[雑談] いろいろ。

• 「React」に新たな脆弱性 ～「React2Shell」への対策は不十分、最新版への更新を - 窓の杜

「React」に新たな脆弱性 ～「React2Shell」への対策は不十分、最新版への更新を／DoSやサーバー関数のソースコード露出につながる可能性

　UIライブラリ「React」（React.js）の開発チームは12月11日、「React Server Components」で新たな脆弱性が発見されたことを明らかにした。先日アナウンスされた「Re

https://forest.watch.impress.co.jp

• Denial of Service and Source Code Exposure in React Server Components – React

Denial of Service and Source Code Exposure in React Server Components – React

The library for web and native user interfaces

https://react.dev

• React2Shellによって実行されるマルウェアZnDoorについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社

React2Shellによって実行されるマルウェアZnDoorについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社

テクニカルブログ React2Shellによって実行されるマルウェアZnDoorについて

https://jp.security.ntt

• パスワード変更も意味がない、クラウドを侵害し続ける悪意ある「OAuthアプリ」の実態：セキュリティベンダーProofpointが公開 - ＠IT

パスワード変更も意味がない、クラウドを侵害し続ける悪意ある「OAuthアプリ」の実態

Proofpointは、悪意あるOAuthアプリケーションによる永続的クラウド侵害の実態を公開した。パスワード変更やMFA適用後も攻撃者のアクセスは継続し、4日間続いた実例も確認された。

https://atmarkit.itmedia.co.jp

• あなた自身がマルウェア実行犯に？ コピー＆ペーストを悪用する新手のサイバー攻撃「ClickFix」の脅威と対策【読めば身に付くネットリテラシー】 - INTERNET Watch

あなた自身がマルウェア実行犯に？ コピー＆ペーストを悪用する新手のサイバー攻撃「ClickFix」の脅威と対策【読めば身に付くネットリテラシー】

　キヤノンマーケティングジャパン株式会社が発表した「2025年上半期サイバーセキュリティレポート」によると、「ClickFix（クリックフィックス）」攻撃が急増しているそうです。セキュリティ製品「ES

https://internet.watch.impress.co.jp

• LINE、年末年始に向けたセキュリティ強化を呼びかけ　アカウント乗っ取り・詐欺被害に注意喚起 - ケータイ Watch

LINE、年末年始に向けたセキュリティ強化を呼びかけ　アカウント乗っ取り・詐欺被害に注意喚起

　LINEは、LINEアカウントの不正利用を目的とした詐欺行為が報告されているとして、ユーザーに注意を呼びかけている。これらの詐欺は、SMSやメールで不正なURLをクリックさせたり、個人情報を入力させ

https://k-tai.watch.impress.co.jp

• ハウステンボス、大規模漏えいの可能性　顧客150万人の個人情報、役職員・取引先のマイナンバー情報など - ITmedia NEWS

ハウステンボス、大規模漏えいの可能性　顧客150万人の個人情報、役職員・取引先のマイナンバー情報など

顧客約149万9300人分の氏名や住所、役職員とその家族約3万7300人分の氏名やマイナンバー情報、健康診断結果、障がいに関する情報、取引先約9400人分の氏名やマイナンバー情報などが漏えいしたおそれ

https://www.itmedia.co.jp

• 警視庁の「デジポリス」装う偽アプリに注意　捜査名目でダウンロードさせる詐欺手口 - ITmedia NEWS

警視庁の「デジポリス」装う偽アプリに注意　捜査名目でダウンロードさせる詐欺手口

警視庁の防犯アプリ「デジポリス」を装った偽アプリが確認されているとして、警視庁生活安全部が公式Xで注意を呼び掛けている。警察官をかたり、「捜査目的」として現金などをだまし取るニセ警察詐欺において、偽ア

https://www.itmedia.co.jp

• AIブラウザーに潜む落とし穴--ガートナーが企業に利用停止を求める理由 - ZDNET Japan

AIブラウザーに潜む落とし穴--ガートナーが企業に利用停止を求める理由

ガートナーは、企業に対してエージェント型ブラウザーの使用を当面ブロックするよう警告した。AIがワークフローを変革する可能性を持つ一方で、セキュリティよりも利便性が優先されるデフォルト設定が「重大なサイ

