00:00
こんばんは、Replay.fm 第35回です。
こんばんは。
なぜか、なんか久しぶりな気がする。
実際空いてるよね。だいぶ空いたんじゃない、2つで。
先週通うにあって、日曜だから、だいぶ空いてる。
ほぼ2週間か。
で、明後日またやるのか。
よろしくお願いします。
忙しい。
いやー、なんかあの、先週の木曜から日曜まで風邪をひいてたせいで、なんか記事読みのリズムがバグってすごい。
読んでるんだけど、なんか本当に読んだっけっていうめちゃくちゃ不安になりながら今日収録に来たわ。でもちゃんと読んでた、全部。
あー、でももう俺も覚えてないな、それで言うと。覚えてる気がしない。
今日時点で8日前の…
そうね、確かに。
いや、火曜収録って結構絶妙なんだな。
1日猶予があって、読んで。
そうね。日曜に書き込み記事ほとんどないしね。
そうだね、幸いね。
みんなお休みしてるから、思い出しながらやっていきますか。
やりましょう。
AIエージェントクラインの導入
はい、じゃあ1個目。
AIエージェントクライン、フリーはどうやって前者導入した?フリーデベロッパーズハブの記事でございます。
えーと、全く覚えてないな。
ちょっと覚えてる。
基本的にはタイトル通りで、フリーがAIエージェントクラインを前者導入したよっていう記事でして、
こういう考え方で導入を進めたよっていうのがツラツラ書いてあって、
割と大きな特色で言うと、
AI特区制度とAI駆動開発チームを設けてるよっていうのが大きなところなのかね。
特区で検証して、ガイドライン策定して、
前者展開の流れで進むよっていう話がツラツラと書いてあるような感じです。
あとは課題か、課題と対策みたいなところで。
あーそうね、セキュリティの壁とコストの壁と、AIリテラシーの壁とみたいなことが書いてあって、
ペットロックの話とか、あとは独自プロキシの話とか。
この辺は前に別の記事でも多分紹介してるよね。
紹介してて、ただその時はペットロック使ってるぐらいの、そんなに詳しくなかったんだけど。
いやいや、独自プロキシの話も書いたって確か。
え、マジで?
ペットロックで足りなくて、結局独自プロキシを通すようにしましたって。
あーじゃあ僕が記憶できてなかった。
ちょっと何の記事だったか忘れちゃったけど。
いやでも多分クラインだったはず。
クラインで脆弱性診断かな。
なので、まあ大枠そこは紹介されてる内容は変わらなくて。
プロキシというかなんかガードレールっていう。
あーそうだね。
ガードレールなんやねんっていうのがわからなかった。
でも実際プロキシなのわかるようになってなかったっけ?
なんかインプットアウトプット見てるっていう風に書いてあった気がするんだけど。
わかんない。俺はプロキシと記載して読んでた。それを少なくとも。
なるほどね。俺はちょっとちゃんとそう思えてなかったかも。
インプットアウトプットに対してって書いてあるね。
失礼しました。
リアルタイム監視とコストの可視化をしてるよみたいな話とか。
あとはリテラシーがさまざまなんで。
クラインに寄り添った対策と多層防御みたいなのをやってるよっていうのが書いてあるのかな。
要はクライン固有の対策だけじゃなくて基本的な部分をちゃんとやるよっていう話とかが。
このポッドキャストでもその辺の話は散々言ってるような気がするけど。
いやー、MCPの話とかもね。
制限しつつ不便だからどうにかしようともしつつみたいなのもちらっと書いたり。
はい、という記事でした。
AI駆動開発チームの役割
なんか結構個人的には納得感の強い記事だな、進め方だなっていう風に思っていて。
このAI特区的な考え方はかなり個人的にはそうだよねっていう風に思う。
多分俺でもそうする。
これはそうですね、納得感が強いっていう表現はめっちゃしっくりくるな。
なんかシンプルに全部真似しようって思ったわ、読んだ時に。
なんか似たような取り組みを社内でリードする立場ではないけどリードするワーキンググループみたいなのに一応入ってて。
まあね、その辺の話で言うと、なんかこのAI駆動開発チームの話がね、記事の中あったね。
この専門チームとしてそういうチームを設けてるよっていう風に書いてあって、
専任のチームとして立ち上げてるっていうのが結構肝だと僕は思っていて。
いわゆるコーポレートエンジニアリングみたいな部分の多分拡張領域として、
あるいはプラットフォームエンジニアリングみたいな話になるのかな。
どっちかとどっちの方が近いイメージあるな。
どっちなんだろうね。でも難しいな。
ちょっと課題をどっちに、どっちの課題を見て動くかとか、どっちから始まるかによるのかな。
会社によって様々だと思うんだけど、要は別に、例えばだけど、
エンジニアをほっとけば勝手にやるから大丈夫っていう考え方で、
エンジニアリング領域じゃない部分にフォーカスしてやるよっていう組織だったら、
多分コーポレートエンジニアリング的なところから拡張されていくだろうし、
開発の中でAIをもっと使いましょうっていう話であれば、
プラットフォームエンジニアリング的な話になるだろうし。
そこはちょっと会社によって様々かなとは思うんだけど、
何にせよ普段の開発の片手間でやれるような話じゃないよねっていうふうに思っていて、個人的に。
まあ、そうね。
そこはフリーさんの体力があるとここまでできるっていう話があって、
一概に真似できないなっていう気持ちも持ってる。
サイクルを早く回すためにさ、多分明らかにそういうチームが求められていると思っていて。
そうなんだよね。
そういう動きが多分いろんな会社で出てくるんだろうなとは思っている。
そうね。
でもさっきのコーポ、例として2つ出しただけだと思うけど、
どっから染み出すというか、フックに進んでいくかみたいなところは結構個人的には強い気持ちとして、
開発側からスタートした方がいいような時は、肌感としてはあって。
なんていうか、シンプルにやっぱり一番使いたいのってエンジニアだから、
エンジニアがいろいろ考えてよっていうすごくシンプルな話に帰結すると思うんだけど、
なんかそれでしかないというか、
結構エンジニアが使いたいっていうところに対して、
例えばコーポレート側とかが全くかけて、
ああしてくれ、こうしてくれっていうのってあんまりなんだろうな、
うまくサイクル、早くサイクルを回すという観点だとあんまりいい形じゃないというか、
ブレーキとアクセルの関係みたいになっちゃうから、
どっちかというと自分たちでちゃんとブレーキ実装しながらアクセス、アクセル踏んでね、
ただしそのブレーキの実装し方はがっつり協力するよみたいな、
あくまでそのサポートみたいなスタンスを、
コーポレート相手になる人はセキュリティ領域とか、
多分セキュリティ以外のいろいろ、コストの部分とかもね、
誰が握るのか分かんないけど、
いくつか満たさない要件の部分はサポートっていう部分しつつ、
コアとしては自分たちで能動的に考えてっていう方がいいかなって気はしてるかな。
エンジニアと企業の協力
どっちかというとノンエンジニアがどれだけ活用できるかが肝だと思っていて、
クラインを?
