Ultra Thinking 【エンジニアのセキュリティトーク】

GMO Flatt Security

「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最近話題のトピックや、Takumiのサービス開発について考えていることを話す、エンジニアトーク番組です。

  1. 3d ago

    Claude Mythosは本当に特別なのか?Project Glasswingの進捗と他モデルとの比較を深堀る会

    今回は、最近大きな話題となったAnthropic社の「Claude Mythos」と「Project Glasswing」をテーマにワイワイ話します。ベンチマーク「ExploitBench」から読み解くAIの自律的な攻撃能力の脅威や、大量の脆弱性報告に直面するOSSメンテナーの限界、そしてそれらによる構造変化について深掘りしました。🗂️ 今回のトピック00:00 オープニング00:46 「Glasswing」とは何か?01:17 Claude Mythos Previewとセキュリティ能力の評価08:21 「ExploitBench」を考察:AIはどこまで自律的に攻撃できるか11:53 ベンチマークの採点基準と評価の難しさ14:46 Project Glasswingの現状:大量の脆弱性報告とOSSメンテナーの限界20:51 バグバウンティ市場の終焉?AIがもたらすゼロデイ市場への影響25:53 AIセキュリティの未来と防御側の課題39:53 エンディング📚 参照・紹介した記事/サイト・Assessing Claude Mythos Preview’s cybersecurity capabilities (Anthropic)https://red.anthropic.com/2026/mythos-preview/・ExploitBenchhttps://exploitbench.ai/・Anthropic’s coordinated vulnerability disclosure dashboardhttps://red.anthropic.com/2026/cvd/・Project Glasswing: The 10 Consequences Nobody’s Writing About Yet (Forrester)https://www.forrester.com/blogs/project-glasswing-the-10-consequences-nobodys-writing-about-yet/🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。🎧 YouTubeでも配信中: https://www.youtube.com/watch?v=mRbwXi4UWs0 X: https://x.com/flatt_securityハッシュタグ: #ultrathinking#セキュリティ #AI #Claude #Mythos #Glasswing #プログラミング

    40 min

  2. May 29

    npmのStaged Publishingでワーム連鎖は止まる?エコシステムの対応と、npxの解決順序の罠

    今回は、npmの最新機能「Staged Publishing」の仕組みやnpxのresolution仕様を着いた攻撃手法ついて解説。さらに、自社プロダクト「Takumi Guard」のGoモジュール対応の紹介と合わせ、Goエコシステム特有のキャッシュを悪用した攻撃についても語り合いました。🥟 今回のトピック00:00 オープニング00:54 終わりのないソフトウェアサプライチェーン攻撃の現状02:35 npmの新機能「Staged Publishing」とは?06:40 npmトップパッケージの対応状況をグラフで見る12:50 npxのresolution仕様による攻撃を読み解く25:52 パッケージ名に「malicious」と入れたらBANされた話30:57 Takumi GuardがGoモジュールに対応35:10 Goモジュールプロキシのキャッシュを悪用した攻撃手法39:28 エンディング📚 参照・紹介した記事/サイト・Staged publishing for npm packages (npm Docs)https://docs.npmjs.com/staged-publishing・sxzz/npm-top-publishing (GitHub)https://github.com/sxzz/npm-top-publishing・npx Used Confusion and It's Super Effectivehttps://landh.tech/blog/20260521-npx-used-confusion-and-its-super-effective/・Takumi Guard が Go モジュールに対応 (Takumi ユーザーガイド)https://shisho.dev/docs/ja/releases/20260526-takumi-guard-golang/・Go Supply Chain Attack: Malicious Package Exploits Go Module Proxy Caching for Persistence (Socket)https://socket.dev/blog/malicious-package-exploits-go-module-proxy-caching-for-persistence🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。🎧 Spotifyでも配信中: https://open.spotify.com/show/4V3QvwBK2bpsKwlDIvmoXJX: https://x.com/flatt_securityハッシュタグ: #ultrathinking#セキュリティ #npm #ソフトウェアサプライチェー #Go #脆弱性

