- DMMビットコイン流出事件とGinco社のセキュリティ問題
- オレゴン州立大学オンラインCS学士号取得体験記
- ISO-2022-JP文字エンコーディングとXSS脆弱性
- TypeScriptとドメイン駆動設計(DDD)
- 将棋AIの強化学習における教師データ生成手法の革新
- AZIKローマ字入力方式の拡張と日本語入力効率化
- ChatGPT o1モデルによる歴史上の人物とのロールプレイ
- マスク氏とラマスワミ氏の外国人労働者ビザ擁護とトランプ支持者の反発
- 書籍『プログラミング作法』の書評
- Mac標準メモアプリの拡張アプリ「ProNotes」紹介
- ゆめみのフロントエンドエンジニア採用試験体験記
- AWS IoT Core入門とMQTTクライアントMQTTXの使い方
- iOS端末とAndroid端末に対するフィッシング攻撃の傾向
- バックオフィスAI SaaS「バクラク」のプロダクトマネジメント
- OAuth 2.0認可エンドポイントの脆弱性と対策
- Excelで画像認識を活用したデータ入力方法
- 新型Mac mini(2024)のレビュー
- iPhone 14とSEのEU販売終了とUSB-C義務化
- エムスリーのAI・機械学習チームが2024年に開発したプロダクト
- 広島県ウェブサイトへの不正アクセスと個人情報流出
- CursorとVSCodeのカスタマイズ設定
- 動画音声抽出ツール「Fast Music Remover」の使い方
- オープンソースSQLクエリ言語「Wvlet」のリリース
- 技術好きがプロダクトエンジニアになるための考察
- Zig製ターミナルエミュレータGhosttyの設定公開
- Chrome拡張機能の大規模ハッキング被害
- 2024年の振り返り
- Google Kubernetes Engine (GKE)へのアプリケーションデプロイチュートリアル
- JALと三菱UFJ銀行へのサイバー攻撃とシステム障害
- Copilot+ PCを用いた経理や業務用PC環境構築
DMMビットコイン流出事件とGinco社のセキュリティ問題
北朝鮮のハッカー集団「TraderTraitor」によるソーシャルエンジニアリング攻撃で、Ginco社のインド人従業員が騙され、DMMビットコインから約482億円相当のビットコインが流出しました。攻撃は偽の採用試験に仕込まれたマルウェア経由で行われ、Ginco社のセキュリティ体制の脆弱性が露呈しました。Ginco社は事件後沈黙を続け批判を浴びていますが、ビットバンクやビットフライヤーはGinco社のサービスを利用しておらず、迅速な対応で高いセキュリティ意識を示しました。この事件は、Web3業界におけるセキュリティ対策の重要性を改めて示すものとなっています。
オレゴン州立大学オンラインCS学士号取得体験記
西垣雅樹氏がオレゴン州立大学のオンラインCS学士号をフルタイム勤務しながら1年半で取得した経験を紹介しています。コミカレや他大学での単位取得による費用削減策、授業内容(アルゴリズムやアーキテクチャは素晴らしかった一方、グループプロジェクトには不満もあった)、約350~400万円の学費(インフレの影響で高騰している点に注意が必要)、今後のテキサス大学オースティン校かジョージア工科大学の修士課程進学予定などが詳細に記述されています。
ISO-2022-JP文字エンコーディングとXSS脆弱性
ISO-2022-JPの文字エンコーディング自動判定機能の脆弱性を悪用したクロスサイト・スクリプティング(XSS)攻撃が発見されました。レスポンスヘッダやmetaタグで文字エンコーディングを明示的に指定していない場合、バックスラッシュが円記号と誤認されることでエスケープ処理を回避し、XSS攻撃が可能となります。これは、バックスラッシュでエスケープ処理されている場合に有効な攻撃手法であり、文字エンコーディングの設定とJavaScriptの動的生成方法の見直しが必要なことを示唆しています。
TypeScriptとドメイン駆動設計(DDD)
TypeScriptを用いたドメイン駆動設計(DDD)の実践的な解説記事で、エンティティ、値オブジェクト、ドメインサービス、リポジトリ、アプリケーションサービス、ファクトリといったDDDパターンをブログ投稿システムの例を用いて説明し、レイヤードアーキテクチャによる各層(プレゼンテーション、アプリケーション、ドメイン、インフラ)の役割を明確化、TypeScript、Node.js、Express、Prisma等の技術スタックと単体テスト、GitHubで公開されたサンプルプロジェクト(CRUD機能中心)も紹介しています。
将棋AIの強化学習における教師データ生成手法の革新
