マジかよ！Oracle、サイバー攻撃を隠蔽しようとしてるってマジ！？顧客への情報隠し疑惑浮上！

広告は見たことないけど、Oracle Cloudは間違いなくパブリッククラウドの中で一番無料枠が太っ腹だよね。だからって信用して使うべきとは言わないけど、多くの人が使う理由はわかる。

タダより高いものはないって言うじゃん。マジで金がないならわかるけど、サーバーを何度もプロビジョニングしようとしてエラーが出続けるのって、マジ勘弁って感じ。月7ドル払ってそんなのとはオサラバだわ。

APIとPython使って自動化できるよ。パズルゲームみたいで面白いし、無料枠にはマジ感謝してる。IPv4アドレスもIPv6プレフィックスも複数もらえるし、UEFIで起動するし、NixOSとかZFSも動かせるし、シリアルコンソールもSSH/VNCで使えるし。ドイツだと接続もいいし、10TBもあれば十分。マジで使うかって言われたら微妙だけど、ARMの箱でKubernetesとか動かすのは面白いし、他でやったら10-20€はかかる。

無料のARMインスタンスをセットアップするためにAPIを呼び出すスクリプトを組んでて、OSを変えるためにインスタンスを削除した後も、毎時間実行してたんだけど、全然ダメだった（いつも容量不足で、リージョンも変更できなかった）。Oracleのバグか、リソースを使っているように見えてたのか、どっちにしてもクラウドインフラとしてはありえない。

俺のマルチクラウド戦略は、色んなプロバイダーの無料枠をフル活用すること。

他のプロバイダーの無料枠をまとめるクラウドプロバイダーを作るのって、面白そうじゃね？

＞”enterprise sales process”
Oracleって、企業の意思決定者をストリッパーとかカクテル、ドラッグで篭絡する、超胡散臭い営業組織として有名だったりするの？

マジメに言ってるのか、世間知らずなのか全然わかんねーや。マジでOracleはそういう会社だよ。CTOがゴルフとか高級レストランで接待されて、エンジニアチームの意見なんて無視して導入が決まるんだって。カネ持ってそうなら、エロい店にも連れてかれるかもね。写真撮られたり、ホテルに盗撮カメラ仕掛けられたりしてそう。マジでよくある話。

＞マジメに言ってるのか、世間知らずなのか全然わかんねーや。
どっちでもないけど、強いて言うなら若いってことかな。そんなマンガみたいな話、マジであるの？

そういうの、ビジネスの世界じゃよくあることだよ。よくある話の典型例みたいなもん。全部の会社じゃないけど、昔からよくある。映画『Wolf of Wall Street』で描かれてることも、オリジナルの話じゃないんだって。捕まって有名になっただけ。防衛産業とか金融業界じゃよくある話。schmoozing（おべっかを使うこと）ができない理由なんてないんだよね。

Gavrilo Principがカフェに行った話とか、みんな書いてるじゃん。サンドイッチにスキャンダルがあれば、みんな書くし読むって。

Fortune 500のCTOになれる器だな、君。

これ、結構面白い反論だな。
＞2000年、Oracleは探偵を雇って組織のゴミを漁らせたことで注目を集めた。Ellisonは、もし他の人がOracleのビジネス活動を調べていたらどう思うかと聞かれ”Redmondにゴミを送って、調べてもらえばいい。完全な情報開示を信じている”と語った。

＞…盗撮カメラ仕掛けられたりしてそう。
AIのおかげで、そういう手口はもう通用しなくなるかもね。deepfakeでいくらでも動画作れるようになったら、オリジナルの動画なんて意味なくなるじゃん。

そんな話初めて聞いた！そういう側面があるなんて知らなかった。みんな嫌ってるけど、法的な面だけでも嫌う価値あるよね。

マジかよ。セキュリティ事故って、ここ数年でマジでよくあることになっちゃったじゃん？だから、もし正直に認めてたら、数日でみんな忘れちゃったかもなのに。なのに、どんどんヤバいことになってる気がする。
セキュリティ事故を軽く見てるわけじゃないけど、それが現実なんだよね。もしセキュリティ事故があった時に、ちゃんと教えてくれない会社なんて信用できないじゃん？Oracleは何がしたいんだろ？
まさか本当に何もなかったと思ってる？ログとか確認してないのかな？嘘ついてるとしか思えないんだけど。
こんなに必死に否定する会社、最近見たことないかも。特にArs Technicaによると：
＞Oracleにコメント求めたら、匿名ならコメントできるって言われたらしいよ。断ったら、ノーコメントだったって。

