朝刊
注目トピック 18
Apache ActiveMQ CVE-2026-34197 Added to CISA KEV Amid Active Exploitation セキュリティ / CVE
Apache ActiveMQ の入力検証欠陥 CVE-2026-34197 が CISA の KEV(悪用確認済脆弱性カタログ)に追加された。米連邦機関は期日までのパッチ適用が義務化され、民間企業にも事実上の最優先対応を促す位置付け。未認証 RCE につながるリスクがあるため、ActiveMQ を運用している環境は即時アップグレードが必須。smart-stay-platform 本体は Cloud Pub/Sub なので影響ないが、過去案件やパートナー環境で ActiveMQ を使っているケースは棚卸し推奨。
Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched セキュリティ / CVE
Microsoft Defender のゼロデイ3件が同時に悪用されており、うち2件は執筆時点で未パッチ。先日話題になった RedSun 欠陥は標準ユーザー権限から SYSTEM 昇格が可能な PoC が公開済みで、追って UnDefend も報告された。Windows 端末を管理する開発者・IT 管理者は Defender 署名の自動更新が妨害される攻撃パターンに注意し、EDR の補助監視やアプリ制御ポリシーを強化する必要がある。
Google APIキーの脆弱性により13時間で約900万円請求される事案が発生 セキュリティ / CVE
Firebase プロジェクトから漏洩した Google API キーを悪用され、Gemini API コールが13時間で約900万円請求された事案の詳細レポート。API キーのリファラ制限未設定・Cloud Build ログ経由の鍵漏洩・使用量アラート未設定が重なった結果だった。Firebase / Cloud Run / Cloud Functions で外部公開する鍵は必ず API 制限とクォータを設定すべき。smart-stay-platform でも API Gateway の公開鍵設定を即点検する必要あり。
Introducing Claude Design by Anthropic Labs AI / LLM
Anthropic Labs が Opus 4.7 ベースのビジュアルデザイン制作プロダクト Claude Design を公開。プロトタイプ・スライド・ワンペーパーなどを対話しながら生成でき、Canva と連携して商用グレードの素材ライブラリに直結する。デザイナーだけでなくエンジニアにもドキュメント・LP 制作のワークフロー短縮効果が大きく、portofolio のブログ/LP 作成の省力化にも直結する。Figma 株は当日一時 4.26% 安と市場も反応。
Claude Codeで実際に起きたセキュリティ事故7選と防止策 AI / LLM
Claude Code 運用中に実際に起きたセキュリティ事故 7パターン(.env 漏洩・認証情報のコミット・強権 Permission 設定・外部 MCP サーバからの exfil・プロンプトインジェクション等)とそれぞれの防止策をまとめた実践記事。設定例とともに hooks / permissions / MCP 許可範囲のベストプラクティスが書かれており、個人・チームどちらの Claude Code 利用にも直接効く。自分の settings.json の棚卸しをしたくなる内容。
Cisco Patches Four Critical Identity Services, Webex Flaws Enabling Code Execution セキュリティ / CVE
Cisco が ISE(Identity Services Engine)および Webex の臨界欠陥 4件を修正。いずれも未認証での任意コード実行に繋がりうる。企業環境で Cisco ISE を RADIUS/TACACS+ の認証基盤に使っているケースは影響が非常に大きく、即時アップグレード推奨。Webex 側も管理 API 経由の認証情報漏洩リスクがあるため、自社で採用している企業は棚卸しを。
Go Weekly #597 — 新構文追加・GitHub の eBPF 運用・watgo など Go
Go Weekly #597 が配信。主記事は 「新しい構文を Go に追加するにはコンパイラのどこを触るか」 のディープダイブで、parser / types / ssagen を順に辿りながら実装例を示している。加えて GitHub が eBPF(ebpf-go)でデプロイ安全性を改善した話、Pure Go の WAT パーサ watgo、エラー翻訳のベストプラクティスなどが紹介されている。週次で追いかけやすい構成なので、1本は目を通しておきたい。
Go package to mount fs.FS as virtual file system on DuckDB Go
