私たちのブログへようこそ。

npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう

RoundcubeのXSSとCookieの書き換えを組み合わせることで、受信トレイへの完全なアクセス権を取得

Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し（cookie tossing）の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。以下に、エクスプロイト仕組みと、その修正方法について説明します。

Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し（cookie tossing）の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。ここでは、エクスプロイト仕組みと、その修正方法について説明します。

「Endpoint Protection」のご紹介：開発者向けデバイスのセキュリティ

Aikido エンドポイント：開発者向けデバイスのセキュリティ | Aikido

サプライチェーン攻撃は開発者の端末を標的としている。 Aikido Aikidoは、npm、PyPI、VS Code拡張機能、ブラウザ拡張機能、AIツールにおけるすべてのインストールを監視します。

Mailcow に複数のクロスサイトスクリプティング（XSS）の脆弱性が確認されました

Mailcowに複数のXSS脆弱性が発見され、認証不要のアカウント乗っ取りも含まれる

Aikidoのペンテスト、Mailcowに3つのXSS脆弱性を発見しました。そのうち1つは、認証されていない攻撃者が管理者アカウントを乗っ取ることを可能にするものでした。すべての問題はバージョン2026-03bで修正されています。

AikidoのAIペネトレーションテストエージェントは、広く利用されているセルフホスト型メールサーバー「Mailcow」に3つのXSS脆弱性を発見しました。最も深刻な脆弱性では、認証されていない攻撃者がAutodiscoverログにペイロードを注入することが可能であり、管理者がそのログを表示した際に実行され、アカウントの完全な乗っ取りを可能にしていました。これら3つの脆弱性はすべて、バージョン2026-03b以降で修正されています。

NIST NVDの予算削減が進む時代における信頼できるCVE情報源

NIST NVDの2026年変更点：セキュリティ担当者が知っておくべきこと

NISTは、ほとんどのCVEの詳細情報を更新しなくなります。変更点、影響を受ける機能、そして今後の見通しについて解説します。

Axios CVE-2026-40175：重大なバグだが……悪用は不可能

AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。

バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある

AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。

技術

GlassWormがネイティブ化：新しいZigドロッパーがマシン上のすべてのIDEに感染する

GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。

Aikido Attack、Hoppscotchに複数のゼロデイ脆弱性を発見

Aikido 攻撃により、Hoppscotchにゼロデイ脆弱性が発見される

AikidoAikidoのAIペネトレーションテストエージェントは、Hoppscotchにアカウント乗っ取り、保存型XSS、アクセス制御の欠陥など、複数の重大な脆弱性を発見しました。これらの問題はすべて修正済みです。

Aikido Attackは、Hoppscotchに3つの高深刻度の脆弱性を特定しました。具体的には、アカウント乗っ取りにつながるオープンリダイレクト、保存型XSS、およびチーム間リクエストインジェクションを可能にするアクセス制御の不備です。

Mythosをめぐるサイバーセキュリティに関する悲観論は、現場で実際に見られる状況とは一致しない

「アンソロピック・ミトス」がもたらすサイバーセキュリティリスク：1,000件のAIペネトレーションテストが実際に明らかにしたこと

Anthropic社の「Mythos」モデルの流出により、AIを活用したサイバー攻撃への懸念が高まっている。我々は1,000件のAIによる侵入テストを実施した。その結果、この脅威はメディアの見出しが伝えるよりも複雑であることが示唆された。

npm上のaxiosが侵害される：メンテナンス担当者のアカウントが乗っ取られ、RATが展開された

悪意のあるaxiosのバージョン1.14.1および0.30.4が、乗っ取られたメンテナンス担当者のアカウントを通じて公開されました。隠された依存関係により、クロスプラットフォーム型のRATが展開されます。影響を受けているかどうかを確認し、直ちに対処してください。

Axiosが侵害されました。メインメンテナンス担当者のアカウントが乗っ取られた後、悪意のあるAxiosバージョン1.14.1および0.30.4がnpmに公開されました。この悪意のある依存関係は、実行後に自己破壊するクロスプラットフォーム型RATを展開します。

PyPI上でTeamPCPにより人気のtelnyxパッケージが侵害

大手AI企業が利用しているPyPI上の人気パッケージ「telnyx」が、TeamPCPによって侵害された

Aikido × Lovable：雰囲気、修正、カップリング

Lovableは Aikido と提携し、Vibe-Codedアプリへのペネトレーションテストを実現

愛らしくて Aikido がペネトレーションテスト機能をプラットフォームに導入し、開発者が実環境での攻撃をシミュレートし、リリース前に問題を修正できるようにします。

Aikido Lovableにペネトレーションテスト機能を直接統合しました。実際の攻撃をシミュレートしてアプリをテストし、リリース前に問題を修正しましょう。

CanisterWormが牙をむく：TeamPCPのKubernetes向けワイパーがイランを標的に

TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した

Aikido フロスト＆サリバンより、ASPMにおける「2026年カスタマーバリュー・リーダーシップ賞」を受賞

フロスト＆サリバンが認定 Aikido ASPM「2026年カスタマー・バリュー・リーダーシップ賞」に選出しました。本賞の選考基準から読み取れる、AppSec市場の成熟度について詳しく解説します

GlassWormは、悪意のあるChrome拡張機能の中にRATを隠している

悪質なChrome拡張機能を通じて拡散するGlassWorm RAT（キーロガー、Cookie窃取）

GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。

セキュリティテストとは、もはや存在しないソフトウェアを検証することである

ペネトレーションテストが追いつかない理由：セキュリティテストにおけるスピードの問題

現代のチームは、ペネトレーションテストが追いつけないほどのスピードで製品をリリースしています。セキュリティテストにおけるこの拡大するスピードのギャップ、そして従来のアプローチがなぜ遅れをとっているのかを探ります。

