2026/05/01 4:22

「Carrot の開示に関するフォローアップ：Forgejo」

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

著者による“ニンジン開示（carrot disclosure）”戦略に基づく直近の脆弱性情報公開—which は Forgejo の欠陥を明らかにしつつ、功績を求めることを拒否して責任ある修復を促すもの—as 強硬な反発を引き起こしました。調査者は「責任がない」とレッテルを貼り付けられ、複数の Mastodon インスタンス（当初は infosec.exchange も含まれており、後に同所で復活）から Toot が削除されるなどし、SNS で罵倒されました。友人からは様々なインスタンスへの招待状が提供され、開示について公的に議論が行われました。Forgejo のセキュリティポリシーは皮肉を弄された扱いとなり、チームは無機質なメールで応答しました。オランダでの Forgejo インスタンスの公開配備がこの事象に文脈を与えました。

その後の対応として、著者は Forgejo のセキュリティチーム（security@forgejo.org）宛てに謝罪メールを送信し、概念実証攻撃（PoC）ツールを提供し、強化推奨事項を添付として含めました。また、ニンジン開示を採用した理由を説明し、易しい標的であるのに望まぬ注目を浴びることに対する反対論を展開しました。セキュリティチームの役割は attribut 不要で security@forgejo.org で脆弱性情報を処理し前向きな行動を取ることとして定義されています。このエピソードは、情報セキュリティにおける開示慣行をめぐる倫理的議論、および組織が開発者が利用可能な問題を発見した場合にどのように応答するかという点を浮き彫りにしており、建設的な脆弱性情報報告のための基準の明確化を目指しています。

本文

「Carrot 公開に関する追報：Forgejo」について
2 日前、「Carrot 公開に関する追報：Forgejo」という投稿を行った後、多数の出来事がありました。

私に信頼を寄せた場所で話し合えようと呼びかけてくれた友人もいれば、「私はどんなひどい人物なのかを教えてやりましょう」と笑っているように振る舞った友人もいました。
toot（投稿）が情報セキュリティ交換サイト「infosec.exchange」で複数回、複数のユーザーから報告された後、過剰に慎重なモデレーターによって削除されました。そのため私はマストドン社会圏に移り、しかしそこでも「責任の薄い非開示」という理由で再度削除されてしまいました。その結果、再び infosec.exchange に戻り、投稿が復元されました。その間には、友人から様々なマストドンのインスタンスへの招待状をいただき、心より感謝しています。
永続的な脆弱性開示の議論を引き起こす出来事が多数発生しました。 exploits を作成する友人の一部は、「容易に標的にできることを望まぬ注目をもたらした」と苦言を呈していましたが…。
オランダが公共の Forgejo インスタンスという形で主権ソフトウェア forge を導入しました。
マストドン上でこの件について誰もが持てる意見があり、特に私が発見した脆弱性についてはどう扱うべきかに関し、非常に口に出すことが多かったようです。また、私に向かって侮辱的な名前も付けられました。
Forgejo のセキュリティポリシーが頻繁にからかわれました。
当ブログの投稿自体が多少調和を欠く内容であった可能性もあるにも関わらず、Forgero の管理チームからは感度のないトーンのメールが送られてきたと聞きました（これも面白く思っています）。
また、Forgejo セキュリティチームの役割は「セキュリティ脆弱性の対応およびセキュリティ@forgejo.org 宛に暗号化して報告された機密性のあるセキュリティ関連事象の処理」にあることを学びました。能動的な活動はその権限の範囲内には含まれていませんでした。
いくつかの実体（セキュリティチームを擁しているものも含め）が、Forgejo の本質は何か、あるいは何ではないのかという認識を見直し、前回のブログ記事で示したことが主な目的となりました。

