「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最近話題のトピックや、Takumiのサービス開発について考えていることを話す、エンジニアトーク番組です。
https://podcasters.spotify.com/pod/show/ryota-kojima番組の魅力・推薦
このポッドキャストは未認証のため、最新エピソードのみ表示されます。
ゲストicchyさんと振り返る、アンチウイルスを"オラクル"にした攻撃手法と、AI時代も人間が強い「発想」
今回は、ゲストにGMOサイバーセキュリティbyイエラエの市川さん(icchy)をお迎えします!CTFチーム「TokyoWesterns」での活動やこれまでのキャリアを振り返りつつ、彼が過去に発表した「React Hooksに潜む罠」や、CODE BLUE 2019での発表「アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法」などの技術的なリサーチについて振り返りました。📁 今回のトピック00:00 オープニング02:11 ゲスト「icchy」さん紹介とこれまでの活動(競プロ・CTF・トラコン)12:06 スライド解説①:「React Hooksに潜む罠」22:40 スライド解説②:Windows Defenderをオラクルにしたサイドチャネル攻撃38:00 エンディング:AI時代も人間が強い攻撃手法の発想📚 参照・紹介した記事/サイト・icchyさんのブログ(雑記):https://icchy.hatenablog.jp/・スライド「React Hooksに潜む罠」:https://speakerdeck.com/icchy/react-hooks-pitfalls・スライド「アンチウイルスをオラクルとしたWindows Defenderに対する新しい攻撃手法」:https://speakerdeck.com/icchy/antiuirusuwoorakurutosita-windows-defendernidui-suru-xin-siigong-ji-shou-fa🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。🎧 YouTubeでも配信中:https://www.youtube.com/@flattsecurityX: https://x.com/flatt_securityハッシュタグ: #ultrathinking #セキュリティ #CTF #React #WindowsDefender
Shai-Huludの系譜は止まらない?巧妙化する直近のソフトウェアサプライチェーン攻撃を読み解く
今回は、Shai-Huludの系譜をつぐ直近のソフトウェアサプライチェーン攻撃のキャンペーンをテーマに話します。JFrogやStepSecurity、Socketなどのリサーチブログをもとに、Rust製でeBPFルートキットを搭載した「IronWorm」から、binding.gypを悪用する「Miasma」、Pythonの.pthファイルを悪用する「Hades」まで、その巧妙な技術的裏側と、対抗するための技術について語り合いました。📝 今回のトピック00:00 オープニング00:30 梅雨入りとTakumiぬいぐるみ01:11 今回のテーマ:ソフトウェアサプライチェーン攻撃02:19 IronWorm:Rust製ELFバイナリが落ちてくる新しい型の検体13:13 Miasma:npmパッケージを標的にしたワーム攻撃17:02 binding.gyp の自動実行仕様を悪用したRCE21:51 Hades:Shai-Huludの系譜がPyPIへも波及25:52 .pthファイルを悪用したPythonインタプリタ起動時の自動実行31:09 防御側の対抗策:デコイトークンを用いたアンチサンドボックス回避34:00 OSS開発者向けイベントの告知36:00 RubyGemsにおけるクールダウン期間の話36:11 cicd-sensorの紹介38:05 エンディング📂 参照・紹介した記事/サイト・IronWorm: Shai-Hulud's rustier cousin (JFrog Security Research)https://research.jfrog.com/post/iron-worm-shai-hulud-rustier-cousin/・Miasma npm Supply Chain Attack: Self-Spreading Worm via Phantom Gyp (StepSecurity)https://www.stepsecurity.io/blog/binding-gyp-npm-supply-chain-attack-spreads-like-worm・Shai-Hulud Descends to Hades: Miasma Worm Campaign Spreads with New PyPI Wave (Socket)https://socket.dev/blog/shai-hulud-descends-to-hades-miasma-pypi-wave・OSS開発者は今何をするべきか?ソフトウェアサプライチェーン侵害対策を考える (connpass)https://flatt.connpass.com/event/395359/・Cool down before you install: give new gems a few days to be vetted (RubyGems)https://blog.rubygems.org/2026/06/03/cooldown-let-new-gems-be-vetted.html・cicd-sensor/cicd-sensor (GitHub)https://github.com/cicd-sensor/cicd-sensor🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。🎧 YouTubeでも配信中: https://www.youtube.com/@flattsecurityX: https://x.com/flatt_security#ultrathinking #セキュリティ #サプライチェーン攻撃 #eBPF #npm #PyPI #Rust
