AIエージェントのガバナンスは根本的な非対称性に直面しています。MCPサーバーは構造化されたログを提供しますが、エージェントの推論を駆動する「スキル」はフォレンジック上のブラックボックスのままです。エンタープライズ展開のほぼ60％で任意コード実行や状態変更などの高リスク機能が普及するにつれて、「Rule of Two」のような従来のモデルは自律的な破壊を防ぐことができなくなっています。これに対抗するため、Noma Securityは、防御の3つの制御可能なレバーである「Capabilities」、「Autonomy」、「Permissions」に焦点を当てたNo Excessive CAPフレームワークを提案します。

多作な恐喝グループShinyHuntersは、EdtechベンダーInstructureのシステムへの侵害の責任を主張し、学生、教師、その他の氏名、メールアドレス、メッセージを含む3.65TBの機密情報を盗みました。ShinyHuntersは、2025年9月のInstructureへの初期攻撃の背後にもいると報じられています。

CAFの目標概要（英国の中小企業向け）：NCSCサイバーアセスメントフレームワークの実践ガイド 英国の中小企業である場合、通常CAFと略されるNCSCサイバーアセスメントフレームワークは、必要以上に形式的に見えるかもしれません。実際には、サイバーセキュリティが良好かどうかを考えるための構造化された方法です […]

現代の開発者環境は、ファイル、プロンプト、ログ、コマンド全体にわたって機密性の高いコンテキストを公開します。レイヤードローカルコントロールがシークレットリスクをどのように低減するかを学びましょう。

EasyDMARCとKnowBe4、フィッシングがサイバー攻撃の3分の1以上に増加する中、プロアクティブなメールセキュリティの推進で提携 アヌシュ・ヨルヤン著 デラウェア州ドーバー、フロリダ州タンパベイ | 5月…

認証およびオンボーディングシステムでユーザー文書を安全に取り扱い、データを保護し、コンプライアンスを確保し、侵害を防ぐ方法を学びましょう。

現在進行中のオペレーションにおいて、ハッカーはGoogle AppSheetを使用してFacebookアカウントを乗っ取り、セキュリティチェックを通過するフィッシングメールを送信しています。

「リアクティブな「侵害前提」の考え方からAI主導の予防への移行を探求し、ドメイン固有言語モデル（DSLM）がセキュリティアーキテクトに設定ドリフトとツールの乱立を排除する力をどのように与えるかを強調する。」

2026年ワールドカップを巡って、偽造ビザから価値のないトークンまで、あらゆるものを販売するために大会のブランドを利用した、4部構成の詐欺経済がすでに形成されつつある。

AIが自律性へと進化するにつれて、Cloud Security Allianceは、エージェンティックシステムのための監査可能な制御を成文化するために、STAR for AI Catastrophic Risk Annexを立ち上げます。

「86 47」ミームの再投稿は犯罪的脅迫にあたるか？ Counterman v. Colorado および Elonis v. United States の観点からジェームズ・コミーの起訴を分析する。

導入：2つの用語、1つの増大する混乱 現在のサイバーセキュリティ会話では、2つの用語がより頻繁に登場しています： 脅威インテリジェンス（Threat Intelligence） IDリスクインテリジェンス（Identity Risk Intelligence） 一見すると、これらは似ているように思えます。両者ともデータ、リスク、セキュリティの洞察に関係しています。しかし、根本的に異なる問題を解決しています。 そして、その違いを理解することは、攻撃者がIDベースの攻撃にシフトするにつれて、ますます重要になっています。

攻撃者は現在、招待サービスを装って人々を悪意のあるリンクをクリックさせたり、機密情報を共有させたりしています。これらのフィッシング詐欺は、正当なイベントの招待のように見えるため、特に効果的です。このエピソードでは、これらの詐欺がどのように機能するか、そして保護のためにどのような対策を講じることができるかについて議論します。このエピソードのスポンサーであるGuardsquareに感謝いたします！[...]

