「サンドボックス」関連の最新 ニュース・レビュー・解説 記事 まとめ

「トークンファーミング」では15万件超の侵害を特定：
そのnpmパッケージは安全か？　生成AIの悪用などで「トークン」を狙うソフトウェアサプライチェーン攻撃と対策をAWSが解説
AWSは、2025年に発生した一連のnpmサプライチェーン攻撃キャンペーンへの対応経験と、そこから得た知見を公開した。（2026/2/13）

セキュリティニュースアラート：
Claude拡張機能にCVSS10.0の脆弱性　現在も未修正のため注意
Claudeの拡張機能にカレンダーの予定から任意のコードを実行されるゼロクリック脆弱性が判明した。サンドボックスを介さない特権動作やコネクター間の信頼設計に構造的欠陥があり、現在も未修正のため注意を要する。（2026/2/13）

MCPサーバ導入の死角
情シスが震える「野良MCPサーバ」　AI連携が招く“裏口”のリスクは
Anthropicのプロトコル「MCP」はAI活用の幅を広げるが、セキュリティ機能が欠如している。MCPが凶器にならないようにするために、今すぐ講じるべき3つの防御策とは。（2026/2/9）

開発効率化に役立つコツとは：
Cursor開発チームが明かす、コーディングエージェントの7つのベストプラクティス
Cursor開発チームは、同社のCursor IDEを活用する上で、コーディングエージェントの性能を最大限に引き出すためのベストプラクティスを公開した。単なるコード生成にとどまらず、大規模なリファクタリングやテスト駆動開発の自動化が可能になる一方、その制御にはコツが必要だと指摘している。（2026/2/4）

Windowsフロントライン：
AIゴリ押し戦略が招いた代償　Windows 11変革期におけるMicrosoftの苦悩
AI推進の手を緩めないMicrosoftだが、ことWindows 11においてはAI戦略の見直しが迫られている。その現状を見ていこう。（2026/2/2）

Tech TIPS：
フリーソフトはマルウェアだった？　IT管理者が徹底すべき「安全なダウンロード」と検証の鉄則
利便性の高いフリーソフトウェアは業務効率化に寄与する一方で、マルウェア混入や改ざんのリスクと隣り合わせである。非公式ダウンロードサイトを介した攻撃が再燃する中、IT管理者には「公式サイトの真贋判定」から「Windowsサンドボックスによる動的解析」まで、多層的な防御姿勢が求められる。組織の安全を守るための具体的なチェックポイントを解説する。（2026/2/2）

CIO Dive：
EU AI法適用が延期　手続き負担でスタートアップや中小が成長できない
EU AI法の施行を16カ月延期する方針が示された。欧州の企業に対するAIやデータ、サイバーセキュリティの規則が簡素化される見通しだ。（2026/1/29）

価格も機能も譲れない：
PR：コストを抑えて無理なく始める“脱VPN”　ゼロトラスト導入の有力な選択肢とは
テレワークの定着に伴いVPNの脆弱（ぜいじゃく）性を狙った攻撃が増加している。コストや運用負荷に悩む企業が、強固なゼロトラストセキュリティ環境を手軽に構築する方法とは。（2026/1/26）

標的は重要インフラ企業の営業担当者　Socket報告：
npmとCDNが「フィッシングコードのホスティング」に悪用　標的型フィッシング攻撃の実態
Socketは、npmレジストリをホスティングおよび配布元として悪用した標的型フィッシング攻撃キャンペーンに関する調査報告を公開した。（2026/1/23）

北朝鮮のIT労働者に“おとり捜査”　「面接の身代わり募集」にセキュリティ研究者が応募、明らかになった手口とは
身分を偽装して海外企業で働き、情報や資産を盗もうとする北朝鮮のIT労働者たちに“おとり調査”を仕掛ける──アラブ首長国連邦のセキュリティ企業ANY.RUNが、セキュリティ研究者と共同でこんな取り組みを行った。調査の中で明らかになった、北朝鮮IT労働者の手口とは。（2026/1/21）

