はてな、11億円の資金流出 振り込め詐欺か
インターネット関連事業を手掛けるはてな(京都市中京区)は4月24日、不正な送金指示によって約11億円の資金が銀行口座から流出したと公表した。第三者から虚偽の送金指示があったという。 4月21日に取引先銀行から不審な送金が行われていると連絡があり、確認すると4月20日と21日にある従業員のアカウントから銀行預金を外部の口座へ送金していた。その従業員に確認したところ、悪意ある第三者から虚偽の送金指示があったことが分かった。 はてなは、捜査機関へ全面的に協力するとともに、関係金融機関と被害回復に向けた措置を講じている。社内にも来栖義臣社長を中心とする対策本部を設け、外部の弁護士なども交えて事実関係の調査を進めるという。 なお、この事案に関連して個人情報や顧客情報の流出は24日時点で確認されていない。はてなの運転資金についても十分な流動性を確保しており、事業運営や資金繰りに支障はないとしている。
TimからAppleコミュニティのみなさんへ
Timから Appleコミュニティの みなさんへ 私はこれまでの15年間、毎朝同じように一日を始めてきました。メールを開いて、世界中のAppleユーザーのみなさんから届いたメッセージを読むのです。 みなさんは暮らしの中で起こった出来事を私に共有し、Appleがどんなふうに人生を変えたのかを教えてくれます。Apple Watchがお母さんの命を救った話。登頂は不可能だと思われていた山の頂上で、完璧なセルフィーを撮った話。Macのおかげで仕事の可能性が広がったという感謝の言葉。時には、大事なことがうまくいかないとお叱りを受けることもありました。 そのすべてのメールの中に、私たちが共有する人間らしさが息づいています。それは私に、もっと努力をし、前進しなければという使命感を持たせてくれました。そしてそれ以上に、言葉にできないほどの感謝の気持ちを感じさせてくれました。みなさんのメールを受け取る立
「ブラウザの戻るボタン→広告表示」がスパム扱いに Google、6月にポリシー変更 違反で検索冷遇も
米Googleは4月13日(現地時間、以下同)、ブラウザの戻るボタンを押した際、すぐ元のページに戻さず、広告など意図しないページを表示する行為をスパムとして扱うと発表した。6月15日にGoogle検索のスパム対策ポリシーを更新する予定。違反した場合、Webサイトが検索上位に表示されにくくなったり、検索結果から削除されたりする可能性がある。 同様の行為が増加傾向にあるといい、「『Back Button Hijacking』(戻るボタンの乗っ取り)はブラウザの機能を妨害し、ユーザーの期待する操作を阻害し、ユーザーの不満につながる。最終的には見慣れないサイトを訪れる意欲が低下する」(同社)として、対策を強化する。 GoogleはWebサイトの管理者に対し、戻るボタンの挙動を妨げるようなスクリプトなどをポリシー更新までに削除・無効化するよう呼び掛けている。 関連記事 最新AI「Claude Myt
エンジニア歴20年の私が、素人バイブコーディング勢に物申す - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? お前がコードを書き始める前に 言っておきたい事がある かなりきびしい話もするが 俺の本音を聞いておけ はじめに これから少しの間、不器用で、偉そうで、厳しいことを言う。けれど最後まで聞いてくれれば、その裏側にあるものもわかってもらえると思う。だから先に謝っておく。生意気な口を、許してほしい。 まず、お前に話す前に、業界を取り巻く空気の話をさせてくれ。ソフトウェア業界には、昔から消えない風潮がある。 「売れたプロダクトはすべて正しい」 「品質? 障害が起きなければそれでいい」 「細かいことはベンダーに丸投げで構わない」 ビジネスの現場で生
すべてのMacに49.7日バグ—長期稼働でTCP接続不能になる脆弱性が発覚
4月9日、Photon社が「The 49.7-Day Time Bomb Hidden in Every Mac's Network Stack」と題した記事を公開した。 すべてのMacには、49日17時間2分47秒の連続稼働後に新しいネットワーク接続を一切受け付けなくなるという深刻な脆弱性が存在する。この問題は、AppleのXNUカーネルの32ビット整数オーバーフローに起因し、再起動以外に解決方法がない。 特に深刻なのは、この障害の隠密性である。システムは正常に動作し続け、pingへの応答も正常で、既存の接続も維持される。しかし新しいTCP接続は一切確立できなくなる。エラーログすら出力されないため、トラブルシューティングが極めて困難だ。 Mac長期稼働の増加で浮上した問題 この問題が今注目されている背景には、サーバー用途でMacを長期稼働させる企業の急増がある。特にCI/CDパイプライン
