ただのにっき

■ はやぶさ2、リュウグウへのタッチダウンに成功

ゆうべの帰りが遅かったものだから、予定時刻の8時直前に起き出してPCを付け、中継を見始めたらすぐに管制室で拍手が起こってどうやら成功したようだとわかる。初号機のときとはずいぶん違ってあっさりだなぁ(笑)。……とか思っていたら、管制室内で上のような紙が掲出されて、笑ってしまった。まぁ先代の大きな肩に乗ってるんだもん、これくらいスムーズじゃなきゃ困りますよ。

というわけで、はやぶさ2が無事リュウグウへのタッチダウンに成功。どうやら「弾丸」の発射もされていたようで、先代と比べて採取できた試料の量もだいぶ多そうだ。

といっても決して楽な旅ではなかったわけで、先代のような故障こそなかったものの、リュウグウがあまりに岩が多くて平らな着陸可能地点がほとんどないことがわかってから、昨年中に行う予定だったタッチダウンを延期して地表調査とシミュレーションを続け、ようやく決まった着陸地点がなんと6m四方。野球のマウンドくらいの広さらしい。

のちに公開された写真によれば、ほぼずれなくドンピシャな場所に降りたらしくて、とんでもねぇ精度だよ。光の速さでも10分以上の距離だぜ?

ともあれ、あとは無事に帰ってきてくれることを祈るばかり。

■ 駅メモが猫の日にはっちゃける

猫の日なので我らが前川みくの誕生日なわけだがそれはそれとして。なぜか駅メモもやたらと猫の日推しで、ニャッシュの経験値が普段の「2222%」になるというキャンペーンを開始。まぁ猫キャラではあるが、こんなにフィーチャーされるでんこって、他にいるの? 新参マスターなのでなにがなにやら……。

ともあれ、ニャッシュは電友枠を増やすという特殊スキル持ちなので、Lvを上げると電友からのボーナス獲得数が上がる。せっかくなのでメいっぱいあげさせてもらいましょう。

ってことで朝の出勤時間帯からせっせとアクセスしまくった結果、帰りを待たずにカンストしてしまった。これで電友枠は21になった。いまでも使い切れないほど電池があるのにどーすんだ(笑)。

■ OSSライセンスMeetup Vol.2「実録：GPL違反とその対応を振り返る」へ行ってきた

つい最近、仕事でGNUライセンスがらみのインシデントがあって疲弊していたところ、タイムリー(?)にこんなイベントが目に入ったので参加。初回はぜんぜん気づかなかったなー。

ライセンス話だとよく見かける人たちも多数参加していて、ライセンスみたいな汎用的な話題でもコミュニティに偏りが発生しているのは興味深いです(良くはない)。場所は以前OSS Gateでもお世話になったサイオス。さほど駅近じゃないので移動がけっこう大変だけど、開始時間を遅くされると早めに帰らなきゃいけなくなるから難しいところだ。

イベント説明に「2002年のGPL違反」と書いてあったので予習しようと思ってググったら、Sigma Designの件とエプソンコーワの件*1が出てきたけど、講演者の経歴からいって後者かな(←あたり)。かくして当時エプソンコーワの現場にいた人の口から、17年の歳月をこえて数々の証言が語られたのだった(めっちゃ面白いオフレコ話もけっこうあり)。資料はこれ。

騒動の概略は上のスライドのとおり、ソースコードを公開したくないライブラリとGPLのモジュールをリンクして公開してしまったところにあるのだが、GPLだったgettextをLGPL版に差し替えて、全体に独自ライセンスを設定して再リリースすることで回避した……というのが技術的な話。gettextがGPLのままだったら確実に死亡していた案件なんだけど、初期のGPL版を入手したユーザからソースコードの要求はなかった、というのがこの件の本質じゃないかと思う。

当時のLinux(とりわけデスクトップ)界隈の雰囲気としては、盛り上げてくれる企業の参入は基本的に歓迎していて、OSSとの付き合い方におっかなびっくりの企業を温かく見守ってる感じがあった。なかでもエプソンはOSSへのコントリビューションも少なくない「優良企業」で、そういう会社がプロダクトレベルの製品をなんとかLinuxデスクトップに送り込んでくれた感謝みたいな気持ちと、すばやく対処してライセンス問題を解消してくれた行動力への賛辞が、彼らを窮地に追い込まずにおいたのではないかと思う。技術的な話ではなく「OSSコミュニティに真摯に向き合い、誠意を持って付き合え」という非常に情緒的な話であるし、これってけっこう今でも通用する話だと思う(とくに最近批判が高まっているクラウドベンダーのフリーライドっぷりをみるにつけ)。

