Lightnews — Scholar-powered news

二本松哲也 @nihonmatsu.bsky.social · 17h

AIによって労働力ではなく創造力そのものが生産手段になる。つまり、企業が保有していた人・資金・設備によるスケールが相対化され、個人の知的設計力・プロトタイピング力が競争優位の源泉になる。これはマルクス的に言えば生産手段の私有から共有への再帰ではなく、クラウドとAIを媒介とした分散的再個人化です。
GitHub Copilot、Claude、GPT、Vercelなどが一人の開発者を仮想チーム化している。
x.com/saasmeshi/st...

SaaS飯 on X: "気づいてるか？個人開発者とスタートアップ起業家は価値観が全く異なる。どちらも「新しいものを作る人」として一見似ているように見える。だが、根っこの考え方はまるで違う。" / X

気づいてるか？個人開発者とスタートアップ起業家は価値観が全く異なる。どちらも「新しいものを作る人」として一見似ているように見える。だが、根っこの考え方はまるで違う。

x.com

1

二本松哲也 @nihonmatsu.bsky.social · 17h

一方で、熊が里に下りる背景には、森林伐採やメガソーラー開発など、人間が生態系の均衡を崩した側面もあります。したがって駆除と環境再生は対立概念ではなく、生態的ゾーニングの両輪として捉える必要があります。

熊問題は「命の優劣」ではなく、生態学、地理学、公共安全が交差する構造設計の課題です。

駆除か共生かではなく、秩序ある分離こそが、人間と自然の尊厳を両立させる道だと私は考えます。

二本松哲也 @nihonmatsu.bsky.social · 17h

全国で熊の出没が相次ぎ、「駆除か共生か」をめぐる議論が分断を深めています。しかし本質は、感情論ではなく生物学と空間設計の問題です。熊は本来、植物を主とする雑食性動物ですが、捕食者としての本能を持ち、一度「人間＝餌源」と学習すれば、再び人里に現れます。つまり、人間と熊は生態的に同じニッチ（生活圏）を共有できない種なのです。

共生とは、感情的な共存ではなく相互不可侵の秩序。
人間が住む地域と熊の生息域を線引きし、侵入した熊を適切に駆除することは残酷ではなく、生態系秩序を維持するための合理的な行為です。

「プーさんみたいな可愛いクマはいない」全国で相次ぐ熊被害…駆除か共生か、分断される世論 (弁護士ドットコムニュース｜話題の出来事を弁護士が法的観点からわかりやすく解説するニュースコンテンツ)

全国各地で熊の出没が相次ぎ、人的被害が後を絶ちません。住宅街にまで現れ、平穏な日常を脅かされるように...

newspicks.com

1

二本松哲也 @nihonmatsu.bsky.social · 1d

OSINTの境界は、しばしば曖昧になりがちです。公開情報か非公開情報か、あるいは認証を要するリソースへのアクセスかなど、判断に迷う場面では実施前に確認することが鉄則です。また、調査過程では証拠保全とプライバシー保護（個人情報保護法への適合）を並行して検討する必要があります。さらに、外部委託を行う場合は、委託先の遵法性と実施手順の監査を必ず実施し、組織としての説明責任を確保することが求められます。
x.com/t_nihonmatsu...

二本松哲也 on X: "安易考えて、OSINTのつもりがサイバー攻撃（不正アクセス禁止法など）だったということも・・・。これは一例ですが参考になれば幸いです。・不正アクセスに該当することは控える・危険なSQLインジェクションを試さない・危険なツールを使用しての調査は実施しない Winnyからの教訓 https://t.co/hofbMAjOWR" / X

安易考えて、OSINTのつもりがサイバー攻撃（不正アクセス禁止法など）だったということも・・・。これは一例ですが参考になれば幸いです。・不正アクセスに該当することは控える・危険なSQLインジェクションを試さない・危険なツールを使用しての調査は実施しない Winnyからの教訓 https://t.co/hofbMAjOWR

x.com

二本松哲也 @nihonmatsu.bsky.social · 1d

この構造の中で、優遇される側には見えない支援構造が、報われにくい側には説明されない不公平が存在します。だからこそ、個人の成長だけでなく、制度そのものの透明化とデザインが求められます。

「才能があるのに報われない」人がいるとすれば、それは、社会資本のデザインが偏っているのかもしれません。組織の未来は構造をデザインすることで、変わっていくのだと思います。

二本松哲也 @nihonmatsu.bsky.social · 1d

「下駄を穿かされて優遇される」には、実は才能以上のものが求められます。後ろ盾を作り、仲間を得て、組織の文法を読み解く、生存戦略です。才能は個人の資本として語られますが、現実の組織ではそれだけでは通用しません。評価は実力だけでなく、誰に支持され、どのネットワークに属しているかという社会資本によって補正されるからです。
x.com/kodooba_11/s...

