Aikido
無料で始める
CC不要

私たちのブログへようこそ。

注目
Mini Shai-Hulud、パンを装った秘密情報窃取ツールでSAPのnpmパッケージを標的に
Mini Shai-Hulud、パンを装った秘密情報窃取ツールでSAPのnpmパッケージを標的に
侵害されたSAPのnpmパッケージは、Bunをベースとしたプレインストールペイロードを使用してGitHub、npm、クラウド、およびCIシークレット盗み出し、その後「OhNoWhatsGoingOnWithGitHub」を利用してGitHub経由で拡散します。
脆弱性と脅威
Raphael Silva
ブラウザ拡張機能をサプライチェーン攻撃の経路として扱うべき時が来た
ブラウザ拡張機能をサプライチェーン攻撃の経路として扱うべき時が来た | Vercelの侵害事件から得られた教訓
Vercelでのセキュリティ侵害は、セキュリティ業界ではよく知られたパターンに沿ったものでした。つまり、サードパーティのコードが暗黙のうちに信頼され、その後、上流で侵害されるというものです。私たちには、こうした事態に対処するためのフレームワークがあります。ただ、まだブラウザ拡張機能には適用していないだけです。(ネタバレ:私たちはソフトウェア依存関係これを行っています)
Vercelでのセキュリティ侵害は、セキュリティ業界ではよく知られたパターンに沿ったものでした。つまり、サードパーティのコードが暗黙のうちに信頼され、その後、上流で侵害されるというものです。私たちには、こうした事態に対処するためのフレームワークがあります。ただ、まだブラウザ拡張機能には適用していないだけです。(ネタバレ:私たちはソフトウェア依存関係これを行っています)
脆弱性と脅威
Dania Durnas
Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている
Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている
@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。
@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。
脆弱性と脅威
Ilyas Makari
npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう
npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう
新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。
新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。
脆弱性と脅威
Ilyas Makari
RoundcubeのXSSとCookieの書き換えを組み合わせることで、受信トレイへの完全なアクセス権を取得
RoundcubeのXSSとCookieの書き換えを組み合わせることで、受信トレイへの完全なアクセス権を取得
Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し(cookie tossing)の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。以下に、エクスプロイト 仕組みと、その修正方法について説明します。
Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し(cookie tossing)の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。ここでは、エクスプロイト 仕組みと、その修正方法について説明します。
脆弱性と脅威
Jorian Woltjer
「デバイス保護」のご紹介:開発者向けデバイスのセキュリティ
Aikido デバイス保護:開発者向けデバイスのセキュリティ | Aikido
サプライチェーン攻撃は開発者の端末を標的としている。 Aikido Device Protectionは、npm、PyPI、VS Code拡張機能、ブラウザ拡張機能、AIツールにおけるすべてのインストールを監視します。
製品および会社のお知らせ
Madeline Lawrence
Mailcow に複数のクロスサイトスクリプティング(XSS)の脆弱性が確認されました
Mailcowに複数のXSS脆弱性が発見され、認証不要のアカウント乗っ取りも含まれる
Aikidoのペンテスト 、Mailcowに3つのXSS脆弱性を発見しました。そのうち1つは、認証されていない攻撃者が管理者アカウントを乗っ取ることを可能にするものでした。すべての問題はバージョン2026-03bで修正されています。
AikidoのAIペネトレーションテストエージェントは、広く利用されているセルフホスト型メールサーバー「Mailcow」に3つのXSS脆弱性を発見しました。最も深刻な脆弱性では、認証されていない攻撃者がAutodiscoverログにペイロードを注入することが可能であり、管理者がそのログを表示した際に実行され、アカウントの完全な乗っ取りを可能にしていました。これら3つの脆弱性はすべて、バージョン2026-03b以降で修正されています。
脆弱性と脅威
Jorian Woltjer
NIST NVDの予算削減が進む時代における信頼できるCVE情報源
NIST NVDの2026年変更点:セキュリティ担当者が知っておくべきこと
NISTは、ほとんどのCVEの詳細情報を更新しなくなります。変更点、影響を受ける機能、そして今後の見通しについて解説します。
ニュース
Sooraj Shah
Opengrepの1年:これまでの成果と今後の展望
OpengrepSAST 年:より高速で確定的な静的解析
Semgrepのフォークから1年が経ち、Opengrepは処理速度が向上し、より詳細なテイント解析に対応するようになったほか、一貫性があり再現性のある結果を出力できるようになりました。
Semgrepをフォークしてから1年が経ち、Opengrepはより高速で、より高性能になり、完全にオープンソース化されました。ここでは、私たちが構築したものと今後の展望についてご紹介します。
製品および会社のお知らせ
ディミトリス・モストロス
Axios CVE-2026-40175:重大なバグだが……悪用は不可能
Axios CVE-2026-40175:重大なバグだが……悪用は不可能
AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。
AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。
脆弱性と脅威
マッケンジー・ジャクソン
バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある
バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある
AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。
AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。
技術
マッケンジー・ジャクソン
GlassWormがネイティブ化:新しいZigドロッパーがマシン上のすべてのIDEに感染する
GlassWormがネイティブ化:新しいZigドロッパーがマシン上のすべてのIDEに感染する
GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。
GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。
脆弱性と脅威
Ilyas Makari
Aikido Attack、Hoppscotchに複数のゼロデイ脆弱性を発見
Aikido 攻撃により、Hoppscotchにゼロデイ脆弱性が発見される
AikidoAikidoのAIペネトレーションテストエージェントは、Hoppscotchにアカウント乗っ取り、保存型XSS、アクセス制御の欠陥など、複数の重大な脆弱性を発見しました。これらの問題はすべて修正済みです。
Aikido Attackは、Hoppscotchに3つの高深刻度の脆弱性を特定しました。具体的には、アカウント乗っ取りにつながるオープンリダイレクト、保存型XSS、およびチーム間リクエストインジェクションを可能にするアクセス制御の不備です。
脆弱性と脅威
Robbe Verwilghen
Mythosをめぐるサイバーセキュリティに関する悲観論は、現場で実際に見られる状況とは一致しない
「アンソロピック・ミトス」がもたらすサイバーセキュリティリスク:1,000件のAIペネトレーションテストが実際に明らかにしたこと
Anthropic社の「Mythos」モデルの流出により、AIを活用したサイバー攻撃への懸念が高まっている。我々は1,000件のAIによる侵入テストを実施した。その結果、この脅威はメディアの見出しが伝えるよりも複雑であることが示唆された。
ニュース
Sooraj Shah
npm上のaxiosが侵害される:メンテナンス担当者のアカウントが乗っ取られ、RATが展開された
npm上のaxiosが侵害される:メンテナンス担当者のアカウントが乗っ取られ、RATが展開された
悪意のあるaxiosのバージョン1.14.1および0.30.4が、乗っ取られたメンテナンス担当者のアカウントを通じて公開されました。隠された依存関係により、クロスプラットフォーム型のRATが展開されます。影響を受けているかどうかを確認し、直ちに対処してください。
Axiosが侵害されました。メインメンテナンス担当者のアカウントが乗っ取られた後、悪意のあるAxiosバージョン1.14.1および0.30.4がnpmに公開されました。この悪意のある依存関係は、実行後に自己破壊するクロスプラットフォーム型RATを展開します。
脆弱性と脅威
Madeline Lawrence
PyPI上でTeamPCPにより人気のtelnyxパッケージが侵害
PyPI上でTeamPCPにより人気のtelnyxパッケージが侵害
大手AI企業が利用しているPyPI上の人気パッケージ「telnyx」が、TeamPCPによって侵害された
大手AI企業が利用しているPyPI上の人気パッケージ「telnyx」が、TeamPCPによって侵害された
脆弱性と脅威
Charlie Eriksen
Aikido × Lovable:雰囲気、修正、カップリング
Lovableは Aikido と提携し、Vibe-Codedアプリへのペネトレーションテストを実現
愛らしくて Aikido がペネトレーションテスト機能をプラットフォームに導入し、開発者が実環境での攻撃をシミュレートし、リリース前に問題を修正できるようにします。
Aikido Lovableにペネトレーションテスト機能を直接統合しました。 実際の攻撃をシミュレートしてアプリをテストし、リリース前に問題を修正しましょう。
製品および会社のお知らせ
Madeline Lawrence
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
脆弱性と脅威
Charlie Eriksen
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
脆弱性と脅威
Charlie Eriksen
Aikido フロスト&サリバンより、ASPMにおける「2026年カスタマーバリュー・リーダーシップ賞」を受賞
Aikido フロスト&サリバンより、ASPMにおける「2026年カスタマーバリュー・リーダーシップ賞」を受賞
フロスト&サリバンが認定 Aikido ASPM「2026年カスタマー・バリュー・リーダーシップ賞」に選出しました。本賞の選考基準から読み取れる、AppSec市場の成熟度について詳しく解説します
フロスト&サリバンが認定 Aikido ASPM「2026年カスタマー・バリュー・リーダーシップ賞」に選出しました。本賞の選考基準から読み取れる、AppSec市場の成熟度について詳しく解説します
ニュース
△ミヒエル・ドゥニ
GlassWormは、悪意のあるChrome拡張機能の中にRATを隠している
悪質なChrome拡張機能を通じて拡散するGlassWorm RAT(キーロガー、Cookie窃取)
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
脆弱性と脅威
Ilyas Makari
セキュリティテストとは、もはや存在しないソフトウェアを検証することである
ペネトレーションテストが追いつかない理由:セキュリティテストにおけるスピードの問題
現代のチームは、ペネトレーションテストが追いつけないほどのスピードで製品をリリースしています。セキュリティテストにおけるこの拡大するスピードのギャップ、そして従来のアプローチがなぜ遅れをとっているのかを探ります。
ある大企業のCISOは、今日のセキュリティにおいて最も重要な能力は「スピード」だと語りました。 しかし、システムの変化のスピードにテストが追いつかない場合、どうなるのでしょうか?
ガイドラインと推奨事例
Sooraj Shah
fast-draft Open VSX拡張機能がBlokTrooperによって侵害される
fast-draft Open VSX拡張機能がBlokTrooper(RATおよび情報窃取型マルウェア)によって侵害される
Fast-draft Open VSX拡張機能が侵害され、GitHubでホストされたペイロードを介してBlokTrooper RATおよび情報窃取型マルウェアが展開された。複数の悪意のあるバージョンが確認されている。
人気のあるOpen VSX拡張機能が侵害され、攻撃者が制御するインフラからRATや情報窃取型マルウェアを展開するために悪用されました。 そのバージョン履歴を見ると、正常なリリースの間に悪意のあるリリースが混在していることが明らかになっています。
脆弱性と脅威
Raphael Silva
Glasswormが人気のReact Native電話番号パッケージを攻撃
Glasswormが新たなサプライチェーン攻撃で人気のReact Native電話番号パッケージを標的に
Aikido Securityの研究者は、2つの悪意あるReact Nativeパッケージから完全なペイロードチェーンを回収し、復号しました。このマルウェアの挙動と、注意すべき点について説明します。
2つの人気のあるReact Native npmパッケージが、Glasswormと疑われる攻撃者によってバックドアを仕掛けられ、多段階マルウェアの配信に利用されました。このマルウェアが何をするのか、そして何に注意すべきかについて説明します。
脆弱性と脅威
Raphael Silva
Glasswormが再び登場:数百のリポジトリを襲う見えないUnicode攻撃の新たな波
Glasswormが再来:150以上のGitHubリポジトリで発見された見えないUnicodeマルウェア
Glasswormサプライチェーン攻撃が再び発生しました。研究者たちは、150以上のGitHubリポジトリ、npmパッケージ、およびVS Code拡張機能全体で、見えないUnicode文字に隠されたマルウェアを発見しました。
Glasswormが、見えないUnicode攻撃の新たな波とともに戻ってきました。 GitHub、npm、VS Code全体でリポジトリを密かに侵害する新たなキャンペーンを追跡しています。
脆弱性と脅威
Ilyas Makari
ありがとうございました!あなたの投稿は受理されました!
あれ!フォームの送信中に何か問題が発生しました。
2026年5月27日
ニュース

