今注目のAPIセキュリティを理解するウェビナー開催!
APIセキュリティの強化方法を解説するウェビナーを開催します。最新の防御策や具体的な事例も紹介!
news.3rd-in.co.jp
November 4, 2025 at 12:21 AM
信頼されたユーザー向けの内部ツールや「独自のAPIキーを持参する」パターンの実装が含まれます。 Willisonは、彼のHaikuアプリを更新してこの新機能を利用する経験を共有し、プロキシなしでAnthropicと直接通信できるようにしました。最初はClaudeは、セキュリティリスクのためにブラウザからの直接API呼び出しを行うことを勧めませんでしたが、最終的にはWillisonのアプリのために必要な修正を行いました。 Willisonは、新しいヘッダーを使用してブラウザからAPIを呼び出す方法を示す簡略化されたJavaScriptスニペットを提供しています。 (2/2)
August 23, 2024 at 3:43 PM
信頼されたユーザー向けの内部ツールや「独自のAPIキーを持参する」パターンの実装が含まれます。 Willisonは、彼のHaikuアプリを更新してこの新機能を利用する経験を共有し、プロキシなしでAnthropicと直接通信できるようにしました。最初はClaudeは、セキュリティリスクのためにブラウザからの直接API呼び出しを行うことを勧めませんでしたが、最終的にはWillisonのアプリのために必要な修正を行いました。 Willisonは、新しいヘッダーを使用してブラウザからAPIを呼び出す方法を示す簡略化されたJavaScriptスニペットを提供しています。 (2/2)
それとAPIは楽しいけど利用する方はセキュリティをしっかり意識しよう…(◜◡◝)
August 25, 2024 at 11:58 AM
それとAPIは楽しいけど利用する方はセキュリティをしっかり意識しよう…(◜◡◝)
5月8日、F5は次のセキュリティ イシューを発表しました。デバイスへの影響を判断するためのものです。
JR東日本ではWAFなどBIG-IPに集約しており、公開APIを活用した設定の自動化にも取り組まれていることから、影響がないことを願っております。
www.f5.com/ja_jp/case-s...
bsky.app/profile/niho...
JR東日本ではWAFなどBIG-IPに集約しており、公開APIを活用した設定の自動化にも取り組まれていることから、影響がないことを願っております。
www.f5.com/ja_jp/case-s...
bsky.app/profile/niho...
May 12, 2024 at 6:05 AM
5月8日、F5は次のセキュリティ イシューを発表しました。デバイスへの影響を判断するためのものです。
JR東日本ではWAFなどBIG-IPに集約しており、公開APIを活用した設定の自動化にも取り組まれていることから、影響がないことを願っております。
www.f5.com/ja_jp/case-s...
bsky.app/profile/niho...
JR東日本ではWAFなどBIG-IPに集約しており、公開APIを活用した設定の自動化にも取り組まれていることから、影響がないことを願っております。
www.f5.com/ja_jp/case-s...
bsky.app/profile/niho...
今日のZennトレンド
Row Level Security導入のためにやったこと
Stena ExpenseはマルチテナントSaaSで、テナント間のデータ分離に課題がありました。
人為的なWHERE句の追加漏れを防ぐため、Row Level Security(RLS)を導入。
テーブル設計の見直し、API/Batchの精査、データベースROLEの作成、RLS設定を行い、GORMを用いてtenant_idをコンテキストから設定しcurrent_settingに渡すことで、アプリケーション側の改修を最小限に抑えつつ、セキュリティを強化しました。
Row Level Security導入のためにやったこと
Stena ExpenseはマルチテナントSaaSで、テナント間のデータ分離に課題がありました。
人為的なWHERE句の追加漏れを防ぐため、Row Level Security(RLS)を導入。
テーブル設計の見直し、API/Batchの精査、データベースROLEの作成、RLS設定を行い、GORMを用いてtenant_idをコンテキストから設定しcurrent_settingに渡すことで、アプリケーション側の改修を最小限に抑えつつ、セキュリティを強化しました。
Row Level Security導入のためにやったこと
はじめに業務委託としてお手伝いをしている渡部です。Stena Expenseは、1つのソフトウェアを様々なお客様がご利用される、いわゆるマルチテナント型のSaaSです。マルチテナント型のSaaSでは、テナントごとにアプリケーションやデータベースをどのように分離するか、もしくは分離しないかが焦点になりますが、先日Stena Expenseではデータベースの分離方法の1つであるRow Level S
zenn.dev
February 19, 2025 at 9:12 AM
今日のZennトレンド
Row Level Security導入のためにやったこと
Stena ExpenseはマルチテナントSaaSで、テナント間のデータ分離に課題がありました。
人為的なWHERE句の追加漏れを防ぐため、Row Level Security(RLS)を導入。
テーブル設計の見直し、API/Batchの精査、データベースROLEの作成、RLS設定を行い、GORMを用いてtenant_idをコンテキストから設定しcurrent_settingに渡すことで、アプリケーション側の改修を最小限に抑えつつ、セキュリティを強化しました。
Row Level Security導入のためにやったこと
Stena ExpenseはマルチテナントSaaSで、テナント間のデータ分離に課題がありました。
人為的なWHERE句の追加漏れを防ぐため、Row Level Security(RLS)を導入。
テーブル設計の見直し、API/Batchの精査、データベースROLEの作成、RLS設定を行い、GORMを用いてtenant_idをコンテキストから設定しcurrent_settingに渡すことで、アプリケーション側の改修を最小限に抑えつつ、セキュリティを強化しました。
広く利用可能なAIツールは、悪意のあるボット活動の新たな時代を告げている
Widely available AI tools signal new era of malicious bot activity #HelpNetSecurity (Apr 18)
#AIセキュリティ #ボット対策 #APIセキュリティ #サイバー攻撃 #企業防衛
www.helpnetsecurity.com/2025/04/18/a...