将棋AIの学習において、高コストな教師データ生成が課題でしたが、tanukiさんが既存AIの評価値を用いて教師データを上書きする新手法を発見し、膨大な探索が不要になりました。これにより、高性能モデルから低性能モデルへの蒸留が可能になり、他の強化学習への応用も期待されます。
AZIKローマ字入力方式の拡張と日本語入力効率化
ローマ字入力方式AZIKを拡張し、日本語入力効率の向上を目指した記事で、WikipediaとVim駅伝の記事を分析して日本語の子音・母音・シーケンスの出現頻度を調査、その結果に基づいてAZIKのキー割り当てとシーケンスを最適化し、Vimを用いた具体的な設定方法と3ヶ月間の使用感を解説しています。
ChatGPT o1モデルによる歴史上の人物とのロールプレイ
OpenAIがChatGPTに搭載した新モデル「o1」の高性能を検証するため、著者が歴史上の人物であるデカルトとのロールプレイを実施した様子が紹介されています。その結果、o1は高度な推論能力、正確な知識、優れた言語能力を備え、専門家レベルの哲学的な議論を展開できることが確認されました。複雑な質問にも的確に回答するo1の能力は、専門知識を持つ人物との深い議論を求める人々のニーズに応える可能性を示唆しています。
マスク氏とラマスワミ氏の外国人労働者ビザ擁護とトランプ支持者の反発
イーロン・マスク氏とビベック・ラマスワミ氏が、高度なスキルを持つ外国人労働者向けのビザであるH-1Bビザの拡大を支持する発言を行い、ドナルド・トランプ氏支持者から反発を招いています。両氏はIT業界の人材不足を解消するためにはH-1Bビザの拡大が不可欠だと主張しており、その意見はトランプ次期政権の移民政策と矛盾するとして批判されています。トランプ氏自身も過去にはH-1Bビザに批判的でしたが、近年は態度を軟化させているとされています。一方、一部の民主党議員はマスク氏とラマスワミ氏の主張を支持しています。
書籍『プログラミング作法』の書評
この記事では、「プログラミング作法」という書籍を読んだ感想と、ソフトウェア開発におけるフレームワークの役割について解説しています。フレームワークは、アプリケーション開発を効率化するための基本的な構造や機能を提供する枠組みであり、再利用可能な部品やルールを提供することで開発期間の短縮や標準化を促進します。具体例として、React、Angular、Ruby on Railsなどが挙げられています。
Mac標準メモアプリの拡張アプリ「ProNotes」紹介
Mac標準の「メモ」アプリを拡張するアプリ「ProNotes」は、フォーマットバー、マークダウン記法、スラッシュコマンドによる効率的な編集、メモ間のリンク関係を確認できるバックリンク機能、テンプレート機能、そしてAIによる文章作成支援機能(有料)などを提供し、多くの機能を無料で利用できます。
ゆめみのフロントエンドエンジニア採用試験体験記
ゆめみのフロントエンドエンジニア採用試験(Next.js使用)に挑戦し、不合格となった体験記です。APIキー秘匿化、StoryBook導入、テストコード記述などに取り組みましたが、状態管理による再レンダリングやテスト不備、npmとyarnの混在などが低評価となり、デザイン、セキュリティ、コンポーネント分割、テスト環境構築などは高評価を得ました。半年後を目処に再挑戦予定で、課題の改善に励むとのことです。
AWS IoT Core入門とMQTTクライアントMQTTXの使い方
AWS IoT Core入門として、MQTTクライアントMQTTXを用いた実践的な学習方法を紹介しています。ラズベリーパイなどのエッジデバイスを使用せず、PC上でMQTTXをインストールしてAWS IoT CoreとのMQTT接続を試す手順を解説しており、AWS IoT Coreの設定(ポリシー作成、モノの作成、証明書ダウンロード、ドメイン取得)からMQTTXの設定、MQTTメッセージの送受信、テストクライアントによる確認、スクリプトを用いた高度な利用方法まで網羅しています。
iOS端末とAndroid端末に対するフィッシング攻撃の傾向
Lookout社のレポートによると、2023年の第3四半期において、iOSデバイスがAndroidデバイスよりもフィッシング攻撃の標的となっていることが明らかになりました。具体的な数値は、iOSが18.4%、Androidが11.4%と、iOSの方が高い割合で攻撃を受けています。これは、企業利用においてiOSデバイスの普及率が高いことが要因の一つと考えられます。攻撃手法は巧妙化しており、特にメールを介したフィッシング攻撃が増加傾向にあります。iOSとAndroid両方のユーザーは、フィッシング攻撃への警戒を強める必要があります。
バックオフィスAI SaaS「バクラク」のプロダクトマネジメント
