AI半導体株が総崩れ、時価総額1兆ドル超消失でTSMC・ASML決算に市場の視線

概要 AIブームを牽引してきた半導体関連株が急速に売り込まれ、Reuters の試算では時価総額で約1兆3000億ドルが失われる「チップ株の暴落」が発生した。マイクロン、インテル、AMD、サムスン電子、SKハイニックスなど主要企業の株価が軒並み下落し、フィラデルフィア半導体指数は10.8%下落、VanEck半導体ETFは直近10営業日で13%安、iシェアーズ半導体ETFも週間で8%下落するなど、指数レベルでも急落が鮮明になっている。下落の背景にあるのは需要そのものの減退ではなく、AIインフラ投資の投資対効果への懐疑論、ドットコムバブル期に匹敵するとも指摘される割高なバリュエーション、そしてFRBのタカ派姿勢が強まったことへの警戒感が重なった結果だとされる。 TSMCとASMLの決算に集まる注目 こうした市場の動揺のさなか、7月15日発表予定のASML、16日発表予定のTSMCの決算はこれまで以上に重要度が高まっている。TSMCは6月単月の売上高がNT$4426.8億と前年同月比68%増、前月比でも6.2%増加し、2026年上半期の累計売上高はNT$2兆404億(前年同期比35.6%増)に達するなど、ファンダメンタルズ自体は極めて強い。市場関係者はNvidia向けチップの需要を支えるCoWoSなど先端パッケージング技術の採算性に注目している。ASMLについてもLSEGの予想によれば、第2四半期の純利益は前年比8.8%増の26億1000万ユーロ、売上高は14%増の88億ユーロに達し、通期売上高ガイダンスは360億〜400億ユーロへ上方修正される可能性がある。アナリストのMehdi Hosseini氏は、ASMLの生産能力は2027年末まで実質的にすべて予約済みとの見方を示しており、好決算とガイダンス引き上げが見込まれている。 ASMLの供給制約と中国リスク ASMLにとって最大の焦点は、AIチップ製造に不可欠な最先端EUV露光装置(1台あたり約3億ドル、製造に約1年を要する)の供給制約だ。同社は2026年に低NA型EUV装置を60台出荷する計画で、これは2025年実績比25%増にあたり、2027年には最大80台まで生産能力を引き上げる方針を示している。JPモルガンのアナリストは理論上110台までの製造が可能と指摘する一方、ASML自身は「理論上90台」との見解を示しており、既存装置のアップグレードや組立・設置の迅速化といった対応策の検討も進めている。一方で中国市場は2026年売上の最大20%を占めるが、これは自動車・産業用・電子製品向けチップに使われる旧世代のDUV装置が中心で、最先端EUV装置は現時点でも中国向けに販売されていない。しかし、同盟国に対中輸出管理の足並みを揃えるよう求める米国の新たな法案がASMLを名指ししており、中国向けの最後の販売チャネルが絶たれかねないリスクとして警戒されている。 見方が分かれるアナリスト評価と今後の展望 ASMLの評価をめぐってはアナリストの見解が分かれている。Morningstarのハビエル・コレオネロ氏は、同社が掲げる2030年の売上目標440億ユーロについて「過度に保守的」だとし、自身は600億ユーロの達成も十分あり得るとの強気の見方を示す一方、KBCのトーマス・クーヴルール氏は2027年予想利益に対する株価収益率が49倍と割高であるとして「ホールド」を維持している。TSMC(Nvidia向けチップ生産)、サムスン電子、SKハイニックス、さらにはインテルの巻き返しやイーロン・マスク氏が構想する「TeraFab」計画といった潜在的な設備投資需要も、ASMLの見通しを支える材料として挙げられている。今回の株安が一時的な調整にとどまるのか、AI投資バブルの転換点となるのかは、15日・16日に相次いで発表されるASMLとTSMCの決算内容とガイダンスが大きな判断材料になるとみられている。

