棚井龍之介

We Presented at VulnCon 2026

We Presented at VulnCon 2026

Hi, I'm Ryunosuke Tanai from the FutureVuls team. ※本ブログの日本語バージョンは「VulnCon 2026に登壇しました」で公開しています
VulnCon 2026に登壇しました

VulnCon 2026に登壇しました

こんにちは、FutureVulsチームの棚井です。 ※The English version of this blog post is available at "We Presented at VulnCon 2026"
Sigstore・cosign で「改ざんされていない」を検証した仕組み

Sigstore・cosign で「改ざんされていない」を検証した仕組み

本記事は、 「Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート」の解説編です。検証レポートで実行した cosign verify や Rekor 透明性ログ検索が内部で何をしているのか、その信頼の仕組みを支える Sigstore エコシステム(Cosign / Fulcio / Rekor)を体系的に解説します。 この記事で扱うこと 2026 年 2 月 27 日〜3 月 2 日にかけて、hackerbot-claw と名乗る AI 自律型ボットが GitHub...
hackerbot-clawが狙った7リポジトリ — 攻撃直前の OpenSSF Scorecardを検証する

hackerbot-clawが狙った7リポジトリ — 攻撃直前の OpenSSF Scorecardを検証する

この記事の経緯 2026年2月24日、FutureVuls の定期リリースで trivy v0.69.1 のバイナリを GitHub Releases から取得しました。その4日後、trivy リポジトリが hackerbot-claw を名乗る自律型 AI エージェントによって侵害されました。バイナリの真正性検証を行い、改ざんがなかったことを確認してインシデント対応をクローズしています(検証レポート)。
VulnCon 2026にFuture Corporationとして登壇します

VulnCon 2026にFuture Corporationとして登壇します

こんにちは、FutureVulsチームの棚井です。
GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド

GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド

【注意事項】
Trivy サプライチェーン攻撃(第2波・3/19発生):FutureVuls 影響調査レポート

Trivy サプライチェーン攻撃(第2波・3/19発生):FutureVuls 影響調査レポート

※2026/03/25(水)「GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド」 を追加で公開しています。
Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート

Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例(利用されたCVE-IDを含む)やFutureVulsを用いた具体的対策を紹介します。
FutureVuls に登録する製品の CPE 名を、ちょっとだけ便利に検索する

FutureVuls に登録する製品の CPE 名を、ちょっとだけ便利に検索する

みなさんは、製品の「CPE 名」をどのように検索されていますか? 本ブログでは、go-cpe-dictionary と peco を用いてインタラクティブに CPE 名を検索する方法を紹介します。
Windows Server on EC2 に ssh で接続する

Windows Server on EC2 に ssh で接続する

EC2 上で稼働する Windows Server に向けて、公開鍵認証により SSH で接続するまでの設定内容をブログ化しました。
Prev
1
Next

カテゴリー