【サポーターコミュニティへの加入はこちらから！】 yurugengo.com/support 【おたよりフォーム】 forms.gle/BLEZpLcdEPmoZTH4A ※皆様からの楽しいおたよりをお待ちしています！

「ノーコードに頼るとレールから外れるのが大変」とかそういう話かと思ったら 玄関にドアついてないレベルの大穴があるとは……

エンジニアはノーコードツールあんまり使わないから、こんな脆弱性あるよ〜ってのが広まらないんだろうな

予想の100倍ヤバかった。このチャンネルの性格上、茶化して話してるけど、コレは普通にダメだ。

まさに「決めつけの刃」ですね。濃厚な動画でした（ノーコードだけに）。

AIを使って定型の文章を作る時も「ここちょっと変だな……」って手直しする程度の国語力は人間側に必要なので 一からコード作れる人じゃないとノーコードツールを利用するのは難しいってことですね

攻殻機動隊の荒巻課長の名言「知らないものは探さない」

有料部分見れるサイトあるある〜 と思って笑って観てたら、想像してたより脆弱で笑えなくなったw

よくニュースで「個人情報が誰でも閲覧できる状態になっていました」というのはこういうことなのかもしれないですね。 どう作るとそうなるんだろうと思ってた。

前回の時に闇と言われてたので、「もしかして開発者ツールで非表示部分読めちゃった…？」と思っていたのですが、その比じゃないやばさでびっくりした。笑 こうなってくるとノーコードツールはプロトタイプツールとしてしか使えないなぁ…。

サポコミュと言う名の監修者が優秀すぎる😂

ある程度詳しい人がノーコードアンチになってるせいで未開の地になって脆弱性が指摘されることも無いのかなって思いました。

このバズりそうな回をきれいにまとめる堀元さんの手腕。

大学の課題でwebの選択問題を出された時、開発者ツールで正解わかったりしたなぁ

このあたりの話って、「少し低レベルの話も頑張って理解しよう」という気概がないと、 結構職業プログラマもやってたりするんですよね……。 見かけるたびにヤバそうだと上に伝えたりしていましたが、 あまりお作法に明るくない分野、フレームワークだと自分もやっていたのではないかと思います。 ああ怖い。

このチャンネル本当良いな。 褒めるか貶すか最初から決まってるレビューとか本当意味無いからな。 サービスを使ってから良し悪しを判断して教えてくれるの最高。

「考え抜く時間がない」 なんかITだけの話じゃないように感じたなぁ…

楽しみに待っていました！ 現在の計算機科学でもこのような観点で設計の正しさを検証する手法はいくつかありますので、今後うまく組み込まれていくと良いですね。

IT詳しくなくてもサービス作れます！からの緩いデフォは攻撃者にとってボーナスタイム。

これノーコードツールを片っ端から脆弱性診断してみたって企画バズりそう

"なまじ、動いてしまう" … は、(確かに、いろいろと、) 怖いことだな。

noteでもソース見たら記事を更新した人のIPアドレスそのまま載ってるなんて事件ありましたね〜…

一時期、IFTTTみたいな自動化・連携ツールが流行りましたね。機能改悪と有料化で一気に利用者が減った感がありますが。

決め付けの刃ってことやね

セキュリティ柱の煉獄杏寿郎さんとノーコード柱の富岡義勇さん

昔、総務から来た給与関係のお知らせエクセルの非表示シート見たら全社員の給与見れて絶句したんだよなー 一応xlVeryHiddenになってたけど…

「勝手にいいようにしといてくれる」が結構問題だらけだったり、最適化の余地があったり、メモリ的によくないとかあったりするから、自前でなんとかする変態がそこそこいる

さすがに全部のノーコードツールがガバガバということでは無いでしょうが、”気付ける機会を奪われる”ってのは要注意ですね。この辺を差別化のタネにして「うちはセキュリティ重視」とか「社内システム専用だから軽量簡易」とかいう売り方もあるかも？？

これ見るくらい意識高くても、知識の差で人によって問題点がちゃんと伝わってなさそうなのが闇だ 高すぎるリテラシーが求められる世の中になった

責任の所在がわからなくなるのも怖いなぁ 他の分野でもよくあることだけど

冒頭、ゆる陰謀論ラジオが立ち上がったのかと思った

Googleのスプレッドシートとかも昔はデフォルト公開だったよね

非機能要件（パフォーマンス、セキュリティ）を別のアルゴリズムが検証してくれる仕組みがあればいいですね

人後に落ちない臭さの所で、フランスのエポワスというチーズの臭さを「神様の足のにおい」ということを思い出しました。

知り合いがサービスリリースしたら「よっしゃ脆弱性探したろ」というエンジニア特有のノリ

大丈夫。実名を書いても公益性があるし、真実（相当）性もあるので、訴訟リスクが顕在化しても十分戦える！

うちの会社が業務効率性のもとに全くの素人たちが勝手にノーコードツールを使ってシステム構築をどんどんさせているので、そのうちこの爆弾が破裂すると思ってる。上はそれを良しとして、素人達を表彰してて危なっかしいことこの上ない。

