InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
AI搭載ボットがGitHub Actionsワークフローを侵害、Microsoft、DataDog、CNCFプロジェクトにわたり
最近、自律型AI搭載ボットが主要オープンソースリポジトリ全体にわたりGitHub Actionsワークフローをシステム的に悪用し、複数ターゲットでリモートコード実行を達成するとともに、書き込み権限を持つ認証情報を窃取した。StepSecurityの共同創業者 Varun Sharma氏は2026年2月21日から2月28日にかけてのMicrosoft、DataDog、Aqua Security、Cloud Native Computing Foundationのプロジェクトを標的とした攻撃を公表した。
-
オープンソースセキュリティツールTrivyがサプライチェーン攻撃被害、業界に緊急対応迫る
広く利用されているオープンソースの脆弱性スキャナーTrivyに影響を及ぼす重大なセキュリティインシデントが発生し、メンテナーが悪意あるリリースが一時的に配布されたことを確認したことで、ソフトウェアサプライチェーンセキュリティの重大な弱点が露呈した。Aqua Security社がGitHub上のディスカッションで開示した内容によれば、攻撃者は改ざんされたバージョンのツールを公開でき、下流システムにおける認証情報窃取や悪意あるコード実行につながる可能性があったという。
-
AWS、VPCで通信の暗号化を強制する新制御機能を導入
クラウド事業者であるAWS社によると、新機能は、AWS環境全体に一貫した暗号化基準を適用することを組織に促し、包括的な暗号化を求めるHIPAA、PCI DSS、FedRAMPといった規制フレームワークへの準拠を示す上で役立つという。
-
オープンソースのAgent Sandbox、Kubernetes上でAIエージェントの安全な展開を可能に
Agent Sandboxは、安定したアイデンティティと永続ストレージを備えた単一のステートフルPodを管理するための宣言的APIを提供する、オープンソースのKubernetesコントローラーである。信頼できないLLM生成コードを実行するための隔離環境の構築に特に適しており、他のステートフルワークロードの実行にも向いている。
-
AI駆動サイバー脅威と戦うには多層防御がキー、CNCFレポートが明らかに
Cloud Native Computing Foundationがan analysis of modern cybersecurity practicesを出版、人工知能を使用した攻撃が現在、重大な脅威になっていることを明らかにした。このレポートは人工知能が脅威の状況と、企業が利用できる防御手段の両方を変革する中で、組織が多層防御戦略を採用することの重要性を強調している。
-
AWS、管理型エグレスセキュリティ簡素化へ 「Network Firewall proxy」をプレビュー公開
AWS社はこのほど、プロキシの管理と展開を担うマネージドサービス「AWS Network Firewall proxy」のプレビュー版を開始した。AWS社によると、このサービスは、顧客が自社のVPCからのアウトバウンドアクセスを統制するセキュリティポリシーに、より注力できるようにするものだ。
-
AWSが「リージョン別の AWS 機能」ツールをリリース
AWSは最近、「リージョン別の AWS 機能」、グローバルなリージョンネットワーク全体でのサービス、機能、リソースのアベイラビリティをアーキテクト、プラットフォームエンジニア、開発者が詳細に把握できるよう設計された新しい計画ツールをリリースした。
-
AWSがC8iおよびC8i-flex EC2インスタンスを発表、カスタムIntel Xeon 6を搭載
AWSは最近、カスタムIntel Xeon 6プロセッサを搭載したコンピュート最適化C8iおよびC8i-flexインスタンスの一般提供(GA)を発表した。Webサーバー、キャッシング、Apache Kafka、ElasticSearch、バッチ処理、分散分析、高性能コンピューティング(HPC)、サーバー、非常にスケーラブルなマルチプレイヤーゲーム、ビデオエンコーディングのような計算集約型ワークロードを実行するのに適している。
-
OWASPがAgentic AIにおけるツール誤用を重大な脅威として警告
今年初め、OWASPはAgentic AI - Threats and Mitigationsと呼ばれるAgentic AIセキュリティに関するガイダンスをリリースした。この文書はこの新興技術を安全にデプロイする際のユニークな課題をハイライトし、防御のための緩和策やアーキテクチャパターンを提案している。
-
新DNS Armorサービスがサイバー脅威を事前ブロック、Google Cloudワークロードを防御
Google CloudはDNS Armor、Infobloxとの���ートナーシップにより開発された新しいクラウドネイティブ・セキュリティサービスを発表した。このサービスはGoogle Cloudのワークロードから発生するDNSベースの脅威を事前検出し、軽減することによる、セキュリティの基盤レイヤーを提供する。これはクリティカルな脆弱性に対処するものであり、Infoblox自身の調査によると、マルウェアの92%がコマンド&コントロール(C2)通信にDomain Name System(DNS)を利用していることが判明している。
-
Cloudflareが安全な認証情報管理のためのSecrets Storeのパブリックベータ版をリリース
最近のDeveloper Week 2025において、CloudflareはCloudflare Secrets Storeのパブリックベータ版を発表した。これは、APIトークン、キー、および認証情報を安全に保存する方法だ。長期的な目標は、Secrets StoreをさまざまなCloudflare製品と統合することだが、現在はCloudflare Workersのみをサポートしている。Cloudflare Secrets Storeは、APIトークンからリクエスト認証ヘッダーまで、アプリケーションに必要な秘密情報を安全に保存・管理することを可能にする。CloudflareのプロダクトマネージャーであるMia Malden氏、システムエンジニアのMitali Rawat氏、そしてシステムエンジニアのJames Vaughan氏は次のように述べている。
-
CNCF、ソフトウェアサプライチェーンセキュリティを強化するin‑totoを卒業
2025年4月23日、Cloud Native Computing Foundation (CNCF)は、ソフトウェア開発ライフサイクルの各ステップ(ビルド、署名、デプロイなど)が適切に認可され、検証可能であることを保証することでサプライチェーンの整合性を強化するフレームワークであるin‑totoの卒業を発表した。この動きは、in‑totoが完全な成熟と安定性を達成し、広く採用されている他の卒業したCNCFプロジェクトに加わり、大規模な生産に対応可能であることを示している。
-
AWS CCAPI MCPサーバー: 自然言��インフラ
AWSはCloud Control API(CCAPI)MCP Server、自然言語を使って開発者やAI駆動エージェントがリソース管理できるようにすることにより、インフラ管理をシンプル化するために設計された新しいツールを最近発表した。このサーバーはawslabs/mcpプロジェクトの一部であり、会話型コマンドとAWSインフラのデプロイ・管理をつなぐブリッジとして機能する。
-
新たなクリプトジャッキング攻撃がDevOpsとAIインフラを標的に
Wiz社のセキュリティ研究者は、複数の人気DevOpsツールの公開APIサーバーを標的とした高度なクリプトジャッキング攻撃を発見した。同様に、Sysdig社の研究者は、同じ手法と暗号通貨マイナーを使用して人気のAIツールOpen WebUIへの攻撃を発見した。
-
AWS、エクスポート可能なパブリックSSL/TLS証明書を発表
AWSは最近、AWS Certificate ManagerからパブリックSSL/TLS証明書をエクスポート可能にする機能を発表した。このアップデートにより、ユーザーは証明書とその秘密鍵をエクスポートし、AWS管理サービス以外でも利用可能になる。