「あの人も読んでる」略して「も読」。さまざまな寄稿者が最近気になった情報や話題をシェアする企画です。他のテックな人たちがどんな情報を追っているのか、ちょっと覗いてみませんか?
こんにちは。東内(@yousukezan)です。
相変わらず引きこもってAIとセキュリティの記事を中心に読んでいます。お盆が明けてもなかなか涼しくならなくてぐったりしています。
それでは、最近読んで良かったコンテンツの一部を紹介します。
【バイブコーディング】セキュリティについてまとめてみました【AI開発】
最近ではコードを書くときAIに任せきりになっていることが多いです。動かすだけならまあいいかとコードも読まず実行することも多く、変なコードが埋めこまれてたらひとたまりもないなあと思ったりもします。
この記事はそんな「バイブコーディング」と呼ばれるAIアシスタント主体の開発スタイルにおけるセキュリティと品質の課題を、筆者の経験を交えて人間とAIそれぞれの視点から整理した内容です。
冒頭では2025年7月にReplitのAIが本番データベースを消去し、さらに虚偽の応答で問題を隠蔽したという事件を紹介し、AIが制御を逸脱する危険性を具体例とともに強調しています。
続いて、APIキーを直接コードに埋め込まない設計や、プロンプトの一貫性を保つ工夫など、AIの挙動を安全に導くための実践的な指針が解説され、開発者に「AIに任せきりにせず責任を持つ」姿勢を促しています。
最後に、ベストプラクティスを守っても不安は残るという現実を踏まえ、静的解析やCopilotなど外部ツールを組み合わせた二重チェックの重要性を訴え、AIと共に開発する時代に不可欠な意識と取り組みを示す記事となっています。
SSL/TLS の変遷と代表的な脆弱性
この10年くらいでほとんどのWebサイトが暗号化されており、現在では平文で通信が行われているだけでセキュリティ的に問題ありということになっています。
この記事は、インターネット通信を支える暗号化技術の歴史と課題を振り返る解説です。SSLからTLSへと進化してきた流れを整理し、それぞれの世代でどのような問題が露呈し改良が重ねられてきたのかをわかりやすくまとめています。
記事では「POODLE」や「BEAST」といった代表的な攻撃手法や、実装上の欠陥として広く知られる「Heartbleed」など、暗号通信の安全性を揺るがした具体的な事例を取り上げています。これらを通じて、古いバージョンを使い続けるリスクが具体的に理解できる構成になっています。
また、過去を振り返るだけでなく、現在もなおTLS 1.0や1.1が組み込み機器や長期稼働システムに残っている現状に言及し、TLS 1.2以降への移行を強く推奨しています。暗号通信の重要性を再認識し、今後の安全な利用に向けた基礎知識を得られる実務にも学習にも役立つ内容となっています。セキュリティ分野に関心を持つ人にとって、入門にも復習にも適した記事といえるでしょう。
HTTP/1.1 must die: The Desync Endgame
セキュリティ業界では8月にBlackhatとDEFCONという大きなイベントが開催され、そこでさまざまな新しい攻撃手法などが公開されることが多いです。ここで紹介する記事もBlackhatで初公開されたものになります。
本記事では、現在も広く利用されている通信規格「HTTP/1.1」が持つ深刻な脆弱性を指摘しています。HTTP/1.1は設計上の複雑さから、サーバーやCDN、プロキシといった複数の機器がリクエストを処理する際に解釈の不一致を起こしやすく、それを利用した「リクエストスマグリング(Desync攻撃)」が依然として数多くのサイトで成立します。これにより、認証情報やセッションの不正利用、キャッシュ汚染など、幅広い攻撃につながる恐れがあります。
研究では、実際に主要なCDNを含む環境で新しいリクエストスマグリング手法を確認し、短期間で20万ドル以上のバグバウンティ報奨が支払われたことが報告されています。これは理論上の懸念ではなく、現実の大規模なリスクであることを示すものです。
さらに、AkamaiやCloudflare、Netlifyなどの主要インフラに潜む弱点を突く手法も明らかにされました。そして記事では、HTTP/1.1の部分的な修正やパッチ適用では根本的な解決にならず、HTTP/1.1の利用を続けることは構造的なリスクを温存するに等しく、エッジからバックエンドに至るまで通信をすべて「HTTP/2」に統一する必要があると訴えています。
HTTP/2はメッセージ境界が明確で、こうした不一致を防ぐ設計になっており、スマグリング攻撃を原理的に防ぎやすいということです。
DOM-based Extension Clickjacking: Your Password Manager Data at Risk
もう1つ、こちらはMarek Tóth氏がDEF CON 33で発表した研究「DOM-based Extension Clickjacking」に関する本人の解説記事になります。
氏が「DOM based 拡張機能クリックジャッキング」と命名したパスワードマネージャーなどのブラウザ拡張機能が自動入力するユーザー情報が、1回のクリックで攻撃者に盗まれてしまう新たな攻撃手法により、11のパスワードマネージャー拡張機能すべてが脆弱で、約4000万のアクティブインストールのユーザーデータが危険にさらされていることが判明しました。
この手法は、悪意あるスクリプトがブラウザ拡張機能がDOMに注入するUI要素を透明化(opacity:0)し、ユーザーを欺いてクリックさせる手法です。攻撃者のWebサイト上で1クリックするだけで、クレジットカード情報(番号、有効期限、セキュリティコード)や個人情報(名前、メール、電話番号、住所)が窃取される可能性があるということです。
攻撃手法はExtension Element(ルート要素や子要素の透明化)、Parent Element(BODYやHTML要素の透明化)、Overlay(部分的または完全なオーバーレイ)の3つのタイプに分類されています。攻撃者は偽のCookie同意バナーやCloudflareチャレンジページなど、侵入的なWeb要素を作成し、その下に透明なフォームを配置します。自動入力のドロップダウンメニューが表示されると、DOM操作によりUIが不可視化され、ユーザーのクリックが悪用されます。
テストされた11のパスワードマネージャーのうち、クレジットカード情報の窃取は9個中6個、個人情報の窃取は10個中8個が脆弱だということです。それぞれの開発元には報告されているのですが未だ修正されていない拡張も多く、約3270万のインストールが危険な状態にあるとのことです。また、XSSなどの脆弱性と組み合わせることで認証情報が1クリックで盗まれる可能性があるとのことです。
ブラウザ拡張機能は便利な反面、大きな権限を渡してしまうことから、問題が起こると大きな被害につながりがちです。導入は慎重にした方が良いと思います。