朝刊
セキュリティ / CVE 3
CVE-2026-35616: Fortinet FortiClient EMS の未認証RCE、CISA が 3日期限で KEV 追加
FortiClient Enterprise Management Server 7.4.5〜7.4.6 の不適切アクセス制御脆弱性 (CVSS 9.1) が実際に悪用されていることが確認され、CISA が 4/6 に KEV カタログへ追加した。未認証でリモートコード実行が可能で、Fortinet は out-of-band の緊急パッチをリリース。米連邦民間機関は 4/9 までの修正が義務付けられる極めて短い期限。エンタープライズ環境で広く使われている製品で、境界ネットワークに置かれていることが多いため影響範囲が大きい。
CVE-2026-1340: Ivanti EPMM のプリ認証RCE、CISA が KEV 追加
Ivanti Endpoint Manager Mobile (EPMM) のコードインジェクション脆弱性 CVE-2026-1340 (CVSS 9.8) が CISA KEV に追加された。CVE-2026-1281 と組み合わせた攻撃チェーンで、未認証のリモート攻撃者が任意のコード実行を実現。watchTowr や Horizon3.ai の分析によると、侵入からデータ窃取まで6秒で完了する攻撃事例が報告されている。モバイルデバイス管理 (MDM) 基盤が侵害されると管理下の全端末に波及するため、影響は甚大。Ivanti EPMM 利用組織は直ちにパッチ適用が必要。
CVE-2026-5281: Chrome の GPU プロセスで任意コード実行の脆弱性
Google Chrome の GPU 処理パイプラインにメモリ管理の不備があり、細工された Web ページを開くだけでブラウザコンテキスト内で任意コード実行が可能となる脆弱性 CVE-2026-5281 が実際に悪用されていることが確認された。Google は緊急パッチを公開済み。攻撃対象面が Web サイト閲覧と広範なため、エンドユーザー全体に関わる。Chrome の自動更新が有効ならすぐに修正版 (135.x 以降) が配布されるが、企業環境で手動配布している組織はタイムラインを前倒しすべき。
Go 4
Go 1.26.2 と Go 1.25.9 がセキュリティ修正付きでリリース
4/7 に Go 1.26.2 および Go 1.25.9 が同時リリースされた。go コマンド、コンパイラ、archive/tar、crypto/tls、crypto/x509、html/template、os パッケージに対するセキュリティ修正を含む。加えて linker、runtime、net、net/http、net/url のバグ修正も入っており、crypto/tls 絡みはプロダクション運用中のサービスにも影響しうる。smart-stay-platform など Go 本番環境は速やかな再ビルドとデプロイを推奨。
Type Construction and Cycle Detection (Go 1.26)
Go 1.26 では型構築の仕組みが簡素化され、特定の再帰的な型に対するサイクル検出も強化された。ジェネリクスを多用したライブラリ作者にとっては地味だが重要な改善で、従来は書きづらかった相互再帰的な型が自然に表現できるようになる。アプリケーション開発者には直接の影響は薄いが、依存ライブラリが恩恵を受けることで間接的に型検査エラーが減る可能性がある。
Go Concurrency Patterns: Context
Go 公式ブログの古典解説。context パッケージがキャンセル・タイムアウト・リクエストスコープ値を伝播する仕組みを、サーバー実装の実例付きで説明する。Background と TODO の使い分け、WithCancel / WithTimeout / WithDeadline の派生契約、そしてなぜ Go の慣習として関数の第一引数に ctx を置くのかまで一本で理解できる。Go 初学者が最初に読むべきドキュメントのひとつで、goroutine リーク対策の基本でもある。
Go by Example: Goroutines
Go のゴルーチンを実行可能コード付きで解説する定番サイト。関数呼び出しに go キーワードを付けるだけで軽量スレッドが立ち上がる Go 独自の並行モデルを、匿名関数と sync.WaitGroup を絡めずに最短で体感できる構成になっている。Go 未経験者がスタックや OS スレッドとの違いを理解する最初のステップとして最適。次の章のチャネルと合わせて一気に読むのがおすすめ。
JS / TS 1
JavaScript Framework Trends 2026: React 19 Compiler で再レンダリング 25-40% 削減
2026年4月時点のJavaScriptフレームワーク動向レポート。React 19 は Server Components と React Compiler が標準搭載となり、初期採用組織の実測で不要な再レンダリングが 25-40% 削減された。Vue 3.6 の Vapor Mode は DOM 操作へ直接コンパイルする実験的機能で、約10万コンポーネントを ~100ms でマウントできるデモが公開済み。Svelte 5 の Runes ($state / $derived / $effect) は細粒度リアクティビティを言語レベルに組み込み、SvelteKit は2026年の開発者満足度 93% を記録。共通テーマは「細粒度リアクティビティ + サーバーファースト + コンパイラ駆動最適化」。
