We Presented at VulnCon 2026

We Presented at VulnCon 2026

Hi, I'm Ryunosuke Tanai from the FutureVuls team. ※本ブログの日本語バージョンは「VulnCon 2026に登壇しました」で公開しています
VulnCon 2026に登壇しました

VulnCon 2026に登壇しました

こんにちは、FutureVulsチームの棚井です。 ※The English version of this blog post is available at "We Presented at VulnCon 2026"
Sigstore・cosign で「改ざんされていない」を検証した仕組み

Sigstore・cosign で「改ざんされていない」を検証した仕組み

本記事は、 「Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート」の解説編です。検証レポートで実行した cosign verify や Rekor 透明性ログ検索が内部で何をしているのか、その信頼の仕組みを支える Sigstore エコシステム(Cosign / Fulcio / Rekor)を体系的に解説します。 この記事で扱うこと 2026 年 2 月 27 日〜3 月 2 日にかけて、hackerbot-claw と名乗る AI 自律型ボットが GitHub...
hackerbot-clawが狙った7リポジトリ — 攻撃直前の OpenSSF Scorecardを検証する

hackerbot-clawが狙った7リポジトリ — 攻撃直前の OpenSSF Scorecardを検証する

この記事の経緯 2026年2月24日、FutureVuls の定期リリースで trivy v0.69.1 のバイナリを GitHub Releases から取得しました。その4日後、trivy リポジトリが hackerbot-claw を名乗る自律型 AI エージェントによって侵害されました。バイナリの真正性検証を行い、改ざんがなかったことを確認してインシデント対応をクローズしています(検証レポート)。
VulnCon 2026にFuture Corporationとして登壇します

VulnCon 2026にFuture Corporationとして登壇します

こんにちは、FutureVulsチームの棚井です。
あなたの依存関係は本当に安全ですか? — OSSの見えないEOLリスクと「uzomuzo」

あなたの依存関係は本当に安全ですか? — OSSの見えないEOLリスクと「uzomuzo」

CVEゼロでも安心できない — SCAが見逃すOSSとの依存関係とEOLリスク 10年前の2016年、当時同じチームにいた後輩が「あなたのサーバは本当に安全ですか?」という記事を書いた。Vuls の紹介記事だ。
GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド

GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド

【注意事項】
Trivy サプライチェーン攻撃(第2波・3/19発生):FutureVuls 影響調査レポート

Trivy サプライチェーン攻撃(第2波・3/19発生):FutureVuls 影響調査レポート

※2026/03/25(水)「GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド」 を追加で公開しています。
Google NotebookLMにマニュアルを連携し「FutureVuls専用AIアシスタント」を作成

Google NotebookLMにマニュアルを連携し「FutureVuls専用AIアシスタント」を作成

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例(利用されたCVE-IDを含む)やFutureVulsを用いた具体的対策を紹介します。
Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート

Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例(利用されたCVE-IDを含む)やFutureVulsを用いた具体的対策を紹介します。
React2Shell(CVE-2025-55182)の技術的背景とFutureVulsによる実効的な対策

React2Shell(CVE-2025-55182)の技術的背景とFutureVulsによる実効的な対策

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例(利用されたCVE-IDを含む)やFutureVulsを用いた具体的対策を紹介します。
【CSS2025参加レポート】欧州CRA法と脆弱性管理のリアル〜研究発表・パネル討論の模様を詳説〜

【CSS2025参加レポート】欧州CRA法と脆弱性管理のリアル〜研究発表・パネル討論の模様を詳説〜

今年もコンピュータセキュリティシンポジウム(CSS) 2025に参加し、研究発表、パネル登壇、ブース出展を行いました。本記事では、Vulsチームが取り組む脆弱性情報の統合管理に関する発表や、欧州CRA法をテーマにSBOM・EOL問題など、現場の課題が赤裸々に語られたパネルディスカッションの模様を詳しくレポートします。
【開催レポート】FutureVuls 第1回ユーザー会|参加者満足度100%! お客さまの熱気に満ちた、未来を共創する一夜

【開催レポート】FutureVuls 第1回ユーザー会|参加者満足度100%! お客さまの熱気に満ちた、未来を共創する一夜

去る2025年7月30日、フューチャー株式会社は、SaaS型脆弱性管理ツール「FutureVuls」をご利用のお客さまをお招きし、記念すべき第1回となるユーザー会を大崎の本社にて開催いたしました。中には本イベントの為に関西からお越し頂いた方もいらっしゃる等、当日は多くのお客さまにお越し頂き、後日実施したアンケートでは参加者満足度100%という大変嬉しい評価をいただきました。ご参加いただいた皆さまのFutureVulsに対する高いご関心と熱意に、運営一同、身が引き締まる思いでした。本記事では、大盛況のうちに幕を閉じた本会の様子を、当日の熱気とともにお届けいたします。
WEST-SEC 情シスを悩ます「脆弱性管理」のあるべき姿を考える で講演しました

WEST-SEC 情シスを悩ます「脆弱性管理」のあるべき姿を考える で講演しました

関西最大級セキュリティ勉強会『WEST-SEC』でFutureVulsが講演─SSVCで実現するリスクベース脆弱性管理とランサムウェア対策の最新事例を詳報
FutureVuls新機能でCPE割り当てを効率化!適切なCPEの選び方ガイド

FutureVuls新機能でCPE割り当てを効率化!適切なCPEの選び方ガイド

脆弱性管理におけるCPE割り当ては重要ですが、「どのCPEを選べばいいか分からない」「確認に手間がかかる」といった課題があるかと思います。本記事では、2025年の4月にリリースした新機能を活用し、適切なCPEを判断するための実践的な方法を具体例と共に解説します。
あなただけのvuls.dbを作ろう!