Widely available AI tools signal new era of malicious bot activity #HelpNetSecurity (Apr 18)
#AIセキュリティ #ボット対策 #APIセキュリティ #サイバー攻撃 #企業防衛
www.helpnetsecurity.com/2025/04/18/a...
Widely available AI tools signal new era of malicious bot activity - Help Net Security
Rise in accessible AI tools lowered the barrier to entry for cyber attackers, enabling them to create and deploy malicious bots at scale.
www.helpnetsecurity.com
April 21, 2025 at 4:00 AM
広く利用可能なAIツールは、悪意のあるボット活動の新たな時代を告げている
Widely available AI tools signal new era of malicious bot activity #HelpNetSecurity (Apr 18)
#AIセキュリティ #ボット対策 #APIセキュリティ #サイバー攻撃 #企業防衛
www.helpnetsecurity.com/2025/04/18/a...
Widely available AI tools signal new era of malicious bot activity #HelpNetSecurity (Apr 18)
#AIセキュリティ #ボット対策 #APIセキュリティ #サイバー攻撃 #企業防衛
www.helpnetsecurity.com/2025/04/18/a...
https://zenn.dev/taku_sid/articles/20250502_sec_rakuten
2025年に発生した証券会社への大規模なアカウント乗っ取り事件について解説しています。
攻撃者の手口や二要素認証の限界、APIのセキュリティリスクなどを分かりやすく説明しています。
投資家自身が実践すべきセキュリティ対策についても具体的に解説しています。
2025年に発生した証券会社への大規模なアカウント乗っ取り事件について解説しています。
攻撃者の手口や二要素認証の限界、APIのセキュリティリスクなどを分かりやすく説明しています。
投資家自身が実践すべきセキュリティ対策についても具体的に解説しています。
うさぎでもわかる証券会社のセキュリティ問題
zenn.dev
May 3, 2025 at 5:14 AM
https://zenn.dev/taku_sid/articles/20250502_sec_rakuten
2025年に発生した証券会社への大規模なアカウント乗っ取り事件について解説しています。
攻撃者の手口や二要素認証の限界、APIのセキュリティリスクなどを分かりやすく説明しています。
投資家自身が実践すべきセキュリティ対策についても具体的に解説しています。
2025年に発生した証券会社への大規模なアカウント乗っ取り事件について解説しています。
攻撃者の手口や二要素認証の限界、APIのセキュリティリスクなどを分かりやすく説明しています。
投資家自身が実践すべきセキュリティ対策についても具体的に解説しています。
https://zenn.dev/cybozu_ept/articles/org-use-claude-code-action
サイボウズの生産性向上チームが、組織でClaude Code Actionを利用するための基盤を構築した事例を紹介。
Anthropic API契約の一元化、GitHub認証の共通化、セキュリティポリシーの強制、実行ログの一元管理、クォータ制御など、組織利用に必要な要素を実現。
Amazon Bedrockを活用し、AWS環境でのセキュアで効率的な Claude Code Action 利用を可能にするアーキテクチャ、利用フロー、工夫について解説しています。
サイボウズの生産性向上チームが、組織でClaude Code Actionを利用するための基盤を構築した事例を紹介。
Anthropic API契約の一元化、GitHub認証の共通化、セキュリティポリシーの強制、実行ログの一元管理、クォータ制御など、組織利用に必要な要素を実現。
Amazon Bedrockを活用し、AWS環境でのセキュアで効率的な Claude Code Action 利用を可能にするアーキテクチャ、利用フロー、工夫について解説しています。
組織で使うためのClaude Code Action via Amazon Bedrock(認証・ログ分析・クラウド破産防止)
zenn.dev
August 21, 2025 at 4:19 AM
https://zenn.dev/cybozu_ept/articles/org-use-claude-code-action
サイボウズの生産性向上チームが、組織でClaude Code Actionを利用するための基盤を構築した事例を紹介。
Anthropic API契約の一元化、GitHub認証の共通化、セキュリティポリシーの強制、実行ログの一元管理、クォータ制御など、組織利用に必要な要素を実現。
Amazon Bedrockを活用し、AWS環境でのセキュアで効率的な Claude Code Action 利用を可能にするアーキテクチャ、利用フロー、工夫について解説しています。
サイボウズの生産性向上チームが、組織でClaude Code Actionを利用するための基盤を構築した事例を紹介。
