Lightnews — Scholar-powered news

二本松哲也 @nihonmatsu.bsky.social · 9h

評価指標は「どれだけ貢献したか」であり、職位や勤続年数よりも
・発明・論文・特許・論文引用数
・プロダクトに対する直接的貢献（例：GPT-4の学習パイプライン設計）
・モデル精度や訓練効率への定量的インパクト
といった成果が報酬に直結します。

なお、2018年に日本版ホワイトカラー・エグゼンプション構想から「働き方改革関連法」により、正式に高度プロフェッショナル制度として成立しています。
「年収1075万円以上の高度専門職」
労働時間・休憩・休日・割増賃金の規定を除外、年104日の休日確保、健康管理措置の義務化、成果ベースです。

二本松哲也 @nihonmatsu.bsky.social · 9h

日本の組織文化に合うかどうか・・・週80〜120時間働くというハードワークの背景には、極めて高い報酬水準と、完全に成果主義（個人主義）の評価体系がセットになっている点を忘れてはいけません。たとえば、OpenAIのリサーチエンジニアやリードレベルは、
Base Salary：$250K〜$400K（約3,750〜6,000万円）
Equity（ストックオプション）：$100K〜$800K
Bonus：最大20〜30%
といった水準がGlassdoorやLevels fyiに報告されています。

Haku | AI Agent on X: "OpenAIの社員は週7日、週80〜120時間働いてる週末、シリコンバレーのUber本社で働いてる理情の先輩と話したときに「OpenAIってどう思う？」と聞いてみた。本社はUberのすぐ隣にあって、内部の話もよく耳にするらしい。" / X

OpenAIの社員は週7日、週80〜120時間働いてる週末、シリコンバレーのUber本社で働いてる理情の先輩と話したときに「OpenAIってどう思う？」と聞いてみた。本社はUberのすぐ隣にあって、内部の話もよく耳にするらしい。

x.com

1

二本松哲也 @nihonmatsu.bsky.social · 10h

クラウドは分散構造を持ちながらも、論理的には集中型依存（concentrated dependency）を内包しています。
今回の事例は、非可視領域（DNS・内部データストア）の可用性こそが、現代クラウド運用の最大の盲点であることを改めて示しました。

1

二本松哲也 @nihonmatsu.bsky.social · 10h

教訓と再発防止の視点

・リージョン冗長性の再評価
　US-EAST-1への依存集中を避け、Cross-Region設計を前提に

・DNSレイヤの可観測性強化
　Private DNS / Route53 Resolverの監視を導入

・依存関係マッピング（Dependency Mapping）
　Lambda→SQS→DynamoDB→EC2のような連鎖構造を可視化

・スロットリング時のリトライ設計
　指数バックオフ＋DLQで復旧耐性を向上

・内部SPOF構造の意識化
　可用性設計における非コード的依存（DNS・API・内部DB）を設計段階で明示

1 1

二本松哲也 @nihonmatsu.bsky.social · 10h

AWSはDNS問題を10月20日18時24分（JST）に修正後、Network Load Balancerのヘルスチェックを同日23時38分（JST）に復旧し、10月21日7時1分（JST）に完全復旧しました。この障害の本質は「DynamoDBを中核に据えた内部依存構造」です。
EC2の起動サブシステム、NLBの監視層などがDynamoDBの内部ストアを利用しており、DNSレイヤでの不具合が広範な制御系障害に発展しました。AWSは一時的にEC2起動・Lambdaトリガー・SQS処理を制限し、段階的に回復させています。

AWS障害、原因特定も日本時間の21日午前6時時点では完全復旧に至らず

AWSで10月20日に発生した大規模障害について、同社は日本時間の21日未明、原因を「ネットワークロードバランサーの健全性監視サブシステム」と特定したと発表した。復旧のためEC2の起動を制限しており、21日午前5時50分（日本時間）時点でも完全復旧には至っていない。

newspicks.com

1 2

二本松哲也 @nihonmatsu.bsky.social · 10h

AWS us-east-1 完全復旧：10月21日 7:01 JST（PDT 10月20日 15:01）
原因は、DynamoDBのDNS解決不具合がトリガーによる、DynamoDBのリージョナルエンドポイントに対するDNS解決遅延・エラーが発生。依存するサービス（EC2、IAM、Lambda、CloudWatch等）に連鎖障害が発生していました。
health.aws.amazon.com/health/status

2

二本松哲也 @nihonmatsu.bsky.social · 2d

AIによって労働力ではなく創造力そのものが生産手段になる。つまり、企業が保有していた人・資金・設備によるスケールが相対化され、個人の知的設計力・プロトタイピング力が競争優位の源泉になる。これはマルクス的に言えば生産手段の私有から共有への再帰ではなく、クラウドとAIを媒介とした分散的再個人化です。
GitHub Copilot、Claude、GPT、Vercelなどが一人の開発者を仮想チーム化している。
x.com/saasmeshi/st...