新しくプロジェクトに入った人がリポジトリの現状を素早く把握するためのGitコマンド5選
ITエンジニアのアリー・ピエホフスキー氏が、「全然知らないプロジェクトの現状を素早く把握できるGitコマンド」を5つ紹介しています。 The Git Commands I Run Before Reading Any Code https://piechowski.io/post/git-commands-before-reading-code/ ◆過去1年間で最も変更されたファイル20個 以下はファイル名を過去1年間の変更数の多い方から20個並べるコマンド。 git log --format=format: --name-only --since="1 year ago" | sort | uniq -c | sort -nr | head -20 変更頻度の高いファイルを確認することで「活発に開発されている部分」や「予測不可能な影響を広い範囲に与えてしまっている部分」を知ることができま
CloudflareがWordPress後継のサーバーレスCMS「EmDash」をベータ公開 | lilting channel
WordPressが誕生して24年。インターネットの40%以上を動かす巨大CMSだが、プラグインのセキュリティ問題は年々深刻化している。Cloudflareが4月2日にベータ公開した EmDash は、この構造的な問題をアーキテクチャごと作り直すことで解決しようとしている。Astro 6.0をベースにしたフルスタックサーバーレスCMSで、MITライセンスのオープンソースだ。 「WordPress後継」と銘打ってはいるが、24年の蓄積があるWordPressとv0.1.0のEmDashでは正面から比べられない領域が多い。逆に、WordPressが構造的に解決できない問題をEmDashがゼロから設計し直している領域もある。両者の強みと弱みを、領域ごとに掘り下げてみた。 全体比較 観点WordPressEmDashどちらが有利か
長年の悩みがこれで解決! CSSのposition: stickyの仕様が変わり、上部固定と左端固定が同時に実装できるようなります
テーブルのヘッダを上部に固定し、さらに列の1つを左端に固定する、これを実装するのは非常に大変です。 一見、position: sticky;を使って、top: 0;とleft: 0;で実装できそうですが、実際にはどちらか一方しか固定されません。JavaScriptを使用してもかなりの量になります。 ここで朗報です、9年間続いていたCSS仕様の問題が解決されます! position: sticky;がアップデートされ、軸ごとにもっとも近いスクロール位置に追従できるようになったため、このヘッダと列を上部と左端にそれぞれ固定するのが簡単に実装できるようになります。 CSS position: sticky now sticks to the nearest scroller on a per axis basis! by Bramus! 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記
Claude Codeに仕様書を丸ごと渡すな ── 「要件を伝える」との決定的な違い
はじめに Claude Codeで開発するとき、仕様書をMarkdownで書いてリポジトリに置き、@docs/specification.md を読んで認証機能をこの通りに実装して とやっていないだろうか。 自分はこれをやっていた。仕様書を1つのMarkdownファイルにまとめてdocs/に配置し、Claude Codeに丸ごと読ませて実装させるフローで開発した。 そして精度が悪かった。 なぜ精度が悪いのか、どうすれば改善できるのか。仕様書の渡し方を工夫する方向で調査を進めた結果、問題は渡し方ではなく「仕様書を渡すこと自体」にあると気づいた。 この記事では、Claude Codeの設計思想から掘り下げて「仕様書を渡す」と「要件を伝える」の本質的な違いを明らかにし、仕様書との正しい付き合い方を整理する。 仕様書を渡したら何が起きたか このフローで繰り返し経験した問題が3つある。 長い仕様書の
npm をセキュアな挙動にするために .npmrc に記述する最小設定
はじめに グループIT推進本部 CyberAgent group Infrastructure Unit(以下、CIU)所属・Next Expertsの平井(@did0es)です。 CIUのサービスのWebフロントエンド開発に携わる傍ら、TypeScriptのNext Expertsとして情報発信や社内向けの技術支援を中心に活動しています。 本記事では、pnpm や bun への移行を検討する前に、まず npm のままで実現可能なセキュリティ対策を実施したい人を対象に、 .npmrc に入れるべき最小限の設定を紹介します。 ここで紹介する設定は、最小構成でありつつ、CIUのWebフロントエンドでも共通して採用している内容です。 背景として、npmまわりでは直近で大きなサプライチェーン攻撃が続いています。 Shai-Hulud(2025年9月〜11月) axiosパッケージ改ざん(2026年