Anthropic API契約の一元化、GitHub認証の共通化、セキュリティポリシーの強制、実行ログの一元管理、クォータ制御など、組織利用に必要な要素を実現。
Amazon Bedrockを活用し、AWS環境でのセキュアで効率的な Claude Code Action 利用を可能にするアーキテクチャ、利用フロー、工夫について解説しています。
Adobe、Magento eコマースプラットフォームの重大なSessionReaper脆弱性にパッチを提供
Adobeは、CommerceおよびMagento Open Sourceプラットフォームに存在する重大な脆弱性(CVE-2025-54236)について警告しています。研究者はこの脆弱性をSessionReaperと呼び、製品史上「最も深刻な」脆弱性の一つであると説明しています。 本日、同社はこのセキュリティ問題に対するパッチをリリースしました。この問題は認証なしで悪用され、Commerce REST APIを通じて顧客アカウントを乗っ取られる可能性があります。…
Adobeは、CommerceおよびMagento Open Sourceプラットフォームに存在する重大な脆弱性(CVE-2025-54236)について警告しています。研究者はこの脆弱性をSessionReaperと呼び、製品史上「最も深刻な」脆弱性の一つであると説明しています。 本日、同社はこのセキュリティ問題に対するパッチをリリースしました。この問題は認証なしで悪用され、Commerce REST APIを通じて顧客アカウントを乗っ取られる可能性があります。…
Adobe、Magento eコマースプラットフォームの重大なSessionReaper脆弱性にパッチを提供
Adobeは、CommerceおよびMagento Open Sourceプラットフォームに存在する重大な脆弱性(CVE-2025-54236)について警告しています。研究者はこの脆弱性をSessionReaperと呼び、製品史上「最も深刻な」脆弱性の一つであると説明しています。 本日、同社はこのセキュリティ問題に対するパッチをリリースしました。この問題は認証なしで悪用され、Commerce REST APIを通じて顧客アカウントを乗っ取られる可能性があります。 eコマースセキュリティ企業Sansecによると、Adobeは「選ばれたCommerce顧客」に対し、9月9日に予定されている緊急修正の事前通知を9月4日に行いました。 「Adobeは2025年9月9日(火)に、Adobe CommerceおよびMagento Open Source向けのセキュリティアップデートをリリースする予定です」と通知には記載されています。 「このアップデートは重大な脆弱性を修正します。悪用に成功した場合、セキュリティ機能の回避につながる可能性があります。」 Adobe Commerce on Cloudを利用している顧客は、Adobeによって中間措置として導入されたWebアプリケーションファイアウォール(WAF)ルールによってすでに保護されています。 Magento顧客向けのAdobeからの通知出典:Sansec Adobeはセキュリティ速報の中で、現時点で実際の悪用活動は確認されていないと述べています。Sansecのアドバイザリでも、研究者はSessionReaperの積極的な悪用を確認していないと記載しています。 しかしSansecによれば、CVE-2025-54236の初期ホットフィックスが先週流出しており、これにより脅威アクターがエクスプロイト作成で先行する可能性があるとしています。 研究者によると、悪用が成功するには「セッションデータがファイルシステムに保存されていること」が条件となるようで、これはほとんどのストアでデフォルト設定となっています。 管理者は、利用可能なパッチ(直接ダウンロード、ZIPアーカイブ)を直ちにテストし、適用することが強く推奨されます。研究者は、この修正によりMagento内部の機能が無効化され、カスタムコードや外部コードの一部が動作しなくなる可能性があると警告しています。 このため、Adobeはドキュメントを更新し、Adobe Commerce REST APIのコンストラクターパラメータインジェクションの変更点を説明しています。 「できるだけ早くホットフィックスを適用してください。適用しない場合、このセキュリティ問題に対して脆弱なままとなり、Adobeが支援できる範囲も限られます」 - Adobe Sansecの研究者は、CVE-2025-54236が自動化によって大規模に悪用されると予想しています。また、この脆弱性はプラットフォーム史上最も深刻なMagentoの脆弱性の一つであり、CosmicSting、TrojanOrder、Ambionics SQLi、Shopliftと並ぶものだと指摘しています。 過去にも同様の問題が、セッション偽造、権限昇格、内部サービスへのアクセス、コード実行などに悪用されてきました。 このセキュリティ企業はSessionReaperエクスプロイトの再現に成功しましたが、コードや技術的な詳細は公開せず、「この脆弱性は昨年のCosmicSting攻撃と似たパターンに従っている」とだけ述べています。 翻訳元:
blackhatnews.tokyo
September 9, 2025 at 4:03 PM
Adobe、Magento eコマースプラットフォームの重大なSessionReaper脆弱性にパッチを提供
