News Topic
開発者向けセキュリティ
開発者の端末、npm/PyPI、GitHub Actions、APIトークンは、いまや主要な侵入口です。ニュースを読み、secret leakや依存関係確認へつなげるためのトピックです。
関連記事
23件の記事があります。
データ分類の始め方 ─ DLP・AI利用・SaaS共有で迷わない実務チェックリスト
データ分類とは何か、DLP・AI利用・SaaS外部共有で迷わない分類軸、確認手順、初動対応、判断基準を情シス・開発者・SaaS管理者向けに整理します。
2026年6月29日pnpmの複数アドバイザリ公開:開発端末とCIでまず確認すること
pnpmの複数アドバイザリを受け、開発端末、CI、lockfile、リポジトリ設定、トークンをどう確認するかを解説。公式情報に基づき、対象バージョン確認、更新判断、証跡保全、再ビルド範囲、監査ログ確認まで、情シスと開発者向けに初動対応を整理します。
2026年6月28日不審なメール転送ルールを見つけた時の初動対応 ─ Microsoft 365・SaaS管理者向け確認手順
Microsoft 365などで不審なメール転送ルールや受信トレイルールを見つけた時、アカウント侵害・BECの可能性、ログ保全、セッション失効、MFA、OAuth確認、影響範囲、削除前の判断基準、報告までをSaaS管理者向けの実務手順として整理します。
2026年6月26日MCPサーバーを社内AIに接続する前に確認すること ─ 権限・トークン・ログの実務チェック
MCPサーバーを社内AIや開発環境へ接続する前に、OAuth、トークン、ツール権限、監査ログ、停止手順、初動対応を実務向けに整理します。
2026年6月26日Webhook署名シークレット漏えい時の初動対応 ─ 確認方法とローテーション手順
Webhook署名シークレットの漏えい疑いがあるとき、受信エンドポイント、署名検証、再送、ログ、ローテーションをどう確認するか。開発者・SaaS管理者向けの初動チェックリスト。
2026年6月22日OIDCクライアントシークレット更新手順 ─ OAuthログイン停止とsecret漏えいを避ける確認方法
OIDC/OAuthクライアントシークレットの期限切れ・漏えい時に、停止を避けて安全に更新する実務手順。新旧secret併用、設定反映、ログ確認、旧secret無効化、PKCEや証明書・フェデレーション資格情報への移行判断、台帳整備まで整理します。
2026年6月20日SCIM連携・自動プロビジョニングの確認方法 ─ 退職者アカウントをSaaSに残さない実務手順
SCIM連携や自動プロビジョニングで退職者アカウントがSaaSに残る原因を整理。同期対象、グループ、手動招待、provisioning logs、active=false、証跡確認、エスカレーション条件まで情シス・SaaS管理者向けに解説します。
2026年6月18日管理者権限が急に付与された時の初動対応 ─ SaaS・IdP・GitHubでまず確認すること
Microsoft Entra、Google Workspace、GitHubで管理者権限が急に付与された時の確認方法を、監査ログ、付与理由、影響範囲、失効、記録テンプレートまで整理する。
2026年6月17日GitHub Secret Scanningアラート初動対応 ─ トークン漏えい時にまず確認すること
GitHub Secret Scanningアラートを受け取った時の初動対応を、secret種別、validity、公開範囲、失効、ログ確認、再発防止まで実務チェックリストで整理する。
2026年6月16日LiteLLM CVE-2026-42271 ─ MCP接続テスト機能のコマンドインジェクションで確認すること
CISA KEVに追加されたLiteLLM CVE-2026-42271について、MCP接続テスト機能、低権限キー、AI Gatewayの公開範囲、APIキー、ログ、更新判断を防御側の初動として整理する。
2026年6月8日委託先・外部パートナーアカウントの棚卸し ─ SaaS・GitHub・Slackでまず確認すること
委託先・取引先・外部パートナーのSaaS、GitHub、Slack、Microsoft 365権限を棚卸しする手順を整理。確認項目、初動対応、エスカレーション条件を実務向けに解説します。
