Xのスパムアカウントを炙り出すアドオン

X（Twitter）のフォロワー欄に潜むスパムっぽいアカウントをあぶり出すユーザースクリプトが話題に - やじうまの杜 - 窓の杜 (12/08)

GitHub - shapoco/x-spam-highlighter: フォロワー欄でスパムっぽいアカウントを強調表示します (12/08)

Warning

強調表示されたアカウントが本当にスパムかどうかはご自身で慎重に判断してください。 事前に定義されたキーワードに基づいて強調表示しているだけですので、正確でないことが多々あります。 特に NSFW 系や投資家は誤判定されやすいです。

VirusTotal - URL 

Q. 次のリンク先のスクリプトに脆弱性はありますか? -> Gemini

  https://github.com/shapoco/x-spam-highlighter/blob/main/src/x-spam-highlighter.user.js

A. ご提供いただいたリンク先のスクリプト（x-spam-highlighter.user.js）について、具体的な脆弱性の報告は検索結果からは確認できませんでした。

このスクリプトは、X (旧 Twitter) のフォロワー欄で、事前に定義されたキーワードなどに基づいてスパムの可能性があるアカウントを強調表示することを目的としたユーザースクリプトです。

一般的に、ユーザースクリプトには以下のようなセキュリティ上の注意点があります。

• 権限の濫用: ユーザースクリプトはブラウザのWebページに対して高い権限を持って動作するため、悪意のあるスクリプトは個人情報の盗み取りや、ユーザーに代わって操作を行うといった危険性があります。
• コードの信頼性: 開発者が信頼できる人物/団体であること、そしてスクリプトのコード自体に問題がないか（特に外部から受け取ったデータをそのままHTMLとして挿入するような箇所がないかなど）を確認することが重要です。

このスクリプトの目的から判断すると、主に以下のような処理が含まれている可能性があります。

1. WebページのDOMを操作して、アカウント情報を取得する。
2. 取得した情報に基づいてスパム判定を行い、強調表示のためにDOMを変更する。

もし、ご自身でセキュリティ上の懸念がある場合は、以下の点を考慮できます。

• コードレビュー: JavaScriptのコードを読み、特にinnerHTMLやcreateElementなどDOM操作を行う部分、および外部APIへのアクセスがないかを確認する。
• 最新バージョンの確認: 開発元 (shapoco) が最新版を提供しているか確認し、既知の問題が修正されていないか確認する。

現時点では、このスクリプトに関する広く知られた重大な脆弱性の情報は見当たりませんが、ユーザースクリプトは常に自己責任で利用するという原則に基づいて、利用を検討されることをお勧めします。

他にこのスクリプトの機能や実装に関するご質問があれば、お気軽にお尋ねください。

アドオンのソースコードを見るには

Chromeの公開されている拡張機能（CRXファイル）のソースコードを見る方法はいくつかあります。

1. オンラインツールや専用の拡張機能を利用する方法（最も簡単）

最も手軽にソースコードを閲覧・ダウンロードできる方法です。拡張機能をインストールする必要がなく、WebストアのURLさえあれば利用できます。

1-1. 専用のChrome拡張機能を使う

**「Chrome extension source viewer」**のような、他の拡張機能のソースコードを閲覧するために作られた拡張機能を使用します。

1. Chromeウェブストアで対象の拡張機能のページを開きます。
2. 「Chrome extension source viewer」のアイコン（またはページ上の専用ボタン）をクリックすると、ソースコードがファイルツリー形式で表示されます。
• このツールは多くの場合、コードの整形（Beautify）や検索機能も提供しています。

1-2. オンラインツールを使う

**「CRX Viewer」**のような、ブラウザベースのオンラインツールを利用します。

1. 対象の拡張機能のChromeウェブストアのURLをコピーします。
2. CRX Viewerのウェブサイトにアクセスし、URLを入力して実行すると、ソースコードが表示されます。
• 通常、manifest.jsonやJavaScriptファイルなどを確認し、ZIPファイルとしてダウンロードすることも可能です。

