セキュリティn8n三連続RCEの教訓 ── ワークフロー自動化プラットフォームが抱えるCVSS 10.0の構造的脆弱性2025年末〜2026年初頭にかけてn8nで発見されたCVSS 10.0級のRCE脆弱性3件を技術解析。サンドボックス信頼境界の設計課題とエンタープライズ防御戦略を提示する。2026.02.108分伊東雄歩
セキュリティMetro4Shell攻撃の全貌 ── React Native開発環境を狙うサプライチェーン攻撃とRustマルウェアの技術解析2026年2月、CISAはReact NativeのMetro開発サーバーの脆弱性CVE-2025-11953をKEVカタログに追加。Metro4Shellと呼ばれるこの欠陥は、OSコマンドインジェクションを通じてRust製マルウェアの配布に悪用されていた。開発環境が本番攻撃の起点となる新たな脅威モデルを技術解析する。2026.02.108分伊東雄歩
セキュリティShai-Hulud 2.0の教訓 ── npmサプライチェーンワームが暴いた「日常的ビルドプロセスの武器化」自己増殖型npmワーム「Shai-Hulud 2.0」は、npm installを起点にTruffleHogで開発者のクレデンシャルを窃取し、盗んだトークンで他パッケージを汚染する。25,000以上のリポジトリが影響を受け、Trust Walletから850万ドルが流出した攻撃の技術解析と防御策を詳述する。2026.02.10伊東雄歩
セキュリティAIエージェントのサンドボックス設計 ── MicroVM・gVisor・Landlock LSMで実現する本番環境の多層隔離アーキテクチャAIエージェントが未信頼コードを本番環境で実行するリスクが顕在化している。Firecracker MicroVM、gVisor、Kata Containers、Landlock LSMの4技術を比較し、多層隔離アーキテクチャの設計パターンを解説する。2026.02.1010分伊東雄歩
セキュリティBridgePay決済基盤ランサムウェア攻撃の教訓 ── 全米決済停止から学ぶ金融インフラのレジリエンス設計2026年2月、米BridgePay Network Solutionsがランサムウェア攻撃を受け、全米規模でカード決済が停止した。Gateway API・仮想端末・ホスティング決済ページの全面停止から、決済インフラのレジリエンス設計を技術的に論じる。2026.02.108分伊東雄歩
セキュリティAIボットがWebトラフィックの過半数を占める時代 ── 51%突破が意味するWeb設計・SEO・インフラの根本的転換2024年、ボットトラフィックが全Webトラフィックの51%を占め人間を逆転した。RAGクローラーの急増、AIプラットフォームへの検索シフト、robots.txt非準拠の悪化を踏まえ、エンジニアとCTOが取るべきCDN・WAF・アーキテクチャの対応策を体系化する。2026.02.1012分伊東雄歩
セキュリティMCPセキュリティの構造的欠陥 ── 7000サーバ調査で36.7%にSSRF脆弱性、ツールポイズニングとプロンプト注入の実態MCPの急速な普及の裏で、7,000超のサーバの36.7%にSSRF脆弱性が発見され、Anthropic公式サーバにも3件のCVEが付与された。ツールポイズニング攻撃の成功率は主要LLMエージェントで60%超。プロトコル設計レベルの構造的欠陥とCoSAIの防御フレームワークを体系的に解析する。2026.02.1010分伊東雄歩
セキュリティ開発ツールサプライチェーン攻撃の連鎖 ── VSCode拡張機能エコシステムが直面する信頼崩壊2025年末から2026年初頭にかけて、GlassWorm、MaliciousCorgi、AIエディタ推奨拡張機能脆弱性と、VSCode拡張機能を標的としたサプライチェーン攻撃が連鎖的に発生した。150万インストール超の侵害を含むこれら3つのインシデントは、開発者ツールチェーンの信頼モデルの構造的欠陥を浮き彫りにした。各攻撃の技術的分析と、拡張機能エコシステムの防御設計を体系的に提示する。2026.02.098分伊東雄歩
セキュリティvLLMリモートコード実行脆弱性CVE-2026-22778の教訓 ── AI推論基盤の攻撃面拡大とLLMサービング層のセキュリティ設計CVSS 9.8のvLLM脆弱性CVE-2026-22778は、マルチモーダル動画処理パイプラインを経由した未認証リモートコード実行を可能にする。情報漏洩によるASLR回避とJPEG2000デコーダのヒープオーバーフローを連鎖させた攻撃チェーンの技術的分析と、入力検証・サンドボックス化・ネットワーク分離によるLLMサービング層の防衛設計パターンを体系化する。2026.02.098分伊東雄歩
セキュリティVibe Codingの技術的負債 ── AI生成コード10倍時代の「理解債務」とエンタープライズガバナンスAI生成コードの45%にセキュリティ欠陥が含まれる実態を技術解析。Andrej Karpathyが提唱したVibe Codingが企業に持ち込む「理解債務」の構造的リスクと、Policy-as-Code・AI-awareテストフレームワークによる防衛パターンを解説する。2026.02.0912分伊東雄歩
セキュリティセッションCookie窃取の産業化 ── Infostealerが無効化するMFAとエンタープライズ認証の構造的欠陥Flareの調査で5件に1件のInfostealer感染がエンタープライズ認証情報を暴露する見通しが示された。セッションCookie窃取によるMFAバイパスの技術的メカニズムと、トークンバインディング・デバイス認証強化による防御アーキテクチャを解説する。2026.02.0910分伊東雄歩
セキュリティDockerDash攻撃とAIアシスタントサプライチェーンの脆弱性 ── MCPゲートウェイ経由のプロンプトインジェクション攻撃の全貌Docker Desktop内蔵AIアシスタント「Ask Gordon」に発見されたDockerDash脆弱性の技術解析。Dockerイメージのメタデータに仕込んだ悪意あるプロンプトがMCPゲートウェイ経由でRCEやデータ窃取に至る攻撃チェーンと、HITL型緩和策の有効性を検証する。2026.02.098分伊東雄歩
