9月

News, Blog

• オープンソースツールでAWSインシデント対応プレイブックを構築する
• Detecting and countering misuse of AI: August 2025
• 1,000+ Devs Lose Their Secrets to an AI-Powered Stealer
• Nx の攻撃から学べること

Docs

Tools, Knowledge

Events

Books

1月

News, Blog

• [クラウドセキュリティ]ヒヤリハットとその対策10選
• 【脱・セキュリティアレルギー】クラウドセキュリティの最新技術
• Flatt Security XSS Challenge 解答・解説
• 「サッと助けてくれるエンジニア」は、試行錯誤の質が高い。 nrs氏に聞く「経験の積み方」
• LLMのテストプラットフォーム「Giskard」を触ってみた
• ソフトウェアを安全に届けるための最新動向 2022
• 当社への不正アクセスによるネットワークトラブルについて - サンリオピューロランド
• Cyberhaven’s preliminary analysis of the recent malicious Chrome extension
• Targeted supply chain attack against Chrome browser extensions
• Bring Your Own Container: When Containers Turn the Key to EDR Bypass/byoc-avtokyo2024
• Hack The Sandbox - JPCert
• 「ダブルクリック」を利用する新しく深刻な脅威、すべてのブラウザが攻撃対象
• 「快活CLUB」への不正アクセスで続報　会員の一部個人情報729万件漏えいか
• Abusing AWS Native Services: Ransomware Encrypting S3 Buckets with SSE-C
• Introducing cross-account targets for Amazon EventBridge Event Buses
• 当社サービスへのサイバー攻撃に関するご報告 - Ginco
• 【研修資料公開】低レイヤを学ぶ、Linuxカーネルとコンテナの仕組みの研修
• 10 real-world stories of how we’ve compromised CI/CD pipelines
• CRLFインジェクションによるCookie Bombの脅威
• Vulnerabilities on Naver Login Flow

Docs

• https://kubenomicon.com/
• CI/CD パイプラインにおけるセキュリティの留意点に関する技術レポート
• https://slsa.dev/spec/v1.0/provenance

Tools, Knowledge

• https://github.com/oldkingcone/BYOSI
• https://www.loldrivers.io/
• https://github.com/owasp-amass/amass
• https://github.com/GoogleCloudPlatform/khi
• https://github.com/snyk/parlay

Events

• NTT DATA グループ セキュリティ DAY 2025

Books

2月

News, Blog

• Goのバイナリから依存するmodule情報を取り出す方法
• [CNCF TOC] TAG Reboot: Restructuring the Technical Advisory Groups to scale for the next 10 years in Cloud Native #1527
• [re:Inforce] 組織によるセキュリティレベルの向上事例 | APS201 How AWS and MongoDB raise the security bar with distributed ownership セッションレポート #AWSreInforce
• 自分のOSSのマルウェア入り偽物を作られたので通報した
• OpenAIアカウントが2,000万件流出、サイバー攻撃者が主張
• 開発環境のセキュリティおよびCI/CDパイプラインのセキュア化
  • https://github.com/rung/seccamp-2023-b2
• Web3開発者をねらったハッキング手口の全て（わたしは全て抜かれました...）

Docs

• Gemini プロンプト ギャラリー
• ChatGPTから高度な回答を引き出すプロンプト文例集
• AI Safety の必要性と具体的な攻撃、その対策について
• How AWS built the Security Guardians program, a mechanism to distribute security ownership
• eBPF Security Threat Model

Tools, Knowledge

• https://github.com/project-copacetic/copacetic
• https://niccs.cisa.gov/workforce-development/nice-framework
  • https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181.pdf
• https://github.com/bats-core/bats-core
• https://oras.land/
• https://ratify.dev/
• https://pwnedlabs.io/
• https://github.com/quarkslab/kdigger

Events

• 脆弱性の見つけ方 - 攻撃者の思考で捉える “ペネトレーションテスト”と“内製ASM” -
• GMO Flatt Security mini CTF #6
• CloudSec JP #001
• 魔女のお茶会 #7 おふらいん！（2025 冬）
• CNCJ: ソフトウェアサプライチェーンセキュリティミートアップ

Books

3月

News, Blog

• クラウドセキュリティのベストプラクティスと実装例 /cloudsec-bestpractice-example
• 40歳になるので30代でやってよかったことをまとめた
• サイバーセキュリティに生きていると自分がどこにいるか分からなくなる
• Python ライブラリ “python-json-logger” の脆弱性 CVE-2025-27607 が FIX：PoC も提供
• Oracle customers confirm data stolen in alleged cloud breach is valid
  • https://exposure.cloudsek.com/oracle
• Attacking A Kubernetes Cluster (Enter Red Team Mode)
• Improve the Security Overview #43228 - kubernetes website
• 脅威インテリジェンスはショートケーキの苺なんです

Docs

• https://github.com/kubernetes/sig-security/blob/main/sig-security-docs/papers/shift-down/shift-down-security.md
• クラウドインシデント事例

Tools, Knowledge

• https://github.com/FairwindsOps/rbac-lookup
• https://github.com/kro-run/kro
• https://github.com/Yelp/detect-secrets
• https://github.com/DataDog/KubeHound

Events

Books

• セキュアなソフトウェアの設計と開発

4月

News, Blog

• Oracle Hit with Lawsuit Over Alleged Cloud Breach Affecting Millions
• 体制は整ってないのにSIEMが導入されてしまったら
• MCP Security Notification: Tool Poisoning Attacks
• 脆弱性診断 with AIエージェント、はじめました。
• Gitless GitOpsとは何か？OCI中心のセキュアな新構成
• 「情報セキュリティって何？」から始める、初心者向け入門
• 国家支援 ハッカーがサイバー攻撃に「ClickFix」を採用-新たなソーシャルエンジニアリング 手法の解説

