ゲーム『BlockBlasters』にマルウェアが混入。ブラウザの個人情報や暗号資産ウォレットを収集するなど、悪意あるスクリプトを実行。既に3万2000ドル以上を盗まれる被害も

ゲーム『BlockBlasters』にマルウェアが混入。ブラウザの個人情報や暗号資産ウォレットを収集するなど、悪意あるスクリプトを実行。既に3万2000ドル以上を盗まれる被害も

いつも記事を読んでいただきありがとうございます！モブエンジニア（@mob-engineer)です！ 社内検証環境でEC2環境でWebサーバを実装＋認証基盤を実装といった要件があったので、今回実装した内容について簡単にハンズオン化してみました。 初見の方でもサクッと読めるように平易な表現で執筆しておりますので、お気軽に読んでいただければ幸いです。 対象読者 利用ケース 構成イメージ ハンズオン セキュリティグループ設定 EC2設定 ALB設定 CloudFront設定 Cognito設定 所感 対象読者 次のような課題を抱えている方に本記事を活用いただけますと幸いです。 Route53などを用いずに簡単にWebブラウザを実装したい S3を利用しないで静的Webサイトを実装したい場合 とりあえず、AWSを用いた楽々実装アーキテクチャを実装したい 利用ケース 次のようなケースだと利用できると考えています。 サーバーアクセス時に任意のポートで接続する場合 バックエンド・フロントエンド環境が同一の場合 新規ドメインを払い出すのが面倒・難しい場合（ACMへの登録を行いたくない） 商用環境で実装する場合はAWS WAFなどのセキュリティ対策・Auto Scalingなどのアジリティ対策を講じてください。 構成イメージ 次のような構成イメージを想定しています。 ハンズオン セキュリティグループ設定 EC2サーバ用とALB用にあらかじめ作成しておきます。 EC2用セキュリティグループ ALBから来たHTTP・HTTPS通信は許可する設定にしております。また、自環境からはSSH・任意のポートを許可する仕様にしております。 ALB用セキュリティグループ HTTP・HTTPSポートに関しては任意の場所でも許可する仕様にしております。 より厳密に設定する場合はCloudFrontからの通信のみに範囲を狭めてみてください EC2設定 EC2設定に関してはapacheの設定ファイルを変えるだけです。今回は使用ポートを7000番にしました。（任意の値で大丈夫です） なお、HTML資材は過去ブログから持ってきています。 実装した結果は以下となります ALB設定 ALBの設定を行う前にEC2のセキュリティグループを次の通り変更してください。 上記設定を行うことで、ALBから任意のポート宛の通信を行えるようになります。 ALB設定としてターゲットグループとロードバランサーの設定を行います。 先にターゲットグループを設定しないとロードバランサーは作成できません ターゲットグループ ターゲット登録方法としてインスタンスでの登録がありますが、TerraformなどのIaCツールで頻繁にリソースを構築⇒削除する場合、インスタンスIDを固定化できません。そのため、今回は値を固定化できるIPアドレス（プライベートIP）をターゲットに指定しています。 リスナーにつてはHTTPプロトコルの通信は許可するといったルールにしております。なお、ALB単体でHTTPS設定も可能ですがその場合ACM設定が必須となります。 それでは、ALBから払い出されたDNSドメインでアクセスしましょう。 CloudFront設定 オリジンドメインとして先ほど作成したALBを登録して作成しました。

Security Explorations社がKigen製eSIMのOracle Java Card脆弱性を発見。世界20億台のデバイスで通信傍受、SIMクローン、認証コード窃取が可能となる重大なセキュリティリスクが判明。6年前から存在する未修正の欠陥が原因で、国家レベルの攻撃も懸念される。

Apple patches dozens of vulnerabilities across its mobile and desktop operating systems, including fixes for a bug exploited in the wild.

