Facebookの脆弱性、発見者がZuckerberg CEOのウオールを使って証明
パレスチナのIT研究者が米FacebookのMark Zuckerberg最高経営責任者(CEO)のウオールにバグ報告を直接書き込んだことを、複数の米メディア(VentureBeat、PCMag.comなど)が現地時間2013年8月18日に報じた。同研究者は、Facebookのセキュリティチームに脆弱性を報告したが無視されたので、証明のためにやむなく実行したとしている。 Zuckerberg氏のウオールに投稿したKhalil Shreateh氏は、自身のブログでこの件について詳しく説明している。同氏は、たとえ友達承認されていなくても別のFacebookユーザーのウオールに投稿できてしまう深刻な脆弱性をFacebook上に発見し、Facebookのホワイトハットプログラムを通じて報告した。しかし電子メールで説明を繰り返したのち、8月14日にFacebookのセキュリティチームから「これはバグ
西日本鉄道のホームページ改ざん、不正サイトへ誘導される状態に
西日本鉄道は2013年7月12日、同社のホームページが改ざんされ、閲覧すると不正サイトへ誘導される状態にあったことを明らかにした。改ざんされていたのは「高宮はるかのにしてつ新発見!」(http://blg.nnr.co.jp/haruka/)および「西鉄駅伝部」(http://blg.nnr.co.jp/ekiden/)。改ざんされていた期間は7月8日21時ごろから7月11日20時50分ごろまでで、この間に約3800件のアクセスがあった。 「サーバーに搭載していたシステムに、第三者が不正にアクセスし改ざんした」(西日本鉄道)。経緯などの詳細は調査中としている。顧客情報の流出はないという。 西日本鉄道では改ざんされたコンテンツにアクセスした可能性があるユーザーに対し、セキュリティソフトを最新の状態にし、ウイルスの感染確認と駆除を行うよう呼びかけている。 [発表資料]
第5回:全社を挙げて内部不正を防ぐ、組織トップが対策の陣頭指揮を
内部不正対策を効率的で効果的なものにするためには、組織全体で対策に取り組むことがとても重要です。組織のトップが内部不正対策に積極的に取り組む意思を示し、陣頭指揮を取ることが組織を変えていきます。その徹底のためには体制整備が不可欠。各部門が連携した対応を取ることで、穴のない対策が可能になります。 内部不正が発生すると、ビジネス上の競争力を支える情報が漏洩したり、事業の関係者からの信用を失うなどの損害が発生します。場合によっては、組織や事業の存続に影響する程の損害を受けることも考えられます。 そのような事態を防ぐために、組織のトップは内部不正対策を経営課題の1つとして真摯に捉えて取り組む必要があります。そして、組織のトップ自らが組織の内外に向けて内部不正対策に積極的に取り組む意思を示し、内部不正が起こりづらい組織にしていかなければなりません(図1)。 必要なリソースを割り当て権限移譲も 組織の
松江市が中学生Ruby教室用ソフト一式をGitHubで公開、テキストもCCで無償配布
松江市は2013年6月26日、同市が実施している中学生Ruby教室で使用しているソフトウエア一式を無償公開した。ソフトウエア開発プロジェクトホスティングサイトの「GitHub」の、rubycitymatsueのリポジトリから自由にダウンロードできる。テキストもすでに2012年にクリエイティブ・コモンズ(CC)ライセンスで無償配布している。 中学生Ruby教室は、松江市が市内の中学生を対象として実施している教室。1日または半日でRubyを使いプログラミングを学ぶ。2009年より開始し、のべ参加者は200人を超えている(関連記事)。 松江市は中学生Ruby教室のほか、中学生向けにRubyのeラーニング事業を進めている。また中学校の授業でのRuby講座実施を目指しており、市立中学校で中学生Ruby教室のテキストを利用した実証実験を行っている。
20カ国でGoogle Appsを利用
クボタが米グーグルのクラウド型情報共有システム「Google Apps for Business」の導入を進めている。今年10月までに、20カ国2万人以上の従業員が利用できるようにする計画。既に国内を中心に約9000人がGoogle Appsを利用している。 全世界共通の情報共有システムとしてGoogle Appsを導入した理由は、「地域や拠点ごとにバラバラで整備されてきたシステムを統一することで、グローバルでのコミュニケーションを効率化したり、セキュリティを高めたりするため」(クボタ)という。 従来は、メールや電話が主なコミュニケーション手段で業務効率面で課題があった。セキュリティについては、拠点ごとに対策を講じていたため、対応策のレベルに格差が生じたり、セキュリティ投資の重複が発生したりしていたという。 クボタは海外売上高比率が5割を超えている。2018年をめどに海外売上高比率を7割に
阪急阪神百貨店のショッピングサイトで、クレジットカード情報など2382人分の個人情報が漏洩