https://japan.zdnet.com

• 【衝撃】シンギュラリティは2045年じゃなかった！？専門家が語る「2025-2029年到来説」の真実｜むぎ屋@生成AI×仕事

【衝撃】シンギュラリティは2045年じゃなかった！？専門家が語る「2025-2029年到来説」の真実｜むぎ屋@生成AI×仕事

こんむぎわ〜♪ 今日もむぎ屋のnoteに来てくれて、本当にありがとうございます！(´∀`) 今日はですね、皆さんに絶対に知ってほしい、めちゃくちゃ重要な情報があるんです。 「シンギュラリティ」っ

https://note.com

• OpenAI、「GPT-5.2」発表　「Gemini 3」の“コードレッド”後、性能を大幅強化 - ITmedia AI＋

「GPT-5.2」登場　「Gemini 3」の“コードレッド”後、性能を大幅強化

OpenAIは、Googleの「Gemini 3」に対抗し、最新フロンティアモデル「GPT-5.2」を発表した。知的労働タスクのベンチマークで人間を超える割合が70.9％に向上。ChatGPTの有料プ

https://www.itmedia.co.jp

• OpenAIが「GPT-5.2」を緊急事態「コードレッド」発令からわずか1カ月足らずでリリース、猛追するGoogleへ反撃となるか - GIGAZINE

OpenAIが「GPT-5.2」を緊急事態「コードレッド」発令からわずか1カ月足らずでリリース、猛追するGoogleへ反撃となるか

OpenAIがChatGPT向けAIモデルの最新ファミリーであるGPT-5.2をリリースしました。このリリースは、サム・アルトマンCEOが2025年12月初めに社内向けに出した「コードレッド」宣言に基

https://gigazine.net

• VPNは廃止しなければならないのか｜hayapi

VPNは廃止しなければならないのか｜hayapi

この記事は、corp-engr 情シスSlack（コーポレートエンジニア x 情シス）#1 Advent Calendar 2025の11日目の記事です。

https://note.com

• 死にそうで死なない背水のセキュリティ対策

死にそうで死なない背水のセキュリティ対策

https://zenn.dev

• ASCII.jp：Power Automateで“祝日を除く”平日だけフローを自動処理させるには？ (1/3)

Power Automateで“祝日を除く”平日だけフローを自動処理させるには？ (1/3)

Power Automateには、毎週の「決まった曜日／時間」にフローを自動実行できる「スケジュール済みクラウドフロー」機能があります。ただし、これだけでは「祝日の場合は実行しない」というコントロール

https://ascii.jp

• “グエー 死んだンゴ…” 父も知らなかった「22歳の遺言」　“ぼっち”ではなかった息子の生きざまが起こした奇跡（FNNプライムオンライン） - Yahoo!ニュース

“グエー 死んだンゴ…” 父も知らなかった「22歳の遺言」　“ぼっち”ではなかった息子の生きざまが起こした奇跡（FNNプライムオンライン） - Yahoo!ニュース

今年10月12日…札幌の病院で、1人の青年が静かに息を引き取った。 中山奏琉（かなる）さん、享年22。 その早すぎる死に、父・和彦さんは… 父・中山和彦さん: 1日でも長く生きてほしいっていう思い

https://news.yahoo.co.jp

[雑談] いろいろ。

• LINEヤフー、「バグ発見で報奨金」一時停止　参加者による検証でユーザー情報漏えい - ITmedia NEWS

LINEヤフー、「バグ発見で報奨金」一時停止　参加者による検証でユーザー情報漏えい

報奨金プログラム参加者は、9月の「LINE公式アカウント」のチャット機能でバグを検証。その際、同じ通信経路でサービスを利用していたユーザーの一部で誤表示が起きた。

https://www.itmedia.co.jp

• CVE-2025-55182の原理を詳細に解説！ - Speaker Deck

CVE-2025-55182の原理を詳細に解説！

https://speakerdeck.com

• React Server Componentsの脆弱性（CVE-2025-55182）について

React Server Componentsの脆弱性（CVE-2025-55182）について

https://www.jpcert.or.jp

• Over 644,000 Domains Exposed to Critical React Server Components Vulnerability

Over 644,000 Domains Exposed to Critical React Server Components Vulnerability

The Shadowserver Foundation has released alarming new data regarding the exposure of web application

