers.freee.co.jp/entry/AI-agent-securitytest-used-by-devteam
August 1, 2025 at 1:12 AM
気になる "脆弱性診断 with AIエージェント、ついに開発チームにひろがりました。 - freee Developers Hub" https://developers.freee.co.jp/entry/AI-agent-securitytest-used-by-devteam
「自筆証書遺言書保管制度」うちも1Passwordを利用しているので同じことをしよう "1Password と遺言保管制度を用いたデジタル終活 | blog.jxck.io" https://blog.jxck.io/entries/2025-07-25/digital-regacy.html
July 27, 2025 at 11:53 PM
「自筆証書遺言書保管制度」うちも1Passwordを利用しているので同じことをしよう "1Password と遺言保管制度を用いたデジタル終活 | blog.jxck.io" https://blog.jxck.io/entries/2025-07-25/digital-regacy.html
eslint-config-prettierなどで悪意あるコードが存在するバージョンが公開された。攻撃者はPhishingによりメンテナのなりすましを行ったとのこと。影響力が大きいパッケージなので共有 "Popular npm linter packages hijacked via phishing to drop malware" https://www.bleepingcomputer.com/news/security/popular-npm-linter-packages-hijacked-via-phishing-to-drop-malware/
July 20, 2025 at 5:00 AM
eslint-config-prettierなどで悪意あるコードが存在するバージョンが公開された。攻撃者はPhishingによりメンテナのなりすましを行ったとのこと。影響力が大きいパッケージなので共有 "Popular npm linter packages hijacked via phishing to drop malware" https://www.bleepingcomputer.com/news/security/popular-npm-linter-packages-hijacked-via-phishing-to-drop-malware/
LLMのポチョムキン理解(知識の応用や、概念を一貫して使うことができない状態)に関する論文。既存の評価指数では好成績だがはりぼて状態なので、評価指数の見直しをすべきでは "[2506.21521] Potemkin Understanding in Large Language Models" https://arxiv.org/abs/2506.21521
July 8, 2025 at 12:56 AM
LLMのポチョムキン理解(知識の応用や、概念を一貫して使うことができない状態)に関する論文。既存の評価指数では好成績だがはりぼて状態なので、評価指数の見直しをすべきでは "[2506.21521] Potemkin Understanding in Large Language Models" https://arxiv.org/abs/2506.21521
GitHubでのDevice Code Phishing手法について。無効化方法はないので、検知できるよう監査ログをチェック "Introducing: GitHub Device Code Phishing | Praetorian" https://www.praetorian.com/blog/introducing-github-device-code-phishing/
July 8, 2025 at 12:49 AM
GitHubでのDevice Code Phishing手法について。無効化方法はないので、検知できるよう監査ログをチェック "Introducing: GitHub Device Code Phishing | Praetorian" https://www.praetorian.com/blog/introducing-github-device-code-phishing/
自分で考えることの大切さがわかる。アスリートじゃなくても話自体が面白い "【神回】全アスリート必見!高橋尚子が世界記録を出した、驚きのトレーニングと技術に刮目せよ! - YouTube" https://www.youtube.com/watch?v=A1IEbi_iSyI
July 2, 2025 at 2:42 PM
自分で考えることの大切さがわかる。アスリートじゃなくても話自体が面白い "【神回】全アスリート必見!高橋尚子が世界記録を出した、驚きのトレーニングと技術に刮目せよ! - YouTube" https://www.youtube.com/watch?v=A1IEbi_iSyI
e-Govからの申請データは90日程度で申請した履歴すら削除される仕様だった。これが「よくある質問」にもないの何でだ。 "よくあるご質問(FAQ) | e-Govポータル" https://www.e-gov.go.jp/help/faq/
July 2, 2025 at 7:44 AM
e-Govからの申請データは90日程度で申請した履歴すら削除される仕様だった。これが「よくある質問」にもないの何でだ。 "よくあるご質問(FAQ) | e-Govポータル" https://www.e-gov.go.jp/help/faq/
Copilot ChatのVSCode拡張が公開されていた "microsoft/vscode-copilot-chat: Copilot Chat extension for VS Code" https://github.com/microsoft/vscode-copilot-chat
July 1, 2025 at 11:49 PM
Copilot ChatのVSCode拡張が公開されていた "microsoft/vscode-copilot-chat: Copilot Chat extension for VS Code" https://github.com/microsoft/vscode-copilot-chat
MCPの概要/セキュリティリスク/作成方法などがまとまっているので、詳しくない人にも共有できるよい資料 "MCP x Security / SSG × SGE.Web MCP 勉強会 | CyberAgent Developers Blog" https://developers.cyberagent.co.jp/blog/archives/57243/
