初お便り紹介とパスキーの話題
こんばんは、Replay.fm 第77回でございます。
こんばんは。お、77。
めでたい。
めでたいですね。
めでたきーす。
久々のゾロめかい。
11回ぶりのゾロめかいですね。
そして、たった今、忘れてたと思って、お便りをどうせねえんだろって思って、今喋りながら手元に開いたら、まさかの1個届いてたんで。
すごい。
記念すべき第1回、ちょっと読みますか。早速ですけど。
ちょっとドキドキしますね。
ドキドキしちゃいますね。
ラジオネーム、これは、どうなんだろう。読み上げていいのか。読み上げていいか。
ちょっと待って。
社名が、これは社名なのかという、ちょっと。
はいはいはい。大変押さえになってます。
すごい。
どうしようかな。なんか、でも。
あんまなんかでも、表に出てこない人なんで。
そうなんですね。
あとの手前だけ読むと、g.mochizukiさんという方からお便りいただきました。
お便りなかなか来ないみたいなので送ってみました。
お二人が緩い雰囲気でやりとりしている感じや耳心地の良さ、取り扱うネタなど諸々がハマって半年ぐらい前から拝聴しています。
ありがとうございます。
お便りなかなか来なくても、お二人のペースで続けていただけることを期待しています。
はい、ありがとうございます。
これって一体面白いネタはないんですが、仕事でここ1年はパスキーの設計レビューや診断に絡むことが増え、個人的にはパスキーがホットな話題なんですが、
まさかの日本郵政がいい感じにパスキーを実装していて驚いた次第ということです。
これは知らなかったですね。
意外と意外なところが綺麗に実装していたりして、なんかあるよね。
ほんとだ。
エイジさんが取り上げてる。
噂というか噂の噂で聞いたんですけど、日本郵政、多分エンジニアというか開発チーム結構ちゃんと作ってるらしくて、
内製もどこまで内製してるのかとか全然把握してないんですけど、
少なくとも採用みたいなのをきちんとやっていて、内製チームがあってみたいな聞いてたんで、
なんというかソフトウェア方面もきちんと頑張ってるのかもしれないですね。
はい。
これはいいですね。知らなかった。
これワンパスガードってさ、パスキーがあるサイトとかって一覧化できるんだっけ?
一覧化わかんないな。
ワンパスのウェルノーンページみたいなのあるよね、確か。
ウォッチタワーとかあるとしたら逆に。ウォッチタワーだと逆に出てこないな。
ウォッチタワーだと自分が持っている、利用し得るところしか出てこないもんね。
これ別にワンパスのサイトじゃないんだ。パスキーズ.ディレクトリーっていうサイトに飛ばされたね。
でもワンパスガード提供、あるじゃないですか。これですよ。
ちょっと貼っておきますけど。
パスキーズ.ディレクトリーって打てばいけますね。
ここに郵政も入ってるのか。
JPじゃない?ジャパンポストかな。
でもジャパンだって出てこないからあれだね。
多分ない気がするな。
これ多分パスがあるよね。スラ.エルノンスラ何だろうみたいなパスキーズサポート。
それを日本郵政さんがまだやってないか、このパスキーズ.ディレクトリーに247個しかないから結構おかしいかもね。
これそうなの?自動収集なの?
そうじゃない気がする。
打ち合ってまーすってあれする感じなんじゃないかな。
サジストニューリスティングってあるから。
打ち合ってまーすどころじゃないのか。ここやってまーすでもいいわけか。
そうかもね。エルノンって言っちゃったけどそういうのじゃないかもね、もしかしたら。
ちょっとあれか多くってことか。
なんかちょっといい実装はちょっとパッと思いつかないんだけど、ダメな実装は最近あったな。
パスキー?
突然パスキー使いますって出てきて登録したんだけど、ログインできなくて。
普通にパスワードでログインできるからいいんだけど、パスキーでログインしたいから。
結構地味にパスワードの再入力が要求されるサービスでパスキー使いたいので。
パスキーが使えない状態をなんとかしたくて鍵を再登録したいんだけど、鍵を再登録する口がどこにもない。
バッドだね。めちゃくちゃバッドだね。
マジでバッドなんだよね。
本当にひどい。ちょっとマジでなんとかしてほしい。
全体的にちょっとね、しんどい感じではあるんだけど、カートの中身をいじったときに、
多分インアップブラウザー的なやつなんだけど、全体の再描画が走っていちいち一番上に引き戻されるとか。
なんかね、ぼちぼちしんどい系なんだけど。逆になんでパスキーだけそこ実装しちゃったのっていう。
まあちょっと、もう何も言えねえ。
邪推することはできるけど、いろいろ。パスキー云々ってよりかはユーザ体験の設計みたいな部分がうまくいってないのかもね。
そうなんだよね。なんかね、これに限らずではあるんだけど、なんかね、なかなか体験がとっちらかってるサービスがありまして。
はい、応援してます。高価でも使ってるんで、応援してます。
なるほど。
まあ、ジャパンポスターさんはありがとうというのと、お便りありがとうございます。めっちゃ嬉しい。
ありがとうございます。いや、お久しぶりでした。ご無沙汰します。
よかった。
はい、じゃあそんな感じで、まあ10回に1回ぐらい来るかもしれないという気持ちで、まあ引き続き何でもお待ちしておりますという感じですね。
はい。
「セキュリティは難しい」記事の考察
じゃあ今日もね、気づいたら記事が多かったんで、上から順にやっていきますかね。
いきましょう。
はい、じゃあお願いしようかな。
そうですね。まあ相も変わらず、僕はあんまり記事を読んできてないっていうあれで、
僕が読んできてる記事がね、そんなにないというのがあるんで、せめて紹介だけでもっていう感じなんですが、
セキュリティって難しいっていう記事ですね。水谷さんのブログ記事ですね。
えーと、なんかね、そんなに長くないんで、読んでくれるとしか言いようがないんだけど、
セキュリティって難しいよねっていうのを素朴に言語化してくれてる記事ですね。
なんか何が難しいんだっけみたいなので、そもそも仕組みの理解が難しいよねとか、
インハウスでセキュリティに取り組む上でリスクと事業のバランスが難しいよねって話とか、
なんならリスクの洗い出しそのものも難しいよねみたいな話とか。
なんか割とじゃあどうしたらいいんだっけっていうところでオーナーシップを共有するっていうのがどうしても必要だよねっていう。
その一方的に押し付けるっていうのはあんまりうまくいかないし、
なんか一方でセキュリティチームがなんかこう、なけがなんかやるっていうのもまあ普通に無理だし、
なんかオーナーシップを共有するっていうのが必要だよねっていう話と、
まあそのためにはなんか対話が欠かせなくて、互いに話すっていうのが必要だよねっていうので、
まあなく締めくくられてるような感じですね。
なんかまあわかるとしか言いようがないんだけど。
わかる、わかるって声に出たよね。なんか読んでさっき。
結構その読んでほしいね確かに。
2、3分で読める分量なんだけどマジでセキュリティ、
インハウスでセキュリティをやってる身としてはなんかその、
本当にちょうどいいリウトで、
もう多分100人中99.9人ぐらいが同意できる話をめちゃくちゃ綺麗に抽出して言語化された感じの記事だなっていう気がしますね。
もうなんかもう本当その通りですというか。
またなんか水谷さんこういうなんかそぼぎみたいな、ちょっとそぼぎっていうか素朴に書くのちょっと珍しい気がしてて。
珍しい気がするね。
水谷さんでもやっぱ悩むんだなというかなんかみんな悩むんだなっていう。
これそうね。
こういう素朴な話をなんかその会社の壁を越えてなんかいろいろなんかボソボソ喋りたいよねなんか。
まあ飲み会やりましょうっていう話になっちゃうけども。
そうだね。
感覚的にはね。
飲み会見られたいし。
今年ゲスト、まぁそうねなんかその謎予告に見たいなったらあれだけど水谷さんどっかで呼びつけるか。
呼びつけるほどの関係値では僕はないんですけど。
お願いしますって呼びつける?違うな土下座して。
出演お待ちしてます。
来てください。
来てくださいお願いします。
もうスケジュールいくらでも合わせるんでって感じで。
なんかでも結構この一方でセキュリティ上の安全対策が必ず組織活動を何らかの形で鈍化させるっていうところはなんか僕はまだ結構夢を見ていてそのトータルで見た時に必ずとは言えないんじゃないかってなんかまだちょっと夢を見てるよ。
まあここはなんかその多分にコンテキストがある気はするよね。
そうだね。
めちゃくちゃ場面次第っていうか。
そうそうそうそうどのなんていうか視野の差視野というかそのこう難しいなタイムスパンとかもそうだしなんかどれだけのそのスコープで見るかみたいな話とかもあるし難しいとこではあるけどなんかその活動が安全対策が鈍化させるっていうのもそうなんだけどこう安全対策をやらないとそのいけない状態になってしまうことそのものがそもそも鈍化の要因になり得るっていう。
いうのも多分あるしなんか。
