FutureVuls Blog

本記事は、 「Trivy サプライチェーン攻撃：FutureVuls 配布バイナリの安全性検証レポート」の解説編です。検証レポートで実行した cosign verify や Rekor 透明性ログ検索が内部で何をしているのか、その信頼の仕組みを支える Sigstore エコシステム（Cosign / Fulcio / Rekor）を体系的に解説します。 この記事で扱うこと 2026 年 2 月 27 日〜3 月 2 日にかけて、hackerbot-claw と名乗る AI 自律型ボットが GitHub...

この記事の経緯 2026年2月24日、FutureVuls の定期リリースで trivy v0.69.1 のバイナリを GitHub Releases から取得しました。その4日後、trivy リポジトリが hackerbot-claw を名乗る自律型 AI エージェントによって侵害されました。バイナリの真正性検証を行い、改ざんがなかったことを確認してインシデント対応をクローズしています（検証レポート）。

こんにちは、FutureVulsチームの棚井です。

CVEゼロでも安心できない — SCAが見逃すOSSとの依存関係とEOLリスク 10年前の2016年、当時同じチームにいた後輩が「あなたのサーバは本当に安全ですか？」という記事を書いた。Vuls の紹介記事だ。

【注意事項】

※2026/03/25（水）「GitHub Actions・Docker Hub・npm・PyPIに波及：Trivyサプライチェーン攻撃の影響確認ガイド」 を追加で公開しています。

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例（利用されたCVE-IDを含む）やFutureVulsを用いた具体的対策を紹介します。

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例（利用されたCVE-IDを含む）やFutureVulsを用いた具体的対策を紹介します。

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例（利用されたCVE-IDを含む）やFutureVulsを用いた具体的対策を紹介します。

今年もコンピュータセキュリティシンポジウム(CSS) 2025に参加し、研究発表、パネル登壇、ブース出展を行いました。本記事では、Vulsチームが取り組む脆弱性情報の統合管理に関する発表や、欧州CRA法をテーマにSBOM・EOL問題など、現場の課題が赤裸々に語られたパネルディスカッションの模様を詳しくレポートします。

去る2025年7月30日、フューチャー株式会社は、SaaS型脆弱性管理ツール「FutureVuls」をご利用のお客さまをお招きし、記念すべき第1回となるユーザー会を大崎の本社にて開催いたしました。中には本イベントの為に関西からお越し頂いた方もいらっしゃる等、当日は多くのお客さまにお越し頂き、後日実施したアンケートでは参加者満足度100%という大変嬉しい評価をいただきました。ご参加いただいた皆さまのFutureVulsに対する高いご関心と熱意に、運営一同、身が引き締まる思いでした。本記事では、大盛況のうちに幕を閉じた本会の様子を、当日の熱気とともにお届けいたします。

関西最大級セキュリティ勉強会『WEST-SEC』でFutureVulsが講演─SSVCで実現するリスクベース脆弱性管理とランサムウェア対策の最新事例を詳報

脆弱性管理におけるCPE割り当ては重要ですが、「どのCPEを選べばいいか分からない」「確認に手間がかかる」といった課題があるかと思います。本記事では、2025年の4月にリリースした新機能を活用し、適切なCPEを判断するための実践的な方法を具体例と共に解説します。

Vulsで脆弱性スキャンをしているけれど――「公式 DB だけでは検知が足りない」「不要データでスキャンが重い」「社内アドバイザリもまとめて管理したい」。そんな悩みを解決するのが “自作 vuls.db”です。本記事ではVuls 初心者でも分かる手順でカスタム脆弱性データベースを構築し、1) 公式未採用ソースの追加、2) 不要ソースの削減、3) 独自データの取り込み――という3つのユースケースを具体例付きで解説します。

本記事ではEUサイバーレジリエンス法（CRA）におけるSBOM対応に焦点を絞って情報をまとめます。また、ドイツの BSI が発行している技術ガイドライン「TR-03183」を基に、CRA対応で求められる具体的なSBOMの形式要件について解説します。