2. インストール済みの拡張機能のローカルファイルを確認する方法

ご自身のChromeにすでにインストールされている拡張機能のソースコードは、PCのローカルフォルダに保存されています。

1. 拡張機能の管理画面を開く: アドレスバーに chrome://extensions/ と入力してアクセスします。
2. デベロッパーモードを有効にする: 画面右上の**「デベロッパー モード」のトグルスイッチをオン**にします。
3. 拡張機能IDを確認する: ソースコードを見たい拡張機能を探し、そこに表示されているID（長くランダムな英数字の文字列）をメモします。
4. ローカルフォルダに移動する: 以下のOSごとのパスにある「Extensions」フォルダを開きます。
• Windows: C:\Users\【ユーザー名】\AppData\Local\Google\Chrome\User Data\Default\Extensions
• Mac: /Users/【ユーザー名】/Library/Application Support/Google/Chrome/Default/Extensions
5. ソースコードを確認する: フォルダ内で、手順3でメモした拡張機能IDと同じ名前のフォルダを探します。その中にあるバージョン名のフォルダ（例: 1.2.3_0）の中に、manifest.jsonやJavaScriptファイルなど、拡張機能のソースコード一式が入っています。

注意点

• 拡張機能によっては、セキュリティ対策やファイルサイズ削減のためにJavaScriptファイルなどが**難読化（Minify）**されている場合があります。この場合、コードの意図を理解するのは難しくなります。
• ソースコードを見る行為自体は問題ありませんが、そのコードを無断で再利用したり、改変して配布したりすることは、著作権や利用規約に反する可能性があるため注意が必要です。

どの拡張機能のソースコードを確認したいか決まっていますか？

オランダ版「サイバーセキュリティ経営ガイドライン」

これは“とっつきやすい”かも！ オランダ版「サイバーセキュリティ経営ガイドライン」が日本のものと比べてかなりコンパクト【海の向こうの“セキュリティ”】 - INTERNET Watch (10/14)

　日本の「サイバーセキュリティ経営ガイドライン」がかなりびっしりと文字で埋められた「重い」文書であるのに対し、今回のオランダのガイドは比較にならないほどコンパクトに簡潔にまとめられており、圧倒的に「とっつきやすい」ものに仕上がっています。ただし、これはオランダのガイドの方が優れているという意味ではなく、アプローチの仕方が異なるに過ぎないことに注意してください。・・・中略・・・

　それでも、経営層がすべきことは具体的に書かれていますし、普遍性がある内容なので、日本の企業や組織にも十分に参考になるところがあるのは間違いありません。・・・中略・・・自組織の経営層が日本の「サイバーセキュリティ経営ガイドライン」の前に最初に触れる「読み物」として使える部分があるか、まずは検討してみるだけでも価値はあるでしょう。

 

関連記事

• Guide to cyber security for directors and business owners | Cyber Security Council (08/14)
• サイバーセキュリティ経営ガイドラインと支援ツール（METI/経済産業省）

2025年秋の米国政府機関閉鎖、CISAへの影響

Q. 2025年秋の米国政府機関閉鎖で、業務に特に大きな影響があったサイバーセキュリティ関連組織は?

A. **サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）**です。

CISAは、国土安全保障省（DHS）の一部で、連邦政府のデジタルセキュリティや、電力網、パイプラインなどの重要インフラの保護を担当する主要な機関です。

主な影響としては、以下の点が挙げられます。

• 職員の削減: CISAの職員の約3分の2（65%）が一時帰休（furlough）となり、業務を継続できたのは約3分の1（35%）に留まりました。
• 業務への支障: 職員が大幅に削減されたにもかかわらず、サイバーセキュリティのリスクは継続するため、残された職員はより少ない人数で多くの重要な業務を行う必要がありました。継続的なネットワーク監視、インシデント対応、脆弱性評価、官民連携などの重要な機能に遅延や支障が生じる懸念がありました。
• 情報共有法の失効: 閉鎖が始まる前日、企業がサイバー脅威情報を政府と共有する際に法的保護を提供する**サイバーセキュリティ情報共有法（CISA Act of 2015）**が期限切れとなり、企業が情報共有に消極的になる可能性が生じました。

この政府機関閉鎖は、アメリカのサイバー空間の防御能力にとって大きな打撃となり、サイバー攻撃が増加したとの報告もあります。

米政府閉鎖は史上最長の43日間で終了、政府機関や航空便は徐々に復旧へ(米国) | ビジネス短信 ―ジェトロの海外ニュース - ジェトロ (11/14)

NISTがガイドライン更新、パスワード長、定期変更無、秘密の質問止め 他

パスワードは、特殊文字などの「複雑さ」ではなく「長さ」を求めることを推奨 〜NISTがガイドライン更新【やじうまWatch】 - INTERNET Watch (10/21)

主な変更点は以下の通り。

特殊文字（&、%など）や数字、大文字の混在など「複雑さ」を求めない
複雑なパスワードを設定させようとしても、「password」が「Password1!」になるだけ ...

