#サプライチェーンセキュリティ

19件の記事

CanisterSprawl自己増殖ワームの衝撃 ── npm/PyPI/Docker Hub 48時間連鎖侵害とICP Canister C2が暴くパッケージレジストリの構造的脆弱性

セキュリティ

CanisterSprawl自己増殖ワームの衝撃 ── npm/PyPI/Docker Hub 48時間連鎖侵害とICP Canister C2が暴くパッケージレジストリの構造的脆弱性

2026年4月21日-23日に発生した npm サプライチェーン攻撃「CanisterSprawl」を分析する。postinstallを起点とした認証情報窃取、盗難トークンでの自己増殖公開、ICP canister C2の回避性を時系列で整理し、AIエージェント時代の実装可能な多層防御を提示する。

2026.04.26伊東雄歩

日本Rapidus 2.6兆円投資の半導体主権戦略 ── 2nm GAA量産2027年目標と国家AI基盤の実装設計

日本Rapidus 2.6兆円投資の半導体主権戦略 ── 2nm GAA量産2027年目標と国家AI基盤の実装設計

Rapidusへの累計2.6兆円規模投資と2nm量産2027年目標を、IBM連携・顧客形成・経済安全保障・国家AI基盤の観点から分解し、日本の実装可能な半導体主権モデルを提示する。

2026.04.12伊東雄歩

PleaseFix脆弱性が暴くエージェンティックブラウザの構造的欠陥 ── Perplexity Comet RCE・認証情報窃取・ローカルファイルアクセスの実態とAIエージェント統合の防御設計

セキュリティ

PleaseFix脆弱性が暴くエージェンティックブラウザの構造的欠陥 ── Perplexity Comet RCE・認証情報窃取・ローカルファイルアクセスの実態とAIエージェント統合の防御設計

Zenity Labsが公開したPleaseFix脆弱性ファミリーの技術的解析。Perplexity Cometで実証されたゼロクリック窃取・認証情報奪取・アカウントテイクオーバーの攻撃メカニズムと、31,000スキル中26%に脆弱性が存在するエージェンティックAIエコシステムの系統的リスクを分析し、防御設計の5原則を提示する。

2026.03.207分伊東雄歩

NIST CSF 2.0実装2年目の現実 ── Govern機能追加とERM統合が突きつける「サイバーセキュリティ経営統合」の実装設計

セキュリティ

NIST CSF 2.0実装2年目の現実 ── Govern機能追加とERM統合が突きつける「サイバーセキュリティ経営統合」の実装設計

CSF 2.0公開から2年。Govern追加をERM統合・予算配分・KPI設計の観点で分解し、Quick-Start GuideとReference Toolを使う実装手順を示す。

2026.03.058分伊東雄歩

MCP Server 36.7%のSSRF脆弱性 ── Microsoft MarkItDownとAIエージェント時代のサプライチェーン防御設計

セキュリティ

MCP Server 36.7%のSSRF脆弱性 ── Microsoft MarkItDownとAIエージェント時代のサプライチェーン防御設計

BlueRock SecurityがMicrosoft MarkItDown MCPサーバーで発見したSSRF脆弱性と、7,000サーバー中36.7%が同様の欠陥を持つ構造的問題を分析。AWS EC2メタデータ窃取、プロンプトインジェクション連鎖、41%無認証の実態と多層防御設計を解説。

2026.03.0119分伊東雄歩

GlassWormマルウェアがIDE拡張エコシステムを侵食する様子を表した概念図──透明なワームがコードエディタウィンドウとブロックチェーンノードの間を這い回る

セキュリティ

GlassWormが暴いたIDE拡張エコシステムの構造的欠陥 ── Open VSX・Cursor・Windsurfを横断するサプライチェーン攻撃の全貌

2026年1月、Open VSXレジストリで正規開発者のアカウントが侵害され、GlassWormマルウェアが拡散した。不可視Unicode難読化やSolanaブロックチェーンC2を駆使する自己増殖型ワームの技術的全貌と、AI IDEフォークの推奨拡張機能ハイジャック、Eclipse Foundationの事前検証義務化までを包括的に解析する。

