Neran @neran@mstdn.guru

今年から、自分ひとりだけでも、本気で12月6日は「インフラ感謝の日」にしよう。

https://twitter.com/koguGameDev/status/1543810806395023365?s=20&t=1nCj2IjPQkMZ5I9z9UKxPw

不正なアプリ経由で、モジュラー式のスパイウェアが、AndroidにもiOSにも入ってきうるそうな。iOSはエクスプロイト突いて不正なアプリをサイドローディングさせ、そこからっぽい。
モジュラー式で色んな機能をカスタマイズってのが面白い。

iOSへの侵入経路が他の記事にはなかったけど、GIGAZINEにはあった。GIGAZINEの勝手に全部掲載は悪質だと思うけど、助かる場合も。

・【Infostand海外ITトピックス】スマートフォンで監視する「Hermit」　活況のスパイウェア業界 - クラウド Watch
https://cloud.watch.impress.co.jp/docs/column/infostand/1422079.html

・「Android」「iOS」を狙う新種のスパイウェア「Hermit」--グーグルが警告 - ZDNet Japan
https://japan.zdnet.com/article/35189518/

・AndroidとiOSをターゲットにする新たな商用スパイウェア「Hermit」についてGoogleが詳しく説明、iOS版には2つのゼロデイを含む6つのエクスプロイトあり - GIGAZINE
https://gigazine.net/news/20220624-hermit-spyware-android-ios/

パソナぐらいの規模の会社なら、こういう選択肢も効果出るのは分かる。ただ、社員が語るリアルではあるけど、負の面や、将来的なリスクへの言及が一切ないのは物凄く奇妙。

・パソナの淡路島移転計画はどうなっている？　家族で引っ越した社員が語ったリアルな日常：長浜淳之介のトレンドアンテナ（1/5 ページ） - ITmedia ビジネスオンライン
https://www.itmedia.co.jp/business/articles/2207/02/news026.html

なんかピントの外れた記事。

社長への称賛は、記者会見を開いたことではなく、開かざるをえないと判断した記者会見を、この規模の企業のトップとしては稀有な程、実態と実務に基き、自分で対応していたから。

それと、参加してるマスコミの中で、規模として大部分を占める一般向けのメディアの存在を切り捨ててどうする。大手メディアの大半が、とてもじゃないが"そういう基本的な知識は既に持ち合わせているので"なんてレベルの人間がいたか？

あのタイミングで会見を開く開かないというガバナンスの判断と、会見内容の質の問題と、根本がごっちゃになってる。

・「KDDIの会見、やらなくてよかったんじゃね」問題　どう考えるべきか：スピン経済の歩き方（1/7 ページ） - ITmedia ビジネスオンライン
https://www.itmedia.co.jp/business/articles/2207/05/news061.html

auの障害、もちろん駄目な点は色々あるんだろうけど、障害発生後の対応については物凄く有能に見える。
短時間でトップまで情報が流れて、トップもエンドレベルの挙動の違いなんかも理解してて、記者会見も自分で受け答えできて。
周囲はau解約するなんて人もいるけど、自分は少なくとも、エンジニアリングを支える土台がある点では、むしろauに魅力を感じてる。
あとは、ポカが組織の根幹から来るものでなければ、povoへの移行考えてみよう。

西田宗千佳さん、ほんと筆が早い。

・KDDIの大規模障害はなぜ起きたのか。「告知」に課題【西田宗千佳のイマトミライ】-Impress Watch
https://www.watch.impress.co.jp/docs/series/nishida/1422028.html

子供にネットの安全な使い方等を伝える場合、自分が教師役するなら、結局この資料が一番まとまってるなあ。

・インターネット上のふるまい方を学ぶ、Googleのオリジナル教材「Be Internet Awesome」【どれ使う？プログラミング教育ツール】 - こどもとIT
https://edu.watch.impress.co.jp/docs/serial/progedu2/1417092.html

