まこ

Software Designの連載は「乱数」から「暗号」へ。新連載でも、引き続き身近な技術の裏側を深掘りしていきます。初回はマイナンバーカードについてです。興味のある方はぜひ！

LinuxのCopy Fail脆弱性 (CVE-2026-31431) について、AIが1時間で見つけたという結果より、AIに「splice、ページキャッシュ、scatterlistを追え」とプロンプトで指示したTaeyang Lee氏の着眼点がすごいと思う。 長年の経験と嗅覚から立てた初期仮説があってこそのAI利活用を体現されている

今年のセキュリティ・キャンプではL1『暗号・CVMビルド&スクラップゼミ』の講師を拝命しました. @dd_cliffford さんとの合同ゼミです. #l1" target="_blank" rel="nofollow noopener">ipa.go.jp/jinzai/securit…

発売中の弊誌2026年4月号の中から人気の連載記事をいくつか紹介します。1つめは「暗号のひみつ」です。今回はRSA署名について解説します。ちなみに、今回の記事では「署名≠『秘密鍵で暗号化』」という話が出てきます。これについては、当編集部も苦い思い出があります。とあるセキュリティ特集でデジタル署名について説明するときに、「署名とは秘密鍵で暗号化すること」と不正確な記載をしてしまったことが何度かあります。そのたびに、読者のみなさんから厳しいご指摘を受けました。 本記事にも次のように説明されています。 DSAやECDSA、EdDSAなどの署名アルゴリズムでは、署名と検証は暗号化と復号のような逆演算の関係ではありません。つまり「署名は秘密鍵で暗号化」という説明は、RSAアルゴリズムの文脈に限定して使えるもので、ほかの署名アルゴリズムには当てはまりません。 みなさんもご注意ください。

13日は偶然なのか、金融庁と日銀からVCの資料が公開されてて必読。1つが「金融機関による本人確認におけるVCの利用可能性を検証」、もう1つが「デジタル社会におけるアイデンティティ証明を支えるVerifiable Credentialsの概要と規格開発の動向」 x.com/surblue/status… x.com/surblue/status…

先日、2月に開催された第26回情報セキュリティ・シンポジウム「ポスト量子時代の暗号技術」に参加し、楽しく拝聴させていただきました。 特に、魔法状態蒸留からRSAの解読に必要な量子ビット数までのお話がとても面白く勉強になりました。

第26回情報セキュリティ・シンポジウム「ポスト量子時代の暗号技術」の講演資料を掲載しました (2026/03/05) imes.boj.or.jp/jp/conference/… これ、参加しましたが、 パネルディスカション 「金融分野における耐量子計算機暗号への移行」 １時間という短い時間の割には、面白かった。

RFC 9849 TLS Encrypted Client Hello rfc-editor.org/rfc/rfc9849.ht… RFCめでたい！

RFCの対訳サイトに掲載している各RFCの要約を全て最新化しました（Geminiの出力に差し替えました）。 2年前のGPT版と比べて改善されたほか、ジョークRFCはしっかり「ジョーク」と明記されるようになりました。 tex2e.github.io/rfc-translater…

gemini-cliでタスクを数時間以上動かしていたら「JavaScript heap out of memory」でエラー落ちする事象がもうすでに3回以上発生している...

確定申告書の送信までおわった。マイナンバーカード様々です。あとは忘れずに納付するだけ

世界中で1億回以上インストールされたVS Code拡張機能に重大な脆弱性が見つかった。悪用されればローカルファイルの窃取や任意コード実行が可能となり、開発者の端末から組織全体へ侵害が拡大する恐れがある。未修正の欠陥も残る。 対象はLive Server、Code Runner、Markdown Preview Enhanced、Microsoft Live Previewの4拡張で、研究者は1つの悪意ある拡張や単一の欠陥でも横展開が可能だと警告した。CVE-2025-65717はLive Serverに存在し、localhost:5500で動作する開発用サーバーからファイルを窃取できる。CVE-2025-65716はMarkdown Preview Enhancedで細工された.mdファイルにより任意のJavaScript実行が可能となる。CVE-2025-65715はCode Runnerで設定ファイル改変を通じたコード実行を許す。Microsoft Live Previewにも類似の問題があり、バージョン0.4.16で修正されたがCVEは付与されていない。対策として不要な拡張の削除、未信頼設定の回避、拡張の更新、未使用時のlocalhostサービス停止などが求められている。 thehackernews.com/2026/02/critic…