ある大企業のCISOは、今日のセキュリティにおいて最も重要な能力は「スピード」だと語りました。しかし、システムの変化のスピードにテストが追いつかない場合、どうなるのでしょうか？

fast-draft Open VSX拡張機能がBlokTrooperによって侵害される

fast-draft Open VSX拡張機能がBlokTrooper（RATおよび情報窃取型マルウェア）によって侵害される

Fast-draft Open VSX拡張機能が侵害され、GitHubでホストされたペイロードを介してBlokTrooper RATおよび情報窃取型マルウェアが展開された。複数の悪意のあるバージョンが確認されている。

Glasswormが人気のReact Native電話番号パッケージを攻撃

Glasswormが新たなサプライチェーン攻撃で人気のReact Native電話番号パッケージを標的に

Aikido Securityの研究者は、2つの悪意あるReact Nativeパッケージから完全なペイロードチェーンを回収し、復号しました。このマルウェアの挙動と、注意すべき点について説明します。

Glasswormが再び登場：数百のリポジトリを襲う見えないUnicode攻撃の新たな波

Glasswormが再来：150以上のGitHubリポジトリで発見された見えないUnicodeマルウェア

Glasswormサプライチェーン攻撃が再び発生しました。研究者たちは、150以上のGitHubリポジトリ、npmパッケージ、およびVS Code拡張機能全体で、見えないUnicode文字に隠されたマルウェアを発見しました。

Glasswormが、見えないUnicode攻撃の新たな波とともに戻ってきました。 GitHub、npm、VS Code全体でリポジトリを密かに侵害する新たなキャンペーンを追跡しています。

RSAC 2026の主要パーティー、サイドイベント、セキュリティミートアップ

RSAC 2026パーティー＆セキュリティイベントガイド｜Aikido

セキュリティチームはいかにAIを活用したハッカーに反撃するか

AIはハッカーの参入障壁を劇的に下げました。これは防御側にとって何を意味するのか、そして継続的なAIペンテストがどのように状況を変えるのかを説明します。

一人のハッカーとClaudeのサブスクリプションだけで、メキシコ政府機関9つがダウンしました。AIは攻撃者に大幅なパワーアップをもたらしました。セキュリティチームは新たな戦略（プレイブック）を必要としています。

Gitleaksの作者によるオープンソースのシークレットスキャナー、Betterleaksのご紹介

Betterleaks：より高速なシークレットスキャン向けに構築されたGitleaksの後継

Betterleaksは、Gitleaksの作者による新しいオープンソースのシークレットスキャナーです。より高速なスキャン、トークン効率検出、設定可能な検証などを備えたドロップイン代替品です。

Gitleaksの作者がその後継をリリースします。Betterleaksは、より多くの漏洩を検出し、最新の開発者ワークフローに適合するように構築された、より高速なオープンソースのシークレットスキャナーです。

AIペンテストはコンプライアンスとどのように連携しますか？

AIペネトレーションテストは、SOC 2、ISO 27001、HIPAAにおいて認められつつあり（今後さらに増える可能性が高い）、監査人が実際に何に注目しているのか、また実際の限界はどこにあるのかについて解説します。

AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。

コンプライアンス

トランプ政権の2026年サイバーセキュリティ戦略：コンプライアンスから結果へ

トランプ政権の2026年サイバーセキュリティ戦略は、コンプライアンスチェックリストからサイバー犯罪者に対する実際の結果へと焦点を移します。CISO が知っておくべきことは次のとおりです。

継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。

継続的なペンテストに実際に必要なもの

継続的なペンテスト：その仕組みと必要なもの

継続的なペンテストは広く議論されていますが、明確に定義されることはめったにありません。この記事では、それが何であるか、何でないか、そして実際に何が必要かを詳しく説明します。

レアはランダムではない：シークレットにおけるトークン効率の活用

エントロピーは、一般的なシークレットや短い文字列の検出に苦労することがよくあります。ここでは、トークン効率が通常のテキストに見えない文字列をより適切に識別する方法について考察します。

エントロピーはランダム性の検出に優れています。しかし、シークレットは常にランダムであるとは限りません。それらは通常のコードやテキストには現れない単なる文字列です。私たちはBPEトークン化を使用してその違いを測定する方法を探ります。

なぜ決定論はセキュリティにおいて依然として必要なのか

AIスキャンはルールが見落とすものを見つけます。決定論的スキャンは毎回それを見つけます。最高のセキュリティパイプラインが、なぜどちらか一方を選ぶのではなく、両方を活用するのか、その理由を説明します。

AIを活用したセキュリティツールは、脆弱性の発見において向上しています。しかし、決定論的なツールは、パイプライン、コンプライアンス、監査証跡が依存する一貫性を提供します。決定論的スキャンが優れている点、AIが引き継ぐべき点、そして効果的なセキュリティのために両者がどのように連携するかを見ていきます。

エンジニアリング

WAF vs. RASP vs. ADR

WAF vs. RASP vs. ADR: ランタイムアプリケーションセキュリティの仕組み

WAF、RASP、ADRは、アプリケーションを全く異なる方法で保護します。各レイヤーが実際に何を行い、どのような限界があり、どれが必要なのかを説明します。

WAF、RASP、ADR、eBPF — ランタイムアプリケーションセキュリティに関する用語を明確にします。各レイヤーが実際に何を行い、どのように重複し、どのように連携するのかを説明します

ガイド

Aikido Infiniteの紹介：新たな自己保護ソフトウェアモデル

Aikido Infinite: すべてのリリースに対応する継続的なAI ペンテスト

Aikido Infiniteは、すべてのコード変更に対してAI ペネトレーションテストを実行し、エクスプロイト可能性を検証し、パッチを生成し、コードが本番環境にデプロイされる前に修正を再テストすることで、自己保護型ソフトウェアを現実のものにします。

Storybook の開発サーバーにおける WebSockets を使用した永続的な XSS/RCE

StorybookにおけるWebSocketsを使用した永続的なXSS/RCE (CVE-2026-27148)