Claude Mythosは本当に特別なのか?Project Glasswingの進捗と他モデルとの比較を深堀る会
今回は、最近大きな話題となったAnthropic社の「Claude Mythos」と「Project Glasswing」をテーマにワイワイ話します。ベンチマーク「ExploitBench」から読み解くAIの自律的な攻撃能力の脅威や、大量の脆弱性報告に直面するOSSメンテナーの限界、そしてそれらによる構造変化について深掘りしました。🗂️ 今回のトピック00:00 オープニング00:46 「Glasswing」とは何か?01:17 Claude Mythos Previewとセキュリティ能力の評価08:21 「ExploitBench」を考察:AIはどこまで自律的に攻撃できるか11:53 ベンチマークの採点基準と評価の難しさ14:46 Project Glasswingの現状:大量の脆弱性報告とOSSメンテナーの限界20:51 バグバウンティ市場の終焉?AIがもたらすゼロデイ市場への影響25:53 AIセキュリティの未来と防御側の課題39:53 エンディング📚 参照・紹介した記事/サイト・Assessing Claude Mythos Preview’s cybersecurity capabilities (Anthropic)https://red.anthropic.com/2026/mythos-preview/・ExploitBenchhttps://exploitbench.ai/・Anthropic’s coordinated vulnerability disclosure dashboardhttps://red.anthropic.com/2026/cvd/・Project Glasswing: The 10 Consequences Nobody’s Writing About Yet (Forrester)https://www.forrester.com/blogs/project-glasswing-the-10-consequences-nobodys-writing-about-yet/🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。🎧 YouTubeでも配信中: https://www.youtube.com/watch?v=mRbwXi4UWs0X: https://x.com/flatt_securityハッシュタグ: #ultrathinking#セキュリティ #AI #Claude #Mythos #Glasswing #プログラミング
npmのStaged Publishingでワーム連鎖は止まる?エコシステムの対応と、npxの解決順序の罠
今回は、npmの最新機能「Staged Publishing」の仕組みやnpxのresolution仕様を着いた攻撃手法ついて解説。さらに、自社プロダクト「Takumi Guard」のGoモジュール対応の紹介と合わせ、Goエコシステム特有のキャッシュを悪用した攻撃についても語り合いました。🥟 今回のトピック00:00 オープニング00:54 終わりのないソフトウェアサプライチェーン攻撃の現状02:35 npmの新機能「Staged Publishing」とは?06:40 npmトップパッケージの対応状況をグラフで見る12:50 npxのresolution仕様による攻撃を読み解く25:52 パッケージ名に「malicious」と入れたらBANされた話30:57 Takumi GuardがGoモジュールに対応35:10 Goモジュールプロキシのキャッシュを悪用した攻撃手法39:28 エンディング📚 参照・紹介した記事/サイト・Staged publishing for npm packages (npm Docs)https://docs.npmjs.com/staged-publishing・sxzz/npm-top-publishing (GitHub)https://github.com/sxzz/npm-top-publishing・npx Used Confusion and It's Super Effectivehttps://landh.tech/blog/20260521-npx-used-confusion-and-its-super-effective/・Takumi Guard が Go モジュールに対応 (Takumi ユーザーガイド)https://shisho.dev/docs/ja/releases/20260526-takumi-guard-golang/・Go Supply Chain Attack: Malicious Package Exploits Go Module Proxy Caching for Persistence (Socket)https://socket.dev/blog/malicious-package-exploits-go-module-proxy-caching-for-persistence🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。🎧 Spotifyでも配信中: https://open.spotify.com/show/4V3QvwBK2bpsKwlDIvmoXJX: https://x.com/flatt_securityハッシュタグ: #ultrathinking#セキュリティ #npm #ソフトウェアサプライチェー #Go #脆弱性
バケット名の先取りでVertex AIまでRCE?クラウドの仕様の落とし穴を読み解く会