スキャン対象サーバの数が多い場合の対処法として、リモートスキャンでスキャン結果を別々のグループにアップロードし、脆弱性を管理する方法をハンズオン形式で紹介します。

脆弱性DBとそれを構成する脆弱性データソースから脆弱性情報を追跡する方法を紹介します。

CTI（脅威インテリジェンス）を導入しているのに、経営層への説得力がいまひとつ…」 「リスク管理と現場のセキュリティ対策が噛み合わず、脆弱性対応が後手に回ってしまう…」 そんなお悩みを抱えるCISOやセキュリティ担当者に向け、本記事ではCTIとサイバーリスク管理の連携ノウハウを解説します。脆弱性優先度付け、ランサムウェア対策、サプライチェーンリスクなど、具体的な事例を交えながら、経営層を納得させるリスク評価と最適な防御策を同時に実現する方法をご紹介します。

脆弱性管理というと「スキャンしてパッチを当てる」作業ばかりに目がいきがちですが、実は組織全体でテクノロジーを「どのように運用・改善し続けるか」が成功のカギです。なぜアセット管理やCVSSスコアだけでは不十分なのか、どうすればレガシー環境や経営層・現場を巻き込んで抜本的にリスクを減らせるのか。本記事ではSANS Institute講師のウェブキャストをもとに、脆弱性管理に“組織改革”の視点を取り入れるポイントを解説していきます。

サーバにインストールされているWordPressコア、プラグイン、テーマの一覧を取得し、脆弱性を検知するスキャンの設定方法をハンズオン形式で紹介します。

Linuxサーバの資産情報に潜む脆弱性を網羅的に検知し、FutureVulsでまとめて管理する方法をご紹介します。

「脆弱性の放置はサイバー攻撃の温床」——2025年1月30日にIPAから発表された最新の「情報セキュリティ10大脅威」には、ランサム攻撃やサプライチェーンリスクなど、組織を揺るがす多様な脅威が並びました。本記事では、脆弱性管理の視点から10項目それぞれを解説し、2024年に実際に報告された事例（利用されたCVE-IDを含む）やFutureVulsを用いた具体的対策を紹介します。

ソフトウェア・サプライチェーンへの攻撃が世界規模で深刻化する中、Googleが提唱する**SLSA（Supply-chain Levels for Software Artifacts）**が注目を集めています。本記事では、大規模インシデントを背景に、SLSAがどのようにビルド環境の改ざんや悪意ある依存関係の混入を防ぎ得るのかを解説。脅威モデルや各レベルの概要、Provenanceによる改ざん検知の仕組み、そして現状の課題と将来のL4（再現可能ビルド）の方向性を紹介します。企業でサプライチェーンセキュリティを強化したい方に向け、導入のポイントや運用上の注意点も整理しました。

米国DoDの調達事例をベースにしたサプライチェーンセキュリティの重要性を、日本国内の企業システムや製造業に置き換えて解説。SBOMの現状や脆弱性管理の実情、具体的な事例（F-35やOSSコミュニティなど）を掘り下げます。なお、日本固有の事情は筆者による補足であり、動画内で言及されていない部分も含みます。

脆弱性管理において「本当に攻撃されるリスクを可視化したい」——そんなニーズから生まれたのがEPSS (Exploit Prediction Scoring System) です。「CVSS のスコアは高いけれど、実際にどのくらい攻撃されやすいのか分からない」「優先度を付けたいけれど修正すべき脆弱性が多すぎる」——企業のセキュリティ担当者が日々抱えるこうした課題を解決する鍵として、近年注目を集めています。本記事では、EPSS の基本的な概要から、従来の CVSS との違い、データパートナーの役割、機械学習モデルの仕組み、さらに具体的な導入上の注意点まで、これまでにないほど詳しく解説します。攻撃の「深刻度」だけでなく「実際に攻撃される確率」を加味することで、限られたセキュリティリソースを最大限に活かす新しい脆弱性管理のアプローチを一緒に見ていきましょう。