Xのスパムアカウントを炙り出すアドオン

X（Twitter）のフォロワー欄に潜むスパムっぽいアカウントをあぶり出すユーザースクリプトが話題に - やじうまの杜 - 窓の杜 (12/08)

GitHub - shapoco/x-spam-highlighter: フォロワー欄でスパムっぽいアカウントを強調表示します (12/08)

Warning

強調表示されたアカウントが本当にスパムかどうかはご自身で慎重に判断してください。 事前に定義されたキーワードに基づいて強調表示しているだけですので、正確でないことが多々あります。 特に NSFW 系や投資家は誤判定されやすいです。

VirusTotal - URL 

Q. 次のリンク先のスクリプトに脆弱性はありますか? -> Gemini

  https://github.com/shapoco/x-spam-highlighter/blob/main/src/x-spam-highlighter.user.js

A. ご提供いただいたリンク先のスクリプト（x-spam-highlighter.user.js）について、具体的な脆弱性の報告は検索結果からは確認できませんでした。

このスクリプトは、X (旧 Twitter) のフォロワー欄で、事前に定義されたキーワードなどに基づいてスパムの可能性があるアカウントを強調表示することを目的としたユーザースクリプトです。

一般的に、ユーザースクリプトには以下のようなセキュリティ上の注意点があります。

• 権限の濫用: ユーザースクリプトはブラウザのWebページに対して高い権限を持って動作するため、悪意のあるスクリプトは個人情報の盗み取りや、ユーザーに代わって操作を行うといった危険性があります。
• コードの信頼性: 開発者が信頼できる人物/団体であること、そしてスクリプトのコード自体に問題がないか（特に外部から受け取ったデータをそのままHTMLとして挿入するような箇所がないかなど）を確認することが重要です。

このスクリプトの目的から判断すると、主に以下のような処理が含まれている可能性があります。

1. WebページのDOMを操作して、アカウント情報を取得する。
2. 取得した情報に基づいてスパム判定を行い、強調表示のためにDOMを変更する。

もし、ご自身でセキュリティ上の懸念がある場合は、以下の点を考慮できます。

• コードレビュー: JavaScriptのコードを読み、特にinnerHTMLやcreateElementなどDOM操作を行う部分、および外部APIへのアクセスがないかを確認する。
• 最新バージョンの確認: 開発元 (shapoco) が最新版を提供しているか確認し、既知の問題が修正されていないか確認する。

現時点では、このスクリプトに関する広く知られた重大な脆弱性の情報は見当たりませんが、ユーザースクリプトは常に自己責任で利用するという原則に基づいて、利用を検討されることをお勧めします。

他にこのスクリプトの機能や実装に関するご質問があれば、お気軽にお尋ねください。

アドオンのソースコードを見るには

Chromeの公開されている拡張機能（CRXファイル）のソースコードを見る方法はいくつかあります。

1. オンラインツールや専用の拡張機能を利用する方法（最も簡単）

最も手軽にソースコードを閲覧・ダウンロードできる方法です。拡張機能をインストールする必要がなく、WebストアのURLさえあれば利用できます。

1-1. 専用のChrome拡張機能を使う

**「Chrome extension source viewer」**のような、他の拡張機能のソースコードを閲覧するために作られた拡張機能を使用します。

1. Chromeウェブストアで対象の拡張機能のページを開きます。
2. 「Chrome extension source viewer」のアイコン（またはページ上の専用ボタン）をクリックすると、ソースコードがファイルツリー形式で表示されます。
• このツールは多くの場合、コードの整形（Beautify）や検索機能も提供しています。

1-2. オンラインツールを使う

**「CRX Viewer」**のような、ブラウザベースのオンラインツールを利用します。

1. 対象の拡張機能のChromeウェブストアのURLをコピーします。
2. CRX Viewerのウェブサイトにアクセスし、URLを入力して実行すると、ソースコードが表示されます。
• 通常、manifest.jsonやJavaScriptファイルなどを確認し、ZIPファイルとしてダウンロードすることも可能です。

