強烈なセキュリティ・ホール「Brown Orifice」に対応した「Netscape Communicator 4.75 日本語版」のWindowsバージョンがようやく登場した。英語版が公開された約1カ月後の9月16日に，Netscape CommunicationsのFTPサイトで公開された。 現在は，Netscape Communicationsの日本語のWebページの中のダウンロードのコーナーからも入手可能であるが，「日本語対応製品」欄の「Communicator 4.75 Complete Install」と明示されているリンクをたどる必要がある。他のリンクは以前のバージョンにリンクされている場合が多いので，注意が必要だ。 この「Brown Orifice」とは，セキュリティ専門家のDan Brumleve氏によって指摘されたセキュリティ・ホールであり，簡単に言うと悪意のあるWeb

情報法制研究所（JILIS）は2018年9月2日、「著作権侵害サイトによる海賊版被害対策に関するシンポジウム」を開催した。ドワンゴの川上量生取締役CTO（最高技術責任者）や東京大学の宍戸常寿教授、セーファーインターネット協会の別所直哉会長、日本漫画家協会の赤松健常任理事など17人の識者が登壇した。

出版事業や動画配信事業を運営するカドカワの川上量生社長が日経 xTECH／日経コンピュータの取材に応じ、著作権侵害コンテンツを多数掲載した海賊版サイトへのアクセスを遮断する「サイトブロッキング」を政府が容認するに至る経緯と、将来の望ましい法制度について語った。

「異能」ともいえる際立った能力や実績を持ち、まわりから一目置かれるエンジニアを1カ月に一人ずつ取り上げ、インタビューを掲載する。今月取り上げるのは「Yugui」というハンドルネームで知られる園田裕貴（そのだゆうき）氏。書籍「初めてのRuby」の執筆者であり、過去にはRuby 1.9系のリリースマネジャーを務めた。スケールアウト（現Supership）の初期中心メンバーの一人でもある。今回は、プログラミングとの出会いからWeb業界で働くようになったきっかけを聞いた。 プログラミングを始めたきっかけは、小学校低学年のころ、自宅にPC-8800シリーズ（PC-88）というパソコンがあったことです。父親はIT関係の仕事ではありませんでしたが、趣味で多少プログラミングをしていました。デスクトップミュージック（DTM）のようなことをしたり、自作のプログラムで事務処理をしたりしていたようです。 私も家で

情報処理推進機構（IPA）は2018年3月13日、ITパスポート試験の団体申し込みにおいて個人情報の漏洩があったと発表した。同試験を申し込んだ二つの団体の間で、互いの申込者の情報が漏れてしまったという。

「事務処理に重大な遅延が生じるなどの問題が想定されます」。 2017年11月、市区町村が運営する国民健康保険の手続きを説明した自治体のホームページにこんな文言が相次いで掲載された。マイナンバーをキーにした「情報連携」と呼ぶシステム処理によって、本来ならば添付書類を出さなくてもマイナンバーを提出しさえすれば国民健康保険の手続きができるはずだった。しかし実際には事務が遅くなるので、従来通り添付書類の提出を求めることを通知する文章だ。 「国が情報連携できるといってもできないことばかり。添付書類を求めるしかない」。複数の自治体職員は異口同音に不満を漏らす。 制度実現に不可欠な仕組み マイナンバー制度は法律に基づき独立して意思決定をしている省庁や市区町村が、互いのシステムを連携させる壮大な制度だ。政府だけで約3000億円超とも言われる巨費を投じて、国や自治体がシステムを構築してきた。 マイナンバー制