エイチ・ツー・オー リテイリングは2013年5月29日、阪急阪神百貨店のショッピングサイト「阪急・阪神オンラインショッピング」が不正アクセスを受け、氏名や住所、クレジットカード情報など最大2382人分の個人情報が漏洩した可能性があることを明らかにした。 不正アクセスで閲覧された可能性があるのは2382人分の顧客情報で、氏名、住所、電話番号、生年月日、性別、メールアドレス、セキュリティワードが含まれる。さらに1360人分については、クレジットカード情報と有効期限が閲覧された可能性があるという。現時点で、会員の金銭的被害は確認されていない。 同社は5月13日の段階で、大量のアクセスエラーが発生していることを確認。14日には、不審なIPアドレスからのアクセスにより利用者の個人情報が閲覧されたことが判明したという。そのIPアドレスからのアクセスを遮断し、監視体制を強化して以降、不正アクセスは確認さ
Googleもナビゲーションアプリ「Waze」買収で交渉中---米メディアの報道
米Googleがカーナビゲーションのモバイルアプリケーション「Waze」の買収に向けて交渉中だと複数の米メディアが現地時間2013年5月24日までに報じた。Waze買収を巡っては、すでに米Facebookが協議の場を持ったと伝えられている。 Wazeは2008年にイスラエルで設立され(当初の社名は「Linqmap」)、米国ではカリフォルニア州パロアルトに拠点を置いている。カーナビゲーションシステムとSNSを組み合わせたサービスが人気を集めており、スマートフォン(iOS、Android、Windows Phoneなど)向けに無料アプリケーションを提供している。通常のカーナビ機能に加え、ユーザー同士で渋滞などの道路状況や安いガソリンスタンドといったさまざまな情報を共有できる。 米Businessweekの報道によると、現在世界で4000万人以上がWazeを使用している。Wazeは、10億ドル超
さくらインターネット、分散ストレージサービスを今秋に開始へ
さくらインターネットは2013年秋に、分散ストレージサービスを開始する。同社の田中邦裕社長が、インテルが2013年5月22日に開催した記者説明会に登壇して明らかにした(写真1)。分散ストレージソフトにはインテルが出資する米アンプリデータの「Amplidata」を、ハードウエアにはインテルのCPUを搭載したPCサーバーを使用する。サービスはさくらインターネットの「石狩データセンター」から提供する。 さくらインターネットの田中社長は、同社の分散ストレージサービスについて「『Amazon S3』に相当するもの」と述べ、「さくらのクラウド」で仮想マシンを利用するユーザーが、データのアーカイブや仮想マシンのバックアップに使用するものになると説明した。 また分散ストレージは、さくらインターネット自身も使用する。「当社では現在、サーバーログが1日で1テラバイト増えている。そのためサーバーログは、半年で消
警察庁が「サイバー攻撃分析センター」、全国の警察から情報を収集
警察庁は2013年5月16日、同庁警備局警備企画課に「サイバー攻撃分析センター」を設置した。サイバー攻撃の実態を解明するために、全国の警察などから情報を収集し分析する。 同センターの人員はおよそ20人。センターの長には、同課の「サイバー攻撃対策官」が就く。同センターは、全国の警察の司令塔として、サイバー攻撃に関する情報の収集や分析、捜査の指導調整などに当たるという。 既存のサイバー攻撃対策も強化する。現在、13の都道府県警察には、サイバー攻撃専従の捜査員で組織される「サイバー攻撃特別捜査隊」が設置されている。捜査員は全部でおよそ140人。今後は、これらの捜査員を別の県に派遣するなど、都道府県の枠を超えて広域的に運用する。 官民連携の強化も図る。重要インフラの事業者や先端技術を有する事業者、セキュリティ関係事業者などとの情報共有の枠組みを拡大するとともに、情報交換の活性化を進めるという。 警
第2回 車載ソフトへの攻撃例が続々
第1回で、車載ソフトが悪意ある攻撃者の対象になりつつある自動車技術の大きなトレンドを示した。現在、情報セキュリティの研究者らは自動車への攻撃手法を検討し始めている。情報セキュリティの世界では防御の手法を練るのと同時に、どんな攻撃を受ける可能性があるのか研究することが大切である。第2回は現時点で公開されている研究のうち、代表的な4例を紹介する。 【事例1】発端となった米国の研究論文 2010年、実証実験に基づく論文「Experimental Security Analysis of a Modern Automobile」が公開された(図1)。論文では、自動車の保守点検用ポートに特別な機械を設置し、並走する車両から車載システムの脆弱性をついた攻撃することで、ブレーキやワイパーの制御に影響を与えられることを明らかにした。 この論文では、対象車両の通信を盗聴して解析し、認証すること、および発信元
ディノスに111万件の不正アクセス、1万5000件の不正ログイン
ディノスは2013年5月9日、同社が運営するオンラインショッピングサイトに約111万件の不正アクセス、約1万5000件の不正ログインがあったことが判明したと発表した。同社では、IDとパスワードは他社から流出したもので、現時点で顧客情報の流出、不正利用などは確認されていないとしている。 同社では5月8日9時半のログイン認証ページへのアクセス数チェックで異常なアクセス数を確認。調査の結果、5月4日から複数のIPアドレスから約111万件の不正なアクセスがあり、約1万5000アカウントの不正ログインがあったことが判明したという。顧客の「氏名」「郵便番号」「住所」「電話番号」「eメールアドレス」などが登録されている「お客様情報ページ」への不正アクセスは確認されていないとしている。 同社では不正アクセス元のIPアドレスからのアクセスを遮断。不正ログインがあったの約1万5000アカウントをログインロック
標準規格の文書は有償?無償?