Adobeは、CommerceおよびMagento Open Sourceプラットフォームに存在する重大な脆弱性(CVE-2025-54236)について警告しています。研究者はこの脆弱性をSessionReaperと呼び、製品史上「最も深刻な」脆弱性の一つであると説明しています。 本日、同社はこのセキュリティ問題に対するパッチをリリースしました。この問題は認証なしで悪用され、Commerce REST APIを通じて顧客アカウントを乗っ取られる可能性があります。…
Adobeは、CommerceおよびMagento Open Sourceプラットフォームに存在する重大な脆弱性(CVE-2025-54236)について警告しています。研究者はこの脆弱性をSessionReaperと呼び、製品史上「最も深刻な」脆弱性の一つであると説明しています。 本日、同社はこのセキュリティ問題に対するパッチをリリースしました。この問題は認証なしで悪用され、Commerce REST APIを通じて顧客アカウントを乗っ取られる可能性があります。…
重大なArgo CD APIの欠陥により、リポジトリの認証情報が攻撃者に公開される
Kubernetes GitOps デプロイメントに使用される人気のオープンソース ツールである Argo CD に重大なセキュリティ上の欠陥が発見されました。
この脆弱性により、プロジェクトレベルのAPIトークンが、ユーザー名やパスワードといった機密性の高いリポジトリ認証情報を攻撃者に公開してしまう可能性があります。この問題はCVSSスコア9.8/10で「重大」と分類され、CVE-2025-55190として追跡されています。
この欠陥は、他のコミュニティ貢献者とともにレポートを調整したセキュリティ...
Kubernetes GitOps デプロイメントに使用される人気のオープンソース ツールである Argo CD に重大なセキュリティ上の欠陥が発見されました。
この脆弱性により、プロジェクトレベルのAPIトークンが、ユーザー名やパスワードといった機密性の高いリポジトリ認証情報を攻撃者に公開してしまう可能性があります。この問題はCVSSスコア9.8/10で「重大」と分類され、CVE-2025-55190として追跡されています。
この欠陥は、他のコミュニティ貢献者とともにレポートを調整したセキュリティ...
Critical Argo CD API Flaw Exposes Repository Credentials to Attackers
A major security flaw has been discovered in Argo CD, a popular open-source tool used for Kubernetes GitOps deployments.
gbhackers.com
September 9, 2025 at 11:15 PM
重大なArgo CD APIの欠陥により、リポジトリの認証情報が攻撃者に公開される
Kubernetes GitOps デプロイメントに使用される人気のオープンソース ツールである Argo CD に重大なセキュリティ上の欠陥が発見されました。
この脆弱性により、プロジェクトレベルのAPIトークンが、ユーザー名やパスワードといった機密性の高いリポジトリ認証情報を攻撃者に公開してしまう可能性があります。この問題はCVSSスコア9.8/10で「重大」と分類され、CVE-2025-55190として追跡されています。
この欠陥は、他のコミュニティ貢献者とともにレポートを調整したセキュリティ...
Kubernetes GitOps デプロイメントに使用される人気のオープンソース ツールである Argo CD に重大なセキュリティ上の欠陥が発見されました。
この脆弱性により、プロジェクトレベルのAPIトークンが、ユーザー名やパスワードといった機密性の高いリポジトリ認証情報を攻撃者に公開してしまう可能性があります。この問題はCVSSスコア9.8/10で「重大」と分類され、CVE-2025-55190として追跡されています。
この欠陥は、他のコミュニティ貢献者とともにレポートを調整したセキュリティ...
【無料動画】
このブログの最初の画像をクリック:
https://erovitokyo.com/article/16129
完全版動画の購入はこちら:
https://al.fanza.co.jp/?lurl=https%3A%2F%2Fwww.dmm.co.jp%2Fmonthly%2Fpremium%2F-%2Fdetail%2F%3D%2Fcid%3Dpppe00282%2F&af_id=nyogyomyu314-998&ch=api
#辱め #中出し #女子校生 #巨乳 #盗撮・のぞき #エロビ東京
このブログの最初の画像をクリック:
https://erovitokyo.com/article/16129
完全版動画の購入はこちら:
https://al.fanza.co.jp/?lurl=https%3A%2F%2Fwww.dmm.co.jp%2Fmonthly%2Fpremium%2F-%2Fdetail%2F%3D%2Fcid%3Dpppe00282%2F&af_id=nyogyomyu314-998&ch=api
#辱め #中出し #女子校生 #巨乳 #盗撮・のぞき #エロビ東京
October 1, 2025 at 2:16 AM
<a href="https://zenn.dev/schroneko/articles/introducing-gpt-4-5" class="hover:underline text-blue-600 dark:text-sky-400 no-card-link" target="_blank" rel="noopener" data-link="bsky">zenn.dev/schroneko/...
