はじめに GMO Flatt Securityセキュリティエンジニアのcanalun、ryotaromosao、mn1、fujitargzです。 本ブログでは、2025年8月上旬に開催されたBSides Las Vegas、Black Hat USA 2025、DEF CON 33に弊社メンバーが参加した際の記録、および、特に興味深かったセッションの詳細についてお伝えします! なお、本稿の作成にあたっては各セッションの発表内容について可能な限り誤りがないように注...| GMO Flatt Security Blog
先日公開した記事「Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク」では、「8. Non Discoverable Credentialのフローとの混在」において、StrongKey FIDO Serverのアカウント乗っ取りが可能な脆弱性について言及しました。StrongKey FIDO Serverはオープンソースで提供されているFIDOサーバー製品です。 この脆弱性は、様々なセキュリティ的利点を持つPasskey認証であっても...| GMO Flatt Security Blog
XSSこわい 若頭: おいお前ら、なにかおもしろい遊びをしねえか。こんなにみんなで集まる機会もそうねえだろう エンジニア佐藤: そうですねえ、こんなのはどうでしょうか。人間誰しも怖いものが1つはありますから、それをみんなで教えあってみましょうよ 若頭: そりゃあおもしれえな。そうだなあ、おれはヘビが怖いね。ありゃ気味が悪くてしょうがねえ エンジニア...| GMO Flatt Security Blog
こんにちは、"エンジニアの背中を預かる" をミッションに掲げるGMO Flatt Security(以下、Flatt)です。 弊社はそのミッションの通り開発組織にとって体験の良いセキュリティサービスを提供しており、その関係で技術コミュニティに協賛・カンファレンスにブースを出展させていただく機会が比較的多いです。今回、5月に開催されたTSKaigi 2025に関しても例に漏れず協賛させ...| GMO Flatt Security Blog
こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段ですが、複雑な認証基盤の実装に不備があると、依然としてアカウント乗っ取りを含む従来のセキュリティリスクを払拭できません。 本記事で...| GMO Flatt Security Blog
TL;DR LLMガードレールはLLMの入出力を監視・制御する技術であり、LLMアプリケーションにおける様々な脅威への対抗策になります。しかし、あくまで役割は脅威の緩和・低減であるため、それぞれの脅威に対する根本的な対策をした上で、万が一の事故に備え文字通りガードレールとして導入する必要があります。 本文中では、RAGアプリケーションの利用する外部データ...| GMO Flatt Security Blog
万華鏡のように変化するテクノロジーの世界。かつて専門家が丹精込めて紡ぎ出していた『創造物』――精巧な絵画や心揺さぶる音楽、そして複雑なプログラムコードでさえも――が、今やAIによって驚くほど自然に、そして巧妙に生み出されています。その筆致やロジックのきらめきが、人間の手によるものか、それとも精緻なアルゴリズムの産物か。見分けることの...| GMO Flatt Security Blog
本稿は MCP のセキュリティを前後編で解説するものの後編です。前編では MCP のセキュリティを、利用者の視点から考察しました。 https://blog.flatt.tech/entry/mcp_security_first 後編となる本稿では、攻撃者視点から脅威や攻撃手法を整理します。そのうえで、日々増えていく MCP Server の提供者が、これらの脅威やセキュリティ課題をどのように考慮し対策を講じるべきかを解説...| GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの藤田(@fujitargz)です。 昨今のLLM(大規模言語モデル)の急速な進化にともない、LLMを活用したサービスが多数登場しています。しかし、業務改善・ビジネス活用を狙ってLLMを触ってみたものの、モデルの知らない最新情報や自社固有の情報への対応、回答の正確性などに頭を悩ませた方もいらっ...| GMO Flatt Security Blog
はじめに こんにちは。GMO Flatt Security株式会社セキュリティエンジニアの森(@ei01241)です。 近年、大規模言語モデル(LLM)の進化により、チャットボット、データ分析・要約、自律型エージェントなど、多岐にわたるAIアプリケーション開発が進んでいます。LangChainやLlamaIndexのようなLLMフレームワークは、LLM連携や外部データ接続などを抽象化し開発効率を向上させる一...| GMO Flatt Security Blog
はじめに こんにちは。GMO Flatt Security株式会社でコーポレートセキュリティエンジニアをしています、hamayanhamayanです。 様々な企業で生成AIの活用が進んでいることと思います。その流れは当社も例外ではなく、今年に入ってから、生成AIの全社的な利用、生成AIを利用した診断業務の効率化、生成AIを活用した製品開発と、怒涛のように生成AIの利活用が進んでいます。 ...| GMO Flatt Security Blog