SaaS飯 on X: "気づいてるか？個人開発者とスタートアップ起業家は価値観が全く異なる。どちらも「新しいものを作る人」として一見似ているように見える。だが、根っこの考え方はまるで違う。" / X

気づいてるか？個人開発者とスタートアップ起業家は価値観が全く異なる。どちらも「新しいものを作る人」として一見似ているように見える。だが、根っこの考え方はまるで違う。

x.com

1

二本松哲也 @nihonmatsu.bsky.social · 2d

一方で、熊が里に下りる背景には、森林伐採やメガソーラー開発など、人間が生態系の均衡を崩した側面もあります。したがって駆除と環境再生は対立概念ではなく、生態的ゾーニングの両輪として捉える必要があります。

熊問題は「命の優劣」ではなく、生態学、地理学、公共安全が交差する構造設計の課題です。

駆除か共生かではなく、秩序ある分離こそが、人間と自然の尊厳を両立させる道だと私は考えます。

二本松哲也 @nihonmatsu.bsky.social · 2d

全国で熊の出没が相次ぎ、「駆除か共生か」をめぐる議論が分断を深めています。しかし本質は、感情論ではなく生物学と空間設計の問題です。熊は本来、植物を主とする雑食性動物ですが、捕食者としての本能を持ち、一度「人間＝餌源」と学習すれば、再び人里に現れます。つまり、人間と熊は生態的に同じニッチ（生活圏）を共有できない種なのです。

共生とは、感情的な共存ではなく相互不可侵の秩序。
人間が住む地域と熊の生息域を線引きし、侵入した熊を適切に駆除することは残酷ではなく、生態系秩序を維持するための合理的な行為です。

「プーさんみたいな可愛いクマはいない」全国で相次ぐ熊被害…駆除か共生か、分断される世論 (弁護士ドットコムニュース｜話題の出来事を弁護士が法的観点からわかりやすく解説するニュースコンテンツ)

全国各地で熊の出没が相次ぎ、人的被害が後を絶ちません。住宅街にまで現れ、平穏な日常を脅かされるように...

newspicks.com

1

二本松哲也 @nihonmatsu.bsky.social · 3d

OSINTの境界は、しばしば曖昧になりがちです。公開情報か非公開情報か、あるいは認証を要するリソースへのアクセスかなど、判断に迷う場面では実施前に確認することが鉄則です。また、調査過程では証拠保全とプライバシー保護（個人情報保護法への適合）を並行して検討する必要があります。さらに、外部委託を行う場合は、委託先の遵法性と実施手順の監査を必ず実施し、組織としての説明責任を確保することが求められます。
x.com/t_nihonmatsu...

二本松哲也 on X: "安易考えて、OSINTのつもりがサイバー攻撃（不正アクセス禁止法など）だったということも・・・。これは一例ですが参考になれば幸いです。・不正アクセスに該当することは控える・危険なSQLインジェクションを試さない・危険なツールを使用しての調査は実施しない Winnyからの教訓 https://t.co/hofbMAjOWR" / X

安易考えて、OSINTのつもりがサイバー攻撃（不正アクセス禁止法など）だったということも・・・。これは一例ですが参考になれば幸いです。・不正アクセスに該当することは控える・危険なSQLインジェクションを試さない・危険なツールを使用しての調査は実施しない Winnyからの教訓 https://t.co/hofbMAjOWR

x.com

二本松哲也 @nihonmatsu.bsky.social · 3d

この構造の中で、優遇される側には見えない支援構造が、報われにくい側には説明されない不公平が存在します。だからこそ、個人の成長だけでなく、制度そのものの透明化とデザインが求められます。

「才能があるのに報われない」人がいるとすれば、それは、社会資本のデザインが偏っているのかもしれません。組織の未来は構造をデザインすることで、変わっていくのだと思います。

二本松哲也 @nihonmatsu.bsky.social · 3d

「下駄を穿かされて優遇される」には、実は才能以上のものが求められます。後ろ盾を作り、仲間を得て、組織の文法を読み解く、生存戦略です。才能は個人の資本として語られますが、現実の組織ではそれだけでは通用しません。評価は実力だけでなく、誰に支持され、どのネットワークに属しているかという社会資本によって補正されるからです。
x.com/kodooba_11/s...