Go 標準の `fs.FS` 抽象を DuckDB の仮想ファイルシステムとしてマウントできるパッケージ。embed.FS や S3 ラッパ経由のファイルを DuckDB から SQL で直接クエリでき、埋め込みアセットや監査ログの集計をミドルウェアなしで回せる。CLI ツールや分析バッチを Go で書く際の選択肢が増える。72 アップ・コメントも技術的に深い。
HonoのNode.jsアダプタが最大2.3倍速くなります JS / TS
Hono 作者 yusukebe 氏が Node.js アダプタのパフォーマンス改善を発表。Web Standards の Request/Response を Node.js の IncomingMessage/ServerResponse に橋渡しする層をゼロコピーに近づけ、RPS で最大 2.3倍。Hono で Node.js デプロイしているプロジェクトはアップグレードだけで高速化。line_bot も Hono を使っているので次回デプロイ時に恩恵あり。
Claude Opus 4.7のReact習熟度をさっそく測る JS / TS
uhyo 氏が公開している React Profession Bench で Opus 4.7 を早速評価。useEffect の依存配列、サーバーコンポーネントの境界、Suspense の fallback 遷移などの微妙な挙動への理解を問う設計で、今回のモデルは特にサーバーコンポーネント関連で改善が目立った。Claude Code を React プロジェクトで使う際のモデル選定の参考に。
NIST Officially Stops Enriching Most CVEs as Vulnerability Volume Skyrockets npm サプライチェーン
NIST が NVD でのエンリッチ(CPE 割当・CVSS 計算など)作業の大半を正式に停止。CVE 提出件数が前年比 263% 増という洪水に耐えきれず、代替データソース(GitHub Advisory, OSV など)への依存が進むと Socket は分析している。SCA/依存管理ツールを NVD だけに依存している組織は警戒が必要。Snyk / GitHub Advisory / Socket / govulndb など複数ソースを束ねる設計に切り替えるべきタイミング。
Introducing the Agent Readiness score. Is your site agent-ready? インフラ
Cloudflare が 「あなたのサイトは AI エージェント(Claude / Gemini / ChatGPT Agent など)からアクセス・操作しやすいか」 を数値化する Agent Readiness Score を発表。robots.txt や sitemap.xml に加え、エージェント向けの構造化マークアップや signed fetch、認証経路の明示度などを評価するメトリクス。BFF / SaaS を提供する側はエージェント経由の集客を想定した設計に切り替える時期に入ってきたと言える。
Introducing BigQuery Graph: Unlock hidden relationships in your data インフラ
Google Cloud が BigQuery にネイティブなグラフデータモデルと Graph Query(ISO GQL 互換)を統合して公開。従来 Neo4j 等の別製品が必要だったソーシャルグラフ / 不正検知 / サプライチェーン分析を、同じ BigQuery 上で SQL とグラフクエリを混在させて実行できる。smart-stay-platform の予約ログ・ユーザ関係分析を将来やるなら有力な選択肢。
deleted_atにインデックスを雑に貼ったら本番DBが死んだ DB
MySQL の論理削除列 `deleted_at` にインデックスを貼った結果、オプティマイザが意図しないプランを選んで本番 DB が落ちた事例。NULL 値の分布が偏った列へのインデックスがどうオプティマイザを惑わせるかを EXPLAIN 付きで解説。Postgres 系でも同様の落とし穴があり得るため、論理削除を採用している smart-stay-platform の DB 設計・インデックス見直しの参考になる。
PostgreSQLのSlow Queryを改善した話:たった1行の変更でパフォーマンスが劇的に改善したケーススタディ DB
Postgres の遅延を引き起こしていたクエリを、JOIN 順序のヒント・部分インデックス・式インデックスのいずれか一箇所の変更で劇的に改善した実例集。EXPLAIN (ANALYZE, BUFFERS) の読み方、pg_stat_statements による候補抽出もまとまっており、既存プロジェクトの DB チューニング観点で即使える。sqlc で書いたクエリが遅いときの診断にも応用可能。
Measuring Claude 4.7's tokenizer costs AI / LLM
Opus 4.7 で切り替わった新トークナイザのコスト特性を計測した記事が HN トップに。英語文は従来比ほぼ同等だが、日本語や JSON/コードは 5〜12% ほどトークン消費が増えているケースがあるという検証。コンテキスト長が広がった一方で同じドキュメントに対する課金額が増える可能性があり、長文プロンプトを日常的に投げる Claude Code 運用では注意。prompt caching の重要性が更に高まる。