クライン、クラインに限らずなんだけど、
この記事はクラインの話だけどさ、
別にこの体制ってクラインに限った話じゃないじゃん。
そうね、でもそれで言うと、
TENXとかはもう開発と開発以外で分けちゃったわ、
考える要点とかポイントとか、
導入した時に会社に生み出す生産性みたいなところが結構如実に違うみたいな。
今のところうちの見解としては、
開発はリターンがあまりにデカいから無視できないというか、
使わないことが損失に繋がり得るからちゃんとやろうだし、
それ以外の部分は割と使える部分は使えるんだけど、
ある種ちょっと、
世の中が言ってるほど使えるわけじゃない部分もあるよね。
割と慎重なスタンスを取ったりしてるか。
確かに開発以外とかも巻き込んでいくと、
そうだね、その辺の誰がリードしてほしいねみたいな部分は
ちょっと悩ましくなるかもな。
でも例えばJMEにちゃんと使おうとかだったらどうなんだろうな、
コンプレッタイティーとかなのかなとか思うけど。
ていうか結構インプットの部分の壁が大きいなと思っていて、
要はこれが全部突っ込めたらめちゃくちゃ使い勝手いい。
とりあえずチャットのUIさえあれば、
この辺にあるもの全部突っ込んでおいてくれれば、
チャットのUIさえあればなんとかなるよっていうところの
ハードルが地味に高くて。
例えばコンフルめちゃくちゃ大量にページがあって、
それ全部食わせておいたら、
あとはチャットのUIさえあればいいよみたいな状況とか、
例えばだけどね。
そういうところに対して、
吉野に雇ってくれる間を立つ、
間を持つような何かが必要だよねみたいなところに
アプローチできる人たちが多分必要で、
それを開発というところに全然触れてなかった人に対して、
それを吉野にやってよって言っても別にそんなに上手く進まないというか、
でもそれさえあればめちゃくちゃブレイクスルーがあるかもしれないのに、
そこが一個ハードルになっちゃうみたいなのは多分あると思っていて。
なるほどね。
確かにそこまで求めるんだったら、
完全に専任チームないと可能だろうね。
だいぶプロアクティブに。
片手間にやっておいてよっていうレベルの話じゃないよねっていうふうに思う。
それは多分開発のほうも一緒だと思うんだけど、
突き詰めていくとね。
そうだし、そこを専任チーム立てなくても埋められるぜっていうサースを、
各社が死ぬ気で出し合ってるっていうのが今ではある種。
もっと言うとそこが、
ノートフックLMとかかなりそれに近いんだろうけど、
それでも例えばコンフルのURLを渡したらよしのにやっておいてくれるかっていうと、
そこまでじゃないと思うし。
インテグレーションっていうか。
ノーションとかは結構ロックインしにかかってるような雰囲気があると思うし、
一方でMCPとかで何でもかんでも全部繋がるようになるから、
別にそこのインプットの部分って気にしなくていいよっていう感じになるのかもしれなくて、
そこはちょっと読み切れない部分はあるけれども。
結構なんか難しいな。
ある種オープンクエスチョンな感じの課題設定をして検証するってなると、
やっぱ専任チームないとどうにもならん気がするな。
なんかもうちょっと足元の、
まあまあこの辺便利そうになるよねみたいな、
もう少し具体的な問いって何個かある気がしててなる。
その議事録文字起こししていい感じに翻訳されるとか、
全文検索でクソだったのを先生への力で良くするみたいな、
なんかそういう問いは結構いくつか立てられると思っていて。
で、なんかそこまで落とせると割ともうちょっと、
なんだろうな、片手間じゃないけど、
専任の100パーサインみたいなのをしなくても、
検証とか出社選とかできるかなって気はしてるし。
そうもそうも。ちょっとね具体例は出せなくて申し訳ないんだけど、
まあ少なくともメルカリの中では結構そういうのを目にしてきていて。
いやーなんかそこ、
なんか個人的にジルマルなそのうちぐらいの企業で、
やったほうが絶対いい気もしつつ、
なんかさ、時代がもうこんだけ流れ早いと、
待ってりゃ来るみたいな考え方もできるっちゃできるかもしれないし、
またその、せいぜいに合わせて寄せるみたいな議論もある気がしてて、
なんかその辺はあんま具体的なことは言えないんだけど、
弊社内でも結構議論が発生してて、
考え方が、それを最近多分、
僕はどこで見かけたのかあんま記憶ないですけど、
そのドキュメンテーションの仕方のパラダイムシフトじゃないけど、
そうだね。
文字が最強みたいなね。
そうそうそうそう。
だからその辺に立ち返った時に、
まあ今僕らが使ってるツールセットとか、
まあSaaSっていいんだっけ悪いんだっけとか、
さっきのデータのインテグレーション話とかも考えた時に、
実はこれに、今使ってるこれに全部寄せちゃった方が、
結果的にめちゃくちゃリターンでかいんじゃないかみたいな、
なんかそっちに寄せていくみたいな、
議論も結構あったりする気がする。
まあそうなると、
ノーションとその機能
例えばノーション向いてない、向いてるみたいな話とかも出てくるし、
そうだね。
まあOBCD案が最近また盛り上がってるのって、
マークダウンだからなのかなみたいな話とかもあったりするし。
そうだね。
いやあ、
ナレッジ系のSaaSを提供してる人たちは気が気じゃないだろうなってすごい。
そうね。
結構ここで古いにかけられるというか、
ノーション、ノーション大丈夫かなと思う。
いやでもノーションはでも結構唯一無二だと個人的には思っていて、
そのデータベースとしての、
なんていうか、
そのいいところは結構唯一無二だと思うんだよな。
まあわかる。
痒いところに手が届くというか、
そのスプレッドシートが足りないんだけど、
そのなんていうか、
例えばRDBMSを一個字前で組んでくださいって言われたら、
いやあそこまでじゃないでしょっていうレベルのものに対して、
なんか割と、
要はベタースプレッドシートみたいな使い方がしやすい。