結構なんかエンジニアリングのそのメンタルモデルに当てはまると今しっくりきたなと思っててそのセキュリティってやっぱなんかトレードオフを語られる価値というかその不便側に倒して安全にするのかなんか自由にしてそのリスクを取るのかみたいな対比で語られる価値だけどその何だろうな。
多分一次元の話ではないというかむしろその一次元のトレードオフに議論がとどまってしまってるってことはその選択肢を用意できてないってことにもとも言えると思うんですけど。
なんか課題があったときにそのまあ何でもいいんですけどそのよくあるのはあれですかなんかその車内Wi-Fiからつなげるなんかホームページをホワイトリスト管理しようみたいなツイッターつなげないとかがすごいわかりやすいなんか制限だと思うんですけどあれもなんか課題を解決したいってなったときに手順として取ってるんだけどなんかそのツイッターにアクセスできなくすることが唯一の課題かと言われると絶対そうじゃないんですよ。
なんかそういうのに対する解像度とかその何だろうなまあ経験とかもあると思うしツールとかも本当に幅があるはずでなんかその幅をどこまで広げられるかでそのもしかしたらそのトレードオフの痛みをもっと抑えることができるとかあとやがて知ってくれたみたいにそもそもなんか短期じゃなくて中長期に見たときにはこれが実は一番いいんじゃないかみたいな話があると思ってて。
なんかエンジニアリングも一緒な部分あるなと思っててその何だろうなエンジニアリングの場合は安全性じゃなくて多分スピードを取って行動品質を担保できないことを強要するとかよくある。
まあねよくある語り口であるけどなんか本当に強い人はスピードも質も両立するからねみたいなことを言い出す人がいてまあそれはそうなんだろうけどさみたいな気持ちになります。
でもそれは僕一定心だと思うしセキュリティでも同じこと完全に一緒ではないけど同じこと言えるはずじゃん。
なんかそのネットワークでファイアウォールしか設定しまあそういう人がいるとは言ったわけじゃないんだけど超例えばネットワークでファイアウォールの設定しか思いつかない人がなんかその外部サイトに社員がポロっとしちゃった事故があったから対策してほしいって頼んだら多分ファイアウォールを設定するけど
まあその人のケーブル域で結構対策の幅が出るしエンジニアリングも一緒でそのコーディングの速さとか品質みたいなもそうだし別になんかコーディングが速くない人でもさそのアーキテクチャの造形が深いとかそのもうちょっと視野を広げて
例えば仕様にまで口を出してそのなんだろうな作らなくていいものを作んないみたいなことをそういう選択肢が取れるかとかやっぱ能力とかによって取れる切れるカードの数が変わるはずだからそういう意味では近しいなって今ふと思ったって感じですね
強ければ品質もスピードもっていうのはね
僕がそれを信じてるようにやけやしが必ずっていうのを信じてるんだなって今ちょっと勝手に振り返っちゃった
なるほどね多分そういうことだね
僕は信じてる自分がそれができるとは言わないけど全然
諦める必要ないと思うんだよな
そうそうそうそういう世界であってほしいなと思う
物によると思うしそのなんていうかある種一次元的にもうどう足掻いてもそこはトレードオフだよねっていうものは絶対あると思っていて
そこはね一定しょうがないかなと思うんだけど
でもその一つの決断でなんか全てが決まるわけじゃないしやっぱその1年間で200回300回決断する中でね
どうにもならないものもあればどうにかなるものもあるしどうにかなるもののほうがどうにかなるというかその選択肢の幅を持たせられるもののほうが基本的には多い気はするから
まあでも難しいですねそう言って難しいとは思うんですけど
結構このバランス取るのが難しいっていうところそのものがやっぱセキュリティの面白さみたいな感覚がありますね僕は
面白いし難しいね僕はまだ難しいが選考しつつやっとなんか
難しいはなんか常につきまとうんだけどなんかそのわからないけど
マジで正解がない問いだよね
そうそうでもなんかソフトエンジニアリングにおけるその技術的意思決定みたいなところも多分似たようなものあると思ってて
そのわからないなりになんかまあみんながみんな多分その未来のことはわからないし
その自分が別に全知全能なわけでもないっていう中でなんかできる限りのそのなんていうかこう知恵を振り絞って何らか答えを出して進んでいくわけじゃん
セキュリティもなんか似たようなところは多分あるからさ
うんそうだね
そこが多分セキュリティはでもそこの何て言ったらいいんだろうななんかこう難しいな
なんか軸が一個増えるっていうかその授業となんか開発とみたいな軸だけじゃなくてなんか外的要因外的脅威みたいなところも多分軸として一個増えてくるし
なんか
まあ変数は多いかな
他にもなんか増える軸増える変数はなんか多いような気がせんでもないけどちょっとパッと出てこないなもう今日は疲れたので
まあまあないです
難しいな難しいなコナミ感しか出てこないです
いやーはい
いやでもこれはいいねなんかあの一緒に頑張ろうなって気持ちになるんで孤独に戦ってる人にこそちょっと呼んでほしい
僕はとてもとても幸運なことに孤独をあんま感じずに済む環境にいるけどやっぱ孤独に感じるあるあるは見かけんこともないんで
萌え月商工軍とかセキュリティ担当者
ありがとうございますそんな感じですか
じゃあ次お願いしていいですか
Trivyリポジトリ消失事件とGitHubの脆弱性
はいえっとトリビーっていうあのコンテナのセキュリティのスキャニングツールって言えばいいのかながえっと突然なんかリポジトリが消えたよっていうのがえっと
いつだこれちょっと前だよね話題になってたのは
日曜のね昼ぐらいに
それぐらいかはいはいはい話題になってましてなんかあのまあ経緯というかあのどういうなんていう状態だったのかっていうのがあの明らかになってきたので
そのGitHubのディスカッションを引っ張ってきてるっていう感じですねでまあちょっとなんか
よくあるっていう言い方でいいのかわからんけどプルリクエストターゲットをえっと経由してえっとGitHubのワークフローが実行されて
まあそこで任意のコードが実行されてシークレットも抜かれるPATが抜かれるみたいな感じだったと理解してるんですけど
あってますかねあってそうですねはい
あってそうですねプルリクエストターゲット
でPATがなんかオーガニゼーションレベルのなんかパーミッションをつけるついてるやつが必要でえっとGitHub.トークンじゃなくてえっと
GitHubのアクションズトークンっていう名のかなあれはわからんけどGitHubアクションズのトークンみたいなことなく呼び方として使ったりするけど
まあそういうのがあってそうじゃなくてそれは足りないからPATを使ってたよっていう話らしい
でPATが抜かれちゃってPATが強い強い権限を持ってるのでまあそれ使っていろいろやられちゃったよっていう感じでした
オールプリプトークンこれか
そうそうそうそう
これなんか前にさあなんかでそのみんなGitHubどうしてんだろうねみたいな話を俺の記事でしたんだっけ
なんか
かなー
忘れちゃいけない
オクトエステスの話だったかな
そうそうそうみんなどうしてんだっけどうしてんだろうねみたいな話をしたときにソータがさあなんかあのPATだと思うよって言ってたと思うんだけど
うんうんうん
ほんとにPATだと思うよ
馬鹿なーほんとに馬鹿なーみたいな
ほら言ったでしょPATなんすよ
もうねー
ほんとにPATなんだなーと思う
そう
そうなんだよーいやーあのーわからない今こういうなんかアクアセキティみたいなちゃんとしたとこが今1から開発したら使わないかもしんないけど
トリビーになったらめちゃくちゃ歴史長いし隅っこにはいるよねみたいなでなんか変える動機もないというか優先度上がんないというか
まあわからん子はないというかまあ今いるんすねーっていう
ねーなんか具体的に何のパーミッションが必要だったかわからないけどなんかGitHub AppTokenじゃダメだったのかなーとかは思うし
なんかGitHub AppTokenって確かあいつ有効期限めっちゃ短いよね1分とかだったんですか
短い
うん
まあただ今回の場合はオンプレテストターゲットになっちゃってるから
そうだねプレテストターゲットが多分小悪の根源であることには変わりがなくてまあその中でトークン抜かれちゃえばまあ何らか何かされるよねっていうのはもうしょうがないんだけど
なんかそうねまあでもPAT丸ごと抜かれて好き放題っていうのは多分なかったと思うから
そうだねあとはその表に出ないかもしれないけどそのPATがもし複数で使い回されてるんだとしたらやっぱ複数の用途ケースを吸収した権限がついてて
まあ必要以上の権限ついてたらやられちゃいましたみたいな話もあるし
なかなかまあわかるという気持ちとまあでもこれね見逃されてたんだねずっと
とにかくいつ生まれたは黒なんだろうって感じるけど
いやーいつ生まれたは黒なんだろう
これさなんかGitHub Appトークン仮にGitHub Appトークンだったとして
まあなんかすごい別に宣伝をするつもりは一切ないんだけどちょうどそのGoogleクラウドのKMSに突っ込んであるGitHub Appのプライベートキーを使って
