VRChat開発者が知るべきセキュリティの境界線!AIと歩む安全なサイト作り

詳細情報

日時 2026年02月26日 21:00 - 21:30
テーマ どこまで守れば合格か? リアルな脆弱性から見るWeb開発の境界線
発表者 kumama_nuiさん
集会名 個人開発集会
発表資料 ファイル

VRChatで活動する開発者の皆さんは、自分の作ったツールやサイトが「どこまで安全なら合格か」と悩んだことはありませんか?
2026年2月26日に開催された「個人開発集会」にて、kumama_nuiさんが発表した内容は、そんな私たちの不安に寄り添いつつ、実践的なヒントをくれる素晴らしいものでした。
「どこまで守れば合格か? リアルな脆弱性から見るWeb開発の境界線」というテーマで語られた、技術への情熱と誠実な向き合い方をお届けします!

開発者と発見者の信頼をつなぐ「責任ある開示」

セキュリティの問題を見つけたとき、皆さんはどうしますか?
kumama_nuiさんは、まず「責任ある開示(Responsible Disclosure)」という大切な考え方を教えてくれました。
これは、脆弱性を見つけてもすぐにSNSなどで公開せず、まずは開発者にこっそり報告し、修正されるのを待ってから公開するというルールです。

もし修正前に広まってしまうと、悪い目的でその穴を突く「ゼロデイ攻撃」を招いてしまうかもしれません。
特に個人開発者の場合、企業のように専門のチームがあるわけではないので、修正には時間がかかることもあります。
「友達とのチャットで話すのも、修正が終わるまでは我慢してほしい」という言葉には、開発者への深い敬意が込められていました。

また、開発者の皆さんへは「連絡先やセキュリティポリシーをREADMEなどに書いておくと、報告者が助かる」というアドバイスもありました。
お互いが安心してやり取りできる環境を作ることが、コミュニティ全体の安全につながるのですね。

サービスの成長とともに変わる「安全のライン」

kumama_nuiさんは、VRChatの技術イベントを支えるサービス「vrc-ta-hub.com」を例に、安全の基準がどう変わるかを説明してくれました。
最初は信頼できる仲間内だけで使っていたサービスも、一般公開されて機能が増えると、守るべき範囲がぐっと広がります。

例えば、誰でもアカウントを作れるようになったり、スライドをアップロードできるようになったりすると、悪意を持った入力が入り込む隙間が生まれます。
「機能が増えると、攻撃される場所も増える」という視点は、開発に夢中になっているとつい忘れがちな、とても重要なポイントです。

誰が何を入力できるのかを整理し、どこまでを信頼するかの境界線を意識すること。
これを「脅威モデリング」と呼びますが、難しく考える必要はありません。
AIに構成図を書いてもらったり、頭の中を整理したりするだけでも、どこを重点的に守ればいいかが見えてくるそうです。

実際にあった脆弱性の事例から学ぶ

発表では、実際に発見・修正された2つの事例が紹介されました。
1つ目は「格納型XSS」という、サイトに罠を仕掛けられてしまう問題です。
PDFファイルをアップロードする際、中身を偽装することで、閲覧した人のブラウザで勝手にプログラムが動いてしまうというものでした。

特に、LT(ライトニングトーク)のページにスライドとして埋め込むことで、多くの人が被害に遭う可能性があったそうです。
「お世話になっているサービスだからこそ、しっかり調べた」というkumama_nuiさんの言葉通り、徹底的な検証が行われていました。

2つ目は、データの表示に関する問題です。
本来は承認待ちで隠れているはずのデータが、特定の操作で見えてしまうというものでした。
派手な攻撃ではありませんが、プライバシーに関わる大切な部分です。
こうした「ちょっとしたフィルターの付け忘れ」が大きな問題につながることを、私たちは肝に銘じておきたいですね。

AIは私たちの強力な味方になれるのか?

最近話題のAI(人工知能)は、セキュリティ診断でも頼りになるのでしょうか?
kumama_nuiさんが最新のAIモデルで試したところ、一部の脆弱性は見つけられたものの、複数の要素を組み合わせた複雑な攻撃までは見抜けなかったそうです。

しかし、AIが全く使えないわけではありません。
「このコードに脆弱性はある?」と聞くだけでも、開発者の意識が変わり、うっかりミスを防ぐきっかけになります。
AIの得意不得意を理解しつつ、開発のパートナーとして活用していくのが賢い方法と言えそうです。

「絶対に壊れないシステムはないけれど、公開前に一度AIに尋ねるだけで、安全性はぐっと高まる」という前向きなメッセージが印象的でした。

みんなで育む、安全で楽しい開発文化

「どこまで守れば合格か」という問いに、たった一つの正解はありません。
しかし、kumama_nuiさんの発表は、技術的な対策と同じくらい「誠実なコミュニケーション」が大切であることを教えてくれました。

完璧を目指して公開をためらうのではなく、まずはできる限りの対策をし、もし問題が見つかったら真摯に対応する。
そして発見者は、開発者をリスペクトして正しく報告する。
そんな温かいサイクルが、VRChatの技術コミュニティをより豊かにしていくはずです。

私たちも、AIなどの新しい道具を味方につけながら、ワクワクするようなものづくりを続けていきましょう!
一人ひとりのちょっとした意識が、みんなの遊び場をより安全で楽しい場所に変えていくのです。

発表スライド(PDF)

個人開発集会の他の発表もチェック!

AIエージェントが開発を変える!Claude Codeで実現する次世代コーディング術

高校生が学校に図書アプリを導入!ゆっきー☆さんの開発秘話と「失敗」から得た学び

ハッカソン攻略の秘訣!Kagu3が語る学びと成長の軌跡

AIで絵本を出版!不和カプリさんに学ぶChatGPTと画像生成の創作術

個人開発の悩み解決!「欲しいもの」を作る楽しさとは?

X運用でフォロワー激増!マネタイズ成功の秘訣

個人開発集会の開催情報・参加方法

個人開発集会のポスター

個人開発集会

開催日: 2026年02月26日

開催時間: 22:00 - 23:00

開催曜日: 木曜日

開催周期: 隔週(グループA)

個人開発にまつわる話でワイワイする集会です。 個人開発をやっている方も初めてみたい方も大歓迎! 企画・技術・マーケティング・保守・運用など 技術的なことに限らない幅広い分野を想定しています。 個人開発に興味がある方はぜひ遊びに来てください!

個人開発にまつわる話でワイワイする集会です。 個人開発をやっている方も初めてみたい方も大歓迎! 企画・技術・マーケティング・保守・運用など 技術的なことに限らない幅広い分野を想定しています。 個人開発に興味がある方はぜひ遊びに来てください!