なるほどね。
まあ確かに。
リレーションがあるのかな。
インスタンス、インスタントスプレッドシートって感じがするけど。
逆に。
なんか、スプレッドシートでもできるんだけど、
やろうと思ったらマクロゴリゴリに組むとか。
そうそうそうそう。
でもノーションだったらポチポチとか、
ちょっとまあ知ってればわかるみたいな、
やっぱめちゃくちゃ価値がある気がする。
なるほどね。
リレーションかなあ、サクッと組めないからなあ。
スプレッドシート。
わかんないね。
いや多分できるんだろうけど、
自分しかいじれない。
そうそうそうそう。
親の顔より見た景色が広がる。
あとはレコードに対して、
そのドキュメントを直接紐付けて置いておけるっていうのも結構個人的に大きくて。
これノーションだったら一撃で解決するなあっていう問題が、
例えばなんかジラとかスプレッドシートだとやっぱり解決できなくて。
結局スプシとジラを組み合わせないといけないみたいなのが結構あったし。
結構あったし。
確かにね。
いや、おもろいなあ。
ノーション。
いやあ、先生、おもしろいなあ。
新たから見てる分にはおもしろいんだけど。
まあでも、これはちょっと記事に戻るけど、とてもいい記事だったなあ。
なんかこういう系、自分が見かけてないだけかもしれないけど、
あんまり出してるとこない気がしてて、
すげえ最高だなあって気持ちがあったなあ。
導入してこういう生産性を出したとか、
こういう生かし方でめっちゃ勝ちてましたみたいな記事ばっかで、
いやそれもめちゃくちゃ素晴らしいんだけど、
やっぱなんか防御面というか足元みたいなところはあんまり具体的な言及がなかったから。
サイバーセキュリティの課題
まあ各社も策はしてるんだろうけどね。
そうだね。
もしくはなんかその、そのね生煮えというか、
ある種めちゃくちゃリスク取ってやってるとかもあると思うんだよね。
あると思う。
絶対外に言えないと思うけど。
そういう意味ですごいよかったなあ、この記事は。
そんな感じですか。
はい、そんな感じです。
はーい、じゃあ次に行きますか。
行きますか。
はい、NSOグループファインド、
167ミリオンドルスポーツファイブウィアルアタックスオン、
400ワッサフユーザーズという記事でございます。
スプリーピングコンピューターですよね。
NSOっていう何グループ?会社なのかな?わからんけど。
会社だと思う。
が167ミリオンドルのバッキンを、
スパイウェアのスパイヤー攻撃っていうのがちょっと違和感あるんだけど、
スパイヤーがばらまいていて、
WhatsAppのユーザーに対してばらまいていて、
それに関してバッキンがあったよって話。
バッキンを稼いだよって話ですね。
で、スパイウェアベンダーが法的責任を問われる初のケースとして注目されているよっていうのが、
Notion AIの要約に書いてあって、そうなんですか?
軽く調べて、これより以前からこのスパイウェア系の記事結構ちょこちょこありつつ取り上げてこなかったんだけど、
論調というか書きぶり的にはそのグレーゾーンみたいな感じっぽくて、
今回判決始めててってなってちょっと調べてみたんですけど、
なんかその所有スパイウェアっていう概念があるらしくて、
なんだっけな、これなんかの、
シスコか、シスコのブログから引用したのをNotionに貼ってるんですけど、
所有スパイウェアっていうのが何かっていうと、
単位名分としては政府機関とか警察が犯罪者を追跡するために使うスパイウェア、
なんでそのスマホにこっそりインストールしたら全部頭抜けになるようなアプリケーション売ってるんだけど、
実態としては犯罪者にめっちゃ使われてるし、それを黙認してるっていうのが、
割とその基地の問題としてずっとあったという感じ。
なるほどね。
パッと思ったのはレジデンシャルプロキシーサービスっていうのと結構似てるなと思ってて、
こっちは何かその、何なんですよ、
例えばお宅の自宅のWi-Fiルーターをちょっと貸してくれたら、
月当たり500円とか1000円あげますよみたいな契約を、
あまたの家庭と結んでそのIPを貸し出して売るっていうサービスをやってる人たちが世界にいるんですけど、
それとかもかなりグレーで、実態としては犯罪者からIPを買われるっていうか、
例えばDDoSとかで使ったときに、
AWSとかじゃなくてアクセス元を、
世界中の普通の家庭のWi-Fiルーターにできるみたいなところでめっちゃ悪用されてたり、
そもそも何かそのさっき言った契約みたいなの実は個別にちゃんと結んでなくて、
何かのフリーソフトウェア入れたら、
しれっと利用契約にこれに契約しますみたいなの書いてあって、
ほぼマルララだろみたいな感じで入り込んだりみたいな、
何かそういうサービスとかあるんですけど、
何かそっちとかも何か結構制裁を受けてなくて、
ホーナー名を買いくぐって、
実態はもうほぼほぼお前犯罪者向けのサービスだし、
それで収益上げてるだろうだけど、
本人たちはいやいやそんなことないですよっていう、
スタンスを取って通してしまってるって感じで、
まあまあっていう、ちょっと脱線しちゃったんですけど、
マシュアルスパイウェアはそういう感じのサービスになってて、
で、今回じゃあ何でメサが入ったかで言うと、
何か相当イーウィルだなって感じなんですけど、
言うても犯罪者が使ってるってなった時になってても、
犯罪者がNSOのサービスを買って、
犯罪者が自分の力でスパイウェアをばら撒いてるんであれば、
NSO側としては、
いやいやもう僕らはお金払ったから売っただけでっていう、
スタンスを取れるんだけど、
実際そうじゃない事例が明らかになったっていうのが記事の内容で、
スパイウェアを犯罪者に売ったし、
あとはその犯罪者に対して、
このゼロデーの脆弱、だから今回はWhatsAppか、
WhatsAppのこのゼロデーの脆弱性使えばスパイウェアを
感染させられますよっていうところまでサポートしちゃってたっていう部分があって、