セキュリティニュースアラート：
VMware ESXiを狙う高度なエスケープ攻撃を解明　中国系脅威アクターの関与が浮上
HuntressはVMware ESXiへの高度なエスケープ攻撃を分析した。VPN認証情報の侵害からドメインを掌握後、公表1年前から準備されたゼロデイ攻撃でバックドアを設置する手法が判明した。パッチ適用とホスト監視の重要性を強調している。（2026/1/20）

新時代の産業サイバーセキュリティ（2）：
CRAで変わる産業サイバー対策：実務対応ポイントと最新動向
EUで成立したサイバーレジリエンス法（CRA）は、デジタル要素を持つ製品に対し、設計から市場投入後まで一貫したサイバーセキュリティ対策を義務付けている。EU市場に製品を供給する場合、EU域外の日本企業もCRA対応が必要となる。本稿では、CRA対応の要点を解説する。（2026/1/20）

業務計画やリソース配分を最適化：
数理最適化に使えるAIアシスタント「JijZept AI」β版、招待制で提供開始
数理最適化、量子コンピュータ向けのソフトウェアを開発するJijは、数理最適化の活用を支援するAIアシスタントサービス「JijZept AI」のβ版を招待制で提供開始した。（2026/1/16）

ソフトウェアサプライチェーン攻撃対策をGitHubが指南
「npm install」が命取り？　自己増殖ワーム「Shai-Hulud」の脅威
開発者が何げなくたたくコマンドが、組織への侵入経路になる――。GitHubが警告する、npm環境を狙った自己増殖型ワーム「Shai-Hulud」。その狡猾な侵入プロセスと、情シスが講じるべき防衛策とは。（2026/1/6）

攻撃数5倍増
「コピペ」で終わる社内システム　PowerShellを悪用する“自爆攻撃”の手口とは
高価なセキュリティ製品を導入しても、防ぎ切るのが困難な攻撃がある。従業員が自ら攻撃者の指示通りにコマンドを実行してしまう「ClickFix」だ。この脅威の手口と、IT部門が講じるべき対抗策を解説する。（2025/12/24）

セキュリティニュースアラート：
「データはどこにある？」に答えられない企業に襲う悲劇　2026年の動向予測
AI活用や規制対応、そしてデータの守り方――。2026年を見据え、企業のITと経営を根底から揺さぶる変化が同時に進もうとしている。ヴィーム・ソフトウェアが公開した2026年におけるテクノロジーとビジネスの動向予測とは。（2025/12/20）

CIO Dive：
失敗できない「金融コアシステム」刷新をまさかのAIで？　金融機関“脱メインフレーム”の秘策
当初はAI活用に慎重な姿勢を示していた、金融サービス会社のJPMorgan Chase。AIに対する疑念を“ある工夫”で払拭し、メインフレームで動くミッションクリティカルシステムのモダナイゼーションにAIを生かしている。（2025/12/19）

本田雅一のクロスオーバーデジタル：
徹底解説：iOS 26.2で解禁される「代替ストア・決済・ブラウザ」のメリットと、ユーザーが知っておくべきリスク
12月18日に配信された「iOS 26.2」は、日本における「スマートフォンソフトウェア競争促進法」への対応が盛り込まれている。iPhoneユーザーにどのような影響を与えるのか、まとめてみた。（2025/12/18）

セキュリティニュースアラート：
AIエージェントの10大リスクとは？　OWASPが最新リストを公開
OWASPはAIエージェント固有の脅威を整理した最新トップ10を公開した。ツール実行や連携を前提とする設計が新たな攻撃面を生み、開発・運用の安全対策の見直しを促している。（2025/12/13）

攻撃を水際で止めた企業に学ぶ
中堅・中小企業が「確実に再現できる」防御ポイント　侵入前に勝負を決める
事業内容や規模を問わず、さまざまな企業が攻撃の対象になっている中、攻撃リスクを前提に「侵入を水際で止める」ための取り組みが重要だ。海外事例から具体策を学ぼう。（2025/12/12）