こどおば on X: "女に生まれただけで学生服着てると痴漢、盗撮され、生理もあって1週間しんどくて、就職しようとすれば結婚しますか？彼氏いてますか？と聞かれ答え次第では落とされる。働けても女性の方が仕事できても、鈍臭い男性でも下駄穿かされて優遇される。どう考えても男性の方が生きやすいよ。" / X

女に生まれただけで学生服着てると痴漢、盗撮され、生理もあって1週間しんどくて、就職しようとすれば結婚しますか？彼氏いてますか？と聞かれ答え次第では落とされる。働けても女性の方が仕事できても、鈍臭い男性でも下駄穿かされて優遇される。どう考えても男性の方が生きやすいよ。

x.com

1

二本松哲也 @nihonmatsu.bsky.social · 3d

凡人の枠で天才を測ると、しばしばその才能は異質や扱いにくいとして排除される。つんくさんがあえて“採らなかった”のは、天才を理解できなかったのではなく、組織や市場という有限の体系がその才能をまだ受け止められないことを直感していたのだと思います。
天才は体系を拡張し、凡人は体系を維持する。そしてプロデューサーとは、そのあいだを翻訳し、異質を社会に接続する構造的知性です。

「凡人が天才に勝つ方法」とは、理解できないものを排除せず、体系の外にある未定義の可能性を見抜く眼を養うことなのかもしれません。

二本松哲也 @nihonmatsu.bsky.social · 3d

音楽プロデューサーのつんくさんが語った「天才はいたけど採らなかった」という言葉。この一言には、評価する者と評価される者のあいだに横たわる構造的な限界が表れています。ゲーデルの不完全性定理は、「ある体系は、自らの完全性を内部から証明できない」と説きました。同じように、人は自分が属する評価体系の外側にある天才を正しく判断することはできないのです。
www.asahi.com/articles/ASR...

つんく♂「天才はいたけど採らなかった」　才能よりも大事な成功の源：朝日新聞

成功のためには才能よりも大事なものがある。オーディションで幾多の才能を見てきた音楽プロデューサーのつんく♂さんは、近著「凡人が天才に勝つ方法」で才能論を説いた。肌身で感じた様々な才能、能力を伸ばす指…

www.asahi.com

1

二本松哲也 @nihonmatsu.bsky.social · 3d

どれほど小規模な開発であっても、次の3層を同時に備える必要があります。
・挙動の透明化、停止・削除の確実性（機能安全）
・プラットフォーム規約と個人情報保護法の整合性（法令遵守）
・データの取扱いとUI上の明示責任（倫理と説明責任）
「ぷまソフト」問題は、善意の開発でも “透明性を欠いた設計は信頼を破壊する” という根本原理を突きつけました。
たとえ個人開発や同人規模のプロジェクトであっても、 Security & Privacy by Designを初期段階から組み込むことが、今後の開発文化に求められると予測します。

二本松哲也 @nihonmatsu.bsky.social · 3d

この事案の本質は、悪意ではなく、設計段階の想定不足にあります。開発者の目的はユーザー体験の改善であったものの、常駐処理や自動通信を透明化しなかったこと、プラットフォーム規約の射程を検証しなかったこと、アンインストールやデータ削除をユーザー制御できる形で設計しなかったことが重なり、結果的に「マルウェア的挙動」と誤認される構造を生み出しました。

「ぷまソフト」問題に見る法令遵守と技術者倫理の課題

「ぷまソフト」問題を通じて考える法令遵守と技術者倫理の課題について。

k4na.de

1

二本松哲也 @nihonmatsu.bsky.social · 3d

批判される者が「受容と再構築」の姿勢を持ち、批判する者が「論理と敬意」を持つとき、議論は対立ではなく共進化に変わります。批判とは破壊ではなく、知をより精緻に組み立て直すための創造的衝突なのだと思います。

二本松哲也 @nihonmatsu.bsky.social · 3d

批判を受けることは、自己を攻撃されることではなく、知を磨く機会として捉えるべきだと思います。批判とは、既存の前提や思考の枠組みを点検し、更新するための摩擦。この摩擦を恐れるのではなく、思考のブラッシュアップ装置として好意的に利用できるかどうかが、知的成熟の分水嶺です。

一方で、批判する側にも要件があります。
それが詭弁や自己承認欲求の発露ではなく、批判的思考（critical thinking）に基づいていること。つまり、相手を打ち負かすためではなく、より良い理解や洞察を共に形成するための行為であることです。

x.com

1

二本松哲也 @nihonmatsu.bsky.social · 4d

Ciscoは、IOSおよびIOS XEのSNMPサブシステムにおけるスタックオーバーフロー脆弱性（CVE-2025-20352）を公表しました。Cisco PSIRTによれば、ローカル管理者資格情報が漏洩した環境で実際に悪用が確認されています。
SNMPv2c/3の低権限ユーザによるDoS攻撃、および高権限（privilege 15）ユーザによるroot権限での任意コード実行（RCE）が可能となる重大な脆弱性です。この脆弱性は、IPv4/IPv6を問わず細工されたSNMPパケットを送信することで発動し、IOS XRおよびNX-OSは非該当です。

