2026/05/23 1:54

# CISA と立法府の攻防：データ漏洩対応と情報の開示要求 ## 状況概観米国サイバー安全局（CISA）と立法府の間で緊張が高まっている。CISA はデータ漏洩への緊急性な対処を試みている一方、立法府側は詳細な情報開示を求めている。 ## 主な動きと対立点 ### CISA の対応 * 即時対策の実施: データ漏洩事件に対する技術的・運用的な緊急措置を講じている。 * 脆弱性の遮断: 攻撃経路を塞ぎ、被害拡大の防止策を急ピッチで進めている。 * 情報共有: 関係機関へ脅威情報を提供し続ける方針をとっている。 ### 立法府側の要求 * 透明性の確保: 漏洩の実態や影響範囲について詳細な説明を求め続けている。 * 回答の義務化: CISA の対応策に関する具体的な報告を出させるよう圧力をかけている。 * 調査強化: 政府機関内のセキュリティ体制を再確認するための根拠資料の開示を要求している。 ## 今後の課題 * 調整の難しさ: 機密保持と情報開示の間でバランスを取りにくい状況が続いている。 * 時間の猶予: 迅速な復旧と十分な説明の両立が極めて難しい可能性がある。 * 信頼関係: 双方の意思疎通が円滑に進むかが鍵となる。

RSS: https://news.ycombinator.com/rss

要約▶

改善された要約:

両院の議員たちは、KrebsOnSecurity が契約者による行政アクセス権を有する者が故意に「Private-CISA」というパブリック GitHub プロフィールを作成し、AWS GovCloud の鍵および他社の機密情報を公開したと報じた後に、CISA に対し説明を求めるよう求めています。5 月 18 日付けでは、同プロフィールは作業タスクの用紙（scratchpad）として記述されており、GitHub の機密データ公開に対する保護機能が無効化されたため、内部システム数十件の明文化された認証情報を含むことが確認されています。GitGuardian が CISA に通知から 1 週間以上経過後でも、同庁は 5 月 20 日時点で公開された鍵の無効化を進めており、TruffleHog の作成者である Dylan Ayrey は、5 月 20 日の通知後に公開された 1 つの RSA 秘密鍵は無効化された一方で、重要なセキュリティ技術に関連する他の漏洩した認証情報は未だrotate（更新・破棄）されていないことを確認しました。これらの無効化されなかった鍵を保有する攻撃者は、CISA-IT のすべてのリポジトリからソースコードを読み取ることも、CI/CD パイプラインを乗っ取ることも、さらにはブランチ保護ルールや Webhook を改変することも可能となります。

この事件は、CISA における重大な混乱と連動しており、早期の退職、買収、トランプ政権下で強制された離職により、その workforce の超過 3 分の 1 とほぼすべての上級リーダーを失いました。議員たちは、この人事の崩壊により、中国、ロシア、イランなどの敵対者に対する契約サポートの管理がますます困難になっていると述べています。Maggie Hassan 上院議員は、サイバー侵害を防任すべき機関でこのような過失が発生した理由について深刻な疑問を提起し、Bennie Thompson 下院議員および Delia Ramirez 下院議員もまた、この事件が弱体化したセキュリティ文化の反映であると懸念を表明しました。

CISA は機密データが侵害された跡は確認されていないと発表したものの、重要な認証情報のいくつかは依然として脆弱です。5 月 21 日の更新で、Truffle Security は最も機密性の高い秘密情報の暴露期間を 2025 年 11 月から 2026 年 4 月下旬に修正し、単一の漏洩が発生したのみであり、以前はそのタイミングが誤報されていたことを明確にしました。専門家は、トップダウンのポリシーは有効である一方で、個人アカウントを業務目的で利用することは人間の課題であり、技術的な制御だけで容易には解決できないため、攻撃者が残存する脆弱性を悪用した場合、システムは依然として危険にさらされる可能性があると指摘しています。