あなただけのvuls.dbを作ろう!

Vulsで脆弱性スキャンをしているけれど――「公式 DB だけでは検知が足りない」「不要データでスキャンが重い」「社内アドバイザリもまとめて管理したい」。そんな悩みを解決するのが “自作 vuls.db”です。本記事ではVuls 初心者でも分かる手順でカスタム脆弱性データベースを構築し、1) 公式未採用ソースの追加、2) 不要ソースの削減、3) 独自データの取り込み――という3つのユースケースを具体例付きで解説します。
EUサイバーレジリエンス法(CRA)準拠に向けたSBOM対応

EUサイバーレジリエンス法(CRA)準拠に向けたSBOM対応

本記事ではEUサイバーレジリエンス法(CRA)におけるSBOM対応に焦点を絞って情報をまとめます。また、ドイツの BSI が発行している技術ガイドライン「TR-03183」を基に、CRA対応で求められる具体的なSBOMの形式要件について解説します。
リモートスキャン活用術:複数サーバのスキャン結果をグループごとに分けて管理する方法

リモートスキャン活用術:複数サーバのスキャン結果をグループごとに分けて管理する方法

スキャン対象サーバの数が多い場合の対処法として、リモートスキャンでスキャン結果を別々のグループにアップロードし、脆弱性を管理する方法をハンズオン形式で紹介します。
Vulsで使っている脆弱性情報を追跡しよう!

Vulsで使っている脆弱性情報を追跡しよう!

脆弱性DBとそれを構成する脆弱性データソースから脆弱性情報を追跡する方法を紹介します。
Solving CISO Headaches: CTIとリスク管理をどう連携させるか?

Solving CISO Headaches: CTIとリスク管理をどう連携させるか?

CTI(脅威インテリジェンス)を導入しているのに、経営層への説得力がいまひとつ…」 「リスク管理と現場のセキュリティ対策が噛み合わず、脆弱性対応が後手に回ってしまう…」 そんなお悩みを抱えるCISOやセキュリティ担当者に向け、本記事ではCTIとサイバーリスク管理の連携ノウハウを解説します。脆弱性優先度付け、ランサムウェア対策、サプライチェーンリスクなど、具体的な事例を交えながら、経営層を納得させるリスク評価と最適な防御策を同時に実現する方法をご紹介します。
脆弱性管理は“組織改革”から──ツール任せにしない運用の秘訣

脆弱性管理は“組織改革”から──ツール任せにしない運用の秘訣

脆弱性管理というと「スキャンしてパッチを当てる」作業ばかりに目がいきがちですが、実は組織全体でテクノロジーを「どのように運用・改善し続けるか」が成功のカギです。なぜアセット管理やCVSSスコアだけでは不十分なのか、どうすればレガシー環境や経営層・現場を巻き込んで抜本的にリスクを減らせるのか。本記事ではSANS Institute講師のウェブキャストをもとに、脆弱性管理に“組織改革”の視点を取り入れるポイントを解説していきます。
WordPressの脆弱性を管理!コア、プラグイン、テーマの脆弱性を検知する方法

WordPressの脆弱性を管理!コア、プラグイン、テーマの脆弱性を検知する方法

サーバにインストールされているWordPressコア、プラグイン、テーマの一覧を取得し、脆弱性を検知するスキャンの設定方法をハンズオン形式で紹介します。
Linuxサーバの脆弱性を一元管理!OS、ミドルウェア、ライブラリに対応

Linuxサーバの脆弱性を一元管理!OS、ミドルウェア、ライブラリに対応

Linuxサーバの資産情報に潜む脆弱性を網羅的に検知し、FutureVulsでまとめて管理する方法をご紹介します。
脆弱性管理の視点で考える 情報セキュリティ10大脅威 2025

脆弱性管理の視点で考える 情報セキュリティ10大脅威 2025

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例(利用されたCVE-IDを含む)やFutureVulsを用いた具体的対策を紹介します。
SLSAで始めるソフトウェア・サプライチェーンセキュリティ:現状・課題・将来の展望

SLSAで始めるソフトウェア・サプライチェーンセキュリティ:現状・課題・将来の展望

ソフトウェア・サプライチェーンへの攻撃が世界規模で深刻化する中、Googleが提唱する**SLSA(Supply-chain Levels for Software Artifacts)**が注目を集めています。本記事では、大規模インシデントを背景に、SLSAがどのようにビルド環境の改ざんや悪意ある依存関係の混入を防ぎ得るのかを解説。脅威モデルや各レベルの概要、Provenanceによる改ざん検知の仕組み、そして現状の課題と将来のL4(再現可能ビルド)の方向性を紹介します。企業でサプライチェーンセキュリティを強化したい方に向け、導入のポイントや運用上の注意点も整理しました。
Prev
1 2 3 4
Next

カテゴリー