サイバーセキュリティ研究者は、人気のあるfigma-developer-mcp Model Context Protocol（MCP）サーバーに存在していた、現在は修正済みの脆弱性の詳細を公開しました。この脆弱性により、攻撃者がコードを実行できる可能性がありました。 この脆弱性はCVE-2025-53967（CVSSスコア：7.5）として追跡されており、ユーザー入力の無検証利用に起因するコマンドインジェクションバグです。これにより、攻撃者が任意のシステムコマンドを送信できる状況が生まれます。 「サーバーは、未検証のユーザー入力をコマンドライン文字列内で直接使用してシェルコマンドを構築・実行します。これにより、シェルメタ文字（|、>、&&など）のインジェクションの可能性が生じます」と、この脆弱性に関するGitHubアドバイザリは述べています。「悪用に成功すると、サーバープロセスの権限でリモートコード実行が可能になります。」 Framelink Figma MCPサーバーは、CursorのようなAI搭載のコーディングエージェントを利用してFigma上で様々な操作を行うツールを公開しているため、攻撃者は間接的なプロンプトインジェクションを通じてMCPクライアントに意図しない動作を実行させることができます。 この問題を2025年7月に発見・報告したサイバーセキュリティ企業Impervaは、CVE-2025-53967を「フォールバック機構における設計上の見落とし」と説明しており、悪意のある攻撃者が完全なリモートコード実行を達成できるため、開発者のデータ漏洩リスクが高まるとしています。 このコマンドインジェクションの脆弱性は「Figma APIエンドポイントにトラフィックを送信するためのコマンドライン命令の構築時に発生する」と、セキュリティ研究者のYohann Sillam氏は述べています。 悪用の流れは以下の手順で行われます — MCPクライアントがMCPエンドポイントにInitializeリクエストを送信し、以降の通信で使用されるmcp-session-idを受け取る クライアントがtools/callメソッドを使ったJSONRPCリクエストをMCPサーバーに送信し、get_figma_dataやdownload_figma_imagesなどのツールを呼び出す 問題の本質は「src/utils/fetch-with-retry.ts」にあり、まず標準のfetch APIでコンテンツ取得を試み、失敗した場合はchild_process.execを使ってcurlコマンドを実行します — これがコマンドインジェクションの原因となります。 「curlコマンドはURLやヘッダー値をシェルコマンド文字列に直接挿入して構築されるため、悪意のある攻撃者は特別に設計したURLやヘッダー値を用いて任意のシェルコマンドを注入できます」とImpervaは述べています。「これにより、ホストマシン上でリモートコード実行（RCE）が発生する可能性があります。」 概念実証攻撃では、同じネットワーク上のリモートの悪意ある攻撃者（例：公共Wi-Fiや侵害された企業デバイス）が、脆弱なMCPに一連のリクエストを送信することでこの脆弱性を突くことができます。あるいは、攻撃者が被害者を特別に細工したサイトに誘導し、DNSリバインディング攻撃の一部として利用することも可能です。 この脆弱性は、2025年9月29日にリリースされたfigma-developer-mcpのバージョン0.6.3で修正されています。対策としては、信頼できない入力でchild_process.execを使用するのを避け、シェル解釈のリスクを排除するchild_process.execFileへの切り替えが推奨されます。 「AI駆動の開発ツールが進化し普及し続ける中で、セキュリティ面の配慮もイノベーションに歩調を合わせることが不可欠です」とThales傘下の同社は述べています。「この脆弱性は、ローカルで動作するはずのツールであっても攻撃者の強力な侵入経路となり得ることを強く示しています。」 この動きは、FireTailがGoogleのGemini AIチャットボットにおける新たなASCIIスモグリング攻撃について、Googleが修正しない方針を明らかにしたことと時を同じくしています。この攻撃は、入力を細工してセキュリティフィルターをすり抜け、望ましくない応答を引き起こすことが可能です。他にも、この攻撃に脆弱な大規模言語モデル（LLM）としてDeepSeekやxAIのGrokが挙げられます。 「そしてこの脆弱性は、GeminiのようなLLMがGoogle Workspaceのような企業向けプラットフォームに深く統合されている場合、特に危険です」と同社は述べています。「この手法により、自動化されたなりすましや体系的なデータポイズニングが可能となり、UIの不具合が潜在的なセキュリティ悪夢へと変貌します。」 翻訳元:

【読売新聞】　デジタル庁の「デジタル認証アプリ」計画が波紋を広げている。マイナンバーカードによる公的個人認証のためのアプリをデジタル庁が開発し、自らが認証業務を担う「署名検証者」になるという構想だ。計画の概要はパブリックコメントにか

Fortinet has released security patches for a critical vulnerability in its FortiSwitch devices that can be exploited to change administrator passwords remotely.

Paul Bingham and Mike Morris, former FBI cybersecurity agents, explain how they're training the next wave of defenders to handle AI threats.

2025年10月に開催される「ものづくりワールド大阪」にて、セキュリティ教育クラウド「セキュリオ」が出展します。ディモ検証やノベルティもご用意！

ペネトレーションテストを担当してますWHIです。 皆さんペネトレーションテストしてますか？ オンプレのActive Directoryだけで満足してませんか？ 昨今のOA環境のインフラ情勢として、従業員向け端末の管理はADに代わってEntra IDやその両方を同期するハイブリッド型に移り変わりつつあります。 ペンテスターもそのよう...

※注意：本記事内での計測結果は記載の条件下によるものとなります。異なる環境においては異なる結果が予想されますのでご認識ください。 こんにちは。 株式会社ラクスにて、主に先行技術検証を担当している「技術推進課」という部署に所属している鈴木（@moomooya）です。 ラクスの開発部ではこれまで社内で利用していなかった技術要素を自社の開発に適合するか検証し、ビジネス要求に対して迅速に応えられるようにそなえる 「技術推進プロジェクト」というプロジェクトがあります。 このプロジェクトで「DBセキュリティ」にまつわる検証を行なったので、その報告を共有しようかと思います。 今回はDBセキュリティの中でも、…

FFRIセキュリティが経済安全保障重要技術育成プログラムに採択。サプライチェーンや不正機能の検証技術についての研究開発が始まりました。

はじめに本記事は、Snykの『10 Docker Image Security Best Practices』という記事を参考にし、学習の一環としてまとめたものです。記事の内容をより分かりやすく整理し、個人的な考察や追加情報も加えています。読者の皆様の学習の一助となれば幸いです。https://snyk.io/jp/blog/10-docker-image-security-best-pract