>RT Pythonのcryptographyパッケージは脆弱性（CVE-2026-26007）見てヒヤッとしたけど、今回の脆弱性の影響はSECTの楕円曲線だけで、普段使うのはSECPだから思ったより影響なさそうで安心した

Pythonの暗号ライブラリに深刻な欠陥が見つかり、楕円曲線暗号の根幹を揺るがしている。細工された公開鍵を受け取るだけで秘密鍵の一部が漏えいする恐れがあり、広範なアプリに影響が及ぶ可能性がある。攻撃は巧妙なサブグループ攻撃によって成立する。 暗号化機能を提供するcryptographyパッケージで確認されたCVE-2026-26007は、公開鍵の検証不足に起因する脆弱性である。load_pem_public_keyやpublic_key_from_numbersなどの関数は、受け取った点が素数位数の部分群に属するかを確認していなかった。その結果、攻撃者が小さな位数を持つ点を送り込むと、楕円曲線ディフィー・ヘルマンで計算される共有秘密から秘密鍵の下位ビットが漏れる。同様の問題はECDSAにも及び、小規模な部分群上では署名の偽造が容易になると指摘されている。影響を受けるのはSECT曲線を利用する実装に限られるが、当該曲線を採用するシステムでは秘密情報の完全な復元につながる恐れもある。開発チームはバージョン46.0.5で修正を行い、利用者に速やかな更新を求めている。 securityonline.info/cve-2026-26007…

金融研究所では、2月27日（金）に、情報セキュリティ・シンポジウム「ポスト量子時代の暗号技術」を開催します。暗号を解読できる量子コンピュータの実現に備え、暗号技術の最新動向や安全な暗号への移行対応について講演等を行います。 imes.boj.or.jp/jp/conference/…

ドメイン名がなくてもHTTPSが使える時代が到来した。Let's EncryptがIPアドレス向けTLS証明書の一般提供を開始し、自宅サーバーや一時的な検証環境でも暗号化通信が容易になった。 Let's Encryptは1月15日から、IPv4およびIPv6のIPアドレスに対するTLS証明書と、短期間有効な証明書の提供を正式に開始した。従来はDNS名に紐づく証明書が前提だったが、これにより生のIPアドレスでもHTTPS通信が可能となる。IPアドレス証明書は有効期間160時間と短く、IPの割り当て変更が頻繁な特性を踏まえた設計だ。あわせてドメイン名向けの短期証明書も選択制で提供され、有効期間を6日に短縮することで鍵漏えい時の影響を最小化する。ACMEクライアントでshortlivedプロファイルを指定し、HTTP-01やTLS-ALPN-01で検証することで取得できる。Let's Encryptは将来的に通常証明書の有効期間も45日へ短縮する方針を示している。 linuxiac.com/lets-encrypt-l…

今年の連載ネタはすでに12個以上確保したので、精神衛生上とても良い状態になった

@DevNyon ありがとうございます、励みになります！

@tex2e 12月号、買いました。特別企画、ありがとうございます😊🍀

Software Designの連載は「乱数」から「暗号」へ。新連載でも、引き続き身近な技術の裏側を深掘りしていきます。初回はマイナンバーカードについてです。興味のある方はぜひ！

11/18発売の『Software Design 2025年12月号』では、特別企画として量子コンピュータの読み切り記事があります。 私（本誌編集長）は恥ずかしながら、この記事を読むまでは「量子コンピュータならどんな問題でも従来のコンピュータよりも高速に計算できる」と思っていました。しかし、今回の記事を読んで、量子コンピュータにも速く計算できる問題とそうではない問題があることを知りました。そのような特徴があるからこそ、ポスト量子暗号が実現できるのですね。

暗号解読といえば量子コンピュータ...ということで、Software Design 2025年12月号にて、特別企画「量子コンピュータを支えるしくみ」を寄稿いたしました。 量子力学のトンネル効果から現代のポスト量子暗号までを幅広く書いております。お楽しみに！