Security– category –
-
【FortiGate】FortiOS 7.4 サポート延長の背景と SSL-VPN 廃止に伴う移行の現実
はじめに FortiGate を運用する多くのネットワークエンジニアにとって、ファームウェアのバージョン管理と機能変更は、インフラの安定稼働を左右する重大な関心事です。 先日、Fortinet 社は製品ライフサイクルを更新し、FortiOS 7.4 のエンジニアリングサ... -
【DevSecOps】Trivy 侵害から学ぶ大規模サプライチェーン攻撃の全容と CI/CD 防衛策
はじめに 2026 年 3 月、オープンソースのコンテナセキュリティスキャナである Trivy の開発環境が侵害され、悪意のあるコードが混入されたバージョンが配布されるという重大なサプライチェーン攻撃(CVE-2026-33634)が発生しました。 最近、npm パッケー... -
【Node.js】深刻な DoS 脆弱性(2026年3月)の影響と安全なアップデート手順
はじめに 2026 年 3 月 24 日、Node.js プロジェクトは複数のセキュリティ脆弱性を修正するための重要なアップデートを公開しました。 今回のリリースには、プロセスをクラッシュさせてシステムを停止に追い込む 2 件の深刻な DoS(サービス拒否)脆弱性が... -
【Langflow】深刻な RCE 脆弱性(CVE-2026-33017)の脅威とパッチ適用手順
はじめに AI エージェントや RAG(検索拡張生成)パイプラインの構築に広く利用されているオープンソースフレームワークの Langflow において、深刻なリモートコード実行(RCE)の脆弱性(CVE-2026-33017)が公開されました。 この脆弱性は認証を必要とせ... -
【Microsoft 365】デバイスコードフィッシングの脅威と OAuth 悪用対策
はじめに 2026 年 2 月以降、アメリカやドイツなど 5 カ国の 340 以上の組織において、Microsoft 365 アカウントを標的とした大規模なデバイスコードフィッシング(Device Code Phishing)キャンペーンが確認されています。 この攻撃は、OAuth のデバイス... -
【AWS】Bedrock 環境を狙う 8 つの攻撃ベクトルと実践的セキュリティ対策
はじめに AWS Bedrock は、エンタープライズ企業が生成 AI アプリケーションを構築するための強力なプラットフォームです。しかし、基盤モデルを社内のデータベースや SaaS システムと直接連携させるその利便性が、新たなセキュリティリスクを生み出してい... -
【FortiGate】Huawei ドライバ悪用による EDR 無効化(BYOVD)と多層防御
はじめに 2026 年 1 月以降、税務関連の文書を検索するユーザーを標的とした大規模な不正広告(マルバタイジング)キャンペーンが確認されています。 この攻撃は、Google 広告を悪用して正規の遠隔操作ツールである ScreenConnect の不正なインストーラー... -
【DevSecOps】Trivy 関連サプライチェーン攻撃 | litellm バックドアの脅威と対策
はじめに 本記事は、脆弱性スキャナー「Trivy」の公式ツール侵害から連鎖的に発生しているサプライチェーン攻撃に関する第 4 弾の解説記事です。これまでの事件の推移については、以下の関連記事をご参照ください。 GitHub Actions、npm、Docker Hub、Kube... -
【DevSecOps】Trivy 関連サプライチェーン攻撃 |ワイパーの脅威と多層防御
はじめに 本記事は、Trivy 公式ツールの侵害から始まった一連のサプライチェーン攻撃に関する第 3 弾の解説記事です。事件の発端および npm エコシステムへの波及については、以下の関連記事をご参照ください。 Trivy 関連のサプライチェーン攻撃は、機密... -
【DevSecOps】Trivy 関連サプライチェーン攻撃 | CanisterWorm の脅威と防御策
はじめに 前回の記事では、Trivy 公式の GitHub Actions が乗っ取られ、CI/CD 環境の機密情報(Secrets)が漏洩した事件について解説しました。 本記事では、その事件から波及して発生した「第二の被害」について改めて解説します。前回の攻撃で窃取された...