CVE-2026-27148は、StorybookにおけるWebSocketハイジャックの脆弱性を露呈し、サプライチェーン侵害にエスカレートする可能性があります。攻撃経路、影響、および対処法について学びましょう。

Aikido Attackは、Storybookの開発サーバーにWebSocketハイジャックの脆弱性を発見しました。これは、永続的なXSS、リモートコード実行、そして最悪の場合にはサプライチェーン侵害につながる可能性があります。攻撃者がユーザーインタラクションなしにこれをどのようにエクスプロイトできるか、また開発者がStorybookの実行中に誤ったウェブサイトを訪問するだけでこの攻撃に遭遇する可能性について解説します。

設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか

AikidoがAIペンテストエージェントを保護し、スコープドリフトを防ぐ方法

Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、およびネットワークレベルの制御により、AIペンテストエージェントを保護し、本番環境への逸脱とデータ漏洩を防ぐ方法をご覧ください。

AIエージェントは探索するように設計されています。サイバーセキュリティにおいては、その探索には厳格な境界が必要です。この記事では、Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、および設計によってリスクを封じ込める多層的な制御を通じて、AIペンテストエージェントをどのように保護するかを説明します。

Hostヘッダー注入によるAstroフルリードSSRF

Astro SSRF脆弱性: SSRエラーページにおけるHostヘッダーインジェクション (CVE-2026-25545)

Aikido SecurityのAIペンテストエージェントは、AstroのSSR実装においてServer-Side Request Forgery (SSRF) の脆弱性を発見しました。プリレンダリングされたエラーページにおけるHostヘッダーインジェクションが、どのようにして内部ネットワークへの完全なアクセスを可能にしたかをご覧ください。

AikidoのAIペンテストエージェントは、AstroのNode.jsアダプターにSSRF脆弱性を発見しました。悪意のあるHost:ヘッダーを注入することで、攻撃者が内部リクエストをローカルネットワーク上の任意のURLにリダイレクトできる方法について見ていきます。

セキュリティを重視するよう取締役会に働きかける方法（侵害が発生して問題が表面化する前に）

セキュリティ侵害が発生する前に、取締役会にセキュリティを重視させる方法

取締役会がセキュリティに資金を投じるのは、それが重要だからではない。正当化できる意思決定に資金を投じるのだ。以下に、リスクを明確化し、曖昧さを減らし、侵害が発生して問題が表面化する前に真の支持を得る方法を示す。

ガイド

スロップスクワッティングとは何か？既に発生しているAIパッケージ幻覚攻撃

スロップスクワッティング：既に発生しているAIパッケージ幻覚攻撃

AIモデルがnpmパッケージ名を幻視する。攻撃者が先に登録する。これがスロープスクワッティングの実態だ。エージェントスキルを通じて拡散する仕組みと、防御策を解説する。

AIモデルがパッケージ名を幻視する——そして攻撃者は誰にも気付かれる前にそれらを登録している。スロップスクワッティングはタイポスクワッティングのAI時代における進化形であり、従来の方法とは異なり、npmの既存の保護策は機能しない。実際に発生している実例を検証する——確認済みの悪意あるパッケージが依然として週数百回のダウンロードを獲得している事例から、AIエージェントのスキルファイルを通じて237のリポジトリに拡散した幻視されたパッケージ名まで。

Wiz Codeの代替ツール（2026年版）：6つのツールを比較し、開発者ファーストの最適な選択肢

トップ6 Wizコード代替品

Wiz Codeの代替ツールをお探しですか？SAST、DAST、SCA、価格、開発者エクスペリエンスの6つのツールを比較し、2026年に最適なAppSecプラットフォームを見つけましょう。

このガイドでは、Wiz CodeをAikido Security、Snyk、Checkmarx、GitHub Advanced Security、Mend、Veracodeの6つの代替製品と比較し、カバレッジ、開発者エクスペリエンス、AIを活用したトリアージ、価格の透明性、デプロイ速度に基づいて評価します。Aikido Securityは、広範なカバレッジ、85%の誤検知削減、SAST、IaC、コンテナ全体でのAI AutoFix、ネイティブDAST、そしてWizの約10分の1のコストで透明性のある価格設定を提供する開発者ファーストのプラットフォームを求めるチームにとって、最上位の選択肢となります。

Aikidoは、Latio Techの2026年アプリケーションセキュリティレポートにおいて、プラットフォームリーダーとして評価されました。

Latio 2026レポートでAikidoがAppSecプラットフォームリーダーに選出

Aikido Securityは、Latio Techの2026年AppSecレポートにおいて、プラットフォームリーダー、AI Pentestingイノベーター、およびサプライチェーンイノベーターとして認められました。

Latio Techの2026年AppSecレポートは、AikidoをプラットフォームリーダーおよびAIイノベーターとして評価しています。このレポートが明らかにするアプリケーションセキュリティの未来をご覧ください。

検知から予防へ：Zen実行時にIDOR脆弱性に対処する方法

検出から防止へ: Zenがランタイム時にIDORを阻止 | Aikido

IDORの脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。ZenがSQLクエリを分析し、出荷前に安全でないアクセスを防止することで、ランタイム時にどのようにテナント分離を強制するかをご覧ください。

IDORの脆弱性は、マルチテナントアプリケーションにおけるクロステナントのデータ漏洩の主要な原因です。この投稿では、Zenがいかに検知を超えてランタイムでテナント分離を強制し、意図しないクロステナントアクセスが出荷されるのを不可能にするかを説明します。

npmのバックドアにより、ハッカーがギャンブルの結果を乗っ取る

npmサプライチェーン攻撃によりゲームのバックエンドが乗っ取られ、ギャンブルの結果が不正操作される

標的型npmサプライチェーン攻撃により、Expressのバックドアがインストールされ、リモートSQL/ファイルアクセスが有効になり、ログの一貫性を保ちながらギャンブルの残高が書き換えられます。