標準規格の文書なら無償で入手できそうですが、実際は標準化を担う組織などによって事情が異なります。近年、代表的な標準規格の文書は無償提供されるケースが増えつつあるようです。ここではネットワーク分野で広く採用されている「ITU勧告」「IEEE 802標準」「RFC」を例に紹介します。 「ITU勧告」はITU(国際電気通信連合)で決められる標準規格です。ネットワークに関する標準化は、電気通信標準化部門(ITU-T)が進めます。かつてのITU-Tでは標準規格の文書は参加メンバーしか見られませんでしたが、今は正式な勧告として承認された後なら誰でも無償でインターネットからダウンロードして閲覧できます。 「IEEE 802標準」はIEEE(米国電気電子技術者協会)の802委員会によって決められるネットワークに関する標準です。IEEE 802標準の規格の文書は、策定直後は有償で、半年から1年後には無償で誰
京都と大阪でNFCアプリのハッカソン、便利なライブラリも公開
Google Developer Group 京都とNFC LABは2013年4月20日、アプリコンテストAndroid Application Award(A3)2013への応募を目指すハッカソンを京都と東京で開催した。A3 2013は、Androidで動くネイティブアプリとWebアプリを対象とするアプリコンテストで、NFCを活用したアプリを表彰する「NFC賞」も設けている。 NFC制御のUI周りのライブラリを一般にも公開 Google Developer Group 京都は、Googleの技術に興味を持つ京都の開発者のコミュニティ。NFC LABは、Androidスマートフォンへの搭載が進むNFCの活用・普及を目的とする開発者コミュニティである(関連記事)。今回のハッカソンは、12日に両コミュニティが開催したアイデアソン(関連記事)に引き続いて行われたもの。会場もアイデアソンと同じ、京
OSSコンソーシアムがopensource COBOL新版公開、レガシー資産の移行が容易に
OSSコンソーシアムは2013年4月25日、OSS(オープンソース・ソフトウエア)のCOBOLコンパイラの新版、「opensource COBOL V1.3J」をリリースした。レガシーシステム上で稼働するCOBOLアプリケーションを、オープン環境に移行しやすくしたことが特徴。5月下旬には、開発支援ツールのリリースも予定している。 opensource COBOLは、OSSコンソーシアムのオープンCOBOLソリューション部会が、2012年7月に公開したオープン系COBOLの実行環境だ(関連記事)。日本医師会の日医標準レセプトソフトのために開発されたOSSのCOBOLコンパイラ、「OpenCOBOL」がベースとなっている。 今回リリースした新版では、既存のCOBOLプログラムでよく使われる関数などをサポートすることで、レガシーマイグレーションを容易にした。文字コードについては、新たにUnico
第2回 10大脅威---1位から5位
情報セキュリティーの研究者、実務担当者など約100名の意見を集約して選んだ、情報システムを取り巻く「2013年版10大脅威」。今回は1位から5位について紹介する。 1位:クライアント・ソフトの脆弱性を突いた攻撃 OSに依存しないクライアント・ソフトの脆弱性を悪用されることにより、ウイルスに感染したり、システム内の情報が窃取されたりするなどの被害が発生する可能性がある。ユーザーにおいては、クライアント・ソフトを最新に保つ対応が求められる。 <脅威と影響> 近年発生しているウイルスを用いた攻撃の大半は、クライアント・ソフトの脆弱性が悪用されている。クライアント・ソフトの脆弱性を狙った攻撃傾向は、主流な攻撃手法になって久しい。しかし、昨今のインターネット・バンキングを狙ったウイルスや政府機関を狙った攻撃を見ても分かるように、ユーザーに対策が浸透しておらず被害を食い止められていないのが実情である。
テクマトリックス、ソフトウエア構成管理ツールの最新版「AccuRev 5.6」を出荷開始
テクマトリックスは2013年4月22日、最新版のソフトウエア構成管理・変更管理ツール「AccuRev 5.6」の販売と出荷を開始した(写真)。新たにワークフロー機能を追加し、ソフトウエアの開発プロセスをワークフローで制御できるようにした。開発元は米AccuRev。価格は5ユーザーで99万円から(税別)。 AccuRevは、ソフトウエアのソースコードや仕様書といった成果物を、サーバー上で一元管理するための製品である。開発プロセスと一体で管理できることが特徴で、サーバー上の成果物が最終的な完成品なのか、あるいはテスト中なのか、レビュー中なのかといった状態(ステータス)についても同時に管理できる。 旧版では、ステータスの変更が手動だったため、正確なステータスを管理できないことがあった。開発プロセスは「ソースコードの開発」から「ソースコードのレビュー」へと進行したのに、ステータスは「開発中」のまま