gh skillが登場。GitHub公式のスキル管理ツールにnpx skillsから乗り換えた AI / LLM
GitHub CLI に Agent Skills を管理する公式サブコマンド `gh skill` が登場し、従来の `npx skills` から移行した実体験レポート。スキルの install / list / enable / disable を git と連携した形で扱え、チームでのスキル共有と監査ログ確保が楽になる。Claude Code のスキル運用を個人→チーム→全社と広げていくフェーズにいる人には特に有用。
Claude Codeのトークン消費が$40/日から1週間でも余裕になった全手法 AI / LLM
Claude Code の1日の課金が $40 まで跳ねていた運用から、1週間でも余裕の消費に削減した手法総まとめ。CLAUDE.md の短文化、context budget の hooks 化、不要な MCP サーバの停止、Sonnet / Opus 使い分け、/compact のタイミング設計、検索結果を /tmp に逃がすパターンなど実戦的。Opus 4.7 のトークナイザ変更でコストが上がる傾向もある中、今すぐ効くチューニング集。
セキュリティ / CVE 5
Apache ActiveMQ CVE-2026-34197 Added to CISA KEV Amid Active Exploitation
Apache ActiveMQ の入力検証欠陥 CVE-2026-34197 が CISA の KEV(悪用確認済脆弱性カタログ)に追加された。米連邦機関は期日までのパッチ適用が義務化され、民間企業にも事実上の最優先対応を促す位置付け。未認証 RCE につながるリスクがあるため、ActiveMQ を運用している環境は即時アップグレードが必須。smart-stay-platform 本体は Cloud Pub/Sub なので影響ないが、過去案件やパートナー環境で ActiveMQ を使っているケースは棚卸し推奨。
Three Microsoft Defender Zero-Days Actively Exploited; Two Still Unpatched
Microsoft Defender のゼロデイ3件が同時に悪用されており、うち2件は執筆時点で未パッチ。先日話題になった RedSun 欠陥は標準ユーザー権限から SYSTEM 昇格が可能な PoC が公開済みで、追って UnDefend も報告された。Windows 端末を管理する開発者・IT 管理者は Defender 署名の自動更新が妨害される攻撃パターンに注意し、EDR の補助監視やアプリ制御ポリシーを強化する必要がある。
Google APIキーの脆弱性により13時間で約900万円請求される事案が発生
Firebase プロジェクトから漏洩した Google API キーを悪用され、Gemini API コールが13時間で約900万円請求された事案の詳細レポート。API キーのリファラ制限未設定・Cloud Build ログ経由の鍵漏洩・使用量アラート未設定が重なった結果だった。Firebase / Cloud Run / Cloud Functions で外部公開する鍵は必ず API 制限とクォータを設定すべき。smart-stay-platform でも API Gateway の公開鍵設定を即点検する必要あり。
Cisco Patches Four Critical Identity Services, Webex Flaws Enabling Code Execution
Cisco が ISE(Identity Services Engine)および Webex の臨界欠陥 4件を修正。いずれも未認証での任意コード実行に繋がりうる。企業環境で Cisco ISE を RADIUS/TACACS+ の認証基盤に使っているケースは影響が非常に大きく、即時アップグレード推奨。Webex 側も管理 API 経由の認証情報漏洩リスクがあるため、自社で採用している企業は棚卸しを。
Obsidian Plugin Abuse Delivers PHANTOMPULSE RAT in Targeted Finance, Crypto Attacks
ノートアプリ Obsidian のプラグイン機構を悪用し、PHANTOMPULSE と呼ばれる RAT を金融・暗号資産業界の端末に配布する攻撃が確認された。コミュニティプラグインをレビューなしで導入しているユーザーは棚卸し推奨。Obsidian をマークダウンエディタに使う開発者も多く、Git で同期しているリポジトリに感染ファイルが混入する二次被害にも注意。
Go 5
Go Weekly #597 — 新構文追加・GitHub の eBPF 運用・watgo など