これをWhatsAppの開発者、開発会社の親会社かな、
メタがいやそれはダメでしょっていうところで、
訴えてカットっていう話です。
なるほどね。
だから結構、なるほどね。
なんか難しい事情があるんだね。
身元がはっきりしてこういうことを言われるって、
法律上どういうことになってるんだろうなって思ってたんだけど。
そうなよね。
日本も結構でもそう言われてみると、
割と怪しげなもの多い気はするけど、
でもここまでなんかイービルなものってそんなにないよな多分。
だいぶそうだね、結構イービルだよね。
またWhatsApp以外にも複数の感染経路みたいなのを、
スパイウェアとスパイウェアを感染させる、
感染ルートも開発して売ってるというか。
いやーって感じですね。
日本だとなんか完全に都市伝説レベルだから、
鵜呑みにしないでほしいけど、
サイバー保険で、サイバー保険会社で、
ランサムウェアの複合までやりますよみたいなことを言っている会社が、
蓋を開けたらランサムウェア側に自分たちに身の代金を払って鍵を手に入れてたみたいな、
都市伝説とかは聞いたことがある。
日本に限らずだと思うけど。
そういうとこはグレーというか、
裁けないよねとは思うんだけど。
そうねー。
これどこの、NSグループどこの国だっけなー。
なんか国的にもまあまあ、
あーって感じの国だったんだな。
確かに。
イスラエルか。
そうね。まあまあまあ。
これはちょっと、
事実は小説より気なりじゃないですけど、
おもろいなと感じですね。
これそうだね。
まあでも続くだろうな。
今まで取り締めてないから、
そんな感じです。
証券業界の動向
これねー。
証券会社58社対要素認証の設定必須化。
スキャンネットセキュリティさんの記事です。
短いので全部読んじゃうと、
日本証券業協会は4月25日、
対要素認証の設定必須化を決定した、
証券会社発表したよと。
日本証券業協会が別に、
やってねっていうふうに言ったとかじゃなくて、
ここが対要素認証の設定を必須化したよという発表をしただけ。
証券業界では不正アクセス等への対策として、
ログインID、パスワードを接触されても、
単要素認証と比べ、
被害を防止できる可能性が高まるよう、
インターネット取引のログイン時に、
対要素認証の設定を必須とする対応を進めているよと。
インターネット取引のログイン時に、
対要素認証の設定必須化を決定した証券会社は、
全58社。
なお、対要素認証の必須化の具体的な
対応開始時期については、
証券会社ごとに異なるよという記事でございます。
うん。
さよならマネフォ連携という。
でも取引パスワード、取引時だけだったら別に
マネフォワード大丈夫かな。
どういうふうに、ちょっと嫌なのか分からんけど。
でも違うわ、インターネット取引のログイン時にって書いてあるから、
分かんねーな、ちょっとどういう形でみんな、
どこが各社が実装してくるか
分からんけど。
でもマネフォ連携、対要素認証も突破できるやつあるよね。
普通に。
そういう形で対応するかもしんない。
毎回さ、
まあいいや、はい。
どうなんでしょう。
自筆志望で。
いやーこれね。
2人ともそのメモに書いてるんだけど、
まあ遅いよねっていうのはまずあって。
ただなんか結構その、今まであんまり
真剣に狙われてこなかったんじゃないかなとは
思うんだよね。
うーん。
これってなんかそのフィッシングで起きてる被害って
なんか多分直接的に現金を
抜かれるような何かじゃないよね、きっとね。
確か。変な株買われたとか、
株売られたとか、それ系だよね確かね。
なので、
たぶん口座の引き出しって
事前に登録済みの口座じゃないと出せないとかあるから
基本的に。
なので、手っ取り早く現金買っていないと
できないんだよね、ここ狙ってもね。
割と周りくどいことをして初めて
利益が得られるっていう構造になっているはずで。
で、たぶん
勝手に思っているのは割とフィンテック系がボコボコに
されて強くなった結果、たぶんここに流れているんじゃないかなと思っていて。
なるほどね。
そっか、割とボコボコにされたのか。
割とボコボコにされてたよね。メルカリとかも
報道で出ているところでもかなり金額が、何年か前だけど
でかかったし。直近もなんか
パスキーの登録者数が1000万人を突破したよっていう
プレスってたりするし。
攻撃した時にはだいぶだるいよね、そこまでいっちゃう。
だいぶだるいね。
最近の不正取引の問題
なるほどね、確かに。これなんか
全く元気なかったんだけど、なぜ今なのか
みたいなのは結構気になるな。
因果関係があるかわかんないけど
やっぱ直近楽天証券、渋谷証券とかで
乗っ取られて株云々みたいな
大炎上してみたいな。そっからなのかな
という気はしつつ
そうね、まあにしてもな
あとこれ
48社設定必須化を決定したってだけで
導入時期はもう全部
バラバラなんで各社確認してるって感じらしくて
なんか
頑張れって気持ちはするなっていうか
うん
まああとはなんか
パスキー先生はどうなんでしょうかっていう
とこ気になりつつ
いやー確かにでも現金化できない
そうね、変な株買って
なんかその辺の考察記事とかあんま手元には流れてきてないな
あっても良さそうなんだけどな
まあ
なんか体感弾みたいなの
多分上げてる人はいるんじゃないかなって
あーでもそういうのもいいね、確かに
うーん…
今年の1月ぐらいから発生し始めて
不正取引件数
2746件までに達している
多いのか少ないのか分かんないが
まあでも多いのか
被害額は売却金額が1612億円
買付金額が1437億円
うん
まあやられ…
少なくともユーザーたまったもんじゃないよな
普通に
なんかすごい自分は知らない人だったんだけど
多分株売買のインフルエンサ的なめっちゃ有名な人も
やられたみたいなの見かけたわ
これはなんかどういうモチベーションでやってるんだろう
この…
まあでもさ、インサイダーできるんじゃないの?