Aikido 対XBOW:独立したベンチマークで58%多くの脆弱性が発見された

当社はDoyensec社に、以下の項目について、ブラインド方式による独立したベンチマーク調査の実施を依頼しました Aikido とXBOWについて、同じアプリで、同じ価格帯でのブラインドかつ独立したベンチマーク調査を依頼しました。 Aikido は、検証済みの脆弱性を58%多く発見し、セットアップ、速度、安定性の面でも優れていました。

#AI ペネトレーションテスト

#自己保護ソフトウェア

2026年5月26日
ニュース

なぜ開発者のマシンが、今やサプライチェーン攻撃の最大の標的となっているのか

Omnea、Cognism、Glasswall、そして英国の公共部門のエンジニアリングおよびセキュリティチームは、それぞれ独立して同じ盲点を指摘しました。各組織は、この問題に対して次のような対策を講じています。

#Aikido 機器の保護

2026年5月21日
脆弱性と脅威

GoogleAPI 、削除した後も引き続き機能します

GoogleAPI 削除しても、即座に無効化されるわけではありません。当社のテストでは、削除後最大23分間も認証が成功することが確認されましたが、Googleはこの問題を修正することを拒否しました。

#AppSec

#脆弱性

2026

2026年 セキュリティと開発におけるAIの現状

当社の新しいレポートは、ヨーロッパと米国全域の 450人のセキュリティリーダー(CISOまたは同等の役職)、開発者、およびAppSecエンジニアの声を集めています。彼らは、AI生成コードがすでに問題を引き起こしていること、ツールスプロールがセキュリティを悪化させていること、そして開発者エクスペリエンスがインシデント発生率に直接関連していることを明らかにしています。ここが2025年にスピードと安全性が衝突する場所です。