2026.02.129分伊東雄歩

DockerコンテナからAIニューラルネットワークへ悪意あるデータが流れ込む概念図。サイバーセキュリティとサプライチェーン攻撃を象徴するイラスト

セキュリティ

DockerDash脆弱性の教訓 ── AIアシスタント統合が生んだサプライチェーン攻撃の新ベクター

Docker Ask GordonのMCP Gateway経由でイメージメタデータからRCE・データ窃取が可能になったDockerDash脆弱性の技術解析。AIアシスタント統合時代のサプライチェーン攻撃リスクを検証する。

2026.02.108分伊東雄歩

npmサプライチェーンワームがパッケージ依存関係グラフを伝播するイメージ図

セキュリティ

Shai-Hulud 2.0の教訓 ── npmサプライチェーンワームが暴いた「日常的ビルドプロセスの武器化」

自己増殖型npmワーム「Shai-Hulud 2.0」は、npm installを起点にTruffleHogで開発者のクレデンシャルを窃取し、盗んだトークンで他パッケージを汚染する。25,000以上のリポジトリが影響を受け、Trust Walletから850万ドルが流出した攻撃の技術解析と防御策を詳述する。

2026.02.1010分伊東雄歩

ランサムウェア攻撃を受けた決済ネットワークの概念図。青いデータストリームで接続された決済端末とクレジットカードのネットワークに赤い警告シグナルが広がる様子

セキュリティ

BridgePay決済基盤ランサムウェア攻撃の教訓 ── 全米決済停止から学ぶ金融インフラのレジリエンス設計

2026年2月、米BridgePay Network Solutionsがランサムウェア攻撃を受け、全米規模でカード決済が停止した。Gateway API・仮想端末・ホスティング決済ページの全面停止から、決済インフラのレジリエンス設計を技術的に論じる。

2026.02.108分伊東雄歩

VSCode拡張機能サプライチェーン攻撃による信頼崩壊を象徴する、砕けたガラスのシールドとデジタルチェーンの概念イラスト

セキュリティ

開発ツールサプライチェーン攻撃の連鎖 ── VSCode拡張機能エコシステムが直面する信頼崩壊

2025年末から2026年初頭にかけて、GlassWorm、MaliciousCorgi、AIエディタ推奨拡張機能脆弱性と、VSCode拡張機能を標的としたサプライチェーン攻撃が連鎖的に発生した。150万インストール超の侵害を含むこれら3つのインシデントは、開発者ツールチェーンの信頼モデルの構造的欠陥を浮き彫りにした。各攻撃の技術的分析と、拡張機能エコシステムの防御設計を体系的に提示する。

2026.02.098分伊東雄歩

DockerDash脆弱性を概念的に表現したイラスト。Docker鯨のロゴにコードインジェクションが侵入し、AIチップとゲートウェイを経由してデータが流出する様子

セキュリティ

DockerDash攻撃とAIアシスタントサプライチェーンの脆弱性 ── MCPゲートウェイ経由のプロンプトインジェクション攻撃の全貌

Docker Desktop内蔵AIアシスタント「Ask Gordon」に発見されたDockerDash脆弱性の技術解析。Dockerイメージのメタデータに仕込んだ悪意あるプロンプトがMCPゲートウェイ経由でRCEやデータ窃取に至る攻撃チェーンと、HITL型緩和策の有効性を検証する。

2026.02.098分伊東雄歩

EU Cybersecurity Act 2.0 ICTサプライチェーン・セキュリティ規制を象徴するデジタルシールドとネットワークの抽象イラスト

セキュリティ

EU Cybersecurity Act 2.0の衝撃 ── ICTサプライチェーン・セキュリティの水平規制がテック企業に迫る構造転換

2026年1月に欧州委員会が提案したCybersecurity Act 2.0は、NIS2対象セクターに初の水平的ICTサプライチェーン・セキュリティ枠組みを導入する。重要ICT資産の特定、高リスクサプライヤーの指定と排除、EU認証制度の拡充を含む同規則案が、テック企業に迫る構造転換を分析する。