インサイダーじゃないか
市場操作ができちゃう
市場操作ができるはまずあると思うんだけど
よほど大口のユーザーのアカウント乗っ取れたら
確かに市場操作ができると思うんだけど
うーん…
相場操場を行ってるって書いてあるな
面白いね、最終的には現金を手にしてるって書いてあるな
どうやってやってるの?
レッシングします、売却して資金を得ます、まあまあまあここまではいいです
で、流動性の低い銘柄を大量に買い付ける
事前に仕込んでおきますよと
で、株価が
あー
やっぱそうだよね、だからね
売却、株の売却用の
証券口座がないと
現金化というか利益を得るところまで成立しないよね
って思っていて
たぶんこれをやることによって
乗っ取ったアカウントから現金を集約してるんですよ
1個の口座あるいは
特定少数の口座に集約しているはずで
そこで足つかないのかなと思うんだけどね
まあでも株を買うこと自体は
別に海外の証券会社とかでもできる
ああ、確かにね
だから日本狙うときは
SBIのアカウント作ってとかっていうよりかは
どっかのよくわからん国のやつで
とかやれば足がつきづらいところになる気がする
あとはネットバンキングのアカウントまで乗っ取れてれば
乗っ取った丸ごとその証券口座と
銀行口座のセットで乗っ取ってしまって
証券口座で得たお金を
銀行口座に出金してそこからネットバンキングで
どっかに証券とかもできたりするのかな
あるいは
まあ何らかそういう感じでやってるんだろうね
なんかこの記事面白いな
その文業の話とかも出てるの
口座乗っ取りとかの話とか
横円周が香港でやられたんじゃないかみたいな
面白いね
マレーシアとかでも起きてる
トレンドになるかもね
MF銀行か
確かにな面白いな
現金加速できなそうみたいなところは
確かにゆえに甘かったみたいな
手間がかかるから
多分避けられてたんだと思うんだよな
もっと手軽に狙えるところがいっぱいあったから
結構そういう傾向ってあって
どっか狙います
そこの対策が強化されて
割に合わなくなります
なので他に移ります
繰り返しをやってるはずで
なるほどね
世の中全体はオケの理論で回ってる感が
弱いところから金になるところから狙われていく
っていう構造ができてるはずなので
そうなんですよ
だからある日突然
自分のところが自分の業界自分のサービスが
一番美味しい業界サービスになる可能性がある
いやーおもろいね
そういう意味ではこういうトレンドが多いのも結構大事だね
大事だね
結局そういう実態を踏まえて考えたときに
パスキーやらんっていう選択肢が
もうおかしくないっていう
のを散々言ってるわけですよ
逃げ場がないっていうか
最終的に回り回って
他に何もなかったら多分
どっかしらが狙われるわけで
弱いところが狙われるわけで
なんとかそっから現金化していくっていうスキームを考えるわけだから
だからあんまりうちは関係ないからみたいなのは多分なくて
まだ順番が来てないだけっていうふうに思ったほうがいい
いつ来るかはわからない
確かに
そうなんだよな、このいつ来るかわかんないを
本当に本気で思えるかどうかが
分水嶺なんだろうなって気がするわ
いつ来るかわかんないけどまあ来ない
まあなんだかんだ来ないっしょみたいな
なんかスタンスとか気持ちになっちゃう人って
全然いる気がしていて
そこがやっぱ難しいような時はですから
そういうところに一つ一つ当てる
こういう玉を
心に蓄えていく気持ちで結構
個人的には記事を読んだりする
いやいやいやって
そんな感じですか
まあちょっと引き続き見守りつつですね
はい
現金化の難しさ
次がNew Bring Your Own Installer
EDR Bypass to Stimulate Your Attack
ブリピンコンピューターかまた
でございます
Bring Your Own Installer自体は多分
基地というかいろんなところで出てきてる話だと思うんだけど
脆弱性のある
許可された
許可されたソフトウェアの脆弱性のあるバージョンの
インストーラーを持ってきて
自前でEDRが
何も検知しないようなソフトウェアを
含む環境を用意するみたいな多分手法だったよねきっとね
違うな
Bring Your Own Installer自体はそれで
それの新パターンが出てきたよって話なんだね
これは結構
個人的に興味深いなと思っていて
サマリーにスクショを貼ってくれてたのでこれで多分もう
完結してるんだけど
そうだね
正規のインストーラーを起動して既存プロセスが終了されて
インストールプロセスが走っている間にプロセスをキルして
無防備にするっていう
つまり
これなんかさっき言った基地のやつはあれじゃない
いわゆるVT攻撃なんじゃないかと思って
いわゆるVT違うかそうかもしれない
Bring Your Own Brand New Driver
ドライバーの方だね確かにインストーラーではない
これはだから完全に新しいのか
全然名前がね失礼しました
VIOファミリー
インストーラーだから一番最初にインストールするときの
ポチポチっと押したら規約を
あれの脆弱性を混ぜたやつを
違うわ脆弱性混ぜてないんだよ
そこが肝で正規のやつのインストーラーを何とか立ち上げさせて
立ち上げるタイミングで
その中のロジックで
リロードするために
正規の動作として一回EDRのプロセスを落として
アップデートして再起動するっていう
再起動の前を狙うみたいな話かな
これがセンチネルワンで成立してるって話かな
でも悪用されちゃってんのか
むず
むずくせぇななんかEDR大変だなと思った
そうそうめっちゃね思った
家計簿アプリの将来
完全に小学生並みの感想なんだけど
いやでも俺も同じような感想をね
書いたし以来
理屈としてはかなりシンプルだけど
効くんだろうなというか
どうしようもないよね本当にこれが成立したら
一応ユーザー側で取れる対応策はあるらしいし
