Author

technews

世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

npmで“また起きた”のに、誰も止められないことにされる話

キーポイント

• この記事は、​npmのサプライチェーン攻撃をネタにした風刺記事
• 「防ぎようがない」と言う開発者たちを、かなり痛烈に皮肉っている
• npmは便利な一方で、​大量の第三者パッケージに依存しやすいのが弱点
• Go、Rust、Web APIs のように、​標準機能が強い環境との対比が面白い
• ただのジョーク記事ではあるけれど、​依存関係の管理と安全設計の重要さはかなり本質的

記事の内容をかんたんに言うと

Kevin Patel の記事は、​​「npmで起きるサプライチェーン攻撃は、もうどうしようもない」​という空気を、これでもかというほど皮肉った風刺です。

元記事では、npmレジストリで壊滅的な攻撃が起きて、企業アプリが大量に巻き込まれ、ユーザーデータも漏れた、という設定で話が進みます。
そのうえで、開発者たちが「仕方ないよね」「現代のWeb開発の代償だよ」と、まるで天災みたいに受け止めている様子が描かれます。

これがかなり痛烈です。
というのも、実際のセキュリティ事故では、後から「予防は難しかった」と言われがちですが、この記事はそこに真正面からツッコミを入れているわけです。
本当に防げなかったのか、それとも“防ぐ仕組みを作ってこなかった”だけではないのか——そこを笑いながら突いてくるのがこの文章の面白さだと思います。

何を皮肉っているのか

この記事の中心にあるのは、​JavaScriptエコシステムの依存の深さです。

npmでは、ひとつのアプリが何十層にもわたる依存関係を抱えることがあります。
ざっくり言うと、​自分が直接使っていない部品のさらに部品、そのまた部品まで、まとめて取り込んで動かしている状態です。

しかも、その中には：

• 長いあいだ放置されたパッケージ
• 匿名や仮名で維持されているパッケージ
• 小さな便利機能を提供するだけのパッケージ

などが混ざります。

便利ではあるんですが、セキュリティの目線ではかなり怖い。
なぜなら、ひとつの小さなパッケージが乗っ取られたり、悪意あるコードが混ぜられたりすると、その影響が一気に広がるからです。

この記事は、その構造を「当たり前のように受け入れているの、さすがに変では？」と笑い飛ばしているんですね。
個人的には、ここが一番キレ味があって好きです。

Go、Rust、Web APIsとの対比が効いている

記事の中では、Go、Rust、そして native Web APIs を使う世界では、そんな被害は起きていない、と対比されます。

これは単なる煽りではなく、かなり重要な視点です。
というのも、これらの環境は一般に、​標準ライブラリが強いとか、​依存を増やしすぎなくても済むとか、​ビルドや検証の仕組みが厳格だといった特徴があります。

ここでいう標準ライブラリは、最初から言語やプラットフォームに付いてくる便利機能のことです。
たとえば、ネットワーク通信や暗号処理、ファイル操作などを、外部パッケージに頼らずある程度まかなえるイメージです。

もちろん、GoやRustだから絶対安全、という話ではありません。
そこは誤解しないほうがいいです。
ただ、​​「とにかく外部パッケージを足せば済む」設計ではないぶん、攻撃面を減らしやすいのは事実だと思います。

この比較は、npmを単にバカにしているのではなく、
“便利さのために何を犠牲にしているのか”を考えさせるという点で、かなりうまい構成です。

“防げない”ではなく“防ぐ気が薄い”のでは？

この記事を読んでいて、私が特に刺さったのはここです。
「防ぐ方法はない」と言ってしまうのは、あまりにも雑じゃないか、ということです。

実際には、サプライチェーン攻撃を減らすための手段はいろいろあります。

• パッケージの更新を慎重にする
• 依存を減らす
• ロックファイルを使ってバージョンを固定する
• ビルド時のスクリプト実行を制限する
• 署名や検証を強める
• 権限を最小限にする

もちろん、どれも完璧ではありません。
でも、​​「完全には防げない」ことと「何もできない」ことは別です。

この記事は、その“できることをやらずに、事故を自然現象みたいに扱う姿勢”を、かなり大げさに笑っているんだと思います。
こういう皮肉は、読んでいてちょっとニヤッとする一方で、正直かなり苦いです。

npmの便利さは、本当にすごい。でも…

ここはバランスを取って言いたいのですが、npmが悪の根源というわけではもちろんありません。
JavaScript/TypeScriptの開発が爆速になったのは、npmエコシステムの功績が大きいです。