SSH…

・ICT CONNECT 21、「SSH（スーパーサイエンスハイスクール）」に関するオンラインセミナーを7月13日開催 - こどもとIT
https://edu.watch.impress.co.jp/docs/news/1420483.html

Rustの第二次収穫期？ WebAssembly、Linuxと来て、ゲームエンジンとかの実装もちらほら来て、次はなんだろう。

・WebAssemblyアプリ開発ではRustが一番人気、用途ではサーバレスが急上昇、ランタイムはWasmtime。The State of WebAssembly 2022 － Publickey
https://www.publickey1.jp/blog/22/webassemblyrustwebassemblywasmtimethe_state_of_webassembly_2022.html

> TSMCが四半期売上でIntelを抜く初の快挙

おぉ。でも業種ちょっと違う？

https://twitter.com/jingbay/status/1541470399799693312?s=20&t=WnnsjOrqr3WJcBk9IyOxVg

想像してた未来より、ものすごーくゆっくり進む次世代メモリ。XRも同じく、SFに出てくる未来要素って、基本劇的なジャンプってほぼ無いよなあ。
次世代メモリはメインメモリ用途には、どれも決め手に欠けたまま地道に発展。

・【福田昭のセミコン業界最前線】次世代マイコンへの搭載を狙う長寿命の抵抗変化メモリがIMW 2022に続出 - PC Watch
https://pc.watch.impress.co.jp/docs/column/semicon/1420159.html

@itsumonotakumi @mazzo 噛み砕いたり分量を減らしたり、安全な例えを使ったりして読み手を萎縮させないことと、間違った前提に立った説明をしたり記事を流布することは、全く別の話ではないでしょうか。

日頃顧客に接していらっしゃるからこそなのだとは思いますが、「メールって騙そうと思えば幾らでもだませるんです。だから代替としてこれ使ったり、信頼できるメールの基準や運用考えましょうね」と話すのと、「こんなメールは怪しいので注意しましょう」って話すのは、どちらも平易に萎縮させないように説く事は可能ですが、中身は全く違いませんか？

それと、何を基準にメールが信頼できないとまでは思わず、それは極論で間違っていると判断しているのか、信頼性と実用性は別のものですし、理解できません。セキュリティの専門家から、費用がかかっても是非教わりたいです。

@itsumonotakumi @mazzo 指摘している問題点を意図的にスルーされてますか？？

分量や網羅性は全く問題にしておらず、一番重要なメールやSMSが信頼ならないという点を外しているのが問題だと繰り返し書いてますが。
どこをどう読むと、分量だとか網羅性の話になるんでしょうか？ 該当箇所欲しいです。

もっと短い分量で、「全部疑え！ ～メールは如何に信頼できないか～」とかいう記事だって書けるでしょう。

@mazzo すみません、次からはそうします。

@itsumonotakumi @mazzo 私はセキュリティは門外漢もいいところですが、意識のセキュリティホールを増やすようなメディアは最悪だと判断する程度にはセキュリティに関心があります。

いつもの匠さんのように、セキュリティ屋として顧客に伝えていると仰る方が、"初歩の初歩のとして悪くない"と判断してしまうのも、また恐ろしいです。

メールやSMSが詐欺に利用されるのは、プロトコルや実装の問題だけでなく、それが危険であるという認識が共有されていない故に、意識の上にセキュリティホールが空いてしまっているからでしょう。

「パスワードは定期的に変えれば安心」「二要素認証なら第上」「SSLの錠前アイコンで安心」などなど、実態無視したおためごかし紛いの解決策が、意識に危険な穴を増やします。
それを増やすような記事は、最悪じゃないでしょうか。

@itsumonotakumi @mazzo 「最悪」としたのは、信頼できないかも知れないメールの特徴を紹介し、そもそもメールが詐称について信頼できない仕組みだと伝えていないからです。

インフラとしてメールの使用が避けがたいのであれば、本来信頼できないのだから「こういうケースや特徴は信頼性を一定程度担保する」「通知内容への信頼できる経路はこれら」といった提示をすべきです。