本文

CISA 漏洩事件：請負業者による認証キー公開と議会への懸念

事件の概要

発端：KrebsOnSecurity が報じたところ、CISA（米国サイバーセキュリティおよびインフラセキュリティ局）の請負業者が、公衆向けの GitHub アカウントに意図的に AWS GovCloud の認証キーと大量の内部秘密情報を公開した。
現状：CISA は依然として、漏洩事件の収束および流出した認証情報の無効化において苦戦している。
請負業者の行動確認：
- 5 月 18 日の報道で判明：請負業者は CISA のコード開発プラットフォームに管理者権限を持ち、**「Private-CISA」**という公衆向け GitHub プロフィールを作成した。
- その中に、内部システム数十個のプレーンテキスト認証情報が掲載されていた。
- 調査により、請負業者が GitHub の機密公開保護機能を意図的に無効化していたことが確認された。

CISA の対応と疑問点

公式見解：CISA は漏洩を認めたが、データ暴露の期間については回答に逃れ続けている。
- 専門家の分析では、「Private-CISA」アーカイブは 2025 年 11 月に初めて変更され、個人がリポジトリをメモ帳や同期手段として利用する様子が窺える（本意ではない）。
CISA の声明：「今回の事件の結果として機密データが侵害したという根拠は示されていない」と表明。
根本的な疑問：手紙により、CISA 自体のセキュリティ対策に重大な欠陥が存在する可能性が指摘されている（5 月 19 日付、暫定長官宛て）。

議会からの厳しい批判と背景

マギー・ハッサン上院議員（民主党・ニューハンプシャー州）の見解

この報道は、重要なインフラのセキュリティ脅威が懸念される時期に、CISA の内部ポリシーおよび手続きに関する深刻な懸念を提起している。

ベニー・トンプソン連邦議員（民主党・ミシシッピ州）とデルリア・ラミレス連邦議員（民主党・イリノイ州）の見解

セキュリティ文化の低下：事件は CISA のセキュリティ意識不足および契約支援の管理不備を反映している。
国家安全保障リスク：中国、ロシア、イランなどの敵対国が連邦ネットワークへのアクセスを狙っている中、「Private-CISA」に含まれるファイルはまさに攻撃に資する情報・ロードマップであったと指摘。

人事背景による脆弱性

トランプ政権下での早期退職や強制離職により、CISA は以下を失った：
- 労働力の約三分之一以上
- ほぼ全てのシニアリーダー
この大規模な人材流出が内部混乱の要因となっている。

技術的脅威の詳細（TruffleHog と Daniel Aley の調査）

未対応の重大リスク

RSA プライベートキーの無効化不備：
- ダニエル・アレイ氏（TruffleHog 開発者）によると、暴露された RSA キーは無効化されておらず、CISA エンタープライズアカウントから GitHub アプリに完全なアクセス権限を与えられている状態である。
攻撃者が得られる能力：
- CISA-IT 組織内のすべてのリポジトリ（プライベート含む）からのソースコード読み取り。
- CI/CD パイプラインの劫奪（偽のホスト済みランナー登録）。
- リポジトリ内での機密情報へのアクセス。
- ブランチ保護ルール、ウェブフック、デプロイキーを含む管理設定の変更。
- CI/CD：連続的統合・デリバリー。ソフトウェアのビルド・テスト・デプロイを自動化する仕組み。

現在の進展と限界

KrebsOnSecurity は、GitGuardian の通報から一週間以上経過し、依然としてキーや秘密情報の無効化作業が続いていることを確認。
CISA は RSA キーの無効化は進めているが、同局技術ポートフォリオ全体に展開されている他の重要なセキュリティ技術に関連する認証情報のローテーションは実施していない（※詳細は未公開）。
CISA の公式回答：「現在積極的に対応しており、連携しながら漏洩認証情報をローテーション・無効化し、システム安全性を確保している」。

