CoWorker株式会社が提供を開始する『Purple Agent』は、海外クラウドに依存しない純国産のオンプレミスAIセキュリティ製品です。機密情報を外部に出すことなく、フォレンジック分析やマルウェア動的解析を高速実行し、高度化するサイバー攻撃から組織を守り、あなたの組織に安心と効率の未来をもたらします。

BugTrace-AIは、生成AIの力を活用して開発者、ペネトレーションテスター、セキュリティアナリストを支援する、包括的なWeb脆弱性分析スイートです。静的解析（SAST）と動的解析（DAST）の両方、脆弱性リサーチ、ペイロード生成のための豊富なツール群を、単一の直感的なインターフェース内で提供します。 BugTrace-AIの中核となる思想は、インテリジェントなアシスタントとして機能し、非侵襲的な偵察と分析を行って潜在的な脆弱性に関する高品質な仮説を形成し、それを手動調査の出発点とすることです。 機能 BugTrace-AIは、Webセキュリティ監査のさまざまな側面をカバーするよう設計された、強力で専門特化したツール群として構成されています。 コア分析ツール WebSec Agent: Webセキュリティに関するあらゆる質問に対応する、専門家AIチャットアシスタント。セキュリティ概念、緩和策、セキュアコーディングの実践、セキュリティツールの使い方などを質問できます。 URL解析（DAST）: 非侵襲的な動的アプリケーションセキュリティテスト。AIの検索能力を用いてURL構造を分析し、技術スタックを特定し、ターゲットに悪意あるトラフィックを送らずに公開されている脆弱性を検索します。複数のスキャンモードを備えています: Reconスキャン: 受動的な偵察と公開エクスプロイト検索に注力します。 アクティブスキャン（シミュレーション）: URLパターンとパラメータを分析し、SQLiやXSSなどの脆弱性を仮説化します。 グレーボックススキャン: ページ上で動作しているJavaScriptを分析してDASTとSASTを組み合わせ、AIが所見を相関させて精度を高めます。 コード解析（SAST）: 「ホワイトボックス」テストツール。コードスニペットを貼り付けると、AIが熟練のセキュリティコードレビュアーとして動作し、安全でない関数、ロジック不備、SQLインジェクションやXSSといった一般的な脆弱性パターンを探します。 セキュリティヘッダー解析: 対象URLのHTTPセキュリティヘッダー（例: CSP、HSTS、X-Frame-Options）を取得して分析し、総合的なセキュリティスコアと、最新のベストプラクティスに基づく実行可能な推奨事項を提示します。 専門特化した脆弱性スキャナー DOM XSS Pathfinder: JavaScriptコードに対してAI駆動の静的データフロー解析を行う専門ツール。ユーザー制御のソース（例: location.hash）と危険なシンク（例: .innerHTML）を特定し、それらの間のデータフローを追跡して、高い確度のDOM XSS脆弱性を見つけます。 JWTデコンパイラ＆監査: JSON Web Tokenをデコードして分析します。2つの監査モードを提供します: ブルーチーム（防御）: 弱いアルゴリズム（alg: none）や機微情報の露出など、セキュリティのベストプラクティス違反をチェックします。 レッドチーム（攻撃）: アルゴリズム混同攻撃や、権限昇格のためのクレーム改ざんなどの攻撃ベクトルを探します。 PrivEsc Pathfinder: 侵害後（ポストエクスプロイト）向けのAI駆動リサーチアシスタント。技術（例: WordPress）とバージョンを指定すると、公開データベース（CVE、Exploit-DB）を検索して、既知の権限昇格（PrivEsc）およびRCEエクスプロイトを探します。 ファイルアップロード監査: まずAIでWebサイト上のファイルアップロードフォームを検出し、その後アップロード機能の安全性をテストするための各種悪意あるファイル（例: スクリプト入りSVG、ポリグロットファイル）を生成する、2段階のツールです。

✨ Open-source AI hackers for your apps. Contribute to usestrix/strix development by creating an account on GitHub.

✨ Open-source AI hackers for your apps 👨🏻‍💻. Contribute to usestrix/strix development by creating an account on GitHub.

