セキュリティリサーチャー辻伸弘氏が、サイバーセキュリティの世界におけるさまざまな“常識”や思い込みに、次々と一石を投じる新連載。第1回は、辻氏のキャリアの原点でもあるペネトレーションテストにつき、身を切る思いで問題を提起する。 サイバーセキュリティでは、われわれ守る側の手法も考え方も、脅威の進化に合わせて進化し続けなければならない。かつては最先端とされてきたアプローチが、いつの間にか時代遅れとなっていることもある。日々、業務に追われる中でそれに気付かないことは誰しもあるだろう。 そこで今回は、業界に根付いたある手法に関して、あえて一石を投じてみたいと思う。題して「ペネトレーションテストは死んだのか」。これは決して、安全圏から投げる石ではない。ペネトレーションテストは筆者のキャリアの原点であり、自らの身を切る思いで石を投じようとしている。本稿では筆者自身の歩みとともに、サイバー攻撃が遂げた根

はじめに 広告代理店で生成AI関連のプロダクトマネジメントをしているsawadeeeenです。 2026年1月8日に、セキュリティ企業Radwareが「ZombieAgent」という脆弱性を公開しました。ChatGPTの外部連携機能を悪用して、ユーザーが気づかないうちにデータを抜き取れてしまうというものです。 OpenAIは2025年12月16日に修正済みなので、今すぐ危険というわけではないのですが、この攻撃手法ってAIチャットプロダクト全般に関係する話なんですよね。生成AIプロダクトを担当しているPMとして「これは知っておかないとまずいな」と思ったので、整理してみました。 正直、技術的な詳細は難しい部分もあるのですが、PMとして押さえておくべきポイントに絞って書いていきます。 ZombieAgentってどんな攻撃？ ざっくり言うと ChatGPTって、最近GmailやGoogle Dri

（小林 啓倫：経営コンサルタント） 2010年代、米国が展開した「スタックスネット（Stuxnet）」と呼ばれるサイバー攻撃手法が注目を集めた。これは一種のマルウェア（コンピューターに不具合を起こさせるソフトウェアの総称）で、特定の施設にある機器を稼働停止に追い込むように設計されていた。その機器とは、イランの核燃料濃縮施設に設置された遠心分離機である。 2000年代、イランに秘密の核燃料濃縮施設が存在することが発覚し、同国の核兵器開発疑惑が深刻化した。米国はイランを「悪の枢軸」と名指しし、国連安保理を通じた経済制裁で外交的圧力を強化する一方、より効果的な手法でイランの核開発を遅らせることを検討していた。それがサイバー攻撃による、関連機器の無力化である。 スタックスネットはインターネットから隔離された設備にもUSBメモリーなどを介して入り込めるよう設計されており、実際に2009年から2010

React製のルーティング管理用のライブラリ「React Router」に、「Node.js」環境用パッケージなどにおける深刻な脆弱（ぜいじゃく）性が見つかった。この問題はCVE-2025-61686として識別されており、共通脆弱性評価システム（CVSS）v3.1のスコアは9.1、深刻度「緊急」（Critical）と評価されている。 React Routerに「緊急」の脆弱性　悪用の難易度も低いため要注意 CVE-2025-61686は、Node.jsサーバ「@react-router/node」が提供する「createFileSessionStorage」を、署名されていないCookieと併用した場合に発生する不具合とされている。攻撃者が細工したリクエストを送信することで、セッション処理が本来指定されたディレクトリ以外の場所にあるファイルを読み書きしようとする可能性がある。攻撃の成否は、

【結論ファースト】主要VPNプロトコル比較一覧表 VPNプロトコルとは？ 【主流】現在選ぶべき3大VPNプロトコル 1. WireGuard：最速・最新のオールラウンダー 2. OpenVPN：最も信頼される鉄壁の守り 3. IKEv2/IPsec：モバイル環境のスペシャリスト 【非推奨】避けるべきレガシープロトコル 【用途別】最適なVPNプロトコルの選び方 まとめ VPN（仮想プライベートネットワーク）を利用する上で、その心臓部とも言えるのが「VPNプロトコル」です。どのプロトコルを選ぶかによって、通信の速度、セキュリティの強度、そして安定性が大きく変わります。 「たくさん種類があって、どれを選べばいいかわからない」 「自分の使い方に合った、最適なプロトコルを知りたい」 この記事では、そんな疑問に答えるため、現在主流となっているVPNプロトコルを徹底比較し、あなたの目的や利用シーンに合わ