エンジニアの常識はマネジャーには「非常識」、意識を変えないと地雷踏む エンジニア出身マネジャーの注意点（上） ITに関わるプロジェクトは多様化する一方だ。新規事業やサービスの開発、業務改革などと密に絡み、あらかじめゴールを設定できない状況で開始せざるを得ないケースも少なくない。 この連載では、そうした先が見えないプロジェクトを「暗闇プロジェクト」と呼び、この種のプロジェクトを担当するマネジャーにとって参考になりそうなヒントやノウハウを紹介している。 プロジェクトには様々なステークホルダー（利害関係者）が関わる。実は顧客以上に厄介で面倒なのは、社内関係者のコントロールだ。今回からしばらく、暗闇プロジェクトを進める際にマネジャーが知っておくべき社内コントロールの心得を紹介する。 今回と次回は主に、エンジニア出身の新任マネジャーが陥りやすい注意点を中心に見ていく。 セオリー1 マネジャーは自信満

日経BPコンサルティングは2014年12月3日、「障害者のインターネット利用実態調査（視覚障害者）」の結果を発表した。調査の結果、パソコンからインターネットを利用した際にWeb上にバリア（障壁）があることで閲覧・手続きなどの利用を諦めた全盲者は9割以上で、弱視者でも約6割いた。詳細はこちら。 「障害を理由とする差別の解消の推進に関する法律（障害者差別解消法）」が、2016年4月1日に（一部の附則を除き）施行されることを踏まえ、今回の調査では視覚障害者を対象に、インターネット利用実態を調査した。 調査は、音声読み上げ対応ソフトに対応できるよう配慮したWebアンケート画面により、140人の視覚障害者を対象に実施。見え方については、「全盲（日常生活で活字の読み書きが困難な視力）」と「弱視（日常生活で拡大読書器やルーペなどの補助具を使用して活字の読み書きができる、または見えづらいが活字の読み書きが

富士通は2014年4月12日～13日の2日間、社外の人材を交えたハッカソンを開催した。名称は「さくらハッカソン2014」。「桜をきっかけにして東北を訪れる人々を増やすアイデア・サービス」を開発することが目的だ（関連記事）。約40人の参加者、8チームが集まってサービスを開発した。 参加した8チームの内訳は、広告代理店のTBWA\HAKUHODOと富士通社員との混成チームが4チーム、Webサイト開発などを手掛けるEyes,JAPANや学生などの一般参加者が4チームである。1日目でアイデアを出し合い、2日目でWebサイトやスマートデバイス向けアプリなどを開発した（写真1）。 2日目の夕方に、各チームは開発したサービスについて発表し合った。スピーチ内には必ず、そのサービスを紹介するプロモーションビデオを入れるルール。参加者が出演して利用シーンを再現するなど、各チームとも趣向を凝らしたビデオを上映し

2013年夏に連載した「スマホ少年の暴走、スマホ少女の憂鬱～今、10代が危ない」では、スマートフォンの急速な普及により、スマートフォンを手放せなくなった小学校高学年から中学生、高校生までのいわゆる「スマホチルドレン」の実態とその周辺の様々な課題を描いてきた。そして今でもスマホチルドレンたちの“受難”は続いている。 今回、タイトルを改め仕切り直しをして、月1回程度のペースで連載を再開することにした。前回と同様にスマホチルドレンにかかわる様々な問題を取り上げ、筆者なりの考えを示していきたい。読者各位からは、記事についてのご意見を伺いたいと考えている。 相次いだ炎上事件を高校生、大学生はどう見たか 今回は、若者がネットを使うことで直面したトラブルを中心に考えたい。スマートフォンと直結しない場合もあるが、トラブルの過程でスマートフォンが重要な役割を果たしていた例も少なくない。 2013年夏以降、バ

写真1●横浜市内で記者会見に臨むNTTデータ第二金融事業本部第一バンキング事業部長の鈴木正範氏（右）と、同事業本部第三バンキング事業部プロジェクト統括部部長の田中正和氏 NTTデータは2014年2月5日、横浜銀行の勘定系情報システム（預金や融資などを管理する銀行業の基幹情報システム）を悪用して不正出金を実行した容疑者が逮捕されたことを受けて、横浜市内で記者会見を開いた（写真1、速報記事）。 NTTデータは横浜銀行の勘定系システム「MEJAR」（メジャー、関連記事1、関連記事2）」を開発・運用している。容疑者はNTTデータの業務委託先（孫請け）である富士通フロンテックの社員だった。 NTTデータは、記者会見で不正出金の経緯を説明した。NTTデータは千数百台ある横浜銀行ATM（富士通製）にそれぞれ蓄積される「解析用ログ」を、NTTデータが運用するサーバーに集約した後、MOディスク（光磁気ディス

気がつけば、個人情報保護法の改正をテーマに取材を始めて1年近く経った。取材を始めるきっかけは、個人に関わる情報を蓄積したビッグデータが「いつか現実社会の個人と結びつく可能性は否定できない」という弁護士のひと言だった。

図●改定で特に変化が大きかった箇所 共通鍵暗号（64ビット・ブロック暗号、128ビット・ブロック暗号、ストリーム暗号）のカテゴリは、改定前には多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。ハッシュ関数は、安全性に問題がある二つの方式が削られている。（日経エレクトロニクス2013年4月15日号p.11から抜粋） 電子政府で用いる暗号方式を評価・調査するプロジェクトであるCRYPTRECが公開している「電子政府推奨暗号リスト」が10年ぶりに改定された（Tech-On!の関連記事）。同リストは、日本政府が電子システムを調達する際に使用を推奨する暗号方式を示すもの。技術的に安全性が確認された暗号方式を政府が示す役割も担っている。いわば“日本の標準暗号”を示すリストだ。 今回の改定では、2012年春に予告された通り、リストから多くの国産暗号が消えた（Tech-On!の関連

2013年3月26日から発生していた住民基本台帳ネットワークシステム（住基ネット）の障害の原因が、データベース（DB）に情報を書き込む際の文字コードの誤り（文字化け）にあったことや、障害が影響した市町村の合計が231に及んでいたことなどが分かった。総務省が4月2日に発表した（関連記事：全国200の自治体で住基ネットが利用不可能になる障害が発生）。 今回の障害は、自治体にある住民基本台帳システムと住基ネットを接続する「コミュニケーションサーバー」のハードウエアとOSを231の自治体で更新し、それに伴い、コミュニケーションサーバーのアプリケーションに対して、新OSに対応させる修正プログラムを適用することで発生した。 コミュニケーションサーバーのアプリケーションは、氏名・住所・生年月日・性別という4つの「本人確認情報」を、DBサーバーである「Oracle Database」に保存する際に、住基ネ

トレンドマイクロは2013年3月22日、TwitterなどのソーシャルメディアでWebブラウザーを利用不可能にするツール（ブラウザークラッシャー、略称ブラクラ）へのリンクを含む投稿が拡散しているとして、注意を呼びかけた。 このリンクをクリックすると、「今度は何度押しても消えませんよｗ(・∀・)ニヤニヤ」というメッセージボックスが表示され、ブラウザーが動作しなくなる。Windows、iOS、Androidなどプラットフォームを問わずにブラクラとして機能するのが大きな特徴。特に、コンピュータウイルスの脅威が少ないといわれるiPhoneなどのiOSデバイス（関連記事：ウイルス対策ソフトがiPhoneにないのはなぜ？）でも動作することに注意が必要だ（画面）。 このブラクラは、Webブラウザーで動作する「JavaScript」を悪用した単純なもので、現時点では、このブラクラ自体に投稿を自動拡散したり

画面●東京証券取引所が運営する「適時開示情報閲覧サービス」。上場企業は、決算情報などをここに掲載するが、自社Webサイトにも同時掲載するケースが多い 東京証券取引所が上場企業に対して、決算情報など「適時開示情報」（画面）に関するWebサイトでの情報開示体制について問う緊急アンケートを実施していることが、ITproの取材で分かった。 日本経済新聞などが「一部上場企業のWebサイトに公開前の決算情報ファイルが置かれ、投資家がこれを閲覧したうえで売買取引をして利益を上げていた」と報じている。これを受けて、東証は上場企業のセキュリティ管理体制を確認し、証券市場の公正さを維持する狙いがあるとみられる。 ITproの取材によると、2013年3月12日に東証から上場企業へとアンケート回答依頼が送付された。原則として、ネットを通じて入力・回答する仕組み。3月26日までの回答を求めている。 「公開ディレクト

HTTPヘッダーインジェクション攻撃は、Cookie出力やリダイレクト処理など、HTTPレスポンスヘッダーを出力している箇所に対する攻撃である。外部から、これらレスポンスヘッダーの値に改行文字を含ませることにより、本来のヘッダーとは別のヘッダーを送信したり、本文（HTTPメッセージボディー）を改変したりできる。これらを許すことはヘッダー出力処理のバグである。 以下、簡単なCGIプログラムを題材として、HTTPヘッダーインジェクションによる「なりすまし投稿」の原理を説明する。 なりすまし投稿の仕組み

横浜市のサイト「市民からの提案」は、市民から様々な意見を集める目的で運営されている（写真1）。なりすまし犯行予告により、無実の一般市民が相次いで誤認逮捕された一連の事件では、ここが犯行現場の1つになった。2012年6月、横浜市立の小学校を襲撃するという予告が書き込まれたのだ。 大きな実害はないはずの問題が… 用いられたのは、クロスサイトリクエストフォージェリー（CSRF）という攻撃手法である。犯人は匿名掲示板2chなどを介して、一般市民の被害者を罠サイトに誘導し、そこに仕掛けたJavaScriptを実行させた。すると被害者が知らないうちに横浜市のサイトに襲撃予告が書き込まれ、あたかも被害者が書いたかのように見せかけられた。具体的には、被害者のWebブラウザーからのアクセスによって、被害者PCのIPアドレスが横浜市サイトのアクセス履歴に残ったのだ。捜査当局はそのIPアドレスをたどって、被害者

2013年1月27日に実施された「国家検定ファイナンシャル・プランニング技能検定試験（FP技能検定試験）」の試験問題が事前に漏洩したトラブル（関連記事）を巡って、試験実施団体の1つである金融財政事情研究会（研究会）は2月12日、試験は「有効」であることを発表した（画面）。 当初の予定通り合否判定を行い、3月7日に合格発表する。研究会は、経緯を厚生労働省に報告した結果、「厚労省において、2013年1月27日実施の試験は『有効』であると判断したとの連絡があった」と説明している。もう1つの試験実施団体で、研究会と一部の試験問題を共用している日本ファイナンシャル・プランナーズ協会（日本FP協会）も、同様に試験が有効であると発表した。 試験問題のPDFファイルは、実施の数日前から研究会のWebサイトで“公開”されており、URLが分かれば誰でも閲覧できる状態になっていた。事前に試験問題を知った受験者が

2013年2月2日から3日にかけて、国内のセキュリティー技術者が知識と技術を競う競技会「CTFチャレンジジャパン 2012」の決勝大会が、秋葉原のUDXギャラリーネクスト（東京・千代田）で開かれた（写真1）。12年11月から全国4か所で開かれた地方予選を勝ち抜いた9チームが2日間を戦った。不正アクセス被害の解析や証拠保全技術などを手掛けるネットエージェント（東京・墨田、杉浦隆幸社長）の技術者チーム「Agent IV」が初代王者に輝いた（写真2）。 2日間にわたる決勝大会の競技は、各チーム4人までの技術者からなる団体戦で行われた。マルウエアなど不正なソフトの動作や脆弱性の解析技術を競う「バイナリ解析」、不正アクセスなどの痕跡を分析する「フォレンジックス」、サーバーへの侵入・防御技術を競う「サービスアタック」など、セキュリティー技術の6ジャンルにそれぞれ4問ずつの課題を用意。合計24問、600