本番環境でギャンブル取引を改ざんし、その後データベースの内部整合性を維持できる悪意のあるnpmパッケージが発見されました。

なぜOpenClawのセキュリティ強化を試みるのに無理があるのか

OpenClawのセキュリティ問題解説：ClawHub内のマルウェア、露出したインスタンス、そしてなぜハードニングガイドが見落とすのか。AIエージェントを安全に使用できますか？

アップグレード影響分析のご紹介：コードに実際に影響を与えるブレイキングチェンジとは

アップグレード影響分析：破壊的変更が実際に影響を与える場合 | Aikido

Aikidoは、依存関係のアップグレードにおける破壊的変更を自動的に検出し、コードベースを分析して実際の影響を示します。これにより、チームはセキュリティ修正を安全にマージできます。

Aikidoのアップグレード影響分析は、依存関係の更新における破壊的変更を検出し、それらの変更が実際にコードに影響を与えるかどうかを示します。

Claude Opus 4.6は500の脆弱性を発見した。これはソフトウェアセキュリティにどのような変化をもたらすのか？

Claude Opus 4.6が500件の脆弱性を発見：ソフトウェアセキュリティにとっての意味

Anthropicは、Claude Opus 4.6がオープンソースで500件以上の高深刻度な脆弱性を発見したと主張しています。これが脆弱性発見、エクスプロイト可能性の検証、および本番環境のセキュリティワークフローに何を意味するのかを解説します。

報道によると、Claude Opus 4.6はオープンソースで500件以上の高深刻度な脆弱性を発見しました。この記事では、それが本番環境で実際に何を変えるのか、LLMの推論がどこで役立つのか、そしてなぜ検証と到達可能性が依然として実際のセキュリティ影響を決定するのかを検証します。

Aikido Expansion Packsのご紹介：IDE内のより安全なデフォルト設定

Aikido Expansion Packs：IDE内のより安全なデフォルト設定

Aikido Expansion Packsは、IDE内に直接、集中的なセキュリティ制御を追加します。開発者のワークフローを変更することなく、シークレット保護、サプライチェーンマルウェアチェック、およびAIアシストによるコードセキュリティを有効にできます。

2026年国際AI安全性報告書：自律型AIシステムにとって何を意味するか

International AI Safety Report 2026：Aikido Security による分析

Aikido Security による International AI Safety Report 2026 の分析。デプロイ時の制御、検証要件、および自律型AIシステム向けの実用的な安全基準を検証します。

100名以上の専門家が国際AI安全性レポート2026に貢献し、自律型AIシステムからのリスクを文書化し、多層防御フレームワークを提案しました。AIペンテストシステムを本番環境で運用するチームとして、当社は、レポートが適切である点と、より技術的な具体性が必要な点を分析します。

自己保護型ソフトウェア：その定義、重要性、および仕組み

自己保護ソフトウェアとは何か？現代のソフトウェアのための新しいセキュリティモデル

自己保護ソフトウェアは、システムが変化するにつれて、実際の脅威を継続的に検証し、修正するセキュリティモデルです。定期的なテストがもはやスケールしない理由を学びましょう。

自己保護ソフトウェアは、セキュリティを定期的なプロセスではなく、組み込みのシステム機能として扱います。この記事では、現代のソフトウェアがなぜ新しいセキュリティモデルを必要とするのか、そしてそれが今日どのようにして可能になったのかを説明します。

エンジニアリングチーム向けセキュアSDLC（＋チェックリスト）

セキュアSDLC解説：セキュアなソフトウェア開発ライフサイクルの5つの柱

セキュアSDLCとは何か、なぜそれが重要なのか、そしてすべてのチームが必要とする5つの柱について学びます。CTOおよびエンジニアリングリーダー向けの実践的なセキュアSDLCチェックリストが含まれています。

2026年版 AIセキュリティツールベスト10：機能、メリット、比較

2026年版 AIセキュリティツールトップ10

2026年版の主要なAIセキュリティツールをご紹介します。現代のアプリケーションを保護するため、AIコードレビュー、脆弱性検出、ペンテスト、リスク管理のためのプラットフォームを比較します。

2026年版サイバーセキュリティツールトップ10：検出、クラウド、XDR、AppSec

2026年版サイバーセキュリティツールトップ10

2026年版サイバーセキュリティツールトップ10の実践的な内訳。エンドポイント、クラウド、ID、脆弱性管理、XDRを網羅しています。スタックとリスクプロファイルに合った適切なツールの選び方を学びましょう。

Continuous Pentestingとは？現代のチームがエクスプロイト可能なリスクを削減する方法

Continuous Pentestingとは？

Continuous pentestingは、ソフトウェアが変更されるたびに実際の攻撃経路を自動的にテストし、開発ライフサイクルの一部として問題を検証・修正します。AIおよび手動のペンテストとの比較についてご確認ください。

継続的ペンテストは、セキュリティを一度限りのテストではなく、生きているシステムとして扱います。ソフトウェアの変更に伴い、現代のチームがエクスプロイト可能なリスクを削減するためにどのようにそれを使用しているかをご覧ください。

npxの混乱: 自らの名前を確保していなかったパッケージ

公式ドキュメントが開発者にnpxを推奨していた、未請求のnpmパッケージ名128件を当社が取得しました。7ヶ月後、121,000件のダウンロードがありました。これらすべてが任意のコードを実行する可能性がありました。

公式ドキュメントでは、開発者に対し`npx package-name`を実行するよう指示しています。しかし、もし誰もその名前を登録していなかったらどうなるでしょうか？私たちはそのうち128個を登録し、監視しました。7ヶ月間で121,000件のダウンロードがありました。ホリデー期間中の落ち込みは、それらがボットではなく実際の開発者であることを証明しています。

