00:01
みなさんこんにちは、TRY-CATCH FMです。このポッドキャストは、IBMに新卒で同期入社した中期エンジニアの二人が、プログラミング学習、最新のテクノロジー、働き方、転職などについてゆるく話しています。
では、やっていきましょう。
やっていきましょう。
MIYACHINってまだタバコ吸ってんだっけ?
タバコはもう吸ってないですよ。
吸ってないんですね。
じゃあ、ニュージーランドでも。
タバコ吸ってた人、赤い人になった人も吸ってないね。
うーん、そうかそうか。
じゃあ、僕が吸ってるのを見たことがあるのはレアケースだったの。
それは友達といるときだけ、喫煙者に誘われて、1本とかもらうだけです。
それはあるよね。
ニュージーランドが本気でタバコをやめに来てるらしくて。
はいはいはい。
効率ができたらしくて。
今月9日とかか。
タバコ製品を購入できる年齢を今のところ10代前半はもうダメよってことにしましたと。
その年齢を毎年1年ずつ上げていくっていう形で。
今吸ってないはずの人は最初から吸わせないし、一生吸わせないよっていうことをしようとしてるらしいです。
一生吸わせないっていうのがすごいよね。
本気だよ。
例えば一生吸わせないっていう人が30代とか40代とかでも吸っちゃったら、法律に違反っていうことになるってことよね。
らしいね。
タバコを吸い始めるのに安全な年齢だとないと述べたって書いてある。
まあ間違いないなそれは。
タバコを販売する場所の制限とか、ニコチン濃度が低い製品のみに流通化にしていこうとか、そもそも上の世代もある程度制限していくっていうのがやっぱり進んでいくらしい。
これ世界初なんじゃない?
ここまで禁止はわからない。宗教的にある国がもしあったらいるかもしれないけど、僕らが知らないでなければあったかもね。
確かに。
そもそもだいぶ昔、僕らが生まれる直前くらい1990年にタバコ企業はそもそもスポーツの公演、スポーツのスポンサーになれないとかそういうこと頃から始めてるらしいんだよね。
だいぶ昔からガンガンやってるらしくて。
先進国ですね。
2025年までに喫煙者数を5%以下にする目標らしい。
脱煙期たしら、資産としては医療保険制度への支出を約4300億円削減できる見込みらしい。
03:05
そっちの効果があるんだね。その発想はなかったわ。
日本でもタバコ税でこれだけの税収があるんですみたいな話が出たりするけど、そういう医療保険制度の支出の問題があるからどっちがいいんだろうって話はあるのかもしれないけど、
そこで雇用の喪失だとか経済が回るみたいな話もあるから一概には言えないのかもしれないけどね。
なるほどね。日本でも動きとしては喫煙者を少なくするというか、居心地が悪くなっていくっていう方向性ではあるけど、そこまで大胆じゃないよね。
そうだね。どっちかっていうと日本は民意半分、政府半分で動いている感じはするよね。
確かに確かに。
なんか喫煙で言うと、日本ってタバコ買うとき普通にコンビニに、大体のコンビニにタバコが売ってて、成人だったらあの番号を言えば買えるみたいな感じだけどさ、
そういえばフィリピンのセブンに前に行ったときに、タバコ売ってあるとこを見ると、なんかすごい警告というか、タバコを吸うとこんなになるぞみたいな肺が真っ黒になった写真みたいなのが一緒にディスプレイされてて、
これ結構他の国もやってるやつかもしれない。
日本は文字だけでやるもんね。タバコの表面に書いてあるやつね。
だから国々によって違うんだろうね、そこの喫煙者に対する施策というのを。
日本は何だろうね、浸透しまくってるからそこまでやってないのか、JTが強いのか、何なのか。
JTね、強そうな感じあるけどな。チームもまあまあやってるしさ。
縮小の方向には進むと思うけどね、やっぱり一番最初に適量があるみたいなさ、体に悪いものもあるじゃん。
砂糖やら塩やら脂質もそうだし、酒だとても適量があるっぽい。
カフェインもそうなんだけど、ニコチンに適量はおそらくないじゃんって話があって。
最初に他のものも酒もアルコールも一定されていくかもしれないけど、一定される順番って多分適量がないものからなんだよね。
っていう意味ではタバコが最初なのかもなーって感じがする。
もうちょっと個人的には日本は強めてもいいかな。まだまだ全然東京都内でも歩きタバコしてる人いるし、
06:00
全然屋根がないところとか普通に漏れてるところとかもたくさんあるし、もうちょっときつくしてもいいかなっていうのは個人的には思う。
フィルター機能とか排気の処理とかをちゃんとした施設を作って、そこで好品として吸うっていう文化になっていけばいいんじゃないかなと思うけどね。
じゃあ本題の方いきましょうか。
先週の金曜日ですか、ログ4J。
なんかもうツイッター、俺のフォローしてる人のあれもあると思うけど、5ツイートに1ツイートくらいログ4Jのことをみんなつぶやいてたな。
そうだね、経緯だったり、社会的な話だったり大喜利だったりいろいろやってるよね。
そうね、みんな焦ったんじゃないですか。しかも俺はたまたまYouTube撮ってたんですよ、金曜日。
そうなんだ。
だから会社がどんな感じだったかっていうのは後からスラック見て知ったレベルなんですけど、
どうコストは会社とかでザワザワした?ザワって感じだった?