もっと読む
ダークブルーのグリッド背景に、「2026 State of AI in Security & Development」と書かれたタイトルカード。

ニュースレターを購読してください。
スパムなし、保証します。

脆弱性と脅威

実世界のCVE分析、マルウェア分析、エクスプロイト、および新たなリスクに関する情報でノイズを排除します。

すべて表示

ニュース

現在、ソフトウェアのセキュリティを形作っている動向に対する私たちの見解

すべて表示

お客様のフィードバック

お客様のようなチームが、Aikidoを活用してセキュリティを簡素化し、自信を持ってリリースしているかをご覧ください。

すべて表示

製品および会社のお知らせ

Aikidoの最新情報 — 製品発表からセキュリティにおける大きな成功事例まで。

すべて表示

ガイドラインと推奨事例

より安全なコードをより迅速にリリースするための、実践的なヒント、セキュリティワークフロー、およびハウツーガイド。

すべて表示

コンプライアンス

SOC 2、ISO標準、GDPR、NISなどに関する明確で開発者向けのガイダンスにより、監査に先んじて対応できます。

すべて表示
AI
Aikido 機器の保護
Aikido 終点
Aikido Zen
AI ペネトレーションテスト
AI安全性
お知らせ
API
AppSec
記事
ASPM
自動修正
オートトリアージ
AWS
Bazel
CircleCI
クラウド
CNAPP
コード品質
Codeship
コンプライアンス
コンテナイメージスキャン
継続的なペンテスト
継続的セキュリティ監視
CSPM
サイバーレジリエンス法
DAST
依存関係
DevSecOps
サポート終了
欧州サイバーセキュリティ
フィンテック
IDEセキュリティ
IDORの脆弱性
IMDSv1
IMDSv2
Infrastructure as Code (IaC)
インテル
リーガルテック
ライセンススキャナー
マルウェア
ネットワークセキュリティ監視
NIS2
NPM
オープンソース
OWASP
ペンテスト
PyPI
RASP
SAST
SBOM
SCA
機密事項
自己保護ソフトウェア
SOC 2
ソフトウェア・サプライチェーンのセキュリティ
SQLインジェクション
SSDLC
SSRF
脅威モデリング
ツール
トリアージ中
ユースケース
Vibe Coding
VS Code
脆弱性
MDMでは開発者のマシン上で保護できないもの(およびその対処法)
MDMでは開発者のマシン上で保護できないもの
JamfやKandjiといったMDMツールは不可欠ですが、npmのインストールやIDEの拡張機能、AIコーディングツールなどは管理対象外です。ここでは、開発者のマシン上で実際に保護されていない部分と、その対策について解説します。
多くのセキュリティチームではMDMを導入しています。しかし、npmによるインストール、VS Codeの拡張機能、AIコーディングツールなどは、MDMの管理範囲外で行われているのが問題です。ここでは、実際に保護されていない部分と、その対策について解説します。
ガイドラインと推奨事例
2026年のシークレット 向けGitGuardianの主要な代替ツール
2026年のシークレット 向けGitGuardianの主要な代替ツール
2026年のシークレット ークレットスキャン向けGitGuardianの主要な代替ツールを比較。詳細はこちら Aikido Security、GitHub Secret Protection、TruffleHog、Gitleaks、Semgrep、Snyk、Cycode、Checkmarx、GitLabがどの用途に最適かを確認しましょう。
2026年のシークレットスキャン向けGitGuardianの主要な代替ツールを比較シークレット 。以下を含みます Aikido Security、Betterleaks、GitHub Secret Protection、TruffleHog、Semgrep、Snyk、Checkmarx One、GitLab Secret Detection。
DevSecツールと製品比較
一見正当なコードックス・リモートUIが、密かにAIトークンを盗み出している
一見正当なコードックス・リモートUIが、密かにAIトークンを盗み出している
洗練されたCodexのリモートUIであるnpmパッケージ「codexui-android」は、現在も活発に開発が進められており、毎週数千人のユーザーが利用しています。しかし、この1か月間、同パッケージはOpenAIの認証トークンを密かに盗み出していました。
洗練されたCodexのリモートUIであるnpmパッケージ「codexui-android」は、現在も活発に開発が進められており、毎週数千人のユーザーが利用しています。しかし、この1か月間、同パッケージはOpenAIの認証トークンを密かに盗み出していました。
脆弱性と脅威
Aikido 対XBOW:独立したベンチマークで58%多くの脆弱性が発見された
Aikido 対XBOW:独立したベンチマークで58%多くの脆弱性が発見された
Aikido Doyensecによる独立系ベンチマークでAikidoとXBOWを比較。 Aikido は、同価格帯で58%多くの脆弱性を検出しました。セットアップ時間、誤検知率、および完全な結果をご覧ください
当社はDoyensec社に、以下の項目について、ブラインド方式による独立したベンチマーク調査の実施を依頼しました Aikido とXBOWについて、同じアプリで、同じ価格帯でのブラインドかつ独立したベンチマーク調査を依頼しました。 Aikido は、検証済みの脆弱性を58%多く発見し、セットアップ、速度、安定性の面でも優れていました。
ニュース
なぜ開発者のマシンが、今やサプライチェーン攻撃の最大の標的となっているのか
開発者向けマシンがサプライチェーン攻撃の最大の標的となる理由 | Aikido
Omnea、Cognism、Glasswall、Raisin、および英国の公共部門の各チームが、EDRやMDMでは開発者のマシン上で実際に何が起きているのかが把握できない理由を明らかにする。
Omnea、Cognism、Glasswall、そして英国の公共部門のエンジニアリングおよびセキュリティチームは、それぞれ独立して同じ盲点を指摘しました。各組織は、この問題に対して次のような対策を講じています。
ニュース
認証情報窃取型マルウェアを用いたサプライチェーン攻撃が、Laravel-Langパッケージを標的としている
認証情報窃取型マルウェアを用いたサプライチェーン攻撃が、Laravel-Langパッケージを標的としている
攻撃者は、人気のあるLaravel-Langパッケージの200以上のバージョンに認証情報窃取型マルウェアを仕込み、クラウドキー、SSHキー、ブラウザ、暗号資産ウォレットなどを標的とした攻撃を仕掛けた。
攻撃者は、人気のあるLaravel-Langパッケージの200以上のバージョンに認証情報窃取型マルウェアを仕込み、クラウドキー、SSHキー、ブラウザ、暗号資産ウォレットなどを標的とした攻撃を仕掛けた。
脆弱性と脅威
Gitleaksの代替サービス5選とその優れている点
2026年にGitleaksに代わる、より優れたシークレット ツール5選
Gitleaksの代替ツールを探していますか?Betterleaks、TruffleHog、 Aikido、GitHub Advanced Security、Spectralを比較し、チームに最適なシークレット を見つけられるようお手伝いします。
Gitleaksは現在、開発が休止しており、シークレット 分野は急速に進化しています。ここでは、BetterleaksやTruffleHogなど、2026年時点で最も有力な5つの代替ツールを比較します。 Aikido、GitHub Advanced Security、Spectralの5つの有力な代替ツールを比較し、皆様の環境に最適なツールを見つけられるよう支援します。
DevSecツールと製品比較
VS Code拡張機能の「無法地帯」と、悪意のある拡張機能がGitHubのセキュリティを侵害した経緯
VS Code拡張機能の「無法地帯」と、悪意のある拡張機能がGitHubのセキュリティを侵害した経緯
昨日、GitHubに悪意のあるVS Code拡張機能が侵入した。これは、Visual Studio Marketplaceで「Nx Console」(インストール数220万件)が18分間にわたり侵害され、自動更新を有効にしているすべてのユーザーに影響が及んだ翌日の出来事である。
脆弱性と脅威
悪意のあるVS Code拡張機能によるGitHubへの侵入:開発者の端末こそが真の標的である理由
VS Code拡張機能を通じてGitHubが侵害される | 開発者向けサプライチェーン攻撃 2026
GitHubは、悪意のあるVS Code拡張機能によって従業員の端末が侵害され、3,800件の社内リポジトリが流出していたことを確認した。なぜ開発者のワークステーションが、今やサプライチェーン攻撃の最大の標的となっているのか。
脆弱性と脅威
PyPi上のMicrosoft製durabletaskパッケージが侵害された。Mini Shai Huludがまたもや攻撃を仕掛けてきた……またもや!
PyPi上のMicrosoft製durabletaskパッケージが侵害された。Mini Shai Huludがまたもや攻撃を仕掛けてきた……またもや!
マイクロソフト関連のPythonパッケージの、段階的に改変された3つのバージョンは、AWSやKubernetesを通じて拡散し、見つかる限りのクラウド認証情報を盗み出し、イスラエルおよびイランのシステム上のディスクを消去する、多機能な情報窃取型マルウェアを配布している
脆弱性と脅威
ミニ・シャイ・フルードが再び襲来:npmワームが@antvのパッケージ数百個を侵害
「ミニ・シャイ・フルード」が再び襲来:npmワームが@antvのパッケージ数百個を侵害
「Mini Shai-Hulud」というnpmワームが、Alibabaの@antvパッケージ、echarts-for-react、およびtimeago.jsを攻撃しました。CI/CD シークレット盗み出し、VS CodeやClaude Codeにバックドアを仕込み、侵害されたパッケージを再公開することで拡散します。ここでは、何が起きたのか、そしてチームを守る方法について解説します。
「Mini Shai-Hulud」というnpmワームが、過去最大規模の感染拡大を見せ、アリババのデータ可視化エコシステム全体で数百ものパッケージを侵害しています。このワームの拡散が続く中、当社のマルウェア対策チームは、盗まれたトークンを使用して作成された2,700件以上の不正なGitHubリポジトリを追跡しています。
脆弱性と脅威
ペネトレーションテスト :その違いとは?
ペネトレーションテスト :その違いとは?
ペンテスト レッドチーム活動ペンテスト どちらが必要か迷っていませんか?このガイドでは、両者の主な違い、それぞれの活用シーン、そしてAIがこれらにどのような変化をもたらしているかを解説します。
ペネトレーションテスト レッドチーム活動ペネトレーションテスト どちらもセキュリティの耐性を試す手法ですが、同じものではありません。この記事では、それぞれの仕組み、どちらをいつ活用すべきか、そしてAIを活用したペネトレーションテストがどのように状況を変えつつあるかについて解説します。
ガイドラインと推奨事例
GoogleAPI 、削除した後も引き続き機能します
GoogleAPI 、削除した後も悪用されるほど長い間有効なままになる
GoogleAPI 削除しても、即座に無効化されるわけではありません。当社のテストでは、削除後最大 23 分経過しても認証が成功することが確認されており、Google はこの問題を修正する意向を示していません。
GoogleAPI 削除しても、即座に無効化されるわけではありません。当社のテストでは、削除後最大23分間も認証が成功することが確認されましたが、Googleはこの問題を修正することを拒否しました。
脆弱性と脅威
「シャドウAI」は恐怖反応であり、それを禁止すれば事態はさらに悪化する
なぜAIの影のリスクは「恐怖」から始まるのか(そして禁止は事態を悪化させる)
従業員が未承認のAIツールを使って問題を起こそうとしているわけではありません。彼らは取り残されることを恐れているのです。ここでは、シャドーAIを禁止することがなぜセキュリティリスクを高めるのか、そしてその代わりに何をすべきかについて解説します。
「シャドウAI」とは、恐怖から生じる反応です。従業員が使用しているツールを隠しているのは、AIスキルが求められる雇用市場の動向を的確に読み取っているからです。禁止措置が事態を悪化させる理由と、その代わりに取るべき対策について解説します。
ニュース
ミニ・シャイ・フルードが帰ってきた:npm WormがMistralやTanstackを含む160以上のパッケージを検出