GitHub Appのちょっとを作ってそこからGitHub Appトークンを発行してくるみたいなあのGitHubのアクションを作って公開してるんだけど
なんかあれの中まあOctaSTSとかもそうなんだけどさその発行してきたGitHub Appトークンをクリーンアップ処理でインバリデートするっていう処理を入れてるのよ
あれってさそのなんて言ったらいいんだろう
要はインバリデートのその処理に対して干渉できなければその例えばプルリクエストターゲットで任意のワークフローが実行されて
その瞬間のGitHub Appトークンが抜かれたとしても
いやーでもワークフロー内で突き落とされたら意味ないのか結局
トークンの持ち出しが困難になるんじゃないかなと思ったんだけど
まあでもあんまり意味ないんだよな
なんかやっぱオンプリクエストターゲットがきついよな
なんかOSS特有のさユースケースというかさだから正直僕その仕事でオンプリクエストターゲットまず使うから
わかるわかるあんまり仕様わかってないよね正直
めっちゃわかる
基本的にはそのフォークしてプルリク投げた時にその改変してもそのフォーク元のリポジションシークレットとかで動いちゃう
動いちゃうというか参照して動かせるものっていうなんかスーパー雑な理解としては僕はそうしていると思ってるんだけど
思ったのはその例えばKMSに突っ込んでワークフローアイデンティティ連携でリポ単位に縛れれば防げるんだろうなと思いつつ
でもそのわざわざオンプリクエストターゲットにしてるのってそのコンテリビューターがフォークしたリポジトリからプルリク投げる時に
走らせたいワークフローであるかつ何かしらのそのシークレットなりを参照しないと動かないものである気がしていて
いやでもちょっと怖いななんか適当なこと言ってる気もしてきたけど
でも基本そうだと思うんだよね
いやーオンプリクエスト
ちなみにこれなんか古いワークフローかと思った
去年の10月ぐらいに追加されたやつなんで
まあまあまあでもなんか一生リスク認識した上で
認識した上でっぽいな
マジか
フォーク
リクエストターゲット
いやーむずいね
いやでもなんかやっぱちょっとOSSの世界特有だからなんか一概に
いやこんなんダメだろうとは言い切れない
こんなんダメだろうとは言えないんだけど
プルリクエストターゲットそのものの扱いが難しいっていう話はある
これがあったからダメってことはねえし
これあれかな
作った当初はオルグリポパッド入ってなかったとかもあんじゃん
なんかそのパターンはありそうだなと思った
なんか後から入れてっていうのは全然ありそうだね
いやでもあるな
リード権限しかついてないって書いてあるな実装当初は
PATって後から権限つけると再発火されるよね確か
ファイングレインドトークンだったらそうかな
クラシックトークンは覚えてないな
もはや記憶の彼方にいるからねクラシックトークン
優しくちょっと今作ってみよう
テストで
PAT
超適当に作って
でも変え
エディットアクセスをエディットします
エディットアクセスをリポジトリにしてみて
でも変えられるね後から変えられるわ
気づかずに変えるとかあり得るかもね
なるほどね
まあいいやちょっとこれ時間なくてあんま細かく終えてなかったんですけど
流れとしてはそんな感じ
ちょっと具体的に何が起きたかの部分の話は端折ってるというか
あんまり別に触れたいところでもなかったので
特に触れてないんだけど
PATなんだねやっぱりっていう
攻撃者もどうなんだろうね探し回ってるのかな今
この去年の10月に追加されてて
今更っていうのだから順番に探してて
今見つかっちゃったのか見つかってから様子を伺ってたのか
探索してたのかなちょっと怖いですね
不幸中の際はTrivy自体の行動とかは
防御策は効いてたからなのか分かんないけど
侵害はされてなくてVSコードの拡張だけやられたって話だったっぽいんで
それで言うとVSコード使ってた人たちはご対応くださいって感じなんですけど
でもなんかプライベート
もともとあったTrivyがリネームされてプライベートリポジトリにされて
Trivyでもう1回空のリポジトリ作られてるんだよね
そこに色々置かれてたらまずかったかもしれないよね多分
ちょっとどういう経緯でそっちを優先したのかは分かんないけど
VSコードの野良マーケットプレイスみたいなやつに
変なものを出すっていうのをやってたっぽいんだけど
どういう意図でそっちが優先されてたかは分かんないが
あとはすげえ
もうちょっと読もう
BotっぽいHackerBot-Cloneっていう名前のやつがやってきたっぽくて
すごい
それも一緒にやられたんじゃない?それがやってきたんだっけ
ちょっとごめんよく分かってないなあそこは
それがやってきたんじゃなかったかな
そっか
そうだねHackerBot-ClonePR
これしばらくしたら各セキュリティベンダーが
ごぞって解説記事を出してくれるでしょう
全然ニュース上がってこなくてびっくりしたんだよね
日曜日で昨日今日と記事見てるけど
マジで記事来なくて
そうだね意外とね
みんな頑張って洗い出してるのかな
あと赤いセキュリティだからなんかあれなのかな
ちょっとよく分かんない
イスラエル
そうですね
直近イランの話があるんで
その辺もどうなんだみたいなこと言っておいて
そうだね
タイミング的にはちょっと
ないとは言い切れないなっていう気持ちもありつつ
結構GitHubでコードサーチすると
プルリクエストターゲットなんかいるね
これプルリクエストターゲットかつ
そのワークフローからシークレット
何がダメだとダメなんだろうね
ちょっと調べてみようか
っていうのが多分記事として
実は来週の記事に入ってんだよね
そうなんだ
普通に
あれもGitHub公式でも
あるんですよ
解説記事は確か
いやでもそうなんだよな
信頼できないプルリクエアコードコンテンツでは
プルリクエストターゲット使うなって書いてんだよな
GitHubのドキュメントは
じゃあ何のためにあるのって感じだけどね
そうなんだよな
結構あるけどな
シンフォニーとかね
プルリクエストターゲットで実行されるワークフローの
中身には依存するの
もう一回言って
プルリクエストターゲットで実行されるワークフローの
中身にはエクスプロイタブルかどうかって依存するの
わからんね
でも基本的には
プルリクエストターゲット
ちょっと今ジェミニ印刷に聞いたんだが
これ要はなんだっけ
シークレットがプルリクエストターゲットの前に
レポシークレットに
プルリクエストさえ立てちゃえばアクセスができるよっていう話なわけだよね
多分ね
分かった
思い出した 解説読んで思い出したけど
ごめんなさい ワークフロー変えればできないんだ
プルリクエストターゲットは
例えばフォークしてコード変更してそれをプッシュしたときに
オンプリクエストターゲットのワークフローは実行されるんだけど
その実行されるワークフローのリビジョンの参照先は
フォークしたプルリクエストを投げたリビジョンじゃなくて
実体が本家の方なんだね
そう だから
なんでワークフロー変えはできないんだけど
ただ問題になるケースとしては
例えばそのワークフローの中で
オンプリクエストターゲットのワークフローの中で
あるパスのシェルを呼び出してるとかなると
じゃあそのシェルを書き換えたらアウトだよねとか
理解理解理解
だからそこにリスクがあるって感じだね
で 今回のが
そこにかつシークレットとかがあったら
そのシェル経由であとは何でもござる
で 今回のがどうだったかといいますと
削除されたやつを見てみましょう
どこがダメだったんだろうね
ステート
PRナンバーはいじれないじゃん
ステートはどこから来てるの
でもこのGitHub Actions Setup Goとかはダメなんじゃない
これは無理だね これはダメですね
これ書き換えればいけそうな気がするのと
GitHub Actions そうだね
そうだね これ書き換えればもう勝ちですね
アリシアスの攻撃のPRみたいんだけど
もう削除されちゃってるんだよね
アカウントが消えてるから
それ見れば早いんだけど
なるほどね
あとはベースだからいいのか
ここだけじゃない 多分
他に任意のコードが差し込めるところない気がするけどな
ここだけな気がするね
なるほどな
なんかこれあれだね
ローレポ内のコンポジットアクションを参照するの
それに限った話じゃないけど相当やばいね
限った話じゃないね
限った話じゃないけどでも割とやらかしがちな感じがするね
確かにこれは多分オンプレミックスターゲットじゃなくても
自社で閉じたやつでも
僕ら多分ディスカステスメントしたことあるけど気をつけた方が良くて
ワークフロー改変に対して耐性を持たせたいってなった時に
例えばブッシュルールセットでそのワークフローを
もう特典チームしかいじれなくするみたいな
のとかは結構コスパがいいしすぐやれるんだけど
そこは守れてもそれが参照してるスクリプトも守れないみたいな
しかもそれを機械的に洗い出すのも結構難しいし
後から増えたのも検知できないから
普通に結構踏み抜きやすいとか
気づかず穴が開きやすい部分ではあるよね