これを認知して直してる
直したのかな
あとはそのセンチネルワンが他のEDRベンダーにも
これ気をつけてって許容したりしてるらしいんだけど
解消はされると思うんだけど
似たようなものとずっと戦い続けるんだろうな
という気持ちで見たって感じですね
いやー大変だよな
ソフトウェアレイヤーだけじゃなくてさ
場合によってはOSレイヤーとかも変わる訳でしょ
分かんないけど
Windows12が出たらまたそれに対応してとかで
また穴ができてとか
本当頭が痛い
頭が上がらんなって気持ちですね
まあ興味深い面白い案件ということで
持ってきましたが
ズーム見るだけだったら3分で見るのでぜひ読んでください
まあこんなこともあるんだなっていう感じですね
だからでも別に
知ってもできることないのがさ
そうだね
でもセンチネルワンのユーザーがもしいたら
オンライン認証を有効にしたら
大丈夫とか推奨されてるから
まあまあそれ自体は
旅行客にはメールとか言ってると思うけど
そうだね
できることはもう祈るというか
EDRベンダー様様ってこと
またEDRを最後の壁にしちゃいけないんだろうけど
まあ難しいね
最後の壁で会ってほしいという気持ちもあり
EDRを最後の壁にしないは
まあ諸説あるのは物によるんだろうな
そうね
最後の壁で会ってほしいユースケースはすごいありそう
そうなんだよね
はい
次行きますか
開発者アカウントを乗っ取られても
ウェブストアに新規のパッケージ検証の鍵を
事前に登録しておく
追加のセキュリティレイヤーを投入
ここまでタイトルなの本当に
っぽいな
そうだねサブタイトル
タイトル通りで
オプトインの機能として拡張機能の署名用に任意の
RSAのみなのこれ
どうなんだろうね記事中には
まいっか
RSAの鍵をアップロードできる機能が
出たよというお話です
そうだね
RSA公開
だいぶ前なんだけど
Edgeの拡張機能でも
もうちょっと大胆なやり方として
APIキーをワンタイムで発行して
みたいな感じだったんだよね確かに
そうだね最初のパブリッシュの時にだけ
APIキーが得られて
2回目以降はそれを使って
使わないとパブリッシュできないって感じかな
有効期限も60日ぐらいで短い
それに追従する形で
Chromeの拡張機能向けに
こういうのが出てきたよというような話なんですが
個人的にはEdgeのやつの方が好きだなと思っていて
ただEdgeのあれって既存の
拡張機能に対してもうまいこと使えるようになってたっけな
っていうのをちょっとこれ読んで思った
あれ多分新規公開だけだったよね
今後はっていう感じだったと思うんだよ多分
なんか
そもそもリリースの
そもそもリリースしてから
どうなんでしょう
でもなんかあった気がするけどなこれか
ちゃんと残ってるAPI更新バージョン
初めて拡張機能パートナーセット
確かに
メモには残ってないですねどうなんでしょうか
どうなんだろうね
新規
ちょっとパッと分かんない
気になるね
なんで既に使ってる人たち
既に拡張機能公開してる人たち
への対応とか多分諸々考えた上で
あえてこれを選んでるんじゃないかなとは思っていて
どうなんだろうな
そうね
上々にというか
Edgeがそうじゃないと言わないけど
Chromeのエクステンションのシェアの広さというか
マニフェストも
苦戦してるみたいだし
ちなみに
Edgeのほうがオプトインっぽいですね
Edgeもオプトインなんだ
家計簿アプリの利点と問題
後からの適用の場合ってこと
多分
エクステンション公開するAPIの
バージョンが旧バージョンと新バージョン
って感じっぽいね
新バージョン使うんだったら
新しい認証式に乗っ取らないと
そうだよね壊れちゃうもんね
Edgeのほうでは
Edgeの記事読んだときは全然
思いつかなかったけど
利用者側で
このChromeエクステンションは
セルフホストしたキーで証明されたよみたいに見れると
嬉しいなと思うんだけど
嬉しいけど
全体の0.何パーしか多分使わない機能のような気がする
そういう説あるね
またそれで
別に安全っていう判断が100パーできるわけではないと
思いつつも
乗っ取られ
今の構造だとアカウント乗っ取れたら
もしくはアカウント乗っ取らずとも
偽のオース認証を通しちゃったり
パブリッシュできるって状況が変わるんであれば
結構使うことしない価値がある気はしつつ
業界の動向と影響
そうね
やるとしても
セキュリティ系のChrome拡張出してるところとかが
やったよっていうぐらいな
今のままだと留まりそうな気がするし
そこでちょっと検証を回して良さそうだったら
形を変えるのか浸透させるのか
やってくるんだろうなと思うけど
エクステンションって割と
どうなんだろうな
ブラウザベンダーどう思ってるんだろう
割とやられてる気はするんだけど
そんなに
去年の9月から記事読んでてそんなに動きないよな
知らないだけなのかな
サイバーヘイブンが巻き込まれたあれとかは
やっぱりデカかったと思うし
そうだよね
着実にやられてはいるんじゃないかな
めちゃくちゃ大きい夢どころが
やられてないっていうだけ
拡張機能やってる方はぜひ使ってみてくださいって感じ
僕はバリッシュしてないんだよな
バリッシュしてもらえないから
一個ぐらいやるか
絶対やんないやつ
超絶便利拡張機頼んます
クライン君に作らせるか
超絶便利拡張機能実装して
現代を生きるエンジニアとして
あまりに低すぎるプロンプトエンジニアリング能力
フィアリングからやってもらおう
確かにね壁打ちはあるかもしれない
次いきますか
次が
これね
セキュリティウィークの記事です
タイトルのとおりで
ARRのターゲットをまた満たすために
クラウドストライクがレイオフを検討しているよという話です
バブルが終わりつつあるのかなというふうに思っていて
クラウドストライクがあっていうのが
個人的には割と印象深いかな
そうなんだ
割とまだまだいけいけじゃない
