Kanatoko

iLogScannerが更新されなくなってしまって久しいですが、シンプルにウェブサーバのログをセキュリティ的視点で分析するという機能に美を感じていたので、同じ立ち位置のセキュリティサービスをリリースしました。説明など、私が赴きますので気軽に声かけてください! loggol.jp

SecurityDaysでの講演無事に終了しました。来てくださった方、ありがとうございます。「iLogScanner、知ってる人？」ときいたら100人くらいの中で3〜4人の方だけでした。しかし皆「俺は知ってるぞ…！」という感じの良い表情をされており、ﾅｶｰﾏ！！という感じでｴﾓかったです。

@ConoHaPR 対応おつかれさまでした！中の人眠ってください！

【障害復旧のお知らせ】 ConoHa VPSにて発生しておりました障害は、2026年3月27日 13:10頃に復旧しております。 ご利用のお客様には、長時間にわたり多大なるご不便とご迷惑をおかけしましたことを、深くお詫び申し上げます。 ゲストOSならびにサーバー内で動作するアプリケーションに不安定な挙動がある場合は、サーバーのシャットダウンおよび起動をお試しください。 詳細はお知らせをご確認ください。 vps.conoha.jp/news/?&ap=2015…

【注意/続報】Trivy/LiteLLM 侵害と同じアクターによる、telnyx の PyPI パッケージ侵害（対象 4.87.1 / 4.87.2）を調査しました。Python 検体から影響範囲が読みきれず、C2からドロップされてくる検体は未確認のため、感染時の影響範囲が見通しにくいです・・・。 diary.shift-js.info/telnyx-comprom…

AIのコードをレビューしてバグを見つけたことがないものだけが「Code Reviews Do Not Find Bugs」と唱えなさい

わざとバグ入りのコードをレビューしてもらって、そのうちごく一部しかレビューで見つかりませんでした！という論文ではない Code Reviews Do Not Find Bugs というタイトルはちょっとどうかなと

この記事の引用元になっている論文「Code Reviews Do Not Find Bugs」を見た。 レビューコメントのうちバグ指摘は約15%程度だったを論拠にしているが これ、単にバグが少なかっただけの可能性があり、個人的に科学的な論文とは思えなかった zenn.dev/baleenstudio/a…

先週から色々ソフトウェアサプライチェーン系インシデントが多かったので、来週3/30(月)のウェビナーで色々解説する準備をしています。ぜひご参加ください〜

@yskmerlion 白人のハッカー！

取締役 佐藤 匡（金床 / Kanatoko）がセミナー登壇することをお知らせいたします。 【Security Days Spring 2026 Tokyo 登壇】そのアクセス、本当に人間ですか？AI時代のWeb攻撃をシステム影響ゼロで可視化する技術 prtimes.jp/main/html/rd/p… @PRTIMES_JPより

LiteLLMの侵害はTrivyが原因。サプライチェーンのサプライチェーンが攻撃されたみたいな感じ? github.com/BerriAI/litell…

海外の人の東京の感想が「街がきれい」な場合が多いんだけど まじで？って思っちゃうのは、自分がいかに恵まれた環境で育ったかということなんだろうな

「その中でも多くのWAF製品にとって致命的となったのが「リクエストボディーの検査サイズ制限」を悪用した回避攻撃だ」[PR] / React2Shell騒動の裏で繰り広げられた攻防　WAF回避とAI利用攻撃が突きつける「WAFの新要件」：「WAFが入っているから大丈夫」は危険 - ＠IT atmarkit.itmedia.co.jp/ait/articles/2…

結論出ててｽｯｷﾘした

というわけでですね、RC外して正式リリースです

I've released Pheasant Hex Editor v0.1.0🎉 github.com/suma/rusthex/r…

🚨🇺🇸🇮🇷 BREAKING: "Despite Donald Trump's claim that he has destroyed 100% of Iran's military capabilities, the remaining 0% is causing havoc in the global economy" - The Economist lol

Loggolオンラインセミナーのご案内です。 Webサイトへの攻撃の痕跡をアクセスログから把握し効率的に対策する　〜Web攻撃ログ分析ツール「Loggol」のご紹介～ 2026年4月14日(火) 14:00～14:45 loggol.jp/seminar/online…

‼️ China's biggest cybersecurity company, Qihoo 360 (461M users), just leaked their own wildcard SSL private key inside the public installer for their new AI assistant "360 Security Claw." The private key for *.myclaw.360.cn was bundled directly in the download package under /namiclaw/components/OpenClaw/openclaw.7z/credentials. The cert is valid until April 2027. Attackers can now impersonate their servers, intercept user traffic, and forge login pages. Fun fact: the founder promised the product would "never leak passwords."

今週はこれ読んでる。今回のイラン侵略でもUAE・米軍内・イラン国内それぞれで情報へのアクセスが遮断されているし、相変わらずデマ情報は飛び交っているし、この本の内容とリンクする箇所多い

自分や社内だけで使うようなツールは10x fasterでばんばんコード生成すると良いと思ってます