ザワは一部使ってるけど、ユーザーが投稿してくるようなもののログとかには使ってない。
社内ツールというかインターナル系のやつ?
ある程度自分らのところを通ったところの処理しかやってないみたいなところだから、好きに攻撃はできないはず。
私あんまりザワいてなかったと思う。
そっちは結構使ってる?
うちはたぶんめっちゃあると思うよ。
後から見たらスプレッドシートに影響しそうなやつ全部書き出してくださいみたいなのをスラックであったけど、
たぶん100システムくらいあったと思う。
100システムあるのがビビらなかった。
そうそうそうそう。
システムが多いんじゃん。
でも半日くらいで全部対応されてたかなスムーズに。
バージョンを上げれば対応ができるんだよね一応。
先に軽くログ4Jって何やねんって説明してもいいのかな。
俺も実際に直した気じゃないから細かいところまで言えないけど、
脆弱性がありましたとログ4Jっていうライブラリ。
09:03
Java用のログを取るためのライブラリかな。
超メジャーな昔から使われてるやつですね。
ほとんどのJavaアプリケーションに入ってて。
しかもログ4Jの脆弱性をつくと任意のスクリプトをそのアプリケーションに実行できるみたいな。
激やば脆弱性が急に発展されたらしくて。
誰でも再現可能みたいな。
結構簡単らしいね今回のやつは。
俺ちょっと試せてないけど。
簡単に試せんじゃんみたいなツイートは何件か見たかな。
ログ4J作ってる人たちもテンヤワヤだと思いますよ。
しかもそれで結構デスられたりしてるからさ。
それを擁護するツイートも何件かあったけど。
しかも無償でメンテナンスしてるからね。
そんなURLSじゃないみたいなね。
昔からあるやつだし歴史的経緯でなってるっぽいんだよね。
昔こういうものがレジャーに使われてた機能みたいなやつがあって
それに対応するための機能だったものが今回の穴になってるみたいな。
そういう経緯があるらしくて。
歴史を重ねてるからある程度は起きちゃうよねみたいなものではあるんだよな。
どっかで人がミスをするのでっていう感じだよ。
対応は早くてよかったよね。
そうです。
昔作ってもらったシステムを今でも使ってる会社とかさ。
なかなか直せる人とか気づける人がいないかもしれないじゃん。
ログ4Jってやつがやばいですよらしいですよ。
言ってくれるかわかんないじゃん。社内の人が。
そういうところがね結構狙われてると危ないよなっていうのがあるよね。
大学の同期が某A社で働いてるんですよ。SIRの。
コスなんとなくわかると思うけど。
某A社で働いてるらしい。インフラ系の社なんだけど。
金曜日から土曜日にかけてすごい昭和対応してたみたいなこと言ってて。
土曜日にたまたま会ったからログ4Jの対応してたみたいな感じで聞いたら。
ログ4Jってなんすかみたいなこと言ってたから。
12:04
大丈夫なんかなと思って。
大手はねちゃんとそれ専門のチームが見てくれるから。
その人が気づかんでもやるべき人がおると。
オラクルとかもメールクリックから。
まあね確かに。
でもまあとはいえさ。
例えばなんだっけな。これも先から情報がわかんないけど。
Java 7以前とかだと8にアップグレードしないと対応できないよみたいな話も聞いた気がする。
めっちゃダルそう。Javaのバージョンでしか上げないといけないとかってなる。
ポカンとこが影響で死ぬみたいなのがありそうで嫌だな。
Java 7っていつまでのやつよ。
でもJava 7はエンドオブフリー。
8になったのって僕らが社会人になったくらいじゃなかったっけ。
それくらいそれくらい。
社会人になった直後にJava 8とか7だったかな8だったかなの資格取ったもん。
8になった時に8と10に分かれてオラクルがGDK優勝化するみたいな話が出たのが入社してすぐプレイじゃなかった。
この辺のJavaのバージョンは置いてないですけど、今は最新だと17まで行ってる。
そんなあった今。
今年の9月に出たやつかな。リリースデート。
セプテンバーって書いてあるから。
17あって。
内容の移り変わりが早いな。
Java 7は来月にエクステンデッドサポートユーティレットが終了する。
エクステンデッドってことは延長されるんじゃないの?
