世界中の開発者が公開している「コードの部品」を取り込む仕組みを悪用したサプライチェーン攻撃。開発者の手元・CI/CD・そして連鎖感染と、攻撃パターンは3種類あります。仕組みをわかりやすく整理してみました。

同期が僕の校閲グセを学習した文書ライティングAIエージェントを作ってくれました。よくできていたのですが、箇条書きだけ放り込んだら企画書ができてしまって…お蔵入りを決めた理由と、AIと共存するために必要な「国語力」の話。

出張先のホテルでPayPay誘導詐欺メールのテレビ特集を見ました。charset="GBK"の話から、1通約7円で送れる詐欺メール代行業者の実態まで。割の良すぎる攻撃手法がやまない理由と、自衛するしかない現実について。

Amazonを装い「月額料金の支払失敗」と騙って偽サイトへ誘導するフィッシングメールを解析。送信元が「cheaponline-shopping.com」という無関係なドメインである点や、中国語圏の文字コード「GBK」が使用されている技術的な「黒」判定ポイントを解説します。…

日本年金機構を装い、国民年金保険料の支払いを促して偽のPayPay決済サイトへ誘導するフィッシングメールを解析。送信元ドメインが「jingchen89.com」である点や、ハウスメーカーのアドレスを悪用したなりすましの実態など、技術的な判定ポイントを詳しく解…

年始の目標「ヨメちゃんをディズニーに連れて行く」を、特別株主優待パスポートで実現しました。９年ぶりのディズニーランドは、スマホ予約やモバイルオーダーなど進化の連続でまさに浦島太郎状態。Google AIが作成した工程表を頼りに、念願のブルーバイユー…

再び都内のホテルで缶詰め生活です(;´･ω･)ひたすらパソコンと向き合って資料を作ります(=ﾟωﾟ)ﾉ

浜名湖オフ会2日目は、朝5時からのゴミ拾いと読書でスタートしました。朝からお腹がはちきれそうな豪華朝食を堪能した後は、三ヶ日の人気スポット「長坂養蜂場」へ。絶品はちみつソフトや食べ比べを楽しみ、お土産買い込みで諭吉が飛んでいく事態に…。最後は…

「日本年金機構」を名乗り、財産の差し押さえ（強制執行）を盾にPayPay決済を迫る非常に悪質なフィッシングメールを解析。送信ドメインが建築関連を装った「architectsmall.com」である点や、中国語圏の文字コード「GBK」の使用など、詐欺と断定できる技術的…

「市区町村役場」を名乗り、住民税の未納を装って偽のPayPay決済へ誘導する極めて悪質なフィッシングメールを解析。送信元が英国関連と思わせるドメイン「isouthyorkshire.com」である点や、本文エンコードに中国語圏の「GBK」が使われているなど、技術的な…

大型連休が終わるや否や現実に引き戻されまして、木曜朝イチの対面会議に参加してからは東京に移動して会議と作業に明け暮れていました。 本日はそのまま東京…と名乗りながら東京じゃないエリアで遊んできまして、ようやく帰路につきました。 明日もなんだか…

はてなブログ仲間の皆さんと浜名湖で開催された春のオフ会に参加してきました！家族5人揃ってのラスト？の遠征は、圏央道での猛烈な横風とパトカーの追走から始まる波乱の展開。苦労して辿り着いた先には、豪華すぎるキャンプ飯と楽しい仲間との時間が待って…

『SHIFT解剖 究極の人的資本経営』を読み、自分自身のキャリアと重ねて考えた仕事の価値の本質。運用現場や本社部門という、光の当たりにくい場所で「当たり前」を守る人々の努力を、いかに経営の言葉へ翻訳し、正当な証人になるか。マネジメントの醍醐味を…

楽天カードを装い「自動引落が未遂」と不安を煽って偽のPayPay決済へ誘導するフィッシングメールを解析。送信元が「bcjbh.com」という無関係なドメインである点や、中国語圏の文字コード「GBK」が使用されている点など、技術的な「黒」判定ポイントをセキュ…

2026年の芝刈りシーズンが到来しました。油断している間にカタバミ軍に侵攻された庭を、愛機のエンジン式芝刈り機「GC410」で一掃しました。 例年より1週間遅いスタートでしたが、バリバリとわずか10分で作業完了。 サッパリと整った芝生の爽快感はカクベツ…