2. インストール済みの拡張機能のローカルファイルを確認する方法

ご自身のChromeにすでにインストールされている拡張機能のソースコードは、PCのローカルフォルダに保存されています。

1. 拡張機能の管理画面を開く: アドレスバーに chrome://extensions/ と入力してアクセスします。
2. デベロッパーモードを有効にする: 画面右上の**「デベロッパー モード」のトグルスイッチをオン**にします。
3. 拡張機能IDを確認する: ソースコードを見たい拡張機能を探し、そこに表示されているID（長くランダムな英数字の文字列）をメモします。
4. ローカルフォルダに移動する: 以下のOSごとのパスにある「Extensions」フォルダを開きます。
• Windows: C:\Users\【ユーザー名】\AppData\Local\Google\Chrome\User Data\Default\Extensions
• Mac: /Users/【ユーザー名】/Library/Application Support/Google/Chrome/Default/Extensions
5. ソースコードを確認する: フォルダ内で、手順3でメモした拡張機能IDと同じ名前のフォルダを探します。その中にあるバージョン名のフォルダ（例: 1.2.3_0）の中に、manifest.jsonやJavaScriptファイルなど、拡張機能のソースコード一式が入っています。

注意点

• 拡張機能によっては、セキュリティ対策やファイルサイズ削減のためにJavaScriptファイルなどが**難読化（Minify）**されている場合があります。この場合、コードの意図を理解するのは難しくなります。
• ソースコードを見る行為自体は問題ありませんが、そのコードを無断で再利用したり、改変して配布したりすることは、著作権や利用規約に反する可能性があるため注意が必要です。

どの拡張機能のソースコードを確認したいか決まっていますか？

オランダ版「サイバーセキュリティ経営ガイドライン」

これは“とっつきやすい”かも！ オランダ版「サイバーセキュリティ経営ガイドライン」が日本のものと比べてかなりコンパクト【海の向こうの“セキュリティ”】 - INTERNET Watch (10/14)

　日本の「サイバーセキュリティ経営ガイドライン」がかなりびっしりと文字で埋められた「重い」文書であるのに対し、今回のオランダのガイドは比較にならないほどコンパクトに簡潔にまとめられており、圧倒的に「とっつきやすい」ものに仕上がっています。ただし、これはオランダのガイドの方が優れているという意味ではなく、アプローチの仕方が異なるに過ぎないことに注意してください。・・・中略・・・

　それでも、経営層がすべきことは具体的に書かれていますし、普遍性がある内容なので、日本の企業や組織にも十分に参考になるところがあるのは間違いありません。・・・中略・・・自組織の経営層が日本の「サイバーセキュリティ経営ガイドライン」の前に最初に触れる「読み物」として使える部分があるか、まずは検討してみるだけでも価値はあるでしょう。

 

関連記事

• Guide to cyber security for directors and business owners | Cyber Security Council (08/14)
• サイバーセキュリティ経営ガイドラインと支援ツール（METI/経済産業省）

2025年秋の米国政府機関閉鎖、CISAへの影響

Q. 2025年秋の米国政府機関閉鎖で、業務に特に大きな影響があったサイバーセキュリティ関連組織は?

A. **サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）**です。

CISAは、国土安全保障省（DHS）の一部で、連邦政府のデジタルセキュリティや、電力網、パイプラインなどの重要インフラの保護を担当する主要な機関です。

主な影響としては、以下の点が挙げられます。

• 職員の削減: CISAの職員の約3分の2（65%）が一時帰休（furlough）となり、業務を継続できたのは約3分の1（35%）に留まりました。
• 業務への支障: 職員が大幅に削減されたにもかかわらず、サイバーセキュリティのリスクは継続するため、残された職員はより少ない人数で多くの重要な業務を行う必要がありました。継続的なネットワーク監視、インシデント対応、脆弱性評価、官民連携などの重要な機能に遅延や支障が生じる懸念がありました。
• 情報共有法の失効: 閉鎖が始まる前日、企業がサイバー脅威情報を政府と共有する際に法的保護を提供する**サイバーセキュリティ情報共有法（CISA Act of 2015）**が期限切れとなり、企業が情報共有に消極的になる可能性が生じました。

この政府機関閉鎖は、アメリカのサイバー空間の防御能力にとって大きな打撃となり、サイバー攻撃が増加したとの報告もあります。

米政府閉鎖は史上最長の43日間で終了、政府機関や航空便は徐々に復旧へ(米国) | ビジネス短信 ―ジェトロの海外ニュース - ジェトロ (11/14)

NISTがガイドライン更新、パスワード長、定期変更無、秘密の質問止め 他

パスワードは、特殊文字などの「複雑さ」ではなく「長さ」を求めることを推奨 〜NISTがガイドライン更新【やじうまWatch】 - INTERNET Watch (10/21)

主な変更点は以下の通り。

特殊文字（&、%など）や数字、大文字の混在など「複雑さ」を求めない
複雑なパスワードを設定させようとしても、「password」が「Password1!」になるだけ ...

