「OAuth」関連の最新 ニュース・レビュー・解説 記事 まとめ

「Confluence」や「Microsoft Teams」に散らばる情報を自動集約：
Stack Overflow、社内の情報を自動集約する「Stack Internal」発表　MCP連携にも対応
Stack Overflowは、企業向けナレッジプラットフォーム「Stack Internal」を発表した。AIと人による協働により、信頼性の高いナレッジの蓄積を支援するという。（2025/12/4）

セキュリティニュースアラート：
Teamsに新機能「外部メールチャット」　利便性の一方でセキュリティリスクも
MicrosoftはTeamsに外部の人物と直接チャットを開始できる新機能を搭載すると発表した。Teamsを利用していない相手にもチャットの招待を送信できる。しかしこの機能にはセキュリティ懸念が指摘されている。（2025/11/11）

セキュリティベンダーProofpointが公開：
パスワード変更も意味がない、クラウドを侵害し続ける悪意ある「OAuthアプリ」の実態
Proofpointは、悪意あるOAuthアプリケーションによる永続的クラウド侵害の実態を公開した。パスワード変更やMFA適用後も攻撃者のアクセスは継続し、4日間続いた実例も確認された。（2025/11/5）

セキュリティニュースアラート：
npmに偽パッケージ10種　クロスプラットフォームで認証情報を窃取
Socketは、npmで偽のライブラリーパッケージが多段階の難読化技術と偽CAPTCHAを使い、認証情報を窃取する攻撃を報告した。開発環境やクラウド資格情報が流出する恐れがあるため、再設定と鍵更新を推奨している。（2025/10/31）

セキュリティニュースアラート：
Copilot Studioを悪用した新手のOAuth攻撃「CoPhish」　Datadogが警告
DatadogはMicrosoft Copilot Studioを悪用した新たなOAuthフィッシング手法「CoPhish」を発見した。攻撃者はOAuthトークンを奪取し、ユーザーデータに不正アクセスを実行する。（2025/10/29）

セキュリティニュースアラート：
OAuthアプリを悪用してクラウドに侵入　Proofpointが発見した新戦術
Proofpointは、OAuthアプリを悪用してクラウド環境内で恒久的な不正アクセスを維持する攻撃を確認した。攻撃者は内部アプリを偽装し、パスワード変更後も権限を保持する。定期的なアプリ監査と権限管理が防御に不可欠としている。（2025/10/24）

7つのマネージドサービス群がAWSの東京リージョンで利用可能に：
AIエージェントの本番運用を支援する「Amazon Bedrock AgentCore」リリース
Amazon Web Servicesは、AIエージェントの構築から本番運用までを支援するマネージドサービス群「Amazon Bedrock AgentCore」の一般提供を開始した。AIエージェント開発のライフサイクル全体を支援する7つのサービスが利用できる。（2025/10/15）

エンタープライズAI　導入実務の勘所（3）：
チャットbotの次は「AI駆動化」で業務改革　実証実験で見えた、AIとシステムの連携術
生成AIの業務活用は、人間を補助する「AI支援」から、AIが業務を主導する「AI駆動化」へと進化する。AI駆動化がもたらす生産性向上の可能性とは。具体的なユースケースを想定した検証結果を基に、成功の鍵と乗り越えるべき課題を明らかにする。（2025/10/8）

3つのポイントとは：
ITサポートをかたって従業員をだまし、Salesforceインスタンスのデータを盗み出す「UNC6040」　Googleが予防策を解説
Googleの脅威インテリジェンスグループは、「UNC6040」として追跡している脅威アクターによる、高度なソーシャルエンジニアリング攻撃や認証情報の侵害から組織を守るための予防策を解説する記事を公開した。（2025/10/6）

セキュリティニュースアラート：
Salesforce環境を狙う大規模データ窃取と恐喝手口　Mandiantが分析
Mandiantはサイバー攻撃グループ「UNC6040」によるSalesforce環境を標的とした攻撃の詳細を公表した。Salesforceの「Data Loader」を模倣した不正なアプリを使って、従業員を恐喝し、情報を窃取するという。（2025/10/3）