サイバネットシステム、XPから7にデータを自動移行するクラウドサービスを発表
サイバネットシステムは2013年4月23日、企業クライアントのOSをWindows XPからWindows 7に移行するクラウドサービス「Windows 7ユーザーデータ移行支援サービス」を発表した。5月8日に販売開始する。価格(税別)は、1台当たり5000円(500台の移行を依頼した場合)。 旧式パソコン(Windows XP搭載機)から新型パソコン(Windows 7搭載機)にデータを移行するサービスである。あらかじめ新旧両方のパソコンに専用のエージェントソフトをインストールした状態で利用する。サイバネットシステム側からネットワーク経由でエージェントに指示を出し、これらの間でデータを移行する仕組み。 移行対象データや移行スケジュールなどは、ユーザー企業の情報システム部門がサイバネットシステムと事前に話し合って決める。移行作業を実施するのはサイバネットシステムであって、ユーザー企業の情報
Linus君がボクを後継者に指名した理由 - Gitメンテナー 濱野 純氏
今やソースコード管理システムの標準となっている「Git」(関連記事)。作者のLinus Torvalds氏から指名され、メンテナーとして責任を負っているのが現在米国のGoogle本社に勤務する濱野純氏だ。濱野氏に、メンテナーを引き継いだ経緯、Googleでの仕事などについて聞いた。 Gitコミュニティはどのように活動しているのですか。 本体の開発は、デザインからコードレビューまで、すべてGitメーリングリストで行っています。最近のリリースには、それぞれ60人から80人程による変更が入っていますが、常に活動している主要な開発コミュニティ参加者、と言えるのは10人程度です。 開発者でない人たちで#git IRCチャネルとか、stackoverflowなどでエンドユーザーのサポートをしてくれる人たちの数はもっと多いと思います。この人たちも、Gitコミュニティの重要な仲間です。 Gitコミュニティ
MPU、GPU、FPGAをまとめてプログラムできる環境、IBM研究所がJava拡張言語ベースに開発中
米IBM社研究所は、異なるアーキテクチャのリソースが混在したコンピューティング・システムのプログラミングを一括して行える設計環境に関して、「Asia and South Pacific Design Automation Conference(ASP-DAC) 2013」(2013年1月22日~25日にパシフィコ横浜で開催)で招待講演した。講演タイトルは「The Liquid Metal IP Bridge」(講演番号:4A-3)である。 講演タイトルにある「Liquid Metal」は、異なるアーキテクチャのリソースが混在したコンピューティング・システムのプログラミングを一括して行える設計環境を開発するプロジェクトの名称である(プロジェクトのホームページ)。このプロジェクトは2007年に始まった。今回、登壇したのはRodric Rabbah氏で、同氏はThomas J. Watson R
Gmailの乗っ取りが国内で相次ぐ、パスワードの強化や2段階認証の利用を
12月24日以降、Webメールサービス「Gmail」のアカウントを乗っ取られる事件が国内で相次いでいる。日経パソコン編集部にも、乗っ取られたアカウントから送信されたとみられるメールが複数送られている。Gmailユーザーは、パスワードの強化や2段階認証の有効化が急務。既に乗っ取られていないかどうか、ログイン履歴(アカウントアクティビティ)も確認しよう。 被害に遭ったユーザーによるネットへの書き込みなどによると、Gmailのパスワードが推測や総当たり攻撃により破られて、不正にログインされているようだ。不正にログインした攻撃者はそのユーザーになりすまし、アドレス帳に登録されているメールアドレスに対して、迷惑メール(スパム)を送信している。 迷惑メールの本文には、特定のURLだけが記載されている(図1)。このURLのWebサイトに誘導することが攻撃者の目的だったと考えられる。同サイトは現在では閉鎖
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