もはやOracleと契約する理由なんて、まともな状況じゃありえないんじゃない？政府の契約とか、裏金ありのとか、すでにOracleに縛られてるとか、技術わかってない役員が契約しちゃったとか、そんな感じじゃない？

ウィスコンシン州政府の仕事でOracleのデータベースを何百も統合してOracle EXADATA11サーバーに入れたんだけど、EXADATAはOracleしか動かないハードウェアなのに、VMware上のOracleより数十倍速いってOracle DBAが言ってた。

嘘つけ。Exaに移行する前は3つ環境あったのに、移行したらコスパ悪すぎて2つに減らされたわ。でもOracleだから、いつものこと。

コスパの話じゃなくて、VMと比べてパフォーマンスが良いって言っただけだよ。俺もOracle嫌いだけど、EXADATAはすごいハードウェアだよ。RAMもたくさんあるし、Infinibandネットワーキングもあるし。ストレージコントローラーにクエリをプッシュして、転送するデータを減らすこともできる。

確かにすごいけど、同じくらいの値段でPostgres使って、もっと良いハードウェア買えるよ。内部の冗長性はあるけど、それ必要？それに、クラスターの性質上、単一のデータベースとは違って、予想外のことが起こることもあるし。

DB2 on IBM z/OSもめっちゃ高いよね。

いや、ほとんどは変化を嫌がる会社だよ。動いてるならそのままにしとけ、みたいな。たとえもっと良い技術が普通になったとしてもね。今回の件で、Larry Ellisonのクソみたいなものから離れる気になるかもね。

動いてるならそのままにしとけ、っていうのは良い考え方だよね。でも、それが今の良い選択肢とは限らないけど。変化にはリスクがつきものだし、それに見合うかどうかを判断するのが難しいんだよね。
今回の件で、Larry Ellisonのクソみたいなものから離れる気になるかもね。
良いきっかけになるかもね。つまり、すべてはうまくいってるのかも。

まあ、わかる。車みたいな具体的なものなら、わざわざ作り直す必要ないよね。でも、技術は進化が早いじゃん？もしより優れた技術（例えば、もっと安全な技術）があるなら、多少面倒でも（色々動かす必要がある）、この手のクソを避ける価値はあると思う。

技術が優れてるかどうかの判断って、ほとんどの会社はマジで下手くそなんだよね。ヒドい場合は、その技術がめっちゃ劣ってるかどうかも判断できない。会社は自分たちのやってることは分かってても、自分たちと技術の間の抽象化レイヤーについては理解してないことが多いんだよね。システムが古くて、作った人がもういないってのもよくある話。システム移行には金がかかるから、先延ばしにしたがるんだよ。

マジでさー、セキュリティ事故があった時にちゃんと教えてくれない会社なんて信用できるわけないじゃん？Oracleは何がしたいんだろ？考え方を変えてみよう。Oracleは一般人がどう思おうと気にしないんだよ。VirtualBoxの拡張機能をダウンロードした人の雇用主に弁護士を送りつけたり、仮想環境でソフトウェアが動作する可能性のある全てのコアのライセンスが必要だとか言ってる会社だよ。Larry Ellisonってやつが、自分のショボいクラウドをAWSよりマシに見せようと嘘をついてたしね。
＞誰もOracleを好きで買ってるわけじゃない。レガシーなシステムがOracleに依存してるから仕方なく買うか、ゴルフ場でいいように言いくるめられた上司のせい。あとは、帯域が安いからリスク覚悟で悪魔と取引するとか（Zoomとか）。
OracleはBroadcomみたいなもん。みんな嫌ってるけど、他に乗り換えるのが怖い会社が食い物にされてる。

＞みんなOracleで働いてたやつは職歴に傷がつくとか言ってるけど、それはただの意見じゃん。Oracleで働いてる知り合いはみんな満足してるよ。給料も福利厚生も良いし、仕事はどこも同じくらい。部署によっては、やりがいのある技術的な仕事もあるし。職歴についても、Oracleで働いてたことはプラスになるか、少なくともマイナスにはならないよ。
＞誰もOracleを好きで買ってるわけじゃない。
Oracleは高いけど、エンタープライズ向けのデータベースとしては評判が良いんだよ。クラウド事業も順調に成長してるし、四半期決算を見ればわかるよ。

＞仕事はどこも同じくらい
いやいや、そんなことないでしょ。うちの会社じゃ、お客さんがミスしても弁護士を送りつけたりしないし。お客さんを傷つけるようなことを提案する人がいたら、みんな反対するよ。

