メインコンテンツへスキップ

News Topic

開発者向けセキュリティ

開発者の端末、npm/PyPI、GitHub Actions、APIトークンは、いまや主要な侵入口です。ニュースを読み、secret leakや依存関係確認へつなげるためのトピックです。

関連記事

23件の記事があります。

2026年7月1日

データ分類の始め方 ─ DLP・AI利用・SaaS共有で迷わない実務チェックリスト

データ分類とは何か、DLP・AI利用・SaaS外部共有で迷わない分類軸、確認手順、初動対応、判断基準を情シス・開発者・SaaS管理者向けに整理します。

#データ分類#DLP#Data Classification#Data Discovery
2026年6月29日

pnpmの複数アドバイザリ公開:開発端末とCIでまず確認すること

pnpmの複数アドバイザリを受け、開発端末、CI、lockfile、リポジトリ設定、トークンをどう確認するかを解説。公式情報に基づき、対象バージョン確認、更新判断、証跡保全、再ビルド範囲、監査ログ確認まで、情シスと開発者向けに初動対応を整理します。

#pnpm#サプライチェーン#パッケージマネージャー#CVE-2026-55698
2026年6月28日

不審なメール転送ルールを見つけた時の初動対応 ─ Microsoft 365・SaaS管理者向け確認手順

Microsoft 365などで不審なメール転送ルールや受信トレイルールを見つけた時、アカウント侵害・BECの可能性、ログ保全、セッション失効、MFA、OAuth確認、影響範囲、削除前の判断基準、報告までをSaaS管理者向けの実務手順として整理します。

#メール転送#Microsoft 365#Exchange Online#受信トレイルール
2026年6月26日

MCPサーバーを社内AIに接続する前に確認すること ─ 権限・トークン・ログの実務チェック

MCPサーバーを社内AIや開発環境へ接続する前に、OAuth、トークン、ツール権限、監査ログ、停止手順、初動対応を実務向けに整理します。

#MCP#Model Context Protocol#AIエージェント#OAuth
2026年6月26日

Webhook署名シークレット漏えい時の初動対応 ─ 確認方法とローテーション手順

Webhook署名シークレットの漏えい疑いがあるとき、受信エンドポイント、署名検証、再送、ログ、ローテーションをどう確認するか。開発者・SaaS管理者向けの初動チェックリスト。

#Webhook#Webhook Secret#署名検証#シークレット管理
2026年6月22日

OIDCクライアントシークレット更新手順 ─ OAuthログイン停止とsecret漏えいを避ける確認方法

OIDC/OAuthクライアントシークレットの期限切れ・漏えい時に、停止を避けて安全に更新する実務手順。新旧secret併用、設定反映、ログ確認、旧secret無効化、PKCEや証明書・フェデレーション資格情報への移行判断、台帳整備まで整理します。

#OIDC#OAuth#クライアントシークレット#シークレット管理
2026年6月20日

SCIM連携・自動プロビジョニングの確認方法 ─ 退職者アカウントをSaaSに残さない実務手順

SCIM連携や自動プロビジョニングで退職者アカウントがSaaSに残る原因を整理。同期対象、グループ、手動招待、provisioning logs、active=false、証跡確認、エスカレーション条件まで情シス・SaaS管理者向けに解説します。

#SCIM#プロビジョニング#デプロビジョニング#退職者対応
2026年6月18日

管理者権限が急に付与された時の初動対応 ─ SaaS・IdP・GitHubでまず確認すること

Microsoft Entra、Google Workspace、GitHubで管理者権限が急に付与された時の確認方法を、監査ログ、付与理由、影響範囲、失効、記録テンプレートまで整理する。

#管理者権限#PAM#IAM#SaaS
2026年6月17日

GitHub Secret Scanningアラート初動対応 ─ トークン漏えい時にまず確認すること

GitHub Secret Scanningアラートを受け取った時の初動対応を、secret種別、validity、公開範囲、失効、ログ確認、再発防止まで実務チェックリストで整理する。

#GitHub#Secret Scanning#Push Protection#トークン漏えい
2026年6月16日

LiteLLM CVE-2026-42271 ─ MCP接続テスト機能のコマンドインジェクションで確認すること

CISA KEVに追加されたLiteLLM CVE-2026-42271について、MCP接続テスト機能、低権限キー、AI Gatewayの公開範囲、APIキー、ログ、更新判断を防御側の初動として整理する。

#LiteLLM#CVE-2026-42271#AI Gateway#MCP
2026年6月8日

委託先・外部パートナーアカウントの棚卸し ─ SaaS・GitHub・Slackでまず確認すること

委託先・取引先・外部パートナーのSaaS、GitHub、Slack、Microsoft 365権限を棚卸しする手順を整理。確認項目、初動対応、エスカレーション条件を実務向けに解説します。

