脆弱性と脅威

特集

2025年4月22日

XRPサプライチェーン攻撃：NPMの公式パッケージが暗号を盗むバックドアに感染

XPRL（リップル社）の公式NPMパッケージが、暗号通貨の秘密鍵を盗み出し、暗号通貨ウォレットにアクセスするためのバックドアを設置した巧妙な攻撃者によって侵害された。

タグ

マルウェア,

脆弱性,

2024年11月8日

SQLインジェクションの現状

SQLiとしても知られるSQLインジェクションは、現在もなお、最も長い歴史を持つ脆弱性の1つです。本レポートでは、2024年に向けてSQLiのトレンドをレビューします。

タグ

脆弱性,

SQLインジェクション,

2023年7月12日

OWASPトップ10とは？

OWASP Top 10 とは？安全でコンプライアンスに準拠した、信頼できるウェブアプリケーションを構築するための OWASP Top 10 の重要性について学びましょう。

タグ

オワスプ,

脆弱性,

変更履歴を購読するスパムはありません。

ありがとうございました！あなたの投稿は受理されました！

あれ！フォームの送信中に何か問題が発生しました。

2025年6月7日

活発化するNPM攻撃：GlueStack用の16のReact Nativeパッケージが一夜にしてバックドアされる

巧妙なサプライチェーン攻撃により、NPM上のreact-native-ariaに関連するパッケージが積極的に侵害され、難読化によって隠されたステルス性の高いリモートアクセス型トロイの木馬（RAT）が展開され、毎週100万件以上ダウンロードされるモジュール全体に広がっている。

タグ

マルウェア,

脆弱性,

2025年5月13日

ご招待しますGoogleカレンダー招待とPUAによるマルウェア配信

攻撃者は、悪意のあるGoogle招待とUnicodeの隠し文字「Private Use Access」（PUA）を使用して、悪意のあるNPMパッケージを見事に難読化し隠蔽しました。

タグ

NPM,

マルウェア,

脆弱性,

2025年5月6日

ラタトゥイユrand-user-agentに隠された悪意のあるレシピ（サプライチェーンの侵害）

タグ

マルウェア,

ソフトウェア・サプライチェーン・セキュリティ,

2025年4月10日

マルウェア出会いガイド故宮マルウェアの種類を理解する

実際に悪意のあるnpmパッケージと、それらがJavaScriptサプライチェーンを悪用するために使用するテクニックの内訳。

タグ

マルウェア,

脆弱性,

2025年4月3日

隠れて失敗する難読化されたマルウェア、空のペイロード、そしてnpmの悪ふざけ

時間遅延ペイロード、難読化トリック、および再利用依存性を使用した、失敗したnpmマルウェアキャンペーンの調査。

タグ

マルウェア,

NPM,

2025年3月31日

ありふれた風景の中に潜むマルウェア北朝鮮のハッカーをスパイする

悪意のあるNPMjsパッケージがアップロードされたとき、我々は北朝鮮のLazarusグループがリアルタイムでデバッグするのを見ることになるとは思っていなかった。しかし、我々は

タグ

マルウェア,

2025年3月16日

TL;DR: tj-actions/changed-files サプライチェーン・アタック

tj-actions/changed-filesのサプライチェーン・アタックについて、何をすべきか、何が起こったのか、さらに詳しい情報を紹介しよう。

タグ

脆弱性,

マルウェア,

2025年2月14日

PrismaとPostgreSQLにNoSQLインジェクションの脆弱性？意外なセキュリティリスクを解説

Prisma ORMとPostgreSQLが、NoSQLインジェクションの一種である演算子インジェクションに対してどのように脆弱であるかを発見してください。攻撃者がこのリスクをどのように悪用するかを学び、入力検証と安全なクエリの実践によってJavaScriptアプリケーションを安全にするための実践的なヒントを得てください。

タグ

脆弱性,

2024年11月23日

2024年のパストラバーサル - その年を紐解く

本レポートでは、オープンソースとクローズドソースのプロジェクトにおいて、パス・トラバーサルに関わる脆弱性がどれだけ発見されたかを分析することで、2024年にパス・トラバーサルがどの程度顕著になるかを見ている。

タグ

SAST,

脆弱性,

2024年11月24日

2024年のコマンドインジェクション

コマンド・インジェクションは、アプリケーションにおける重要な脆弱性であり続けている。本レポートでは、2024年を通して、クローズド・プロジェクトとオープン・ソース・プロジェクトにおいて、どれだけのインジェクション脆弱性が発見されたかを検証する。

タグ

脆弱性,

2024年6月27日

Polyfillのサプライチェーン攻撃で11万サイトに影響

cdn.polyfill.ioを介した重大なサプライチェーン攻撃により、110,000を超えるウェブサイトが危険にさらされています。

タグ

脆弱性,

2023年10月17日

CVEとは何か？

CVEとは？一般的な脆弱性と暴露のデータベースで、開発者やセキュリティチームに過去の脅威を知らせます。CVSSスコアはCVEの深刻度を報告します。

タグ

脆弱性,

ガイド＆ベストプラクティス

実用的なヒント、セキュリティ・ワークフロー、ハウツー・ガイドで、より安全なコードをより早く出荷できるようにします。

すべて見る

DevSecツールと比較

AppSecとDevSecOpsのトップツールのディープダイブとサイド・バイ・サイド。

すべて見る