著者、クリエイター、プレゼンター：Joey Melo、CrowdStrike AI Red Teaming Specialist [un]prompted が、Organizations' YouTube Channel で Creators, Authors and Presenter’s outstanding [un]prompted 2026 AI Security Practitioner コンテンツを公開してくれたことに感謝します。

AI調達とサードパーティモデルの確保：英国の中小企業向け実践ガイド サードパーティのAIツールは有用ですが、それらはビジネスがデータを処理する方法、意思決定の方法、サプライヤーへの依存度を変えます。多くの英国の中小企業にとって、リスクはモデルそのものではありません。それはツールの購入方法、接続方法、設定方法、[...]

小規模事業主は、サイバーセキュリティの専門知識をほとんど必要としない、これらの3つの非技術的なリスクを修正するようにしてください。

フィラデルフィアで開催されたNASCIOミッドイヤーカンファレンスで、CIOおよびCISOからのサイバー脅威の見通しは、AIが前面に出る中で、良いものから悪いもの、そして醜いものまで多岐にわたった。

セキュリティリーダーシップは、しばしば新たな脅威や先進技術と結びつけられますが、その役割の多くは、規律ある実行、思慮深い意思決定、そして事業継続性とのバランスにかかっています。CISO Diariesでは、世界中の主要なCISOに話を聞き、フレームワークやインシデントの見出しの向こう側で、その役割が実際にはどのようなものなのか、セキュリティがどのように[…]

何が起こったのか TeamPCP に起因するとされるサプライチェーン攻撃キャンペーン、Mini Shai-Hulud と名付けられたものが、2日間にわたり PyPI、NPM、PHP エコシステム全体でパッケージを侵害し、盗まれた認証情報を含む 1,800 を超える開発者リポジトリに影響を与えました。このキャンペーンは、4つの SAP NPM パッケージの悪意のあるバージョンが情報窃盗を配信しているのが発見された 4月29日に最初に特定されました […]

何が起こったのか？ ConsentFix 攻撃技術の第3世代がハッカーフォーラムで出回り、Microsoft Azure の OAuth2 認可コードフローを悪用して、パスワードなしで、多要素認証が有効になっていてもアカウントを乗っ取る手法に自動化とスケーラビリティをもたらしました。最初の ConsentFix は、2025年12月に Push Security によって文書化されました。 […]

何が起こったのか FBIは2026年4月30日、サイバー攻撃による貨物盗難の急増について、米国の運輸・物流業界に警告する公共サービスアナウンスメントを発表し、米国とカナダでの推定損失額は2025年に約7億2500万ドルに達するとした。これは前年比60%の増加である。確認された貨物盗難 […]

Instructure、Canvas学習管理システムの開発元である同社は、最近、犯罪的な脅威アクターによるサイバーセキュリティインシデントに見舞われたことを明らかにし、現在、外部のフォレンジック専門家の協力を得てその範囲を調査しています。この開示は、最高セキュリティ責任者のスティーブ・プラウド氏によって行われ、透明性を約束しました。

木曜日、外国情報監視法（FISA）第702条の45日間の延長を議会が承認し、同プログラムの失効数時間前に、次の期限を6月12日に延期した。トランプ大統領は、深夜の期限前に法案に署名すると予想されている。延長への道のりは複雑だった。前日、[...]

何が起こったのか Ameriprise Financial は、2026年3月2日に始まった保存された企業データおよびファイルへの不正アクセスに続き、米国全土で約48,000人に影響を与えるデータ侵害を公表しました。同社は侵入を3月18日に検知し、それが始まってから約16日後に、メイン州司法長官に侵害通知を提出しました […]

創業者たちは、ランウェイを延長するためにベンチャー資金を調達します。その後、ログインしたことのないポータルに、6桁の無料クレジットを放置します。この状況を10年間見てきた私は、主要なプログラムの公開ディレクトリを作成しました。このランドスケープをマッピングして学んだことは以下の通りです。

著者、クリエイター、プレゼンター：スコット・ベアレンス、Netflixプリンシパルセキュリティエンジニア、ジャスティス・キャッセル、Netflixアプリケーション＆GenAIセキュリティ [un]promptedが、彼らのクリエイター、著者、プレゼンターによる優れた[un]prompted 2026 AI Security PractitionerコンテンツをOrganizations' YouTube Channelで公開してくれたことに感謝します。