July 15, 2026

Google Cloud Run「Service Health」がGA、リージョン間自動フェイルオーバーで高可用性構成を簡素化

概要 Google Cloudは2026年7月6日から10日の週にかけて、Cloud Runの新機能「Service Health」が一般提供(GA)になったことを発表した。この機能は、ビジネスクリティカルなアプリケーションの可用性を自動的に管理するもので、リージョン間のインスタンスヘルスチェックに基づき、障害が発生したリージョンからトラフィックを自動的に切り離すクロスリージョンフェイルオーバーを実現する。管理コンソール上のわずか2クリックで有効化できる手軽さも特徴で、これまで複雑な構成が必要だったマルチリージョンの高可用性(HA)構成を、大幅に簡素化できるとしている。 仕組みと設定方法 Service Healthは、グローバル外部Application Load Balancer、またはクロスリージョン内部Application Load Balancerと組み合わせて動作する。各リージョンのCloud RunサービスはリージョナルなサーバーレスNEG(Network Endpoint Group)経由でロードバランサーに接続されており、Service Healthはリージョンごとの集約された健全性ステータスを継続的に評価し、不健全と判断したリージョンへのルーティングを自動的に停止して、健全なリージョンへリクエストを再分配する。 健全性の判定にはインスタンス単位の「readiness probe(レディネスプローブ)」を利用する。開発者はサービスコード内にHTTP/1(Cloud Runのデフォルトであり、HTTP/2ではない)のエンドポイント、例えば/healthのようなパスを実装し、プローブ設定のパス名と一致させる必要がある。このエンドポイントへの応答結果をもとに、各インスタンス、ひいては各リージョンの健全性が評価される仕組みだ。 前提条件と制限事項 Service Healthを利用するには、各リージョンにサービスレベルまたはリビジョンレベルの最小インスタンスを最低1つ設定しておく必要があり、異なるリージョンにまたがる最低2つのサービスが前提となる。一方で、グローバル外部Application Load Balancerおよびクロスリージョン内部Application Load Balancerにおいて、サーバーレスNEGバックエンドが5つを超える構成には対応していない点や、IAP(Identity-Aware Proxy)の設定はCloud Run側から直接行う必要がある点、サービス削除時には不健全ステータスが報告されない点など、いくつかの制約もある。 推奨されるロールアウト手順 Google Cloudは、新しいリビジョンをデプロイする際にはカナリアリージョンを使って段階的にテストし、問題がないことを確認しながらトラフィック割合を徐々に引き上げていく手法を推奨している。各リージョンでこの手順を繰り返すことで、安全にロールアウトを進められるとしている。Service HealthはCloud Runのマルチリージョン運用における可用性向上の主要な手段として、今後のエンタープライズ用途での活用が見込まれる。

July 15, 2026

ソフトバンクG孫社長「2040年に100兆規模のAIエージェントが働く社会に」、電力・データセンター投資を強化へ

概要 ソフトバンクグループの孫正義会長兼社長は2026年7月14日、法人向けイベントでの講演の中で、2040年までに自律的に仕事をこなす「AIエージェント」が100兆個規模で稼働する未来像を提示した。孫氏は、AIエージェントの普及によって社会や産業の「景色が変わる」と表現し、企業活動や働き方が今後大きく様変わりするとの見通しを示した。 インフラ投資への言及 講演の中で孫氏は、これほど大規模なAIエージェントが稼働するためには、それを支える電力供給とデータセンターといったインフラの拡充が不可欠になると指摘した。ソフトバンクグループとして、こうした需要の急拡大を見据え、電力・データセンター分野への投資をさらに強化していく方針を明らかにした。AIエージェントが実際に「働く」ためには膨大な計算資源と電力が必要になるため、AIモデルの開発競争だけでなく、それを支える物理的なインフラ整備が今後の競争力を左右する要素になるとの認識がうかがえる。 今後の展望 孫氏がたびたび語ってきた「群戦略」やAI投資への積極姿勢の延長線上にある発言として、今回の2040年ビジョンは位置づけられる。100兆個という規模はソフトバンクグループが以前から言及してきたAIエージェントの数値目標と重なるものであり、法人顧客に向けて、AIエージェントの本格的な普及を見据えた事業展開への協力を呼びかける狙いがあるとみられる。今後、電力・データセンター投資の具体的な規模や計画が明らかになるかが注目される。