Go Weekly #597 が配信。主記事は 「新しい構文を Go に追加するにはコンパイラのどこを触るか」 のディープダイブで、parser / types / ssagen を順に辿りながら実装例を示している。加えて GitHub が eBPF(ebpf-go)でデプロイ安全性を改善した話、Pure Go の WAT パーサ watgo、エラー翻訳のベストプラクティスなどが紹介されている。週次で追いかけやすい構成なので、1本は目を通しておきたい。
Go package to mount fs.FS as virtual file system on DuckDB
Go 標準の `fs.FS` 抽象を DuckDB の仮想ファイルシステムとしてマウントできるパッケージ。embed.FS や S3 ラッパ経由のファイルを DuckDB から SQL で直接クエリでき、埋め込みアセットや監査ログの集計をミドルウェアなしで回せる。CLI ツールや分析バッチを Go で書く際の選択肢が増える。72 アップ・コメントも技術的に深い。
I built a full SMB server with NTLM hash capture in Go
Go で SMB サーバを実装し、接続してきたクライアントの NTLM ハッシュをキャプチャするレッドチーム向けツールを作った話。プロトコル実装の過程で encoding/binary や bufio の使いこなし、Windows 認証フローの理解に踏み込める内容で、Go のネットワーク・バイナリ扱いの学習材として良い。セキュリティ実装は自分の責任で使う必要あり。
go tool task — go tool にタスクランナーを統合
Task(Taskfile.yml ベースのランナー)を `go tool task` 経由で扱えるようにした取り組みの紹介。Go 1.24 で整備された go.mod の tools 機構を使えば、Makefile の代替としてバージョン固定された Task を配布できる。プロジェクト毎に `make` のバージョン差異に悩まされている場合の選択肢になる。
【基礎】Effective Go — Errors
Effective Go のエラー設計セクション。Go のエラー哲学(値として返す、型アサーション/`errors.Is`・`errors.As` でハンドリング、`%w` によるラップ)を起点に、ログ・リトライ・境界越えの扱いまでを整理している。エラーメッセージに文脈を積み上げる書き方、`errors.Join` の使いどころも抑えられる。smart-stay-platform の各マイクロサービスで HTTP/gRPC 境界のエラー変換を書く前の再読推奨。
JS / TS 2
HonoのNode.jsアダプタが最大2.3倍速くなります
Hono 作者 yusukebe 氏が Node.js アダプタのパフォーマンス改善を発表。Web Standards の Request/Response を Node.js の IncomingMessage/ServerResponse に橋渡しする層をゼロコピーに近づけ、RPS で最大 2.3倍。Hono で Node.js デプロイしているプロジェクトはアップグレードだけで高速化。line_bot も Hono を使っているので次回デプロイ時に恩恵あり。
Claude Opus 4.7のReact習熟度をさっそく測る
uhyo 氏が公開している React Profession Bench で Opus 4.7 を早速評価。useEffect の依存配列、サーバーコンポーネントの境界、Suspense の fallback 遷移などの微妙な挙動への理解を問う設計で、今回のモデルは特にサーバーコンポーネント関連で改善が目立った。Claude Code を React プロジェクトで使う際のモデル選定の参考に。
npm サプライチェーン 2
NIST Officially Stops Enriching Most CVEs as Vulnerability Volume Skyrockets
NIST が NVD でのエンリッチ(CPE 割当・CVSS 計算など)作業の大半を正式に停止。CVE 提出件数が前年比 263% 増という洪水に耐えきれず、代替データソース(GitHub Advisory, OSV など)への依存が進むと Socket は分析している。SCA/依存管理ツールを NVD だけに依存している組織は警戒が必要。Snyk / GitHub Advisory / Socket / govulndb など複数ソースを束ねる設計に切り替えるべきタイミング。
Socket Selected for OpenAI's Cybersecurity Grant Program
Socket が OpenAI のサイバーセキュリティ助成プログラムに選出された。助成は LLM を活用した悪意あるパッケージ検出の精度向上に充当される予定で、Socket の既存の DeepScan と統合される見通し。npm / PyPI のサプライチェーン防御を LLM ベースで強化する動きが本格化している流れで、Socket の無償スキャン機能に今後恩恵が入る可能性が高い。
インフラ 3
Introducing the Agent Readiness score. Is your site agent-ready?
