axios の npm サプライチェーン攻撃で起きたことと守り方
2026年3月31日、週間1億DLを超える axios の npm パッケージが乗っ取られ、マルウェア入りバージョンが公開されました。何が起きたのか、影響確認の方法、そして lockfile と npm ci による防御策を整理します。
Tag
セキュリティ
セキュリティ に関する記事一覧です。
カテゴリ
タグ
フィルタを解除 Salesforce 備忘録 JavaScript Apex Tips ES6 お役立ち トラブルシューティング
+85
ツール 7 セキュリティ 6 雑記 5 バージョンアップ 5 ApexTest 5 ライブラリ 5 個人開発 4 npm 3 Next.js 3 Django 3 Git 2 Astro 2 WordPress 2 VPS 2 LLM 2 Claude 2 ChatGPT 2 Mac 2 Ubuntu 2 マークダウン 2 UNIX 2 命名規則 2 python 2 jinja2 2 プロンプト 2 Artifacts 2 Xserver 2 SOQL 2 Experience Cloud 2 サプライチェーン攻撃 1 submodule 1 GatsbyJS 1 サイト移行 1 MFA 1 npx 1 Flow 1 Metadata 1 build 1 bash 1 zsh 1 サンプルコード 1 JWT 1 認証 1 おすすめツール 1 composer 1 Google 1 Google Map 1 HTML 1 デバッグ 1 プロファイル 1 権限セット 1 Amazon 1 URL短縮サービス 1 TANTAN-LINK 1 TailwindCSS 1 Microsoft Edge 1 ブラウザ 1 スクリーンショット 1 MySQL 1 インフラ 1 API参照名 1 WSGI 1 Waitress 1 ターミナル 1 コマンド 1 Finder 1 ドキュメント 1 IPA 1 venv 1 pip 1 HTTP 1 vi 1 Linux 1 エディタ 1 Utility 1 ESLint 1 UUID 1 React 1 TypeScript 1 Webアプリケーション 1 開発 1 収益化 1 Heroku 1 スクリプト 1 メール 1
VPS 契約したら、とりあえず ssh ポートは変えておけ
この記事では、VPS を契約した直後に最低限やっておきたい ssh のポート変更と、ufw を使ったファイアウォール設定について備忘録として記載します。 サーバーをインターネットに公開すると、SSH への不正アクセス試行やブルートフォース攻撃は普通に飛んできます。 22 番のまま運用していると、とにかく雑なアクセス試行
Nginx の Server ヘッダからバージョン情報を隠す
Nginx を使っていると、特に意識しなくてもレスポンスヘッダにサーバー情報が含まれます。 このバージョン情報、アプリケーションの動作には一切不要ですし、公開していて嬉しい情報でもありません。 セキュリティ観点では「出さなくていいものは出さない」が基本なので、普通に隠します。 server tokens off Ngi
【セキュリティ】メールって二要素認証じゃないんですよ
「ログイン時にメールで認証コードが届くから、うちのサービスは二要素認証に対応してます」 こんな説明を見たことはありませんか? 実は、これは厳密には正しくありません。 メールを使った認証は「二段階認証」ではありますが、「二要素認証」ではないのです。 今回は、混同されがちなこの2つの用語の違いと、なぜメール認証が二要素認証
【セキュリティ】ログイン画面の エラーメッセージ で情報を漏らさない
この記事では、ログイン画面やユーザー登録画面で無意識に情報を漏らしてしまう、危険な エラーメッセージ の実装について解説します。 セキュリティ対策は難しそうに感じるかもしれませんが、まずは基本中の基本である エラーメッセージ から見直してみましょう。 実装は簡単ですが、意外と見落とされがちなポイントです。 よくある問題
外部リンクにはrel="noopener noreferrer"を忘れずに
Webページで外部サイトへのリンクを別タブで開く際、セキュリティ上の理由からrel属性の指定が推奨されています。外部リンクでtarget=" blank"を使う際は、必ずrel="noopener noreferrer"を付けましょう。 基本的な書き方 なぜ必要なのか target=" blank"だけで別タブを開くと
Sponsored