コメント欄でノーコードに脆弱性があるように捉えられていますが、 ノーコードの脆弱性でなく、 ノーコードで作ったサービスの脆弱性って動画でもそう説明しています。サービス設計者の不注意とツールの不親切さによるものです。

これは妄想だけど。 「ユーザー登録」などを行わないサイト経営などを原初は想定していて、 後乗せで色々な機能をいくら丼的に乗せていった結果、 既存のセキュリティ設定が必要無いDBをそのまま使用して「ユーザー登録」という機能をDBの大元を作った人と違う人が作成し、 後々セキュリティホールに気付いたが、既に運用している部分に影響があるせいで後付けでセキュリティ設定を行うように改修をするしかなかったんだろうな って思った。妄想だけど。

前半と後半の構成いいなぁ

よく生成AIでコード作ったりしてるけど，確かに思わぬ落とし穴あるかもなぁ

設定を変えたら、ってことは提供機能としては理想的な設定をしていれば問題なく利用できるようになっているから脆弱性はない、っていう主張をベンダー側はするんだろうな。

思ってた数倍ヤバくて震えた。 前回の動画に載ってるスクショで会社名チラ見えしてるなんて言えやしないよ。

ツールが無い時代でも人間のミスでフルオープンになる事故が多発していたことを考えると これが問題となって廃れるより洗練されて脆弱性の検証まで自動化されるのがベストな気がする

すべて堀元総理のおっしゃる通りだと思います。すべて追従しますので、次の大臣の席をお願いします。

導入をふざけ散らかしてる回、特別感あってめっちゃ好き〜

（語弊がかなりある言い方ですが）Webサービスの脆弱性情報は公開情報（CVE）になるケースは少ないです。 なので、Web Service名 + 脆弱性と調べてもあまり出てこないはずです。

20:36 ここって言いたいことはそうだと思うが、今の日本は聞く耳を持たない状態なのが問題だなと思ってしまった

ノーコードに留まらず含蓄があって思いの外良い回だった

楽しみに待ってました

ノーコードに限らず、JRかどこかの会員制サイトで似たような事例があったような… 普通にシステム作る上で認証認可は大事なポイントですね

ホリモトさんとサポーターコミュニティが「バクマン。」の集団の力で作家になるキャラみたいに見えてきた…。

アダルトサイトとか結構脆弱なところが多くて管理者ツール使うと色々できることがある

『（ちゃんと全ての設定を漏れなく正しく設定すれば）脆弱性はない』ってのが…

似たようなツール導入した直後に同じ問題に気づいて慌ててIPアドレス制限かけたの思い出したわ

ノーコードは開発の初速は速いけど、細かい仕様をコントロールできないから、開発者としては全くもって運用しずらい。

10:48 堀元さんの失敗例え、添削してみます 見た目も機能もキレイにできてるけど、実は重要情報漏れちゃう話なので オーダー通りサイズぴったりの白い Yシャツで試着時には気づかなかったけどしばらく着てると体温やら汗の湿気やらで乳首透けてきちゃった どうでしょうか😊

プログラムに使うはずの浮いた時間を脆弱性チェックに使えるとしたら 効率的なのかも

初めて有意義な内容。

「逃げて得なわけないのに｣、というコメントもありますが、アメリカだと ①州ごとに警察の能力もやる気も違う ②刑罰が重すぎて生活に余裕が無いと「人生が詰む」ことがある ③特に貧困層や人種によっては法執行機関が「人種や出自によってフェアに裁決を下してくれるとは限らない」と恐れている ことで、立場によっては博打に出るしかない、と追いつめられてしまう人もいるんじゃないかと思いました。

プロジェクト立ち上げ時には開発計画と共にテスト計画も立てるのですが、 ノーコードツールを使用した場合は、この 2 つの乖離が大きくなりますね。

ゼロデイ攻撃を防止するために、ノーコードツールのサービス提供者に連絡したほうがいいと思いますよ。

仕様を熟知せずツールを使うと発生するケースで、ノーコードに限らない気もする

考える時間がなく世の中に放たれた物を土台にして動いていく危うい社会になりそう

堀元さんがやってることって、実質バクマンの七峰透と同じなんだと思った。

これって今後AIを使う場合にもあてはまりそうですね、いまは割と注意しながら使ってますが、AIが賢くなるにつれ信じてしまうみたいな。。。。　良い教訓になりました

前回の話からOSSとのアナロジーを使ってる人いたけど、今回のは特にそうだな いつか、早く作れるメリットとリスクを天秤にかけなくちゃいけない日が来るんだろうな

今回はユーザー情報だけど会社の機密とか登録してたら全部流出しちゃうのか、怖いな

ノーコードツールと言う通りコードの部分で初心者がやりがちなバグは無いけど、動作仕様の実装部分はしっかり指定してねって話ですね デフォルトが安全側では無くどんな環境でも取り敢えず動くって仕様は、流石にどうかと思いますが