個人的には
結構F1を
ファイナルファイナルファイナルファイナルファイナルファイナル
ファイナルファイナルファイナルファイナルファイナル
F1をなんか去年あたりから
去年おととしの後半から
結構ちゃんと見てて
F1の各チームのスポンサーが割と
このテック業界のその状況を反映していると思っていて
見てるんだけど
なんかクラウドストライクは割と
多分デカめのスポンサー執行を持っていて
例えばなんかパッと思いつくとこだと
ワンパスとかキーパーとか
ドロップボックスとかアトラシアンとかは
今シーズンから入ってきたし
AWSは多分
F1そのもののデカめのスポンサーだった気がするし
すごいね
おもろ
結構めっちゃ多いかつ割と目立つ
目につく感じであって
名を連ねてはいるんですよね
そういうところに広告機をガッツリ使えるっていう
状況に比して
裏ではこういうレイオフが検討されている
みたいな状況
入れ切っちゃったのかな
デカいところに
あとは単純に
前も話したし
下に関連記事みたいなのがあるんだけど
結構似たような話
レイオフ
オクタープルーフポイントとか
レイオフの話がめちゃくちゃたくさんあって
AIによって
一人当たりの生産性が上がった前提で
原価削れんじゃんみたいな
どこも
逃げ切らないのはどの会社もそうは明言しない
みたいな状況だから
推測するしかないんだけど
タイミングと挙動的には
そうなんだろうなっていう気持ちはあるかな
だから業績が悪くてレイオフっていうよりかは
単純にかけなくていいコストをカットしましょう
っていう感じなんじゃないかって気はするな
もしくは何か文字通り
AIに仕事を呼ばれた人たちがいてっていう話もあるかもしれないし
これくらいでかいとこだと
バブルが
バブル終わるというか
生き残り方は考えないといけないんだろうな
真面目に
という話が来週に聞けたりしてて
そうなんですね
いやー
あー思い出した確かに1個
生きんのに必死なんだけど
真面目な話
給料維持したいんだったら死ぬ気でやらないといけないんだろうなと思うな
単価下がるよね絶対普通に
原価が下がるってことはさ
今までは
1500万出してでも来てくださいってなってた人が
いろいろ浮いたから
1300万でっていう市場に変わるっていうのは
あり得るだろうなと思う
じゃあその付加価値もしくは
AIで埋められない幅をどんだけ持たせられるかというか
そうですね
頑張っていきましょうって気持ちですけど
OSSと経済安全保障の課題
あとめっちゃちょっと
思い出しちゃったから喋るんだけど
めっちゃ余談なんだけどさ
そのノートブックLMのポッドキャスト機能出たじゃないですか
結構前からやったっけ
使ってもらったんだけど
これなんか生成してみてまだ試してないんだけど
思っちゃった笑ったわ
いいじゃんやろうよ
サマリーをめっちゃ頑張って書いて
ノートブックLMにやらせる
でも
サマリー作るところもノートブックLMにやらせればいいのか
そうなんだよだから俺らはURL一覧を
ノートブックLMに突っ込んで
オフトピーとか余談が大事なんじゃん
それはそう
だからそこで俺ら深課長出して
ノートブックLMが作ったそのポッドキャストの文字起こしを読んで
我々が余談を話す
ウケる
そこで深課長出して年収を下げずに行くと
一回さ普通にさ
普通にやって両方出してみればいいじゃん
普通にやったバージョンとURLだけ加わって
ノートブックLMに加わったバージョンで両方出してみて
再生回数が多い方を残そう
やり方として再生回数が多い方に投稿していこう
なるほどね
再生回数っていうか多分離脱率が低い方かな
そこまで細かく言えない気がするけど
Spotifyは確か追えるはずなのに
ざっくりは見てる
ポッドキャストの音源これどうなんだろう
配信していいのかな
聞いてみよう
わざわざそういうもの分からんね確かに
ノートブックLM
配信できちゃうとまたゴミポッドキャスト
垂れ流す世界線が
その辺な
来週か
来週ねゴミコンテンツ問題の
考えさせること
楽しみなんですけど
ノートブックLM聞いてみてる
どうですか
ドキドキ
なんかだいぶ前に作った
なんかチャットで聞いてるから
帰ってこないと考えてきた
あくまで資料ベースでしかやってくれないから
ノートブックLMでは答えてくれないんだな
ジェミニに聞かないと分かんないんだな
ジェミニに聞くか
キャストの音声を
追伸して
ジェミニさん教えて
現時点では明確な情報が見当たりませんって言われた
規約とかヘルプドキュメントを読め
それがしたくてお前に聞いとん
まぁまぁジェミニ君には分かんないってことが分かったね
まぁまぁまぁちょっと
試してみましょう
でも調べたら30分上限にしかならんから
俺らほどのだらだらさと濃さは演出できない
まだ
記事の30分しかないから
毎日出せばいいんでしょ
なるほどな
スループッと上がるね
面白いな
毎日出せばいい
ちょっと作ってみるわ
何なら過去バージョンでもいいしな
過去バージョンでもいい
やってみましょう
やってみます
じゃあ最後か
という記事でございます
ワイヤードの記事ですね
私のタイムラインでコクモトさんって言ったら
紹介してて目に入ったので持ってきましたが
ちょっとタイトルだけだと
何の話だかパッと分かんないので
まさにコクモトさんが紹介したときの
Xの投稿を
ノーションには貼ってあるんですが
広く使われている
GOのOSSのイージー・ジェイソンっていうのがあって
これのコントリビューションに
ロシア人
ロシア界隈の人が関わってるよっていう
話らしい
割とこれで解決しちゃってるので
特に自分で何かサマリンを付け加える必要性を
感じないんだけど
結構しんどいなと思っていて
OSSのコミッターの通常まで考慮して
経済安全保障上の
サプライチェーンリスクを考えないといけないのは
ちょっとしんどいよなって
思ってしまうんですが
どうですか?