気をつけてどうこうっていうのも結構難しいと思うし
もうちょっと続報待ちたいな
ディスカッションはなんか結構
うち困ってますかどうすればいいですかとかそういう会話が
最後に見た時は多かったし
今もそういう会話してるから
でもそれで言うとやっぱりコードサーチすると
いるんだよなそのパターンのやつ
そうだねどっかがまたやれるかもね
でもシークレットに何が入ってるかとか次第でもあるかな
おいしいかどうかは
あとはパーミッションズじゃない
GitHubトークンは取れてもパーミッションズを書き換えることはできない
ワークフロー変えることはできない
パーミッションズが弱かったら大したことできないだろうし
めっちゃ強かったとしても結構できることって
たかが教えてる気がするんだよね
アーティファクトライトとかついちゃってると危ないかもね
パッケージズライトだけちょっと名前忘れたけど
GitHubコンテナレジストリへの書き込み権限とかあると
そこに悪いコンテナプッシュとかできるかもしれない
またあれかコンテンツライトでタグ上書きもできるのかな
できると思うから
イミュータブルアクション
イミュータブルリリースしてなかったらまずいよねとかもあるよね
今チャットにあったけど
見てるところだとこういうのとか
やめて探すのやめてください
終わった後に探してください
おいしいのないかな
でもそんだけあるってことは別に全部が危ないっていうか
GitHubのドキュメントで書いてあったのは
オンプリリクエストにすればいいんだけど
オンプリリクエストだと
フォークした側が出したプリクで発火したオンプリリクエストのワークロードだと
リード権限しかつかないっていう制約があって
それを回避しようとなると
多分オンプリリクエストターゲットにするしかないみたいな話があるっぽいね
なんかその一周とかラベルの自動でつけるみたいな
OSSメンテナーの目線でいうと
飛んでくるプリクにラベル自動でつけたいとか多分あって
オンプリリクエストだとそれができないから
じゃあオンプリリクエストターゲットでやるしかないかみたいな
多分そういう感じなんだろうなって気は
これなんかアクションリンターで何とか
いやーきついかーきついよなー
今の構造だときつい気がするね
そうだねギターバクション
ギターの公式ドキュメントにも信頼できないコードを
明示的にチェックアウトしたらなりませんって書いてあって
チェックアウトはだからアクションチェックアウトだけの話じゃなくて
参照するコードとかも実質的にチェックアウトになるから
そこがやっぱり難しいんだろうね
そうですねオンプリリクエストターゲット
オンプリリクエストターゲットにお気を付けようとしか言えないのと
トリビーがやられるんだったら他もやられても驚かないように
って気持ちで生きていくしかないかなって気がするな
デカいOSSであればあるほど
こういうワークルはもしかしたら存在するかもね
ブリックが頻繁に飛んでくるとかじゃなくて
こんなわざわざ整備しなくていいはずで
一応でも今全部見たけど
そんな意外と少なかったな
検索条件 俺の検索条件で言うと
興味ある人は検索してください
次行きますか
先は長いですよ
読んでもらうか
というハッカーニュースの記事ですね
オッチというか
AIと軍事利用、倫理的課題
センセーショナルにいろいろ報じられてたかなとは思うので
もう見たよって人も多いかなと思うんだけど
米国国防省って呼べるのかな
ペンタゴンが
アンソロピックをサプライチェーンリスク指定したよ
みたいな話
こいつらはアメリカの国防にとって良くない
認定をしたよという話があって
どこの国だっけ
キューバだよね
違うベネゼーラの方か
ベネゼーラの方を攻撃したときに
村でアンソロピックの
クロードが使われてたよっていう話があったよ
あったはず
それが元々のことだったんで
アンソロピックとしては
ふざけんなっていう話になって
そういうことに使わないでほしい
みたいなのは表明してたんだよね
それをもって
そんなこと言うんだったらお前らダメだっていう反応を
政府側がしてるっていう
そうか
これは知らなかったな
別の記事で読んだのは
軍側がアンソロピック側
元々パートナーだったよね
パートナーシップ唯一はアンソロピックだっけ
アンソロピックに対して
サイバー攻撃なのか
軍の兵器のソフトウェアに使うのか分からないけど
そういうものに最適化されたモデルを
提供しろじゃないけど提供することを求めてて
アンソロピック側はポリシー的にそういうことはしないみたいな
対立があったみたいなのも見かけたりはしたから
だから割と
国の要求に対してアンソロピック側が
ポリシー的に答えなかった結果
答えなかったっていうのが終着点で
その上でこのニュースなんで
逆にそっち側は知らんかったわ
そんな話もあったのに
戦書もたまたま出した気がしますけど
それで結構そんな裏話がバーって書いてあった
なるほどってなって
それもちょっと後で貼っておきます
いやー嫌になっちゃうね
嫌になっちゃうっていうか結構
これです
貼っておきます
結構なんかむずい
むずいっていうかどうなっていくんでしょうねっていう
ただの感想しかないんですけど
結構その僕はなんか個人的には
アンソロピックの思想というか
別になんかその人
人とか国を倒すために
漏れ出を作ってるわけでは決してないと思うから
その思想はとてもアグリだし
僕も自分が作ったものが人を殺したら嫌なんで
そう同じことをするだろうなと思う一方で
アメリカというかトランプ目線なんですかね
世界単位で見たときに
じゃあアメリカと敵対する
某国や某国はどうしてるのかで言うと
具体的な国名は挙げませんけど
10中8区同じことも
国単位でやってるだろうなって思うから
なんかその
難しいですよね
核の抑止力じゃないけど
やらなかった側が
相対的に防御力が下がって
国に関わるみたいになったときに
結構強引なスタンスを軍が取るみたいな
スタンスは受けられたものじゃないけど
どうなるんでしょうねって気持ちがあるから
アンソロピックがやらないんだったら
どうなんだろう代わりにパートナー立てる
でも実際オープンAIがその枠に収まった
そうなんだ
それは知らなかった
そうなんだ
結局って感じだね
でもオープンAIはアンソロピックの主張を支持する
の従業員がって書いてあったよね
そういうことか
結局
チャットGBT解約運動みたいなのに繋がっちゃったから
対応してるらしいよ
よくわからない
流れが早いな
同じこと言ってた
まじか
グングンヌンはともかく
オープンAIの製造戦略としてアンソロピックが埋めてない
マスを埋めにいってる感はあるよね
政府とかちょこちょこ見るニュースが
アンソロピックが埋めてないマスを取りにいってる感は感じるから
その事業戦略の一つなんだろうなとは思っちゃうが
でも解約運動になるかもしれない
あまりにも拙走がないというか
そうだね
この界隈も早いな
取り上げるか迷って
1年前ぐらいに取り上げなかった記事があって
Googleが
AIをどう生かすかみたいな
ある種の宣言的なものが公開されたものがあって
倫理的な話かな
技術的な話というかは
AIを私たちはこういうものに扱ってこういうものには使えませんみたいな
倫理的な宣言みたいなやつがあるんだけど
その中からもともと
戦争とか兵器には決して使えません
みたいな文言があったんだけど
それが消えたっていうニュースがあって
しれっと
どうなんだみたいな
当時としては何も言えねえなと思って取り上げなかった記憶があるんだけど
そこから1年経ってこうなるか
ちょっとしみじみ感じちゃいますね
いやー
悩ましいな
でも常につきまとう問題でさ
なんか
難しいね
あんまり
あんまり不要意にコメントしたくないから難しいところ
わかるわかる
すごい時代にいますね
全然いい例えとかわかんないけどさ
みんながめちゃくちゃいい刀を研いでる時に
相手が突然ひな味を持ち出してきた時に
なんかなんだろうな
じゃあ僕らもひな味持つしかないよねというか
なんかそう
アメリカ軍はそう思ってるのかなって思ったり
思わなかったり
そう思ってるんだったら
国を守るというか
軍で与えたことないんで気持ちわかんないですけど
まあでもトランプさんだしどうなんでしょう
あと普通に技術者としては
普通にどういう使い方してるのかなってめっちゃ気になっちゃうな
確かにね
どれくらい実用レベルに落とし込まれてるのかとか
どういう組み込み方してるのかとかすごく気になっちゃうけど
まず出てこない情報だから
絶対出てこないだろうね
まあ見守りましょう
物騒の世の中で嫌ですね
本当ですね
じゃあ次いきますか
いきましょう
Web開発におけるHTMLの安全な取り扱い
モジュラのハックスっていう
なんだかわかんないけどなんかの記事です
公式のモジュラン公式のブログかな
うん
インナーHTMLがしんどいから
セットHTMLを導入しましたよっていう話なんだけど
セットHTMLはインナーHTMLと違って
デフォルトで
サニタイズ
入力されたHTMLの
サニタイズをしてから
HTMLの
インナーHTMLという言い方しかできないんだけど