ミニ・シャイ・フルードが帰ってきた:npm WormがMistralやTanstackを含む160以上のパッケージを検出
「Mini Shai-Hulud」が再び現れ、TanStack、UiPath、Squawkなどの169のnpmパッケージを悪用して、開発者やCI/CD シークレット盗み出し、信頼された公開ワークフローを通じて拡散しています。
脆弱性と脅威
GitHub Actions セキュリティチェックリスト(完全版)
GitHub Actions のセキュリティチェックリスト
2025年および2026年に発生した大規模なサプライチェーン攻撃の背景には、GitHub Actionsの設定ミスが存在していました。ここでは、何が問題だったのか、そして自組織で同様の事態を防ぐ方法について解説します。
2025年と2026年に発生した大規模なサプライチェーン攻撃の背景には、GitHub Actionsの設定ミスが存在していました。ここでは、こうした攻撃から身を守るための実践的なチェックリストをご紹介します。
ガイドラインと推奨事例
2026年のWebアプリケーションセキュリティにおける主要なOWASPスキャナー
2026年版:Webアプリケーションセキュリティに最適なOWASPスキャナー
多くのスキャナーは、OWASP Top 10の全項目を網羅していません。そこで、2026年の主要なOWASPスキャナーを徹底比較し、実際に必要なセキュリティ対策を確実にカバーできる製品を選べるようにしました。
ほとんどのOWASPスキャナーは、トップ10のすべてを網羅しているわけではありません。このガイドでは、2026年の主要なツール、各ツールが実際にカバーしている範囲、そしてノイズ排除しつつ完全なカバレッジを実現するスキャナーについて解説します。
DevSecツールと製品比較
5,000人以上のエンジニアが在籍する組織における開発者向けセキュリティの導入
大規模環境における開発者のセキュリティ:CISOのための導入ガイド
開発者向けのセキュリティ施策の導入が失敗に終わるケースの多くは、それが文化の変革ではなく、単なるソフトウェアの導入のように設計されているためです。企業のCISO向け実践ガイド。
開発者向けのセキュリティ施策の導入が失敗に終わるケースの多くは、文化の変革ではなく、単なるソフトウェアの導入のように設計されているためです。ここでは、この問題を解決するために経験豊富なCISOたちが採用している段階的なモデルを紹介します。
ガイドラインと推奨事例
セキュリティの変容:自律型AI攻撃に対応したMythos対応アーキテクチャのチェックリスト
セキュリティの変容:自律型AI攻撃に対応したMythos対応アーキテクチャのチェックリスト
現代の複雑さの中で、アプリケーションセキュリティは行き詰まっている。プロジェクト・グラスウィングやミトス時代においては、直面する脅威と同じスピードで対応できるセキュリティ体制が求められている。
現代の複雑さの中で、アプリケーションセキュリティは行き詰まっている。プロジェクト・グラスウィングやミトス時代においては、直面する脅威と同じスピードで対応できるセキュリティ体制が求められている。
ガイドラインと推奨事例
ブラウザ拡張機能がなぜ重大なセキュリティリスクとなるのか、そしてその対策とは
ブラウザ拡張機能がなぜ重大なセキュリティリスクとなるのか、そしてその対策とは
ブラウザ拡張機能には、私たちが認めたくないほど多くのセキュリティリスクが潜んでいます。本記事では、その脅威の全容と、個人および組織がどのような対策を講じられるかについて解説します。
ガイドラインと推奨事例
2026年に既知の脆弱性を特定するための主要なCVEスキャナー
2026年の主要なCVEスキャナー:検出範囲、インテリジェンス、自動修正機能で比較
2026年の主要なCVEスキャナーについて、カバレッジの広さ、情報源、ノイズ 、および自動修正機能を評価しました。各製品の比較結果と、お客様のシステム環境に最適な製品をご紹介します。
CVEスキャナーは、すべて同じように作られているわけではありません。2026年の主要な製品について、カバレッジの広さ、情報源、ノイズ 、自動修正機能の観点から比較しました。これにより、お客様のシステム環境に最適な製品をお選びいただけます。
DevSecツールと製品比較
人気のPyTorchライブラリ「Lightning」が「Mini Shai-Hulud」によって侵害される
人気のPyTorchライブラリ「Lightning」が「Mini Shai-Hulud」によって侵害される
人気のあるPyTorch Lightningのバージョン2.6.2および2.6.3にマルウェアが発見され、「Mini Shai-Hulud」キャンペーンの一環として、認証情報、暗号資産ウォレット、VPN設定情報が盗み出されていた。
人気のあるPyTorch Lightningのバージョン2.6.2および2.6.3にマルウェアが発見され、「Mini Shai-Hulud」キャンペーンの一環として、認証情報、暗号資産ウォレット、VPN設定情報が盗み出されていた。
脆弱性と脅威
Mythosへの移行に向けた実用的なCTO向けセキュリティチェックリスト
Mythos対応チェックリスト
「Mythos」や自律型AIによる脅威が横行する世界において、SaaS企業のCTOが実践すべきチェックリスト。防御側の強み――つまり、攻撃者が入手するのに手間がかかる「文脈」を自チームがすでに把握しているという利点――を軸に構成されています。他者に先駆けて問題を特定し、修正できるかどうかを左右する、セキュリティ対策、実践手法、および運用上の習慣について解説します。
ガイドラインと推奨事例
ある人物が、ユーザーの.envファイルを盗むために、27分間で偽の「tanstack」パッケージを4つのバージョン公開した
27分間でアップロードされた偽の「tanstack」パッケージの4つの公開バージョンが、ユーザーの.envファイルを盗み出そうとしている
本日、偽の「tanstack」npmパッケージが27分間で4つの悪意あるバージョンを公開し、postinstallフックを介して.envファイルを盗み出しました。ここでは、何が起きたのか、誰が影響を受けたのか、そして認証情報を更新する方法について解説します。
脆弱性と脅威
Aikido AWS Kiroとの統合:レビューでのキャッチ処理はもはやスケーラブルではない
Aikido x Kiro | レビューでのキャッチはもはやスケーリングしない
AIエージェントがコードを記述します。 Aikido は、AWS Kiroのエージェント型ワークフローに直接統合され、最初の1行から自動的にセキュリティを考慮した開発を実現します。 Aikido は、KiroにおけるAWS初のグローバルセキュリティパートナーです。
AIエージェントがコードを記述します。 Aikido は、AWS Kiroのエージェント型ワークフローに直接統合され、最初の1行から自動的にセキュリティを考慮した開発を実現します。 Aikido は、KiroにおけるAWS初のグローバルセキュリティパートナーです。
製品および会社のお知らせ
Mini Shai-Hulud、パンを装った秘密情報窃取ツールでSAPのnpmパッケージを標的に
Mini Shai-Hulud、パンを装った秘密情報窃取ツールでSAPのnpmパッケージを標的に
侵害されたSAPのnpmパッケージは、Bunをベースとしたプレインストールペイロードを使用してGitHub、npm、クラウド、およびCIシークレット盗み出し、その後「OhNoWhatsGoingOnWithGitHub」を利用してGitHub経由で拡散します。
脆弱性と脅威
ブラウザ拡張機能をサプライチェーン攻撃の経路として扱うべき時が来た
ブラウザ拡張機能をサプライチェーン攻撃の経路として扱うべき時が来た | Vercelの侵害事件から得られた教訓
Vercelでのセキュリティ侵害は、セキュリティ業界ではよく知られたパターンに沿ったものでした。つまり、サードパーティのコードが暗黙のうちに信頼され、その後、上流で侵害されるというものです。私たちには、こうした事態に対処するためのフレームワークがあります。ただ、まだブラウザ拡張機能には適用していないだけです。(ネタバレ:私たちはソフトウェア依存関係これを行っています)
Vercelでのセキュリティ侵害は、セキュリティ業界ではよく知られたパターンに沿ったものでした。つまり、サードパーティのコードが暗黙のうちに信頼され、その後、上流で侵害されるというものです。私たちには、こうした事態に対処するためのフレームワークがあります。ただ、まだブラウザ拡張機能には適用していないだけです。(ネタバレ:私たちはソフトウェア依存関係これを行っています)
脆弱性と脅威
Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている
Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている
@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。
@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。
脆弱性と脅威
npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう
npmとPyPIに存在するGPT-Proxyバックドアが、サーバーを中国のLLM中継サーバーに変えてしまう
新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。
新たに発見されたnpmおよびPyPIを標的としたマルウェアキャンペーンは、侵害されたサーバーに隠蔽されたLLMプロキシをインストールし、それらをLLMトラフィックのリレーノードとして利用している。
脆弱性と脅威
RoundcubeのXSSとCookieの書き換えを組み合わせることで、受信トレイへの完全なアクセス権を取得
RoundcubeのXSSとCookieの書き換えを組み合わせることで、受信トレイへの完全なアクセス権を取得
Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し(cookie tossing)の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。以下に、エクスプロイト 仕組みと、その修正方法について説明します。
Roundcubeのドラフト添付ファイルエンドポイントに、保存型XSSの脆弱性を発見しました。この脆弱性をクッキー投げ渡し(cookie tossing)の手法と組み合わせることで、攻撃者は被害者の受信トレイに完全なアクセス権を得ることができます。ここでは、エクスプロイト 仕組みと、その修正方法について説明します。
脆弱性と脅威
「デバイス保護」のご紹介:開発者向けデバイスのセキュリティ
Aikido デバイス保護:開発者向けデバイスのセキュリティ | Aikido
サプライチェーン攻撃は開発者の端末を標的としている。 Aikido Device Protectionは、npm、PyPI、VS Code拡張機能、ブラウザ拡張機能、AIツールにおけるすべてのインストールを監視します。
製品および会社のお知らせ
Mailcow に複数のクロスサイトスクリプティング(XSS)の脆弱性が確認されました
Mailcowに複数のXSS脆弱性が発見され、認証不要のアカウント乗っ取りも含まれる
Aikidoのペンテスト 、Mailcowに3つのXSS脆弱性を発見しました。そのうち1つは、認証されていない攻撃者が管理者アカウントを乗っ取ることを可能にするものでした。すべての問題はバージョン2026-03bで修正されています。
AikidoのAIペネトレーションテストエージェントは、広く利用されているセルフホスト型メールサーバー「Mailcow」に3つのXSS脆弱性を発見しました。最も深刻な脆弱性では、認証されていない攻撃者がAutodiscoverログにペイロードを注入することが可能であり、管理者がそのログを表示した際に実行され、アカウントの完全な乗っ取りを可能にしていました。これら3つの脆弱性はすべて、バージョン2026-03b以降で修正されています。
脆弱性と脅威
NIST NVDの予算削減が進む時代における信頼できるCVE情報源
NIST NVDの2026年変更点:セキュリティ担当者が知っておくべきこと
NISTは、ほとんどのCVEの詳細情報を更新しなくなります。変更点、影響を受ける機能、そして今後の見通しについて解説します。
ニュース
Opengrepの1年:これまでの成果と今後の展望
OpengrepSAST 年:より高速で確定的な静的解析
Semgrepのフォークから1年が経ち、Opengrepは処理速度が向上し、より詳細なテイント解析に対応するようになったほか、一貫性があり再現性のある結果を出力できるようになりました。