#SaaS#委託先管理#外部ユーザー#サードパーティリスク
2026年6月5日

ブラウザ拡張機能の権限棚卸し ─ Chrome/Edgeでまず確認すること

ブラウザ拡張機能は閲覧データやSaaS情報に触れる権限を持つことがあります。Chrome/Edgeの拡張機能を棚卸しし、許可範囲、サイトアクセス、初動対応、記録、エスカレーション条件を整理します。

#ブラウザ拡張機能#Chrome#Edge#SaaS
2026年6月3日

退職者アカウントが残っていた時の初動対応 ─ SaaS・GitHub・メール転送の確認手順

退職者アカウントや委託終了者のSaaS権限が残っていた時に、まず何を止め、どのログを確認し、どこまで記録するかを実務手順で整理します。

#退職者対応#アカウント管理#SaaS#GitHub
2026年5月31日

Nx ConsoleとTanStackのサプライチェーン侵害:開発端末で確認すること

CISA KEVに追加されたNx Console CVE-2026-48027とTanStack CVE-2026-45321をもとに、拡張機能、npmパッケージ、開発端末、トークンの確認手順を整理する。

#サプライチェーン#Nx Console#TanStack#CVE-2026-48027
2026年5月12日

デバイスコードフィッシング ─ Microsoft 365で狙われるOAuth認証の盲点

デバイスコードフィッシングは、正規のログイン画面を使って攻撃者のセッションを承認させる。Microsoft 365で見るべきログ、初動、条件付きアクセスの考え方を整理する。

#デバイスコードフィッシング#OAuth#Microsoft 365#MFA
2026年5月6日

SaaS権限棚卸しの進め方 ─ 退職者・OAuth・外部共有を見落とさない実務手順

SaaS権限棚卸しを、管理者ロール、退職者アカウント、OAuth同意、外部共有、APIトークンの観点で整理。初回30日の進め方と優先順位を解説する。

#SaaS#権限管理#OAuth#退職者対応
2026年5月3日

サイバーセキュリティ勉強方法 2026年版 ─ 初心者が迷わない学習ロードマップ

サイバーセキュリティを何から勉強すればよいか迷う初心者向けに、基礎、用語、攻撃手法、防御、ハンズオンまでの順番を整理。情シス、開発者、SOC志望など目的別の進め方も紹介する。

#勉強方法#初心者#ロードマップ#用語学習
2026年5月2日

マネーフォワードGitHub不正アクセス ─ リポジトリコピーから考える開発組織の初動

2026年5月に公表されたマネーフォワードのGitHub不正アクセスを、公式発表をもとに整理。認証情報漏えい、リポジトリコピー、鍵ローテーション、銀行口座連携停止から、開発組織が確認すべき実務対応を解説する。

#マネーフォワード#GitHub#認証情報漏洩#インシデント対応
2026年5月1日

OAuth同意フィッシング ─ MFAをすり抜けるSaaS権限奪取

OAuth同意フィッシングは、MFAを破らずSaaSアプリ連携の権限を奪う。危険な同意画面、管理者同意、監査ログ、アプリ制御の実務対応を整理する。

#フィッシング#MFA#認証#ゼロトラスト
2026年4月14日

CPU-Z・HWMonitorに仕込まれたSTX RAT ─ 公式サイト6時間改ざんのウォータリングホール攻撃

2026年4月9〜10日、PC診断ツールメーカーCPUIDの公式サイトが約6時間改ざんされ、CPU-Z・HWMonitorのダウンロードリンクがSTX RAT配布ファイルに差し替えられた。DLLサイドローディングと5段階インメモリ感染チェーンを使う高度な攻撃の全容を解説する。

#ウォータリングホール#サプライチェーン#DLLサイドローディング#RAT
2026年4月10日

北朝鮮「Contagious Interview」— npm・PyPI・Go・Rust・PHPに1,700本超の偽パッケージを展開

北朝鮮連動のAPTグループ「Contagious Interview(UNC1069)」が5つのパッケージエコシステムに1,700本以上の悪意あるパッケージを展開。開発者のクレデンシャルや暗号資産ウォレットを狙うクロスエコシステム・サプライチェーン攻撃の全貌を解説します。

#サプライチェーン#北朝鮮#npm#PyPI
2026年4月3日

週1億DLのaxiosに北朝鮮バックドア ─ UNC1069による3時間のサプライチェーン汚染

2026年3月31日、北朝鮮系のUNC1069が人気JavaScriptライブラリaxiosのnpmアカウントを侵害し、WAVESHAPER.V2バックドアを仕込んだ悪意あるバージョンを公開しました。80%のクラウド環境が影響を受け得るこのサプライチェーン攻撃の全貌を解説します。

#サプライチェーン#npm#北朝鮮#UNC1069
2026年3月25日

AIツールが標的になる時代:LiteLLM汚染事件が示したCI/CDパイプラインの死角

2026年3月、AI開発で広く使われるPythonライブラリ「LiteLLM」のPyPI配布版に悪意あるコードが混入しました。確認済みの事実、影響確認、CI/CDとAPIキーの守り方を整理します。

#supply-chain#PyPI#LiteLLM#CI/CD
ESC