Windowsフロントライン：
エージェントAI時代のWindowsはどうなる？　Microsoftの苦悩
AI時代に向けてWindowsはどうなるのだろうか。Microsoftの動向を追った。（2025/12/8）

PR：“本音を隠す部下”をリアルに再現　「AIロールプレイ」に見た実践学習の新境地とは
（2025/11/21）

92％の脆弱性（既知／人為的導入によるもの）を特定：
セキュリティリサーチャーの仕事もAIが代替？　OpenAI、「自律型」脆弱性検出AIエージェント「Aardvark」発表
OpenAIは、同社の「GPT-5」ベースのセキュリティ脆弱性検出AIエージェント「Aardvark」を発表した。（2025/11/11）

週末の「気になるニュース」一気読み！：
「PlayStation Portal」のクラウドストリーミング機能が正式に実装／ニコニコで一部のプレミアム会員が意図せず退会・解約されてしまう不具合
うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する連載。今回は、11月2日週を中心に公開された主なニュースを一気にチェックしましょう！（2025/11/9）

「スマホ新法」でAppleとGoogleの寡占はなくなる？　メリットと問題点を整理する
「スマートフォンにおいて利用される特定ソフトウェアに係る競争の促進に関する法律」（通称：スマホ新法）が、2025年12月18日に全面施行されます。スマートフォンのOSやアプリストア、ブラウザ、検索エンジンなどで寡占が進む中、公正な競争環境を整えることを目的にした新しい法律です。ただしセキュリティやサポート体制で課題も指摘されています。（2025/10/30）

Docker MCPカタログに含まれる200以上のツールを統合：
安全性を保つならやっぱりサンドボックス　AIエージェントから“外部ツールを安全に使う”ための仕組みを提供開始
Dockerと、クラウドサンドボックス「E2B」を提供するFoundryLabsが提携した。これによって、AIエージェントがE2Bから「Docker MCPカタログ」に含まれる200以上のMCPツールに直接アクセスできるようになった。（2025/10/30）

Microsoft、Xboxゲーム「Halo」を2026年にソニーPS5でもプレイ可能に
Microsoftは、Xboxの象徴であるゲーム「Halo」をソニーのPS5向けに2026年に提供すると発表した。25周年記念として、オリジナル作品「Halo: Combat Evolved」をUnreal Engine 5でフルリメイクし、「Halo: Campaign Evolved」として発売する。Xbox、PC、PS5間でのクロスプレイに対応する。（2025/10/27）

隔離されたサンドボックス環境で複数のコーディングタスクを並列実行：
安全なクラウド上の「Claude Code」をブラウザから利用できる「Claude Code on the web」が登場
Anthropicは、同社のエージェント型コーディングツール「Claude Code」をクラウドで稼働させ、Webブラウザから利用できるようにしたサービス「Claude Code on the web」を発表した。（2025/10/24）

Google、「プライバシーサンドボックス」を実質終了　関連技術のほとんどを廃止へ
Googleは、サードパーティCookie代替を目指す「プライバシーサンドボックス」の関連技術のほとんどを廃止し、プロジェクトを実質的に終了すると発表した。2019年の開始から約6年、広告業界の反発や規制当局の監視を受け合意形成が困難だった。ブランドも廃止するが、「CHIPS」など一部技術は維持し、プライバシー向上の取り組みは続ける。（2025/10/19）

ありがとう「Windows 10」　サポート終了日に10年間の歩みを振り返る
Windows 10のサポートが10月14日をもって終了する。それを記念（？）して、その歩みを筆者なりに振り返っていこうと思う。（2025/10/14）

Deep Insider Brief ― 技術の“今”にひと言コメント：
コード生成モデル「GPT-5-Codex」登場　単純タスクは高速に、複雑タスクは長く熟考
OpenAIの新モデル「GPT-5-Codex」は、単純タスクは一瞬で、複雑タスクは長時間熟考する“メリハリ思考”が特徴。Codex全体の環境アップデートも発表され、AIコーディングの実用性が一段と高まった。（2025/9/29）