Semgrepをフォークしてから1年が経ち、Opengrepはより高速で、より高性能になり、完全にオープンソース化されました。ここでは、私たちが構築したものと今後の展望についてご紹介します。
製品および会社のお知らせ
Axios CVE-2026-40175:重大なバグだが……悪用は不可能
Axios CVE-2026-40175:重大なバグだが……悪用は不可能
AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。
AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。
脆弱性と脅威
バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある
バグ報奨金制度は終わっていないが、従来のモデルは崩壊しつつある
AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。
AIがプログラムを圧倒する中、バグ報奨金制度は限界に直面しており、より持続可能で品質重視のセキュリティモデルへの移行が迫られている。
技術
GlassWormがネイティブ化:新しいZigドロッパーがマシン上のすべてのIDEに感染する
GlassWormがネイティブ化:新しいZigドロッパーがマシン上のすべてのIDEに感染する
GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。
GlassWormは、偽の拡張機能に隠されたZigベースのネイティブ・ドロッパーを展開し、VS Code、Cursor、VSCodium、その他のIDEを気付かれずに侵害します。
脆弱性と脅威
Aikido Attack、Hoppscotchに複数のゼロデイ脆弱性を発見
Aikido 攻撃により、Hoppscotchにゼロデイ脆弱性が発見される
AikidoAikidoのAIペネトレーションテストエージェントは、Hoppscotchにアカウント乗っ取り、保存型XSS、アクセス制御の欠陥など、複数の重大な脆弱性を発見しました。これらの問題はすべて修正済みです。
Aikido Attackは、Hoppscotchに3つの高深刻度の脆弱性を特定しました。具体的には、アカウント乗っ取りにつながるオープンリダイレクト、保存型XSS、およびチーム間リクエストインジェクションを可能にするアクセス制御の不備です。
脆弱性と脅威
Mythosをめぐるサイバーセキュリティに関する悲観論は、現場で実際に見られる状況とは一致しない
「アンソロピック・ミトス」がもたらすサイバーセキュリティリスク:1,000件のAIペネトレーションテストが実際に明らかにしたこと
Anthropic社の「Mythos」モデルの流出により、AIを活用したサイバー攻撃への懸念が高まっている。我々は1,000件のAIによる侵入テストを実施した。その結果、この脅威はメディアの見出しが伝えるよりも複雑であることが示唆された。
ニュース
npm上のaxiosが侵害される:メンテナンス担当者のアカウントが乗っ取られ、RATが展開された
npm上のaxiosが侵害される:メンテナンス担当者のアカウントが乗っ取られ、RATが展開された
悪意のあるaxiosのバージョン1.14.1および0.30.4が、乗っ取られたメンテナンス担当者のアカウントを通じて公開されました。隠された依存関係により、クロスプラットフォーム型のRATが展開されます。影響を受けているかどうかを確認し、直ちに対処してください。
Axiosが侵害されました。メインメンテナンス担当者のアカウントが乗っ取られた後、悪意のあるAxiosバージョン1.14.1および0.30.4がnpmに公開されました。この悪意のある依存関係は、実行後に自己破壊するクロスプラットフォーム型RATを展開します。
脆弱性と脅威
PyPI上でTeamPCPにより人気のtelnyxパッケージが侵害
PyPI上でTeamPCPにより人気のtelnyxパッケージが侵害
大手AI企業が利用しているPyPI上の人気パッケージ「telnyx」が、TeamPCPによって侵害された
大手AI企業が利用しているPyPI上の人気パッケージ「telnyx」が、TeamPCPによって侵害された
脆弱性と脅威
Aikido × Lovable:雰囲気、修正、カップリング
Lovableは Aikido と提携し、Vibe-Codedアプリへのペネトレーションテストを実現
愛らしくて Aikido がペネトレーションテスト機能をプラットフォームに導入し、開発者が実環境での攻撃をシミュレートし、リリース前に問題を修正できるようにします。
Aikido Lovableにペネトレーションテスト機能を直接統合しました。 実際の攻撃をシミュレートしてアプリをテストし、リリース前に問題を修正しましょう。
製品および会社のお知らせ
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
CanisterWormが牙をむく:TeamPCPのKubernetes向けワイパーがイランを標的に
脆弱性と脅威
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
TeamPCPは、Trivyが侵害されたことを受け、NPMにCanisterWormを展開した
脆弱性と脅威
Aikido フロスト&サリバンより、ASPMにおける「2026年カスタマーバリュー・リーダーシップ賞」を受賞
Aikido フロスト&サリバンより、ASPMにおける「2026年カスタマーバリュー・リーダーシップ賞」を受賞
フロスト&サリバンが認定 Aikido ASPM「2026年カスタマー・バリュー・リーダーシップ賞」に選出しました。本賞の選考基準から読み取れる、AppSec市場の成熟度について詳しく解説します
フロスト&サリバンが認定 Aikido ASPM「2026年カスタマー・バリュー・リーダーシップ賞」に選出しました。本賞の選考基準から読み取れる、AppSec市場の成熟度について詳しく解説します
ニュース
GlassWormは、悪意のあるChrome拡張機能の中にRATを隠している
悪質なChrome拡張機能を通じて拡散するGlassWorm RAT(キーロガー、Cookie窃取)
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
GlassWormは、悪意のあるChrome拡張機能を強制的にインストールし、キー入力を記録したり、Cookieを盗み出したり、SolanaベースのC2を介してデータを外部へ流出させたりする、多段階型のRATを展開する。
脆弱性と脅威
セキュリティテストとは、もはや存在しないソフトウェアを検証することである
ペネトレーションテストが追いつかない理由:セキュリティテストにおけるスピードの問題
現代のチームは、ペネトレーションテストが追いつけないほどのスピードで製品をリリースしています。セキュリティテストにおけるこの拡大するスピードのギャップ、そして従来のアプローチがなぜ遅れをとっているのかを探ります。
ある大企業のCISOは、今日のセキュリティにおいて最も重要な能力は「スピード」だと語りました。 しかし、システムの変化のスピードにテストが追いつかない場合、どうなるのでしょうか?
ガイドラインと推奨事例
fast-draft Open VSX拡張機能がBlokTrooperによって侵害される
fast-draft Open VSX拡張機能がBlokTrooper(RATおよび情報窃取型マルウェア)によって侵害される
Fast-draft Open VSX拡張機能が侵害され、GitHubでホストされたペイロードを介してBlokTrooper RATおよび情報窃取型マルウェアが展開された。複数の悪意のあるバージョンが確認されている。
人気のあるOpen VSX拡張機能が侵害され、攻撃者が制御するインフラからRATや情報窃取型マルウェアを展開するために悪用されました。 そのバージョン履歴を見ると、正常なリリースの間に悪意のあるリリースが混在していることが明らかになっています。
脆弱性と脅威
Glasswormが人気のReact Native電話番号パッケージを攻撃
Glasswormが新たなサプライチェーン攻撃で人気のReact Native電話番号パッケージを標的に
Aikido Securityの研究者は、2つの悪意あるReact Nativeパッケージから完全なペイロードチェーンを回収し、復号しました。このマルウェアの挙動と、注意すべき点について説明します。
2つの人気のあるReact Native npmパッケージが、Glasswormと疑われる攻撃者によってバックドアを仕掛けられ、多段階マルウェアの配信に利用されました。このマルウェアが何をするのか、そして何に注意すべきかについて説明します。
脆弱性と脅威
Glasswormが再び登場:数百のリポジトリを襲う見えないUnicode攻撃の新たな波
Glasswormが再来:150以上のGitHubリポジトリで発見された見えないUnicodeマルウェア
Glasswormサプライチェーン攻撃が再び発生しました。研究者たちは、150以上のGitHubリポジトリ、npmパッケージ、およびVS Code拡張機能全体で、見えないUnicode文字に隠されたマルウェアを発見しました。
Glasswormが、見えないUnicode攻撃の新たな波とともに戻ってきました。 GitHub、npm、VS Code全体でリポジトリを密かに侵害する新たなキャンペーンを追跡しています。
脆弱性と脅威
RSAC 2026の主要パーティー、サイドイベント、セキュリティミートアップ
RSAC 2026パーティー&セキュリティイベントガイド|Aikido
RSAC 2026パーティー&セキュリティイベントガイド|Aikido
ニュース
セキュリティチームはいかにAIを活用したハッカーに反撃するか
セキュリティチームはいかにAIを活用したハッカーに反撃するか
AIはハッカーの参入障壁を劇的に下げました。これは防御側にとって何を意味するのか、そして継続的なAIペンテストがどのように状況を変えるのかを説明します。
一人のハッカーとClaudeのサブスクリプションだけで、メキシコ政府機関9つがダウンしました。AIは攻撃者に大幅なパワーアップをもたらしました。セキュリティチームは新たな戦略(プレイブック)を必要としています。
脆弱性と脅威
Gitleaksの作者によるオープンソースのシークレットスキャナー、Betterleaksのご紹介
Betterleaks:より高速なシークレットスキャン向けに構築されたGitleaksの後継
Betterleaksは、Gitleaksの作者による新しいオープンソースのシークレットスキャナーです。より高速なスキャン、トークン効率検出、設定可能な検証などを備えたドロップイン代替品です。
Gitleaksの作者がその後継をリリースします。Betterleaksは、より多くの漏洩を検出し、最新の開発者ワークフローに適合するように構築された、より高速なオープンソースのシークレットスキャナーです。
製品および会社のお知らせ
AIペンテストはコンプライアンスとどのように連携しますか?
AIペンテストはコンプライアンスとどのように連携しますか?
AIペネトレーションテストは、SOC 2、ISO 27001、HIPAAにおいて認められつつあり(今後さらに増える可能性が高い)、監査人が実際に何に注目しているのか、また実際の限界はどこにあるのかについて解説します。
AI ペンテストは SOC 2、ISO 27001、HIPAA、PCI DSS で受け入れられています。監査人が実際に求めているものと、本当の限界がどこにあるかをご紹介します。
コンプライアンス
トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ
トランプ政権の2026年サイバーセキュリティ戦略:コンプライアンスから結果へ
トランプ政権の2026年サイバーセキュリティ戦略は、コンプライアンスチェックリストからサイバー犯罪者に対する実際の結果へと焦点を移します。CISO が知っておくべきことは次のとおりです。
ニュース
継続的なペンテストに実際に必要なもの
継続的なペンテスト:その仕組みと必要なもの
継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。
継続的なペンテストは広く議論されていますが、明確に定義されることはめったにありません。この記事では、それが何であるか、何でないか、そして実際に何が必要かを詳しく説明します。
ガイドラインと推奨事例
レアはランダムではない:シークレット におけるトークン効率の活用
レアはランダムではない:シークレット におけるトークン効率の活用
エントロピーは、一般的なシークレットや短い文字列の検出に苦労することがよくあります。ここでは、トークン効率が通常のテキストに見えない文字列をより適切に識別する方法について考察します。