日本年金機構を騙り「差押予告」で不安を煽るフィッシングメールを解析。送信元が「skeleton-technologies.com」という無関係なドメインである点や、charset="GBK"（簡体字中国語）の使用、さらに偽のPayPay決済サイトへ誘導する手口など、技術的な不審点を…

日本年金機構を騙り「差押予告」で不安を煽るフィッシングメールを解析。送信元が中国系ドメイン「hxiba.com」である点や、charset="GBK"（簡体字中国語）の使用、さらに偽のPayPay決済サイトへ誘導する手口など、技術的な「黒」判定ポイントをセキュリティ…

Vpassを装い、World Presentポイントの失効をチラつかせて偽サイトへ誘導するフィッシングメールを解析。送信元ドメインが「ttpf4rkynm.icu」という無関係なものである点や、リンク先に偽装工作（Userinfo形式）が施されている点など、技術的な「黒」判定ポ…

最近、Anthropicが発表したAIエージェントClaude Mythosと、それの派生である各種のAI駆動型脆弱性検知について調べていました。１日１日情報がアップデートされるので、この手の話題は個人的に、表面的な「どう使えるか」よりも、それが当然視される時代に…

三井住友カードのVpassを装い「ご利用内容の確認」と称して偽サイトへ誘導するフィッシングメールを解析。送信元ドメインが「allthesouthcarolina.com」という無関係なものである点や、件名に隠された不可視文字などの偽装工作を技術視点で解説します。カー…

静岡県静岡市からいただいた、ふるさと納税返礼品「薔薇のおもてなし」をレビュー！Amazonふるさと納税の爆速配送に驚きつつ、届いた2,400メートル（96ロール）のトイレットペーパーをメートル単価で計算。中東情勢によるトイレットペーパー騒動への備えもこ…

ゴールデンウィークに突入！仕事は暦通りの予定なので、在宅勤務でのんびりスタートしました。お昼は「九条ねぎ2倍盛」キャンペーン中の銀だこをテイクアウトしてきました。GW後半もお仕事ですが、九条ねぎパワーで乗り切ります(´艸｀*)

AppleのiCloud+を装った「サブスクリプション期限切れ」詐欺メールを解析。送信元が「lishunhe.com」という無関係なドメインである点や、URLの中に公式ドメインを混ぜ込む巧妙な偽装工作を解説します。焦らせてカード情報を盗むフィッシング詐欺に注意！

数年前、Power Automateでの実装を諦めた「地震情報自動アラート」。久々に触ってみたらSwitchコントロールで驚くほど簡単に解決しました！気象庁APIの震度コードをcase文のように処理するスマートな実装方法をレポートします。長年の胸のつかえが取れました…

三井住友カード（Vpass）を騙るフィッシング詐欺メールを解析。送信元が「allthesouthcarolina.com」という無関係な海外ドメインである点や、本文末尾に不可視文字が仕込まれている点など、技術的な不審点を指摘します。不正利用防止を装ってカード情報を盗…

ご縁をいただいた東京の会社さんにお誘いいただき、ラボ見学のためにこちらへお邪魔してきました(=ﾟωﾟ)ﾉ六本木ヒルズヾ(≧▽≦)ﾉ いやぁ、デカイ！キレイ！そして何より入館チェックが超厳格！さすが日本屈指のオフィスビル、セキュリティの高さにびっくりしま…

SMBC日興証券を装い「配当金の入金」を通知する巧妙なフィッシングメールを解析。表示上の送信元は「fxoneshot.com」、実際の送信元は「teamsportspirit.com」と、公式サイトとは無関係なドメインが使用されています。中国語圏のエンコード「GBK」も確認。資…

iCloud+の支払い失敗を装い、クレジットカード情報を盗み取ろうとするフィッシングメールを解析。送信元ドメインが「4hyx7gi.top」というAppleとは無関係な怪しい文字列であることや、リンク先に偽装URLが仕込まれている点など、技術的な「怪しいポイント」…

Anthropicの超強力AI「Claude Mythos」と「Project Glasswing」がもたらした衝撃と、オープンソースの自律型スキャナー「Clearwing」。開発部門との板挟みに悩む情セ担当責任者が、AIで「攻めの防御」に転じようとPoCを始めてみました(´艸｀*)

国(経産省)が進めている「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の情報が出始めてきました(=ﾟωﾟ)ﾉ 企業や組織間の取引において、「あそこの会社はセキュリティがしっかりしている」という水準を客観的に見える化するための新…