Aikido Package Healthのご紹介：依存関係を信頼するためのより良い方法

Aikido Package Health：オープンソースパッケージのヘルススコア

オープンソースパッケージが実際にどれほど安定しており、適切にメンテナンスされているかを確認できます。Aikido Package Healthは、開発者がより安全な依存関係を自信を持って選択するのに役立ちます。

AIペネトレーションテスト：セキュリティテストの最低安全基準

AIペンテストはいつ安全になるのか？セキュリティテストにおける最低限の安全要件

AIペンテストシステムは、ライブ環境に対して自律的に動作します。AIペンテストを安全に使用できる時期、必要な最低限の技術的セーフガード、そしてAIセキュリティテストツールを責任を持って評価する方法について学びましょう。

AIペンテストはすでに実用化されていますが、明確な安全基準はまだ確立されていません。本記事では、AIペンテストの最低限の安全基準を定義し、チームが新しいツールを評価するための具体的な基準を提供します。

偽のClawdbot VS Code拡張機能がScreenConnect RATをインストール

Clawdbotを装った悪意のあるVS Code拡張機能が、開発者のマシンにScreenConnect RATをインストールしています。

2026年版脅威インテリジェンスツールトップ7：ノイズを排除し、真のリスクに焦点を当てる

2026年版脅威インテリジェンスツールトップ7

2026年の主要な脅威インテリジェンスツールを深く掘り下げ、それらがどのようにアラート疲れを軽減し、コンテキストを追加し、チームが現実世界のセキュリティリスクを優先順位付けするのに役立つかを比較します。

トップ14のVS Code拡張機能 (2026年版)：生産性、テスト、セキュリティ、コラボレーション

2026年版 VS Code拡張機能トップ14

2026年版VS Code拡張機能のベストプラクティスガイド。生産性、テスト、コラボレーション、セキュリティツールを網羅し、実際の開発者のワークフローを改善します。

G_Wagon: npmパッケージが100以上の暗号資産ウォレットを標的とするPython Stealerを展開

npmパッケージ「ansi-universal-ui」は、100以上の暗号資産ウォレット、ブラウザの認証情報、およびクラウドキーを標的とするGWagonインフォスティーラーを配信します。私たちは、攻撃者がリアルタイムで開発を進める中で、全10バージョンを分析しました。

Pentest GPT: LLMがペネトレーションテストをどのように再構築しているか

Pentest GPT: AIがペネトレーションテストをどのように変革しているか

Pentest GPTがLLMを活用して攻撃推論を自動化し、実際のエクスプロイトをシミュレートし、テストを規模拡大する方法を探ります。Aikidoがすべての発見をどのように検証しているかをご覧ください。

フィッシングの動向：カスタム認証情報収集ページを配信するnpmパッケージ

標的型スピアフィッシングキャンペーンでは、npmパッケージとjsDelivrを無料のフィッシングインフラストラクチャとして使用し、被害者ごとにカスタマイズされた認証情報ハーベスターを提供していました。

悪意のあるPyPIパッケージ spellcheckpy および spellcheckerpy が Python RAT を配布

攻撃者は、一見して分からないようにマルウェアが隠された偽のスペルチェッカーパッケージをPyPIに公開しました。本稿では、この攻撃の詳細と開発者が注意すべき点について解説します。

SvelteSpill: SvelteKit + Vercelにおけるキャッシュの欺瞞バグ

SvelteSpill: SvelteKit + Vercelにおける重大なキャッシュ欺瞞バグ

SvelteSpillは、VercelにデプロイされたデフォルトのSvelteKit脆弱性キャッシュの脆弱性です。認証済みレスポンスがキャッシュされ、ユーザー間で公開される可能性があります。脆弱性の有無を確認する方法とリスクを軽減する方法について学びましょう。

当社のAIペンテストシステムは、Vercel上のデフォルトのSvelteKitデプロイメントにおいて、高深刻度の脆弱性を発見し、再現しました。ここでは、15万行のコードにわたるクロスレイヤーの欠陥をどのように追跡したかをご紹介します。

エージェントスキルが幻覚的なnpxコマンドを拡散している

AIエージェントのスキルが、幻覚的なnpxコマンドを伝播させ、開発者とサプライチェーンに実際のセキュリティおよび信頼性のリスクをもたらしています。

現代のソフトウェアにおけるオープンソースライセンスのリスクを理解する

オープンソースライセンスのリスクは、依存関係とコンテナイメージに潜んでいます。それが何であるか、なぜ重要なのか、そして問題を早期に発見する方法を学びます。

オープンソースは急速に進化していますが、そのライセンスには依然としてルールがあります。この記事では、オープンソースライセンスのリスクとは何か、なぜ現代の依存関係ツリーでチームが見落とし続けるのか、そして法的な緊急事態に陥ることなくコンプライアンスを維持する方法について解説します。

セキュリティのためのCISO向けバイブコーディングチェックリスト

CISO Vibe Coding Checklist: AIで構築されたアプリケーションの保護

AIおよびvibe-codedアプリケーションを管理するCISO向けの実用的なセキュリティチェックリストです。技術的なガードレール、AI制御、組織ポリシーを網羅しています。

AIを活用したvibeコーディングにより、誰でもソフトウェアを出荷できるようになりました。この記事では、CISOが直面しているセキュリティリスクを概説し、LovableおよびSupabaseのCISOからの情報に基づいた実用的なチェックリストを紹介します。

「No Bullsh*t Security」から10億ドルへ：6,000万ドルのシリーズB資金調達を実施しました

Aikido Securityが評価額10億ドルで6,000万ドルを調達

Aikidoは、自己保護型ソフトウェアと継続的なペネトレーションテストのビジョンを加速させるため、10億ドルの評価額で6,000万ドルのシリーズB資金調達を発表しました。

