セキュリティ14 件の記事

セキュリティ の記事

pnpm 10 のサプライチェーン防御 - postinstall を止めて依存を「承認」する

pnpm 10 のサプライチェーン防御 - postinstall を止めて依存を「承認」する

pnpm 10 はインストール時の依存のビルドスクリプト(postinstall 等)をデフォルトでブロックし、明示的に承認した依存だけ実行します。onlyBuiltDependencies や approve-builds、minimumReleaseAge を使った現実的なサプライチェーン防御設定を、手元の pnpm 10.12.4 の挙動を確認しながら整理します。

pnpmセキュリティサプライチェーン攻撃npm開発ツール
Passkeys / WebAuthn 入門 - パスワードレス認証を管理画面に入れる前に知っておくこと

Passkeys / WebAuthn 入門 - パスワードレス認証を管理画面に入れる前に知っておくこと

パスキー(Passkeys)と Web Authentication API(WebAuthn)の仕組みを、公開鍵暗号・登録/認証セレモニー・フィッシング耐性の観点から整理します。なぜパスワードより安全なのか、管理画面に導入するときの判断材料(復旧手段・MFAとの違い)まで、実装目線でまとめます。

認証PasskeysWebAuthnセキュリティフロントエンド
プロンプトインジェクションがRCEになる日 - AIエージェントとMCPが攻撃対象になった2026年

プロンプトインジェクションがRCEになる日 - AIエージェントとMCPが攻撃対象になった2026年

2026年5月に相次いだAIエージェントフレームワークとMCPの脆弱性を整理します。Semantic Kernelのプロンプトインジェクション→RCE(CVE-2026-26030 / CVE-2026-25592)や、MCPのSTDIOトランスポート設計に起因するRCE群を題材に、「LLMはセキュリティ境界ではない」という原則と、いま打つべき防御策をまとめます。

セキュリティAIエージェントMCPプロンプトインジェクションRCEAI
【続報】TeamPCP が GitHub 内部リポジトリ3,800件を流出 - 汚染 VS Code 拡張と npm staged publishing

【続報】TeamPCP が GitHub 内部リポジトリ3,800件を流出 - 汚染 VS Code 拡張と npm staged publishing

2026年5月、TanStack 事件を起こした TeamPCP が汚染 VS Code 拡張「Nx Console」を経由して GitHub 従業員端末を侵害し、内部リポジトリ約3,800件を流出させた事件を整理します。攻撃チェーン、ペイロード、そして npm が投入した staged publishing(2FA承認ゲート)まで。

セキュリティnpmサプライチェーン攻撃TeamPCPGitHubVS CodeOIDCstaged publishing
WordPress REST API 完全ガイド - 認証・カスタムエンドポイント・ヘッドレスCMS活用まで

WordPress REST API 完全ガイド - 認証・カスタムエンドポイント・ヘッドレスCMS活用まで

WordPress 標準の REST API(/wp-json/wp/v2/)を徹底解説。基本エンドポイントの一覧、Application Passwords / Cookie + X-WP-Nonce / JWT などの認証方法、register_rest_route によるカスタムエンドポイント実装、Next.js でのヘッドレスCMS活用、ユーザー列挙やCSRFなどのセキュリティ落とし穴まで、実装サンプル付きで網羅します。

WordPressREST APIPHPヘッドレスCMSNext.jsセキュリティ認証
日本を揺るがした最近のセキュリティインシデントまとめ - BeReal炎上からアスクル・マネーフォワードまで(2025-2026)

日本を揺るがした最近のセキュリティインシデントまとめ - BeReal炎上からアスクル・マネーフォワードまで(2025-2026)

2025年後半から2026年5月にかけて日本国内で発生し、社会的インパクトの大きかったセキュリティインシデント10件を整理。アスクルのランサムウェア、マネーフォワード/CAMPFIREのGitHub不正アクセス、山形市YCC情報システム経由の51万件流出、西日本シティ銀行や日テレZIP!のSNS漏洩まで、人的事故からサイバー攻撃まで横断的に解説します。

セキュリティインシデントまとめランサムウェアSNS情報漏洩GitHubBeReal
【サプライチェーン攻撃】2026年3月31日、npmパッケージ「axios」乗っ取り事件の全容と対策

【サプライチェーン攻撃】2026年3月31日、npmパッケージ「axios」乗っ取り事件の全容と対策

週1億ダウンロードを誇るnpmパッケージ「axios」が、北朝鮮系脅威アクターによって乗っ取られた事件を解説。攻撃の手口、影響を受けたバージョン、自分のプロジェクトの確認方法、今後の防御策をまとめます。

セキュリティnpmaxiosサプライチェーン攻撃Node.jsJavaScriptマルウェア
【緊急】npm パッケージ「axios」が乗っ取られた事件まとめ — 2026年3月31日のサプライチェーン攻撃

【緊急】npm パッケージ「axios」が乗っ取られた事件まとめ — 2026年3月31日のサプライチェーン攻撃

2026年3月31日、週間1億ダウンロードを超える人気パッケージ「axios」のnpmアカウントが乗っ取られ、悪意あるバージョン1.14.1と0.30.4が公開されました。攻撃の全容、影響を受けるバージョンの確認方法、今後の防御策をまとめます。

npmaxiosセキュリティサプライチェーン攻撃Node.jsJavaScriptCI/CD
OpenClaw(旧Clawdbot/Moltbot)2026年4月最新版 - 約36万スターに到達したAIエージェントとセキュリティ嵐

OpenClaw(旧Clawdbot/Moltbot)2026年4月最新版 - 約36万スターに到達したAIエージェントとセキュリティ嵐

WhatsApp/TelegramからPCを操作できるオープンソースAIエージェント「OpenClaw」は2026年1月のリリースから半年弱で約36万GitHubスターに到達し、史上最も注目を浴びるOSSとなりました。一方で2026年2月の大規模セキュリティ嵐(複数CVE、ClawJacked、悪意ある340件のスキル)と、4月の堅牢化アップデートまでを最新情報で解説します。

AIエージェントOpenClawMoltbotClawdbotセキュリティツール紹介CVE