インナーHTMLに突っ込むっていうのをしてくれるらしくて
これインナーHTMLも
インナーHTMLは多分残すんだよね
互換性ぶっ壊したもんね
そうだと思うそういうことなんだもん
インナーHTMLのセッターとして
セットHTMLみたいな感じなんだねきっとね
確かに実はそうなってるのかもね
そういうのが入りましたよっていう
話です
これ僕全然知らなくて恥ずかしながら
俺も知らんかった
DOMPURIFY卒業かっていう
すごくサラッとAPI軽く見たんだけど
デフォルトの挙動が気にならなかったら
サニタイザーみたいなクラスで
割とこのクラスは除去するみたいな
いろいろ細かい設定を食わせることもできるらしくて
ある程度自前でカスタムできるらしいから
なんならDOMPURIFYを食わせたいよね
そうだね
間違いなく参考にはしてそうな気するよね
そうだね
あとは
この記事を紹介してたハッカニストの記事か
違うか 日本語の記事を読んだ時は
Chromeとかでも追って入る予定みたいなのがあったから
よほど何かコケるポイントがなければ標準化されるのが
規定路線なのかなっていう
W3Cのドキュメントとかあるのかな
どうだろうね
どういうフェーズなんでしょう
WICGのページがあるね
HTMLサニタイザーAPIっていうのが提起されてる
これか
普通にDOMPURIFYを知っていれば
セキュリティ的にめっちゃ差分があるかと言われると
分かんないけど
フロントエンジニア目線に立つと
DOMPURIFYをバンドルセットも
各フレームワーク内でこいつを呼ぶようになれば
普通にファイルサイズも小さくなって
処理ももしかしたら最適化されて嬉しいみたいな話もあるし
あとは生でJavaScriptを書く人はどうなんでしょうね
よく分かんないけど
何かと嬉しいんじゃないかなって気はしますね
各種フレームワークの裏側
これに置き換えてほしいな
真のデンジャラスインナーHTMLと
もしかしたらセーフインナーHTMLに分かれるのかも
なんだっけ
デンジャラスリセットインナーHTMLだったっけ
あれがだからセットインナーHTMLが
爆弾するかもしれないってこと
そうかもね
各フレームワークによってAPMAは変わると思いますけど
基本的にいいネスなんじゃないですかね
大体からして
インナーHTML
まじで扱いが大変だよな
普通に
普通に代入すれば
HTMLがそこに入りますみたいな
Web 1.0って感じがするよね
そんな感じするよね
確かにね
旧時代の遺物感がすごい
本当
生きてる間にこんなモダンな感じになるとはね
コツコツと
フェッジAPIとか
これが欲しいね
XHRな
IEとかだとその前のもあったはずなんだよな
そのまま忘れてたけど
dallard.ajacさんって今の若者知らないでしょ
うわうわうわうわ
もう老害トークだけど
まあいいですよ
皆さん使う場面があったら思い出してやってくださいって感じですね
じゃあ
ローカル開発環境ツールの紹介
次
なんかさらっとでいい気がするな
ローカルHDPS開発専用ツール
SPTTHを公開したっていう
ジャックさんの記事ですね
HTTPのローカルホスト
ポート3000での開発には限界があるよっていう
ところから
そもそもローカルホストってさ結構
特別な振る舞いをするので
特別な振る舞いというか特別な扱いをされるので
ブラウザ側で
本番とは違う挙動をすることによって
見つけられるべき問題が見つけられないとか
出てくる可能性があるよねっていうので
ローカルでもHDPSかつ
本番と同じドメインで
開発したいっていうニーズがあるよね
っていうところから
一個ずつ何を解決すればそれができるようになるか
っていうのを解説して
じゃあこれ全部やってくれるやつを作りましたよっていう話をしてくれてる感じですね
なので
いいですねっていう
めっちゃ便利普通に
ジャックさん信頼できる方だと思うんですけど
利用は自己責任であるけど
普通に便利だし
しみじみに思ったのもこういうツールマジで
もう作ればいいなっていう時代になったなっていう
ここ2週間くらい
SAバイブコーディングをしてる身としては思いましたね
SAなんですか?
SAじゃないかな ガチでやってる人は分かんないけど
ターミナルでっかい紙にターミナル多分
TMAXのパネル7個くらい並べて
24時間回してるみたいなそういう世界かなと思うから
怖っ
僕は結構アプローバー挟むんで
完全なバイブコーディングは滅多にしないというか
でもこれぐらいにリュートあったらいけちゃうだろうなって気はするな
あんまりレビューしなくても
やること決まってるし
そうですね
いい時代になったなっていうのと
セキュリティに限らずかもしれないけどこういう細かいツールって欲しい時あると思うので
効率化していこうぜって気持ちですね
いやー
なんか車輪の再発明忘れるなっていうな
なんだったのかって気持ちになるけど
なんか車輪の
そうだね
車輪の再発明そうだね
なんか
車輪の定義が変わったって言い方をした方がいいのかな
それで言うともしかしたら
わかんないけど今までは
青色の車輪は気に入らないか赤色の車輪を作るみたいなのは無駄かからやめろみたいな
ちょっとすげー例え悪いの思いながらしゃべるけど
なんかそういう話かなと思うけど
でも今の時代だと青い車輪なんてもう
20分ぐらいあれば作れんのか作ればいいじゃんっていう
そんな感じなのかな
いやマジです
規模感にもよると思うんですけど
マイスキルもう一回作れって言われたら死んだけど
記事取り上げなかったけど
ネクストJSをクラウドフレアが
11万円ぐらい分ぐらいのトークで作ったみたいな記事があったりするから
割ともうそこまで行っちゃってるかも
なんかRDBMS作ってみたみたいな人もいた気がするな
いそうだよな
マジそういうのネクストJSもそうだけど
そういうデカければデカいものほど実はテストケースめっちゃ充実してるから
インアウトが分かるんだよね
なんかアンソルウィックの論文で
Cのコンパイラーを完全再実装させて
そのマルチエージェントで完全
もうGPU
ぶん回して1週間ずっと回し続けて
めっちゃ精度高いものできたみたいな記事があったりしたんだけど
それに対して指摘してる人がいて
正解があるからできるっていう
逆に言えば正解があればそこまでいけるっていうのは
割とあるかもねっていう
だから現代の
最高のプログラミング言語を新しく作ってくださいは
多分できないんだよね
多分できないですよね
最高のプログラミングの正解を多分人間が言語化しないとたどり着けない
だからそこは人間の仕事としてまだ残ってるかなって
まあ所詮なんか次の言葉を予想してるだけの機会っていう
感じがして興味深いですね
まあそんな感じですね
AIによる個人特定とソーシャルエンジニアリング
次もLLMの話題ですかそれで
いやー私読みますね
Large Scale Online
なんて読むんだ
De-anonymizationかな
De-anonymizationか
個人の方はブログなのかなちょっとわかんないですけど
海外の方はブログですね
でこれ何かって言うと多分何かの論文を取り上げて
紹介してる記事なのかなと思うんですけど
インターネット上でいわゆるなんていうか特命アカウント
ってみんなどうなんですかね
みなさんも1個や2個持ってるかもしんない
僕は完全特命アカウントは多分ないんですけど
あると思うんですけどそういう特命アカウント
そうなんですねそういう特命アカウント
あるかもしれないってことにしとこう
その方がちょっとワクワクする
適当なことしかいかない
特定アカウントとかを
ひも付けるっていうのをLLMにさせてみたら
結構割と上手くいきそうだよみたいな
話ですねめちゃくちゃさっくり言うと
記事でもう少し仮に
Hacker NewsとかRedditで
特命アカウント何個かバーって作ってみて
いろいろ投稿とかさせてそれひも付けられるか
みたいな実験をして
90パーとかぐらいでいけたよみたいな
のとかあとは実データ
世にある実データとかをひも付けさせて
答え合わせはできないもう特命アカウントなんで
答え合わせできないけどそれっぽい結果が出たよ
っていうのが書いてあった感じですね
なんで
特命アカウント持ってる人を100人集めて
100人正解出しましたって話じゃなくて割とテストデータ
バーって作ってひも付けられたりとか
また自己評価で世のデータひも付けて
いけてるっぽいみたいな話ではあるから
話半分に聞くぐらいがちょうどいいとは思うんですけど
割と興味深いなっていうのと
あと今週分で紹介記事にはいれなかったんですけど
トレンドマイクロが全く似たような記事を出していて
トレンドマイクロのほうは何かっていうと
AI使えばソーシャルエンジニアリングめちゃくちゃ
はかどるよっていう記事を出してて
ちょっとおもろかったのは
こうすればできるっていう話プラス
実際にやってみましたっていうのを結構詳細に書いていて
やってみたっていうのがラバブルっていう
ライブコーディングのサービスがあって
どういうサービスかっていうのを軽く説明すると
手元に開発環境なくてもラバブルにログインして
プロンプト投げたらもうアプリができあがって