小さなユーティリティを再利用して、車輪の再発明を避ける。
これはソフトウェア開発の理想のひとつです。

ただ、その理想が行きすぎると、
​「自分で作るより、知らない誰かが作った超小さいパッケージを100個持ってくる」​
みたいな状態になりがちです。

便利さは本物。
でも安全性まで勝手に付いてくるわけではない。
この当たり前のことを、私たちはつい忘れやすいんですよね。

この風刺記事のいちばん大事なポイント

この文章の面白さは、単にnpmを笑っているところではありません。
​「業界全体が、問題を“不可避”として扱いすぎていないか」​という視点が本題です。

事故が起きるたびに、

• それは仕方ない
• どこでも起きる
• 悪い人がいる以上止められない

で終わらせるのは簡単です。

でも、そうやって片付けてしまうと、次の事故もまた“仕方ない”で流されます。
この記事は、その連鎖に対する強烈なイヤミだと思います。
しかも、笑える形にしてあるから余計に効く。こういうの、風刺としてかなり上手いです。

まとめ

Kevin Patel のこの記事は、npmで起きるサプライチェーン攻撃を題材にした、かなり鋭い風刺です。
「防げない」と言いがちな開発文化に対して、​本当にそうなのか？ できる対策を放棄していないか？​ と問いかけています。

技術記事として読むというより、​業界への辛口な鏡として読むと面白いです。
そして笑いながらも、最後には「依存関係って、思っている以上に怖いな…」と少し背筋が寒くなるはずです。

参考: ‘No Way To Prevent This,’ Says Only Package Manager Where This Regularly Happens | Kevin Patel

同じ著者の記事

ジェンスン・フアンが「知っていたらNVIDIAは始めなかった」と語る理由

NVIDIA CEOのジェンスン・フアンが、「これから起きる苦しみを全部知っていたら、NVIDIAをもう一度は立ち上げない」と語った 成功の裏には、屈辱、失敗、解雇、資金難、ほぼ倒産しかけるような局面が何度もあった 2008年の金融危機では株価が大きく下がり、社内外から戦略を疑われた いまAIの中心企業になったNVIDIAだが、その道のりはきれいな成功物語ではなく、かなり泥くさい フアンは、つらい過去を引きずらず「昨日を忘れる」ことが生き残りのコツだったと振り返っている NVIDIAといえば、いまやAIブームのど真ん中にいる巨大企業です。GPUの会社というイメージを超えて、今では「AI時代のインフラ企業」と言ってもいい存在になりました。市場価値は5.3兆ドルと記事では紹介されていて、これはもう規模感がちょっと現実離れしています。 でも、今回のBusiness Insiderの記事で面白いのは、ジェンスン・フアンがその成功を誇る話ではなく、むしろ「あの苦しみを知っていたら、同じ道は選ばない」と正直に言っているところです。 これ、かなり率直です。経営者の発言としては、むしろ珍しいく

papoo.work

ロンドン警察、デモで初の顔認証導入へ――「安全」と「監視」の境界線はどこか

ロンドン警視庁（Met）が、デモ参加者に対して live facial recognition（LFR） を初めて使うと発表した 対象は「Unite the Kingdom, Unite the West」集会で、Camden地区で実施される予定 同じ日にある親パレスチナのデモには、同じ監視を適用しないとしている これに対し、“二重基準ではないか” という批判が出ている さらに、ロンドンでは 街頭の固定カメラに顔認証を載せる実験 も進んでおり、監視が“常態化”しつつあるように見える 記事は、民主的な議論や法律の整備が追いつかないまま、顔認証が広がっている点を強く問題視している 英サイト *Reclaim The Net* の記事によると、ロンドン警視庁は、政治的なデモの会場で初めて live facial recognition（ライブ顔認証） を使うと発表しました。 live facial recognition というのは、カメラで映った人の顔をその場で読み取り、警察が持つwatchlist（照合対象の名簿）と比べる仕