セキュリティニュースアラート：
Salesforceのデータ漏えい疑惑に対して集団訴訟勃発　「基盤に問題ない」と反論
Salesforceは顧客情報の不正流用を巡り、集団訴訟を含む15件以上の訴訟に直面している。原告はデータ流出により詐欺被害を受けたと主張しており、法的責任が問われている状況にある。（2025/9/30）

生成AI時代の“新標準”に隠れた課題
「MCP」が危ない――使うなら無視できない“5大リスク”とその解決策
生成AIツールと外部システムとの連携を促進する「Model Context Protocol」（MCP）。そのセキュリティリスクは、どのようなものなのだろうか。主要な5つのセキュリティリスクと、その対策を確認しよう。（2025/9/30）

「UUIDv7」生成関数を追加、OAuth 2.0認証に対応：
「PostgreSQL 18」公開　非同期I/O導入で性能が最大で3倍向上
オープンソースリレーショナルデータベースの最新バージョン「PostgreSQL 18」が公開された。（2025/9/26）

ITmedia Security Week 2025 夏：
役職者でも承認要求による犯行が後を絶たない――内部犯行が“見えない”3つの理由と明日からできる対策
2025年8月29日、「ITmedia Security Week 2025 夏」で、日本サイバーディフェンスの最高技術責任者（CTO）である名和利男氏が「企業利益を蝕むインサイダー脅威 - 不可視化する最新手口」と題して講演した。（2025/9/25）

Cybersecurity Dive：
Salesforce環境に不正アクセス、複数企業が相次いで被害を公表　攻撃者の目的は
Palo Alto Networksは2025年9月2日、同社のSalesforce環境が不正アクセスを受けたと発表した。複数の企業が同様の被害を公表しており、被害は拡大する恐れがある。（2025/9/30）

Cybersecurity Dive：
被害組織は700件超？　Salesforceインスタンスを狙ったデータ窃取の原因と対策を整理
Salesforceインスタンスを標的とした大規模なデータ窃取が発生した。本件で影響を受けたユーザーが取るべき対策は。ソフトウェアベンダー側の動向は。Googleの発表から整理する。（2025/9/7）

シャドーITに警鐘：
Salesforceが接続アプリの利用制限を強化　セキュリティモデルに関わる重大変更で管理者が取るべきアクションを詳説
Salesforceは2025年9月上旬より、組織のセキュリティ強化のため、未インストールの接続アプリケーションの利用を制限する新施策を段階的に導入することになった。この重大な変更には迅速な対応が必要だ。Salesforce MVP Hall of Fameの鈴木貞弘氏が、管理者に求められるアクションを詳説する。（2025/9/8）

「Salesloft Drift」導入企業に影響、サプライチェーンリスクが浮き彫りに：
Salesforceからのデータ窃取、Google、Cloudflare、Zscalerが被害　原因は連携していたサードパーティアプリの侵害
Googleの脅威インテリジェンスグループとMandiantは共同で、Salesforceインスタンスからの大規模なデータ窃取キャンペーンを注意喚起するセキュリティアドバイザリーを発表した。Salesforceを含むサードパーティープラットフォームに「Saleloft Drift」を連携していた全ての企業に対して注意を喚起している。（2025/9/3）

サクッと生成AI業務活用ガイド（3）：
RAGをノーコードで驚くほど簡単に構築してナレッジ活用　Google Cloudを使った方法とは
「RAGシステムの構築は専門家なしでは無理」ではありません。ソフトのインストールすらせずに、RAGを使ったAIチャットbotアプリの社内公開までをノーコード、数ステップでやることができます。今回はその方法を具体的に紹介します。（2025/9/4）

Webブラウザ操作ツールも：
AWSが発表した、AIエージェントの本格展開における課題に対処する機能とは
AIエージェントへの取り組みが活発化する中、AWSは本格運用を見据えたシステムの構築を助けるツール群を発表した。オープンをうたう一方で、同社ツールを活用することによる開発・運用負担の少なさをアピールしている。（2025/7/29）