Aikidoは、世界的にユニコーン企業としての地位を達成したサイバーセキュリティ企業の中で最も速い企業の一つとなり、ヨーロッパでは史上最速を記録しました。

n8nの重大な脆弱性により認証なしのリモートコード実行が可能に (CVE-2026-21858)

n8nの重大な脆弱性 (CVE-2026-21858) | 認証なしRCEの解説

n8nの重大な脆弱性 (CVE-2026-21858) により、セルフホスト型インスタンスで認証なしのリモートコード実行が可能になります。影響を受ける対象と対処方法を学びます。

CoolifyのAI駆動型ペンテスト：7つのCVEを特定

CoolifyでAI ペンテストにより特定された7つのCVE | Aikido

Coolifyに対するAI駆動型ペンテストにより、権限昇格やリモートコード実行の脆弱性を含む7つのCVEが特定されました。発見された問題は責任を持って開示され、修正されています。

Aikido

JavaScript、MSBuild、およびブロックチェーン：NeoShadow npmサプライチェーン攻撃の解剖

NeoShadow npmサプライチェーン攻撃：JavaScript、MSBuild、ブロックチェーン

NeoShadow npmサプライチェーン攻撃の詳細な技術分析。JavaScript、MSBuild、およびブロックチェーン技術がどのように組み合わされて開発者を侵害したかを詳述しています。

SAST vs SCA: 記述するコードと依存するコードを保護する

SAST vs SCA 解説: コードと依存関係の保護

SASTとSCAがどのように異なり、それぞれがどのようなリスクに対処し、現代のAppSecチームがコードと依存関係を保護するために両方を必要とする理由を学びます。

技術

2026年版継続的ペンテストツールのトップ6

エンジニアリングチームとセキュリティチームがDORAの技術要件をどのように満たすことができるか

エンジニアリング＆セキュリティチーム向けDORA技術要件

DORAのエンジニアリングチームおよびセキュリティチーム向けの技術要件（レジリエンス試験、リスク管理、監査対応可能な証拠を含む）を理解する。

コンプライアンス

IDORの脆弱性とは：現代のアプリケーションでなぜそれが続くのか

IDOR脆弱性の解説: 不安全な直接オブジェクト参照がなぜ依然として存在するのか

IDOR脆弱性とは何か、現代のAPIで不安全な直接オブジェクト参照がなぜ依然として存在するのか、そして従来のテストツールが実際の認証失敗の検出に苦戦する理由を学びます。

Shai Huludが再び攻撃 - ゴールデンパス

Shai Huludの新しい系統が野外で確認されました。

MongoBleed: MongoDB Zlib脆弱性 (CVE-2025-14847) およびその修正方法

MongoBleed: MongoDB Zlib脆弱性 (CVE-2025-14847)

CVE-2025-14847として追跡されているMongoBleedは、zlib圧縮を介してMongoDBで認証なしのメモリ開示を可能にします。影響と対策を参照してください。

Jacksonに対するタイポスクワッティング攻撃を介してMaven Centralで発見された初の高度なマルウェア

Maven Centralマルウェア：Jackson TyposquattingがCobalt Strikeペイロードを配信

Maven Centralで初の高度なマルウェアキャンペーンを発見しました。これは、タイポスクワッティングされたJacksonパッケージがSpring Bootの自動実行を介して多段階ペイロードとCobalt Strikeビーコンを配信するものでした。

フォークの覚醒：GitHubの目に見えないネットワークがパッケージセキュリティを破壊する理由

フォークされたコミットによって攻撃者が依存関係を偽装できるGitHubのセキュリティ上の欠陥について詳細に解説します。コミットSHAの問題と、パッケージマネージャーがAPIレベルの保護を必要とする理由を理解しましょう。

IDEでのSASTが無料に: 開発が実際に発生する場所へSASTを移行

IDEでの無料SASTスキャン

リアルタイムのフィードバックとプロジェクト全体の可視性を提供し、IDEで直接無料のSASTスキャンを実行できます。Aikidoと同じSASTルールとエンジンを使用し、サポートされる検出結果にはオプションのAutoFixを利用可能です。

Aikido AI ペンテスト: ライブデモのまとめとFAQ

AIペンテストの実践：ライブデモのTL;DV要約

AikidoのAIペンテストライブデモの要約です。自律型エージェントがどのように実際のアプリケーションをテストし、検出結果を検証し、レポートを生成し、再テストを可能にするかをご覧ください。

ガイド

クラウドセキュリティのトップ7脆弱性

クラウドセキュリティのトップ7脆弱性とその対策

現代の環境に影響を与えるクラウドセキュリティの主要な7つの脆弱性を発見してください。攻撃者がIMDS、Kubernetes、設定ミスなどをどのようにエクスプロイトするかを学び、クラウドインフラストラクチャを効果的に保護するための戦略を探ります。

英国のサイバーセキュリティ・レジリエンス法案に準拠する方法：現代のエンジニアリングチームのための実践ガイド

英国サイバーセキュリティ・レジリエンス法案への準拠 | セキュリティガイド

セキュアバイデザインの実践からSBOMの透明性、サプライチェーンセキュリティ、継続的なコンプライアンスまで、英国サイバーセキュリティ・レジリエンス法案の要件を満たす方法を学びましょう。

コンプライアンス

React & Next.js DoSの脆弱性 (CVE-2025-55184): React2Shell後に修正すべき点

React & Next.js DoSの脆弱性 (CVE-2025-55184) の解説

CVE-2025-55184は、React2Shellに関連するReact Server ComponentsのDoS脆弱性です。誰が影響を受け、どのように機能し、そして完全にパッチを適用する方法を学びましょう。

悪意のあるパッケージから依存関係の混乱攻撃まで、最大のソフトウェアサプライチェーンセキュリティ脆弱性について理解を深めます。

主要なソフトウェアサプライチェーンの脆弱性の解説

ソフトウェアサプライチェーンのセキュリティ脆弱性

JavaScriptのセキュリティ脆弱性 | 主要なリスク

フロントエンドおよびバックエンドアプリケーションに影響を与える最も頻繁なJavaScriptのセキュリティ脆弱性について、実世界の攻撃ベクトルを含めて解説します。