パスワードのみで認証する場合、長さを15文字以上に設定させる
多要素認証と併用する場合は8文字程度でもよいとしている。

定期的なパスワード変更は求めない
漏えいなど、セキュリティ侵害が明らかになったタイミングでパスワードを変更するべきとしている。

パスワードを忘れた場合のセキュリティの質問は禁止する
パスワードを忘れたときのためにペットの名前などを問う「秘密の質問」を設定することがあるが、こちらも推測が容易であるため非推奨で、メールやSMS認証などを行うことを推奨している。（注 *1）

「ブロックリスト」を導入する
一般的に設定されやすいかつ脆弱なパスワードを集めた「ブロックリスト」で、ユーザーに簡単なパスワードを設定させないようにする。

*1 ソース「NIST Special Publication 800-63B」

ソースを大胆にまとめたのか、例えば上述の「メールやSMS認証などを行う」にズバリ該当する箇所が分からなかった。

『8. Verifiers and CSPs SHALL NOT prompt subscribers to use knowledge-based authentication (KBA) (e.g., “What was the name of your first pet?”) or security questions when choosing passwords.』の辺りか?

BIND 9.xの脆弱性 (CVE-2025-40778, CVE-2025-40780, CVE-2025-8677)

まずはこちら↓を読むべし。

セキュリティホール memo - 2025.10 (10/23)

記載のあったCVEの概要を以下に記す。

これを書いている12月初旬現在で、いずれもK.E.V. Catalogには載っていない。

CVE Record: CVE-2025-40778 (10/22) 

説明

特定の状況下で、BIND は回答からレコードを受け入れる際に過度に寛容であり、攻撃者が偽造データをキャッシュに注入できる可能性があります。この問題は、以下の BIND 9 のバージョンに影響します：

• 9.11.0 ～ 9.16.50
• 9.18.0 ～ 9.18.39
• 9.20.0 ～ 9.20.13
• 9.21.0 ～ 9.21.12
• 9.11.3-S1 ～ 9.16.50-S1
• 9.18.11-S1 ～ 9.18.39-S1
• 9.20.9-S1 ～ 9.20.13-S1

CVSSスコア 8.6, Severity HIGH

PoCも公開されているらしい。 

CVE Record: CVE-2025-40780 (10/22)

説明

特定の状況下において、使用されている疑似乱数生成器（PRNG）の脆弱性により、攻撃者が BIND が使用する送信元ポートとクエリ ID を予測できる可能性があります。この問題は、以下の BIND 9 のバージョンに影響します：

• 9.16.0 ～ 9.16.50
• 9.18.0 ～ 9.18.39
• 9.20.0 ～ 9.20.13
• 9.21.0 ～ 9.21.12
• 9.16.8-S1 ～ 9.16.50-S1
• 9.18.11-S1 ～ 9.18.39-S1
• 9.20.9-S1 ～ 9.20.13-S1

CVSSスコア 8.6, Severity HIGH

CVE Record: CVE-2025-8677 (10/22)

説明

特定の細工されたゾーン内で、特定の不正な形式の DNSKEY レコードを含むレコードを問い合わせると、CPU の過剰消費につながる可能性があります。この問題は、以下の BIND 9 のバージョンに影響します：

• 9.18.0 ～ 9.18.39
• 9.20.0 ～ 9.20.13
• 9.21.0 ～ 9.21.12
• 9.18.11-S1 ～ 9.18.39-S1
• 9.20.9-S1 ～ 9.20.13-S1

CVSSスコア 7.5, Severity HIGH

Critical Vulnerability in React Server (CVE-2025-55182)

 Critical Security Vulnerability in React Server Components – React

There is an unauthenticated remote code execution vulnerability in React Server Components.

We recommend upgrading immediately.

CVE-2025-55182

A pre-authentication remote code execution vulnerability exists in React Server Components versions 19.0.0, 19.1.0, 19.1.1, and 19.2.0 including the following packages: react-server-dom-parcel, react-server-dom-turbopack, and react-server-dom-webpack. The vulnerable code unsafely deserializes payloads from HTTP requests to Server Function endpoints.