本稿では、Amazon Bedrock を活用して生成 AI アプリケーションを開発する際に気をつけるべきセキュリティリスクや対策について紹介します。| GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社セキュリティエンジニアの松井(@ryotaromosao)です。 近年、LLM(大規模言語モデル)が目覚ましい進化を遂げており、それを利用したLLMアプリケーションが急速に増加しています。特に、AIチャット機能やエージェント機能が既存のサービスに搭載されるのを目にする機会も多いと思います。 しかしながら、LLM APIを用いたア...| GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社セキュリティエンジニアの石川(@ryusei_ishika)です。 近年、ChatGPT や Gemini などの大規模言語モデル(LLM)をはじめとする生成 AI の活用が急速に進んでいます。その一方で、これらの AI モデルに対する新たな攻撃手法である「プロンプトインジェクション」が注目を集めており、そのセキュリティリスクが問題視されています...| GMO Flatt Security Blog
はじめに こんにちは。GMO Flatt Security株式会社 ソフトウェアエンジニアの梅内(@Sz4rny)です。 一つ前の記事である「MCPにおけるセキュリティ考慮事項と実装における観点(前編)」では、MCP Server / Client のリスクについて紹介しました。本記事では、すこし観点を変えて「AI と認可制御」について検討します。 LLM を組み込んだサービスを実装している人も、LLM が組み込ま...| GMO Flatt Security Blog
MCP logo ©︎ 2024–2025 Anthropic, PBC and contributors | MIT license はじめに 本記事は、セキュリティエンジニアのAzaraこと齋藤とコーポレートセキュリティエンジニアのhamayanhamayanが、社内で行ったディスカッションを元に記述した記事です。 本記事は、MCP の利活用の際に考えるべき、セキュリティに関する考慮事項や、脅威の想定、実装時気にすべき観点などについてまとめたシ...| GMO Flatt Security Blog
はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの山川(@dai_shopper3)です。 LLMはテキスト生成、要約、質問応答といった多様な用途に高い能力を発揮しますが、単体での活用にはいくつかの制約があります。そもそもモデル単体には、ただ入力された自然言語に対して文字列を生成するだけの機能しかありませんから、LLMをもとに自律的に行動するAI...| GMO Flatt Security Blog
GMO Flatt Securityの大崎です。RubyKaigi 2025の弊社ブースで「バグバウンティクイズ」に回答いただいた皆様ありがとうございました。 私はブースには立ちませんでしたが、今回作問を担当しました。各脆弱性の解説ブログとして本記事を執筆させていただきます。 ブースでも主に紹介させていただいたセキュリティ診断AIエージェント「Takumi」に関しては以下のバナーより...| GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社セキュリティエンジニアの佐藤(@Nick_nick310)です。 近年、大規模言語モデル(LLM、 Large Language Models)の進化と普及は目覚ましく、多くのサービスや業務プロセスで生成AIとして活用されています。LLMは多大なメリットをもたらす一方で、その特性に起因する新たなセキュリティリスクも指摘されており、安全な活用のためには十...| GMO Flatt Security Blog
こんにちは。GMO Flatt Securityの@toyojuniです。 昨年に引き続き、今年もGMO Flatt Securityは3月1日(土)に池袋サンシャインシティにて開催されたJAWS DAYS 2025にPlatinum Supporterとして協賛し、ブースを出展させていただきました! JAWS DAYSとは 日本全国に60以上の支部をもつAWSのユーザーグループ「JAWS-UG」が主催するもので、参加は有料でありながら1000人以上が参加者として登録して...| GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security の小島です。 先週、GMO Flatt Securityでは日本初のセキュリティ診断AIエージェントである「Takumi」をリリースしました。Takumiは高度なセキュリティレビューを自律的に行えるAIです。 今回はこのリリースに関連し、機能開発におけるロジックの脆弱性を防ぐためのセキュリティ観点をまとめたスライドを公開しました。 AIエージェント...| GMO Flatt Security Blog
はじめに こんにちは。GMO Flatt Security株式会社の @toyojuni です。 弊社は "エンジニアの背中を預かる" をミッションにさまざまな開発組織のセキュリティをサポートしていますが、その主たるサービスがWebアプリケーション・Web APIの脆弱性診断です。今回、この脆弱性診断サービスの中でお客様に報告した1000個以上の脆弱性データをもとに、検出数ランキングの形でその...| GMO Flatt Security Blog
はじめに GMO Flatt Security は2025年3月5日「認可制御不備を検知できる自動診断機能」をリリースしました。 「Shisho Cloud byGMO」の認可制御診断でできること ロールベースアクセス制御も、マルチテナントアプリケーションの認可制御も、Shisho Cloudで自動診断 認可制御診断のセットアップはShisho AIで一瞬 Shisho AIがアプリケーションの仕様を把握し、権限ごとに可能な操作を...| GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security の小島です。弊社では、KENRO byGMO(ケンロー)という脆弱性への攻撃と修正で学ぶハンズオン演習に特化した、開発者向けのセキュアコーディング学習サービスを開発しています。 flatt.tech 本日はこのサービスに関連して、セキュアコーディング研修を始める上でどのような項目を検討すべきか、そしてその中で最も悩みのタネであ...| GMO Flatt Security Blog