GPT-4.5 まとめ
- GPT-4.5はOpenAIの最新モデルで、GPT-4を基盤に教師なし学習を拡張、多方面で性能向上
- ChatGPTウェブ版は機能追加、API料金は高額、セキュリティや準備に関する評価を実施
- 全体的にGPT-40と同等以上の性能、多言語対応も向上、サイバーセキュリティとモデル自律性は低リスク、準備フレームワークでは中程度のリスクと評価
GPT-4.5 まとめ
- GPT-4.5はOpenAIの最新モデルで、GPT-4を基盤に教師なし学習を拡張、多方面で性能向上
- ChatGPTウェブ版は機能追加、API料金は高額、セキュリティや準備に関する評価を実施
- 全体的にGPT-40と同等以上の性能、多言語対応も向上、サイバーセキュリティとモデル自律性は低リスク、準備フレームワークでは中程度のリスクと評価
GPT-4.5 まとめ
OpenAI GPT-4.5 システムカード 1 はじめに 私たちは、OpenAI GPT-4.5 のリサーチプレビューをリリースします。これは当社の最大かつ最も知識豊富なモデルです。GPT-4o をベースに構築された GPT-4.5 は、事前トレーニングをさらに拡張し、強力な STEM…
zenn.dev
March 2, 2025 at 5:04 AM
<a href="https://zenn.dev/schroneko/articles/introducing-gpt-4-5" class="hover:underline text-blue-600 dark:text-sky-400 no-card-link" target="_blank" rel="noopener" data-link="bsky">zenn.dev/schroneko/...
GPT-4.5 まとめ
- GPT-4.5はOpenAIの最新モデルで、GPT-4を基盤に教師なし学習を拡張、多方面で性能向上
- ChatGPTウェブ版は機能追加、API料金は高額、セキュリティや準備に関する評価を実施
- 全体的にGPT-40と同等以上の性能、多言語対応も向上、サイバーセキュリティとモデル自律性は低リスク、準備フレームワークでは中程度のリスクと評価
GPT-4.5 まとめ
- GPT-4.5はOpenAIの最新モデルで、GPT-4を基盤に教師なし学習を拡張、多方面で性能向上
- ChatGPTウェブ版は機能追加、API料金は高額、セキュリティや準備に関する評価を実施
- 全体的にGPT-40と同等以上の性能、多言語対応も向上、サイバーセキュリティとモデル自律性は低リスク、準備フレームワークでは中程度のリスクと評価
未解決の課題: API アクセス制御の脆弱性が依然として大きなセキュリティ リスクである理由
Unsolved Challenge: Why API Access Control Vulnerabilities Remain a Major Security Risk #SecurityBoulevard (Mar 31)
Unsolved Challenge: Why API Access Control Vulnerabilities Remain a Major Security Risk #SecurityBoulevard (Mar 31)
Unsolved Challenge: Why API Access Control Vulnerabilities Remain a Major Security Risk
Despite advancements in API security, access control vulnerabilities, such as broken object-level authentication (BOLA) and broken function-level authentication (BFLA), remain almost impossible to…
securityboulevard.com
April 1, 2025 at 10:30 AM
未解決の課題: API アクセス制御の脆弱性が依然として大きなセキュリティ リスクである理由
Unsolved Challenge: Why API Access Control Vulnerabilities Remain a Major Security Risk #SecurityBoulevard (Mar 31)
Unsolved Challenge: Why API Access Control Vulnerabilities Remain a Major Security Risk #SecurityBoulevard (Mar 31)
Amazon CloudWatchがAWS CloudTrailのデータイベントロギングに対応し、PutMetricData等のAPI活動を追跡可能に。セキュリティ、運用トラブルシューティング、コスト管理に役立ちます。CloudTrailでログを有効化し、監視対象APIを選択することで利用可能です。
aws.amazon.com/about-aws/wh...
aws.amazon.com/about-aws/wh...
July 1, 2025 at 11:21 PM
Amazon CloudWatchがAWS CloudTrailのデータイベントロギングに対応し、PutMetricData等のAPI活動を追跡可能に。セキュリティ、運用トラブルシューティング、コスト管理に役立ちます。CloudTrailでログを有効化し、監視対象APIを選択することで利用可能です。
aws.amazon.com/about-aws/wh...
aws.amazon.com/about-aws/wh...