今回は、クラウドセキュリティに関するブログ記事を読み解きながら議論しました!Google CloudのバケットスクワッティングによるRCE事例や、AWS CognitoにおけるマルチテナントSSOの危険性など、クラウド設定仕様の落とし穴について考察します。🏷 今回のトピック00:00 オープニング01:41 Google Cloudにおけるバケットスクワッティング05:13 Gemini等で見つかったRCEとテナント間攻撃の事例13:05 バケットスクワッティングを防ぐための緩和策17:06 クラウドアイデンティティフェデレーションにおける「混乱した代理」問題26:04 マルチSSO AWS Cognitoユーザープールの危険性39:15 エンディング📚 参照・紹介した記事/サイト・Mitigating Bucket Squatting on Google Cloud (Focal Security)https://focalsecurity.io/blog/mitigating-bucket-squatting-gcp/・Kicking the Bucket: Critical RCE and Cross-Tenant Exploits in 3 Different GCP Products (Focal Security)https://focalsecurity.io/blog/kicking-the-bucket-gcp-cross-tenant/・Avoiding the Confused Deputy Problem in Cloud Identity Federation (Focal Security)https://focalsecurity.io/blog/workload-identity-federation-multi-tenant-risks/・The Dangers of Multi-Tenant SSO AWS Cognito User Pools (Doyensec)https://blog.doyensec.com/2026/05/05/cloudsectidbits-masso-cognito-sso.html🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。🎧 YouTubeでも配信中:https://www.youtube.com/@flattsecurity X: https://x.com/flatt_securityハッシュタグ: #ultrathinking #セキュリティ #クラウドセキュリティ #googlecloud #AWS #脆弱性
こちらもおすすめ
私より先に丁寧に暮らすな
東京の歌人・上坂あゆ美と、京都の僧侶・鵜飼ヨシキによる雑談配信。人生の呪いからファミレスの好きなメニューの話まで幅広くお届け。 【初めての方におすすめ回】 #30 お菓子が人間だったら誰と付き合いたいか真剣に考える https://open.spotify.com/episode/751EzuNXjpgP2i53P7OtX7?si=XxN2eddURsas_JWE6KFu-A #163 恋愛ってマーージでクソだと思っている人の話 https://open.spotify.com/episode/1WgeglhRT5GQfqzkBO2bNF?si=1l0b2OBlTJq ▼ご意見ご感想は #よりすな ▼お悩みや質問はコチラまで https://forms.gle/1bqryhYcDWt334jZ7 ▼番組公式SNS https://x.com/yori_suna ▼番組へのお問い合わせはコチラまで yorisuna24@gmail.com ▼ポッドキャストの書き起こしサービス「LISTEN」はこちら https://listen.style/p/yorisuna?Egq5AoBB
jkondoの朝の散歩
ポッドキャストプラットフォーム「LISTEN」や、GPSトラッキングサービス「IBUKI」、物件メディア「物件ファン」、京都の宿とコワーキング施設「UNKNOWN KYOTO」を運営する近藤淳也(jkondo)が、朝の散歩をしたりしながら、日々の出来事や考えたことを語ります。
深井・けんすうのまぼろし会議
深井龍之介とけんすうによる、1週間で消えるポッドキャストです。その時々で2人が話したいことを喋ります。 # 利用規約はこちら https://coten.co.jp/blog/news/2638/ #視聴金額 66万円(税込) # Podcastに出ている人 深井龍之介:株式会社COTEN(https://coten.co.jp/)代表取締役。 けんすう:起業家・エンジェル投資家・ アル株式会社(https://alu.co.jp/)代表取締役。 https://listen.style/p/maboroshi_kaigi?1WKenxzH
桃山商事
コミュニケーション、男性性、恋愛、人間関係、ジェンダー、ケア、孤独、性欲、会社、友情、老い……メンバーがその時々で気になったテーマを1つ設定して、モヤモヤを言語化していくNEOな座談Podcastです。2011〜2016年「二軍ラジオ」(ApplePodcast)、2017〜2024年「恋愛よももやまばなし」(ニコ生→Podcast)を配信していました。清田隆之(文筆業)、森田(会社員)、ワッコ(会社員)、さとう(会社員)の4人でお届けします。
LISTEN NEWS
LISTENは、AI文字起こしとコミュニティで、ポッドキャストを「聴く・配信する・つながる」ためのプラットフォームです。 公式番組「LISTEN NEWS」では、開発の裏話や近況も交えつつ、最新情報をお届けします。 LISTENはこちら→ https://listen.style/
IBUKI STATION
ここはアウトドア向けGPSトラッキング「IBUKI」にまつわる人々が集まる場所。 トレイルラン、登山、冒険、ランニング、自転車、ロゲイニング、、 スタイルは数あれど、共通しているのは自然を楽しみ、そして人とのつながりも楽しむ姿勢。 自然を目一杯楽しみ、苦しみながら、人と接する喜びにも気付く。 アウトドアを満喫するみなさんが、ほっとできるIBUKI STATIONです。 IBUKI https://ibuki.run/ 近藤淳也 IBUKIを提供する株式会社OND代表。ポッドキャストプラットフォーム「LISTEN」も展開 桑原佑輔 OND所属。IBUKI事業担当営業・テクニカルディレクター 中川和美 OND所属。IBUKI担当。トレイルランナー