開発者が避けるべきPythonのセキュリティ脆弱性トップ10

Pythonのセキュリティ脆弱性 | 主要な課題

最も一般的なPythonのセキュリティ脆弱性、安全でないパターン、および依存関係に関連するリスクの実践的な概要。

最新のアプリケーションで発見されたコードセキュリティ脆弱性トップ10

コードのセキュリティ脆弱性 | 一般的なリスク

開発者が導入する最も一般的なコードセキュリティ脆弱性、それらがなぜ発生するのか、そしてチームがそれらをより早期に発見する方法について探ります。

Kubernetesセキュリティ脆弱性と設定ミス　トップ9

Kubernetesセキュリティ脆弱性 | 主要なリスク

最も重要なKubernetesセキュリティ脆弱性、一般的な設定ミス、そしてクラスターがデフォルトで公開されていることが多い理由について学びます。

すべてのチームが知っておくべきWebアプリケーションセキュリティのトップ10脆弱性

Webアプリケーションのセキュリティ脆弱性 | 主要なリスク

最も一般的なWebアプリケーションのセキュリティ脆弱性、実際の例、そして現代のチームが早期にリスクを軽減する方法をご紹介します。

OWASP Top 10 for Agentic Applications (2026)：開発者とセキュリティチームが知っておくべきこと

OWASP Top 10 for Agentic Applications (2026)：AIエージェントのセキュリティリスクに関する完全ガイド

OWASP Top 10 for Agentic Applicationsを習得します。主要なAIエージェントのセキュリティリスク、実例、および環境を強化する方法を理解しましょう。

DAST vs ペンテスト vs AI ペンテスト: なぜDASTが現代のペンテストに取って代われないのか

DAST vs ペンテスト vs AIペンテスト: 主な違いを解説

DAST、手動ペネトレーションテスト、AI ペンテストを比較します。それぞれの方法がどこで機能し、DASTの限界はどこにあるのか、そしてAI ペンテストが最新のアプリケーションのより深く継続的なテストをどのように可能にするかをご覧ください。

シークレット検出：漏洩した認証情報を発見し防止するための実践ガイド

シークレット検出ガイド：漏洩の発見と防止

シークレット検出の仕組み、何がシークレットと見なされるか（APIキー、トークン、認証情報）、チームがそれらをどこで漏洩させるか、そしてgit、CI、本番環境での漏洩を防ぐ方法を学びましょう。

CSPM（およびCNAPP）とは？クラウドセキュリティポスチャ管理を解説

CSPM vs CNAPP: クラウドポスチャを解説

CSPMとCNAPPを分かりやすく解説します: そのカバー範囲、クラウドリスクをどのように軽減するか、注目すべき主要機能、そしてチームが実際にどのように導入しているか。

最新のソフトウェアサプライチェーンにおけるマルウェアの検出と防止

ソフトウェアサプライチェーンマルウェアの防止（ガイド）

サプライチェーンマルウェアが現代のコードベースにどのように侵入するか（タイポスクワッティング、依存関係の混乱、悪意のあるアップデート）、そしてCI/CDの早い段階でそれを阻止する防御策を探ります。

IaCセキュリティスキャンとは何ですか？Terraform、Kubernetes、クラウドの誤設定について解説

TerraformおよびKubernetes向けIaCセキュリティスキャン

IaCセキュリティスキャンの理解：Terraform/Kubernetesにおけるクラウドの誤設定の検出方法、優先すべき事項、およびデプロイ前にリスクのある変更を防ぐ方法。

究極のSASTガイド：静的アプリケーションセキュリティテストとは何か？

究極のSASTガイド：静的アプリケーションセキュリティテスト

実践的なSAST解説：静的アプリケーションセキュリティテストがどのように機能するか、どのような問題を発見するか、一般的な落とし穴、そして開発者をノイズで圧倒することなく導入する方法。

サプライチェーンセキュリティ：ソフトウェアコンポジション解析（SCA）ツールの究極ガイド

サプライチェーンセキュリティガイド：最適なSCAツール

SCAツールが何を行い、何を検出するのか（脆弱な依存関係、ライセンス、マルウェアなど）、そしてスタックに適したソフトウェア構成分析ソリューションの選び方について学びましょう。

深刻なReact & Next.js RCEの脆弱性 (CVE-2025-55182): 今すぐ修正すべき点

深刻なReact & Next.js RCEの脆弱性 CVE-2025-55182 修正ガイド

PromptPwnd: AIエージェントを使用したGitHub Actionsにおけるプロンプトインジェクションの脆弱性

GitHub Actions内でのプロンプトインジェクション：サプライチェーン攻撃の新たなフロンティア

AIを活用したGitHub Actionsは、新たなプロンプトインジェクションのサプライチェーン脆弱性を露呈します。

Shai Hulud 2.0：未知の脅威が浮き彫りにする攻撃者の意図

Shai Hulud 2.0：未知の脅威が攻撃者の最終目標について何を明らかにするか

Shai Hulud 2.0マルウェアに関する新たな調査によると、ユーザー名「UnknownWonderer1」は攻撃者の最終目標についてより多くの情報を示唆しています。

SCA Everywhere: IDE内でオープンソースの依存関係をスキャンし修正

IDEでのSCA: AutoFixで脆弱な依存関係をスキャンし修正

インエディタスキャンとAutoFixにより、完全なSCAワークフローをIDEに統合します。開発ワークフローを離れることなく、脆弱なパッケージを検出し、CVEを確認し、安全なアップグレードを適用します。

ありがとうございました！あなたの投稿は受理されました！

あれ！フォームの送信中に何か問題が発生しました。

2023年8月10日

•

ガイドラインと推奨事例

Aikidoの2024年SaaS CTOセキュリティ・チェックリスト

SaaS企業はセキュリティに関して大きな標的となっています。Aikidoの2024年SaaS CTOセキュリティチェックリストは、セキュリティを強化するための40以上の項目を提供します 💪 今すぐダウンロードして、貴社とコードのセキュリティを10倍向上させましょう。 #cybersecurity #SaaSCTO #securitychecklist