Malicious npm Packages Infect 3,200+ Cursor Users With Backdoor, Steal Credentials
「サイバーセキュリティ研究者は、人気のある人工知能(AI)を搭載したソースコードエディタであるCursorのApple macOSバージョンをターゲットにするように設計された3つの悪意のあるnpmパッケージにフラグを立てました。
「これらのパッケージは、「最も安価なCursor API」を提供する開発者ツールを装って、ユーザーの資格情報を盗み、脅威アクターが制御するインフラストラクチャから暗号化されたペイロードを取得し […]
「サイバーセキュリティ研究者は、人気のある人工知能(AI)を搭載したソースコードエディタであるCursorのApple macOSバージョンをターゲットにするように設計された3つの悪意のあるnpmパッケージにフラグを立てました。
「これらのパッケージは、「最も安価なCursor API」を提供する開発者ツールを装って、ユーザーの資格情報を盗み、脅威アクターが制御するインフラストラクチャから暗号化されたペイロードを取得し […]
Original post on toot.blue
toot.blue
May 10, 2025 at 7:08 AM
Malicious npm Packages Infect 3,200+ Cursor Users With Backdoor, Steal Credentials
「サイバーセキュリティ研究者は、人気のある人工知能(AI)を搭載したソースコードエディタであるCursorのApple macOSバージョンをターゲットにするように設計された3つの悪意のあるnpmパッケージにフラグを立てました。
「これらのパッケージは、「最も安価なCursor API」を提供する開発者ツールを装って、ユーザーの資格情報を盗み、脅威アクターが制御するインフラストラクチャから暗号化されたペイロードを取得し […]
「サイバーセキュリティ研究者は、人気のある人工知能(AI)を搭載したソースコードエディタであるCursorのApple macOSバージョンをターゲットにするように設計された3つの悪意のあるnpmパッケージにフラグを立てました。
「これらのパッケージは、「最も安価なCursor API」を提供する開発者ツールを装って、ユーザーの資格情報を盗み、脅威アクターが制御するインフラストラクチャから暗号化されたペイロードを取得し […]
Firefox 最新版で NHK+ が見られるようになってた。今日初めて見た。三年待った。
特定の API を Mozilla がセキュリティー上の懸念からあえて実装してなくて,NHK+ ではその API の有無でブラウザー側の対応を判定していたために見られなかったらしい。
今回,Firefox 側で姑息な手段を使って回避したようなんだけど,NHK 側にも大人の事情があるらしく,今後どうなるのか。
公共放送なので折り合ってほしい。
forest.watch.impress.co.jp/docs/serial/...
bugzilla.mozilla.org/show_bug.cgi...
特定の API を Mozilla がセキュリティー上の懸念からあえて実装してなくて,NHK+ ではその API の有無でブラウザー側の対応を判定していたために見られなかったらしい。
今回,Firefox 側で姑息な手段を使って回避したようなんだけど,NHK 側にも大人の事情があるらしく,今後どうなるのか。
公共放送なので折り合ってほしい。
forest.watch.impress.co.jp/docs/serial/...
bugzilla.mozilla.org/show_bug.cgi...
「Firefox 138」のリリースノートにない日本人にとって重要な変更とは?/2022年にサポート対象外となってしまった「NHKプラス」の配信動画を視聴できるように【やじうまの杜】
“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
forest.watch.impress.co.jp
May 13, 2025 at 11:48 AM
Firefox 最新版で NHK+ が見られるようになってた。今日初めて見た。三年待った。
特定の API を Mozilla がセキュリティー上の懸念からあえて実装してなくて,NHK+ ではその API の有無でブラウザー側の対応を判定していたために見られなかったらしい。
今回,Firefox 側で姑息な手段を使って回避したようなんだけど,NHK 側にも大人の事情があるらしく,今後どうなるのか。
公共放送なので折り合ってほしい。
forest.watch.impress.co.jp/docs/serial/...
bugzilla.mozilla.org/show_bug.cgi...
特定の API を Mozilla がセキュリティー上の懸念からあえて実装してなくて,NHK+ ではその API の有無でブラウザー側の対応を判定していたために見られなかったらしい。
今回,Firefox 側で姑息な手段を使って回避したようなんだけど,NHK 側にも大人の事情があるらしく,今後どうなるのか。
公共放送なので折り合ってほしい。
forest.watch.impress.co.jp/docs/serial/...
bugzilla.mozilla.org/show_bug.cgi...
