サイバー防災 × コマンドセンター

事故から学び、自分のサイトを守る。

「攻撃の仕方」ではなく「守り方」を、実際に起きた事故から学ぶ。セキュリティに詳しくなくても、今日から手を動かせる防御の知識を。

事故図鑑を見る学習をはじめる

itd@defense:~ — site-health.shLIVE

>.env exposure[ 防御済み ]
>TLS / cert expiry[ 要注意 ]
>Dependency CVEs[ 重大 ]
>Security headers[ 防御済み ]
>Secret in repo[ 防御済み ]

ONLINE5 事故図鑑9 用語辞典2 技術別対策3 歴史1 学習防御専用 — 攻撃手順は載せない

01 — Sections

何から始める？

目的から入口を選んでください。すべて無料・登録不要。

事故図鑑

実際に起きたWeb事故を「原因・影響・初動・再発防止」で分解。記憶に残る形で、同じ轍を踏まないために。

$ `.env`公開・APIキー漏洩・DBダンプ・設定ミス。

用語辞典

CVE・CVSS・RCE・SSRF・XSS・SPF/DKIM/DMARC。むずかしい用語を、一行の直答とやさしい解説で。

$ 知らない言葉でつまずかないために。

技術別対策

WordPress・Laravel・Next.js・Docker・レンタルサーバー・VPS。あなたのスタックの「危ない初期設定」を具体的に。

$ 自分の構成にピンポイントで効く対策。

歴史・事件解説

Heartbleed・Log4Shell・XZ Utils。大きな事件を振り返り、いま効く教訓だけを取り出す。

$ 歴史は最良の教科書。

学習ロードマップ

超入門から習慣化まで。「次に読むべき記事」で迷子にならない、防御の上達ルート。

$ ゼロから、段階的に。

無料ツール

公開前チェックリスト・事故メモ匿名化チェッカー・各種計算機。入力はブラウザの中で完結し、サーバーには送りません。

$ 入力はブラウザ内で完結。

02 — Field notes

実体験から書いた看板記事

運営者自身が踏んだ事故を、固有名詞を伏せて教訓化しています。

critical2026-06-07

AIで書いたコードからAPIキーが漏れ、不正課金された——本当の原因は放置したCVSS 10.0だった

請求の暴騰は氷山の一角。真因は放置した公開済みCVSS 10.0のRCEだった。固有名詞を伏せた事例から、防御の教訓を抽出します。

critical2026-06-07

Capital One 情報漏えい事件（2019）— SSRFから1億人分が漏れた原因と防御

入口はたった1つのSSRF。そこからメタデータ提供先→過剰権限のIAM一時鍵→S3一括コピーへと連鎖し、約1億600万人分が漏えい。各ホップで止められた。あなたの環境ではIMDSv2・IAM最小権限・送信先の許可リストで再発防止する。

critical2026-06-07

Codecov 改ざん事件（2021）— CIの“信頼するツール”が乗っ取られ秘密情報が流出した原因と防御

原因は『CIで信頼して実行するツール（curl|bashのBash Uploader）が上流で改ざんされた』こと。自分のコードは無傷なので約2か月気づけず、CIの秘密情報が流出。検知はチェックサム照合だった。あなたのCIでは取得物の完全性検証・秘密の最小権限・ローテーション・egress監視で再発防止する。

03 — Our stance

ITD が大切にしていること

セキュリティ製品だからこそ、自分の足元を堅く。

秘密を預からない

ユーザーのAPIキー実値は保存しません。台帳に持つのはメタデータだけ。漏れようがない設計が一番安全です。

所有確認したものだけ診断

診断は所有を確認済みのドメインのみ。内部IPやメタデータ宛は遮断し、SSRFを機能の土台で防ぎます。

爆発半径を最小に

1つの侵害が全体に波及しない分離設計。ITD自身も専用環境に隔離して運用しています。

自分でドッグフード

ITDはITD自身をCVE監視・依存スキャンの対象にします。発端の事故を、二度と機械が見逃さないように。