📝 続編あります: iptables入れたのにまだ27%直接アクセスされてた ー IPv6を忘れていた(https://zenn.dev/dhc4aki/articles/955d4fcbea3196) Cloudflare入れて安心してた 先日、WordPressサイトにCloudflareを導入しました。 https://zenn.dev/dhc4aki/articles/cloudflare-free-496-blocks 24時間で496件の脅威を緩和。エラー率も45%→32%に改善。「無料でここまでできるのか」と感動してました。 DNS浸透すれば完璧だろう、と。 「あれ、緩和率が下がってる...？」 数日後、Cloudflareのダッシュボードを見て違和感。

Instagramでユーザー名・ユーザーの本名・住所・電話番号・メールアドレスが流出する事態が発生しています。影響範囲はおよそ1750万件に及びます。 Cybercriminals stole the sensitive information of 17.5 million Instagram accounts, including usernames, physical addresses, phone numbers, email addresses, and more. This data is available for sale on the dark web and can be abused by cybercriminals. [image or embed]— Malwarebytes (@malwarebytes.com) 2026年1月10日 1:34 An Ins

ChatGPTに絶対に共有してはいけない5つの情報を、専門家が警告。すでにしてしまった場合の対処法も紹介

いかにして「Active Directory」が侵害されるのか、Microsoftがまとめた攻撃パターン：6つの脅威と対策を解説 Microsoftは「Active Directory Domain Services」（AD DS）を狙う攻撃を6つに分類し、検知や対策の方法を示した。

脆弱エンジニアの Advent Calendar 2025 13日目 兼 みすてむずアドカレ1 14日目の記事です。 はじめに 皆さん一度はチェックやレビューを受けて 「これは危ないよ」 と指摘を受けたことがあるのではないでしょうか。 書いたコードのほか、使っているライブラリ、そもそもの設計や仕様の誤り、設定ミスなど、セキュリティの問題というのは様々な要因で起きてしまいます。 一方で要因が様々のため「セキュリティってよくわからん…」という人もよくいるのではないでしょうか。 最近はAIを使ってコードを書くことも増えてきました。 AIモデルの進化によりAI自身が脆弱なコードを書くことが少しずつ減ってきており、 「AIに任せておけば大丈夫だろう…」 と考え、深い理解までは及ばず、レビューで指摘を受けてもとりあえずAIに修正指示を出して終わっていませんか？ 今回紹介する OWASP Top 10:

Urban VPN Proxyの拡張機能が、ユーザーとＡＩの会話を収集して関連企業に情報を提供していたってニュース。 1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blockerにも同じ機能が搭載されてるらしい。合わせて注意。 もともとUrban VPN Proxy自体、本当のVPNじゃなくて「サーバーを持たない」「P2P的な」仕組みだね。この時点で胡散臭い。 普通のVPNはセキュリティ会社のサーバーを経由してIPを隠すわけだけど、Urban VPN Proxyは、ユーザー同士のネットワークを利用してる。 ってことは、自分のPCも踏み台になっているし、自分もだれかわからない人のPCを経由して通信してることになる。 これは結構重大なセキュリティリスクがありそうだね。 うさんくさい運営会社もPerplexityさんに調べてもらった。 Urban Cy

Fortinetは2025年12月24日（現地時間）、2020年に公開された脆弱（ぜいじゃく）性「FG-IR-19-283」（CVE-2020-12812）が、特定の構成環境において悪用されている状況を確認したと発表した。本件はLDAP連携を利用した認証環境において、利用者名の大文字小文字の扱いに差がある場合、意図しない認証経路が選択される問題とされている。 国際的なセキュリティ組織The Shadowserver Foundationによると、公開から5年半が経過した現在も、1万台以上のFortinet製ファイアウォールがいまだにパッチを適用されていないという。 認証挙動の差異が生む問題点　LDAP連携構成に潜む条件 該当事象は、FortiGateが利用者名を区別して扱う挙動と、LDAPディレクトリ側が区別しない挙動の差から生じる。2要素認証を設定したローカル利用者がLDAPグループにも