Cloudflare が 「あなたのサイトは AI エージェント(Claude / Gemini / ChatGPT Agent など)からアクセス・操作しやすいか」 を数値化する Agent Readiness Score を発表。robots.txt や sitemap.xml に加え、エージェント向けの構造化マークアップや signed fetch、認証経路の明示度などを評価するメトリクス。BFF / SaaS を提供する側はエージェント経由の集客を想定した設計に切り替える時期に入ってきたと言える。
Introducing BigQuery Graph: Unlock hidden relationships in your data
Google Cloud が BigQuery にネイティブなグラフデータモデルと Graph Query(ISO GQL 互換)を統合して公開。従来 Neo4j 等の別製品が必要だったソーシャルグラフ / 不正検知 / サプライチェーン分析を、同じ BigQuery 上で SQL とグラフクエリを混在させて実行できる。smart-stay-platform の予約ログ・ユーザ関係分析を将来やるなら有力な選択肢。
【基礎】Cloud Run のインスタンス自動スケーリングを理解する
Cloud Run のオートスケーリングの仕様解説ドキュメント。同時リクエスト数(concurrency)・最小/最大インスタンス数・CPU ブースト・アイドル課金などが挙動にどう影響するかを図つきで説明している。line_bot や smart-stay-platform の API Gateway を Cloud Run で運用する上で、コールドスタートを抑えるパラメータチューニングの土台になる基礎資料。
DB 3
deleted_atにインデックスを雑に貼ったら本番DBが死んだ
MySQL の論理削除列 `deleted_at` にインデックスを貼った結果、オプティマイザが意図しないプランを選んで本番 DB が落ちた事例。NULL 値の分布が偏った列へのインデックスがどうオプティマイザを惑わせるかを EXPLAIN 付きで解説。Postgres 系でも同様の落とし穴があり得るため、論理削除を採用している smart-stay-platform の DB 設計・インデックス見直しの参考になる。
PostgreSQLのSlow Queryを改善した話:たった1行の変更でパフォーマンスが劇的に改善したケーススタディ
Postgres の遅延を引き起こしていたクエリを、JOIN 順序のヒント・部分インデックス・式インデックスのいずれか一箇所の変更で劇的に改善した実例集。EXPLAIN (ANALYZE, BUFFERS) の読み方、pg_stat_statements による候補抽出もまとまっており、既存プロジェクトの DB チューニング観点で即使える。sqlc で書いたクエリが遅いときの診断にも応用可能。
【基礎】PostgreSQL のマルチバージョン並行制御(MVCC)入門
Postgres の MVCC(マルチバージョン並行制御)の入門章。ロックを最小化するために各行の新旧バージョンを保持し、トランザクション毎にスナップショットを割り当てる仕組みを図解している。VACUUM が必要になる理由、Read Committed / Repeatable Read の違い、ファントムリードの扱いなど、smart-stay-platform のような高並列な予約システムで正しい分離レベルを選ぶ前に必ず読むべき土台。
AI / LLM 5
Introducing Claude Design by Anthropic Labs
Anthropic Labs が Opus 4.7 ベースのビジュアルデザイン制作プロダクト Claude Design を公開。プロトタイプ・スライド・ワンペーパーなどを対話しながら生成でき、Canva と連携して商用グレードの素材ライブラリに直結する。デザイナーだけでなくエンジニアにもドキュメント・LP 制作のワークフロー短縮効果が大きく、portofolio のブログ/LP 作成の省力化にも直結する。Figma 株は当日一時 4.26% 安と市場も反応。
Claude Codeで実際に起きたセキュリティ事故7選と防止策
Claude Code 運用中に実際に起きたセキュリティ事故 7パターン(.env 漏洩・認証情報のコミット・強権 Permission 設定・外部 MCP サーバからの exfil・プロンプトインジェクション等)とそれぞれの防止策をまとめた実践記事。設定例とともに hooks / permissions / MCP 許可範囲のベストプラクティスが書かれており、個人・チームどちらの Claude Code 利用にも直接効く。自分の settings.json の棚卸しをしたくなる内容。
Measuring Claude 4.7's tokenizer costs
Opus 4.7 で切り替わった新トークナイザのコスト特性を計測した記事が HN トップに。英語文は従来比ほぼ同等だが、日本語や JSON/コードは 5〜12% ほどトークン消費が増えているケースがあるという検証。コンテキスト長が広がった一方で同じドキュメントに対する課金額が増える可能性があり、長文プロンプトを日常的に投げる Claude Code 運用では注意。prompt caching の重要性が更に高まる。
gh skillが登場。GitHub公式のスキル管理ツールにnpx skillsから乗り換えた
GitHub CLI に Agent Skills を管理する公式サブコマンド `gh skill` が登場し、従来の `npx skills` から移行した実体験レポート。スキルの install / list / enable / disable を git と連携した形で扱え、チームでのスキル共有と監査ログ確保が楽になる。Claude Code のスキル運用を個人→チーム→全社と広げていくフェーズにいる人には特に有用。
Claude Codeのトークン消費が$40/日から1週間でも余裕になった全手法
Claude Code の1日の課金が $40 まで跳ねていた運用から、1週間でも余裕の消費に削減した手法総まとめ。CLAUDE.md の短文化、context budget の hooks 化、不要な MCP サーバの停止、Sonnet / Opus 使い分け、/compact のタイミング設計、検索結果を /tmp に逃がすパターンなど実戦的。Opus 4.7 のトークナイザ変更でコストが上がる傾向もある中、今すぐ効くチューニング集。