今日のZennトレンド
セキュリティ・キャンプ2025 全国大会 Bクラス チューター参加記
この記事は、セキュリティ・キャンプ2025にチューターとして参加した筆者が、今年のキャンプで経験した学びを共有するものです。
「無敗塾」をコンセプトに、組織の成長に合わせたセキュリティ施策と技術を学びました。
クラウド監視、開発段階でのセキュリティ導入、最新認証技術、Kubernetesセキュリティ、攻撃者視点、APIセキュリティ設計など多岐にわたる実務的な内容を網羅。
脅威モデリングを通じて、具体的な対策検討の重要性を深く理解したことが伝えられています。
セキュリティ・キャンプ2025 全国大会 Bクラス チューター参加記
この記事は、セキュリティ・キャンプ2025にチューターとして参加した筆者が、今年のキャンプで経験した学びを共有するものです。
「無敗塾」をコンセプトに、組織の成長に合わせたセキュリティ施策と技術を学びました。
クラウド監視、開発段階でのセキュリティ導入、最新認証技術、Kubernetesセキュリティ、攻撃者視点、APIセキュリティ設計など多岐にわたる実務的な内容を網羅。
脅威モデリングを通じて、具体的な対策検討の重要性を深く理解したことが伝えられています。
セキュリティ・キャンプ2025 全国大会 Bクラス チューター参加記
はじめに今年はチューターとして人生2回目のセキュリティキャンプに参加させていただきました!!私をチューターに選んでくださった方には大感謝です!このブログでは、各講義で学んだこと、LTイベントの様子、チューター業務などなど、今年のセキュキャンで経験したことを伝えていきます!今年のセキュキャン修了生の参加記もまとめているので、ぜひご覧ください!(随時更新します)今年のセキュキャン修了生の参加記セキュ
zenn.dev
August 19, 2025 at 9:15 AM
今日のZennトレンド
セキュリティ・キャンプ2025 全国大会 Bクラス チューター参加記
この記事は、セキュリティ・キャンプ2025にチューターとして参加した筆者が、今年のキャンプで経験した学びを共有するものです。
「無敗塾」をコンセプトに、組織の成長に合わせたセキュリティ施策と技術を学びました。
クラウド監視、開発段階でのセキュリティ導入、最新認証技術、Kubernetesセキュリティ、攻撃者視点、APIセキュリティ設計など多岐にわたる実務的な内容を網羅。
脅威モデリングを通じて、具体的な対策検討の重要性を深く理解したことが伝えられています。
セキュリティ・キャンプ2025 全国大会 Bクラス チューター参加記
この記事は、セキュリティ・キャンプ2025にチューターとして参加した筆者が、今年のキャンプで経験した学びを共有するものです。
「無敗塾」をコンセプトに、組織の成長に合わせたセキュリティ施策と技術を学びました。
クラウド監視、開発段階でのセキュリティ導入、最新認証技術、Kubernetesセキュリティ、攻撃者視点、APIセキュリティ設計など多岐にわたる実務的な内容を網羅。
脅威モデリングを通じて、具体的な対策検討の重要性を深く理解したことが伝えられています。
クラウドのLLMでも、API契約を結ぶことでアプリから呼び出しが可能になるサービスがありますね🤗 ネット常時接続が前提になりますが😅
ローカルLLMの必要性は、RAGを導入するときに、そのデータや演算結果を外部に漏れないよう鉄壁のセキュリティを維持したいというときでしょう😉
副次的な効果として、RAGの対象とするストレージやサイトを、かなり細かく設定できるということもあります。
ローカルLLMの必要性は、RAGを導入するときに、そのデータや演算結果を外部に漏れないよう鉄壁のセキュリティを維持したいというときでしょう😉
副次的な効果として、RAGの対象とするストレージやサイトを、かなり細かく設定できるということもあります。
August 6, 2025 at 3:32 AM
クラウドのLLMでも、API契約を結ぶことでアプリから呼び出しが可能になるサービスがありますね🤗 ネット常時接続が前提になりますが😅
ローカルLLMの必要性は、RAGを導入するときに、そのデータや演算結果を外部に漏れないよう鉄壁のセキュリティを維持したいというときでしょう😉
副次的な効果として、RAGの対象とするストレージやサイトを、かなり細かく設定できるということもあります。
ローカルLLMの必要性は、RAGを導入するときに、そのデータや演算結果を外部に漏れないよう鉄壁のセキュリティを維持したいというときでしょう😉
副次的な効果として、RAGの対象とするストレージやサイトを、かなり細かく設定できるということもあります。
Amazon SageMaker HyperPodが、顧客管理のKMSキー(CMK)によるEBSボリューム暗号化をサポート。ルート/セカンダリボリュームをCMKで暗号化でき、より高度なセキュリティ、コンプライアンス、キー管理統合を実現。CreateCluster/UpdateCluster APIで設定可能。
aws.amazon.com/about-aws/wh...
aws.amazon.com/about-aws/wh...
August 27, 2025 at 11:19 PM
Amazon SageMaker HyperPodが、顧客管理のKMSキー(CMK)によるEBSボリューム暗号化をサポート。ルート/セカンダリボリュームをCMKで暗号化でき、より高度なセキュリティ、コンプライアンス、キー管理統合を実現。CreateCluster/UpdateCluster APIで設定可能。
aws.amazon.com/about-aws/wh...
aws.amazon.com/about-aws/wh...
CISA、Ivanti EPMM攻撃で使用されたマルウェアキットを公開
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Ivanti Endpoint Manager Mobile(EPMM)に影響を与える脆弱性を悪用する攻撃で使用されたマルウェアの分析を公開しました。
この脆弱性は、EPMM の API コンポーネントにおける認証バイパス (CVE-2025-4427) と、任意のコードの実行を可能にするコードインジェクションの脆弱性 (CVE-2025-4428) です。
これら 2 つの脆弱性は、Ivanti EPMM 開発ブランチとその以前のリリ...