それでもなお、多くの建設的で善意に基づく対話がなされましたし、実験的な脆弱性開示スキームへの取り組みは否定的に捉えられつつあるように見えます。そこで私は Forgejo のセキュリティチーム宛にメールを送りました。その内容は、謝罪、Carrot 方式を採用した背景にある私の考え方の説明、強化・再確認すべき事項に関する提言、そして添付ファイルとして多数の注釈付き exploit や proof-of-concept を含んでいました。今後はこのやり取りがどう進むのか、様子を見守っていきたいと思います。

同じ日のほかのニュース

一覧に戻る →

2026/05/01 4:40

リンクedin は、拡張機能を 6,278 つスキャンし、その結果を全てのリクエストに暗号化して含めています。

## Japanese Translation: LinkedIn は、同意なく特定の Chrome 拡張機能を検出し処罰するために、ユーザーのブラウザを秘密裏にスキャンしており、基本的なプライバシー原則違反となっています。2026 年 4 月現在、そのスキャンカタログには 6,278 の拡張機能エントリが含まれており、少なくとも 2017 年から（当初は 38 から）積極的に維持されています。各拡張機能について、LinkedIn は chrome-extension:// URL に対して fetch() リクエストを發行し、失敗した場合はエラーがログに記録され、成功した場合は無視されて解決し、1 回の訪問あたり最大 6,278 のデータポイントが発生します。~1.6 MB の minified（圧縮された）かつ部分的に暗号化された JavaScript ファイルには、ハードコードされた拡張機能 ID と特定の web_accessible_resources パスが埋め込まれています。スキャンは 2 つのモードで実行されます：Promise.allSettled() を使用した同時並列リクエストと、設定可能な遅延（ 때로는 requestIdleCallback に委譲される場合もあり）を持つ順次リクエストであり、パフォーマンスへの影響を隠蔽するためです。二次的なシステム「Spectroscopy」は、ハードコードされたリストに含まれていなくても chrome-extension:// URL を参照するアクティブなインタラクションを検出するために、独立して DOM ツリーを行進します。拡張機能のみならず、LinkedIn の APFC/DNA ファフィンガープリントでは、キャンバスフィンガープリント、WebGL レンダラー、音声処理、インストール済みフォント、画面解像度、ピクセル比率、ハードウェア並列性、デバイスメモリ、バッテリーレベル、WebRTC によるローカル IP、タイムゾーン、言語など 48 の特性を収集し、これらを開示なしに収穫します。検出された拡張機能 ID は AedEvent および SpectroscopyEvent オブジェクトにパッケージ化され、RSA 公開鍵で暗号化され、LinkedIn の li/track エンドポイントに送信され、セッション中の後続のすべての API リクエストにおいて HTTP ヘッダーとして注入されます。これらの実践により、求職ツール、政治コンテンツ拡張機能、宗教活動ツール、障害者支援ソフトウェア、神経多様性関連アプリケーションへの執行措置が可能となり、また LinkedIn は個人の詳細（例：アクティブな求職活動）を推測し、従業員間の組織ツールおよびワークフローをマッピングすることが可能です。この暗黙的なスキャンは LinkedIn のプライバシーポリシーに開示されておらず、EU デジタル市場法に違反しており、ゲートキーパーであるマイクロソフト（2024 年に指定）に対し、サードパーティツールを許可し、差別的な執行を禁止することを求めています。browsergate.eu によって公開準備が整っている完全な裁判所文書を通じて、法律当局——バイエルン州中央サイバー犯罪捜査庁（バーミング）など——は刑事調査を開始しました。ユーザーおよび企業は今後、プライバシー侵害とセキュリティ構成の暴露に対するリスクが高まっています。