こどおば on X: "女に生まれただけで学生服着てると痴漢、盗撮され、生理もあって1週間しんどくて、就職しようとすれば結婚しますか？彼氏いてますか？と聞かれ答え次第では落とされる。働けても女性の方が仕事できても、鈍臭い男性でも下駄穿かされて優遇される。どう考えても男性の方が生きやすいよ。" / X

女に生まれただけで学生服着てると痴漢、盗撮され、生理もあって1週間しんどくて、就職しようとすれば結婚しますか？彼氏いてますか？と聞かれ答え次第では落とされる。働けても女性の方が仕事できても、鈍臭い男性でも下駄穿かされて優遇される。どう考えても男性の方が生きやすいよ。

x.com

1

二本松哲也 @nihonmatsu.bsky.social · 1d

凡人の枠で天才を測ると、しばしばその才能は異質や扱いにくいとして排除される。つんくさんがあえて“採らなかった”のは、天才を理解できなかったのではなく、組織や市場という有限の体系がその才能をまだ受け止められないことを直感していたのだと思います。
天才は体系を拡張し、凡人は体系を維持する。そしてプロデューサーとは、そのあいだを翻訳し、異質を社会に接続する構造的知性です。

「凡人が天才に勝つ方法」とは、理解できないものを排除せず、体系の外にある未定義の可能性を見抜く眼を養うことなのかもしれません。

二本松哲也 @nihonmatsu.bsky.social · 1d

音楽プロデューサーのつんくさんが語った「天才はいたけど採らなかった」という言葉。この一言には、評価する者と評価される者のあいだに横たわる構造的な限界が表れています。ゲーデルの不完全性定理は、「ある体系は、自らの完全性を内部から証明できない」と説きました。同じように、人は自分が属する評価体系の外側にある天才を正しく判断することはできないのです。
www.asahi.com/articles/ASR...

つんく♂「天才はいたけど採らなかった」　才能よりも大事な成功の源：朝日新聞

成功のためには才能よりも大事なものがある。オーディションで幾多の才能を見てきた音楽プロデューサーのつんく♂さんは、近著「凡人が天才に勝つ方法」で才能論を説いた。肌身で感じた様々な才能、能力を伸ばす指…

www.asahi.com

1

二本松哲也 @nihonmatsu.bsky.social · 1d

どれほど小規模な開発であっても、次の3層を同時に備える必要があります。
・挙動の透明化、停止・削除の確実性（機能安全）
・プラットフォーム規約と個人情報保護法の整合性（法令遵守）
・データの取扱いとUI上の明示責任（倫理と説明責任）
「ぷまソフト」問題は、善意の開発でも “透明性を欠いた設計は信頼を破壊する” という根本原理を突きつけました。
たとえ個人開発や同人規模のプロジェクトであっても、 Security & Privacy by Designを初期段階から組み込むことが、今後の開発文化に求められると予測します。

二本松哲也 @nihonmatsu.bsky.social · 1d

この事案の本質は、悪意ではなく、設計段階の想定不足にあります。開発者の目的はユーザー体験の改善であったものの、常駐処理や自動通信を透明化しなかったこと、プラットフォーム規約の射程を検証しなかったこと、アンインストールやデータ削除をユーザー制御できる形で設計しなかったことが重なり、結果的に「マルウェア的挙動」と誤認される構造を生み出しました。

「ぷまソフト」問題に見る法令遵守と技術者倫理の課題

「ぷまソフト」問題を通じて考える法令遵守と技術者倫理の課題について。

k4na.de

1

二本松哲也 @nihonmatsu.bsky.social · 1d

批判される者が「受容と再構築」の姿勢を持ち、批判する者が「論理と敬意」を持つとき、議論は対立ではなく共進化に変わります。批判とは破壊ではなく、知をより精緻に組み立て直すための創造的衝突なのだと思います。