大企業じゃ、他の部署が何やってるか知らない人もいるよ。それに、知ってても、弁護士が関わってるのは、会社の損害を防ぐためだって考える人もいるし。
＞うちの会社じゃ、お客さんがミスしても弁護士を送りつけたりしない…
会社のオーナーとか幹部ならそういう判断ができるかもだけど、大企業の一般社員は、会社のすることに良いも悪いも特に感じないんじゃない？

AWSからOracle Cloud Infrastructure (OCI) に引き抜かれた優秀なエンジニア（AWSに正式な手法を持ち込んだ人も含む）はまだいるのかな？

きっといると思うよ。シアトルでAmazonから大量に採用したって聞いたし。AmazonもOracleからたくさん採用してるよ。Java/JVMのエキスパートから、B級のソリューションアーキテクトまで。
一般社員が会社を悪いと思ってても働き続けるなんてありえないって考えは、非現実的だと思うな。

うちの奥さんは病院の薬剤師なんだけど、CernerってEMRシステムが人気で、市場で2位なんだって（1位はEpic）。こういうシステムって変更がマジで大変で、受付から外科医まで、全員が新しいシステムの使い方を覚えなきゃいけないし、データの移行も大変。病院ごとにワークフローがカスタマイズされてるから、それを新しいシステムに移植しないといけないし。奥さんが2回もやったけど、最低でも18ヶ月かかる大仕事だったって。だからEMRってすごいロックインされてるんだよね。
OracleがCernerを買収してOracle Healthに名前を変えて、どんどんクソ化させてるらしい。SQLデータベースで学んだ悪どい手口を、別の市場で再現しようとしてるみたい。病院なんてLarry Ellisonがヨットを買うための金づるだって思ってるんじゃない？

確かにね。Memorial Sloan Ketteringって病院以外は、Epic以外のEMRはゴミみたいなもんだった。MSKも乗り換えるみたいだけど。

Epicはうちの奥さんもお気に入りだよ。乗り換えは2回ともEpicだったし。値段も高いけどね。
20年SWEやってきて学んだのは、競争がマジで大事ってこと。競争相手が自ら競争から降りて、価値を吸い取られるのは、市場シェア1位の企業にとっては良いニュースだけど、顧客にとっては悪いニュースだよね。

医療関係者にとってEpicってマジで遅いらしいけど、患者の立場からしても遅すぎてヤバい。

＞あそこで働いてた人はみんな職務経歴に傷がつくってマジ？
大げさだといいな。Oracleみたいな会社じゃ、末端の社員は会社の政策とか方針に責任ないじゃん。

マジなんだって。Oracleはずっと評判悪いし、Sunの元エンジニアはみんな「Oracleには自主的に入ったんじゃない」って必死に説明してるらしいよ。
タバコ会社とか武器メーカーで給料計算とかやってるみたいなもんかな。人を直接殺してるわけじゃないけど、そこで働くってことは、ある意味それを容認してるってことじゃん。

＞武器メーカーで給料計算とかやってるみたいなもんかな。人を直接殺してるわけじゃないけど、そこで働くってことは、ある意味それを容認してるってことじゃん。
ウクライナで起きてることを考えると、こういう議論がまだできるのが面白いよね。政府が軍隊を持ってるのは理由があるし、ヨーロッパが今になって軍備を増強しようとしてるのも理由がある。

政府が軍隊を持ってる理由は色々あるけどね。アメリカの武器メーカーで働いてたら、製品の一部はウクライナを守るために使われるかもしれないけど、ガザのイスラエル軍とか、イエメンのサウジアラビア軍とか、色んな国にも行ってるよ。

いつの間にか議論が「一般的な武器メーカー」から「アメリカの外交政策に同意しない」に変わってるじゃん。
仮にそうだとしても、Lockheed MartinとかRaytheonとかは、政治家が道徳的に問題のある決定をした瞬間に閉鎖しなきゃいけないの？そんな単純な話じゃないでしょ。

勝手に論点ずらしてるのそっちじゃん。そんなこと言ってないし。
もう一回言うけど、武器メーカーで働いてるってことは、人を殺すことを容認してるってことだよ。ナチスとかテロリストとか悪い奴らを殺す方が、たまにいる罪のない民間人を殺すよりもマシだと思ってるからかもしれないけど、それでも血は君の手に付いてるんだよ。

Oracleだけなの？GoogleとかFacebook、Microsoftはどうなの？嫌われてることもやってるじゃん。エンジニアは、HNが嫌ってるプライバシーのない広告まみれのディストピアを容認してるってことになるの？そういう会社がOracleの製品使ってたらどうするの？Oracle製品で動いてるサイト使わないの？Oracleの社員を避けるのがノーリスクだからでしょ。