エントロピーはランダム性の検出に優れています。しかし、シークレットは常にランダムであるとは限りません。それらは通常のコードやテキストには現れない単なる文字列です。私たちはBPEトークン化を使用してその違いを測定する方法を探ります。
ガイドラインと推奨事例
なぜ決定論はセキュリティにおいて依然として必要なのか
なぜ決定論はセキュリティにおいて依然として必要なのか
AIスキャンはルールが見落とすものを見つけます。決定論的スキャンは毎回それを見つけます。最高のセキュリティパイプラインが、なぜどちらか一方を選ぶのではなく、両方を活用するのか、その理由を説明します。
AIを活用したセキュリティツールは、脆弱性の発見において向上しています。しかし、決定論的なツールは、パイプライン、コンプライアンス、監査証跡が依存する一貫性を提供します。決定論的スキャンが優れている点、AIが引き継ぐべき点、そして効果的なセキュリティのために両者がどのように連携するかを見ていきます。
エンジニアリング
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR: ランタイムアプリケーションセキュリティの仕組み
WAF、RASP、ADRは、アプリケーションを全く異なる方法で保護します。各レイヤーが実際に何を行い、どのような限界があり、どれが必要なのかを説明します。
WAF、RASP、ADR、eBPF — ランタイムアプリケーションセキュリティに関する用語を明確にします。各レイヤーが実際に何を行い、どのように重複し、どのように連携するのかを説明します
ガイド
Aikido Infiniteの紹介:新たな自己保護ソフトウェアモデル
Aikido Infinite: すべてのリリースに対応する継続的なAI ペンテスト
Aikido Infiniteは、すべてのコード変更に対してAI ペネトレーションテストを実行し、エクスプロイト可能性を検証し、パッチを生成し、コードが本番環境にデプロイされる前に修正を再テストすることで、自己保護型ソフトウェアを現実のものにします。
製品および会社のお知らせ
Storybook の開発サーバーにおける WebSockets を使用した永続的な XSS/RCE
StorybookにおけるWebSocketsを使用した永続的なXSS/RCE (CVE-2026-27148)
CVE-2026-27148は、StorybookにおけるWebSocketハイジャックの脆弱性を露呈し、サプライチェーン侵害にエスカレートする可能性があります。攻撃経路、影響、および対処法について学びましょう。
Aikido Attackは、Storybookの開発サーバーにWebSocketハイジャックの脆弱性を発見しました。これは、永続的なXSS、リモートコード実行、そして最悪の場合にはサプライチェーン侵害につながる可能性があります。攻撃者がユーザーインタラクションなしにこれをどのようにエクスプロイトできるか、また開発者がStorybookの実行中に誤ったウェブサイトを訪問するだけでこの攻撃に遭遇する可能性について解説します。
脆弱性と脅威
設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか
AikidoがAIペンテストエージェントを保護し、スコープドリフトを防ぐ方法
Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、およびネットワークレベルの制御により、AIペンテストエージェントを保護し、本番環境への逸脱とデータ漏洩を防ぐ方法をご覧ください。
AIエージェントは探索するように設計されています。サイバーセキュリティにおいては、その探索には厳格な境界が必要です。この記事では、Aikidoがアーキテクチャ上の分離、ランタイムスコープの強制、および設計によってリスクを封じ込める多層的な制御を通じて、AIペンテストエージェントをどのように保護するかを説明します。
製品および会社のお知らせ
Hostヘッダー注入によるAstroフルリードSSRF
Astro SSRF脆弱性: SSRエラーページにおけるHostヘッダーインジェクション (CVE-2026-25545)
Aikido SecurityのAIペンテストエージェントは、AstroのSSR実装においてServer-Side Request Forgery (SSRF) の脆弱性を発見しました。プリレンダリングされたエラーページにおけるHostヘッダーインジェクションが、どのようにして内部ネットワークへの完全なアクセスを可能にしたかをご覧ください。
AikidoのAIペンテストエージェントは、AstroのNode.jsアダプターにSSRF脆弱性を発見しました。悪意のあるHost:ヘッダーを注入することで、攻撃者が内部リクエストをローカルネットワーク上の任意のURLにリダイレクトできる方法について見ていきます。
脆弱性と脅威
セキュリティを重視するよう取締役会に働きかける方法(侵害が発生して問題が表面化する前に)
セキュリティ侵害が発生する前に、取締役会にセキュリティを重視させる方法
取締役会がセキュリティに資金を投じるのは、それが重要だからではない。正当化できる意思決定に資金を投じるのだ。以下に、リスクを明確化し、曖昧さを減らし、侵害が発生して問題が表面化する前に真の支持を得る方法を示す。
ガイド
スロップスクワッティングとは何か? 既に発生しているAIパッケージ幻覚攻撃
スロップスクワッティング:既に発生しているAIパッケージ幻覚攻撃
AIモデルがnpmパッケージ名を幻視する。攻撃者が先に登録する。これがスロープスクワッティングの実態だ。エージェントスキルを通じて拡散する仕組みと、防御策を解説する。
AIモデルがパッケージ名を幻視する——そして攻撃者は誰にも気付かれる前にそれらを登録している。スロップスクワッティングはタイポスクワッティングのAI時代における進化形であり、従来の方法とは異なり、npmの既存の保護策は機能しない。実際に発生している実例を検証する——確認済みの悪意あるパッケージが依然として週数百回のダウンロードを獲得している事例から、AIエージェントのスキルファイルを通じて237のリポジトリに拡散した幻視されたパッケージ名まで。
ガイドラインと推奨事例
トップ6 Wizコード代替品
Wiz Codeの代替ツール(2026年版):6つのツールを比較し、開発者ファーストの最適な選択肢
Wiz Codeの代替ツールをお探しですか?SAST、DAST、SCA、価格、開発者エクスペリエンスの6つのツールを比較し、2026年に最適なAppSecプラットフォームを見つけましょう。
このガイドでは、Wiz CodeをAikido Security、Snyk、Checkmarx、GitHub Advanced Security、Mend、Veracodeの6つの代替製品と比較し、カバレッジ、開発者エクスペリエンス、AIを活用したトリアージ、価格の透明性、デプロイ速度に基づいて評価します。Aikido Securityは、広範なカバレッジ、85%の誤検知削減、SAST、IaC、コンテナ全体でのAI AutoFix、ネイティブDAST、そしてWizの約10分の1のコストで透明性のある価格設定を提供する開発者ファーストのプラットフォームを求めるチームにとって、最上位の選択肢となります。
ガイドラインと推奨事例
Aikidoは、Latio Techの2026年アプリケーションセキュリティレポートにおいて、プラットフォームリーダーとして評価されました。
Latio 2026レポートでAikidoがAppSecプラットフォームリーダーに選出
Aikido Securityは、Latio Techの2026年AppSecレポートにおいて、プラットフォームリーダー、AI Pentestingイノベーター、およびサプライチェーンイノベーターとして認められました。
Latio Techの2026年AppSecレポートは、AikidoをプラットフォームリーダーおよびAIイノベーターとして評価しています。このレポートが明らかにするアプリケーションセキュリティの未来をご覧ください。
ニュース
検知から予防へ:Zen実行時にIDOR脆弱性に対処する方法
検出から防止へ: Zenがランタイム時にIDORを阻止 | Aikido
IDORの脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。ZenがSQLクエリを分析し、出荷前に安全でないアクセスを防止することで、ランタイム時にどのようにテナント分離を強制するかをご覧ください。
IDORの脆弱性は、マルチテナントアプリケーションにおけるクロステナントのデータ漏洩の主要な原因です。この投稿では、Zenがいかに検知を超えてランタイムでテナント分離を強制し、意図しないクロステナントアクセスが出荷されるのを不可能にするかを説明します。
製品および会社のお知らせ
npmのバックドアにより、ハッカーがギャンブルの結果を乗っ取る
npmサプライチェーン攻撃によりゲームのバックエンドが乗っ取られ、ギャンブルの結果が不正操作される
標的型npmサプライチェーン攻撃により、Expressのバックドアがインストールされ、リモートSQL/ファイルアクセスが有効になり、ログの一貫性を保ちながらギャンブルの残高が書き換えられます。
本番環境でギャンブル取引を改ざんし、その後データベースの内部整合性を維持できる悪意のあるnpmパッケージが発見されました。
脆弱性と脅威
なぜOpenClawのセキュリティ強化を試みるのに無理があるのか
なぜOpenClawのセキュリティ強化を試みるのに無理があるのか
OpenClawのセキュリティ問題解説:ClawHub内のマルウェア、露出したインスタンス、そしてなぜハードニングガイドが見落とすのか。AIエージェントを安全に使用できますか?
ニュース
アップグレード影響分析のご紹介:コードに実際に影響を与えるブレイキングチェンジとは
アップグレード影響分析:破壊的変更が実際に影響を与える場合 | Aikido
Aikidoは、依存関係のアップグレードにおける破壊的変更を自動的に検出し、コードベースを分析して実際の影響を示します。これにより、チームはセキュリティ修正を安全にマージできます。
Aikidoのアップグレード影響分析は、依存関係の更新における破壊的変更を検出し、それらの変更が実際にコードに影響を与えるかどうかを示します。
製品および会社のお知らせ
Claude Opus 4.6は500の脆弱性を発見した。これはソフトウェアセキュリティにどのような変化をもたらすのか?
Claude Opus 4.6が500件の脆弱性を発見:ソフトウェアセキュリティにとっての意味
Anthropicは、Claude Opus 4.6がオープンソースで500件以上の高深刻度な脆弱性を発見したと主張しています。これが脆弱性発見、エクスプロイト可能性の検証、および本番環境のセキュリティワークフローに何を意味するのかを解説します。
報道によると、Claude Opus 4.6はオープンソースで500件以上の高深刻度な脆弱性を発見しました。この記事では、それが本番環境で実際に何を変えるのか、LLMの推論がどこで役立つのか、そしてなぜ検証と到達可能性が依然として実際のセキュリティ影響を決定するのかを検証します。
ニュース
Aikido Expansion Packsのご紹介:IDE内のより安全なデフォルト設定
Aikido Expansion Packs:IDE内のより安全なデフォルト設定
Aikido Expansion Packsは、IDE内に直接、集中的なセキュリティ制御を追加します。開発者のワークフローを変更することなく、シークレット保護、サプライチェーンマルウェアチェック、およびAIアシストによるコードセキュリティを有効にできます。
製品および会社のお知らせ
2026年国際AI安全性報告書:自律型AIシステムにとって何を意味するか
International AI Safety Report 2026:Aikido Security による分析
Aikido Security による International AI Safety Report 2026 の分析。デプロイ時の制御、検証要件、および自律型AIシステム向けの実用的な安全基準を検証します。
100名以上の専門家が国際AI安全性レポート2026に貢献し、自律型AIシステムからのリスクを文書化し、多層防御フレームワークを提案しました。AIペンテストシステムを本番環境で運用するチームとして、当社は、レポートが適切である点と、より技術的な具体性が必要な点を分析します。
ニュース
自己保護型ソフトウェア:その定義、重要性、および仕組み
自己保護ソフトウェアとは何か?現代のソフトウェアのための新しいセキュリティモデル
自己保護ソフトウェアは、システムが変化するにつれて、実際の脅威を継続的に検証し、修正するセキュリティモデルです。定期的なテストがもはやスケールしない理由を学びましょう。
自己保護ソフトウェアは、セキュリティを定期的なプロセスではなく、組み込みのシステム機能として扱います。この記事では、現代のソフトウェアがなぜ新しいセキュリティモデルを必要とするのか、そしてそれが今日どのようにして可能になったのかを説明します。