医療情報や防犯情報に対し、同じような切り口で、本来信頼できないものを、"こういう◯◯は怪しい"などと流せば、はるかに大きな批判を受けるでしょう。たとえば「こんな代替医療は怪しい！」とか。それは結果として、怪しくないものを峻別しています。

それと、場当たり的に"送信元メールアドレスを偽装できる～～"と追記したり、ヘッダー見れば大丈夫とかいう大嘘を載せているのも最悪です。既存の読者は無視し、新たな読者は混乱する、しかも更に誤った信頼を作り出す。

ITmediaのようなマス向けの媒体でこういう記事が流れれば、沢山の「俺は怪しいメール見極められるぜ」おじさんを量産してしまうでしょう。

やはり最悪だと思います。

@mazzo ITMedia Mobileなので、松尾さんに投げても困るのかも知れませんが…。

これ、フィッシング対策の啓発記事としては最悪のレベルでは…。From偽装云々というより、メールは様々に偽装が可能な媒体って根本が欠けてる。
認証情報の入力は（DNSがまともだとして）、確実なブックマークや、信頼できる検索結果から開いたページのみで行う、という一番確実で手間の少ない方法の案内も無い。

記事書いた渡辺まりかさんという方、他の記事見ても、エンジニアリング寄りの知見が豊富とは思えない。セキュリティ絡む記事を、他の記事と同じ感覚で担当させちゃだめだろうに。
医療や防犯と同じで、メディアがセキュリティの記事出すときには、啓発だろうがなんだろうが、負の効果も踏まえた責任が伴わないと。

・詳しい人でもだまされる？　スマホを狙った「フィッシング詐欺」の手口と対策（1/2 ページ） - ITmedia Mobile
https://www.itmedia.co.jp/mobile/articles/2206/26/news014.html

GitHubに続いてAWSもコーディングのAI支援を公開。
事例を見たり自分で試した感想として、いつもの自動化と同じ結論に。まだまだまだまだフルオートは無理。

こういった自動化は、それが可能であること自体はとても素晴らしく、大きなハードルを越えた証ではあるけど、目指したり想像される実用性と現状に大きな差がありすぎる。

複雑な知的作業全ての自動化に共通するのは、自動化の結果を検証する目には、自動化対象の高い見識が必要という点。IntelliSenseのような提案レベルならともかく、コードの自動生成となると、そのチェックのコストが大きい。
たとえばOCRなんかが近い。機械認識した結果は、結局人がチェックしないと、文字打ち品質には到達しないのだ。

コンピューティングは、ビット演算から始まって、自動化と隠蔽で来たけれど、言語レベルではまだまだ。5年後とかには目処ついてるといいなあ。

・AWSも、プログラミングを機械学習で支援する「Amazon CodeWhiperer」プレビュー公開。コメントを書くとコードを提案 － Publickey
https://www.publickey1.jp/blog/22/awsamazon_codewhiperer.html

小ロットの量産を3Dプリンタで、というよくある話だけど、日本企業の取り組みを紹介、くらいの記事。

気になったのはこのスワニーという企業を、読み手がすでに知っている前提の記事となっている点。もちろん媒体や連載を考えれば、知ってて当然なのかもしれないけど、もったいなく感じる。
後半にある"なお、スワニーといえば、StratasysのPolyJet方式3Dプリンタによる樹脂製の型を用いた工法「デジタルモールド」で有名だが"が冒頭に来るだけで、読みやすさが大きく違う。

この手の記事って、公開前の読みやすさに対するレギュレーションチェックみたいなものって、どれぐらいしてるんだろう。
せめて、「潜在的読者が置いてきぼりにならない程度に、取り上げる対象の解説が冒頭でなされているか」とかいうチェックは出来そうな気がする。

・3Dプリンタで量産ニーズに応えるスワニー、実現のカギは生産技術との融合：日本ものづくりワールド 2022 - MONOist
https://monoist.itmedia.co.jp/mn/articles/2206/24/news044.html