セキュリティニュースアラート：
2025年ゼロデイ脆弱性の悪用最新動向　複数製品で見つかったリスク
Cybersecurity Newsは2025年に報告された主要なゼロデイ脆弱性の悪用状況を分析した。GoogleやMicrosoft製品、Citrix NetScalerといったインフラ製品などに悪用が進む脆弱性が見つかっている。（2025/9/25）

建設DX研究所と探る「建設DX最前線」（5）：
3D化と空間情報解析の“下水道DX”でインフラ老朽化に挑む　八潮道路陥没で実績【Liberaware解説】
建設DXの推進を目的に建設テック企業が中心となり、2023年1月に発足した任意団体「建設DX研究所」。今回は、八潮市の道路陥没事故や能登半島地震で、ドローン調査の実績があるLiberawareが、社会問題化するインフラ老朽化を解決すべく取り組んでいる建設DXのうち、とりわけ“下水道DX”について実例を交えて紹介します。（2025/10/7）

iOS 26、iPadOS 26でも同じ脆弱性を修正：
Apple、iOS 18.7とiPadOS 18.7を公開　アプリによるDoS攻撃やキーロガー問題などに対処
WebKitやカーネル、ショートカットなどで確認された脆弱性を修正。（2025/9/17）

Gartner Insights Pickup（414）：
バイブコーディングの可能性と課題
「バイブコーディング」は、生成AIとインテリジェントなコードアシスタントを活用し、開発者が意図を伝えるだけでソフトウェアを構築できる新たな手法だ。生産性向上や人材の多様化といった利点が期待される一方、コード品質やセキュリティといったリスクも指摘されている。（2025/9/12）

セキュリティニュースアラート：
Amazon SESを悪用したフィッシング詐欺　漏えいしたAWSキーが引き金に
Wizによると、漏えいしたAWSのアクセスキーが引き金となり、Amazon Simple Email Service（Amazon SES）が悪用された大規模なフィッシング詐欺が確認された。攻撃者は流出キーで送信制限を解除し、正規サービスを装って大量のフィッシングメールを送信している。（2025/9/10）

GitHubが“体を張って”検証：
VS Codeでプロンプトインジェクションを可能にする3つの脆弱性　GitHubが対策とともに解説
GitHubは2025年8月25日、公式ブログで、「Visual Studio Code」の「GitHub Copilot Chat」拡張機能のエージェントモードに見つかったセキュリティ脆弱性について解説した。（2025/9/1）

業務停止時間を最小限に：
PR：復旧にフォーカスした新たなランサムウェア対策アプローチ「Halcyon」の機能を徹底解説
ランサムウェアの進化によってEDRやバックアップだけでは被害の最小化が困難になっている。そんな中で注目されているのが、復旧まで視野に入れた新たなセキュリティコンセプト「RDR」だ。この概念を落とし込んだ製品技術を解説する。（2025/9/1）

AIビジネスのプロ　三澤博士がチェック　今週の注目論文：
AIエージェントにはLLMともまた違うセキュリティ常識がある　4つのリスクと2つの考え方
AIエージェントの活用に当たってはLLMとも違うセキュリティ常識を身に付けている必要がある。AIエージェントならではの問題点と発生原因、その対応策の考え方を解説する。（2025/8/20）

ウィザード形式で選択するだけで初期構築完了：
Google Cloudの初期構築を自動化する「Cloud Setup」　Googleが提供開始
Googleは2025年8月2日、クラウド環境の初期構築を自動化する新機能「Google Cloud Setup」を発表した。プロジェクト作成からセキュリティ設定までをガイド付きで進められるため、開発者や運用担当者の導入負担を大幅に軽減するという。（2025/8/20）

いま振り返る「Windows 10」の全て【第3回】
“Windows 11に移行しない”のも納得？　「Windows 10」はここまで進化した
2015年の登場以来、数々の進化を遂げてきた「Windows 10」。2025年10月のサポート終了を控える今、移行の検討材料として主要バージョンの特徴や改良点を時系列で振り返る。（2025/8/17）