二本松哲也 @nihonmatsu.bsky.social · 1d

批判を受けることは、自己を攻撃されることではなく、知を磨く機会として捉えるべきだと思います。批判とは、既存の前提や思考の枠組みを点検し、更新するための摩擦。この摩擦を恐れるのではなく、思考のブラッシュアップ装置として好意的に利用できるかどうかが、知的成熟の分水嶺です。

一方で、批判する側にも要件があります。
それが詭弁や自己承認欲求の発露ではなく、批判的思考（critical thinking）に基づいていること。つまり、相手を打ち負かすためではなく、より良い理解や洞察を共に形成するための行為であることです。

x.com

1

二本松哲也 @nihonmatsu.bsky.social · 2d

Ciscoは、IOSおよびIOS XEのSNMPサブシステムにおけるスタックオーバーフロー脆弱性（CVE-2025-20352）を公表しました。Cisco PSIRTによれば、ローカル管理者資格情報が漏洩した環境で実際に悪用が確認されています。
SNMPv2c/3の低権限ユーザによるDoS攻撃、および高権限（privilege 15）ユーザによるroot権限での任意コード実行（RCE）が可能となる重大な脆弱性です。この脆弱性は、IPv4/IPv6を問わず細工されたSNMPパケットを送信することで発動し、IOS XRおよびNX-OSは非該当です。

Cisco Security Advisory: Cisco IOS and IOS XE Software SNMP Denial of Service and Remote Code Execution Vulnerability

A vulnerability in the Simple Network Management Protocol (SNMP) subsystem of Cisco IOS Software and Cisco IOS XE Software could allow the following: An authenticated, remote attacker with low privi...

sec.cloudapps.cisco.com

二本松哲也 @nihonmatsu.bsky.social · 2d

実務的対処としては、ブラウザ管理（Chrome Enterprise 等）でのダウンロード制限・自動更新の徹底、Egress監視でのブロックチェーンAPIへのアクセス可視化、SOCでの「eth_call」等の異常なAPI参照のハンティング、サプライチェーン（npm 等）の厳密な検査と署名済みパッケージ運用が急務です。

二本松哲也 @nihonmatsu.bsky.social · 2d

Google Threat Intelligence の報告によれば、UNC5342（DPRK系）が偽採用面接を餌に開発者を標的とし、JavaScriptダウンローダJADESNOWから最終的にバックドアINVISIBLEFERRETを展開する攻撃で、スマートコントラクトに悪性コードを格納するEtherHidingを運用しています。
ブロックチェーンの分散性・不変性を悪用したこの手法は、従来のドメイン/IPブロッキングでは止めにくく、ステルス性・可変性も高い点が脅威です。

DPRK Adopts EtherHiding: Nation-State Malware Hiding on Blockchains | Google Cloud Blog

North Korea threat actor UNC5342 is leveraging the EtherHiding technique in espionage and financially motivated operations.

cloud.google.com

1

二本松哲也 @nihonmatsu.bsky.social · 2d

任天堂は産経新聞の取材に応じ、「個人情報や開発情報の漏洩はない」と、ハッカーが主張するような深刻な被害については否定しました。本文に書いてある通り、このような状況で、「攻撃主張」をタイトルに据えて拡散する報道や投稿は、読者の認知を誘導し、結果として攻撃者の意図に加担してしまうリスクがあります。
特にサイバー領域では、ハッカーの声明自体が存在証明や交渉材料として機能するため、被害企業名と攻撃者名を紐づけて拡散しないことが、現代の認知領域を含む情報戦における基本的な防御姿勢です。

任天堂にサイバー攻撃か、同社は情報漏洩を否定しつつ被害を一部認める (Game*Spark - 国内・海外ゲーム情報サイト)

ハッカーが攻撃を主張。任天堂は情報漏洩を否定も、一部サーバー被害は認めています。

newspicks.com

二本松哲也 @nihonmatsu.bsky.social · 3d

世界的な製造業企業が、BlackSuitランサムウェア攻撃を受けました。侵入は単一のVPN認証情報の漏洩であり、vishingを起点として、全社インフラに波及しました。

DCSync＋ESXi暗号化＋Ansible自動展開という自動化された統合攻撃パイプライン

攻撃者が内部インフラ管理の知識を有している可能性もあります。

Anatomy of an Attack: The "BlackSuit Blitz" at a Global Equipment Manufacturer

BlackSuit ransomware delivered by APT Ignoble Scorpius started with a vishing attack. Read how Unit 42 helped and the ultimate outcome.