製品および会社のお知らせ
エンジニアリングチーム向けセキュアSDLC(+チェックリスト)
セキュアSDLC解説:セキュアなソフトウェア開発ライフサイクルの5つの柱
セキュアSDLCとは何か、なぜそれが重要なのか、そしてすべてのチームが必要とする5つの柱について学びます。CTOおよびエンジニアリングリーダー向けの実践的なセキュアSDLCチェックリストが含まれています。
ガイドラインと推奨事例
2026年版 AIセキュリティツール トップ10
2026年版 AIセキュリティツール ベスト10:機能、メリット、比較
2026年版の主要なAIセキュリティツールをご紹介します。現代のアプリケーションを保護するため、AIコードレビュー、脆弱性検出、ペンテスト、リスク管理のためのプラットフォームを比較します。
DevSecツールと製品比較
2026年版サイバーセキュリティツール トップ10
2026年版サイバーセキュリティツール トップ10:検出、クラウド、XDR、AppSec
2026年版サイバーセキュリティツール トップ10の実践的な内訳。エンドポイント、クラウド、ID、脆弱性管理、XDRを網羅しています。スタックとリスクプロファイルに合った適切なツールの選び方を学びましょう。
DevSecツールと製品比較
Continuous Pentestingとは?
Continuous Pentestingとは?現代のチームがエクスプロイト可能なリスクを削減する方法
Continuous pentestingは、ソフトウェアが変更されるたびに実際の攻撃経路を自動的にテストし、開発ライフサイクルの一部として問題を検証・修正します。AIおよび手動のペンテストとの比較についてご確認ください。
継続的ペンテストは、セキュリティを一度限りのテストではなく、生きているシステムとして扱います。ソフトウェアの変更に伴い、現代のチームがエクスプロイト可能なリスクを削減するためにどのようにそれを使用しているかをご覧ください。
ガイドラインと推奨事例
npxの混乱: 自らの名前を確保していなかったパッケージ
npxの混乱: 自らの名前を確保していなかったパッケージ
公式ドキュメントが開発者にnpxを推奨していた、未請求のnpmパッケージ名128件を当社が取得しました。7ヶ月後、121,000件のダウンロードがありました。これらすべてが任意のコードを実行する可能性がありました。
公式ドキュメントでは、開発者に対し`npx package-name`を実行するよう指示しています。しかし、もし誰もその名前を登録していなかったらどうなるでしょうか?私たちはそのうち128個を登録し、監視しました。7ヶ月間で121,000件のダウンロードがありました。ホリデー期間中の落ち込みは、それらがボットではなく実際の開発者であることを証明しています。
脆弱性と脅威
Aikido Package Healthのご紹介:依存関係を信頼するためのより良い方法
Aikido Package Health:オープンソースパッケージのヘルススコア
オープンソースパッケージが実際にどれほど安定しており、適切にメンテナンスされているかを確認できます。Aikido Package Healthは、開発者がより安全な依存関係を自信を持って選択するのに役立ちます。
製品および会社のお知らせ
AIペネトレーションテスト:セキュリティテストの最低安全基準
AIペンテストはいつ安全になるのか?セキュリティテストにおける最低限の安全要件
AIペンテストシステムは、ライブ環境に対して自律的に動作します。AIペンテストを安全に使用できる時期、必要な最低限の技術的セーフガード、そしてAIセキュリティテストツールを責任を持って評価する方法について学びましょう。
AIペンテストはすでに実用化されていますが、明確な安全基準はまだ確立されていません。本記事では、AIペンテストの最低限の安全基準を定義し、チームが新しいツールを評価するための具体的な基準を提供します。
ガイドラインと推奨事例
偽のClawdbot VS Code拡張機能がScreenConnect RATをインストール
偽のClawdbot VS Code拡張機能がScreenConnect RATをインストール
Clawdbotを装った悪意のあるVS Code拡張機能が、開発者のマシンにScreenConnect RATをインストールしています。
Clawdbotを装った悪意のあるVS Code拡張機能が、開発者のマシンにScreenConnect RATをインストールしています。
脆弱性と脅威
2026年版 脅威インテリジェンスツール トップ7
2026年版脅威インテリジェンスツール トップ7:ノイズを排除し、真のリスクに焦点を当てる
2026年の主要な脅威インテリジェンスツールを深く掘り下げ、それらがどのようにアラート疲れを軽減し、コンテキストを追加し、チームが現実世界のセキュリティリスクを優先順位付けするのに役立つかを比較します。
DevSecツールと製品比較
2026年版 VS Code拡張機能 トップ14
トップ14のVS Code拡張機能 (2026年版):生産性、テスト、セキュリティ、コラボレーション
2026年版VS Code拡張機能のベストプラクティスガイド。生産性、テスト、コラボレーション、セキュリティツールを網羅し、実際の開発者のワークフローを改善します。
DevSecツールと製品比較
G_Wagon: npmパッケージが100以上の暗号資産ウォレットを標的とするPython Stealerを展開
G_Wagon: npmパッケージが100以上の暗号資産ウォレットを標的とするPython Stealerを展開
npmパッケージ「ansi-universal-ui」は、100以上の暗号資産ウォレット、ブラウザの認証情報、およびクラウドキーを標的とするGWagonインフォスティーラーを配信します。私たちは、攻撃者がリアルタイムで開発を進める中で、全10バージョンを分析しました。
脆弱性と脅威
Pentest GPT: LLMがペネトレーションテストをどのように再構築しているか
Pentest GPT: AIがペネトレーションテストをどのように変革しているか
Pentest GPTがLLMを活用して攻撃推論を自動化し、実際のエクスプロイトをシミュレートし、テストを規模拡大する方法を探ります。Aikidoがすべての発見をどのように検証しているかをご覧ください。
DevSecツールと製品比較
フィッシングの動向:カスタム認証情報収集ページを配信するnpmパッケージ
フィッシングの動向:カスタム認証情報収集ページを配信するnpmパッケージ
標的型スピアフィッシングキャンペーンでは、npmパッケージとjsDelivrを無料のフィッシングインフラストラクチャとして使用し、被害者ごとにカスタマイズされた認証情報ハーベスターを提供していました。
脆弱性と脅威
悪意のあるPyPIパッケージ spellcheckpy および spellcheckerpy が Python RAT を配布
悪意のあるPyPIパッケージ spellcheckpy および spellcheckerpy が Python RAT を配布
攻撃者は、一見して分からないようにマルウェアが隠された偽のスペルチェッカーパッケージをPyPIに公開しました。本稿では、この攻撃の詳細と開発者が注意すべき点について解説します。
脆弱性と脅威
SvelteSpill: SvelteKit + Vercelにおけるキャッシュの欺瞞バグ
SvelteSpill: SvelteKit + Vercelにおける重大なキャッシュ欺瞞バグ
SvelteSpillは、VercelにデプロイされたデフォルトのSvelteKit脆弱性 キャッシュの脆弱性 です。認証済みレスポンスがキャッシュされ、ユーザー間で公開される可能性があります。脆弱性の有無を確認する方法とリスクを軽減する方法について学びましょう。
当社のAIペンテストシステムは、Vercel上のデフォルトのSvelteKitデプロイメントにおいて、高深刻度の脆弱性を発見し、再現しました。ここでは、15万行のコードにわたるクロスレイヤーの欠陥をどのように追跡したかをご紹介します。
脆弱性と脅威
エージェントスキルが幻覚的なnpxコマンドを拡散している
エージェントスキルが幻覚的なnpxコマンドを拡散している
AIエージェントのスキルが、幻覚的なnpxコマンドを伝播させ、開発者とサプライチェーンに実際のセキュリティおよび信頼性のリスクをもたらしています。
脆弱性と脅威
現代のソフトウェアにおけるオープンソースライセンスのリスクを理解する
現代のソフトウェアにおけるオープンソースライセンスのリスクを理解する
オープンソースライセンスのリスクは、依存関係とコンテナイメージに潜んでいます。それが何であるか、なぜ重要なのか、そして問題を早期に発見する方法を学びます。
オープンソースは急速に進化していますが、そのライセンスには依然としてルールがあります。この記事では、オープンソースライセンスのリスクとは何か、なぜ現代の依存関係ツリーでチームが見落とし続けるのか、そして法的な緊急事態に陥ることなくコンプライアンスを維持する方法について解説します。
ガイドラインと推奨事例
セキュリティのためのCISO向けバイブコーディングチェックリスト
CISO Vibe Coding Checklist: AIで構築されたアプリケーションの保護
AIおよびvibe-codedアプリケーションを管理するCISO向けの実用的なセキュリティチェックリストです。技術的なガードレール、AI制御、組織ポリシーを網羅しています。
AIを活用したvibeコーディングにより、誰でもソフトウェアを出荷できるようになりました。この記事では、CISOが直面しているセキュリティリスクを概説し、LovableおよびSupabaseのCISOからの情報に基づいた実用的なチェックリストを紹介します。
ガイドラインと推奨事例
「No Bullsh*t Security」から10億ドルへ:6,000万ドルのシリーズB資金調達を実施しました
Aikido Securityが評価額10億ドルで6,000万ドルを調達
Aikidoは、自己保護型ソフトウェアと継続的なペネトレーションテストのビジョンを加速させるため、10億ドルの評価額で6,000万ドルのシリーズB資金調達を発表しました。
Aikidoは、世界的にユニコーン企業としての地位を達成したサイバーセキュリティ企業の中で最も速い企業の一つとなり、ヨーロッパでは史上最速を記録しました。
製品および会社のお知らせ
n8nの重大な脆弱性により認証なしのリモートコード実行が可能に (CVE-2026-21858)
n8nの重大な脆弱性 (CVE-2026-21858) | 認証なしRCEの解説
n8nの重大な脆弱性 (CVE-2026-21858) により、セルフホスト型インスタンスで認証なしのリモートコード実行が可能になります。影響を受ける対象と対処方法を学びます。
脆弱性と脅威
CoolifyのAI駆動型ペンテスト:7つのCVEを特定
CoolifyでAI ペンテストにより特定された7つのCVE | Aikido
Coolifyに対するAI駆動型ペンテストにより、権限昇格やリモートコード実行の脆弱性を含む7つのCVEが特定されました。発見された問題は責任を持って開示され、修正されています。
Aikido
JavaScript、MSBuild、およびブロックチェーン:NeoShadow npmサプライチェーン攻撃の解剖
NeoShadow npmサプライチェーン攻撃:JavaScript、MSBuild、ブロックチェーン
NeoShadow npmサプライチェーン攻撃の詳細な技術分析。JavaScript、MSBuild、およびブロックチェーン技術がどのように組み合わされて開発者を侵害したかを詳述しています。
脆弱性と脅威
SAST vs SCA: 記述するコードと依存するコードを保護する
SAST vs SCA 解説: コードと依存関係の保護
SASTとSCAがどのように異なり、それぞれがどのようなリスクに対処し、現代のAppSecチームがコードと依存関係を保護するために両方を必要とする理由を学びます。
技術
2026年版継続的ペンテストツールのトップ6
2026年版継続的ペンテストツールのトップ6
最新のアプリケーション向けにリアルタイムのAI駆動型セキュリティテストを提供する主要な継続的ペンテストツールをご紹介します。
DevSecツールと製品比較
エンジニアリングチームとセキュリティチームがDORAの技術要件をどのように満たすことができるか
エンジニアリング&セキュリティチーム向けDORA技術要件
DORAのエンジニアリングチームおよびセキュリティチーム向けの技術要件(レジリエンス試験、リスク管理、監査対応可能な証拠を含む)を理解する。
コンプライアンス
ありがとうございました!あなたの投稿は受理されました!
あれ!フォームの送信中に何か問題が発生しました。
2026年5月28日
ガイドラインと推奨事例