認知バイアスで考えるサイバーセキュリティ：
8万4000通のメールを分析して判明した“高品質”なフィッシングの条件とは？
高度なフィッシングメールには人間心理の隙を巧妙に突いた文面が採用されています。本稿は8万4000通を分析して判明した“高品質”なフィッシングメールの条件と、これに対抗するための心理的アプローチを組み込んだ4つの防御策を紹介します。（2025/8/1）

DX最大の壁は「過去の成功」──花王が“必勝パターン”をあえて捨て、大ヒット商品を生み出せたワケ
時には過去の成功体験を捨て、思い切って新しい手法を試さなければならない。こうした学びを与えてくれるのは、経済産業省と東京証券取引所が「DX注目企業2025」に選定した花王の事例である。同社の常務執行役員で、デジタル戦略部門を統括する村上由泰氏に話を聞いた。（2025/7/31）

CIO Dive：
“PoC止まり”の生成AIプロジェクトに終止符を　PepsiCoのAWS活用事例に学ぶ
企業の生成AIプロジェクトに具体的な成果が求められる段階になっている。PoCから抜け出して事業に貢献するにはどうすればよいのか。PepsiCoの「Amazon Bedrock」導入事例が参考になりそうだ。（2025/7/24）

セキュリティニュースアラート：
AI検知を欺く新型マルウェアが登場　新時代の攻撃ベクトルの幕開け
チェック・ポイントは、AIによるセキュリティ検知を回避する新たなマルウェアを発見した。プロンプトインジェクションによってAIを誤認させることで検知回避を狙う目的があるとみられ、初めて確認された攻撃事例とされている。（2025/7/17）

iPhone用VPNの選定から導入までをおさらい【中編】
iPhone用「VPN」選びに迷ったらまず見ておきたい主要製品4選
VPNは、料金や機能などが異なるさまざまな製品が存在する。iPhoneを業務利用する企業が、自社の条件に合った製品を見つけるための参考にできる、主要なVPN製品4つを紹介する。（2025/7/6）

メタバースは終わってしまったのか？　“コロナ禍後の仮想空間”の現在地　日常として定着しないワケ
「メタバース元年」と呼ばれた2021年、仮想空間サービスが私たちの日常に定着するかのように思われた。しかし、いまやIT系のニュースと言えば、生成AIやAIエージェントなど、AIに関する話題一色に。果たしてメタバースは終わってしまったのだろうか？（2025/7/2）

AIビジネスのプロ　三澤博士がチェック　今週の注目論文：
AIエージェントを悪用した攻撃手法3選　対策の考え方にも転換が必要（前編）
AIエージェントのセキュリティ脅威に対し、学術界と産業界では新たな対策フレームワークの構築が活発化しています。どのような戦略的アプローチが有効なのでしょうか。最新の研究成果が示す新しい脅威分類と、それに対応する包括的セキュリティフレームワークの設計思想について解説します。（2025/6/25）

「生成AI」×ノーコードツール「Dify」で学ぶ、チャットbot構築のいろは（1）：
ノーコードで実現！　DifyでカスタマーサポートAIチャットbotを作成する
ノーコード／ローコードでAIアプリ構築を構築できるオープンソースプラットフォーム「Dify」を活用して、AIチャットbot作成のいろはを解説する本連載。初回は、Difyの概要や基本機能、料金体系を整理しながら、カスタマーサポート用チャットbotを作成する手順を分かりやすく解説します。（2025/6/19）

セキュリティニュースアラート：
偽CAPTCHAに用心を　Rust製の高度なマルウェア「EDDIESTEALER」が登場
Elastic Security Labsは、新型マルウェア「EDDIESTEALER」を発見した。偽のCAPTCHAで感染を誘導する他、Rustで開発されており解析が困難な構造となっている点が特徴だという。（2025/6/7）