July 15, 2026

米保険会社AssuranceAmericaで690万人分の運転免許証データが流出、フィッシング攻撃が発端

概要 米国14州で自動車保険や賃貸保険を提供するAssuranceAmerica(1998年設立、9,500以上の独立代理店を通じて事業展開)は、従業員を標的としたフィッシング攻撃を起点とする不正アクセスにより、約699万人(6,998,886人)分の個人情報が流出したことを明らかにした。攻撃者は2026年3月16日から17日にかけて従業員の認証情報を侵害してIT環境の一部に侵入し、氏名、連絡先情報、運転免許証番号、保険契約・口座情報、車両情報、保険金請求関連の記録を含むファイルをコピーして持ち出した。2026年内に発覚した運転免許証データ漏えい事案としては最大級の規模とされている。 経緯と対応 侵害の発覚は2026年3月17日で、流出したファイルの精査には侵害の規模と対象文書の性質から6月15日までかかった。AssuranceAmericaは侵害された認証情報の無効化と攻撃者の排除、システムの隔離、法執行機関への通報、監視体制の強化、パスワードリセット、従業員向けセキュリティ研修の実施といった対応を取ったと説明している。通知書簡は7月10日前後に対象顧客へ発送され、メイン州司法長官室をはじめ各州の司法長官事務所にも侵害の届け出が行われた。一方で同社は攻撃者からの身代金要求の有無や交渉の経緯についての問い合わせには応じておらず、公式な声明も限定的なままとなっている。現時点で法執行機関やセキュリティベンダーからこの攻撃を特定の脅威アクターやランサムウェアグループ、国家主体と関連付ける報告は出ていない。 技術的な詳細とリスク 侵入の起点は単一の従業員に対する標的型フィッシング攻撃だったとされ、これにより窃取された認証情報を使ってIT環境の一部へのアクセスが可能になった。流出データの中でも運転免許証番号は、なりすましやローン詐欺、口座乗っ取りといった二次被害につながりやすい情報として特に懸念されている。セキュリティ専門家は影響を受けた利用者に対し、強固でユニークなパスワードへの変更、可能であればFIDO2準拠の二要素認証の有効化、なりすまし詐欺への警戒、信用情報や本人確認の監視サービスの利用検討、オンラインサービスへのクレジットカード情報保存を避けることなどを推奨している。 業界全体への影響 今回の事案は、保険業界を狙ったサイバー攻撃が相次いでいる中で発生した。直近では大手保険会社Aflacの子会社が侵害され約438万人の顧客情報が流出したことが公表されたばかりであり、保険会社が保有する運転免許証番号や保険契約情報といった機微なデータが攻撃者にとって引き続き高い価値を持つ標的であることを示している。さらに、テキサス州政府機関での約300万件の免許証データ漏えいや、ホテルのチェックインシステム、送金アプリ、ビザ申請ポータルなど、身分証明書のアップロードを求めるサービスを狙った同種の侵害が近年相次いでおり、年齢確認規制の広がりとともに本人確認書類のデジタル保管が新たな攻撃対象になりつつある実態が浮き彫りになっている。

