[続報]OCNの通信障害、米グーグルによる誤った経路情報の大量送信が原因か
2017年8月25日、NTTコミュニケーションズ(NTTコム)のインターネット接続サービス「OCN」で発生した通信障害に関して、インターネット通信関連の識者は誤った経路情報が大量に流れたことが原因ではないかとの見方を示した。ここでいう経路情報はルーターがBGP(Border Gateway Protocol)というプロトコルを使って交換するものだ。 日本ネットワークインフォメーションセンター(JPNIC)の岡田雅之氏は、NTTコムは複数の組織と対等な関係でネットワークの経路情報をやり取りしているが(これを「ピアリング」という)、そのうちのある組織が誤った経路情報を大量に流したのではないかと話す。その結果、「NTTコムを介してインターネットに接続していた企業のルーターが、大量の経路情報を受け取り高い負荷がかかり、一部はフリーズしたような状態に陥るなどして通信障害につながったのではないか」(岡
![[続報]OCNの通信障害、米グーグルによる誤った経路情報の大量送信が原因か](https://cdn-ak-scissors.b.st-hatena.com/image/square/db412a9036fcf3ba8f4ac851668ddcfc4711c45b/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fnews%2F17%2F082502137%2Ftopm.jpg%3F20220512)
「メリットが見えない」、盛り上がり欠ける情報処理安全確保支援士
情報処理推進機構(IPA)は2017年4月から、新しいセキュリティ国家資格「情報処理安全確保支援士」を開始する。新資格は「講習受講による知識のアップデートが義務付けられる」という、今までの情報処理技術者試験にはない特徴を持つ。「その手間を掛けるメリットがあるのか」「講習受講料(3年間で15万円)を支払う価値はあるのか」と話題になっている。 資格の開始は2017年4月としているが、実際には既に運用が始まっている。やや制度が複雑なので簡単に説明しておこう。情報処理安全確保支援士はペーパーテストに合格するだけでは取得できない。試験合格者がIPAに登録を申請し、資格保持者の一覧表「登録簿」に登録されてはじめて資格取得となる。初回の登録が2017年4月1日なわけだ。 現在は経過措置として、既存の「情報セキュリティスペシャリスト試験」と「テクニカルエンジニア(情報セキュリティ)試験」の合格者を登録対象
ANAシステム障害の原因判明、シスコ製スイッチの「世界初のバグ」でDBサーバーがダウン
同期処理が失敗した原因は、4台をつなぐスイッチの不具合。具体的には、スイッチが故障状態であるにもかからず、故障を知らせる「故障シグナル」を発信しなかった。国内線システムは故障シグナルを検知するとスイッチを予備機に切り替えるが、今回はその機能そのものを作動できなかった。 スイッチは完全に停止したわけではなく、「不安定ながらも動作していたようだ」(同)。そのため、DBサーバー間の同期は順次失敗し、停止していったと見られる。 ANA広報によると、スイッチは米シスコシステムズ製「Catalyst 4948E」という。「2010年6月の発売開始以降、世界で4万3000台、うち日本で8700台を販売しているが、今回の不具合は初めての事象と聞いている」(ANA広報)。なぜ「故障シグナル」が発信できなかったかは分かっていない。 1台での縮退運転を決断 4台の完全停止から37分後、ANAは1台のDBサーバー
「どんなサイトも丸裸に」、SimilarWebの手法はありなのか
「あなたの競合サイトを丸裸にする」――イスラエル発のスタートアップ企業、シミラーウェブはこうしたかけ声のもと、あらゆるWebサイトのPV(ページビュー)やアクセスの流入元などの推測値を企業に提供している。この推測値の元になっているのは、PCのユーザーから収集した膨大な量のWebサイト閲覧データだ。 PCだけでなく、スマートフォンもデータ収集の対象になっている。2016年2月8日には、Androidアプリを解析する機能の国内提供を正式に始めた。特定のアプリのダウンロード数、時間ごとの利用頻度、アンインストール率の推定値が得られる。 同社がデータを収集しているデバイスは世界190カ国、2億台以上に上る。日本を含め、各国のWebサイト利用者の1%ほどかそれ以上をカバーし、統計処理によるユーザー層の補正を経て、トラフィックの全体像を浮かび上がらせるという。 こうしたユーザーの行動履歴データは、プラ
「かざすだけ認証」も可能に、個人番号カードの技術仕様を知る
前回は、個人番号カードのICチップ機能、特にその目玉である公的個人認証サービスの主な機能を紹介した。今回は、住基カードと比較した公的個人認証の技術仕様の変更点について、新たに搭載された「PINなし認証」を中心に解説する。 暗号強化、個人認証の電子証明書は2種類に 個人番号カードのICチップにインストールされる公的個人認証アプリは、住基カードで使われた同アプリのアップデート版である。このアプリの中に、個人を認証するための電子証明書が組み込まれる。 住基カードにおける電子証明書は、カード自体の発行とは別に、証明書の発行を申請した個人にのみ発行する、いわば「オプトイン型」の発行だった。 個人番号カードでは、カード交付申請書にある「電子証明書の発行を希望しない」の欄にチェックを入れない限り、電子証明書が自動的に組み込まれる「オプトアウト型」になる(図1)。
個人番号カードが提供する「新・公的個人認証」の破壊力