https://cybersecuritynews.com

• “国産セキュリティ”復権に向け競合45社が結集、「日本サイバーセキュリティ産業振興コミュニティ」発足|EnterpriseZine（エンタープライズジン）

“国産セキュリティ”復権に向け競合45社が結集、「日本サイバーセキュリティ産業振興コミュニティ」発足

ソフトウェア協会は12月9日、「日本サイバーセキュリティ産業振興コミュニティ（NCPC）」の発足を発表し、同日に発足を記念したイベントを開催した。 発足イベントの様子 同コミュニティでは、日本の

http://enterprisezine.jp

• 「ン」と「ソ」の認識境界ってどこ？｜原因地

「ン」と「ソ」の認識境界ってどこ？｜原因地

前置き サイバーエージェント AI Lab リサーチサイエンティストの原口です。 普段はビジュアルデザインインフォマティクス（ビジュアルデザインの情報学的解析）に関する研究を行っております。 今回

https://note.com

[雑談] いろいろ。

• 中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も - GIGAZINE

中国製KVMにひっそりマイクが搭載されていることが判明、中国拠点のサーバーと通信している痕跡も

中国に拠点を置くSipeedの製品「NanoKVM」に、SSH経由で起動可能な未記載のマイクが搭載されていることが分かりました。

https://gigazine.net

• React2Shell (CVE-2025-55182) で気付いた React Server Components のセキュリティの盲点

React2Shell (CVE-2025-55182) で気付いた React Server Components のセキュリティの盲点

https://zenn.dev

• 「公開から数時間で攻撃開始」― React2Shellが突きつけた、シグネチャ型WAFの限界 #Security - Qiita

「公開から数時間で攻撃開始」― React2Shellが突きつけた、シグネチャ型WAFの限界 - Qiita

Check Point マーケティング 大植です。 12月になって「React2Shell」の脆弱性や、関連した攻撃の報告が相次いでいます。 年末の脆弱性の対策としては、ちょうど4年前の2021年12

https://qiita.com

• Next.js Releases Scanner to Detect and Fix Apps Affected by React2Shell Vulnerability

Next.js Releases Scanner to Detect and Fix Apps Affected by React2Shell Vulnerability

fix-react2shell-next, designed to automatically detect and patch applications affected by the severe

https://gbhackers.com

• GitHub - mrknow001/RSC_Detector: Supports RSC fingerprinting and exploitation of the React component vulnerability CVE-2025-55182.

GitHub - mrknow001/RSC_Detector: Supports RSC fingerprinting and exploitation of the React component vulnerability CVE-2025-55182.

Supports RSC fingerprinting and exploitation of the React component vulnerability CVE-2025-55182. -

https://github.com

• ASCII.jp：LINE公式アカウントで情報漏えいか　送受信メッセージも対象に

LINE公式アカウントで情報漏えいか　送受信メッセージも対象に

LINEヤフーは、「LINE公式アカウント」で、ユーザー情報や企業情報が誤って表示される不具合が発生し、一部情報が漏えいした可能性があると発表した。

https://ascii.jp

• sudoをパスワードレス認証で使いたい | IIJ Engineers Blog

sudoをパスワードレス認証で使いたい | IIJ Engineers Blog

【IIJ 2025 TECHアドベントカレンダー 12/9の記事です】 昨年は「SSHでも二要素認証を使いたい」のタイトルでご紹介したSSHで二要素認証を利用す...

https://eng-blog.iij.ad.jp

• 日本サイバーセキュリティ産業振興コミュニティ(NCPC)設立、国産セキュリティ産業育成 | Web担当者Forum

日本サイバーセキュリティ産業振興コミュニティ(NCPC)設立、国産セキュリティ産業育成

国内セキュリティ関連企業が協力する新団体、官民連携を強固にして知見や技術を共有

https://webtan.impress.co.jp

• A more modern interface for viewing PDFs, videos, images, and audio files in Google Drive on the web