めちゃくちゃしんどいね
これだけで人儲けできそうな領域だなと思うんだけど
ただ
かかるコストがやばすぎて
あとやりきれないよね
通常なんて洗えないと思うしさ
むしろ
なんでわかったんだろうね
調べたのかな
リサーチしたんだろうね
結構難しくて
依存の依存まで管理できますかって話はあると思っていて
使えないものがめっちゃ出てくると思うんだよね
仮にこれであれはダメこれはダメってやったらさ
それもそうだし
コントリビューションが全員アメリカ人だったら安心なんですかって言われると
例えば
その中のコントリビューターの中で1人
ロシアじゃなくてもいいんですけど
ロシア審判みたいなのがいたらダメだしね
それもそうだし敵大国が普通に買収するみたいなパターンもあるわけじゃん
来週か再来週の記事に多分出るけど
コインベースのスタッフが買収されてみたいな話とか
コントリビューターお金困っててとか
とかもあるし
そのリスクはあると思うけど
そこまでいくと別の法律で処理できるんじゃないかな
確かに法的な観点は
確かに
それで言うとこのケースは確かに
どうにもならんだね
でも思ってるのは
何使ってるにしても
いつ何が入ってもおかしくないって前提で
やっぱ防御するしかないんだろうなっていう
どこまでいっても
全部自分たちで作るしかない
極論はそうなってしまうが
歴史がそれをできないことを証明してる以上は
付き合っていくしかないというか
そう
サプライチェーンな
何回考えてもきついんだよな
何回考えてもきつい
やっぱその
そのコードが安全であることを証明するっていうのが
悪魔の証明であるっていう部分が
きついのかな
EasyJSONぐらいだったら
まだなんか
EncodingJSONっていう標準パッケージみたいなのがあるんだけど
そういうので遅いけど
大体はできるみたいな話はあると思うし
疑似なんとかなるかなと思うけど
でも確かに
使わずに済むなら使わないっていうのとか
そういうのも一つの有効な点だし
そういう有効な点と有効ではないんだが
防御力が上がる点みたいなのも
いくつもいくつも組み合わせてやるしかないんだろうね
だからその
使わずに済むなら使わないみたいなのは結構
家計簿アプリの重要性
セキュリティに転身してからめっちゃ意識するようになったんだよな
逆に言うとソフトエンジニア次第マジでカジュアルに何でも使うからさ
そこの
なんだろうな
っていうか結構
みんなにそういうマインドを持ってもらうみたいなのは
あんま考えたことなかったけど実は大事なのかもなって今ふと思ったわ
難しいっすね
難しい
でもその辺で割と自分はソフトエンジニアスキルが
あったのが生きたケースとしては
直近2年ぐらいもずっとGitHub Actionsの改善を
細いときもあれば太いときもある
つつやってるんだけど
それGHコマンドでできますよおじさんを
地道にやっていったことで割といろいろ消滅できたみたいな
とか
自分に続くそれGHコマンドでできますよおじさんが
気づいたらバックダウンしてくれって言って
そういうのは良かったなとか思うな
はたから言うのは楽だけどそれをちゃんとやれることを証明するというか
そういうのも
すごく地味なんだけど
組織規模が小さいから言えてるだけで
エンジニアが10倍だったら同じことは起きないかもしれないけど
大事だなっていうのもふと思ったり
むずい
という結構ちょっと
しんどい気持ちになる記事でございますが
でも確かに
パーシステントリスクがあるよって言われたら
まあせやなっていう
感想にはなる
そうね
あれもう
米国国防総省は使うのやめればいいんじゃないっていう
他人事だから言えるかもしれないけど
そういう判断をするしかないんだろうね
本当にこういう評価を下すのは
面白いよねセキュリティって
さらなる議論
そうね
根本には戦争がやっぱあって
ルーツがやっぱあるわけだから
こういう話が当然のように出てくるし
非常に面白い
面白い
ロシアからはGitHubはアクセスできるんだな
まだっていうか
そこはブロックはしないというか
まあ困るもんな
言われてみればそう
あんまいまいち
でもなんかあったな
ウクライナ戦争始まった直後ぐらいに
GitHub側から表明があった気がしたな
開発者の自由というかみたいな部分で
ブロックはできないみたいな
適当なこと言ってたら申し訳ないから
調べておきます
今日こんなこと起こすか
ああありました
2022年3月に出てました
GitHubのビジョンはどこに住んでるかに関係なく
全開発者のホームになることだから
ブロックはしないっていう
これはなんか俺らのGitHubって感じもするし
まあこういう問題もはらむけど
ブロックしたら解決されるかというとそうでもないだろうし
まあまあまあ悩ましいですね
久々に
ライトに
でもいいね日々いろいろ起きるね
マネ法が個人的には気になりますね
マネ法
いやなんか株価のグラフとか
ああいうので食ってると思うんだよね
あれがあるから
マネ法に限らずなのかそれで言うと
なかなかAPI連携みたいな世界もないだろうし
まあね
証券会社側からしたらやる意味ないもんね
そこはな
また2日後に
インタビューすることになりますが
ハイペース
少し遅めの日曜収録なんで皆さんに
遅めの配信になると思いますが
引き続きお願いします
あとツイートはしたんだけど
33回は諸事情により配信できないかもしれないんで
配信できなかったらごめんなさい
もういいよ
諸事情かっこ僕のマイク雑音により
まあそうね
頑張る
じゃあないことにするわ
ないですにして出たらラッキー
出たらラッキーぐらいでいい
あと読めるし人によっては聞くのストレスかもしれない
しれっと忘れた頃に出すかもしれない
すいませんが
じゃあ今日そんな感じで
皆さん良い5月を
お過ごしください
何もないね
キレが悪いな
次の祝日が7月までないらしいですね
じゃあ皆さん良いシャチクライデーズをお過ごしください
次海の日までないらしいから
頑張ってください
頑張りましょう
6月がねえんだもんな毎年だからそうなんだ
頑張ってください
僕ももうすぐ夏休みが終わっちゃうので
そうだね待ってます
そんな感じで
良い何かを
各々の日常を
良し悪し過ごしてください
おやすみなさい