Docs

• Authenticator Assurance Levels

Tools, Knowledge

• https://gitlab.com/gitlab-org/security-products/sast-rules

Events

Books

5月

News, Blog

• BPFフィルタを悪用するバックドア型マルウェア「BPFDoor」のコントローラを初確認：AMEA地域を狙う国家背景の標的型攻撃者集団「Red Menshen（別名：Earth Bluecrow）」による攻撃の可能性
  • https://github.com/gwillgues/BPFDoor
• DockerfileのCMD深堀り解説：CMDを完全に理解している人いない説
• Update your Chrome to fix serious actively exploited vulnerability
• Amazon Inspectorを使ったECRスキャンでスキャン結果にイメージを使用しているECSタスク・EKS Pod情報がマッピングされるようになりました
• Google Chromeで絶対にアクセスしてはいけない100のウェブサイト
  • https://github.com/DomainTools/SecuritySnacks/blob/main/2025/DualFunction-Malware-Chrome-Extensions
• Docker、CVE脆弱性がほぼゼロのセキュリティ強化型コンテナイメージ「Docker Hardened Images」提供開始
  • https://www.docker.com/products/hardened-images/

Docs

• MCP & A2A Cloud-Native Security
• Adding repository custom instructions for GitHub Copilot

Tools, Knowledge

• https://github.com/cisagov/vulnrichment

Events

• Malware Analyst's Last Exam & CTF Web問-大和セキュリティ勉強会
• GMO IERAE HackNight #1 「Webセキュリティ編」
• TMC Tokyo Local Meetup: Threat Modeling Night #9
• BSides Tokyo 2025
• Black Hat USA 2025
• Hack Fes. 2025
• 技術書典 18
• Kubernetes 変更内容共有会（v1.33）
• Google Cloud Security Day

Books

6月

News, Blog

• DNS トンネリング技術の悪用範囲がさらに拡大、C2 や VPN のほかユーザー追跡やネットワーク スキャンにも
• Likely Exploited Vulnerabilities: A Proposed Metric for Vulnerability Exploitation Probability
• MCPにおける認証・認可
• Zscaler、AIからの攻撃へ自動的に対処するエージェンティックAIを開発中と明らかに
• AWS公式の脅威カタログが公開
• [アップデート] AWS WAF がアプリケーションレイヤー（L7）層の DDoS 保護機能をサポートしました
• [プレビュー]AWS Security Hubが機能分離され統合セキュリティソリューションに生まれ変わりました #AWSreInforce
• 24 Google Cloud Platform (GCP) security best practices
• オススメのRust製無料プロキシツール「Caido」の紹介
• Google Adds Multi-Layered Defenses to Secure GenAI from Prompt Injection Attacks
• HTML spec change: escaping < and > in attributes
• AWS re:Inforce roundup 2025: top announcements

Docs

Tools, Knowledge

• https://github.com/apple/container
• https://github.com/13o-bbr-bbq/Broken_LLM_Integration_App
• https://osv.dev/
• https://vulners.com/
• https://github.com/oscal-compass
• https://profundis.io/
  • https://x.com/profundisio/status/1937598055689163058
• https://github.com/google-gemini/gemini-cli
• https://vscan.dev/
• https://github.com/digininja/DVWA
• https://github.com/gogs/gogs

Events

• KubeCon Japan 2025
• OpenSSF Community Day Japan 2025
• IERAE CTF 2025

Books

• サイバーセキュリティお嬢様と学ぶ　情報セキュリティの基本

7月

News, Blog

• 今ならAmazon ECSのサービス間通信をどう選ぶか
• kind で作成したクラスタに中間証明書をインストールする
• 自社サーバーでのLLMに挑戦！ローカルLLM＋RAG環境を構築してみた
• Vercel v0解説: テキストから始まるAI駆動型UI開発
• GitHub Copilot のテクニック集
• SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする
• NVIDIAScape - Critical NVIDIA AI Vulnerability: A Three-Line Container Escape in NVIDIA Container Toolkit (CVE-2025-23266)
• 「Kubernetes」向けパッケージ管理ツール「Helm」に脆弱性
• Bitnamiの一部「Helm Chart」に脆弱性 - 機密情報漏洩のおそれ

Docs

• Adding repository custom instructions for GitHub Copilot

Tools, Knowledge

• https://github.com/slowmist/MCP-Security-Checklist
• https://github.com/qdhenry/Claude-Command-Suite
• https://github.com/atusy/dotfiles/blob/main/dot_config/nvim/lua/atusy/ai/prompt/gal.lua
• https://github.com/idllresearch/malicious-gpt

Events

Books

8月

News, Blog

• AWS Network Firewallはアウトバウンド通信制御のセキュリティ対策にはならない
• KillerCodaで無料Kubernetesを遊び尽くす！
• Use a Service to Access an Application in a Cluster

Docs

• [WIP] Add container OOM kill mode configuration KEP #5496
• 設計・開発・テストにおけるセキュリティの実践と考え方を知ろう

Tools, Knowledge

• https://github.com/Yamato-Security/suzaku
• https://killercoda.com/
• https://github.com/oraios/serena
• https://github.com/chaitin/SafeLine
• https://k8slanparty.com/

Events

• 学術情報メディアセンターセミナー「マルチテナントKubernetesコンテナ基盤」
• 魔女のお茶会 #8(2025 夏)
• Full Weak Engineer CTF 2025

Books