サプライチェーン攻撃から身を守るために最低限設定しておきたいこと
こんにちは、クラシルのラクです。 2026年3月だけで、サプライチェーン攻撃が立て続けに発生しています。 3月19日: セキュリティスキャナTrivyのGitHub Actionsが侵害され、CIで実行するだけでSSH鍵やクラウドトークンが窃取される状態に 3月24日: Trivyの侵害を起点にPyPIのLiteLLMにも波及。数時間にわたり悪意あるバージョンが配布 3月31日(本日): npmのaxiosのメンテナアカウントが乗っ取られ、RATが仕込まれたバージョンが公開 Trivy → LiteLLMのように、1つの侵害が連鎖的に別のプロジェクトに波及するケースも出てきています。もはや「自分のプロジェクトは大丈夫」とは言えない状況です。 一方で、こうした攻撃の多くはパッケージマネージャの設定ひとつで防げる可能性があります。Andrew Nesbittが「Package Managers
【緊急】axios がサプライチェーン攻撃 2026.03.31
TL;DR 2026年3月31日、npm で最も利用されているHTTPクライアントライブラリの一つである axios がサプライチェーン攻撃を受けました。攻撃者はリードメンテナーのアカウントを乗っ取り、マルウェアを含む2つのバージョンを公開しています。 項目 内容
axios ソフトウェアサプライチェーン攻撃の概要と対応指針 - GMO Flatt Security Blog
2026年3月31日、HTTP クライアントライブラリ axios の npm パッケージが侵害されました。攻撃者はメンテナの npm アカウントを乗っ取り、マルウェアを含むバージョン 1.14.1 および 0.30.4 を公開しました。axios は npm エコシステムで週間約1億ダウンロードを誇る主要パッケージです。本記事では公開情報をもとに、事象の概要を記録します。また、対応指針を示します。 TL;DR - 対応指針 axios への直接依存に限らず、間接依存(transitive dependency)でも postinstall フックは発火します。 自身のプロジェクトが axios を直接利用していなくても、依存ツリーのどこかに axios が含まれていれば影響を受け得ます。npm ls axios で確認してください。 npm ls axios や lockfile により
お前らの正義の話をしよう - megamouthの葬列
大手ECサイトをスクレイピングするプログラムをClaudeCodeに書いてもらいました。とても便利なので公開したいのですが、友人のプログラマに相談すると「叩かれるからやめておけ」と忠告されました。AIも同意見のようです。正直、基準も理由もよくわかりません。なぜ私はこのプログラムを公開してはいけないんでしょうか? 「叩かれるからやめておけ」というのは、正しい忠告だし、君の為を思って言ってくれた言葉だと感じる。君が公開したスクレイパー付きシステムが何をするものかは知らないが、そのプログラムのインパクトが強ければ強いほど、「『技術者倫理』のない奴は…」というポストは間違いなく現れるだろう。ただし、そういったポストが、本当に正しい理由から発せられているかは、少し怪しいと僕は思っている。 最初に一つだけはっきりさせておきたい。これから僕がする話は、法律の話でも、利用規約の話でもない。技術者倫理の話だ
<h1>Rob Pike's 5 Rules of Programming</h1>
Rule 1. You can't tell where a program is going to spend its time. Bottlenecks occur in surprising places, so don't try to second guess and put in a speed hack until you've proven that's where the bottleneck is. Rule 2. Measure. Don't tune for speed until you've measured, and even then don't unless one part of the code overwhelms the rest. Rule 3. Fancy algorithms are slow when n is small, and n i
「Firefox」、全ユーザーに無料VPNの提供を開始--その信頼性は?