標準仕様なら標準仕様がこうだと公開すれば良いのでは。非公開が会社の被害を回避するために被害者を増やすことになりかねない

待っておりました…まじセキュリティ問題だった…議会民主主義大事…ほんとに過去のすべての形式よりまし…

このツールの脆弱性を語る記事が一部有料だったんだけど、HTML見たらもろ全文乗ってて面白かった 内容は有料部分見れる方じゃなくてユーザー一覧取れる方だったから、ちょっと惜しい

一昔前でどこだったかは覚えてないですが、登録をしないと見れないはずの文字情報が開発者ツールから読めるサイトはありました（後半有料のニュースサイトだった気がする）

待ってました！

いやいやいや、マジか、こんなバカな仕様ならログイン機能なんかつけるな、って感じです（ユーザたちがノーコード機能をいじって無理やり作ったら自己責任といえますが） 罪に問われるほどの重過失を感じます。「より安全な設定もある」じゃ責任逃れできないはずです。実名を今公にさらすのはよくないですが、開発元に連絡したほうが良いでしょう。 弊社が作っているノーコードツールはさすがにこんながばがばではありません。ただ、企業用で、できることが多いようで限られていて、「誰が使うねん」って思うことはあります。

製造ははしょれても、要件定義、設計、テスト、特にセキュリティ要件はしっかり確認しなきゃいけないという学び。そして製造から経験しないと、他の工程もなかなか習熟度は上がっていかない。 ただ、この手の穴で過剰反応して日本のノーコード利用が減って、海外の悪かろう安かろうのシステムに生産性で負け続けると競争力が落ちる、という不安もある。

この動画を見たノーコードツール制作会社の方、今ごろ自分の会社じゃないかとアワアワしてるのかしら

導入部分の堀元さんのしゃべり方、飯田さんに似てるww

ローコードですけど業務で使っているツールで、さくっとプロンプトインジェクション起こせたので、 まあ他人の作ったものは信用しちゃダメですね

近年のノーコードで量産された脆弱性のあるサイト、片っ端から個人情報抜かれてるんじゃないですかね クラッカーがわざわざ盗んだこと申告しないでしょ

誰でもポンポン作れてしまうことによるリスクは生成AIでまた増えていく気がします

序盤だけBGM違ってて笑う

これ今あるノーコードツール片っ端から調査したら割とヤバめのことになりそうだなあ。 14:25 でいってるみたいに負荷さげてかつユーザーがちゃんと読むこと前提で設定できますってしてるんだろうけど、「書いてあるのに読まないほうが悪い」で通せる仕様かというと今の御時世……

15:07　社会悪として吊るし上げしたいわけではないと仰っていますが、不親切で危険な設計ではあるので周知することは大事だと思うのですよね。ただ、この動画は影響力大きいから変に攻撃的な人の矛先になることもあるわけで・・・難しい・・・

ドラえもんの道具はノーコードツールですよね。ドラえもんは2112年生まれなのであと87年。あと87年のうちに脆弱性の発見と対策されて子供でもつかえるようになるんだろうなぁ。

上場企業の財務諸表や計画書のお漏らしという笑えない事態もありますね

パターナリズムって一昔前に話題になった宗教二世の方の事を考えると凄く納得した。

有料登録を続けないと作ったアプリなりサイトなりの機能を維持できない、という話がくるのかなあと思っていました。

これは非常に教訓として価値が高い動画でした。

やっぱ自分で作ったものしか信頼しちゃダメなんだなって思える動画だった。 でもこれ、生成AIでも同じ事言えると思いました。 そういう意味では教材として良い動画だと思いました。

その点noteの有料記事なら安心して悪口記事が書けるよな！

待ってました

飛行機の操縦士の話、ブラックボックスの回で言ってたような…？

AIで作っているときも似たようなこと起きますね。 不要な修正されて脆弱性になっていたりする。

テストしてない機能はゴミだってじいちゃんが言ってた

ツールをウェブ上で使えるようにしたら不味そうですね。 イントラ上で使えるくらいで留めておかないと

地方自治体の職員がノーコードツールで自作したアプリとか、うれしそうに記事になってるけど、大丈夫かな。

家電量販店で「お店の人がいってるから大丈夫」という人が居ます。しかし自分が詳しい分野の商品説明を家電量販店の店員さんから聞くと「何言ってんだこいつ」状態になることが多々あります。 ノーコードツールは敏腕エンジニアが作ったから…と言う部分、誰から見て「敏腕」なのか、おそらく素人よりも敏腕ってだけの可能性も否めない気がしてきました。

15:24 これPaaSとかでも言えるけど、自分AWSという権威に盲目的に追従しちゃってます

話はちょっと違うけど、おざなりで、なおざりな コンテンツ管理に遭遇したことがあったなぁ。 某役所のWebサイドで、「ゴミの回収」というリンクを進むと、ゴミ回収の担当部署の情報ではあるが、 ゴミ回収とは関係ないページが出てきた。おそらく… 「このフォルダにファイル置けばブラウザで見えます」→「部署から公開するものは全部そこに置いてしまえ!」