たぶんこんなことしてる場合じゃないけど、まあセキュリティ月間のイメージキャラクターにジーンさんが就任されてますし、何かしら貢献しときたいねということでClaude Codeに丸投げして作ってもらったフィッシングデータ可視化＋正規URLページ。 secalert170925.github.io/phi…

警視庁、メール受信者の注意力を逆手に取った「二段階式フィッシングメール」に注意喚起 - INTERNET Watch internet.watch.impress.co.jp…

「インフラを作るときに最初からセキュリティを組み込むべきじゃないか？」 「結局はパッチとか基本対策に戻るよね」 という発言がセキュリティ担当じゃない部門から出て、モニタの前で拍手喝采した。 フロンティアAI騒動は非常に厄介だけど、「自分事化」をダイレクトに感じるんだよなぁ。。

政府統一基準ガイドライン改訂、7.1.1主体認証まわりの変更点メモ。 ・MFAは「一部の高権限だけ」から導入検討を前提へ ・VPN/クラウド管理者/AD管理者等は厳格な認証対象に ・AiTM等を踏まえ、フィッシング耐性ある認証方式も重要 ・マルチデバイスFIDO認証(パスキー)のリスクにも言及 ・パスワードの一律な定期変更は、むしろ推奨されない方向へ 政府機関等の対策基準策定のためのガイドラインの一部改定（令和8年6月） cyber.go.jp/policy/group/gen…

はぇー知らんかった。今こんなのあるんや > 1通目にわざと見破りやすい不審なメールを送り、その後に(snip.) 注意喚起を装った巧妙なメールを送りつけ、偽サイトへのリンクを開かせる 警視庁、メール受信者の注意力を逆手に取った「二段階式フィッシングメール」に注意喚起 internet.watch.impress.co.jp…

何件かSCS評価制度の売り込みしてる製品の話聞いてきたけど、 本当に要求事項とか評価基準見て言ってる？ってのがいくつかあったんだけど、 これ他の制度やらガイドラインについてもメーカーが対応って言ってるだけで怪しいのあるかもなあと思って、 だいぶ闇を見た気がする。

「良くも悪くも変わるのはいいことだ」 っての見かけて、 悪く変わるのがいいことのわけなくね？って思ったことをSNSに書くくらいにはストレス溜まってる。

SNSでのその投稿、誹謗中傷かもしれません⚠️ たとえ軽い気持ちでも、根拠のない悪口を投稿すると、名誉毀損罪や侮辱罪に問われる場合があります。 また、匿名であっても発信者を特定することができます。 ルールやモラルを守り、正しい利用を心がけましょう。 gov-online.go.jp/article/202… @MIC_JAPAN

CISAが脆弱性対応の優先順位を実際のリスクで判断する方針を示す BOD 26-04を公開。 対応優先度評価は ・資産の露出状況 ・KEV掲載 ・攻撃自動化可能性 ・技術的影響 を用い、最も厳しいものは3日以内の対応と侵害調査を要求。 内容をスライドに簡単にまとめました。 cisa.gov/news-events/directi…

NEW: malware developers added nuclear & biological weapons text to to their spyware. Goal? To trigger LLM safety refusals... so that their spyware wouldn't be analyzed by an AI security scanner. Cleanest practical example I can think of for why over-indexing on first order safety alignment is risky. When closed (and open) models ship with aggressive refusals, they will be sprinkled with second-order blindspots that attackers will discover...and exploit. We are only in the earliest days of attackers leveraging these features, and it wouldn't surprise me if users systems that need to handle complex cybersecurity issues demand that models be less safety-blunted. In the weeds: @SocketSecurity's post also shows why intention matters in how you design a malware analysis pipeline to avoid prompt manipulation. H/T to colleagues that shared this with me socket.dev/blog/mini-shai-hu…

ふっと浮かんだ ZんぶTンネルにしてNけ道を作るAーキテクチャー

米国CISAが発出したBOD26-04について、脆弱性対処の緊急度を判断する指標と各ケースにおける対処期限が参考になったので、指令中で示されたスケジュールを仮訳してみました。