「個人番号カードの公的個人認証サービスを使える民間サービスの業態に、制限はありません。オンラインバンキングからネットゲームまで、ほぼ『なんでもあり』です」。総務省自治行政局住民制度課 企画官の上仮屋尚氏はこう強調する。 マイナンバー制度が始まる2016年1月から、希望者に無償で配布される「個人番号カード」(図)。その最大の目玉は、カード内のICチップに埋め込まれた電子証明書を使って個人を認証する公的個人認証サービスが、総務大臣の認定を前提に、民間企業にも開放されることだ。 公的個人認証サービスは、元々は住民基本台帳カード(住基カード)に組み込まれる形で、2004年1月から始まった。とはいえ、用途が行政サービスに限られていたこともあり、用途の開拓はあまり進まなかった。個人向け用途では、国税電子申告・納税システム(e-Tax) の確定申告用に使われるのがせいぜい。発行された電子証明書は、201
圧縮ソフト「Lhaplus」に危険な脆弱性、悪質ファイルを読み込むと被害に
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2015年4月9日、ファイル圧縮・展開ソフト「Lhaplus(ラプラス)」に新たな脆弱性が2件見つかったことを明らかにした。細工が施されたファイルを読み込むだけで、悪質なプログラム(ウイルスなど)を実行される危険性などがある。対策は、最新版「Lhaplus 1.72」へのアップグレード(画面)。 今回明らかにされた脆弱性は2件。1件は、圧縮ファイルの処理に関する脆弱性。細工が施された圧縮ファイルを展開するとバッファオーバーフローが発生し、中に仕込まれた任意のプログラムを実行される恐れがある。 もう1件は、展開するファイル名の処理に起因するディレクトリトラバーサルの脆弱性。名前を細工されたファイルを展開すると、任意のファイルを作成されたり、既存のファイルを上書きされたりする危険性がある。 対策は、最新版
三井住友銀行の不正送金は「MITB攻撃」、ワンタイムパスワード利用者も被害に
三井住友銀行のインターネットバンキングサービス「SMBCダイレクト」について、同行が2014年5月12日に公表した不正送金被害のうち1件は、ワンタイムパスワード(一回限り使えるパスワード)を生成するハードウエアトークンの利用者が対象だったことが分かった(関連記事)。いわゆる「MITB(マン・イン・ザ・ブラウザー)攻撃」だったために、ワンタイムパスワードを使っていたにもかかわらず被害に遭った可能性が高い。国内での不正送金はフィッシング詐欺や「Webインジェクト攻撃」といった手口が主流で、MITB攻撃が検知されたのは珍しい。 今回の不正送金は2014年4月中旬に発生した。利用者が同行のオンラインバンキングにアクセスし、画面の指示に従ってワンタイムパスワードを入力した後、覚えのない口座への振込が行われていたという。このほか、乱数表カードの一部を入力しただけで不正取引が行われた事例も確認された(図
拡大する「バックドア」問題、RSAが暗号ツールへの注意を呼びかけ
米EMCのRSA事業本部は2013年9月19日(米国時間)、自社の暗号ツールである「RSA BSAFE」や「RSA Data Protection Manager」の顧客に対して、乱数生成アルゴリズムの技術標準「Dual_EC_DRBG」を使わないよう呼びかけていることを明らかにした。「Dual_EC_DRBG」には、NSA(米国家安全保障局)が暗号解読に使うバックドア(裏口)が存在する恐れがあり、米NIST(国立標準技術研究所)が同アルゴリズムを使わないよう勧告している。 RSA BSAFEは、セキュリティアプリケーションを開発するためのツールキットであり、「多数の商用アプリケーションにBSAFEソフトウェアが組み込まれ、市場で活用されています」(RSAのWebサイトより)という。またRSA Data Protection Managerは、データの暗号化を行うためのツールである。いずれ
個人情報の保護レベルを世界水準に合わせよう
個人情報保護に詳しい鈴木正朝・新潟大学教授は、JR東日本が交通系ICカード「Suica」の乗降履歴データを日立製作所に販売した件は、個人的には現行法でもクロと言わざるを得ないと指摘。その上で「ビッグデータ」ビジネスの中核は、国際競争力を発揮できる「医療イノベーション」にあると主張する。日本の産業力強化のためには、個人データの保護レベルを国際水準に引き上げて、ゲノム情報を世界から持ち込んでも安心されるハブ機能を持つ必要があると訴える。 私は現行法でクロと言うべきだと思います。JR東日本を叩くつもりはありませんが、あえてクロだと指摘することで、個人的にこの事例から浮かび上がる現行法の問題点を明らかにしたいのです。 そもそも今回の話はビッグデータというオブラートに包まれていますが、乗降履歴は伝統的なデータベースによるただの受託データです。例えて言えば、何百社もの給与計算のデータを持つ受託企業が委
プライバシーエンジニアを育てよう
危機感があったからです。意見書は2013年4月の論点整理と、6月の報告書案で2回出しましたが、まず言いたいのは、政府がパーソナルデータの利用や活用を言い出したとして、規制緩和だと誤解して浮かれる人がいることです。確かに一部は規制緩和ですが、別の一部は規制を強化して産業振興のためのエンフォースメントを目指しているのです。 案の定、誤った解説も出始めています。例えば、政府がビッグデータビジネスを後押ししているという趣旨のインターネットの記事では、弁護士の方が誤ったコメントをされています。携帯電話の位置情報データは個人情報と何が違うのかというインタビュアーの質問に、「性別や年齢層だけでは個人を識別できないので、個人情報保護法の対象である個人情報ではない」「政府は住所や氏名を排除した匿名化データの利用を促進しようとしている」と答えている。これは間違っています。 弁護士さえ誤った解釈をしているという
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