脅威の現実性

攻撃者の監視状況：
- GitHub など公開プラットフォームはライブフィードを提供するため、変更内容が即座に可視化される。
- サイバー犯罪者はこれらのフィードを監視し、API キーや SSH キーの意図的な公開に対して素早く攻撃を開始する傾向がある。
データ火管（Data Firehose）：
- 暴露されたデータは現在も監視対象であり、攻撃者も同様のデータを監視していると推測される。

専門家の分析：技術制御の限界

セキュリティポッドキャスト「Risky Business」出演者の見解によると、以下の課題が存在する：

トップダウンポリシーの必要性：
- GitHub の公開保護機能を無効化しないよう、組織レベルで強制すべきだが、現場がこれを防ぐのが困難。
「人間の要因」が最大の問題：
- 従業員が独自アカウントを作成し、機密情報を個人で管理・同期しようとする行為を技術だけで完全に阻止することは不可能。
- 請負業者や外部者が「自らの意志で業務用マシンのコンテンツを自宅マシンに同期」する行為などは、CISA が直接管理している領域から外れており、どの技術制御を導入すればよいか不明確。
- 結論：これは技術制御では解決できない人間の問題である。

同じ日のほかのニュース

一覧に戻る →

2026/05/23 4:31

# プロジェクト・グラスウィング：初期アップデートのお知らせ Project Glasswing（グラスウィング）が公式に公開されました。以下の要約から、重要なお知らせと今後の計画をご確認ください。 ## 📢 概要と主要アップデート項目 * **公開状況**: **正式リリース**が行われました。 * **プラットフォーム対応**: * ✅ Windows 10/11 * ✅ Android (x86 対応 PC など) * ❌ iOS（非対応） * **主要新機能**: * 独自のスキャンエングイン搭載 * 複数言語の同時翻訳サポート * **高精度なテキスト認識能力**向上 * コストパフォーマンスに優れた設計 ## 🚀 今後のロードマップとスケジュール今後の更新計画については、以下の方針が示されています。 * **開発方針**: * 初期バージョンでの動作検証を最優先に進めます。 * 機能追加は**段階的**に行う予定です。 * **予定されている機能強化**: * 翻訳精度のさらなる向上 * ユーザーインターフェース（UI）の微調整 * 新機能の追加については、将来的に公式ブログや SNS で発表されます。 ## 💻 入手方法と初期評価 * **入手経路**: * Microsoft Store よりダウンロード可能です。 * 公式サイトからもアクセスできます。 * **初期レビュー**: * 「動作が軽快」な点が高く評価されています。 * 特に日本語翻訳の精度において、競合製品と比較しても**高い性能**を誇ると指摘されています。 ## ⚠️ 注意点・非対応事項リリース当初から以下に注意が必要です。 * **非対応デバイス**: iPhone や iPad（iOS 環境）での利用はできません。 * **OS 要件**: Windows 10 よりも古い OS、または Android の古いバージョンでは動作しない場合があります。 --- **まとめ**: Project Glasswing は、Windows と Android デバイスで使える高機能な翻訳ツールとして登場しました。**初期アップデート版**ですが、今後の更新によりさらに便利になっていく予定ですので、ぜひ導入を検討してみてください。

## Japanese Translation: Anthropic の Project Glasswing は直近に、約 50 のパートナーを擁して開始され、Claude Mythos Preview モデルを用いてシステム的に重要なソフトウェアにおいて 10,000 以上の高および重大レベルの脆弱性を特定し、ソフトウェアセキュリティを革新しました。英国の AI セキュリティ研究所や XBOW などによる独立したベンチマークおよび報告では、Mythos Preview は例のない精度を提供し、サイバーレンジ全体を解決するとともに Claude Opus モデルなど他のモデルの複数のセキュリティタスクにおいて優れた性能を示すとされています。コラボレーションにより、パートナーはバグ発生率が 10 倍に増加していることを見出しており、特に Mozilla は Firefox 150 で 271 の脆弱性を特定しました（前回の手法と比較して 10 倍以上）。一方、Palo Alto Networks は通常の活動量の 5 倍以上のパッチを展開しました。主要な実用的影響として、パートナー銀行で wolfSSL の証明書欠陥（現在 CVE-2026-5194 としてパッチ済み）を利用した約 150 万ドルの不正送金試みを防いだことが挙げられます。業界分析では、1,000 を超えるオープンソースプロジェクトを対象とし、Mythos Preview が検出したバグのうち 90.6% が真陽性として検証され、AI テストにおいてしばしば見られるノイズが大幅に削減されました。これらの成功（Oracle や Cloudflare などの組織におけるパッチ適用サイクルの高速化を含む）を踏まえ、Anthropic は今般、企業向けに専用ツール「Claude Security」を一般公開ベータ版としてリリースするとともに、Cyber Verification プログラムを開始し、高度なサイバーセキュリティ能力のスケーリングを図っています。