Facebookで働いてる人を批判する人は結構いるよ。Googleは昔は良かったけど、今は評判落ちてる。MicrosoftはSatyaのおかげで評判が良くなったみたいだけど。

＞エンジニアはプライバシーのない広告まみれのディストピアを容認してるってことになるの？
＞ノーリスクだからでしょ。
その通り。倫理的な行動を求めてるんじゃなくて、叩きやすい相手に安全に復讐してるだけ。Google検索の社員は、検索品質の低下に対する10年以上の不満を全部ぶつけられるんじゃない？伝説的な人材じゃなくなるかもね。完全に見放されることはないだろうけど、職務経歴に傷はつくかもね。

武器の開発に貢献してるって側面もあるんだよな。Putinみたいな独裁者がまたどこかの国に侵攻したときに使う武器にも繋がるわけで。西側諸国が軍事研究開発に嫌悪感示すのがマジで理解できない。第二次世界大戦どうやって勝ったと思ってんの？口先と貿易と売春婦のおかげ？ дипломатия がダメになったら、武力行使しかないじゃん。

Oracleのポリシーに責任はないけど、Oracleで働くことを考えてるなら、他の選択肢もあるはず。少なくともソフトウェアエンジニアとかは。友達に勧められたけど断ったもん。クソ会社だし。金じゃ買えないものがある。

セキュリティインシデントが日常茶飯事になってる今、事件が起きたこと自体はニュースにならない。問題は、会社がどう対応するか。Oracleは今回の件で落第点。

4年も前に公開されたCVEが悪用されたってのがポイント。Oracleは大失態を犯したわけ。だから訴訟対策で証拠隠滅しようとしてるんだね。
https://nvd.nist.gov/vuln/detail/cve-2021-35587

セキュリティインシデントを認めると、契約条項が発動するんじゃない？だから、事件そのものを否定した方が安上がりだと判断したのかも。裁判になったら、Oracleは”事件はなかった”って言う専門家を用意して、反対側は証拠を提出するけど、ITに詳しくない裁判官は確信を持てない…みたいな展開になりそう。

ヨーロッパでは、顧客データのセキュリティが甘いと、企業の売上高の一定割合が罰金として科せられる厳しい法律があるからね。Oracleの場合、結構痛手になるかも。

顧客にセキュリティ侵害を通知することを義務付ける州法はあるけど、強制力が弱くて無視されてるのが現状。連邦法で、違反企業に十分な痛手を与えないと、企業は法律を守ろうとしないだろうね。

多くのエンタープライズ顧客は、重大なセキュリティインシデントの通知義務をMSAに盛り込んでいて、違反した場合の罰則も定めてるはず。Oracleが避けたいのは、それじゃないかな。

エンタープライズ顧客は、コスト削減に繋がらない限り、あまり気にしないと思う。OracleはBSAの一部として監査を要求できるから、理由をつけて罰を与えることもできる（ライセンスとかサポート打ち切りとか）。顧客がMSAの罰則条項を適用して一時的に勝訴しても、Oracleからのさらなる要求やコスト増で、後々面倒なことになる。

Oracleから乗り換えたいと思ってる客は別だけどね。

OracleとかIBMと取引したい会社なんてほとんどいないって。みんな仕方なく使ってるだけで、乗り換えるコストが高すぎて上が許可しないんだよね。

言ってる意味が分かんないんだけど。
州法をもっと厳しくするべきじゃないの？

そりゃあ助かるけど、みんなにとって一番いいのは、国全体をカバーする法律が一つだけあることじゃない？少なくとも最低限の基準を決めてさ。50も違う法律があるよりずっといいよ。企業にとっても消費者にとってもね。だって、一つの会社のデータ漏洩が国中の人に影響を与えることなんてよくあるじゃん。

連邦主義は嫌い？
ていうかさ、交通標識みたいに、国が違ってもみんなで勝手に協力してるじゃん。（アメリカの州もそうだし、世界中の国もそう。）ストップサインなんて、世界中どこでもほとんど同じでしょ。別に誰かが強制してるわけじゃないのに。

うちは主にAWSを使ってるんだけど、最近OracleのBDR担当者がLinkedInで連絡してきたんだよね。
インシデント報告書を求めたら、こんなそっけない返事が来たよ。
＞“Oracle Cloudに侵害はなかった。公開された認証情報はOracle Cloudのものではない。Oracle Cloudの顧客で侵害を受けたり、データを失った顧客はいない。”