    41 min

  3. May 21

    バケット名の先取りでVertex AIまでRCE?クラウドの仕様の落とし穴を読み解く会

    今回は、クラウドセキュリティに関するブログ記事を読み解きながら議論しました!Google CloudのバケットスクワッティングによるRCE事例や、AWS CognitoにおけるマルチテナントSSOの危険性など、クラウド設定仕様の落とし穴について考察します。🏷 今回のトピック00:00 オープニング01:41 Google Cloudにおけるバケットスクワッティング05:13 Gemini等で見つかったRCEとテナント間攻撃の事例13:05 バケットスクワッティングを防ぐための緩和策17:06 クラウドアイデンティティフェデレーションにおける「混乱した代理」問題26:04 マルチSSO AWS Cognitoユーザープールの危険性39:15 エンディング📚 参照・紹介した記事/サイト・Mitigating Bucket Squatting on Google Cloud (Focal Security)https://focalsecurity.io/blog/mitigating-bucket-squatting-gcp/・Kicking the Bucket: Critical RCE and Cross-Tenant Exploits in 3 Different GCP Products (Focal Security)https://focalsecurity.io/blog/kicking-the-bucket-gcp-cross-tenant/・Avoiding the Confused Deputy Problem in Cloud Identity Federation (Focal Security)https://focalsecurity.io/blog/workload-identity-federation-multi-tenant-risks/・The Dangers of Multi-Tenant SSO AWS Cognito User Pools (Doyensec)https://blog.doyensec.com/2026/05/05/cloudsectidbits-masso-cognito-sso.html🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。🎧 YouTubeでも配信中:https://www.youtube.com/@flattsecurity X: https://x.com/flatt_securityハッシュタグ: #ultrathinking #セキュリティ #クラウドセキュリティ #googlecloud #AWS #脆弱性

    40 min

  4. May 15

    ゲストatponsさんと語る、セキュリティ・キャンプ2026の歩き方とRubyGemsのクレデンシャル管理

    今回は、ゲストにatponsさんをお迎えし、4歳からPCに触れていたという幼少期のエピソードや、長年関わっている「セキュリティ・キャンプ」の裏話を語り合います。中盤では今年の「セキュリティ・キャンプ2026全国大会」の募集要項を見ながら各ゼミの魅力をチェック。後半は、atponsさんのLT資料をもとに、パッケージマネージャーのクレデンシャル管理やサプライチェーンセキュリティの難しさについて深掘りします。📝 今回のトピック00:00 オープニング00:25 ゲスト「atpons」さん紹介&すごい幼少期エピソード04:08 セキュリティ・キャンプとの出会いと運営側の裏話07:18 セキュリティ・キャンプ2026全国大会の募集要項をチェック10:28 各専門コース・開発ゼミの講義内容を見てみよう20:57 atponsさんのLT資料解説:パッケージマネージャーのクレデンシャル管理22:29 開発現場でのPAT(Personal Access Token)管理の課題と解決策26:17 RubyGemsへの機能提案とサプライチェーンセキュリティの難しさ35:05 エンディング📚 参照・紹介した記事/サイト・セキュリティ・キャンプ2026全国大会 募集要項・応募 (IPA)https://www.ipa.go.jp/jinzai/security-camp/zenkoku.html・Securing Credentials for Package Manager and Bundler (Speaker Deck / atpons)https://speakerdeck.com/atpons/securing-credentials-for-package-manager-and-bundler・Personal Access Tokenを撤廃!セキュアなプライベートパッケージレジストリを自作プロキシで解決した話 (STORES Product Blog)https://product.st.inc/entry/2025/07/18/112337・Mini Shai-Hulud 第二波の概要と対応指針 (GMO Flatt Security Blog)https://blog.flatt.tech/entry/mini_shai_hulud_2nd🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。YouTubeでも配信中: https://www.youtube.com/@flattsecurityX: https://x.com/flatt_securityハッシュタグ: #ultrathinking

    36 min

  5. Apr 23

    GET権限だけでRCE?Kubernetesの脆弱性と、今週のソフトウェアサプライチェーンの話題まとめ

    今回は、Anthropicが発表したサイバーセキュリティ向けのAIモデル「Claude Mythos」のクローズド提供に関する議論からスタート。後半は、KubernetesでのGET権限によるRCEに関する話題や、今開催中のRubyKaigiのブースで公開している「Typosquattingクイズ」にメンバーが挑戦する様子をお届けします。📝 今回のトピック00:00 オープニング00:31 Anthropic「Project Glasswing」と強力なAIモデルの公開方針07:08 AIによるサプライチェーン攻撃キャンペーン「prt-scan」11:08 Kubernetesにおける GET権限でのRCE28:26 「Typosquattingクイズ」実況プレイ35:07 エンディング📚 参照・紹介した記事/サイト・Project Glasswing (Anthropic)https://www.anthropic.com/news/project-glasswing・Trusted access for the next era of cyber defense (OpenAI)https://openai.com/index/scaling-trusted-access-for-cyber-defense/・Six Accounts, One Actor: Inside the prt-scan Supply Chain Campaign (Wiz Blog)https://www.wiz.io/blog/six-accounts-one-actor-inside-the-prt-scan-supply-chain-campaign・Kubernetes Remote Code Execution Via Nodes/Proxy GET Permissionhttps://grahamhelton.com/blog/nodes-proxy-rce/🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。