可視化されないIDが新たな侵入口に
「非人間ID」保護が急務に　46％が侵害を経験、データ漏えいも相次ぐ
「ノンヒューマンアイデンティティー」（NHI）を巡るセキュリティリスクが顕在化している。人間以外のIDが攻撃対象領域となる中、企業はその可視化と管理体制の強化を迫られている。（2025/7/18）

AIモデル管理機能追加、Kubernetesへの移行も容易に：
「Docker Desktop 4.43」公開　MCPカタログ刷新の理由となった、npx/uvxを介するMCPサーバ実行の課題とは
Dockerは「Docker Desktop 4.43」の一般提供を開始した。Docker Model RunnerやMCPカタログ、MCP Toolkit、Gordonなど、さまざまな機能が強化されている。（2025/7/15）

74％の企業が「APIファースト」を採用：
APIセキュリティ徹底ガイド　脅威に備えるための「13の実践ポイント」を解説
TechTargetは「APIセキュリティのベストプラクティス」に関する記事を公開した。APIセキュリティを確保するために有用な13個の施策を紹介している。（2025/7/3）

「コーディング体験をパーソナライズする」：
進化が続くClaude Code　リモートMCPだけでなく、VS Codeにも公式で対応
Anthropicのエージェント型コーディングツール「Claude Code」がリモートMCPサーバをサポートしたと発表した。同じタイミングで「Visual Studio Code」でClaude Codeの機能を直接利用できる拡張機能も公開されている。（2025/6/27）

「2025年の崖」に続くSaaS課題とは
「レガシーSaaS」が招く“もう一つの崖”　クラウド4大問題にどう備える？
導入から数年経過したSaaSの老朽化は、「第二の2025年の崖」とも言える問題です。未然に防ぐために、情報システム部門が取るべき評価と対策を解説します。（2025/6/23）

MCPにおける認証、プロンプト、リソース、サンプリングとは：
VS Codeの新バージョンで「MCPの全機能をサポートした」とMicrosoftが発表
Microsoftは2025年6月12日、「Visual Studio Code」の最新版「May 2025」（バージョン1.101）が、MCPの全機能をサポートしたと発表した。（2025/6/19）

セキュリティニュースアラート：
8万以上のEntra IDが標的に　新たなサイバー攻撃「UNK_SneakyStrike」の詳細
Proofpointは、正規のセキュリティツール「TeamFiltration」を悪用しMicrosoft Entra IDを標的とするサイバー攻撃「UNK_SneakyStrike」の詳細を公開した。この作戦は数百の組織に属する8万以上の利用者資格情報を狙い、複数の侵害を成功させている。（2025/6/16）

自動コードレビュー、MCPサーバのワンクリックセットアップなどが利用可能に：
VS Codeフォーク、話題のAIコーディングエディタ「Cursor 1.0」公開　開発にどう便利なのか？
Anysphereは2025年6月4日、AIコーディングエディタ「Cursor」の正式版「Cursor 1.0」を公開した。自動コードレビュー機能の他、MCPサーバやOAuthにも対応している。（2025/6/10）

Xの大規模ダウン後、「X、xAI、Teslaにスーパーフォーカスする」とイーロン・マスク氏
Xの大規模ダウンを受け、イーロン・マスク氏は今後、X、xAI、Teslaに「スーパーフォーカスする」と表明。運用改善の必要性を強調し、24時間体制での業務復帰を示唆した。ダウンの長期化は「フェイルオーバー冗長性が機能しなかった」ためとしている。（2025/5/25）

外部ツールやデータと直接連携可能に：
「Claude」もリモートMCPサーバ対応　Anthropicが「インテグレーション」機能をリリース
Anthropicは、「Claude」に関する新機能「インテグレーション」機能を発表した。リモートMCPサーバを利用することで、さまざまなツールと連携でき、「複雑なプロジェクトを独立して処理する、知識豊富なチームメイトのような存在になる」という。（2025/5/14）