MDMでは開発者のマシン上で保護できないもの(およびその対処法)

多くのセキュリティチームではMDMを導入しています。しかし、npmによるインストール、VS Codeの拡張機能、AIコーディングツールなどは、MDMの管理範囲外で行われているのが問題です。ここでは、実際に保護されていない部分と、その対策について解説します。

タグ/

#Aikido 機器の保護

#IDEセキュリティ

#AI安全性

#ソフトウェアサプライチェーンセキュリティ

2026年5月27日
脆弱性と脅威

一見正当なコードックス・リモートUIが、密かにAIトークンを盗み出している

洗練されたCodexのリモートUIであるnpmパッケージ「codexui-android」は、現在も活発に開発が進められており、毎週数千人のユーザーが利用しています。しかし、この1か月間、同パッケージはOpenAIの認証トークンを密かに盗み出していました。

タグ/

#脆弱性

#NPM

2026年5月23日
脆弱性と脅威

認証情報窃取型マルウェアを用いたサプライチェーン攻撃が、Laravel-Langパッケージを標的としている

攻撃者は、人気のあるLaravel-Langパッケージの200以上のバージョンに認証情報窃取型マルウェアを仕込み、クラウドキー、SSHキー、ブラウザ、暗号資産ウォレットなどを標的とした攻撃を仕掛けた。

タグ/

#マルウェア

2026年5月12日
ニュース

「シャドウAI」は恐怖反応であり、それを禁止すれば事態はさらに悪化する

「シャドウAI」とは、恐怖から生じる反応です。従業員が使用しているツールを隠しているのは、AIスキルが求められる雇用市場の動向を的確に読み取っているからです。禁止措置が事態を悪化させる理由と、その代わりに取るべき対策について解説します。

タグ/

#AI

#AI安全性

#リーガルテック

2026年5月12日
脆弱性と脅威

ミニ・シャイ・フルードが帰ってきた:npm WormがMistralやTanstackを含む160以上のパッケージを検出

タグ/

#マルウェア

2026年5月6日
ガイドラインと推奨事例

5,000人以上のエンジニアが在籍する組織における開発者向けセキュリティの導入

開発者向けのセキュリティ施策の導入が失敗に終わるケースの多くは、文化の変革ではなく、単なるソフトウェアの導入のように設計されているためです。ここでは、この問題を解決するために経験豊富なCISOたちが採用している段階的なモデルを紹介します。

タグ/

#脆弱性

#AppSec

#脅威モデリング

#SCA

#SAST

2026年5月5日
ガイドラインと推奨事例

セキュリティの変容:自律型AI攻撃に対応したMythos対応アーキテクチャのチェックリスト

現代の複雑さの中で、アプリケーションセキュリティは行き詰まっている。プロジェクト・グラスウィングやミトス時代においては、直面する脅威と同じスピードで対応できるセキュリティ体制が求められている。

タグ/

#AI安全性

#ソフトウェアサプライチェーンセキュリティ

2026年4月29日
脆弱性と脅威

Mini Shai-Hulud、パンを装った秘密情報窃取ツールでSAPのnpmパッケージを標的に

タグ/

#マルウェア

#NPM

2026年4月25日
脆弱性と脅威

ブラウザ拡張機能をサプライチェーン攻撃の経路として扱うべき時が来た

Vercelでのセキュリティ侵害は、セキュリティ業界ではよく知られたパターンに沿ったものでした。つまり、サードパーティのコードが暗黙のうちに信頼され、その後、上流で侵害されるというものです。私たちには、こうした事態に対処するためのフレームワークがあります。ただ、まだブラウザ拡張機能には適用していないだけです。(ネタバレ:私たちはソフトウェア依存関係これを行っています)

タグ/
アイテムが見つかりませんでした。
2026年4月23日
脆弱性と脅威

Shai-Huludが復活したのか? 脆弱性が発見されたBitwarden CLIに、自己増殖型npmワームが含まれている

@bitwarden/cli v2026.4.0 に発見されたマルウェアは、SSH キー、シークレット、AI コーディングツールの認証情報を盗み出し、被害者自身の npm パッケージを通じて拡散します。その正体は、「Shai-Hulud: The Third Coming」と名乗るワームです。

タグ/

#マルウェア

2026年4月17日
脆弱性と脅威

Mailcow に複数のクロスサイトスクリプティング(XSS)の脆弱性が確認されました

AikidoのAIペネトレーションテストエージェントは、広く利用されているセルフホスト型メールサーバー「Mailcow」に3つのXSS脆弱性を発見しました。最も深刻な脆弱性では、認証されていない攻撃者がAutodiscoverログにペイロードを注入することが可能であり、管理者がそのログを表示した際に実行され、アカウントの完全な乗っ取りを可能にしていました。これら3つの脆弱性はすべて、バージョン2026-03b以降で修正されています。

タグ/

#脆弱性

#オープンソース

2026年4月14日
脆弱性と脅威

Axios CVE-2026-40175:重大なバグだが……悪用は不可能

AxiosのCVE-2026-40175は「重大」と評価されていますが、実際のNode.js環境では実質的に悪用されることはありません。その理由は以下の通りです。

タグ/
アイテムが見つかりませんでした。
製品および会社のお知らせ
すべて表示
すべて表示
2026年5月12日
製品および会社のお知らせ

Opengrepの1年:これまでの成果と今後の展望

Semgrepのフォークから1年が経ち、Opengrepは処理速度が向上し、より詳細なテイント解析に対応するようになったほか、一貫性があり再現性のある結果を出力できるようになりました。

#
SAST
#
オープンソース
2026年4月30日
製品および会社のお知らせ

Aikido AWS Kiroとの統合:レビューでのキャッチ処理はもはやスケーラブルではない

AIエージェントがコードを記述します。 Aikido は、AWS Kiroのエージェント型ワークフローに直接統合され、最初の1行から自動的にセキュリティを考慮した開発を実現します。 Aikido は、KiroにおけるAWS初のグローバルセキュリティパートナーです。

#
お知らせ
2026年3月24日
製品および会社のお知らせ

Aikido × Lovable:雰囲気、修正、カップリング

愛らしくて Aikido がペネトレーションテスト機能をプラットフォームに導入し、開発者が実環境での攻撃をシミュレートし、リリース前に問題を修正できるようにします。

#
お知らせ
#
AI ペネトレーションテスト
脆弱性と脅威
すべて表示
すべて表示
2026年5月21日
脆弱性と脅威

GoogleAPI 、削除した後も引き続き機能します

GoogleAPI 削除しても、即座に無効化されるわけではありません。当社のテストでは、削除後最大 23 分経過しても認証が成功することが確認されており、Google はこの問題を修正する意向を示していません。

#
AppSec
#
脆弱性
2026年5月20日
脆弱性と脅威

VS Code拡張機能の「無法地帯」と、悪意のある拡張機能がGitHubのセキュリティを侵害した経緯

昨日、GitHubに悪意のあるVS Code拡張機能が侵入した。これは、Visual Studio Marketplaceで「Nx Console」(インストール数220万件)が18分間にわたり侵害され、自動更新を有効にしているすべてのユーザーに影響が及んだ翌日の出来事である。

#
VS Code
#
ソフトウェア・サプライチェーンのセキュリティ
#
Aikido 終点
2026年5月19日
脆弱性と脅威

PyPi上のMicrosoft製durabletaskパッケージが侵害された。Mini Shai Huludがまたもや攻撃を仕掛けてきた……またもや!

マイクロソフト関連のPythonパッケージの、段階的に改変された3つのバージョンは、AWSやKubernetesを通じて拡散し、見つかる限りのクラウド認証情報を盗み出し、イスラエルおよびイランのシステム上のディスクを消去する、多機能な情報窃取型マルウェアを配布している

DevSecツールと製品比較
すべて表示
すべて表示
2025年8月19日
DevSecツールと製品比較

2026年版 トップ12 動的アプリケーションセキュリティテスト (DAST) ツール

2026年における最適な12の動的アプリケーションセキュリティテスト (DAST) ツールを見つけましょう。機能、長所、短所、統合機能を比較し、DevSecOpsパイプラインに適したDASTソリューションを選びましょう。

#
ツール
#
DAST
2025年7月18日
DevSecツールと製品比較

2026年版 コンテナスキャンツール トップ13

2026年における最適なコンテナスキャンツール13選をご紹介します。機能、長所、短所、連携機能を比較し、DevSecOpsパイプラインに最適なソリューションを選択してください。

#
ツール
#
コンテナイメージスキャン
2025年7月17日
DevSecツールと製品比較

2026年版Software Composition Analysis (SCA) ツール トップ10

SCAツールは、オープンソースセキュリティにおける最善の防御策です。本記事では、2026年版のオープンソース依存関係スキャナー トップ10を解説します。

#
ツール
#
SCA
ガイドラインと推奨事例
すべて表示
すべて表示
2026年4月30日
ガイドラインと推奨事例

Mythosへの移行に向けた実用的なCTO向けセキュリティチェックリスト

「Mythos」や自律型AIによる脅威が横行する世界において、SaaS企業のCTOが実践すべきチェックリスト。防御側の強み――つまり、攻撃者が入手するのに手間がかかる「文脈」を自チームがすでに把握しているという利点――を軸に構成されています。他者に先駆けて問題を特定し、修正できるかどうかを左右する、セキュリティ対策、実践手法、および運用上の習慣について解説します。

#
AI
#
自己保護ソフトウェア
#
お知らせ
2026年3月19日
ガイドラインと推奨事例

セキュリティテストとは、もはや存在しないソフトウェアを検証することである

現代のチームは、ペネトレーションテストが追いつけないほどのスピードで製品をリリースしています。セキュリティテストにおけるこの拡大するスピードのギャップ、そして従来のアプローチがなぜ遅れをとっているのかを探ります。

#
AI ペネトレーションテスト
#
継続的なペンテスト
#
ペンテスト
2026年3月6日
ガイドラインと推奨事例

継続的なペンテストに実際に必要なもの

継続的なペンテストはリアルタイムのセキュリティ検証を約束しますが、ほとんどの実装は不十分です。変更を認識するテストから、エクスプロイト検証、修正ループまで、継続的なペンテストに実際に必要なものは次のとおりです。

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

スキャンを開始
CC不要
デモを予約する
クレジットカードは不要です。 | スキャン結果は32秒で表示されます。