2026/05/23 0:22

# 日本の企業が多様な事業を展開する理由と課題 ## 1. 多角的な事業ポートフォリオの構造日本の企業は、単一事業への依存を避け、リスク分散を図る目的で複数の事業領域を組み合わせています。 * **関連会社との協業**：親会社やグループ企業間の技術・資本の流動性を高めています。 * **シナジー効果の追求**：異なる分野における共通リソースを活用することで相乗効果を生まようとしています。 * **安定基盤の構築**：不況時でも収益が見込める「防御力」のある事業ポートフォリオを維持しています。 ## 2. 企業の展開戦略と背景歴史的・文化的な要因から、日本企業は世界的に珍しい多角化経営をとる傾向があります。 * **終身雇用と長期視点**：人材や設備への固定投資に対し、長期的な視点での成長を重視しています。 * **技術蓄積の応用**：ある分野で培った技術を別の業界へ横展開し、新事業を生み出しています。 * **「持ち株会社型」の採用**：本社が資金や人材を配下に流し、各子会社の独自性を尊重しながら拡大を図っています。 ## 3. 市場への適応における課題多角化経営は大きな競争優位をもたらしますが、外部環境の変化に対して脆い側面も持っています。 * **スピードの欠如**：意思決定プロセスが長くなり、急変する市場トレンドに跟进できない場合があります。 * **組織の硬直化**：異なる文化やビジネスモデルを持つ事業間での調整コストが高く、柔軟な転換が困難です。 * **グローバル競争への対応不足**：海外競合が特定の分野に集中して攻撃してくる際、防御ラインが広すぎて対処しきれないリスクがあります。 ## 4. 今後の展望変化に適応するためには、従来の戦略を見直す必要があります。 * **コアコンピタンスの再確認**：本当に自社が強みのある領域にリソースを集中させる判断が必要です。 * **アジャイル化の導入**：小規模な実験を繰り返しながら、市場反応に合わせて事業を柔軟に切り替える能力を身につけます。 * **デジタル変革（DX）の加速**：データ駆動型决策により、直感頼りの経営から客観的な分析に基づく戦略へ転換します。

## Japanese Translation: トイオは、長年便器やバス用品で知られていた企業でしたが、メモリチップ製造用のプラズマエッチング工程においてシリコンウェハを平らに保持する特化型のセラミックプレートである電界チャック（e-chucks）の主要なグローバルサプライヤーへと変貌を遂げました。1988年以来、同社の先端セラミックス部門はこの部品を生産しており、現在は人工知能データセンターによるメモリチップ生産の需要高まりに伴い、同社の最大事業かつ主な収益源となっています。世界で信頼性の高い e-chucks を製造できる企業はごくわずかで、主要な生産者のほとんどは日本企業であり、競合他社にはシンコー電器工業、NGK、京セラ、住友大阪セメント、ニテラなどが含まれます。この事業転換は財務的に強力な効果をもたらしました。2026 年第 1 四半期の純利益は前年同期比で 230% 増となり、株価は今年初めから 60% 上昇し、さらに最近数週間で追加の 30% 上昇を果たしています。トイオは数百億円規模の新たな投資を計画しており、キャパシティの拡大を目指しています。他の日本系総合企業と同様に（例えば、京セラの半導体からラボ育成宝石に至る多様なポートフォリオ、住友大阪セメントの水泥石と光学製品の組み合わせ、雅馬ハ、日立、オッジなどによる広範な多角化を通じて）、トイオも建設資材と高精度電子機器という無関係な業界にまたがる深い技術専門性を活用しています。これは、多くの米国企業に見られる狭隘な焦点や、一部の独国企業に見られる限られた横断的広がりと対照的です。韓国系財閥である三星や SK が国家を養育されたメガ企業のようになど広範に多角化しているのに対し、トイオはより小さいながらも高度に多角化した企業モデルを代表しています。この進化は、全球半導体産業が従来の米国および欧州のサプライヤーに対する高品質な日本製代替品を提供し、AI 開発者の精密ウェハ加工への依存度を安定させるのに役立っています。