代表例から賢い選び方まで：
OAuthだけじゃない　現代のAPI開発者が知るべき「5つの基本戦略」（認証方式編）
TechTargetは2025年3月17日、「REST API認証のの基本戦略」に関する記事を公開した。REST API認証に効果の高いアプローチを採用すれば、ユーザーとそのデータを保護しつつ、システム間でのスムーズなデータ交換が可能になる。（2025/4/25）

セキュリティニュースアラート：
Google SitesやGoogle OAuthを悪用　巧妙な新型フィッシング攻撃を解説
Googleの旧サービスなどを悪用した巧妙なフィッシング攻撃が見つかった。正規の電子メールやOAuthを利用し、偽ページへの誘導や情報の詐取を可能にする新たな攻撃手法を注意喚起している。（2025/4/23）

Deep Insider編集長のネタ帳：
MCPに駆けろ！　AIが“外部サービスとつながる”新時代を誰でも簡単に体験する方法
「MCPってよく聞くけど、自分には関係ない？」──そんな人にこそ読んでほしい！　Claude Desktopを使えば、“AIが外部サービスとつながる新時代”を誰でも簡単に体験できます。MCPとは何か？　なぜ注目されているのか？　気になる課題や今後の進化まで、思いの丈を語りました。未来を切り開くのは、“今”試してみるその一歩かもしれません。（2025/4/10）

全てのClaudeプランでGitHubとの統合が利用可能に：
Anthropic、ハイブリッド推論モデル「Claude 3.7 Sonnet」とコマンドラインツール「Claude Code」公開　開発者をどう支援するのか
Anthropicは、大規模言語モデルと推論モデルのハイブリッドモデル「Claude 3.7 Sonnet」と、エージェントコーディングのためのコマンドラインツール「Claude Code」を発表した。（2025/2/28）

セキュリティニュースアラート：
AI企業DeepSeek　機密情報100万件漏えいの可能性――認証なしのDB公開が原因
Wizは、DeepSeekのClickHouseデータベースが認証なしで公開されていたことを発表した。機密情報にはチャット履歴、秘密キー、バックエンド情報など100万行超のログが含まれていた。（2025/2/1）

悪意のあるバージョンへと改ざん
セキュリティ企業のChrome拡張機能を“乗っ取り”　その巧妙な手口とは？
攻撃者がセキュリティベンダーCyberhavenの「Chrome拡張機能」を改ざんし、悪意のあるバージョンを「Chrome Web Store」で公開していたことが判明した。攻撃者はどのような手口を悪用したのか。（2025/1/17）

セキュリティニュースアラート：
Googleの認証システムに重大な欠陥　数百万のユーザーに影響する可能性
Googleの「Googleでログイン（Sign in with Google）」認証システムに重大な欠陥が見つかった。この欠陥を悪用すると、SlackやZoomなどのサービスに不正アクセスされる可能性がある。Google Workspaceユーザーは注意してほしい。（2025/1/16）

セキュリティニュースアラート：
OAuthを悪用した高度な攻撃「同意フィッシング」に注意　SaaS乗っ取りのリスク
正規のOAuthプロバイダーを悪用し、ユーザーに悪意のあるアプリへの権限付与を促す高度なサイバー攻撃「同意フィッシング」が確認された。SaaSの乗っ取りやChrome拡張機能の改ざんなど企業や個人に深刻な被害をもたらす可能性がある。（2025/1/8）

セキュリティニュースアラート：
誤操作を誘導する巧妙な攻撃手法「DoubleClickjacking」に要注意
Webサイト内の不正なリンクやボタンをクリックさせる攻撃手法クリックジャッキングの回避策が生み出されたものの、それをすり抜ける新たな攻撃手法「DoubleClickjacking」が登場した。（2025/1/7）