July 15, 2026

難読化ツールJscrambler、npmパッケージ改ざんでRust製マルウェアがAI開発ツールの認証情報を標的に

概要 JavaScript難読化ソリューションを提供するJscrambler社のnpmパッケージが7月11日、サプライチェーン攻撃の被害に遭った。攻撃者は盗んだnpm発行認証情報を使い、正当なメンテナーアカウントから通常のリリースフローを迂回する形でパッケージを直接改ざん・公開した。影響を受けたのは主要パッケージの8.14.0、8.16.0、8.17.0、8.18.0、8.20.0の各バージョンで、加えてJscrambler-webpack-plugin、gulp-Jscrambler、grunt-Jscrambler、Jscrambler-metro-pluginといった関連パッケージにも波及した。悪意あるバージョンにはインストール時に実行されるpreinstallフックが仕込まれており、Windows・macOS・Linuxそれぞれに対応したプラットフォーム別バイナリがドロップされる仕組みになっていた。 セキュリティ企業のSocketが公開からわずか6分後にこのリリースに警告フラグを立て、侵害を検出した。悪質なパッケージは公開から廃止までの約2時間で1,479回ダウンロードされたことが確認されている。Jscrambler社は7月13日に事態を公表し、npm発行認証情報を取り消した上でセキュリティ管理体制を強化した。 技術的な詳細 混入したマルウェアは「IronWorm」と呼ばれるRust製のインフォスティーラーで、ChaCha20-Poly1305暗号化アルゴリズムによる強力な難読化が施されており、解析による特定が困難な作りになっていた。狙われた認証情報の範囲は広く、AWS・Azure・Google Cloudなどのクラウド認証情報、MetaMaskやPhantom、Exodusといった暗号資産ウォレット、Bitwardenのパスワード管理データ、Git/SSH鍵や環境変数などの開発者秘密情報、さらにブラウザに保存されたパスワードやDiscord・Slack・Telegramのセッション情報にまで及んだ。 特に注目されるのは、Claude Desktop、Cursor、VS CodeといったAIコーディングアシスタント関連の設定・認証情報も収集対象に含まれていた点で、AI開発ツールがサプライチェーン攻撃の新たな標的として明確に狙われたことを示している。マルウェアはC2サーバー(IPアドレス 37.27.122.124、57.128.246.79)と通信する構成になっていた。 対応策 Jscrambler社および各セキュリティ研究者は、影響を受けた可能性のある開発者に対して以下の対応を推奨している。まず、パッケージを安全なバージョンである8.15.0または8.22.0にアップグレードし、ロックファイルから該当する侵害バージョンの記述を削除する必要がある。さらに、悪意あるバージョンをインストールした形跡があるマシンについては環境がコンプロマイズされたものとみなし、AWSやクラウドサービス、暗号資産ウォレット、AI開発ツールを含むあらゆる認証情報を速やかにリセットすることが求められている。また、前述のC2 IPアドレスへの通信をファイアウォールやネットワーク監視でブロックすることも有効な対策として挙げられている。 今回の事件は、正規のメンテナーアカウントが侵害された場合、通常のコードレビューやリリースプロセスをすり抜けてマルウェアが配布され得ることを改めて示した。加えて、AIコーディングツールの認証情報が明確な攻撃対象になっている点は、開発者のワークフローに深く組み込まれつつあるAIツールのセキュリティ管理が今後より重要になることを示唆している。

July 15, 2026

15年来のLinuxカーネル脆弱性「GhostLock」発覚、約5秒でroot権限奪取可能に

概要 「GhostLock」と名付けられたLinuxカーネルの脆弱性(CVE-2026-43499、CVSSスコア7.8)が明らかになった。2011年以降にリリースされたほぼすべての主要Linuxディストリビューションに存在しており、ログイン済みの一般ユーザー権限さえあれば、特別な設定やネットワークアクセスなしに、約5秒・成功率97%という高い信頼性でroot権限を奪取できる。サーバーやデスクトップだけでなく、クラウドインスタンスやコンテナホスト、Androidを含むLinuxベースシステムも影響対象に含まれ、コンテナエスケープも可能であることから、実運用環境への影響は大きい。 技術的な詳細 脆弱性の実体はカーネルのrt_mutexコード内に存在するUse-After-Free(CWE-416)で、futexサブシステムのロック優先度継承処理を通じて発動する。具体的には、ロック操作がデッドロック状態に達して処理を撤退する稀なケースにおいて、メモリのクリーンアップが誤ったタイミングで実行され、既に解放・再利用されたメモリ領域を指すスタレなポインタが残ってしまう。攻撃者はこれを突くことで、任意のローカルプログラムから通常のスレッド呼び出しのみで権限昇格を達成できる。CVSSベクトルはAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:Hで、ローカルアクセスを要する点を除けば機密性・完全性・可用性のすべてに深刻な影響を与える。 この脆弱性は、Nebula SecurityがAI駆動型のバグハンティングツール「VEGA」を用いて発見し、Googleの kernelCTF バグ報奨金プログラムを通じて9万2,337ドルの報奨金を獲得した。研究者らは概念実証(PoC)コードも公開している。さらにNebulaは、Firefoxブラウザのサンドボックス脱出脆弱性CVE-2026-10702とGhostLockを組み合わせた「IonStackチェーン」と呼ばれる多段階攻撃も実証しており、Android端末上のFirefoxから完全なシステム制御を奪取するデモンストレーションに成功したという。詳細なレポートは後日公開予定とされている。なお、同時期にはfutexの優先度継承メカニズム周辺で類似の脆弱性「Bad Epoll」(CVE-2026-46242)も発見されており、自動化ツールによる古いコード領域の再検証の重要性を示す事例となっている。 対応状況と今後の展望 修正パッチは2026年4月に公開され、コミット3bfdc63936ddとして各ディストリビューションへの展開が進められている。ただし、当初のパッチだけでは不十分なケースがあり、別の不具合CVE-2026-53166が原因で、完全な修正は7月時点でもLinuxカーネル上流で調整が続いている状況だ。Ubuntu 24.04、22.04、20.04 LTSなど主要ディストリビューションでも、7月時点で脆弱性が残るか修正が進行中と報告されている。 有効な回避策(ワークアラウンド)は存在せず、カーネルアップデートの適用が必須とされる。RANDOMIZE_KSTACK_OFFSETやSTATIC_USERMODE_HELPERといったカーネルオプションは緩和効果を持つに過ぎない。専門家は、クラウド環境やコンテナ、CIランナーなど攻撃対象になりやすいシステムを優先的にパッチ適用するよう推奨している。PoCがすでに公開されていることから、迅速な対応が求められる。

July 14, 2026

Anthropic、インド市場向けにClaudeをルピー建て料金でローカライズ

概要 Anthropicは、Claudeの利用料金をウェブサイトおよびモバイルアプリでインドルピー建てで提供開始した。インドはClaudeの全世界利用の5.8%を占め、米国に次ぐ第2位の市場となっている。価格に敏感なユーザーが多いインド市場では、これまでドル建て課金による為替変換の手間や心理的な障壁が指摘されており、現地通貨建てプランは長らく求められていた施策だった。 新プランでは、Claude Proが年間契約で月額換算2,000ルピー(約21ドル相当)となり、米国内価格の17ドルよりも高い水準に設定されている。上位プランのClaude Maxは月額11,999ルピー(約125ドル相当、米国内は100ドル)、チームプラン(Team Plans)は1シートあたり月額2,399ルピー(約25ドル相当、米国内は20ドル)となっており、いずれもインド国内の税金を含んだ価格である。なお、モバイルアプリ版の価格はウェブサイト掲載価格と多少異なる場合があるという。 決済手段の課題 今回のローカライズでは、支払い方法としてカード決済とApple・Googleの各アプリストア課金のみに対応しており、インドで広く普及している即時決済システム「UPI(Unified Payments Interface)」には現時点で対応していない。競合のOpenAIは2025年8月の時点でChatGPTのインドルピー建て価格導入とあわせてUPI対応を実現しており、この点でAnthropicは後れを取っている形だ。UPIはインドの日常的な決済手段として定着しているため、対応の有無はユーザーの利用体験に直結する要素となる。 背景にあるインド市場戦略 Anthropicは2026年2月にベンガルールにオフィスを開設し、Microsoft India出身の人物を要職に起用してインド市場での事業拡大を進めてきた。またインフォシス(Infosys)やタタ・コンサルタンシー・サービシズ(TCS)といった現地大手IT企業とも提携し、エンタープライズ向け導入を後押ししている。今回のルピー建て料金導入は、こうした一連のインド市場強化策の延長線上にあるものであり、今後UPI対応が実現するかどうかが、価格に敏感な同市場でのさらなるユーザー獲得の鍵を握りそうだ。

July 14, 2026

Bun、Claude Fable 5で53万行のZigコードを11日間でRustへ全面移植

概要 JavaScript/TypeScriptランタイムBunの開発チームは7月8日、もともとZigで書かれていたランタイム本体、約53万5000行のコードをRustへ全面移植したと発表した。Anthropicに買収されたBunチームの一員であるJarred Sumner氏によるブログ記事で明らかにされたもので、作業には最大64個のClaude Fable 5インスタンスを同時稼働させるClaude Codeの動的ワークフローが用いられ、2026年5月3日から14日までのわずか11日間で完了したという。コミット数は6,502件、追加行数は約100万行に達した。この事例は、AIエージェントを並列活用することで大規模コードベースの全面書き換えという従来避けられてきた手法が現実的になった例として、Simon Willison氏など複数のメディアが取り上げ注目を集めている。 移植の背景 BunはこれまでZigの手動メモリ管理とJavaScriptCoreのガベージコレクターを組み合わせて実装されていたが、この構成がuse-after-free、double-free、エラーパスでの解放漏れといったメモリ安全性のバグを継続的に生む原因となっていた。Rustのボローチェッカーはこれらの問題の多くをコンパイル時エラーとして検出できるため、安定性向上を狙って全面的な言語移行が選択された。Simon Willison氏は、従来のソフトウェア開発では大規模な完全書き直しはリスクが高く避けるべきとされてきたが、現代のAIモデルの能力がこの前提を変えつつあると指摘している。 実装プロセス 移植は単発のプロンプトでコードを変換するのではなく、体系的なパイプラインとして構築された。まずPORTING.md(ZigからRustへのパターン対応表)とLIFETIMES.tsv(複雑な構造体のライフタイム分析)を準備し、全1,448個の.zigファイルを機械的に.rsへ変換。その後発生した約1万6000件のコンパイルエラーを段階的に修正し、テストをローカルからCIへと順次拡大しながら検証した。品質保証の要となったのは、実装を担当したエージェントとは別のコンテキストで動作する2つのClaudeによる「敵対的レビュー」と、TypeScriptで書かれた既存テストスイートを言語非依存の適合性検証スイートとして活用した点である。全体では約50の動的ワークフローが連続して実行され、入力トークンは59億、出力トークンは6.9億に上り、API利用コストは推定16万5000ドルと見積もられている(Anthropic社員という立場からトークン費用は実質負担していないという)。 成果と今後の展望 移植の結果、バイナリサイズはLinuxで20%、Windowsで19%削減(Linux版は88MBから70MBへ、Windows版は94MBから76MBへ)されたほか、HTTPスループットが2.8〜4.8%、TypeScriptコンパイルが4.7%向上するなど性能面でも改善が見られた。メモリ使用量では、2,000回の反復ビルドテストにおいてZig版が6.7GBを消費していたのに対し、Rust版は609MBにまで抑えられたという。移行後に発覚した回帰は19件のみで、HMR破損やUTF-16処理の差異など軽微なものにとどまり、いずれも迅速に修正された。128件のバグ修正やメモリリーク問題の根本的解消も報告されている。今回Rustで書き直されたコードは「Bun v1.4.0」として最初にリリースされる予定で、今後はパーサーの24時間体制でのファジングや、現在4%残るunsafeコードの段階的削減が継続される見込みだ。

July 14, 2026

GoogleのAIアルゴリズム発見エージェント「AlphaEvolve」がGoogle Cloudで一般提供開始、TPU設計からサプライチェーンまで実績続々

概要 Googleは7月9日、Gemini基盤のコード最適化・アルゴリズム発見エージェント「AlphaEvolve」を、Google CloudのGemini Enterprise Agent Platform上で一般提供(GA)開始したと発表した。AlphaEvolveは、従来の手法では網羅しきれない広大な探索空間を系統的に探索し、人間のエンジニアが試みないような実装案を発見することで、半導体設計、物流、ゲノム解析、HPC、金融サービスなど幅広い領域の最適化問題を解決するツールとして位置づけられている。Google自身も、次世代TPUのシリコン回路レイアウトの最適化や、分散データベースSpannerのコンパクション処理におけるログ構造化マージツリー(LSM-tree)の圧縮ヒューリスティクス改善に活用しており、書き込み増幅を20%削減するなど自社インフラの効率化にも役立ててきた実績がある。 仕組みと導入プロセス AlphaEvolveの利用は「Define(定義)→Measure(測定)→Optimize(最適化)→Apply(適用)」という4ステップで進む。利用者はまずベースラインとなるシードプログラムと、正確性やパフォーマンス、運用制約などを踏まえたスコアリング関数(評価スクリプト)を用意する。AlphaEvolveのAPIはこのシードプログラムに対して変異させた候補コードを生成し、クライアント側でその候補をコンパイル・テストして得たスコアをAPIにフィードバックする、というループを繰り返すことで徐々に優れた実装へと進化させていく。開発者はドキュメントサイトやGitHubリポジトリ(Google-Cloud-AI/alphaevolve-on-googlecloud)のColabサンプルから始められるほか、AntigravityやClaude CodeなどのIDE上でAlphaEvolve Skillとしてエージェント的なワークフローに組み込むことも可能で、Google Cloudコンソールから無料トライアルで試せる。 企業導入事例 GA開始にあわせて、多様な業界での導入事例も紹介された。化学大手BASFはサプライチェーンのデジタルツインを構築し既存モデルの精度を80%以上改善、ECサイトのCoolblueは28日間の需要予測パイプラインを自動最適化しWMAPE(加重絶対誤差率)を5%以上改善した。物流企業FM Logisticは倉庫内ルーティングを10.4%効率化し走行距離を15,000km以上削減、金融サービスのKlarnaは再現性の制約が厳しい環境下で機械学習トレーニングパイプラインのスループットを2倍に高めた。創薬・分子シミュレーションのSchrödingerは分子発見速度を4倍に高速化し、サプライチェーン管理のKinaxisは予測精度を22%以上改善しつつランタイムを90%以上短縮するなど、成果は業界を問わず多岐にわたる。このほかJetBrainsのIDEパフォーマンス最適化(15〜20%高速化)や、量子コンピューティング企業Qbraidによるエラー訂正符号の改良、NVIDIA AI Configuratorを用いるPebbleのGPU推論サーバーでのエラー56%削減なども報告されている。 今後の展望 Google Cloudのチーフサイエンティストで、Google DeepMindのサイエンス担当バイスプレジデントも務めるPushmeet Kohli氏は、「AIは単なる生産性向上ツールから、達成可能な成果を拡大する発見エンジンへと進化している」と述べ、AlphaEvolveのようなツールが複雑な計算探索空間を自律的に探索することで、研究者やエンジニアの直感を補うブレークスルーの発見を後押ししていると強調した。Googleは、TPUやSpannerといった自社インフラの最適化に加え、自然災害リスク予測や量子コンピューティングなどの科学研究領域、金融・半導体・製造業といったエンタープライズ領域でも、すでにAlphaEvolveの活用が広がっていることを紹介した。

July 14, 2026

Progress ShareFile、正体不明の脅威でStorage Zone Controllerの緊急停止を顧客に要請

概要 Progress Softwareは2026年7月10日、ファイル共有サービス「ShareFile」のオンプレミスコンポーネントであるStorage Zone Controllerを標的とした「信頼性の高い外部からの脅威(credible external security threat)」を確認したとして、顧客に対しWindowsサーバーの手動での緊急停止を要請した。同社は予防的措置として一部のShareFileアカウントを一時的に無効化しており、Storage Zone Controllerを利用する顧客はShareFileへのアクセスができない状態が続いている。Progressは「Progress ShareFileのアカウントやデータへの不正アクセスを示す痕跡は確認していない」としているが、脅威の具体的な内容や攻撃者の正体については明らかにしていない。 技術的な詳細 Storage Zone Controllerは、ShareFileのクラウドプラットフォームと顧客が管理するオンプレミスストレージとの間でファイル転送を仲介する、顧客管理下のWindowsサーバーだ。ユーザーがファイルをアップロード・ダウンロードする際、ShareFileはリクエストをこのControllerへ振り分けてファイルの保存・取得を行う構造上、インターネットからアクセス可能な状態で運用されるケースが多い。Progressはパッチ適用ではなく手動でのサーバー停止を求めており、これは既知の脆弱性に対する修正プログラムがまだ存在しないか、あるいは盗まれた認証情報や侵害されたインフラといったパッチでは対処できない性質の脅威である可能性を示唆している。Help Net Securityの報道によれば、セキュリティコミュニティの一部では、CVE-2026-2699とCVE-2026-2701という2件の脆弱性を組み合わせることで、未パッチ環境において認証前のリモートコード実行(pre-auth RCE)が可能になるとの未確認の推測が広がっているという。ただしProgressはこの原因について公式には確認していない。 背景 今回の対応は、2023年にCitrix(当時のShareFileの運営元)がStorage Zones Controllerの未認証脆弱性CVE-2023-24489を悪用された事例を彷彿とさせる。Progressは2024年にShareFileを買収したが、その前にはClop恐喝グループが自社製品「MOVEit Transfer」のゼロデイ脆弱性を悪用し、数千の組織に影響を及ぼした大規模インシデントも経験している。エンタープライズ向けファイル共有製品が繰り返し標的とされてきた経緯があり、今回もその延長線上にあるとみられる。 影響と今後の見通し Storage Zone Controllerを利用するShareFile顧客は現時点で業務に支障が出ており、Redditなどでは顧客からProgressの情報提供の少なさや復旧時期の不透明さに対する不満の声も上がっている。Progressは社内外のセキュリティ専門家と協力して脅威の評価を進めており、当初は24時間以内の続報を約束していた。アクセスは段階的に復旧されつつあるが、脅威の正体やサーバー再稼働の許可時期について、顧客への正式な説明が待たれる状況だ。

July 14, 2026