unit42.paloaltonetworks.com

二本松哲也 @nihonmatsu.bsky.social · 3d

ランドローバー、アサヒGHD、そしてBlackSuit_Blitzはいずれも、VPNを突破点とするAD侵害→仮想基盤暗号化→データ二重恐喝という三段構造の攻撃モデルを共有しています。攻撃者が共通のオペレーションマニュアルに基づき行動している可能性も踏まえ、信頼できる検知トリガー（EDR/XDRによる確実な検知・SIEMルール）と、封じ込めPlaybook（SOAR／Ansible／Runbook）、さらにESXi層を即時隔離するAPI-based lockdownの組み合わせが、今後の防御実務における鍵となります。

1

二本松哲也 @nihonmatsu.bsky.social · 3d

維新が自民と連立する理由の一つは、「自民単独政権では難しい企業・団体献金の禁止を前に進めることができる」点にあると見ています。これは単なる政局の算術ではなく、政治資金システムの構造改革に関わる制度的な挑戦です。

この観点で見れば、維新の連立参加は政権維持のための数合わせではなく、政治倫理のアップデートに位置づけられます。日本政治における「資金の出所」と「政策決定の独立性」を再設計する。そこに維新の存在意義があるのだと思います。

二本松哲也 @nihonmatsu.bsky.social · 3d

2025年9月以降の累積更新プログラム（KB5065426 / OS build 26100.6584）を適用した Windows Server 2025 環境において、10,000人を超えるメンバーを持つ Active Directory セキュリティグループが、Microsoft Entra Connect Syncで同期されない問題が発生しています。
回避策
Microsoftは暫定回避策としてレジストリ設定を提示しています。
learn.microsoft.com/ja-jp/window...

1

二本松哲也 @nihonmatsu.bsky.social · 3d

対策：
・全BIG-IPデバイスとインスタンスを特定
・インターネットに直接露出する管理インターフェースを特定
・アップデート適用（10月22日まで）
・公開F5デバイスでEoSを迎えたものは即時切断・廃止。

二本松哲也 @nihonmatsu.bsky.social · 3d

CISAは、国家支援型の脅威アクターがF5のシステムに侵入し、BIG-IPのソースコードおよび脆弱性関連情報を窃取したことから、ゼロデイ探索、特定ターゲットに対するエクスプロイト開発の恐れがあるため、以下の対応を発出しました。
対象：
ハードウェア： BIG-IP iSeries, rSeries, およびサポート終了済み（EoS）デバイス
ソフトウェア：BIG-IP (F5OS / TMOS)、Virtual Edition (VE)、BIG-IP Next、BIG-IQ、BIG-IP Next for Kubernetes (BNK) / CNF

1

二本松哲也 @nihonmatsu.bsky.social · 3d

この緊急指令は、2020年のSolarWinds事件や2023年のIvanti Connect Secure脆弱性対応と同様の構造を持ち、サプライチェーン汚染型リスクに対する国家レベルの防衛行動を意味します。特にソースコード流出でありゼロデイ予測攻撃を想定している点。クラウド委託環境（FedRAMP含む）まで包括的に対象化している点。BOD 23-02との連動で、CISAの継続監視・制御体制（Federal Incident Response Framework）を強化している点が挙げられます。
www.cisa.gov/news-events/...

1

二本松哲也 @nihonmatsu.bsky.social · 4d

SAP NetWeaver AS JavaのRMI-P4モジュールにおける未認証のJavaオブジェクト逆シリアライズが原因で、認証なしでリモートから任意コマンド実行が可能
CVE-2025-42944 CVSS 10.0
オンプレミスのERP / SCMではRMIが外部通信に開放されがちで、初期侵入点となる可能性があります。
support.sap.com/en/my-suppor...

SAP Security Patch Day - October 2025

SAP Security Patch Day Bulletin

support.sap.com

二本松哲也 @nihonmatsu.bsky.social · 5d

報道が果たすべきは速報性ではなく検証責任です。公式発表や技術的裏付けがない段階では、被害企業名と攻撃者名を同時に記すことは避けるべきです。
CTIの本質はスピードではなく信頼であり、報道がそれを見誤ると、知らず知らずのうちに攻撃者の広報代理人となってしまいます。
情報の真偽だけでなく、情報が誰を利するかを考える。それが、サイバー攻撃が情報戦のフェーズに入った現代における、最も重要な報道倫理だと思います。