2026年6月5日ブラウザ拡張機能の権限棚卸し ─ Chrome/Edgeでまず確認すること
ブラウザ拡張機能は閲覧データやSaaS情報に触れる権限を持つことがあります。Chrome/Edgeの拡張機能を棚卸しし、許可範囲、サイトアクセス、初動対応、記録、エスカレーション条件を整理します。
2026年6月3日退職者アカウントが残っていた時の初動対応 ─ SaaS・GitHub・メール転送の確認手順
退職者アカウントや委託終了者のSaaS権限が残っていた時に、まず何を止め、どのログを確認し、どこまで記録するかを実務手順で整理します。
2026年5月31日Nx ConsoleとTanStackのサプライチェーン侵害:開発端末で確認すること
CISA KEVに追加されたNx Console CVE-2026-48027とTanStack CVE-2026-45321をもとに、拡張機能、npmパッケージ、開発端末、トークンの確認手順を整理する。
2026年5月12日デバイスコードフィッシング ─ Microsoft 365で狙われるOAuth認証の盲点
デバイスコードフィッシングは、正規のログイン画面を使って攻撃者のセッションを承認させる。Microsoft 365で見るべきログ、初動、条件付きアクセスの考え方を整理する。
2026年5月6日SaaS権限棚卸しの進め方 ─ 退職者・OAuth・外部共有を見落とさない実務手順
SaaS権限棚卸しを、管理者ロール、退職者アカウント、OAuth同意、外部共有、APIトークンの観点で整理。初回30日の進め方と優先順位を解説する。
2026年5月3日サイバーセキュリティ勉強方法 2026年版 ─ 初心者が迷わない学習ロードマップ
サイバーセキュリティを何から勉強すればよいか迷う初心者向けに、基礎、用語、攻撃手法、防御、ハンズオンまでの順番を整理。情シス、開発者、SOC志望など目的別の進め方も紹介する。
2026年5月2日マネーフォワードGitHub不正アクセス ─ リポジトリコピーから考える開発組織の初動
2026年5月に公表されたマネーフォワードのGitHub不正アクセスを、公式発表をもとに整理。認証情報漏えい、リポジトリコピー、鍵ローテーション、銀行口座連携停止から、開発組織が確認すべき実務対応を解説する。
2026年5月1日OAuth同意フィッシング ─ MFAをすり抜けるSaaS権限奪取
OAuth同意フィッシングは、MFAを破らずSaaSアプリ連携の権限を奪う。危険な同意画面、管理者同意、監査ログ、アプリ制御の実務対応を整理する。
2026年4月14日CPU-Z・HWMonitorに仕込まれたSTX RAT ─ 公式サイト6時間改ざんのウォータリングホール攻撃
2026年4月9〜10日、PC診断ツールメーカーCPUIDの公式サイトが約6時間改ざんされ、CPU-Z・HWMonitorのダウンロードリンクがSTX RAT配布ファイルに差し替えられた。DLLサイドローディングと5段階インメモリ感染チェーンを使う高度な攻撃の全容を解説する。
2026年4月10日北朝鮮「Contagious Interview」— npm・PyPI・Go・Rust・PHPに1,700本超の偽パッケージを展開
北朝鮮連動のAPTグループ「Contagious Interview(UNC1069)」が5つのパッケージエコシステムに1,700本以上の悪意あるパッケージを展開。開発者のクレデンシャルや暗号資産ウォレットを狙うクロスエコシステム・サプライチェーン攻撃の全貌を解説します。
2026年4月3日週1億DLのaxiosに北朝鮮バックドア ─ UNC1069による3時間のサプライチェーン汚染
2026年3月31日、北朝鮮系のUNC1069が人気JavaScriptライブラリaxiosのnpmアカウントを侵害し、WAVESHAPER.V2バックドアを仕込んだ悪意あるバージョンを公開しました。80%のクラウド環境が影響を受け得るこのサプライチェーン攻撃の全貌を解説します。
2026年3月25日AIツールが標的になる時代:LiteLLM汚染事件が示したCI/CDパイプラインの死角
2026年3月、AI開発で広く使われるPythonライブラリ「LiteLLM」のPyPI配布版に悪意あるコードが混入しました。確認済みの事実、影響確認、CI/CDとAPIキーの守り方を整理します。