    35 min

  6. Apr 9

    axios サプライチェーン攻撃。怒涛の1週間とコミュニティの対応をチームで振り返る会

    今回は、世界中で広く利用されているHTTPクライアントライブラリ「axios」で発生したソフトウェアサプライチェーン攻撃について読み解きます。メンテナのアカウント乗っ取りの手口から、悪意ある依存関係(マルウェア)が混入し実行されるメカニズム、そしてセキュリティ企業やコミュニティによる対応の裏側まで、エンジニアが知っておくべきインシデントの全貌について話し合いました。📝 今回のトピック00:00 オープニング:axiosインシデント発覚の背景02:35 ブログ記事「axios ソフトウェアサプライチェーン攻撃の概要と対応指針」06:25 StepSecurity社による検知と初期対応の裏側15:06 悪意あるコードの実行経路(postinstallの悪用)と依存関係の罠31:05 メンテナアカウント乗っ取りの巧妙な手口(偽Teams画面によるソーシャルエンジニアリング)38:00 エンディング📚 参照・紹介した記事/サイト・axios ソフトウェアサプライチェーン攻撃の概要と対応指針 (GMO Flatt Security Blog)https://blog.flatt.tech/entry/axios_compromise・Behind the Scenes: How StepSecurity Detected and Helped Remediate the Largest npm Supply Chain Attack (StepSecurity)https://www.stepsecurity.io/blog/behind-the-scenes-how-stepsecurity-detected-and-helped-remediate-the-largest-npm-supply-chain-attack・Inside the Axios supply chain compromise - one RAT to rule them all (Elastic Security Labs)https://www.elastic.co/security-labs/axios-one-rat-to-rule-them-all・Attackers Are Hunting High-Impact Node.js Maintainers in a Coordinated Social Engineering Campaign (Socket)https://socket.dev/blog/attackers-hunting-high-impact-nodejs-maintainers🤔 Ultra Thinking とは「エンジニアの背中を預かる」 GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。

    39 min

  7. Apr 3

    ゲストhhc0nullさんと振り返るCTFの思い出と、Heap Exploitationの進化

    今回は、初めてのゲスト回! hhc0nullさんをお迎えし、普段のプロダクトセキュリティの話から離れて、CTFの昔話やpwnについて語り合いました。🏷 今回のトピック00:00 オープニング00:30 ゲスト「hhc0null」さん紹介とCTF昔話04:18 WCTF 2017参加レポートを振り返る06:32 問題を持ち寄る特殊ルール「Belluminar」とは14:33 House of Einherjar (CODE BLUE 2016)20:24 glibc mallocの基本:ChunkとBinの構造24:40 Consolidating Chunks(チャンクの結合処理)26:40 House of Einherjarの脆弱性の仕組みとフロー36:04 エンディング📚 参照・紹介した記事/サイト・WCTF 2017 参加レポート (LINE Engineering Blog)https://engineering.linecorp.com/ja/blog/wctf-2017-join-report・House of Einherjar: Yet Another Heap Exploitation Technique on GLIBC https://www.slideshare.net/slideshow/cb16-matsukuma-ja-68459648/68459648🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。

    37 min

  8. Mar 26

    Dependabotの自動マージも危ない?CIで任意コード実行されるパターンが多すぎる話

    今回は、開発の要であるCI/CDパイプラインをターゲットにしたセキュリティリサーチを読み解きます。Dependabotの自動マージの設定不備を突いた攻撃手法やCI/CD環境の正規ツールでの任意コード実行手法など、CIで様々な任意コード実行されるパターンについて話しました。📝 今回のトピック00:00 オープニング00:37 Google Cloud Build コメント機能のレースコンディション13:56 Dependabot 自動マージのバイパス22:28 Terraform State改ざんによる権限昇格リスクとコード実行27:00 CI/CD環境の正規ツールが攻撃に悪用される脅威38:10 エンディング📚 参照・紹介した記事/サイト・Who's SHA is it Anyway: Bypassing Google Cloud Build Comment Control for $30,000https://adnanthekhan.com/posts/cloud-build-toctou/・GITHUB ACTIONS EXPLOITATION: DEPENDABOThttps://www.synacktiv.com/publications/github-actions-exploitation-dependabot・Hacking Terraform State for Privilege Escalationhttps://plerion.com/blog/hacking-terraform-state-for-privilege-escalation・Living Off The Pipeline (LOTP)https://boostsecurityio.github.io/lotp/🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。

    39 min
See All (17)

About

「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最近話題のトピックや、Takumiのサービス開発について考えていることを話す、エンジニアトーク番組です。

Information