LayerXが開発するバックオフィスAI SaaS「バクラク」は、深刻な人材不足が予想される2040年を見据え、AIによる業務削減を目指しており、ミスが許されないバックオフィス業務において、AIと人間の協働による精度と生産性向上を実現しています。AI-OCRによる請求書情報の自動入力とユーザーによる修正を組み合わせた学習により精度向上を図っており、AIプロダクト開発においては、プロダクトビジョン、精度基準の設定、業務に即したUX設計、データ収集体制の構築が重要であり、企画と開発の同時進行、ドメイン理解に基づいたチーム体制構築が成功の鍵であると述べられています。
OAuth 2.0認可エンドポイントの脆弱性と対策
OAuth 2.0とOpenID Connectの認可サーバにおける脆弱な実装例と、Redirect URI検証の不備、ReDoS、XSS、CSRF、SQLインジェクションといった脆弱性への対策を、認可コードグラントと認可エンドポイントに焦点を当てて解説しており、具体的な攻撃手法と、完全一致によるRedirect URI検証、PKCE、state/nonceパラメータ活用などの対策を、攻撃者のモデルを想定した現実的な脅威と合わせて考察しています。
Excelで画像認識を活用したデータ入力方法
ExcelでPDFや画像から表データを手入力する作業の効率化を図る方法として、画像認識技術の活用を紹介する記事です。IT系ニュースサイト「Watch」シリーズの記事を元に、PC、デジカメ、家電、スマホ、ドローン、e-bike、在宅ワーク関連の情報、パソコン工房、ASUS、ドスパラなどのメーカー情報なども掲載されているサイト一覧と、それらサイトで扱われている幅広い分野の情報も併せて紹介しています。
新型Mac mini(2024)のレビュー
Appleから新型Mac mini(2024)が発売されました。M4またはM4 Proチップ搭載で処理性能が向上し、価格は9万4,800円〜です。コンパクトな筐体ながら、Thunderbolt 5(M4 Proモデルのみ)、高速ストレージ、16GB〜64GBのメモリ、256GB〜8TBの大容量ストレージなど、高性能と利便性を両立しています。デザイン性も向上しており、最強のミニPCと言えるほどの性能を誇ります。
iPhone 14とSEのEU販売終了とUSB-C義務化
欧州連合(EU)が2024年末までに、スマートフォンを含む携帯機器の充電ポートをUSB-Cに統一する法案を承認したことに伴い、AppleはiPhone 14とSEのEUでの販売を終了する見込みです。AppleはLightning端子の継続使用を希望しておりEUの決定に反発していますが、法令順守のため、今後発売されるiPhoneはUSB-Cポートを搭載すると予想されます。この法案は、消費者の利便性向上と電子廃棄物の削減を目的としています。
エムスリーのAI・機械学習チームが2024年に開発したプロダクト
エムスリーAI・機械学習チームが2024年に開発した28個のプロダクトを公開した記事で、レコメンドシステム、ユーザー向けアプリ、情報提供自動化システム、臨床AI、内部エンジンなど多様な分野を網羅し、LLMを活用した記事構造化や動画文字起こしといった事例も紹介されています。開発効率化に向けたMLパイプラインの改善やlinter導入といった取り組みや、エンジニア(インターンを含む)の積極的な募集についても触れられています。
広島県ウェブサイトへの不正アクセスと個人情報流出
広島県の平和関連サイト「国際平和拠点ひろしま」が不正アクセスを受け、メールマガジン登録者3751人分の個人情報(氏名、メールアドレス、電話番号、住所など)が流出した可能性があり、身代金要求メールも確認されています。広島県は警察と協力して詳細を調査中です。
CursorとVSCodeのカスタマイズ設定
CursorとVSCodeのエディタ設定を、見た目と機能性の両面から大幅に改善するカスタマイズ方法を紹介。Vimキーバインド、テーマ、背景画像、アニメーションといった視覚的な要素に加え、LazyGitやFindItFasterなどの拡張機能による機能性向上も解説。AstroNvimの設定を参考に独自キーバインドを作成し、Warpターミナルとの連携で操作性の向上も図っています。
動画音声抽出ツール「Fast Music Remover」の使い方
無料の動画音声抽出ツール「Fast Music Remover」の使い方と、Dockerを用いた簡単なセットアップ方法、YouTube動画とローカルファイルへの対応、今後のリアルタイム処理や新モデル導入予定について解説した記事です。ノイズやBGM、雑音などを除去し、音声データのみを抽出できる点が特徴です。
オープンソースSQLクエリ言語「Wvlet」のリリース