サイバーセキュリティ関連ニュースレターのLow Orbit Securityが、アメリカによるベネズエラ攻撃が行われた際に、ベネズエラでは停電が起き、BGP異常が起きたと報じています。 Radar #16: Week of 01/05/2026 https://loworbitsecurity.com/radar/radar16/ 2026年1月3日、アメリカのドナルド・トランプ大統領はベネズエラの首都カラカスで軍事作戦を行い、ベネズエラのニコラス・マドゥロ大統領とその妻を拘束しました。トランプ大統領はカラカスで行なわれた軍事作戦について、「暗かった。我々の専門知識のおかげでカラカスの明かりはほとんど消えていた。暗くて、危険だった」と語り、カラカスで起こった停電はアメリカによる軍事作戦の一環であることを示唆しました アメリカの統合参謀本部議長兼空軍大将であるダン・ケイン氏も記者会見の中で、

原子力規制庁の職員が昨年11月、私用で訪問した中国で業務用のスマートフォンを紛失していたことが6日、関係者への取材で分かった。機密性が高いため公表していない核セキュリティー担当部署の職員名や連絡先が登録されていた。スマホは見つかっておらず、規制庁は「情報漏えいの可能性が否定できない」として、国の個人情報保護委員会に報告した。 この部署は、国内の原子力施設にある核物質を守るための対策を担当する。テロ攻撃を受けたり、核物質が盗まれたりしないよう情報管理の徹底が必要で、担当職員の氏名や部署の連絡先は原則公表していない。 関係者によると、スマホは昨年11月3日、職員が私的な目的で訪れた上海の空港で、保安検査を受けるために手荷物を出した際に紛失したとみられる。3日後に紛失に気づき、空港などに問い合わせたが見つからなかった。現時点で悪用された形跡はないという。 規制庁の担当者は取材に対し、庁内への注意

筆者プロフィール：斎藤健二 金融・Fintechジャーナリスト。2000年よりWebメディア運営に従事し、アイティメディア社にて複数媒体の創刊編集長を務めたほか、ビジネスメディアやねとらぼなどの創刊に携わる。2023年に独立し、ネット証券やネット銀行、仮想通貨業界などのネット金融のほか、Fintech業界の取材を続けている。 証券各社がパスキーの導入を急いでいる。パスキーとは、従来のIDとパスワードに代わる新しい認証方式だ。スマートフォンやPCに保存された「秘密鍵」と、サービス側に登録された「公開鍵」のペアで本人確認を行う。秘密鍵は端末から外に出ないため、たとえフィッシング詐欺でだまされて偽サイトにアクセスしても、認証情報を盗まれる心配がない。 しかし、実際に使ってみると、「パスキーを入れただけで、本当にセキュリティは向上したのか」という疑問が浮かんでくる。 これを解消するため、ウェルスナ

前回に引き続き、我が家で起きた一大インシデントを紹介します。クレジットカード利用に関する複数のプッシュ通知から1時間後、カード会社に問い合わせたところAmazonでの不正利用が判明しました。 勝手にメールアドレスを変更し、デジタル資産を何度も購入する攻撃者。カードを停止し、アカウントを取り戻しパスワードを変更したことで終わると思っていましたが……。その後の顛末、そして新たな教訓をまとめたいと思います。 クレカ不正利用は防いだが……被害はまだまだ続く　筆者に訪れた危機 筆者なりにクレジットカード不正利用被害への教訓をまとめると下記のようになります。 ということで家族用アカウントを見直して1日が過ぎたころ、再びおかしな電子メールが届きました。カードは停止しているので、筆者のスマホには通知が来ていません。となると、まさかアカウントにひも付いていた別のカード？！ しかし所有しているカードの使用履歴

良品計画やロフトなどの関連企業の流通に大きな打撃を与えたアスクルのランサムウェア被害。その裏にはアスクルの凡ミスがあった？　ホワイトハッカーの杉浦氏とともにダークWebに潜り、事件の真相に迫る。 良品計画やロフトなどの関連企業の流通に大きな打撃を与えたアスクルのランサムウェア被害は、私たちの生活にも大きな影響を及ぼした。 2025年12月から出荷も順次再開しており復旧の見込みも立ってきているが、アスクルは今回のランサムウェア対応である失敗をしていた。一体それは何か、そしてなぜそれは起きたのか。 アイティメディアが運営する「YouTube」チャンネル「TechLIVE」では、ホワイトハッカーの杉浦隆幸氏を講師に迎え、攻撃者視点の理解を深める番組『攻撃者の目』を公開中だ。 第9回は現役ホワイトハッカーの杉浦隆幸氏とともに、ダークWeb調査から見えた、アスクルのランサムウェア対応時の“凡ミス”と