papoo.work

AIが賢くなるほど、人間は考えなくなる？ 便利さの裏にある“思考力の外注”問題

Digital Trends は、AIの即答が人間の好奇心や検証習慣を弱めるかもしれない、と伝えている 英国の Royal Observatory Greenwich は、AIに頼りすぎると「本当の知識」を作るための過程が失われると警告している AIは調査の助けになる一方、答えが速すぎるせいで考えるプロセスを飛ばしてしまう危険がある OpenAIのSam Altmanは、AIが電気や水のように“使った分だけ払うサービス”になっていくと語っている 記事は、AIに答えを丸投げするのではなく、反論させる・不足を探させる・出典を確認する使い方が大事だと提案している Digital Trendsの記事は、かなり身もふたもないけれど重要な問いを投げかけています。 AIがどんどん賢くなるほど、人間は逆に“考えなくなる”のではないか？ という話です。 きっかけは、英国の Royal Observatory Greenwich（グリニッジ天文台）による警告。 AIは質問に一瞬で答えてくれるので便利ですが、その便利さが行きすぎると、 もっと知りたいと思う**

papoo.work

Appleが見せた“アクセシビリティの未来”：Apple Intelligenceで広がる使いやすさ

Appleが、次期OS向けのアクセシビリティ機能をまとめて発表しました。 今回の目玉は、やはり Apple Intelligence を使って、VoiceOver、Magnifier、Voice Control、Accessibility Reader などを強化している点です。 アクセシビリティ、つまり「誰でも使いやすくするための機能」は、正直いって地味に見えがちです。ですが、実はここがスマホやPCの“本当の使いやすさ”を決める場所だと思います。しかも今回はAIをただの流行り言葉として載せるのではなく、かなり実用寄りに落とし込んでいるのが面白いです。 Apple Intelligenceで、画面の内容説明や音声操作がより自然になる VoiceOver、Magnifier、Voice Control、Accessibility Readerが大きく強化 字幕の自動生成が、録画動画や受信動画にも対応 Apple Vision Proで、車椅子の操作支援まで広がる そのほか、難聴対応、視認性向上、ゲームコントローラ対応など細かな改善も多数 いずれも今年後半のOSアップデートで提供予

papoo.work

Amazonbotがついにrobots.txtを尊重するようになった話

Amazonのクローラー「Amazonbot」が、robots.txt をちゃんと見るようになった、という話題 これでサイト運営者は、Amazonbotに来てほしい／来てほしくない をよりはっきり制御しやすくなる 元記事の筆者は、ちょっと皮肉まじりに「Amazon、やっとビジネスモデルが成立したね」と書いていて、かなり笑える 一方で、記事本文の中身は非常に短く、実質的には“サイト側の防御が効いている” ことを示す画面が中心 背景として、最近のWebはボット対策がどんどん重要になっていて、robots.txt はその基本ルールのひとつ 元記事のタイトルは 「Amazonbot is finally respecting robots.txt」。 つまり、Amazonが運用しているボット「Amazonbot」が、ウェブサイト側の指示をまとめた robots.txt をようやく尊重するようになった、という報告です。 robots.txt は、サイトの持ち主が「このページは巡回しないで」「この場所は見てもいいよ」と、検索エンジンや各種ボットに伝え

papoo.work

SDカードからDebianが起動するタブレット改造プロジェクト「rkdebian」が面白い

Doogee U10（RK3562搭載）で Debian 12 Bookworm を動かすためのビルドシステム ブートローダーのアンロック不要、SDカードから起動して使える SDカードを抜けば ふつうのAndroidに戻る ので、内部ストレージを汚さない 画面、タッチ、Wi-Fi、Bluetooth、音声、バッテリーなど、かなりの機能が動作 GPUは mali系のvendor stack が標準、panfrost も選べる RK3562の NPU を使ったローカルLLM推論にも対応している ただしカメラやGPUまわりなど、まだ調整中の部分もある GitHubの `tech4bot/rk3562deb` は、Doogee U10というAndroidタブレットを、Debian 12のLinuxマシンとして使うためのプロジェクトです。 ここでまず面白いのは、単なる「Linuxを入れてみた」話ではないこと。 このリポジトリは、SDカードに書き込んだイメージからタブレットを起動できるようにする“ビルドシステム”になっています。つまり