npm サプライチェーン 1
OpenSSF アドバイザリ: Slack で Linux Foundation リーダーを装う攻撃
OpenSSF が 4/8 に高深刻度アドバイザリを発令。Linux Foundation の実在人物 (Chief Marketing Officer 含む) を装って Slack 経由で OSS 開発者に接触し、マルウェアを配布しようとするキャンペーンが複数観測された。Axios 侵害の背後と同じ北朝鮮系アクター UNC1069 の関与が示唆されている。メール経由のフィッシングに慣れた開発者でも Slack での DM は警戒が下がりがちで、まさにその心理的ギャップを突く手口。npm メンテナ / OSS 活動者は Slack 上の未知の連絡に対しても厳重な警戒が必要。
インフラ 2
Cloud Run のソースデプロイが Ubuntu 22 LTS ベースイメージに対応
Cloud Run のソースデプロイで使用される Buildpacks の新しいベースイメージが gcr.io/buildpacks/builder:google-22 として提供開始となり、Ubuntu 22 LTS ベースで複数のセキュリティイシューが解消された。従来イメージを使い続けている場合は明示的な切替が必要で、特にセキュリティ監査の厳しい環境では早期移行が望ましい。ビルド時間やパッケージ互換性への副作用もあり得るため、ステージングで確認してから本番適用を。
Cloud Run とは何か — GCP 公式入門
Google Cloud Run の公式入門ドキュメント。コンテナイメージを渡すだけで、サーバー管理もスケーリングも不要で HTTPS エンドポイントが即座に立ち上がる仕組みを、revision / traffic split / concurrency という基本概念とともに図解する。リクエストが来た時だけ起動しない時は 0 台になる完全なスケール・トゥ・ゼロが特徴。GCP を触り始めた最初のプロダクトとして最適で、Cloud Functions との使い分けも記載されている。
DB 2
Aurora PostgreSQL 17.9 / 16.13 がリリース
Aurora PostgreSQL 17.9 と 16.13 が 4/6 にリリースされた。Aurora のパッチ適用中のダウンタイムを最小化する機能が強化され、接続転送の信頼性向上と接続復帰の高速化が含まれる。RDS / Aurora を使っている Postgres ベースのサービスはメンテナンスウィンドウ計画を見直す価値あり。マイナーバージョンアップなので機能追加は少ないが、運用中のアプリに与える影響は小さいはず。
PostgreSQL JOIN の基本 — 公式チュートリアル
PostgreSQL 公式の JOIN 入門チュートリアル。ひとつのクエリで複数テーブルから行を組み合わせる基本動作を、weather と cities のシンプルな例で段階的に解説する。INNER JOIN と OUTER JOIN の違い、同じテーブルの自己結合、そして WHERE 句との関係まで一気に押さえられる。ORM 越しに SQL を書かされている人が、生 SQL で何が起きているか知るための一本目として最適。
AI / LLM 2
Anthropic が Claude Mythos Preview を発表、Project Glasswing で公開は制限
Anthropic が 4/7 に Claude Mythos Preview を発表した。SWE-bench Verified 93.9%、SWE-bench Pro 77.8%、Terminal-Bench 2.0 82%、USAMO 2026 97.6% といずれの主要ベンチマークで前世代 Opus 4.6 や GPT-5.4 に2桁差をつける。ただしサイバーセキュリティ上のリスクから一般提供はせず、AWS / Apple / Google / Microsoft / NVIDIA など大手企業による防御的セキュリティ研究 (Project Glasswing) でのみ利用可能。自動で OpenBSD に27年前から残っていたゼロデイを含む大量の脆弱性を発見したという点が特に衝撃。
Anthropic が Google / Broadcom とコンピュート拡張パートナーシップを発表
Anthropic が 4/6 に Google および Broadcom との新しい合意を発表。Claude モデルを稼働させるための演算能力を大幅拡張する契約で、Google Cloud の TPU 利用を拡大する内容。2025年10月に結んだ既存契約の大規模な拡張版にあたる。Claude の需要急増に応えるためのインフラ側の動きで、エンタープライズでの利用拡大と長文コンテキスト (1M) 標準化に伴うコンピュート需要の現実を反映している。ユーザーの API 可用性 / レスポンス遅延の改善にもつながる見込み。