Cisco Security Advisory: Cisco IOS and IOS XE Software SNMP Denial of Service and Remote Code Execution Vulnerability

A vulnerability in the Simple Network Management Protocol (SNMP) subsystem of Cisco IOS Software and Cisco IOS XE Software could allow the following: An authenticated, remote attacker with low privi...

sec.cloudapps.cisco.com

二本松哲也 @nihonmatsu.bsky.social · 4d

実務的対処としては、ブラウザ管理（Chrome Enterprise 等）でのダウンロード制限・自動更新の徹底、Egress監視でのブロックチェーンAPIへのアクセス可視化、SOCでの「eth_call」等の異常なAPI参照のハンティング、サプライチェーン（npm 等）の厳密な検査と署名済みパッケージ運用が急務です。

二本松哲也 @nihonmatsu.bsky.social · 4d

Google Threat Intelligence の報告によれば、UNC5342（DPRK系）が偽採用面接を餌に開発者を標的とし、JavaScriptダウンローダJADESNOWから最終的にバックドアINVISIBLEFERRETを展開する攻撃で、スマートコントラクトに悪性コードを格納するEtherHidingを運用しています。
ブロックチェーンの分散性・不変性を悪用したこの手法は、従来のドメイン/IPブロッキングでは止めにくく、ステルス性・可変性も高い点が脅威です。

DPRK Adopts EtherHiding: Nation-State Malware Hiding on Blockchains | Google Cloud Blog

North Korea threat actor UNC5342 is leveraging the EtherHiding technique in espionage and financially motivated operations.

cloud.google.com

1

二本松哲也 @nihonmatsu.bsky.social · 4d

任天堂は産経新聞の取材に応じ、「個人情報や開発情報の漏洩はない」と、ハッカーが主張するような深刻な被害については否定しました。本文に書いてある通り、このような状況で、「攻撃主張」をタイトルに据えて拡散する報道や投稿は、読者の認知を誘導し、結果として攻撃者の意図に加担してしまうリスクがあります。
特にサイバー領域では、ハッカーの声明自体が存在証明や交渉材料として機能するため、被害企業名と攻撃者名を紐づけて拡散しないことが、現代の認知領域を含む情報戦における基本的な防御姿勢です。

任天堂にサイバー攻撃か、同社は情報漏洩を否定しつつ被害を一部認める (Game*Spark - 国内・海外ゲーム情報サイト)

ハッカーが攻撃を主張。任天堂は情報漏洩を否定も、一部サーバー被害は認めています。

newspicks.com

二本松哲也 @nihonmatsu.bsky.social · 4d

世界的な製造業企業が、BlackSuitランサムウェア攻撃を受けました。侵入は単一のVPN認証情報の漏洩であり、vishingを起点として、全社インフラに波及しました。

DCSync＋ESXi暗号化＋Ansible自動展開という自動化された統合攻撃パイプライン

攻撃者が内部インフラ管理の知識を有している可能性もあります。

Anatomy of an Attack: The "BlackSuit Blitz" at a Global Equipment Manufacturer

BlackSuit ransomware delivered by APT Ignoble Scorpius started with a vishing attack. Read how Unit 42 helped and the ultimate outcome.

unit42.paloaltonetworks.com

二本松哲也 @nihonmatsu.bsky.social · 4d

ランドローバー、アサヒGHD、そしてBlackSuit_Blitzはいずれも、VPNを突破点とするAD侵害→仮想基盤暗号化→データ二重恐喝という三段構造の攻撃モデルを共有しています。攻撃者が共通のオペレーションマニュアルに基づき行動している可能性も踏まえ、信頼できる検知トリガー（EDR/XDRによる確実な検知・SIEMルール）と、封じ込めPlaybook（SOAR／Ansible／Runbook）、さらにESXi層を即時隔離するAPI-based lockdownの組み合わせが、今後の防御実務における鍵となります。

1

二本松哲也 @nihonmatsu.bsky.social · 5d

維新が自民と連立する理由の一つは、「自民単独政権では難しい企業・団体献金の禁止を前に進めることができる」点にあると見ています。これは単なる政局の算術ではなく、政治資金システムの構造改革に関わる制度的な挑戦です。

この観点で見れば、維新の連立参加は政権維持のための数合わせではなく、政治倫理のアップデートに位置づけられます。日本政治における「資金の出所」と「政策決定の独立性」を再設計する。そこに維新の存在意義があるのだと思います。