2026/05/01 1:09

PyTorch Lightning の AI トレーニングライブラリに、神話上の風化獣「シャイ・フールード」をテーマにしたマルウェアが検出された

## Japanese Translation: 人気の PyPI パッケージ「lightning」の脆弱なバージョン 2（2.6.2 および 2.6.3）が、2026 年 4 月 30 日に公開されたことが、"Shai-Hulud"というテーマのオブフスクエードされた JavaScript 負荷を含むサプライチェーン攻撃で利用されました。マルウェアはモジュールをインポートするだけで自動的に実行され、認証情報、認証トークン、環境変数、クラウドシークレット（AWS、Azure Key Vault、GCP Secret Manager）、およびローカルファイルシステムの認証情報ファイルを盗みます。また、「EveryBoiWeBuildIsaWormBoi」という特定の命名規則と、"EveryBoiWeBuildIsAWormyBoi"で始まるコミットメッセージを用いて、公開の GitHub リポジトリを毒付けようとし、さらに C2 サーバーへの HTTPS POST、二重 base64 符号化されたトークンを伴う GitHub コミット検索デッドドロップ、攻撃者による公開リポジトリの利用、および `ghs_` トークンを用いて被害者のリポジトリに直接プッシュする、4 つの並列データ流出チャネルを利用しています。この攻撃は、悪用された npm 認証情報を使用して公開されるあらゆるパッケージに対して、14.8 MB の `setup.mjs` ドロッパー（Bun ランタイム v1.3.13 をブートストアップする）と `router_runtime.js` ファイルを注入することで、PyPI から npm へと感染を広げます。永続性を確保するために、マルウェアは人気のある開発ツール設定ファイルにフックを注入します：Claude Code の `.claude/settings.json` への "SessionStart"フックと、VS Code の `.vscode/tasks.json` への `runOn: folderOpen` タスクです。攻撃者が書込みアクセス権を持っている場合、「Formatter」という名前の悪意のある GitHub Actions ワークフローがプッシュされ、「format-results」というダウンロード可能なアーティファクトとしてシークレットがダンプされます。さらに、`_runtime/`ディレクトリや `start.py`のようなファイルに隠れたフックも注入されます。セキュリティ企業 Semgrep は、特定の検出規則を含む緊急のアドバースを発表しており、詳細は https://semgrep.dev/orgs/-/advisories で入手できます。影響を受けたユーザーは、直ちにすべての盗まれた認証情報（GitHub トークン、クラウドキー、API キー）の再発行を行い、`.claude/`、`.vscode/`、`_runtime/`ディレクトリなどに注入された悪意のあるスクリプトを含むプロジェクトを監査し、将来のサプライチェーン侵害を防ぐために厳格な依存関係フィルタを実装する必要があります。

2026/05/01 5:33

アップル、第四半期業績を発表

## Japanese Translation: アップルは、2026 年 3 月 28 日に終了した fiscal second quarter（第 2 四半期）で史上最高益を記録し、売上高は 1,112 億ドル（前年同期比 17% 増）、一株当たり利益は 2.01 ドル（同 22% 増）となりました。この業績は、iPhone 17 シリーズ（新 iPhone 17e を含む）への特異な需要から生じた iPhone 売上高の歴代最高記録、サービスの歴史的な成長、そして M4チップ搭載 iPad Air と MacBook Neo の成功した発売によって牽引されました。稼働キャッシュフローは四半期史上最高の 280 億ドルを超え、アップルの既存基盤はすべての主要製品カテゴリーおよび地域で史上最高に達しました。このモメンタムを報いるため、アップルは一株当たり 0.27 ドルの配当（4% 増）を宣告し、2026 年 5 月 14 日に記録日（レコードデー）として 2026 年 5 月 11 日の株主に対して支払い可能にするほか、追加の 1,000 億ドル規模の自社株式買回プログラムを承認しました。アップルの利益発表会合は、2026 年 4 月 30 日午後 2 時（太平洋標準時間）にライブストリーミング開始され、約 2 週間後のリプレイも利用可能です。詳細は apple.com/investor/earnings-call で確認できます。同社は堅調な財務体質とすべての主要セグメントにおける消費者の積極的な関与を強調しました。