「npm install」だけでコードが実行される時代が終了へ、npmが自動スクリプト実行を標準で停止する予定 - GIGAZINE gigazine.net/news/20260611-n…

いや、ちょっと待って！ 文科省が博士の学生に金出すんじゃないの！？ 大学教員が獲得した研究費から博士の学生に給料支払えってこと？ ハァ？？？？？？！？！？

元気でな！！！！ 最後まで普通に雑談できて楽しかったわ！やっぱ笑顔が一番や！！！ ほな、未来に帰ります！(未来から来たわけではない) #さらばアルランディス

Fable 5の利用時の注意点として、データ保持ポリシーが挙げられる。 Fable/Mythosクラスのモデルでは、全トラフィックに30日間のデータ保持を義務付けられている。 ただ、これはモデル学習には使われず、安全目的以外には利用せず、30日後にほぼ全ケースで削除されるっぽい。 判断結構難しい気もするが、世の情シスやセキュリティ担当の方々はどう対応するんだろ。 support.claude.com/en/articl…

Mermaid diagrams are now built directly into @Code. 🎉 No extra extension required. 🙌

横幅狭い通路で撃たれたらキツそうだな... デュエリスト多いって...

デュエリストもうええて

Microsoft 365の認証情報を狙う新たなBrowser-in-the-Browser（BitB）フィッシング攻撃が確認された。攻撃者はMicrosoftのOAuth認証画面を模倣した偽のログインウィンドウを表示し、利用者をだまして認証情報を入力させる。 BitB攻撃は本物のブラウザーウィンドウを開くのではなく、Webページ内に偽のポップアップを描画する手法である。今回のキャンペーンでは、ウィンドウがドラッグ可能で、Microsoft OAuthのURL表示やサインイン画面も再現されている。 さらに、偽ウィンドウは利用者のOSやブラウザー情報に応じて表示内容を調整し、実際のブラウザーやシステムダイアログのように見せかける。そのため、見た目だけでは本物と区別しにくい。 Unit 42によると、このキャンペーンには解析回避機能も組み込まれている。デバッグ検出やコード難読化、自動解析システムやボットを別ページへ誘導する機能などが確認されており、セキュリティ製品による検知を回避しようとしている。 利用者がパスワードを入力すると、攻撃者は認証情報を窃取できる。さらに、セッション情報の取得によって多要素認証（MFA）への依存を悪用する可能性もある。 研究者は、パスキーやWebAuthnなどのフィッシング耐性を持つ認証方式の利用を推奨している。また、ログイン画面はリンク経由ではなく直接アクセスし、ポップアップがブラウザー外へ移動できるか、パスワードマネージャーが正常に動作するかなどを確認することが重要だとしている。 gbhackers.com/new-bitb-phish…

MicrosoftがGitHub上で公開していた複数のオープンソースプロジェクトへのアクセスを一時停止した。調査によると、攻撃者がプロジェクトを侵害し、認証情報を窃取するマルウェアをコードへ混入させた可能性がある。 影響を受けたプロジェクトの多くはAzure関連ツールや、Claude Code、Gemini CLI、VS CodeなどのAI開発環境で利用される開発者向けツールに関連している。 CloudsmithおよびOpenSourceMalwareによると、混入されたマルウェアは利用者が対象ツールをAIコーディングアプリ内で開いた際に、パスワードやその他の認証情報を窃取する機能を備えていたという。 Microsoftは調査のため一部リポジトリを非公開化したことを認めている。調査後に復旧したリポジトリもあるが、一部は引き続き停止されたままとなっている。 またMicrosoftは、影響を受けた可能性がある少数の利用者へ個別に通知を行ったと説明した。ただし、影響を受けた利用者数やダウンロード数は公表していない。 GitHub上では少なくとも70件のMicrosoft関連プロジェクトが無効化されたことが確認されている。 この事案は、ソフトウェア開発の供給網を狙うサプライチェーン攻撃の一例とみられている。さらにOpenSourceMalwareは、5月に侵害が報告されたMicrosoftのオープンソースプロジェクト「Durable Task」の再侵害である可能性を指摘している。 techcrunch.com/2026/06/08/mi…