IAMでキャリア形成【前編】
「IDとアクセス管理」（IAM）の仕事は将来有望？　求められる基礎知識は
不正アクセスが頻発する中で重要性を増しているのがIDとアクセスの管理だ。「IAM」（IDおよびアクセス管理）に精通する人材のニーズは旺盛だ。IAM担当者に求められるスキルとは。（2025/1/7）

Cybersecurity Dive：
Snowflake、2025年後半までに単一要素認証の段階的廃止を発表　MFA義務化へ
Snowflakeはパスワードを使用した単一要素認証によるアクセスをブロックする方針を明らかにした。2025年11月までに多要素認証の導入を義務化するという。（2024/12/25）

Java開発をシンプルにする：
「Spring Framework」と「Spring Boot」の違い　Spring Bootが「こだわりのある」フレームワークな理由
Spring FrameworkとSpring Bootは、Java開発において異なる役割を持つツールだ。どのような目的を持って登場し、ソフトウェアアーキテクトやプログラマーにどう役立つのかを整理する。（2024/11/1）

答えは「IDaaS」だけではない：
PR：「オンプレ×クラウド」で実現するDX時代の認証基盤の作り方
クラウドシフトが進む中で、企業はセキュリティと柔軟性を両立する認証基盤の構築を模索している。IDaaSへのシフトを考えがちだが、答えはそれだけでない。ユーザーニーズを満たす認証基盤の構築法とは。（2024/9/27）

セキュリティニュースアラート：
Microsoft Entra IDに重大なセキュリティリスク　特権昇格の危険性
SemperisはMicrosoft Entra IDに特定のアプリケーションの特権アクションが許可されていることを報告した。これによって特権ロールへの追加や削除が可能であり、特権昇格の危険性があるとされている。（2024/8/15）

フルスタックフレームワーク、T3 Stack入門（4）：
ユーティリティーファーストなCSSフレームワーク「Tailwind CSS」のメリットとデメリットの克服方法
フロントエンドエンジニアに向けて、Webアプリケーション開発のためのフルスタックフレームワークT3 Stackを解説する本連載。第4回はユーティリティーファーストのCSSフレームワーク「Tailwind CSS」について解説する。（2024/7/31）

マイナンバーカードを使った本人確認を手軽に　デジタル庁が「デジタル認証アプリ」を公開　無料で利用可能
従来、導入に高いハードルがあった「マイナンバーカード」を使った本人確認システム。それを打破すべく、デジタル庁がスマホ向けの「デジタル認証アプリ」と、同アプリを利用するためのAPIの提供を開始する。アプリとAPIの提供は、6月24日から始まる（APIの利用には審査あり）。（2024/6/21）

ITmedia エグゼクティブセミナーリポート：
デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
GAFAを成功に導いたデジタルアイデンティティとは？　デジタルの世界で劣勢に立たされている日本が再び立ち上がるポイントとして、明治維新の歴史に学び、「デジタル変法」が必要だと呼びかけた。（2024/5/15）

セキュリティニュースアラート：
Dropboxがサイバー攻撃で不正アクセスされる　個人情報漏えいか
Dropboxは、サイバー攻撃者が同社のシステムに侵入し、ユーザーの個人識別情報にアクセスしたと報告した。（2024/5/8）

ChatGPTプラグインではなく、GPTsの利用を推奨：
「ChatGPTプラグイン」の脆弱性についてセキュリティ研究者が開発者に警告
TechTargetは、「ChatGPTプラグインの脆弱性」に関する記事を公開した。ChatGPTプラグインの脆弱性が発見され、OpenAIと2つのサードパーティーベンダーは修正対応した。だが、セキュリティベンダーの研究者は「ChatGPTプラグインには依然としてセキュリティリスクが存在する」と警告している。（2024/4/10）

セキュリティニュースアラート：
GitHubの機密データ漏えいは1277万8599件に　最も公開されている情報とは？
GitGuardianは2023年にGitHubのパブリックコミットで新たに検出された機密データが前年比で28％増であることを発表した。この4年間で機密データの漏えいは4倍に拡大している。（2024/3/14）