オープンソースのSQLクエリ言語「Wvlet」の最新バージョンv2024.9がリリースされました。従来のSQLの非直感的な構文を改善し、データフローに沿った記述を可能にすることで、より直感的で効率的なデータ分析を支援します。ウェブブラウザ上で動作するPlaygroundとコマンドラインツールが提供され、開発者は手軽にWvletを利用できます。Python SDKを含む複数のプログラミング言語向けSDKも開発中で、今後機能強化や最適化が予定されています。
技術好きがプロダクトエンジニアになるための考察
この記事では、著者の近藤氏(Uchio Kondo)が「THE MODEL」を読み、営業プロセス改善だけでなくエンジニア採用や業務効率化にも役立つと気づき、技術オタクとしての視点とプロダクトエンジニアとしての役割を両立させる方法について論じています。プロダクトエンジニアは技術力とユーザー体験の両方を重視すべきであり、特定技術にとらわれずドメイン知識を重視する必要がある一方、技術への深い理解とリスペクトが不可欠であると主張しており、自身のインフラエンジニア経験がプロダクトエンジニアへの転身に活かせる可能性についても触れています。
Zig製ターミナルエミュレータGhosttyの設定公開
Mitchell Hashimoto氏開発のZig言語によるターミナルエミュレータGhosttyがv1.0.0をリリースしました。Zero Configurationを謳いつつ、シェル連携、テーマ、フォント、キーバインド、マウス動作、カーソル表示、ウィンドウ管理など、柔軟なカスタマイズが可能です。充実したドキュメントとカスタムシェーダー機能も提供されています。
Chrome拡張機能の大規模ハッキング被害
2024年12月24~26日にかけて、Chrome拡張機能16個がハッキングされ、60万人以上のユーザーが影響を受けました。攻撃者は開発者アカウントをフィッシングメールで乗っ取り、悪意のあるコードを注入しました。主にAI関連やVPN拡張機能が標的となり、FacebookアカウントやAIプラットフォームへのアクセス権限を窃取しようとしたと推測されます。この攻撃は、休暇シーズンを狙った組織的なものとみられ、セキュリティ対策の強化が喫緊の課題となっています。ユーザーは、拡張機能の権限設定を確認し、不要な拡張機能を削除するなどの対策が必要です。
2024年の振り返り
筑波大学4年生が、卒業を目標に仕事時間を大幅削減しながら、微分積分Bの履修や卒業研究の開始、WebKit(JavaScriptCore)への貢献やPrettierのメンテナンスといったOSS活動への積極的な参加、複数回のカンファレンス登壇、そして旅行などを含む充実した2024年を過ごした様子を振り返っています。
Google Kubernetes Engine (GKE)へのアプリケーションデプロイチュートリアル
Google Kubernetes Engine (GKE)へのアプリケーションデプロイ手順を解説したチュートリアルで、GKEクラスタの作成、Dockerイメージの作成とプッシュ、GKEへのデプロイを手順付きで説明しています。開発環境と本番環境へのデプロイ効率化のため、KustomizeとSkaffoldの導入方法、YAMLファイルを用いたデプロイ設定と環境毎の設定管理方法、Namespaceの活用とリソースの削除方法による安全なデプロイ方法も解説しています。
JALと三菱UFJ銀行へのサイバー攻撃とシステム障害
年末に日本航空(JAL)と三菱UFJ銀行がサイバー攻撃を受け、大規模なシステム障害が発生しました。攻撃はDoS/DDoS攻撃と推測され、大量のデータ送信によるシステムダウンを引き起こしたとみられています。りそな銀行も同様の障害が発生しており、サイバー攻撃の可能性が示唆されています。近年、日本企業へのサイバー攻撃は増加傾向にあり、特にインフラ企業が標的となりやすい状況です。攻撃の敷居を下げるブーター・ストレッサーと呼ばれるツールが容易に入手できることも問題となっており、企業の情報セキュリティ対策の強化が急務となっています。
Copilot+ PCを用いた経理や業務用PC環境構築
この記事では、AI機能を搭載した新型PC「Copilot+ PC」を用いて、経理や業務といった日常的なPC環境を構築した事例を紹介しています。Windows 11ベースで、外見は従来のPCとほぼ変わらず「Copilotキー」が追加されているのみです。Qualcomm Snapdragon搭載モデルはArm版Windows 11を使用しており、Office、Photoshop、弥生会計など主要な業務アプリの動作確認済みです。Arm版に対応していないアプリについても、エミュレーターで多くの場合動作することを検証しています。