CVSS Score 10.0とのこと。

Bing曰く ..

React Server Componentsの特徴

React Server Componentsは、サーバー側でコンポーネントをレンダリングし、クライアントに必要なデータのみを送信します。これにより、クライアント側での処理負荷を軽減し、パフォーマンスを向上させます。

サーバを単独環境で、クライアントは仮想環境で分離すると、安全・快適に使えるのかな?

新聞記事いろいろ 12/03

アサヒグループが導入する「本家・米国式ゼロトラスト」は日本のなんちゃってゼロトラストとは決定的に違う：経営者が読むNVIDIAのフィジカルAI / ADAS業界日報 by 今泉大輔：オルタナティブ・ブログ (12/01)

証券口座乗っ取り、中国人２人を相場操縦容疑などで逮捕…７０万株売り抜け売却益８６０万円得たか 

中国が約2000機のドローンを台湾上空に飛ばしてStarlinkへのアクセスを遮断する大規模電子戦をシミュレーションしている - GIGAZINE (11/27)

Squidの脆弱性について　https://www.st.ryukoku.ac.jp/~kjm/security/memo/2025/11.html#20251110_various

三菱UFJ銀行とGMO、コンサル会社

三菱UFJ銀行とGMO、サイバー対策のコンサル会社　企業の脆弱性診断 - 日本経済新聞 (12/02)

『.. 対応状況の可視化や戦略立案など企業の課題に応じたコンサルティングを提供する方針だ。

　.. 自社だけでなく、子会社やサプライチェーン（供給網）全体で対策を強化する必要性が高まっている。まずは大企業や中堅企業向けに、脆弱性診断や攻撃を想定した演習なども含めカスタマイズしたサービスを展開する。』

三菱UFJ銀行・セブン銀行は「セキュリティ」をどう担保？ 評価→改善サイクルの作り方 ｜FinTech Journal (10/24)

Synex、ミニマリスト的ディストリビューション

「Synex」レビュー--高速に動作するミニマリスト的な「Linux」ディストリビューション - ZDNET Japan (11/10)

起動12秒。余計なプリインストールアプリの無さも良さそう。

全医療機関向けのセキュリティ小冊子が、一般企業にも参考になる

欧州の機関が公開【海の向こうの“セキュリティ”】 - INTERNET Watch (11/11)

チェックリストとしても使い出がありそう。

IIJmio 本人確認手続きを変更

IIJ、個人向けMVNOサービス「IIJmio」の本人確認手続きを変更し、公的個人認証サービスならびにICチップ読み取り＋容貌画像方式に対応 | IIJについて | IIJ (10/30)

『個人向けMVNOサービス「IIJmio（アイアイジェイミオ）」契約時の本人確認手続きを変更し、2026年1月中旬より、マイナンバーカードを利用した公的個人認証サービス（以下、JPKI（※1））、ならびにICチップ読み取り＋容貌画像方式（※2）に対応いたします。また新たに本人確認手続き用のスマートフォンアプリ「本人確認 for IIJmio」を提供します。

この度の変更は、携帯電話不正利用防止法における2026年度の法改正に伴って実施するものです。

　..

• （※1）JPKI（Japanese Public Key Infrastructure）：マイナンバーカードのICチップに搭載された電子証明書を利用して、オンラインで利用者本人の認証や契約書等の文書が改ざんされていないことの確認を公的に行うための仕組み。
• （※2）ICチップ読み取り＋容貌画像方式：運転免許証などのICチップ読み取り後、本人の容貌（顔）を撮影し、ICチップに記録された顔写真データと照合することでオンライン本人確認を行います。

』

SharePoint CVE-2025-53770, CVE-2025-49704

核兵器工場にハッカーが侵入、SharePointの脆弱性を利用 - GIGAZINE (10/22)

『 .. 外部からのデータ侵害を受けたことが明らかになりました。

悪用された脆弱性はスプーフィング(なりすまし)の欠陥であるCVE-2025-53770とリモートコード実行の欠陥であるCVE-2025-49704で、Microsoftは攻撃翌日の7月19日に修正パッチを配布しています。』

CVE-2025-53770, CVE-2025-49704は、KEVカタログにも載っている。