そのホスティングももうラバブルがやってくれるみたいなやつで
結構海外だと人気らしいんですけど
そのラバブルを使ってソーシャルエンジニアリングツールを
作ってみましたみたいな記事になってて
例えばインスタのアカウント名を入れると
インスタのクローリングツール OSSめっちゃ人気のやつがあるから
それでバーって集めてきて 写真とかから
いろんな情報を抽出してみたいなことをしたりとか
Twitterアカウントを突っ込んだらそれもバーって抽出して
この人はどういう人なのか 何歳なのか
どういう仕事をしてるのかとか
そういうのを洗いざらい 時折モデルの処理を挟みながらやるみたいなツールを
バイブコーディングで作ってみたよみたいな記事になってて
結構いわゆるソーシャルエンジニアリングに必要な情報っていうのは
大体それで効率よく取れちゃうというか
アカウント名入れたらそれが一瞬で完結するアプリをバイブコーディングで作ったみたいな
基本的に言うとそういう話なんだけど
この論文の話は結構観点としてブログであんまり言及されてないのは
実際Webの海を特命アカウント探してもらってひも付けるときに
どんぐらいコストかかるのとか
ある種のどうなんだろうな
割と海をさまよわなきゃいけないわけじゃないですか
リンクドインでこの特命アカウントの人は他のアカウントで誰ですかってなったときに
片っ端から探すってことをしなきゃいけないから大変だと思うんだけど
特定の人狙い撃ちしてソーシャルエンジニアリングするんだったら
元さんトレンドマイクの記事真似したら多分できるんだろうなと思っちゃうし
それをひも付ける部分はどうなんでしょうね
プライベシーは合ってないようなものなのかどうなのかっていうところです
まあいいですよね
でもLLM、ノーショナルの方に書いたんだけど
別に人がやってもできそうな範疇ではあるなと思っていて
カジュアルさが増していくことによって生まれてくる論点なのかなと思ったな
そうだね
法律はとてきたね
そうそうそうLLMがなくても多分いつかぶち当たってた問題だったろうなとは思うから
暗号資産管理の教訓
確かに
いやー
僕は結構ほんと一個人のマインドですけど
webに投稿するすべてのアウトプットはデジタルタトゥーだと思ってやってるわ
なんていうかもう
今日のデジタルタトゥー
今日のポッドキャストもデジタルタトゥーだから
確かにねそりゃそうだ
垂れ流しちゃったデジタルタトゥー
もう1年後とかにあの時間違ったこと言ってたみたいになるかもしれないから
終わったわ終わったお疲れ様でした
ポッドキャストさ修正できないからきついよね
きついね
ブログは修正できるけどさ
消すことはできるからね
消すしかない
無かったことは消すしかない
嘘を嘘として見抜くのもね
皆さんに求められてる能力ですから
間違ったこと言ってたらお便りでこっそり教えてくださいね
それは本当にそうです
間違いを認めたくないわけでは全くない
何ならね別に知らないことの方が多いからね
そうだね
世の中の大抵のことは知らない
そうですね
そんな感じです
ガンガン行きましょう
次はね
ほんとさらってていいんですけど
ちょっとくすってしちゃったんで
癒しワクションって感じなんですけど
ブリーピングコンピューターの記事で
内容としてはタイトルの通りでして
ざっくり言うと韓国の税務署的なところが
とある人の資産を押収して
その中にその
多分その方が仮想通貨の
何でしょうウォレットとかを持ってたのかなって
その一式押収した者の写真を撮って
公開したんですよね
その公開した理由はよくわかんないけど
なんかあれなんですかね
日本で言うとあるじゃないですか
オークションに出すみたいなのあるじゃないですか
そっちなのかなちょっとわからんけど
わかんない
押収しましたよの押収物品を並べて写真撮ったかもしれないの
ちょっとわからんけど
まあそうなのかな
軽倍じゃないような気がするけどね
よくわかんないね
その写真が全国に見える状態になってたんだけど
その写真に実はその
仮想通貨のウォレットを復元するためのフレーズを
メモした紙が
そこに写っちゃってて
それを見つけた誰かさんが
その復元キーを使って
560万ドル相当なんで
5億?
560万ドルってすごいな
5億ですか?
5億ぐらい分の
6億とか7億分の
仮想通貨をまんまと盗み出しましたよっていう事件
ノーションAIのサマリーがさ
数字が2点3点しててマジわかんないんだけど
記事のタイトルでは480万ドル相当盗まれたよって言っていて
確かに
めっちゃ失礼しました
記事の中では81億ウォン
現在の価値で560万ドル相当のデジタル資産が
応収されてって書いてあるのか
応収されていて
記事の一文目で誰かが440万ドル相当の
仮想通貨を盗むチャンスに飛びついたって書いてあるのか
で、480万
480万なのか440万なのかちょっとわかんないけど
わかんないですね
すごい大金ってことだけは
みなさんはこれぐらいも
その紙に
範囲を分析するとした紙に東北円フレーズを
書いたらあかんかったのかなって思いながら
すごい応収されたってことは悪いことして
大変ギガクガクなんでまともなお金じゃない可能性ありますけど
ちょっとそんなことあるんだと思って
さらっと処分って感じですね
やむろ
事実は少年説よりきなり案件だなと思わずピックしちゃいました
なんか暗号が複合複合フレーズみんなどうしてるんでしょうね
その暗号通貨資産家たちは結構
なんか前のワンパスのシークレット機器問題と一緒で
意外とちゃんと考えると大変そうだよな
まあでもなんかワンパスアートに入れてんじゃない
そうだね
ラストパスに入っててそれがラストパスの侵害に偲まれたみたいなニュースもあったしな
ラストパスは認めてないけど
ワンパスアートに入れるしかないんじゃないかな
ちょっと記憶すんのはしんどいと思うから
まあそうだね
印刷してどっかに金庫に入れておくとか
ワンパスアートに入れておくとか
するしかないんじゃないかな
そうだね
多くうんぜんまんの暗号通貨扱う方がいたらお気を付けください
じゃあ次私かな
将棋の寄付情報配信と著作権
ちょっとうまく解説できるか自信がないというエクスキュースの元なんですけど
寄付情報を動画サイトで中継したことが不法行為にあたるとされた事例
ITシステム判例メモっていうブログの
弁護士の方が書かれてるブログの記事ですね
何回かちょっと紹介したこともあるんですけど
どういう事件を紹介した記事かっていうと
寄付
将棋ですね
将棋の寄付っていうのは
一手目でこの人がここに打ってみたいな
対戦ある種の対戦情報ですよね
その対戦情報っていうのを
YouTubeで生配信して収益を得てた人がいたんだけど
その人が日本将棋連盟と
読売新聞か読売新聞から
寄付の情報を配信してるのは
営業利益の妨害にあたるとして寄付した事件ですね
なんで訴えた側が日本将棋連盟と読売新聞になってたかというと
アベマTVかな
アベマTVで将棋の試合を生配信していて
それの試合の共同主催者がこの2社なんだけど
アベマTVの番組が課金してる人じゃないと見えない番組になってて
被告は課金しないと見えないアベマTVを手元で見ながら
YouTubeで寄付を
どういう形かは分からないですけど
配信していて
それを多分何か動画
今回対象だと153本の動画でやっていたっていうのがありました
めちゃくちゃざっくり言うと訴えた側の目線としては
課金しないと見れない
寄付っていう情報を生配信
生配信で無料で見れるところに流されちゃうと
アベマTVを見る理由がなくなるから愛譲利益を既存してるよねっていうのが
めちゃくちゃざっくり言うと原告側のロジックになっていて
裁判の結果としては訴えた側の主張が通って
罰金が認められたっていうことになってるって感じですね
判決のロジックとしては
めちゃくちゃざっくり言うと
確かに訴えた側の主張通りフリーライドしてるよねって話があって
フリーライドっていうのはもっと具体的に言うと
例えばアベマTVで基本生配信
流量会員向けに生配信するっていうところの裏側には
大会を開催するコストとか
配信を整えるコストとか
そこにかかる人件費とか
いろんなものを載せた上で
お金をもらって配信してるっていうコンテンツになってる
からそれに対してフリーライドしてるよねっていう部分が
判決ですと
ここからが個人的にはめちゃくちゃ面白かったところで
ここまで話してきたんですけど
僕1回も著作権って言葉出してなくて
今回の裁判は寄付っていうものに対する著作権みたいなのは
全く争点になってないんですよね
なんでかっていうと寄付の
寄付自体には
著作権は
著作物なんだけど
著作権の保護対象にならないって感じなのかな
多分そうなんじゃないかな
レシピとかと一緒なんじゃないかな
そうだね
みんなが見れる情報ではあるというか
だからそれをどっかに載せてみたいなことは
著作権上の保護運営ではないから
原告が最初から寄付は著作物なのに
勝手に配信したっていう形の訴えをしてるんじゃなくて
それはもう認められないっていう前提のもとこういう訴えをしていて
こういう事例が
このブロック記事の一番最後の方に