タグ/

#AppSec

2023年7月25日

•

ガイドラインと推奨事例

CTOが明かすクラウドとコードセキュリティの15の最重要課題

CTOは皆、製品のセキュリティ確保において課題に直面しています。私たちはSaaS CTOのトレンドを把握し、ニーズと懸念事項を明らかにしたいと考えました。クラウドネイティブソフトウェア企業のCTO15名に、クラウドとコードのセキュリティに関する課題についてヒアリングを行いました。優先事項、阻害要因、欠陥、望ましい結果！

タグ/

#AppSec

#クラウド

2023年7月12日

•

脆弱性と脅威

OWASPトップ10とは？

OWASP Top 10は、最も重大なWebアプリケーションセキュリティリスクを特定し、開発者がこれらの脆弱性を軽減するための指針となる重要なチェックリストです。OWASP Top 10を遵守することで、機密データを保護するだけでなく、セキュリティ意識の文化を育み、新たな脅威に直面してもアプリケーションが回復力を維持できるようにします。

タグ/

#OWASP

#脆弱性

2023年7月11日

•

ガイドラインと推奨事例

SaaSアプリの安全な管理画面を構築する方法

SaaS管理パネル構築時によくある間違いを回避しましょう。SaaS開発者の皆様のために、具体的な落とし穴と潜在的な解決策をいくつかご紹介します。

タグ/

アイテムが見つかりませんでした。

2023年7月5日

•

ガイド

ISO 27001:2022に備えるには

ISO 27001:2022 は ISO 27001:2013 に取って代わります。Aikido は、新しいセキュリティ管理に迅速に準拠できるよう支援し、お客様と顧客が安心して夜を過ごせるようにします。このブログ記事では、新しい要件と Aikido がどのようにサポートするかを詳しく説明します。

タグ/

アイテムが見つかりませんでした。

2023年6月19日

•

ガイド

CI/CDプラットフォームがハッキングされるのを防ぐ

CI/CD はハッカーにとって主要な標的であるため、被害を防ぐための対策を講じましょう。Aikido Security は、クラウドが CI/CD を積極的に防御しているかどうかを特定します。

タグ/

#AWS

#Codeship

#クラウド

#CircleCI

2023年6月12日

•

ガイドラインと推奨事例

セキュリティー評価報告書でより早く取引を成立させる方法

タグ/

#AppSec

#DevSecOps

2023年6月5日

•

ガイド

技術的脆弱性管理の自動化 [SOC 2］

開発チームに重いワークロードを課すことなくコンプライアンスを遵守する方法

タグ/

アイテムが見つかりませんでした。

2023年6月1日

•

ガイドラインと推奨事例

リポジトリ内のプロトタイプ汚染を防ぐ

タグ/

#AppSec

2023年5月16日

•

ガイド

SaaSスタートアップのCTOは、開発スピードとセキュリティのバランスをどうとるか？

タグ/

アイテムが見つかりませんでした。

2023年4月10日

•

エンジニアリング

シンプルな電子メール送信フォームを通じて、ある新興企業のクラウドがどのようにハッキングされたのか？

メールを送信するシンプルなフォームによってスタートアップのクラウドが乗っ取られた経緯

タグ/

#AWS

#SSRF

#IMDSv1

#クラウド

#IMDSv2

2023年1月19日

•

製品および会社のお知らせ

Aikido Security、開発者ファーストのソフトウェアセキュリティプラットフォーム構築のため200万ユーロのプ投資ラウンドを調達

ベルギーの SaaS スタートアップ Aikido Security は、開発者向けのソフトウェアセキュリティ簡素化というミッションを支持する著名なエンジェル投資家から200万ユーロのプレシード資金を調達しました。

タグ/

#AppSec

#脆弱性

2026年3月24日

•

製品および会社のお知らせ

Aikido × Lovable：雰囲気、修正、カップリング

お知らせ

AI ペネトレーションテスト

2026年3月12日

•

製品および会社のお知らせ

Gitleaksの作者によるオープンソースのシークレットスキャナー、Betterleaksのご紹介

2026年2月26日

•

製品および会社のお知らせ

Aikido Infiniteの紹介：新たな自己保護ソフトウェアモデル

AI ペネトレーションテスト

お知らせ

自己保護ソフトウェア

2026年4月23日

•

脆弱性と脅威

Shai-Huludが復活したのか？脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている

マルウェア

2026年4月22日

•

脆弱性と脅威

npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう

マルウェア

2026年4月8日

•

脆弱性と脅威

GlassWormがネイティブ化：新しいZigドロッパーがマシン上のすべてのIDEに感染する

GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。

マルウェア

2025年8月19日

•

DevSecツールと製品比較

2026年版トップ12 動的アプリケーションセキュリティテスト (DAST) ツール

2026年における最適な12の動的アプリケーションセキュリティテスト (DAST) ツールを見つけましょう。機能、長所、短所、統合機能を比較し、DevSecOpsパイプラインに適したDASTソリューションを選びましょう。

ツール

DAST

2025年7月18日

•

DevSecツールと製品比較

2026年版コンテナスキャンツールトップ13

2026年における最適なコンテナスキャンツール13選をご紹介します。機能、長所、短所、連携機能を比較し、DevSecOpsパイプラインに最適なソリューションを選択してください。

ツール

コンテナイメージスキャン

2025年7月17日

•

DevSecツールと製品比較

2026年版Software Composition Analysis (SCA) ツールトップ10

SCAツールは、オープンソースセキュリティにおける最善の防御策です。本記事では、2026年版のオープンソース依存関係スキャナートップ10を解説します。

ツール

SCA