パスワードのみで認証する場合、長さを15文字以上に設定させる
多要素認証と併用する場合は8文字程度でもよいとしている。

定期的なパスワード変更は求めない
漏えいなど、セキュリティ侵害が明らかになったタイミングでパスワードを変更するべきとしている。

パスワードを忘れた場合のセキュリティの質問は禁止する
パスワードを忘れたときのためにペットの名前などを問う「秘密の質問」を設定することがあるが、こちらも推測が容易であるため非推奨で、メールやSMS認証などを行うことを推奨している。（注 *1）

「ブロックリスト」を導入する
一般的に設定されやすいかつ脆弱なパスワードを集めた「ブロックリスト」で、ユーザーに簡単なパスワードを設定させないようにする。

*1 ソース「NIST Special Publication 800-63B」

ソースを大胆にまとめたのか、例えば上述の「メールやSMS認証などを行う」にズバリ該当する箇所が分からなかった。

『8. Verifiers and CSPs SHALL NOT prompt subscribers to use knowledge-based authentication (KBA) (e.g., “What was the name of your first pet?”) or security questions when choosing passwords.』の辺りか?

BIND 9.xの脆弱性 (CVE-2025-40778, CVE-2025-40780, CVE-2025-8677)

まずはこちら↓を読むべし。

セキュリティホール memo - 2025.10 (10/23)

記載のあったCVEの概要を以下に記す。

これを書いている12月初旬現在で、いずれもK.E.V. Catalogには載っていない。

CVE Record: CVE-2025-40778 (10/22) 

説明

特定の状況下で、BIND は回答からレコードを受け入れる際に過度に寛容であり、攻撃者が偽造データをキャッシュに注入できる可能性があります。この問題は、以下の BIND 9 のバージョンに影響します：

• 9.11.0 ～ 9.16.50
• 9.18.0 ～ 9.18.39
• 9.20.0 ～ 9.20.13
• 9.21.0 ～ 9.21.12
• 9.11.3-S1 ～ 9.16.50-S1
• 9.18.11-S1 ～ 9.18.39-S1
• 9.20.9-S1 ～ 9.20.13-S1

CVSSスコア 8.6, Severity HIGH

PoCも公開されているらしい。 

CVE Record: CVE-2025-40780 (10/22)

説明

特定の状況下において、使用されている疑似乱数生成器（PRNG）の脆弱性により、攻撃者が BIND が使用する送信元ポートとクエリ ID を予測できる可能性があります。この問題は、以下の BIND 9 のバージョンに影響します：

• 9.16.0 ～ 9.16.50
• 9.18.0 ～ 9.18.39
• 9.20.0 ～ 9.20.13
• 9.21.0 ～ 9.21.12
• 9.16.8-S1 ～ 9.16.50-S1
• 9.18.11-S1 ～ 9.18.39-S1
• 9.20.9-S1 ～ 9.20.13-S1

CVSSスコア 8.6, Severity HIGH

CVE Record: CVE-2025-8677 (10/22)

説明

特定の細工されたゾーン内で、特定の不正な形式の DNSKEY レコードを含むレコードを問い合わせると、CPU の過剰消費につながる可能性があります。この問題は、以下の BIND 9 のバージョンに影響します：

• 9.18.0 ～ 9.18.39
• 9.20.0 ～ 9.20.13
• 9.21.0 ～ 9.21.12
• 9.18.11-S1 ～ 9.18.39-S1
• 9.20.9-S1 ～ 9.20.13-S1

CVSSスコア 7.5, Severity HIGH

Critical Vulnerability in React Server (CVE-2025-55182)

 Critical Security Vulnerability in React Server Components – React

There is an unauthenticated remote code execution vulnerability in React Server Components.

We recommend upgrading immediately.

CVE-2025-55182

A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.

CVSS Score 10.0とのこと。

Bing曰く ..

React Server Componentsの特徴

React Server Componentsは、サーバー側でコンポーネントをレンダリングし、クライアントに必要なデータのみを送信します。これにより、クライアント側での処理負荷を軽減し、パフォーマンスを向上させます。

サーバを単独環境で、クライアントは仮想環境で分離すると、安全・快適に使えるのかな?