延長されたサポート期間がこの日ってことかな。
延長した上で来月までなのね。
対応してないのはそいつが悪い。
だいぶ古いと思いますよ7はね。
今Windows 7使ってますよりはマシか。
めっちゃ古いやつ使ってます状態なのね。
でもSIRとかだったらクライアントのカウンターパーツとも色々調整しつつ。
15:04
それなりの大規模なやつだったら昨日の今日でリリースとかもできないからね。
手順としてできないって話と
手続き上契約をし直して金をもらわないと動けないっていうのが結構ある。
もちろん脆弱性対応なんていうのも運用系の契約だったら含まれてるかもしれんけどね。
でも切れてるところとかあるだろうし
それで新たに安い下請けに任せてるみたいなところだと気づいてない可能性もあるんだよな。
確かに確かに。
いうのが怖いところよね。ゼロで攻撃だし割と少しの間そういうのが出てくるんじゃないかな。
ゼロで攻撃といえばコスターが言ってたけどさ
オープンソースこういうUFOJみたいな
これどうやってその修正していくんだみたいな
まず一周で出しちゃったらさキットハブの効率されちゃうじゃんね
プルリクですらバレてゼロでになるはずなのに一周出したらまだ直し方すら決めてないものがバレちゃうんだよなっていうのがあってどうきてるんだろうね。
やっぱ見つけたら正しくはそのコアメンバーとかにメール出すとかなんだろうなきっと
あーそういうことかもしれんね。
コアメンバーに悪者いたらちょっと困るけどそれでもやっぱり正しい方に寄せていくというか確率が低い方に寄せるしかないから
コアメンバーにメール出してコアメンバーじゃないだけである程度やり取りができる方法があるはずだからそこで議論して直しちゃうとかがいいんだろうね。
それでもプルリク作れないよねなんか別にGitHubのやつってさプライベートプルリクみたいなのないじゃん機能として
ないからそうあのマージするときは絶対見えちゃうんだよね
だからどうするんだろうねちょっと何かに紛れさせながらこの攻撃に対応しましたっていうよりは何かこういう修正をしましたぐらいで出して
いやーでもなーっていうそのそれだとそれのプルリクをよく読んで気づいちゃった攻撃者がいたときに
攻撃者は気づくんだけど出撃ちはしてないからみんなはすぐアップデートしないっていうなんかこうサイレントゼロで攻撃が始まるんだよな
難しいよねどうするんだろうっていう正解が
でもさすがにさこの問題っていやまあ対処法は難しいだろうけどみんな考えてるはずだからいろんな方法を足したいと思いますよね
18:03
何かしらあるんでしょうね何かしらあると思うんだけど個人的にそのOSS開発とかOSSにコミットとかしたことないから
わかんないな気になるところではある
今後うちの会社は一応OSSへの貢献を推奨しているので僕もねやっていこうと思ってるんだけど
なんか金曜日はある程度なんか業務の他にそういうのもやろうねみたいなやつとかがあるから
余裕があったらやっていいんだけどそういうのも参加していこうかなと思ってます
そうですね
この件はゼロで対策だけ切り取って僕らがこんなやり方があっていいらしいよみたいなのを見つけたらまたね紹介しようかなと思います
はいでは終わりますか
そうだね今日はここまで
はいではこんな感じでですね週2回のペースで配信しているので
Apple PodcastもしくはSpotifyの方はぜひフォローお願いします
また質問箱のURLを概要欄に貼っているので質問コメントなど送っていただけると嬉しいです
では今週も聞いていただきありがとうございました
ありがとうございましたまたね