後半は講演への質問タイムと、OSS(ライセンス)との付き合い方に関するディスカッション。けっこう参加者が多くてディスカッションをまとめられる感じではなかったのが残念。こういうのをやろうと思ったらMax 10人だよねぇ。それでもいろんな知見が語られて、刺激は多かった。

中でも盛り上がったのが、Contributor License Agreement (CLA)をどうするかという話。とくに企業が公開するOSSでは避けて通れないCLAだが、FSFみたいに厳密な契約書を交わすタイプから、READMEにチョロっと書くレベルのものまで、さまざまなものがある。「途中でライセンスは変更しない前提」なんてプロダクトもあった。法的拘束力を重視するとコントリビューションの敷居が際限なく上がってしまうし、落とし所が難しい。法務部門と協議してバランスとるしかないねぇ……という感じだ。

このイベントは少なくとも次のVol.3まではやりたいという関係者の話を聞いたので、次回もできるだけ参加したい所存。

あと宮田さんはいまCloudGarageの中の人ってことなので、こないだ作ったgemの話などをしつつ、DAP制度へのお礼なども直接できたので良かった。

■ Becks Japan #1へ参加してきた

新しいITセキュリティコミュニティや勉強会が立ち上がったと聞くと、様子を見にほいほい参加してみる人です。今夜はBecks Japan #1。「Becks」はJRの駅に入ってるカフェじゃなくてBeer & Hacksの略。LINEとGrayLabが共同で立ち上げた勉強会で*1、場所も新宿のLINE社にある広々としたカフェスペース。ビールを始めとしたドリンクと軽食がフリーで提供されている。

トークは3つ:

Hacking Jenkins! by Orange

CIツールとして圧倒的シェアを誇るJenkinsの脆弱性を探す話。しかもRCEなのでかなりヤバいやつ。ルーティングのホワイトリストの穴を使って認証なしで一部サービスを使えるようにする脆弱性と、PipelineのDSLであるGroovyのメタプログラミングを応用してRCEを可能にする脆弱性を組み合わせた技を紹介。Shodanによると、この穴が残ったまま公開運用されているJenkins、まだ万のオーダーであるらしい。こえぇ。

Orange氏の手法で良いと思ったのは、ちゃんとソースと仕様書を読み込んで脆弱性を探しているところ。せっかくOSSにしてソースを公開してる以上、ちゃんと活用してもらえて安全性向上に役立ってるんだから、Jenkinsサイドとしても願ったりだと思う。

Dissecting professional APT team's spear tip by jz (Heungsoo Kang from GrayLab)

LINEの検知システムを通り抜けて侵入してしまったメールの添付ファイルを解析した話。Excelマクロ(VBA)、BATファイル、PowerShellスクリプト、インメモリDLLなどを、難読化しつつ多段階にかまして最終的にC2サーバ接続までするマルウェアだった。それぞれ手法はオーソドックスだけど、こんだけ複雑化されたら検知できなくてもしょうがない。マクロ付きのExcelは問答無用で弾くというストロングスタイルが正解なんだろうな。

The Evolution of Alert & Notification System by mala

技術的に高度なことを面白おかしく語るいつものmala節とはちょっと違って、けっこう肩の力の抜けたトークでしたな。電気ショックを流せる腕時計型のデバイスをハックして、重要な通知を電撃で受け取るようにした話。件のデバイスはこれ:

Pavlok Pro 2nd Gen Shock Clock
-
pavlok
￥29,800

ネタとして買うには高い(笑)。でも今回のように真面目に使う*2のならありかも知れない……(と思わせる妙な説得力はあった)。でもまー、若いうちなら自分で実験したかも知れんけど、年をとると心臓麻痺とか心配しちゃうよ。

このBecks、面白いのが韓国と台湾でも同時にコミュニティを立ち上げていて、イベントも各地で開催するようだ。今日も3ヶ国から1人ずつ講演者が呼ばれている。しかも日英同時通訳付き(!)。通訳があるんなら、そりゃありがたく利用させてもらうけど、韓国・台湾からの講演者は母語じゃなくて英語で講演してるんだし、英語で統一しちゃってもいいような……?

冒頭あいさつでゆくゆくはコミュニティ主導で運営したいみたいな話があったけど、しょっぱなからこれだけの物量を提供されてたら、LINEの紐を切ることはできないだろうし(というかLINEの本気度の現れでもあるからそれはそれで良い)、今後どうなるのか楽しみではある。