ISTQB Foundation Level（CTFL）シラバスの**第3章「静的テスト（Static Testing）」**では、テストを「実行せずに品質を高める方法」について学びます。 本記事では、「3.1 静的テストの基本（Static Testing Basics）」から、以下の2つのトピックを中心に解説します。 3.1.1 静的テストで確認する成果物 3.1.2 静的テストの価値 静的テストとは？動的テストとの違い まず、静的テスト（Static Testing）とは、ソフトウェアを実行せずに成果物をレビュー・解析する活動のことです。 これに対して、実際にソフトウェアを動かして確認するのが「動的テスト（Dynamic Testing）」です。 静的テストでは、以下のような**作業成果物（Work Products）**を対象にします。 要件定義書 設計書（システム設計、アーキテクチャ） ソースコード テスト計画書、テストケース ユーザーストーリー、プロジェクト計画書 など これらの文書やコードをレビューすることで、 不具合（欠陥）や矛盾、曖昧な表現を早期に発見することが目的です。 静的テストの2つの方法：「レビュー」と「静的解析」 静的テストには大きく分けて次の2種類の手法があります。 ① レビュー（Review） 人間が目視で文書や成果物を確認し、欠陥を見つける方法 例：要件定義書、テストケース、ユーザーストーリーなどのレビュー チーム全員で確認することで、誤解や曖昧さを防止できます。 ② 静的解析（Static Analysis） ツールを使ってソースコードなどを自動的にチェックする方法 例：未使用変数、到達不能コード、無限ループ、命名規則違反などを検出 継続的インテグレーション（CI）に組み込み、自動的に品質を監視することも可能です。 つまり、 人の目で行うのが「レビュー」、 **ツールで自動的に行うのが「静的解析」**です。 静的テストの目的と利点 静的テストの主な目的は以下の3つです。 品質向上（Quality Improvement） 　作業成果物を早期に確認することで、後工程に欠陥を持ち込まない。 欠陥の早期検出（Early Defect Detection） 　設計段階で誤りを見つければ、修正コストは格段に安くなります。 　これは**「早期テストは時間とコストを節約する」**という原則に直結します。 コミュニケーションの改善（Improved Collaboration） 　レビューにはテスター、開発者、ビジネス担当者など複数の関係者が参加するため、 　共通理解が深まり、誤解による手戻りが減ります。 静的テストがもたらす具体的な価値 1. 早期に欠陥を発見できる

大阪万博が昨日閉幕したので、大阪万博の予約サイトの API について自分が調べたことを公開しようと思います。数日前にタイムスリップした気持ちでお読みください。また、脆弱だと思ったポイントもあるので、閉幕したのでそれも解説しちゃいます。 想定読者万博のアプリの裏側をちょっと覗いてみたい人大阪万博の脆弱っぽい部分をちょっと知りたい人閉幕してしまったけれど自分がどこに行ったかを思い出したい人次日本で万博

（画像クレジット：Shutterstock） LockBit 5.0は高度な難読化と解析回避技術でWindows、Linux、ESXiを標的に LockBit 4.0を基に、DLLリフレクションや動的API解決などのステルス機能を追加 実際に野生で活動が確認されているが、被害者や攻撃成功の詳細は未公表 悪名高いLockBitマルウェアが再び登場し、これまで以上に危険になっていると専門家が警告しています。 トレンドマイクロのセキュリティ研究者は最近、LockBitランサムウェアファミリーの最新バージョンについて詳細な技術分析を公開しました。このバージョンは2025年9月に発見され、LockBitが6周年を迎えるにあたり新たな暗号化ツールをリリースしたものです。 LockBit 5.0と呼ばれるこの新しい亜種は、複数のプラットフォームに対応し、全体的に技術的な改良が施されているほか、強力な難読化技術を備えており、「従来のバージョンよりもはるかに危険」とされています。 SEOポイズニングとマルバタイジング 研究者によると、LockBit 5.0は前バージョンの4.0を基にしており、ゼロから作り直されたものではありません。しかし、Windows、Linux、VMware ESXiシステムを標的にできるようになるなど、大幅な改良が加えられています。また、DLLリフレクションによるペイロードのロードや、EtwEventWrite APIのパッチ適用によるWindowsイベントトレースの無効化など、強力な難読化および解析回避技術も用いられています。 さらに、Windows API呼び出しを実行時に動的に解決することで静的解析を困難にし、ハードコードされたリストに対してハッシュ比較を用いてセキュリティサービスを終了させます。また、従来バージョンとは異なり、レジストリベースの感染マーカーを残しません。ランサムウェアは暗号化したファイルにランダムな16文字の拡張子を付与し、元のファイルサイズを暗号化フッターに埋め込むなどの特徴もあります。従来通り、ロシア語環境のシステムは暗号化の対象外となっています。 この暗号化ツールは実際に野生で発見されており、LockBitが積極的に攻撃に使用していることが示唆されます。ただし、被害者やその身元、キャンペーンの成功については言及されていません。 2024年初頭、法執行機関は「オペレーションクロノス」を開始し、当時最も破壊的なRansomware-as-a-Service（RaaS）脅威の一つであったLockBitの撲滅を目指しました。 この作戦は概ね成功したものの、逮捕者は出ず、グループはすぐに失われた基盤の再構築に着手しました。 出典：The Register 翻訳元: