セガは2014年5月12日、同社Webサイトの一部が不正アクセスを受けたとして、サイトの閲覧を停止した(関連記事:セガのWebサイトに不正アクセス、Webページ改ざんや情報流出は確認されず)。 セガは5月16日に、閉鎖したサイトの一部を再開した。現在、復旧作業を順次、進めている。
「この度は取材をお受けしましたが、どう対応したらよいか。今でも迷いがあります」。担当者は取材の冒頭で、心境をこう吐露した。 記者は取材のためレンタルサーバー事業を手掛けるファーストサーバ(本社:大阪市)を訪れた。1年半ほど前に、顧客企業が利用していたサーバー約5700台のデータをほぼ消失させる大規模障害を起こした事業者だ。 今回の取材は、過去に失敗を経験した複数の企業や公的団体に申し込んだ。目的は、「IT運用の失敗から技術者がどう学び、再発防止に取り組むべきか」をまとめる企画記事を執筆するためだ。 中でもファーストサーバは、運用のプロであるべきITベンダーが、一部とはいえ現場担当者のずさんな運用作業を見逃していた実態が明るみになり、個人としても大きな衝撃を受けた。失敗を経てどう体制を立て直したのか、大いに興味があった。 「非技術者」にも分かる再発防止策を:ファーストサーバ 簡単に、ファース
ダイレクトI/Oは,ハード・ディスク装置(以下,ディスク)上のデータにアクセスする機構の一つです。データベース管理システム向けとして,カーネル2.4で導入されました。 通常,ディスク上のファイルにアクセスする場合,ファイル・キャッシュを経由します。このファイル・キャッシュのおかげで,キャッシュにヒットした際にはデータ読み取り速度が高速化します。また,ファイル・キャッシュを利用した遅延書き込み機能により,プロセスに対する書き込み処理性能が向上します。ディスクに書き込まれたファイルはファイル・システムにより管理されます。 ダイレクトI/Oを用いると,ディスク上のファイル(データ)にアクセスする際,ファイル・キャッシュを経由しません。データはアプリケーションなどのプロセスとディスク間で直接やり取りされます。 データベース管理システムなどは,その内部にファイル・キャッシュと同様の機構を備えています
atime(access time)とは,LinuxなどのUNIX系OSがファイルに記録する時刻情報の1つです。atimeには,文字通り,ファイルにアクセスした時刻が記録されます。より厳密には,ファイルの実データが読み込まれた際に,その時刻が記録されます。ファイルの管理情報(メタデータ)だけを読み込んだ場合になどには更新されません。 atime情報を各ファイルが保持することにより,「最近アクセスされていないファイルを消す」といったアクセス時刻に基づいた処理を簡単に実現できます。実際に,/tmpディレクトリのファイルを整理するコマンド「tmpwatch」などが,atimeを使った処理をします。 その一方,atimeはパフォーマンスを低下させる原因でもあります。ファイルにアクセスするたびにatime情報を更新する必要があるためです。書き込み処理は,一般に読み出しよりも処理時間がかかりますし,a
米政府などによるインターネット上の諜報活動が、当初報じられていたよりも深刻であることが明らかになった。米国のインターネット通信の大半を傍受したり、暗号通信を解読するためにソフトウエアに情報収集用の裏口(バックドア)を仕掛けたりするなどしていた。政府主導のこうした諜報活動によって、通信の秘密だけでなく、インターネットの安全性さえも脅かされようとしている。 暗号通信も解読 一連の諜報活動は、米国家安全保障局(NSA)や米中央情報局(CIA)の職員だったエドワード・スノーデン氏が、英ガーディアン紙や米ニューヨーク・タイムズ紙などに提供した秘密資料によって明るみに出た。 口火を切ったのは、2013年6月に報道された「PRISM」問題だ。NSAは、米マイクロソフトや米グーグルといった大手ネット事業者のサーバーから、電子メールなどの個人情報を入手する「PRISM」というプログラムを実施していた。だが、
水飲み場型攻撃とは、攻撃対象のユーザーがよく利用するWebサイトを不正に改ざんすることで、ウイルスに感染させようとする攻撃である。シマンテックやトレンドマイクロなどのセキュリティ企業が2012年末、無差別ではなく目標を絞って攻撃する標的型攻撃の新たなタイプとして発表したことで話題になった。水飲み場型攻撃は、英語では「Watering Hole Attack」という。「たまり場型攻撃」と訳される場合もある。 水飲み場型攻撃では、攻撃者がまずターゲットになったユーザーがよく訪れるWebサイトを調べる。そして、そのサイトに訪れたユーザーがウイルスに感染するように、わなを仕掛ける。名前に含まれる「水飲み場」は、草原や砂漠にあるオアシスを指し、オアシスに寄ってくる動物を待ち伏せて仕留めようとする攻撃になぞらえている。 これまでの標的型攻撃は、ターゲットになったユーザーに知人を装ってメールを送ったり、
危機感があったからです。意見書は2013年4月の論点整理と、6月の報告書案で2回出しましたが、まず言いたいのは、政府がパーソナルデータの利用や活用を言い出したとして、規制緩和だと誤解して浮かれる人がいることです。確かに一部は規制緩和ですが、別の一部は規制を強化して産業振興のためのエンフォースメントを目指しているのです。 案の定、誤った解説も出始めています。例えば、政府がビッグデータビジネスを後押ししているという趣旨のインターネットの記事では、弁護士の方が誤ったコメントをされています。携帯電話の位置情報データは個人情報と何が違うのかというインタビュアーの質問に、「性別や年齢層だけでは個人を識別できないので、個人情報保護法の対象である個人情報ではない」「政府は住所や氏名を排除した匿名化データの利用を促進しようとしている」と答えている。これは間違っています。 弁護士さえ誤った解釈をしているという
なぜ、こうなった――フジテレビの人気番組「ほこ×たて」で2013年6月9日、ハッカーとセキュリティ技術者が攻撃、防御の腕を競う珍しい企画があった。「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」という触れ込みである。 IT記者として、これを見ないという選択肢はない。何より、難解なハッキングの世界を、テレビというメディアがどのように料理し、分かりやすく紹介するのか、興味があったのだ。 結論からいうと、番組を視聴した後、何ともいえない違和感が残ってしまった。「『ほこ×たて』といえど、やはりハッキング勝負の映像化は難しかったのか…」と考え込んでしまった。 今回の「ほこ×たて」の事態は、日々セキュリティ関連の記事を書いている筆者にとっても、無縁ではいられない。防御側であるネットエージェントの説明、攻撃側である楽天所属のヴィシェゴロデツェフ・マラット氏への
図●改定で特に変化が大きかった箇所 共通鍵暗号(64ビット・ブロック暗号、128ビット・ブロック暗号、ストリーム暗号)のカテゴリは、改定前には多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。ハッシュ関数は、安全性に問題がある二つの方式が削られている。(日経エレクトロニクス2013年4月15日号p.11から抜粋) 電子政府で用いる暗号方式を評価・調査するプロジェクトであるCRYPTRECが公開している「電子政府推奨暗号リスト」が10年ぶりに改定された(Tech-On!の関連記事)。同リストは、日本政府が電子システムを調達する際に使用を推奨する暗号方式を示すもの。技術的に安全性が確認された暗号方式を政府が示す役割も担っている。いわば“日本の標準暗号”を示すリストだ。 今回の改定では、2012年春に予告された通り、リストから多くの国産暗号が消えた(Tech-On!の関連
リクルートの中古車情報サイト「カーセンサーnet」を全面リニューアルした体験を基に、大規模サイトの性能改善作業の実態をレポートする。第1回、第2回で行ったNFSとApacheの設定変更、PHPアプリケーションの見直しによって、性能は劇的に向上した。しかしその後、どうしても性能が伸びない。第3回での調査で、Linuxカーネルに原因があるらしいことがわかってきた。 カーネルソースがあるディレクトリーに移動して、変数名(kernel_sem)を含むファイルを調べた。すると「lib/kernel_lock.c」というファイルの中で「kernel_sem」が定義されていた。冒頭を読むと、「This is the traditional BKL - big kernel lock」とある。直訳すれば「巨大なカーネルロック」。これは何なのだろうか。コメントを追っていくと、「古い方式」であり「新しいコード
世間を賑わしたビジネス向けSNS「LinkedIn」の大量パスワード流出について、セキュリティベンダーのいくつかはブログで解説や見解を示した。スロバキアのイーセットも、その重大性をブログで解説している。 イーセットの主張では、今回のセキュリティ侵害は他の事例と大きく異なる点がある。ユーザーが、自身の職業について本当の情報をサイトに登録していることだ。「Facebook」サイトで見かける、どのパーティーに行く予定だとか、何のゲームをやっているとか、そんな程度の情報ではない。 LinkedInでは「コンタクト」に登録してある誰かがプロフィールを変更すれば、そのたびに更新情報が表示される。これは、ユーザーが自身について投稿したことに対するピアレビューとしての集合的効果があり、投稿内容がユーザーの人生に直接関わっている人物や企業に知らされるため、正確かつ正直なプロフィールを作ろうとするようになる。
Amazon Web Servicesをアマゾン社内で最大規模の事業にする 米アマゾン・ドット・コム シニア・バイス・プレジデント アンディー・ジャシー(Andy Jassy)氏 「将来的に『Amazon Web Services(AWS)』は、アマゾンにとって最も規模の大きい事業になると信じている」---。米アマゾン・ドット・コムのシニア・バイス・プレジデントであるアンディー・ジャシー氏は、記者にそう語った。大手ITベンダーがAWS追従に動く中、AWSのトップは自社の成長に対する自信をますます深めているようだ。 記者は2012年5月に、ジャシー氏に対して1時間インタビューする機会を得た。その一部は、「日経コンピュータ」6月7日号の特集記事、「SIと運用が消える」で紹介した。今回は、ジャシー氏へのインタビューのフルバージョンをお届けする。 私はアマゾンのシニア・バイス・プレジデントとして、
大規模サイトの性能改善作業とは、どういうものなのか――。リクルートの中古車情報サイト「カーセンサーnet」を全面リニューアルした体験を基に、その実態をレポートする。第1回、第2回はミドルウエアのチューニングを行った。後半はLinuxカーネルに原因があると判明するまでの調査に進む。様々なツールを組み合わせて追跡していった。 中古車情報サイト「カーセンサーnet」の性能試験が本格的に始まって10日目。試験の開始当初は、ブラウザーの表示に10秒もかかるなど目標性能に遠く及ばなかった。しかし前回までで紹介したように、ファイル共有システム「NFS」の設定変更、Webサーバー「Apache」のパラメーター修正、PHPアプリケーションの見直しによって、性能は劇的に向上した。 リクルート入社3年目の私は、今回の性能検証プロジェクトのリーダーとして、得意分野を持つチームメンバーと一緒に対策を進めていた。カッ
今年は、三菱重工業や官公庁、国会議員を狙ったサイバー攻撃が大きな話題となった。こうした攻撃の実態はどのようなもので、被害を防ぐにはどのような手立てがあるのか。F-Secureのセキュリティ研究所で主席研究員を務めるミッコ・ヒッポネン氏に話を聞いた。 我々はこの種の標的型攻撃を調査してきたが、その結果として、実は2005年より前から標的型攻撃はあったということが分かった。それがいわゆるグローバルな問題となってきたということだろう。いま起こっているのは、オンラインでのスパイ活動だ。つまり国と国との間のスパイ活動がオンラインで行われている。 ターゲットとなっているのは、政府機関、国防関係の契約を請け負ってる企業、それから言論の自由を主張するような団体といったところだ。 スパイとは何かと言えば、情報を集めることだ。昔は情報は主に紙に書いてあり、オフィスなどに置いてある物理的なモノの中に情報があった
図●ヤマハルーターの多数機種に見つかったIPヘッダー処理の脆弱性の危険度評価 IPAとJPCERT/CCが共同で運営する脆弱性情報提供用Webサイト「JVN」(Japan Valnerability Notes)の発表資料から引用。 ヤマハは2011年4月11日、同社のルーターの非常に多くの機種に、インターネット経由でDoS(Denial of Service、サービス妨害)攻撃を受ける危険がある脆弱性があることを公表した。 同社製ルーターのIP(Internet Protocol)の実装に脆弱性があり、「IPヘッダーの特定箇所」に不正な値を設定したパケットを受け取ると不正なメモリー参照が発生する。その結果、場合によってはルーターがリブート(再起動)するなどの症状が発生するという。 対象となるルーターは、「RTX3000/2000/1500/1200/1100/1000」「SRT100」「
また特定業界を狙ったサイバー攻撃が激しくなっている。石油化学などエネルギー関連業界を狙う「Night Dragon」で、米マカフィー、米ウェブセンスなどいくつかのセキュリティベンダーがブログで紹介している。 マカフィーは「Global Energy Industry Hit In “Night Dragon” Attacks」でNight Dragonを取り上げ、攻撃の概要を伝えた。この攻撃を分析すると、これが単なる悪ふざけや愉快犯の仕業でなく、サイバー犯罪として広まっていることがよく分かるという。 Night Dragonは2009年11月に始まり、原油やエネルギー、石油化学といった業界の世界的企業を攻撃してきた。各社の社内文書や石油/ガスの取引データなど、数十億ドル規模の損害を与えかねない情報を狙う。 攻撃の技術そのものは高度でなく、ありふれた手法が使われている。攻撃用ツールなどを調査
要求定義でDFDを利用する人は多いだろう。しかし,見よう見まねで書かれたDFDに出会うことも多く,業務の真の姿をとらえて構造化できていないケースも少なくない。 使えるDFDを書くにはどうしたらよいか。DFDの特徴に着目すると,上手な書き方が見えてくる。 「誰が」を記載しないこと DFDは,UMLのユースケース図と同様,対象となる業務の範囲を把握するのを主な目的として使われる図である。要求定義の初期段階で,システム化して解決したい問題領域を可視化することができる。要求定義でDFDをうまく書くには,DFDでは何が記述でき,何は記述されないのかをよく知っておくことが大切である。 ユースケース図と比較すると,DFDの特徴が浮かび上がってくる。(図1)の×印(図に記述しない対象)に注目してみよう。共通で×印が付いているのは「処理の順序やタイミング」だ。DFDとユースケース図は,これらが分からなくても
1980年代、筆者が高校生・大学生だったころに「C言語がすごい」という話を友人から聞いていた。しかし、当時の筆者が触れていたのはMSXパソコンのBASICと大学の汎用機のFortranくらいだった。C言語をやっと手に入れたのは、1992年の暮れである。清水の舞台から飛び降りるような気持ちでBorland C++の大箱を買って帰った。 それから20年近くが経過した今でも、C言語は「最強のプログラミング言語」と呼ぶべきポジションを確保し続けている。UNIXオペレーティングシステムとC言語が世界に与えたインパクトの大きさは、実に大きなものがあった。 ただ、C言語を学習したり評価したりする際には、C言語の大きな欠点を知っておく必要があるだろう。筆者が考えるその大きな欠点とは、「文字列の扱いが非常に面倒」であることだ。 「バッファオーバーフロー」を回避するのは大変 例を示そう。図1はC言語で記述した
[PostgreSQLウォッチ]第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響 SQLインジェクションに関する脆弱性の修正などを行ったPostgreSQL 8.1.4,8.0.8,7.4.13,7.3.15の各バージョンが,5月23日一斉にリリースされた(関連記事)。いずれも同じメジャーバージョン系列であれば,dump/restoreによるデータ移行なしでアップグレードできる(ただし,8.1,8.1.1から8.1.4への移行については注意が必要。詳細は付属のリリースノートを参照されたい)。 修正が提供されないPostgreSQL 7.2以前のバージョン 今回対策された脆弱性はPostgreSQL 7.2以前にも存在するが,開発者のポリシーにより,7.2以前はサポートの対象になっていない。いまだに7.2 以前のバージョンを使っているユーザーは,7.3以降にアップグレ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く