この弁護士さんの考察コメントみたいなのが毎回ついてるんですけど
北朝鮮事件とかバンドスカ事件みたいなものと
照らし合わせると
著作権上は保護されないけど
著作権上保護されない著作物に
まつわる事件において
こういう営業利益の侵害とか
損害賠償みたいなのが認められるには
特段の事情っていうものがないと
認められないっていう判例が過去にあって
それが北朝鮮事件とかバンドスカ事件っていうのがあります
っていうのが書いてあって
この北朝鮮事件とバンドスカ事件の方気になって読んだら
これめちゃくちゃ面白くて
ぜひググって興味ある方読んでほしいんですけど
例えば北朝鮮事件の方
直立的には北朝鮮事件が先なんですけど
こっちは何かっていうと
北朝鮮の映画を民放で放送したテレビ局があって
そのテレビ局を北朝鮮事件
北朝鮮の映画を輸入してる会社が訴えた事件になっていて
理屈としては北朝鮮の映画は
北朝鮮映画が何かしらのライセンス的なものを得て
本来はお金払って配信しなきゃいけないものを
民放が勝手にお金払わずに流したでしょっていう話になっていて
この裁判で一番最初に払わされた争点は
北朝鮮の映画は著作権で保護されるかどうかって話なんだけど
これなんか全然知らなかったんですけど
北朝鮮の著作物は日本の法律だと保護されないらしいんですよ
いろいろ条約とかいろいろ金があってめちゃくちゃ端折るとそういうのがあって
だから著作権侵害にはなりませんっていう風になった
だけどでも事実として北朝鮮の映画は
北朝鮮映画を輸入してライセンス的に商売をしてる会社があって
それで世紀を立てる会社があるとか
また著作権保護じゃ保護されないけど著作物であるのは間違いないっていう
事情と民放が勝手に流すっていうのを認めちゃったときに
じゃあもうこれなんだろうな
これもある種のフリーライドですよね
コストをかけて映画を輸入してる会社があって
それを勝手に無料で配信する会社があって
構造は細かい正しいフレーズをちょっとパッとは思いつかないんですけど
北朝鮮映画側の事情としても成り立たないし
著作物を適切に扱ってる側が全然報われないよねっていうのに
特段の事情っていう表現をして
北朝鮮映画を輸入してる
訴えた側が勝ったっていう事件があって
この皮膚情報も同じだし
バンドスコア事件ももうちょっと話すと長くなっちゃうんで
話すんですけどバンドスコア事件は調査というと
バンドスコアって楽譜の著作権は当然アーティスト側にあって
でもバンドスコアって耳コピして売るんですよ
耳コピして売って
売ったお金何%かはもちろん本来のアーティスト側に入るんだけど
そこから残った分は耳コピをした人に利益が入るって構造で
それを勝手に無料で公開してたっていう人がいて
その人が訴えられたって事件
会社が訴えられたって事件なんだけど
それもバンドスコアは著作権で保護されるのかって言われると
保護されないって結論になるんですよね
なぜならそもそもアーティストのもんだから
耳コピした人のもんじゃないでしょっていうのと
例えば楽譜記号の羅列として
楽譜として著作物かっていう部分も
それはそうは言えないよねみたいな
著作権では保護されないんだけど
でも耳コピするのにめっちゃお金か
お金というか人的コストもかかるし
そもそもアーティストにお金入ってるし
それを無料で公開するっていうのがまかり通ったら
アーティストにもお金入らなくなるし
耳コピした側は耳コピしたぞになるし
色々成り立たなくなるからそれはダメだよねっていう
特段の事情っていう判決が下ったみたいなやつとかだったりして
なんか結構
ムズイ
ムズイ
たぶん北朝鮮事件とかバンドスカ事件でググって
パッと出てくる記事もすごい長いんだけど
でも結構面白いなと思って
あんまりぶち破ることはない気はするけど
もしくは相当イビルなことをしなければ
ぶち破らない気はするけど
でもビジネスをやる上では
知っておいても地味にいいかもなって
ちょっとふわっと思ったのと
あと強いて言うなら
何かの情報を
表だってどの会社も言わないと思いますけど
スクレーピングして自社のサービスに生かすみたいな場面で
ワンチャンこの辺絡んじゃうとかあるかなとか
ちょっと思ったりした
どこかで聞いたような話ではありますが
そうだね
誰もが知ってる公開情報だから著作権では保護されないけど
でもそれをめちゃくちゃたくさん集めて
努力を集めてビジネスをして成り立っているところを
スクレーピングしてフリーライブみたいなのは
これ同じロジックになりたくてそうだなとか思って
実際にやってる例は知らんけど
でも確かにありそう
あそこにあんだから取ってきちゃえばいいじゃんっていう
なんかあるチクラね
そうだね
寄付も構造としては近しいというか
スクレーピングが課金して配信見て
アルプスの天才というか
他人事でありたいけど
結構すごい勉強になりましたねっていう
面白いね
面白い
法律面白かったこれは
特段の事情っていうワードで
なんか
独特な
そうなんだよ
犯例というか
その弁護士の解説記事も2個ぐらい読んだんだけど
バンドスカ事件と北朝鮮事件それぞれ読んだんだけど
やっぱその
なんだろうな
かっちりした特段の事情の定義があるわけじゃないから
やっぱその弁護士の解釈とか考察もあって
こういう風な部分を高評価してこうなったんじゃないかみたいな
面白い世界だなって思いましたね
ありがとうございます
面白いね
なんか30分ぐらい電車に乗るタイミングがあったら
読むとちょうどいいぐらいの記事かもしれない
30分かかるんだけど
ちょっとカロリー
難しいからね
そうなんだよ
はい
じゃあ
あと2つ
いきますか
いきますか
私
次が
ガーディアン
AIによる児童性的虐待報告の増加
ザ・ガーディアン
海外のメディアの記事で
まあサラッとでいいかなっていう感じなんですけども
めちゃくちゃサラッ
ざっくり紹介すると
米国の話なんですけど
米国には
児童への性的虐待とか
それにまつわる事件とか疑いみたいなのを
報告する仕組みがあって
その報告を受ける組織もある
国の組織なのかそこは調べられてないんですけど
公的機関がありますと
この公的機関に対して
メタはFacebookとかInstagramとかやってますし
Xとか
いわゆるSNSみたいな
プラットフォーム的な事業を展開してる事業主は
自社のプラットフォームでそういう兆候が見られたときは
この機関 具体的にICACっていうんですけど
ICACに報告しなきゃいけないっていう
法律がありますと
ここまでが前提で
この上で今何が起きてるかっていうと
メタがあるタイミングから
AIでの
多分
ある種のガイドラインに定職するコンテンツを
自動検知して
それを自動通報しまくってるって話
で
ICAC側は
この記事は多分ICACの中の人の話なんでしょうね
中の人としては
一つは量が多すぎて
めちゃくちゃ増えすぎてて
もう捌ききれない業務が影響ができてるって話と
もう一つは
これが全部正しい報告だったらいいんだけど
明らかにAIが間違った解釈をしてる報告とかが混ざっていて
もうやってられんみたいなのが
ちょうどさっき言うと課題感としてあって
一方でメタ側の主張としては
AI使わないと対応全部無理だし
AI使ったから見つけられるものも増えたよっていう主張をしていて
プラスアルファで直近だと
メタに対してこれ関連で訴訟があったりとか
また2024年の11月に法改正があって
その報告の義務範囲が増えたみたいな話とか
いろいろちょっと絡んでいて
ただ今々はざっくり言うと
AIでめちゃくちゃ間違った誤検知も全部報告して
報告されれば困ってるというかパンクしてるっていうのが
紹介されてる記事って感じですね
なんか完全に何か
何だろうな
カールでその
OSコンテリビションの
閉じたって話ありましたけど
同じことが公的機関にも起きるって発想があんまなかったんで
確かにこの構造だったら起きるなっていうので
ちょっと目から鱗じゃないですけど
なんかその開発コミュニティ以外にも
波及し得る問題なんだなっていうのを
しみじみに意識したというか
だからその義務化の構造
カールの場合はお金をもらえるっていうインセンティブに対して
インセンティブに自動化を使ってたけど
こっちの場合は
その多分報告しないと法令を守ってないっていう疑いをかけられちゃうから
しやんなきゃいけないし儲けにもなんないから
まあっていう構造があるんだろうなとはちょっと思ってはいるんだけど
まあちょっと難しいなっていう
難しいというか
質問だければね
判断のただで
転化できる先があるんだったら
まあとりあえず投げてみようになるよね
確かにそれはそうね
確かに確かに
あとなんかちょっと詳しく
あんまめっちゃ掘り下げる気もなくて掘り下げてないって部分あるんですけど
この報告も2段階ぐらいあるらしくて
その1回報告して
でそのエスカレーション先で多分国際機関みたいなのがあるんだけど
エスカレーションするタイミングで
これは誤検知みたいなのをフィルターする権限が
エスカレーション元にないみたいなのが仕組み上あるらしくて
だからそういう部分も結構問題としてあるっていうのを書いてあったりはしたんですけど