Burp Suite を用いた Web アプリケーションテスト：英国の中小企業向け実践ガイド 多くの英国の中小企業にとって、Web アプリケーションは今や日常業務の一部となっています。顧客ログイン、スタッフポータル、予約システム、サプライヤーアクセス、社内管理タスクなどを処理しています。それらは価値があるものですが、同時に定期的なセキュリティ対策も必要としています。Burp Suite は […]

インドの金融サービスエコシステムは急速なデジタルトランスフォーメーションを遂げており、フィンテック組織はこの進化の中心に位置しています。デジタル決済、融資プラットフォーム、金融データを標的とするサイバー脅威が増加する中、規制監督は強化されています。インド準備銀行は、フィンテックがレジリエンスを確保するために従わなければならない強力なRBIサイバーセキュリティフレームワークを義務付けています。

2026年に発生した、その規模の大きさから仮想通貨窃盗の画期的な出来事となった、巧妙に実行された一連のサイバー攻撃。Drift ProtocolとKelpDAOを標的としたこれらの2つの事件は、4月までの記録的な仮想通貨損失全体の約4分の3を占め、より少ない回数でより高額な取引を行うという傾向を示している。TRM Labsの報告書によると、セキュリティ研究者らは…

著者、クリエイター、プレゼンター：Srajan Gupta、Dave 上級セキュリティエンジニア [un]prompted が、Organizations' YouTube Channel で彼らの Creators, Authors and Presenter’s outstanding [un]prompted 2026 AI Security Practitioner コンテンツを公開してくれたことに感謝します。

過去1週間で、グローバルなサイバー脅威の状況は、攻撃者が単独の侵入から、アイデンティティ、サプライチェーン、サービスプロバイダーを標的とした協調的かつ多段階のキャンペーンへと急速に進化していることを再び示しました。大規模なアイデンティティデータ漏洩から、洗練されたトークン乱用、ランサムウェアによる混乱まで、これらのインシデントは重要な現実を浮き彫りにしています。攻撃者はますます悪用しています

エッジセキュリティのパラドックスは、ネットワーク防御を強化するために設計されたテクノロジーが、同時に新たな脆弱性を生み出す可能性について説明しています。エッジデバイスは、データのソースに近い場所でデータを処理することにより、パフォーマンスを向上させ、ローカライズされた脅威検出をサポートしますが、現代のエンタープライズ環境では、数千もの分散されたエンドポイントが運用されることがよくあります。このエッジインフラストラクチャの急速な拡大は、システムの数を増加させます。

今日のサイバー脅威の状況において、攻撃はもはや常に派手であったり即時的であったりするわけではありません。最も被害の大きいインシデントの多くは、通常のネットワークアクティビティの中に静かに隠され、正規のトラフィックとして偽装され、時間をかけて大規模な侵害へと進化していきます。現代のセキュリティには、検出以上のものが必要です。コンテキスト、行動インテリジェンス、そして早期介入が必要です。この記事では、以下を強調します。

AIモデルはサイバーセキュリティにおいて信頼シグナルを異なる重みで評価します。サードパーティの裏付け、著者エンティティ、コミュニティでの存在感、研究の信頼性、および引用シェアを複利で増やす権威のフライホイールを網羅した、セキュリティベンダーとしてのエンティティ権威を構築するための包括的なフレームワーク。

XKCDの作者であるランドール・マンローの漫画的表現と乾いたユーモアを通して

長年にわたり、IDおよびアクセス管理（IAM）と特権アクセス管理（PAM）は、基盤的かつ解決済みのセキュリティ課題として扱われてきました。組織は、特権ユーザーのためにボールトを展開し、ポリシーを強制し、コンプライアンスのチェックボックスをチェックしていました。今日では、そのモデルはもはや通用しません。現在出現しているのは、漸進的な変化ではなく、構造的な変化です。アイデンティティはもはや中心ではなくなっています […]

この作品のパート1では、エージェンティックAI攻撃が実際にどのようなものか、つまり、エージェントが詐欺を働くデジタルファクトリーモデルと、エージェンティックAI攻撃者を従来のボットツールと質的に異なるものにする3つの特性、すなわち自律的な反復、セッション間の学習、そしてインタラクションレイヤーでのアイデンティティスプーフィングについて説明しました。次に、私は… 続く

