セキュリティNIST CSF 2.0実装2年目の現実 ── Govern機能追加とERM統合が突きつける「サイバーセキュリティ経営統合」の実装設計CSF 2.0公開から2年。Govern追加をERM統合・予算配分・KPI設計の観点で分解し、Quick-Start GuideとReference Toolを使う実装手順を示す。2026.03.05伊東雄歩
セキュリティMCP Server 36.7%のSSRF脆弱性 ── Microsoft MarkItDownとAIエージェント時代のサプライチェーン防御設計BlueRock SecurityがMicrosoft MarkItDown MCPサーバーで発見したSSRF脆弱性と、7,000サーバー中36.7%が同様の欠陥を持つ構造的問題を分析。AWS EC2メタデータ窃取、プロンプトインジェクション連鎖、41%無認証の実態と多層防御設計を解説。2026.03.01伊東雄歩
セキュリティGlassWormが暴いたIDE拡張エコシステムの構造的欠陥 ── Open VSX・Cursor・Windsurfを横断するサプライチェーン攻撃の全貌2026年1月、Open VSXレジストリで正規開発者のアカウントが侵害され、GlassWormマルウェアが拡散した。不可視Unicode難読化やSolanaブロックチェーンC2を駆使する自己増殖型ワームの技術的全貌と、AI IDEフォークの推奨拡張機能ハイジャック、Eclipse Foundationの事前検証義務化までを包括的に解析する。2026.02.129分伊東雄歩
セキュリティDockerDash脆弱性の教訓 ── AIアシスタント統合が生んだサプライチェーン攻撃の新ベクターDocker Ask GordonのMCP Gateway経由でイメージメタデータからRCE・データ窃取が可能になったDockerDash脆弱性の技術解析。AIアシスタント統合時代のサプライチェーン攻撃リスクを検証する。2026.02.108分伊東雄歩
セキュリティShai-Hulud 2.0の教訓 ── npmサプライチェーンワームが暴いた「日常的ビルドプロセスの武器化」自己増殖型npmワーム「Shai-Hulud 2.0」は、npm installを起点にTruffleHogで開発者のクレデンシャルを窃取し、盗んだトークンで他パッケージを汚染する。25,000以上のリポジトリが影響を受け、Trust Walletから850万ドルが流出した攻撃の技術解析と防御策を詳述する。2026.02.10伊東雄歩
セキュリティBridgePay決済基盤ランサムウェア攻撃の教訓 ── 全米決済停止から学ぶ金融インフラのレジリエンス設計2026年2月、米BridgePay Network Solutionsがランサムウェア攻撃を受け、全米規模でカード決済が停止した。Gateway API・仮想端末・ホスティング決済ページの全面停止から、決済インフラのレジリエンス設計を技術的に論じる。2026.02.108分伊東雄歩
セキュリティ開発ツールサプライチェーン攻撃の連鎖 ── VSCode拡張機能エコシステムが直面する信頼崩壊2025年末から2026年初頭にかけて、GlassWorm、MaliciousCorgi、AIエディタ推奨拡張機能脆弱性と、VSCode拡張機能を標的としたサプライチェーン攻撃が連鎖的に発生した。150万インストール超の侵害を含むこれら3つのインシデントは、開発者ツールチェーンの信頼モデルの構造的欠陥を浮き彫りにした。各攻撃の技術的分析と、拡張機能エコシステムの防御設計を体系的に提示する。2026.02.098分伊東雄歩
セキュリティDockerDash攻撃とAIアシスタントサプライチェーンの脆弱性 ── MCPゲートウェイ経由のプロンプトインジェクション攻撃の全貌Docker Desktop内蔵AIアシスタント「Ask Gordon」に発見されたDockerDash脆弱性の技術解析。Dockerイメージのメタデータに仕込んだ悪意あるプロンプトがMCPゲートウェイ経由でRCEやデータ窃取に至る攻撃チェーンと、HITL型緩和策の有効性を検証する。2026.02.098分伊東雄歩
セキュリティEU Cybersecurity Act 2.0の衝撃 ── ICTサプライチェーン・セキュリティの水平規制がテック企業に迫る構造転換2026年1月に欧州委員会が提案したCybersecurity Act 2.0は、NIS2対象セクターに初の水平的ICTサプライチェーン・セキュリティ枠組みを導入する。重要ICT資産の特定、高リスクサプライヤーの指定と排除、EU認証制度の拡充を含む同規則案が、テック企業に迫る構造転換を分析する。2026.02.0910分伊東雄歩
セキュリティMetro4Shell脆弱性の全貌 ── React Native開発環境を狙うサプライチェーン攻撃とCISA緊急指令React Native CLIのMetro開発サーバーにCVSS 9.8の脆弱性「Metro4Shell」が発見され、2025年12月から野生環境での悪用が確認されている。CISAがKEVカタログに追加し連邦機関に2月26日までの修正を義務付けた。開発環境を標的とする攻撃の技術的詳細と防御策を解析する。2026.02.098分伊東雄歩
セキュリティOpenClawが暴いたAIエージェントの構造的脆弱性 ── スキルマーケットプレイスの283件漏洩とRCEが示す新たな攻撃面OpenClawのCVE-2026-25253によるワンクリックRCE、スキルマーケットプレイスの26.1%に存在する脆弱性、間接プロンプトインジェクションによるメモリ汚染攻撃を技術的に解析。AIエージェント時代のサプライチェーン防御戦略を提示する。2026.02.099分伊東雄歩
セキュリティAI BOM(AI部品表)の台頭 ── SBOMを超えるAIサプライチェーン可視化と防衛戦略AIシステムの構成要素を可視化する「AI BOM」が新標準として台頭。CycloneDX 1.6 ML-BOMやSPDX 3.0 AIプロファイルの仕様、Pickle脆弱性の深刻化、学習データポイズニング対策、そして多層防御パイプラインの構築戦略を解説する。2026.02.0812分伊東雄歩
セキュリティNotepad++サプライチェーン侵害の全貌 ── Lotus Blossomが6ヶ月間仕掛けた更新インフラハイジャック中国系APT「Lotus Blossom」がNotepad++の共有ホスティングサーバーを侵害し、2025年6月から12月まで選択的にトロイの木馬化アップデートを配信した事件を分析。3つの感染チェーン、未知のChrysalisバックドア、C2ローテーション手法、そしてOSS更新インフラの構造的脆弱性を解説する。2026.02.089分伊東雄歩
セキュリティShai-Hulud 3.0とサプライチェーンワーム ── npmエコシステム崩壊の教訓と次の標的2025年に500以上のnpmパッケージを汚染した自己複製型ワーム「Shai-Hulud」が2026年に新型亜種として再出現。Dead Man's Switchによるデータ破壊機構やクロスエコシステム拡散のリスクを解説し、CISAガイダンスに基づく防御策を提示する。2026.02.0710分伊東雄歩
セキュリティGlassWormが示す開発者サプライチェーン攻撃の新次元 ── IDE拡張機能を狙う自己増殖型マルウェアの脅威VSCode/OpenVSX拡張機能を経由し、Unicode不可視コードやSolanaブロックチェーンC2を活用する自己増殖型ワーム「GlassWorm」が35,800件以上のインストールを侵害。開発者の日常ツールが攻撃ベクトルとなる新たなリスクとその対策を解説する。2026.02.0611分伊東雄歩
セキュリティソフトウェアサプライチェーンセキュリティの現在地 ── SBOM義務化時代の実態と課題米国大統領令14028とEU Cyber Resilience Actを契機に、SBOMの義務化が国際的に加速している。理想と現実のギャップを分析する。2026.01.308分伊東雄歩