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアryotaromosaoが日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK (@ryotkak)です。 数日前、自宅のネットワークをアップグレードする際に、ルーターのOpenWrtを更新することにしました1。OpenWrtのWebインターフェースであるLuCIにアクセスし...| Flatt Security Blog
はじめに こんにちは、セキュリティエンジニアの@okazu_dm です。 突然ですが、皆さんは以下のクイズに自信を持って回答できるでしょうか。これはSRE NEXT 2023で弊社が出題したクイズなのですが、それぞれのポリシーに存在するAllow, Denyのうちどれが優先されるかがポイントになります。 クイズの答えはここをクリック クイズの正解は......「④なし」でした。AWSのIAMポリ...| Flatt Security Blog
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアShion1305が日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK(@ryotkak)です。 2023年にPortSwigger社のJames Kettle氏は、同社の記事でSingle-packet attackという新しい攻撃手法を提案しました。これはネットワークのジッター値に関係なくレースコ...| Flatt Security Blog
はじめに Flatt Security セキュリティエンジニアの Tsubasa、lambdasawa、Osaki です。本ブログでは、2024年8月に開催された Bsides Las Vegas、Black Hat USA 2024、DEF CON 32 に弊社メンバーが参加した際の記録、および、特に興味深かったセッションの詳細についてお伝えします! なお、本稿の作成にあたっては各セッションの発表内容について可能な限り誤りがないように注意を払って記...| Flatt Security Blog
週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される問題と、プロダクトセキュリティにおける課題の間にはどの...| Flatt Security Blog
はじめに Flatt SecurityでエンジニアをしているAzaraとei01241です。本ブログは、2024年の8月初旬に開催された、BSides Las Vegasに弊社2名のエンジニアが登壇した際の記録です。 🌏 海外登壇のお知らせ 🌏米国ラスベガスで8月6日(火)〜7日(水)に開催される BSides Las Vegas にセキュリティエンジニア @ei01241 @a_zara_n が登壇します!Content-Typeを利用した攻撃の独自研究について発...| Flatt Security Blog
はじめに こんにちは、執行役員兼プロフェッショナルサービスCTOの志賀です。 こちらの記事だけを読むと言う方も少ないだろうと思いつつ、まずはこの記事の前提として以下の記事を読んでいただくことを推奨します。 プレスリリース: https://prtimes.jp/main/html/rd/p/000000045.000027502.html 代表取締役 井手の記事: https://flatt.tech/magazine/entry/20240213_ceo_message CTO米内の記事: https://bl...| GMO Flatt Security Blog
はじめに Flatt Security 取締役CTOの米内です。今回、弊社 Flatt Security は GMO インターネットグループから 10 億円の増資を受けるとともに、既存株主からグループへの株式譲渡(合計 66.6% 分)が行われることにより、GMO インターネットグループに参画する運びになりました。これは日本中・世界中のエンジニアが、前を向いてエンジニアリングに集中できる社会を最速で作...| GMO Flatt Security Blog
はじめに CTO の米内です。Flatt Security は、本日 2023 年 8 月 23 日、テック組織がクラウドのセキュリティを考える際の一歩目を支える SaaS 「Shisho Cloud」(シショウ クラウド) をリリースしました。 Shisho Cloud は、大雑把に言えば 「AWS/Google Cloud 上のリソースの設定がセキュリティ的に良さそうか、改善できそうかというのを検査してくれる製品」 です。 小難しい言い方...| Flatt Security Blog
本稿では、Flatt Security において独自に開発しているセキュリティ診断プラットフォームである ORCAs(オルカス) に焦点を当て、その概要や開発の経緯、開発チームが技術的に興味深いと感じている点について紹介します。 本稿を通して、Flatt Security がどのように本プラットフォームを活用してセキュリティ診断に取り組んでいるのか、また、なぜセキュリティベンダーと...| Flatt Security Blog