Google Workspace Updates: A more modern interface for viewing PDFs, videos, images, and audio files in Google Drive on the web

https://workspaceupdates.googleblog.com

• そこ！どこ？そこ！｜さすらい

そこ！どこ？そこ！｜さすらい

今からかなり昔、やたら顔がいい男と付き合っていた。 海上自衛隊員だったその人は、九州某所にある自衛隊員専用の団地？みたいなところに住んでいたので、そこによく泊まりに行っていた。 自衛隊員って、なん

https://note.com

• 「チンパンジーが配属されてきたら」問題は、なぜ「誤読」ではないのか──HRTechが踏まえるべき国際的な倫理ライン｜株式会社 七夕研究所

「チンパンジーが配属されてきたら」問題は、なぜ「誤読」ではないのか──HRTechが踏まえるべき国際的な倫理ライン｜株式会社 七夕研究所

今回問題になった記事はすでに削除されていますし、ここでリンクも引用もしません。ただ、構造だけは確認しておきます。 タイトルは「チンパンジーが配属されてきたら、あなたはどうマネジメントする？」

https://note.com

[雑談] いろいろ。

• React Server Componentsの脆弱性 CVE-2025-55182（React2Shell）についてまとめてみた。 - piyolog

React Server Componentsの脆弱性 CVE-2025-55182（React2Shell）についてまとめてみた。 - piyolog

2025年12月3日、JavaScriptライブラリ Reactを開発するThe React Teamは、React Server Componentsに深刻な脆弱性が確認されたとして脆弱性情報を公開

https://piyolog.hatenadiary.jp

• 結局なぜRCEが発生するのか？react2shell PoC研究レポート (途中)

https://zenn.dev/calloc134/articles/poc-report-for-personal

https://zenn.dev

• How to detect React2Shell with Burp Suite | Blog - PortSwigger

How to detect React2Shell with Burp Suite

React2Shell vulnerabilities in Next.js applications are now scannable across Burp Suite.

https://portswigger.net

• 快活CLUB不正アクセスと“天才ハッカー美談”の危うさ──真面目な技術者を傷つける誤った称賛 | おたくま経済新聞

快活CLUB不正アクセスと“天才ハッカー美談”の危うさ──真面目な技術者を傷つける誤った称賛 | おたくま経済新聞

快活CLUB公式アプリへの不正アクセスで会員情報700万件超が漏えいした事件で、高校2年の男子生徒が逮捕された。ネットでは「将来有望なホワイトハッカー」と称賛する声もある一方、技術者からは美談化への強

https://otakuma.net

• グーグルが「復旧不能なGmailハッキング」を調査中——ユーザーをアカウントから締め出す手口 | Forbes JAPAN 公式サイト（フォーブス ジャパン）

グーグルが「復旧不能なGmailハッキング」を調査中——ユーザーをアカウントから締め出す手口 | Forbes JAPAN 公式サイト（フォーブス ジャパン）

私はグーグルのセキュリティについて、たくさんの記事を書いている。なかでも世界で最も人気のある無料メールプラットフォームでありアクティブユーザーが20億人に達するGmailについての記事も多い。その多く

https://forbesjapan.com

• 【AWS re:Invent 2025】AWSサービスを使って能動的防御を実践 - カミナシ エンジニアブログ

【AWS re:Invent 2025】AWSサービスを使って能動的防御を実践 - カミナシ エンジニアブログ

はじめに カミナシの認証認可チームのmanaty（@manaty226）です。今年もラスベガスにて12月1日から12月5日まで開催されているre:Inventに参加しています。この記事では、最終日に参

https://kaminashi-developer.hatenablog.jp

• クラウドフレアでまた障害　APIで問題　Zoomやメルカリなどつながりにくく【追記あり】 - ITmedia NEWS

クラウドフレアでまた障害　APIで問題　Zoomやメルカリなどつながりにくく【追記あり】

12月5日午後6時ごろから、CDN（コンテンツ・デリバリー・ネットワーク）サービス「Cloudflare」で障害が発生している。ダッシュボードやAPIで問題が発生しているという。