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Ivanti Endpoint Manager Mobile(EPMM)に影響を与える脆弱性を悪用する攻撃で使用されたマルウェアの分析を公開しました。
この脆弱性は、EPMM の API コンポーネントにおける認証バイパス (CVE-2025-4427) と、任意のコードの実行を可能にするコードインジェクションの脆弱性 (CVE-2025-4428) です。
これら 2 つの脆弱性は、Ivanti EPMM 開発ブランチとその以前のリリ...
CISA exposes malware kits deployed in Ivanti EPMM attacks
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has published an analysis of the malware deployed in attacks exploiting vulnerabilities affecting Ivanti Endpoint Manager Mobile (EPMM)...
www.bleepingcomputer.com
September 21, 2025 at 1:05 AM
CISA、Ivanti EPMM攻撃で使用されたマルウェアキットを公開
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Ivanti Endpoint Manager Mobile(EPMM)に影響を与える脆弱性を悪用する攻撃で使用されたマルウェアの分析を公開しました。
この脆弱性は、EPMM の API コンポーネントにおける認証バイパス (CVE-2025-4427) と、任意のコードの実行を可能にするコードインジェクションの脆弱性 (CVE-2025-4428) です。
これら 2 つの脆弱性は、Ivanti EPMM 開発ブランチとその以前のリリ...
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Ivanti Endpoint Manager Mobile(EPMM)に影響を与える脆弱性を悪用する攻撃で使用されたマルウェアの分析を公開しました。
この脆弱性は、EPMM の API コンポーネントにおける認証バイパス (CVE-2025-4427) と、任意のコードの実行を可能にするコードインジェクションの脆弱性 (CVE-2025-4428) です。
これら 2 つの脆弱性は、Ivanti EPMM 開発ブランチとその以前のリリ...
HENNGE OneとJOINT iPaaSの連携で業務効率化を実現する新たな仕組み#東京都#渋谷区#HENNGE_One#API連携#JOINT_iPaaS
HENNGE OneがJOINT iPaaSとAPI連携を開始。自動同期による業務効率化とコスト削減を実現し、セキュリティ強化にも寄与しています。
HENNGE OneがJOINT iPaaSとAPI連携を開始。自動同期による業務効率化とコスト削減を実現し、セキュリティ強化にも寄与しています。
HENNGE OneとJOINT iPaaSの連携で業務効率化を実現する新たな仕組み
HENNGE OneがJOINT iPaaSとAPI連携を開始。自動同期による業務効率化とコスト削減を実現し、セキュリティ強化にも寄与しています。
news.3rd-in.co.jp
October 22, 2025 at 2:52 AM
HENNGE OneとJOINT iPaaSの連携で業務効率化を実現する新たな仕組み#東京都#渋谷区#HENNGE_One#API連携#JOINT_iPaaS
HENNGE OneがJOINT iPaaSとAPI連携を開始。自動同期による業務効率化とコスト削減を実現し、セキュリティ強化にも寄与しています。
HENNGE OneがJOINT iPaaSとAPI連携を開始。自動同期による業務効率化とコスト削減を実現し、セキュリティ強化にも寄与しています。
AWS CodeBuildはIAMポリシーで利用可能な新しい条件キー `codebuild:projectArn` と `codebuild:buildArn` を追加しました。これにより、ビルド元プロジェクトやビルドのARNを指定してAWS APIへのアクセスを制限する高度なセキュリティ制御が可能になります。全てのリージョンで利用可能です。
aws.amazon.com/about-aws/wh...
aws.amazon.com/about-aws/wh...
January 28, 2025 at 11:17 PM
AWS CodeBuildはIAMポリシーで利用可能な新しい条件キー `codebuild:projectArn` と `codebuild:buildArn` を追加しました。これにより、ビルド元プロジェクトやビルドのARNを指定してAWS APIへのアクセスを制限する高度なセキュリティ制御が可能になります。全てのリージョンで利用可能です。
aws.amazon.com/about-aws/wh...
aws.amazon.com/about-aws/wh...
Webサービスの認証APIトークンをチーム管理するBitwardenによる専用サービスらしい
#サイバーセキュリティ
Secrets Manager - Store, Manage, & Deploy Infrastructure Secrets | Bitwarden bitwarden.com/products/sec...
#サイバーセキュリティ
Secrets Manager - Store, Manage, & Deploy Infrastructure Secrets | Bitwarden bitwarden.com/products/sec...
Secrets Manager - Store, Manage, & Deploy Infrastructure Secrets | Bitwarden
Bitwarden Secrets Manager enables developers, DevOps, and cybersecurity teams to centrally store, manage, and deploy secrets at scale. Start a free trial today!
bitwarden.com
May 24, 2024 at 12:59 AM
Webサービスの認証APIトークンをチーム管理するBitwardenによる専用サービスらしい
#サイバーセキュリティ
Secrets Manager - Store, Manage, & Deploy Infrastructure Secrets | Bitwarden bitwarden.com/products/sec...
#サイバーセキュリティ
Secrets Manager - Store, Manage, & Deploy Infrastructure Secrets | Bitwarden bitwarden.com/products/sec...