※ 本記事は Unity と開示タイミングを調整し公開された英語版の第一報記事の翻訳版です。 はじめに こんにちは、GMO Flatt Security株式会社でセキュリティエンジニアをしている RyotaK（@ryotkak）です。 本記事では、2025年5月に開催された Meta Bug Bount…

こんにちは、GMO Flatt Security の大崎です。 本記事では、私が作問し弊社の Kaigi on Rails 2025 出展ブースで出題したクイズを解説します。 このクイズは、実際に HackerOne に報告された脆弱性を元ネタとしています。 Ruby on Rails をバージョンアップ…

Go Conference 2025 に協賛し、ブースを出展させていただきました！ セキュリティエンジニアの xryuseix です。今回は先日開催された Go Conference 2025 の振り返りと、ブースで出題したセキュアコーディングクイズの解説をお届けしたいと思います！ 弊社は…

はじめに GMO Flatt Securityセキュリティエンジニアのcanalun、ryotaromosao、mn1、fujitargzです。 本ブログでは、2025年8月上旬に開催されたBSides Las Vegas、Black Hat USA 2025、DEF CON 33に弊社メンバーが参加した際の記録、および、特に興味深かっ…

先日公開した記事「Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク」では、「8. Non Discoverable Credentialのフローとの混在」において、StrongKey FIDO Serverのアカウント乗っ取りが可能な脆弱性について言及しました。StrongKey FIDO Serv…

XSSこわい 若頭: おいお前ら、なにかおもしろい遊びをしねえか。こんなにみんなで集まる機会もそうねえだろう エンジニア佐藤: そうですねえ、こんなのはどうでしょうか。人間誰しも怖いものが1つはありますから、それをみんなで教えあってみましょうよ 若頭…

こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段ですが、複雑な認証基…

こんにちは、"エンジニアの背中を預かる" をミッションに掲げるGMO Flatt Security(以下、Flatt)です。 弊社はそのミッションの通り開発組織にとって体験の良いセキュリティサービスを提供しており、その関係で技術コミュニティに協賛・カンファレンスにブー…

万華鏡のように変化するテクノロジーの世界。かつて専門家が丹精込めて紡ぎ出していた『創造物』――精巧な絵画や心揺さぶる音楽、そして複雑なプログラムコードでさえも――が、今やAIによって驚くほど自然に、そして巧妙に生み出されています。その筆致やロジ…

本稿は MCP のセキュリティを前後編で解説するものの後編です。前編では MCP のセキュリティを、利用者の視点から考察しました。 https://blog.flatt.tech/entry/mcp_security_first 後編となる本稿では、攻撃者視点から脅威や攻撃手法を整理します。そのう…

はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの藤田（@fujitargz）です。 昨今のLLM（大規模言語モデル）の急速な進化にともない、LLMを活用したサービスが多数登場しています。しかし、業務改善・ビジネス活用を狙ってLLMを触…

TL;DR LLMガードレールはLLMの入出力を監視・制御する技術であり、LLMアプリケーションにおける様々な脅威への対抗策になります。しかし、あくまで役割は脅威の緩和・低減であるため、それぞれの脅威に対する根本的な対策をした上で、万が一の事故に備え文字…