著者、クリエイター、プレゼンター：Jackson Reed、Founder & CEO、Barding Defense [un]prompted が、Organizations' YouTube Channel で彼らの Creators, Authors and Presenter’s outstanding [un]prompted 2026 AI Security Practitioner コンテンツを公開してくれたことに感謝します。

FTCの報告によると、アメリカ人は昨年、ソーシャルメディア詐欺、例えばショッピング詐欺や投資詐欺などで21億ドルを失いました。ソーシャルメディアサイトは、これらの詐欺のほとんどが始まる場所となっており、その金額の半分以上がFacebook、WhatsApp、Instagramで始まった詐欺で盗まれました。

主なポイント：エージェントユーザーのIDは、驚異的な速さで人間のIDを凌駕しています。新しい自律型エージェントごとに、新しいID、新しい認証情報パス、そして攻撃者が悪用できる新しい表面領域が導入されます。エージェントのスプロールは、過剰にプロビジョニングされたOAuthスコープ、再利用されたサービスアカウント、および長期間有効なトークンといった、従来のIDセキュリティの失敗を増幅させます。従来のIAMツールは、決して...

CyberStrong 4.15 がリリースされました。このリリースでは、ワークフロー機能の拡張、一括データインポート、アセットグループインテリジェンスの深化、そして全体的なユーザーエクスペリエンスの向上まで、プラットフォーム全体にわたる改善が盛り込まれています。新機能のすべてをご覧ください。

ビジネスを守るために設計されたシステムが、実はビジネスの成長を静かに妨げているとしたらどうでしょうか？フィンテック業界のすべてのCEO、CTO、プロダクトリーダーが直面する問題です…

AIはソフトウェア開発とソフトウェアリスクの両方を変革しています。

私たちは常に、同時代の仲間よりも自分が脆弱であると考えがちです！一般的な意味では、これは自信の欠如を示しますが、セキュリティを扱う際には、これはあなたが持つことができる最良の特性の1つです！奇妙に聞こえますよね！正直に言って、ほとんどのセキュリティチームは脆弱性データに不足しているわけではありません。彼らはそれに溺れています。スキャン [...]

英国の中小企業向けNISTサイバーセキュリティフレームワーク：特定、保護、検出、対応、復旧のための実践ガイド NISTサイバーセキュリティフレームワークは、ビジネスリスクを中心にサイバーセキュリティ業務を整理するための有用な方法です。英国の中小企業にとって、これは重要です。なぜなら、ほとんどのチームは一度にすべてを行うための時間や予算を持っていないからです。フレームワークは、あなたに […]

PyTorch Lightningパッケージの悪意のあるバージョン2.6.2および2.6.3が、発行者のアカウントが侵害された後にPyPIにアップロードされました。2026年4月30日に公開されたこれらのパッケージには、開発者の認証情報を盗むように設計された悪意のあるコードが含まれていました。パッケージをインポートすると、バックグラウンドプロセスがアクティブ化され、大規模で難読化されたJavaScriptペイロードが実行されます。このペイロードは、AWS、Azure、Google CloudなどのマルチクラウドサービスとGitHub APIを標的とします。マルウェアは、攻撃者が制御するインフラストラクチャから二次ペイロードをダウンロードします。この攻撃は、信頼されているパッケージの侵害されたバージョンを使用したため、特に危険です。攻撃者は、バージョン2.6.2がフラグ付けされた後、検出を回避するために迅速にバージョン2.6.3をリリースしました。メタデータの更新のような小さな変更は、セキュリティ対策のトリガーを回避するために使用されました。これらのバージョンをインストールしたユーザーは、システムが侵害されたとみなし、悪意のあるパッケージを削除する必要があります。ベストプラクティスには、依存関係のピン留め、異常の監視、自動化されたサプライチェーンセキュリティツールの使用が含まれます。セキュリティチームは、これらの脅威に先んじるために、コンテキストを意識した行動駆動型分析へと移行する必要があります。