July 1, 2025 at 2:35 AM
MCPの概要/セキュリティリスク/作成方法などがまとまっているので、詳しくない人にも共有できるよい資料 "MCP x Security / SSG × SGE.Web MCP 勉強会 | CyberAgent Developers Blog" https://developers.cyberagent.co.jp/blog/archives/57243/
エージェントでのスキャンが辛くてEFSを利用したこともあるので、こういう情報は助かる "GuardDuty Malware Protection for S3 でスキャンと通知を組んでみる(Terraform) 〜 1/1000にコストを抑える 〜 - CARTA TECH BLOG" https://techblog.cartaholdings.co.jp/entry/terraform-guardduty-malware-protection-for-s3
June 27, 2025 at 2:32 AM
エージェントでのスキャンが辛くてEFSを利用したこともあるので、こういう情報は助かる "GuardDuty Malware Protection for S3 でスキャンと通知を組んでみる(Terraform) 〜 1/1000にコストを抑える 〜 - CARTA TECH BLOG" https://techblog.cartaholdings.co.jp/entry/terraform-guardduty-malware-protection-for-s3
Wizが毎月CTFを作ってくれる "The Ultimate Cloud Security Championship | 12 Months × 12 Challenges | Wiz Blog" https://www.wiz.io/blog/the-ultimate-cloud-security-championship-12-months-x-12-challenges
June 27, 2025 at 2:27 AM
Wizが毎月CTFを作ってくれる "The Ultimate Cloud Security Championship | 12 Months × 12 Challenges | Wiz Blog" https://www.wiz.io/blog/the-ultimate-cloud-security-championship-12-months-x-12-challenges
Authenticodeの仕様をついた攻撃。今後、AIを利用して署名領域外の改ざんが容易になると思うと怖い "Hackers turn ScreenConnect into malware using Authenticode stuffing" https://www.bleepingcomputer.com/news/security/hackers-turn-screenconnect-into-malware-using-authenticode-stuffing/
June 27, 2025 at 2:08 AM
Authenticodeの仕様をついた攻撃。今後、AIを利用して署名領域外の改ざんが容易になると思うと怖い "Hackers turn ScreenConnect into malware using Authenticode stuffing" https://www.bleepingcomputer.com/news/security/hackers-turn-screenconnect-into-malware-using-authenticode-stuffing/
Cloudflare Containersの情報。Edgeでコンテナを起動し従量課金 "Containers are available in public beta for simple, global, and programmable compute" https://blog.cloudflare.com/containers-are-available-in-public-beta-for-simple-global-and-programmable/
June 25, 2025 at 1:57 PM
Cloudflare Containersの情報。Edgeでコンテナを起動し従量課金 "Containers are available in public beta for simple, global, and programmable compute" https://blog.cloudflare.com/containers-are-available-in-public-beta-for-simple-global-and-programmable/
Extended Raft Algorithmの解説。1nodeを低いコストに代替できるが、稀にリーダーなしの状態になりうる。実装されても利用しないだろうが知識として "2 node で HA 構成を実現する Extended Raft Algorithm 〜入社2年目AJA所属〜 | CyberAgent Developers Blog" https://developers.cyberagent.co.jp/blog/archives/57404/
June 25, 2025 at 12:28 AM
Extended Raft Algorithmの解説。1nodeを低いコストに代替できるが、稀にリーダーなしの状態になりうる。実装されても利用しないだろうが知識として "2 node で HA 構成を実現する Extended Raft Algorithm 〜入社2年目AJA所属〜 | CyberAgent Developers Blog" https://developers.cyberagent.co.jp/blog/archives/57404/
アメリカ下院でWhatsAppの利用禁止。日本も公人はLINE全面禁止すればいいと思ってる "U.S. House Bans WhatsApp on Official Devices Over Security and Data Protection Issues" https://thehackernews.com/2025/06/us-house-bans-whatsapp-on-official.html
June 25, 2025 at 12:17 AM
アメリカ下院でWhatsAppの利用禁止。日本も公人はLINE全面禁止すればいいと思ってる "U.S. House Bans WhatsApp on Official Devices Over Security and Data Protection Issues" https://thehackernews.com/2025/06/us-house-bans-whatsapp-on-official.html