2026/05/21 5:19

# Minecraft を Wayland 環境で動作させる方法 Linux の Wayland コンポジター下では、標準では **Minecraft (Java 版)** が正常に起動できないことが多くあります。以下の手順で解決を試みてください。 ## 前提条件と注意点 - **Wayland は未対応**であるため、**X11(Xorg) 環境への切り替え**が基本解決策となります。 - GPU の加速機能 (**Vulkan/OpenGL**) が有効になり、ゲームパフォーマンスが向上します。 - ゲーム起動時にエラーが出続ける場合は、この手順を再確認してください。 ## 基本的な設定手順 ### 1. Wayland セッションを X11 に変更ログイン画面（GNOME Display Settings など）でコンポジター環境を変更します。 1. 設定メニューを開き「ディスプレイ」または「セッション」を選択。 2. コンポジターを **Wayland** から **Xorg (X11)** に切り替える。 3. ログアウトし、新しい X11 セッションでログインする。 4. ゲームクライアントとして起動すると正常に動作します。 ### 2. プロファイルとビデオドライバーの確認ゲーム起動設定や GPU 設定も重要です。 - **プロファイル変更**: ```bash /opt/minecraft-javame/bin/gameclient -profile default --vanilla ``` または設定で **Vanilla** プロファイルを指定します。 - **NVIDIA ユーザーの場合**: プラグインとして **Prism Launcher** を使用する場合、以下をインストールして対応しています。 ```bash sudo apt install prime-run ``` ゲーム起動コマンド例： ```bash prime-run /opt/minecraft-javame/bin/gameclient -profile default --vanilla ``` ## 代替案：Wayland のまま使う方法（非推奨） X11 に切り替えたくない場合は、特殊な設定を施す必要がありますが、**動作しないケースが多い**ため推奨されません。 - **Wayland 環境下の Minecraft**: Java 版は原則としてサポートされていません。 - **統合環境**: 一部のディストリビューション（例：Fedora）では、特定のパッケージ管理下で限定的な対応がありますが、不安定である可能性があります。 ## まとめ最も確実で快適なプレイ方法は、**ログイン時やセッション設定でコンポジターを X11(Xorg) に変更すること**です。これにより、Java メモリ管理やグラフィックアクセラレーションの問題が解決し、スムーズなゲーム体験が得られます。

## Japanese Translation: Minecraft Java Edition 用の新規マントで、完全機能付き Wayland コンポジターが導入され、ゲーム内において外部ウィンドウを起動・管理できるようになります。この機能により、アプリケーション間でのシームレスなドラッグ＆ドロップが可能になり、ビデオプレーヤーをヘッドアップディスプレイ（HUD）に固定することで没入感を高めることができます。本マントは Linux 専用であり、MacOS および Windows は明確にサポートされません。また、本ソフトウェアは厳格な GPL-3.0-or-later ライセンスを採用し、オープンソースとしての地位を保証しています。デスクトップ機能を一括してゲーム環境内に埋め込むことで、本作はゲームと生産性の間に架け橋を築き、Minecraft エコシステム以前には存在しなかったユニークなマルチタスク体験を提供します。