確かにその判断そうだね
もうAIに対応させるしかない
まあでも結局
同じことを2箇所にすることにしかならないんだよな
世の中がねまだいろんなものに追いついてない感じがしますね
ちょっとさらっと紹介でした
あんま他人事だとは思えないというか
まあでも
まあ痛みを伴う形で適応していくのかもしんないですね世界が
こういうことかもしれない
いや
なんかでも
いやどうすんだろうね
アプリの年齢確認義務化
どうすんだろうねっていう
なんかあれしか出てこないな
なんか
まあ
そのコンテンツの爆増問題みたいなのが
いろんな文脈で起きてるのかもしんないなって
ちょっと思ったりするんじゃないかな
そのコードもさなんか
コードはなんかある種ネガティブというかボトルネックを強制的に移したって感覚だけど
コードを書くスピードが5倍になったらレビューは追いつけませんみたいな話と
めちゃめちゃざっくり雑に
強引に当てはめるのも同じ話かもなとか思ったり
いろんなところでそういうのは
ボトルネックは別に移ったりなんか
そういう話と捉えるとまあまあって気もしてきた
まあちょっと目についたのでご紹介でした
ありがとうございます
しょうがない
しょうがないけどさ
でもこれ被害者がいるかもしれないっていう中では
あんましょうがないねって済ませられないとこではあるよね
だから普通に一番ベストなのは
制度100%無理なの分かるから
文句言う余地がないぐらいの制度にあげて
まあそうしたらより多くの被害者を正しく救えるだろうし
受ける側は多分もう正しい報告しか来ないんだったら
もうそっちのキャパを広げましょうにしかならないから
そういう形で進むと一番いいよねって気はする
ただなあ
なんか
いや何でもないです
オフレコで話します
次次
次いきましょう
Appleのデベロッパーブログで
Age requirements for apps distributed in Brazil,Australia, Singapore, Utah and Louisiana
っていう記事です
これもちょっとさらっとでいいんですけど
僕はちょっと個人的に気にしてるところに絡むんで
さらっと紹介したかったって感じなんですけど
Appleのベータ版のAPIを作ったよっていう短めの記事になっていて
具体的には何かっていうと
ブラジル オーストラリア シンガポール アメリカにおいて
アメリカは一部の種類なんですけど
アプリを利用する際に年齢確認を義務化するっていう法律が
施行されてるのか施行されるのかちょっと分かんないですけど
オーストラリアは施行されてるのかな
っていうのがあって
その年齢確認に対応するためのAPIを
大阪IOSかな IOSに実装しましたよって話ですね
具体的には名前忘れちゃった
ChromeのクレデンシャルAPIでしたけど
ちょっと名前忘れちゃいましたけど
年齢は取らずにでも未成年かどうか分かるみたいな
多分そういう仕組みになってるらしくて
微妙に多分国ごとに求められる要件が違うから
国ごとにこの国はこういう形みたいな書き分けられてるんですけど
カヤちゃんこれ使ってくださいみたいな感じの記事ですね
結構本当にここ半年ぐらい
成人確認に関する法令の話とか
SNSは未成年禁止するとか
もしくは親が許可できるようにするとか
それでTikTokがペアレントコントロール機能を提供しだしたみたいな
そういう記事めちゃくちゃ見る気がしてて
割と世界的なトレンドになってそうだなという気はしていて
日本はまだあんまそういう話見かけないから
後から来るのか課題感を持ってないのかちょっと分かんないですけど
僕の現職とか年齢確認必要な気はしないけど
分かんないね
分かんないですよ
でも提供してるサービスが
例えばエンタメとかコミュニティ寄りのサービスを提供してる方とかがいたら
もしかしたら遠からず対応しなきゃいけないかもしれないトピックかな
AppleもAPI作ったなっていうので
さらっと紹介という感じでした
まだ隣の国って言っても
この国にサービスを提供する方がいたら
多分対応しなきゃいけないんでその方たちが多い
なかなか全然あるか
オーストラリアとかシンガポールとかブラジルとか
ブラジルは分からんけど
アメリカとかは日本の会社とか
アメリカも入ってるのこれ
ユータ州、リジアナ州はアメリカだよね
本当だ
アメリカは全土じゃないんだけど
そういうことか
これもややこしいよな対応する側からすると
最初香川県だけ
ゲーム条例ね
なんかそしゃげで
行くとこまで行ったらあれはもうドルギミみたいな感じだけど
アプリも入れろみたいな世界観ってことだよね
じゃあ最後お願いしようかな
ついに最後ですか
グーグルAPIキーs want secrets
but then Gemini changed the rules
というTriff Securityの記事ですね
Google APIキーとGemini APIの脆弱性
別にそんな紹介するところはないんだけど
中身としてはあれかな
GoogleのMaps APIとか
あとはFirebaseの
公開してもいいAPIキーっていうのがあって
公開してもいいって言われてたんだけど
それがあると
それが紐づいてるプロジェクトで
Gemini APIが有効にされてると
そのAPIキーを使って
Gemini APIにアクセスできるよっていう話
だったよね確かね
そうです
Triff Securityが最初に報告したんだけど
仕様だよってGoogleが返してきてて
これ使うとGoogleが公開してるAPIキーで
GoogleライブのGeminiいただけるけど
いいの?って言ったら
仕様じゃないですねって対応を完全に始めたっていう
そうこうしてる間にディスクロージャーの期限が過ぎて
この話が公開されるに至って
公開時点ではまだ修正されてないっていう状態だったはず
いやー
うっかりちゃんだね
うっかりちゃんですね
さっきのパッドの後から権限変えるじゃないけど
ちょっと利用者側はまじとバッチリって感じがするよね
確かなんかその開発者への通知とかも
検討するのかもう済んだのかわかんないけど
なんかまだされてないみたいな文言が
記事中にあった気はするから
あとこの2863件
これちょっとAIサマリが正しくわかんないですけど
記事中だとトリフォーグは2300件弱見つけたって言い方だけど
なんか頑張ってスキャンして3000件だったのか
ざっと調べて3000件もあったようなのかわかんないから
本当に影響を受けてる件数があんまわかんなくて
ちょっと感覚的にはもっと多いだろうって
もっと多いだろうって思ったら
サラーっと見てそんだけあったよっていう風に
お礼は取ったけどね
まあそうかもね
マップスなんてめちゃくちゃあるしな普通に
ファイルベースもめっちゃあるんで
どう考えてもそんな数で収まるわけないから
確かにね
いやーなんでギクッとなった方はちょっと
お気を付けようって感じですね
僕は大丈夫なはず
課金ひも付いてバジェットなんか
設定しなかったアウトとかあるだろうな
そうなったらコンテンシャンしなきゃいけないの
Googleだからやっぱちゃんとやるんだろうけど
久々のトリフォーグの関係記事でしたね
ありがとうございます
いやー重い話からうっかりちゃんまで
うっかりちゃん2つぐらいあったもんね
そうね
うっかり復元期
いやー復元期
ここ半年で一番笑ったなーなんか
なんか
ちょっとここツボなんだよな
怖いなー
地政学リスクとサイバー攻撃
引き続きAIもありつつ
まあちょっと
来週どうなるんですかね
なんか僕は
知性学という言葉を初めてすごく
初めては嘘だけどちょっと
このポッドキャストは初めて以来
すごく意識してるタイミングなんで
記事が怖いんですけど
具体的にはイランの攻撃の話があって
めっちゃ不気味なのがさ
月曜
今日火曜の収録か
昨日月曜じゃないですか
いつもその月下だと
特にザ・ハッカーニュースと
ブレイビンコンピューターの記事が
めちゃくちゃ
なだれ込んでいくんですよ
大体1日10から15ぐらい
多いときはたまるんだけど
だからもうバーって消化してるんだけど
マジで全く流れてこなくて昨日とか
すごいちょっと
ドキドキしてるんですよね
面白いね
タイミング的に
自粛なのかどうなのか分かんないけど
分からんね
世の中の関心が
違う方に向いてるのか
あるいはなんか
陰謀論的な話に若干なっちゃうけど
ガチで何かが起きてて
その
全然そういう話が出てこなくなっちゃってるのか
何なのか分からんけど
何なんですかね
来週はどうなるか分かんないですけど
一応なんかサイバー攻撃も仕掛けてるって話
らしいですかね
いやでもアメリカのメディアからは
多分触れづらいんだろうな
なんか目つけられちゃうとかあるだろうし
タイミング的にはね
そんな感じでございます
なので来週もお楽しみというのは
不謹慎とまでいかずまでですけど
まあまあ
粛々と僕ができることやっていきましょうということで
閣議やっていきの気持ちでね
そうだね
水谷さんもそう言ってるんで
守れるものを守りましょう
はい
じゃあそんな感じで
来週も皆さんお楽しみしててください
おやすみなさい
おやすみなさい