2026.02.0910分伊東雄歩

Metro4Shell脆弱性を象徴する、割れたスマートフォン画面からコード断片が飛散するサイバーセキュリティイラスト

セキュリティ

Metro4Shell脆弱性の全貌 ── React Native開発環境を狙うサプライチェーン攻撃とCISA緊急指令

React Native CLIのMetro開発サーバーにCVSS 9.8の脆弱性「Metro4Shell」が発見され、2025年12月から野生環境での悪用が確認されている。CISAがKEVカタログに追加し連邦機関に2月26日までの修正を義務付けた。開発環境を標的とする攻撃の技術的詳細と防御策を解析する。

2026.02.098分伊東雄歩

AIエージェントのスキルネットワークに侵入するデジタルな爪の抽象的イラスト。サプライチェーンの鎖が断裂し、警告マークが点灯するノードを描いたサイバーセキュリティのコンセプトアート

セキュリティ

OpenClawが暴いたAIエージェントの構造的脆弱性 ── スキルマーケットプレイスの283件漏洩とRCEが示す新たな攻撃面

OpenClawのCVE-2026-25253によるワンクリックRCE、スキルマーケットプレイスの26.1%に存在する脆弱性、間接プロンプトインジェクションによるメモリ汚染攻撃を技術的に解析。AIエージェント時代のサプライチェーン防御戦略を提示する。

2026.02.099分伊東雄歩

AI BOMとサプライチェーンセキュリティを表す、シールドで保護されたニューラルネットワークの抽象イラスト

セキュリティ

AI BOM（AI部品表）の台頭 ── SBOMを超えるAIサプライチェーン可視化と防衛戦略

AIシステムの構成要素を可視化する「AI BOM」が新標準として台頭。CycloneDX 1.6 ML-BOMやSPDX 3.0 AIプロファイルの仕様、Pickle脆弱性の深刻化、学習データポイズニング対策、そして多層防御パイプラインの構築戦略を解説する。

2026.02.0812分伊東雄歩

サイバー攻撃によるソフトウェアサプライチェーン侵害を表す概念図。回路パターンで構成された赤い蓮の花がテキストエディタを包み込み、侵害されたノードと正常なノードが対比される

セキュリティ

Notepad++サプライチェーン侵害の全貌 ── Lotus Blossomが6ヶ月間仕掛けた更新インフラハイジャック

中国系APT「Lotus Blossom」がNotepad++の共有ホスティングサーバーを侵害し、2025年6月から12月まで選択的にトロイの木馬化アップデートを配信した事件を分析。3つの感染チェーン、未知のChrysalisバックドア、C2ローテーション手法、そしてOSS更新インフラの構造的脆弱性を解説する。

2026.02.089分伊東雄歩

サプライチェーン攻撃を表す抽象的なイラスト：自己複製型ワームが相互接続されたソフトウェアパッケージノードを侵害する様子

セキュリティ

Shai-Hulud 3.0とサプライチェーンワーム ── npmエコシステム崩壊の教訓と次の標的

2025年に500以上のnpmパッケージを汚染した自己複製型ワーム「Shai-Hulud」が2026年に新型亜種として再出現。Dead Man's Switchによるデータ破壊機構やクロスエコシステム拡散のリスクを解説し、CISAガイダンスに基づく防御策を提示する。

2026.02.0710分伊東雄歩

GlassWormが示す開発者サプライチェーン攻撃の新次元 ── IDE拡張機能を狙う自己増殖型マルウェアの脅威

セキュリティ

GlassWormが示す開発者サプライチェーン攻撃の新次元 ── IDE拡張機能を狙う自己増殖型マルウェアの脅威

VSCode/OpenVSX拡張機能を経由し、Unicode不可視コードやSolanaブロックチェーンC2を活用する自己増殖型ワーム「GlassWorm」が35,800件以上のインストールを侵害。開発者の日常ツールが攻撃ベクトルとなる新たなリスクとその対策を解説する。

2026.02.0611分伊東雄歩

ソフトウェアサプライチェーンセキュリティを表す抽象的なデジタルアートイラスト

セキュリティ

ソフトウェアサプライチェーンセキュリティの現在地 ── SBOM義務化時代の実態と課題

米国大統領令14028とEU Cyber Resilience Actを契機に、SBOMの義務化が国際的に加速している。理想と現実のギャップを分析する。

2026.01.308分伊東雄歩