https://www.itmedia.co.jp

• 各種ウェブサイトやアプリで大規模障害発生中、Cloudflareが再度ダウンしDownDetectorすら落ちる - GIGAZINE

各種ウェブサイトやアプリで大規模障害発生中、Cloudflareが再度ダウンしDownDetectorすら落ちる

2025年12月5日17時59分時点で、多数のウェブサイトやアプリで接続障害が発生しています。Cloudflareが問題の発生を報告しています。

https://gigazine.net

• GoogleのAIエージェントがユーザーのHDD全体を許可なく消去する致命的ミスをやらかす - GIGAZINE

GoogleのAIエージェントがユーザーのHDD全体を許可なく消去する致命的ミスをやらかす

GoogleによるAI搭載エージェント型統合開発環境「Google Antigravity」を使用していた開発者が、AIによって許可なくDドライブ全体が削除されてしまったと報告しました。

https://gigazine.net

• AI誤処理でHDD内データ全消去…Google製AIエージェントはフィードバック受け謝罪も復旧ならず | Game*Spark - 国内・海外ゲーム情報サイト

AI誤処理でHDD内データ全消去…Google製AIエージェントはフィードバック受け謝罪も復旧ならず | Game*Spark - 国内・海外ゲーム情報サイト

AIの誤操作で大切なデータが一瞬にして消えました。

https://www.gamespark.jp

• DeNA、「AIエンジニアが本気で作った」LLM勉強会資料とコードを全公開　非エンジニアも学べる - ITmedia AI＋

DeNA、「AIエンジニアが本気で作った」LLM勉強会資料とコードを全公開　非エンジニアも学べる

「プロンプトチューニングでうまくいかないときに……『指示をどんどん足しまくらないで！』」

https://www.itmedia.co.jp

• WindowsのドライブレターはA～Z以外も実は使える - GIGAZINE

WindowsのドライブレターはA～Z以外も実は使える

Windowsのファイルシステムを語る上で、ドライブレターは最も特徴的なものの一つです。コマンドプロンプトやエクスプローラーといったツールでディレクトリ構造の頂点に位置するドライブレターは、あまりコン

https://gigazine.net

• Chromeブラウザの「分割表示」が便利すぎる　2つのページを単一タブで表示、生産性大幅向上 - CNET Japan

Chromeブラウザの「分割表示」が便利すぎる　2つのページを単一タブで表示、生産性大幅向上

Google Chromeが最新版で待望のSplit View（分割表示）を正式実装。1つのタブ内で画面を左右に分割し、2つのページを同時表示可能に。作業効率が大幅に向上する新機能の使い方、活用例、S

https://japan.cnet.com

• 【解説】展示「あの職員室」の中にあったもの（ネタバレ有）｜展示「あの職員室」11/15〜12/7

【解説】展示「あの職員室」の中にあったもの（ネタバレ有）｜展示「あの職員室」11/15〜12/7

この記事は2025年11月15日〜12月7日に開催された、展示「あの職員室」の解説記事です。 「あの職員室」公式サイトはこちら 本展示は、現在のところ再演を予定しておりません。そのため、体験いただ

https://note.com

• チンパンジーが配属されてきたら、あなたはどうマネジメントする？ #ポエム - Qiita

チンパンジーが配属されてきたら、あなたはどうマネジメントする？ - Qiita

予防線を張る ※この記事に登場する人物・団体はすべてフィクションであり、実在の人物・団体とは一切関係ありません。また、この記事は個人が書いたものをそのまま投下しているため、所属組織の見解とは異なる可能

https://web.archive.org

[雑談] いろいろ。

• 「React」「Next.js」に重大なリモートコード実行の脆弱性、CVSSの基本値は「10.0」 - 窓の杜

「React」「Next.js」に重大なリモートコード実行の脆弱性、CVSSの基本値は「10.0」／一刻も早い対応を

　UIライブラリ「React」（React.js）および「Next.js」で、認証なしにリモートコード実行が可能になる重大なセキュリティ脆弱性「CVE-2025-55182」が存在することが明らかにな

https://forest.watch.impress.co.jp

• 駿河屋、8月に公表した不正アクセスで最大3.4万件のクレジットカード情報漏えいの可能性 - INTERNET Watch

駿河屋、8月に公表した不正アクセスで最大3.4万件のクレジットカード情報漏えいの可能性　

　株式会社駿河屋は12月4日、同社が運営するECサイト「駿河屋.JP」において、8月8日に公表されていた不正アクセスに関する事案の続報を発表した。その後のフォレンジック調査の結果、クレジットカード情報

