2026年6月の雑記(のんびり有給記録)

はじめに 今月で7年ぐらいお世話になった会社を退職します。 退職理由は、情シスとか違う形のSEをしてみたかった。って理由です。 IPアドレスの意味すらわからない未経験から私の面倒見てくれた会社で、感謝こそあれど不満はなく、今後もお付き合いできるといいなーと思ってます。 今は有給消化中でして、中々できなかった事をめっちゃユルユルやってる今日この頃です。転職先は決まってます。7/1からです。 もらった花のこと 退職にあたり、壮行会をやってもらいました。 かなーーり個人的な好みですが、派手に送り出してもらう事が嫌いでして。 事務所でダラっとやってもらいました。で、花束とかタンブラーとか地元のお菓子とか色々もらいました。アジサイがきれいだった。画像取り忘れたけど。。。 ドライフラワーにしてみた 私、お花が好きでして。 月/1~2回ぐらい花買って花瓶に飾ってニコニコする程度に好きなのです。(結婚してから無くなりましたが) そして自分で買ったもんは枯れても良いんですけど、プレゼントとかでもらう分には枯れると悲しくなっちゃうタイプの人間です。 ってことで、“枯れない花” にしてみようという結論に至りました。 ハーバリウムってやつです。 用意したもの やる気 適当な紐 めっちゃ細かいシリカゲル 防虫スプレー ハーバリウム用オイル ちゃんと蓋できる100均のタッパー 飾ってよさげな入れ物(100均の予定) 手順 どの方法で乾燥させるか目星を付ける。あとやる気を出す。 乾燥方法は2つ試しました。 吊るす方式(ハンギング法) 水気を取って重ならないように平らな場所に広げる 防虫スプレーを裏表かける 紐で縛る。風通しのいい場所につるす シリカゲル方式(シリカゲル法) 水気を取る いらない茎を排除する 花を入れて、その上にシリカゲルを入れる タッパの蓋閉めて振る 気をつけたこと・失敗したこと とりあえず、虫が湧くと離婚届が出てきそうなので注意を払おうと肝に銘じました。 聞いてみたところ近所のお花屋さん曰く、基本的に購入した花は虫が沸きにくいらしいです。 家で沸くと悲しいので外でやるのがいいのかなー。って思い、外干ししてます。あと我が家は風通しがマジ悪いです。 アジサイはやる気出してる間に枯れました。。。日本は湿度的にも厳しいらしいです。(ドライインウォーター法) 乾燥中 こんな感じです。うまくできそうな気はしています。たぶん、大丈夫です。 100均の試験管には入ってるのは、シリカゲルしたは良いがヤル気が出ず、1年シリカゲルの中で放置したやつです。ついに仕上げました。 仕上がったら別記事でまた写真載せるかもです。そこも私のやる気次第ですね。出来上がったら別記事で上げます。たぶん。 その他 10日ぐらいの有給なので、やりかけのゲームをトロコンしました。董卓がかっこいいゲームは素晴らしい。 DLC含め、合計180h~200hぐらいかかったと思います。アクション系は苦手でして。。。赤兎馬取るのが一番苦労しました。 DLCはそこまで詰まった覚えないですね。 使ったもの ドライフラワー作りで使ったものを置いておきます。 シリカゲル ドライフラワー用 乾燥剤 1kg ネオマーボン 押し花・ドライフラワー用防虫スプレー(180ml) ハーバリウム オイル ハーバリウム 液 1リットル 1000ml 日本製

June 24, 2026 · 1 分 · 乳酸菌

Copy.Fail と Dirty Flag と xlabs_v1 — 侵入のリモート観測と LPE 対策、ハニーポット運用者の両輪

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 2026 年 5 月の同じ週に、こんな組み合わせを見た。 The Hacker News の xlabs_v1 ボットネット記事 → ELK で確認したら、まったく同じサブネットから 11,000 件超の攻撃を観測済みだった Copy.Fail と Dirty Flag という Linux kernel のローカル特権昇格脆弱性が立て続けに公開 後者にはまだ CVE 番号すら付いていない リモートからの侵入観測と、侵入後の権限昇格対策は、本来なら別々の話に見える。けれど自分のように VPS にハニーポットを置いている側からすると、入口(攻撃の流入)と出口(侵入されたら何が起きるか)は地続きに見える。 今回は 「公式パッチを待つ間に kernel LPE を modprobe blacklist で塞ぐ」 というシンプルな手順のメモを書く。ついでに、その動機になった xlabs_v1 の話も軽くだけ触れる。 1. 入口の話:xlabs_v1 を ELK で照合してみた 5/7、The Hacker News が xlabs_v1 という Mirai 派生ボットネットの記事を出した。ADB(Android Debug Bridge、5555/tcp)経由で IoT デバイスを乗っ取り、DDoS-for-hire(Minecraft 等のゲームサーバを標的にした 21 種のフラッド変種を備える)として運用されるやつだ。 C2 は 176.65.139[.]44(AS51396 Pfcloud, ルクセンブルク)。 ...

May 8, 2026 · 4 分 · 乳酸菌

MCPサーバを気軽にコピペしていいのかという話

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 先日、OX Security がこんなレポートを公開した。 The Mother of All AI Supply Chains: Critical, Systemic Vulnerability at the Core of Anthropic’s MCP 要点だけ書くと、MCP サーバの設定ファイルにコピペしたコマンドが、そのまま OS 上で実行される設計になっている、という話だ。 「by design」と表現されているのが肝で、バグではない。Anthropic もその設計を認めた上で、サニタイズ(要は問題が無いかの検証)は開発者の責任だと述べている。 そもそもMCPってなんだっけ?ってなったので少しだけ調べなおしてみた。 そもそもMCP サーバとは何か Claude Code 、 GitHub Copilot Chat 、Gemini CLI等は、外部ツールと連携するために MCP(Model Context Protocol)という仕組みを使う。 設定ファイルにこう書くと、 { "mcpServers": { "example": { "command": "npx", "args": ["-y", "some-mcp-server"] } } } AI クライアントが起動時にこのコマンドを実行し、サーバとして立ち上げる。 「設定ファイルを編集しているだけ」という感覚になりやすいが、実態は OS コマンドの実行権限を設定ファイルに与えている のと同じだ。 何が問題なのか command と args に何を書いても、クライアントはそのまま実行する。入力値の検証はない。これが設計上の前提になっている。 ...

April 22, 2026 · 1 分 · 乳酸菌