GMO Flatt Security Blog

GMO Flatt Security株式会社の公式ブログです。プロダクト開発やプロダクトセキュリティに関する技術的な知見・トレンドを伝える記事を発信しています。

GMO Flatt Security株式会社の公式ブログです。
プロダクト開発やプロダクトセキュリティに関する技術的な知見・トレンドを伝える記事を発信しています。

AsyncAPI ソフトウェアサプライチェーン攻撃の概要と対応指針

2026年7月14日、AsyncAPI エコシステムの複数の npm パッケージに悪性コードが注入されました。一部は週間数百万ダウンロードされる、広く利用されているパッケージです。 注入された悪性コードは、ワーム型マルウェアです。require() や import された際、…

GitHub Actionsの脆弱な構成の検知ツール、任せられる範囲と人が見極めるべきリスク

はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)です。 これまで公開した記事にて、GitHub Actionsにおける攻撃手法や防御策、緩和策を解説してきました。 Vol.1: 相次ぐGitHub Actions 侵害から学ぶ、初期ア…

OIDC・Trusted Publishing でも残る、GitHub Actionsの認証情報の漏洩リスクと軽減策

はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)と佐藤(@teppay_sec)です。 本シリーズでは全4回にわたり、GitHub Actionsのセキュリティについて体系的に解説します。まだお読みでない方は、Vol.1からご覧い…

GitHub Actions 認証情報ごとのリスクから読み解く、権限昇格パターンとその対策

はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)です。 本シリーズの前回記事では、GitHub Actionsに対する初期アクセスの手法と対策を解説しました。まだお読みでない方は、先に前回の記事をご覧いただくこ…

相次ぐGitHub Actions 侵害から学ぶ、初期アクセス手法と開発者が知っておきたい対策

はじめに:なぜ今、GitHub Actionsのセキュリティなのか GitHub Actionsが侵害されると何が起きるか GitHub Actionsに対する攻撃の事例分析 脆弱なトリガー構成を悪用したインジェクション Ultralytics(2024年12月) nx(2025年8月) タグ汚染によるサプライチェ…

mastra ソフトウェアサプライチェーン攻撃の概要と対応指針

2026年6月17日、mastra および @mastra/* の複数パッケージの改ざん(ソフトウェアサプライチェーン攻撃)が発生しました。悪性の依存パッケージ easy-day-js が注入されています。 easy-day-js は postinstall フックにより C2 サーバからマルウェアペイロ…

Chrome拡張機能の開発で気をつけたいセキュリティリスク

はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの大塚 (@Alphe) です。 最近、AIを活用したバイブコーディングでブラウザ拡張機能を開発するケースが増えています。「コードが書けなくてもChrome拡張を作れる — AI時代の個人開発…

Mini Shai-Hulud 第二波の概要と対応指針(TanStack Router を含む 200 超の侵害)

2026年5月12日、Mini Shai-Hulud キャンペーンの第二波が発生しました。TanStack Router を起点に、UiPath、Mistral AI SDK、DraftLab 等を含む 199 以上の npm パッケージが侵害されています。本稿執筆時点で、侵害可能性は継続しています。 第一波(4月29…

Mini Shai-Hulud の概要と対応指針(2026年4月末 連続パッケージ侵害)

2026年4月29日から30日にかけて、複数の主要パッケージが連続して侵害されました。npm 上では SAP CAP の @cap-js/sqlite / @cap-js/postgres / @cap-js/db-service および SAP の mbt、加えて intercom-client が、PyPI 上では PyTorch Lightning(lightnin…

AIオタクのセキュリティエンジニアが伝えたい、バイブコーディングのセキュリティリスク7選

Claude CodeやCursorをはじめとするAIエージェントを活用した「バイブコーディング」が広まる一方で、`.env`の認証情報漏洩や悪意あるパッケージのインストールなど、従来の開発では起きにくかったセキュリティインシデントが報告されています。本記事では、…

Bitwarden ソフトウェアサプライチェーン攻撃の概要と対応指針

2026年4月23日、オープンソースのパスワードマネージャ Bitwarden の CLI パッケージ @bitwarden/cli の npm 版が侵害されました。攻撃者はバージョン 2026.4.0 を公開し、preinstall フック経由で情報を窃取するマルウェアを実行させました。本記事は、手元…

セキュリティエンジニアはこう見る。開発時に認可制御不備を怪しむべき実装パターン10選

はじめに こんにちは。GMO Flatt Security株式会社セキュリティエンジニアの村上です。入社してから5年ほどWebアプリケーションを中心に脆弱性診断を担当しています。 近年、言語やフレームワークの進化により、SQL Injectionなどの古典的脆弱性は減少傾向に…