Mozillaが「Firefox」ブラウザーのユーザーを対象に、無料の仮想プライベートネットワーク(VPN)サービスの提供を開始する。 Mozillaは米国時間3月17日、「Firefox 149」のロールアウトに伴う今後のアップデートについて説明するブログ記事を公開し、その中で無料のVPNをFirefoxの全ユーザーに提供すると述べていた。 Firefoxの新しいVPNは信頼できるのか? 非営利団体であるMozillaのFirefoxブラウザーは、プライバシーを重視した選択肢の1つとして知られている。Mozillaによれば、今回のVPNにもこれまでと同じデータ原則とプライバシー重視のアプローチが適用されるという。 ただし、独立機関による監査が行われるといった話は現時点で出ておらず、新しいVPNが本質的に安全かどうかは断言できない。それでも、既存のVPNサービスで重大なセキュリティ上の懸念
ネットワーク何もわからん!そんな私がネスペ合格までに役立った本まとめ
どうもお疲れ様です。MESIです。 私は普段アプリケーション開発をメインでやっています。 そのためネットワーク機器を構築したり設定したりする機会はほとんどなく、エンジニア2年目くらいまではネットワークについてほとんど知識がありませんでした。 当時は プライベートIPアドレスとグローバルIPアドレスの違いもよくわからない というレベルでした。 しかし業務でクラウドやインフラに触れる機会が増え、ネットワークの知識も必要だと感じるようになりました。 そこでネットワークの勉強を始めました。 その後、地道に勉強を続けた結果、最終的には ネットワークスペシャリスト試験に合格するレベル まで知識を身につけることができました。 本記事では、私がネットワークを勉強するためにいろいろ購入した本の中で 特に役立った本 を紹介します。 ネットワーク初学者の方の参考になれば嬉しいです。 この記事で紹介する本 今回紹
公衆WiFiでのMITMの脅威について、HTTPSなら心配不要というのはわかるのですが、汎用的なブラウザではなく専用のモバイルアプリの場合、HTTPSの検証結果を無視するものが一定割合あるという調査結果を見た記憶があります。 そのようなアプリに対してDoH/DoTは対策になりますか? | mond
DNSの完全性を確保しても、公衆Wi-FIの偽アクセスポイント(Evil Twin)を用いたMITM攻撃の緩和はできないです。その理由は、DNSの操作をしなくてもMITM攻撃はできるからです。 私の以前のブログ記事が参考になると思います。 https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html HTTPSを使ってもCookieの改変は防げないことを実験で試してみた寺田さんのブログエントリ「 他人のCookieを操作する 」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えるこ... blog.tokumaru.org
新時代のフロントエンドツールチェイン Vite+ を試してみた
Vite+ は Vite, Vitest, Oxlint, Oxfmt, Rolldown, tsdown といった人気のツールを統合し、開発, テスト, ビルド, リント, フォーマットなどのフロントエンド開発に必要な機能を1つのツールチェインで提供する新しいフロントエンドツールチェインです。この記事では実際に Vite+ をインストールして、プロジェクトのセットアップから開発、テスト、ビルドまでの一連の流れを試してみました。 近年の Web 開発のプロセスはますます複雑化しています。フロントエンドの構築のためには、モジュールバンドラー, トランスパイラー, リンター, テストランナーなど、多くのツールが必要になりますが、設定ファイルも複雑になりがちです。Webpack の設定のために専門の職人が必要になるという話もよく聞きましたね。現代でも .eslintrc, .prettierrc
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
隠密行動中のフリゲート艦、乗組員宛の郵便物に同梱されたトラッカーで位置が特定される【やじうまWatch】