papoo.work

jankが独自IRを手に入れた話：Clojure風言語を本気で速くするための土台づくり

jank が 独自の custom IR（中間表現） を導入した これまでの LLVM IR では、Clojure 的な意味をうまく表せず最適化しづらかった 新しい IR は Clojure の semantics に寄せた高レベル設計 で、最適化の余地を増やす狙いがある IR は SSA形式 と CFG（制御フローグラフ） で表現され、解析しやすい まずは recursive fibonacci をベンチマークに、jank を JVM 版 Clojure に近づける作戦 この記事時点ではまだ最適化パスは本格稼働していないが、土台は整った Clojure系の言語を作っている jank が、自前の IR（Intermediate Representation / 中間表現） を持つようになった、というのがこの記事の主題です。 IRというのは、ざっくり言うと「ソースコードをそのまま機械語にする前に、一度コンパイラが扱いやすい形に変換したもの」です。 ちょっと難しく聞こえますが、要するに 翻訳の途中にある“整理された下書き” み

papoo.work

いちご1個にどれだけ手間をかけるのか――SuperSplatで見る「Strawberry」の異常な完成度

90方向から撮影したストロベリーの3D作品 1方向につき88枚をfocus stackingして、ピントの合った画像を作成 撮影機材はNikon Z8、Laowa 180mm macro lens、LED light、bluescreen 3D化の学習には slang-splat を使用 作品は CC BY 4.0 で公開。クレジット表記は推奨だが必須ではない 元の COLMAP dataset もPatreonで入手可能 SuperSplatに公開されている 「Strawberry」 は、その名の通り、いちごを題材にした3D作品です。 ただのフルーツ写真だと思ったら大間違いで、制作条件を読むとかなり気合いが入っています。 作者はこの作品を、90個の視点から撮影したそうです。 しかも各視点で、88枚のfocus stacked images を使っています。 ここでいう focus stacking は、簡単に言うと「ピント位置の違う写真を何枚も重ねて、全体にくっきり見える1枚を作る方法」で

papoo.work

正規表現でチェスを指す狂気の発明「Regex Chess」を読んでみた

Nicholas Carlini氏が、84,688個のregular expressionsで動くチェスエンジンを作った ただし本物の強いAIではなく、2-ply minimax（自分→相手の2手先まで見る簡易探索）で動く“変な実験” 仕組みの核心は、正規表現を命令として使う擬似CPUを作り、その上でチェスの手を選ばせていること 状態は1本の文字列で管理し、stackとvariablesを正規表現の置換で操作する 面白さは「正規表現は検索ツール」という常識を、計算機の材料にひっくり返しているところにある 正規表現でチェスを指す。 この一文だけでもう十分に変です。しかも、ただのネタではなく、実際に有効な手を返すチェスエンジンとして動くのがこの話のすごいところ。作者のNicholas Carlini氏は、84,688個のregular expressionsを順番に実行することで、盤面に対して1手を決める仕組みを作りました。 もちろん、強いわけではありません。記事のタイトルにもある通り、2-ply minimaxです。

papoo.work

MSHTAの再悪用が止まらない：古いWindows機能が“静かなマルウェア攻撃”の温床に

Windowsに昔から入っている `MSHTA` が、攻撃者に悪用されている 入口はフィッシングや「無料ソフト」「クラック版」を装った誘導が多い `LOLBIN`（正規ツールの悪用）なので、見た目では不審さが出にくい `Lumma`、`Amatera`、`ClipBanker`、`PurpleFox` などの配布に使われている 対策は「ユーザー教育」だけでなく、「古い機能を止める」技術的対策も重要 最近のサイバー攻撃で、ちょっと皮肉なのがこの話です。 Windowsの“昔ながらの正規機能”が、マルウェア配布の便利な道具になっているんですね。SecurityWeekの記事は、Microsoftの `MSHTA` という古いユーティリティが、静かにマルウェアをばらまく攻撃で急増していると伝えています。 率直に言うと、これはかなり厄介です。 なぜなら `MSHTA` は「怪しい外部ツール」ではなく、Microsoftが署名した正規の機能だからです。セキュリティ製品から見ると、完全に即ブロックしづらい。攻撃者からすると、これほど都合のいい入口はありません。 `MSHTA` は

papoo.work