https://internet.watch.impress.co.jp

• 「駿河屋.JP」で発生した「不正アクセスによる個人情報漏えい」に関する調査が完了

「駿河屋」で発生した「不正アクセスによる個人情報漏えい」で約3万件のクレジットカード情報、個人情報が漏れた可能性。漏えいの可能性がある利用者には個別の連絡を実施

漏えいの可能性がある利用者には個別の連絡を実施。不正利用の検知や定期的な第三者診断などの再発防止策を進めていくとのこと

https://news.denfaminicogamer.jp

• 知らないと騙される!?　巧妙化したアカウント乗っ取り詐欺、“ハイブリッド型”の手口とは【読めば身に付くネットリテラシー】 - INTERNET Watch

知らないと騙される!?　巧妙化したアカウント乗っ取り詐欺、“ハイブリッド型”の手口とは【読めば身に付くネットリテラシー】

　アカウント乗っ取り（ATO：Account Take Over）詐欺についての緊急警告を、米国連邦捜査局（FBI）のインターネット犯罪苦情センター（IC3）が11月25日に発出しました。2025年1

https://internet.watch.impress.co.jp

• Z世代で“友人のInstagramアカウント乗っ取り”が流行？　いたずらで済まない不正アクセス禁止法違反　保護者が注意すべきこと - ITmedia Mobile

Z世代で“友人のInstagramアカウント乗っ取り”が流行？　いたずらで済まない不正アクセス禁止法違反　保護者が注意すべきこと

Z世代の間で、友達のInstagramを乗っ取る「遊び」が流行しています。推測しやすいパスワードで不正ログインし、DM盗み見や偽投稿を行いますが、これは「不正アクセス禁止法違反」となる犯罪行為です。被

https://www.itmedia.co.jp

• 連続強盗で悪用「シグナル」とは　無数にある秘匿アプリ、本来の用途 [東京都]：朝日新聞

連続強盗で悪用「シグナル」とは　無数にある秘匿アプリ、本来の用途：朝日新聞

　昨夏以降に首都圏で相次いだ強盗事件の一部を指示したとして、警視庁などが5日までに、20代の男4人を強盗致傷容疑などで逮捕した。離れた場所から「闇バイト」の実行役に指示するために使われたのは秘匿性の高

https://www.asahi.com

• 「Microsoft Teams」の新機能、出退勤時刻や現在地の特定が可能に - ZDNET Japan

「Microsoft Teams」の新機能、出退勤時刻や現在地の特定が可能に

働き方の多様化が進み、勤務状況の把握が難しくなる中で、ネットワーク接続に基づいて従業員の居場所や出退勤時間を特定する新機能が、「Microsoft Teams」に追加されることがわかった。

https://japan.zdnet.com

• なぜ私の上司はマネジメントが下手くそなのか | THE MOLTS

なぜ私の上司はマネジメントが下手くそなのか | THE MOLTS

私の上司は、よく「おれはマネジメントができない」と言っていた。本人もそれを自覚していて、冗談めかしてネタにするような人だ。 一方、私には別の悩みがあった。上司の説明を聞いても、「日本語として聞こえるの

https://moltsinc.co.jp

• AWS、古いメインフレームを36mの高さから投下＆爆破　「技術負債を解消しよう！」 - ITmedia NEWS

AWS、古いメインフレームを36mの高さから投下＆爆破　「技術負債を解消しよう！」

古いメインフレームをクレーンで約36mの高さまで吊り上げ、そこから投下。落下地点には爆薬が置いてあり、落ちていったメインフレームはそのまま大爆発──米AWSがこんな映像を公開した。

https://www.itmedia.co.jp

• 陸自の戦車も「飛んでくる弾を叩き落す!!」はずが…迷走する「防御の目玉」装備計画 実績あるシステムは“見ないふり？” | 乗りものニュース

陸自の戦車も「飛んでくる弾を叩き落す!!」はずが…迷走する「防御の目玉」装備計画 実績あるシステムは“見ないふり？” | 乗りものニュース

陸上自衛隊の10式戦車に搭載が検討されているアクティブ防護システム（APS）の選定が難航している模様です。有力候補と見られていたシステムが相次いで検証対象から外された背景には、何があるのでしょうか。

https://trafficnews.jp