ふるさと納税サイトが600万回のリスト型攻撃で被害、2000件超の個人情報流出か
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は、3件のトピックを取り上げる。ふるさとプレミアムへの不正ログイン被害、電子マネー決済システムの障害、日本気象協会のEmotet感染被害である。 ディスク使用量が100%に達する異常を検知して事態を把握 ふるさと納税サイト「ふるさとプレミアム」を運営するユニメディアは2022年3月2日、同サイトがパスワードリスト型攻撃を受け2099人分の不正ログインを許した可能性があると発表した。 運営事務局が2月17日午後1時、管理画面で異常に気づき、ディスク使用量が100%になっていた原因を調査。パスワードリスト型攻撃を受けていた可能性が判明したという。 攻撃は2月13日から2月17日までの5日間に、主に日本国内の2000以上のIPアドレスから分散して約600万回行われた。不正ログ
川崎市の区役所がメール誤送信、「証拠隠滅」を図るも失敗
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。 2019年8月上旬の注目ニュースは3件。最初は、川崎市中原区のメール誤送信トラブルを取り上げる。 50人のメールアドレスを宛先やccに指定して漏洩(8月5日) 川崎市中原区役所が、メール誤送信によるメールアドレスの漏洩を発表した。 中原区が開催した夏休みのイベントに応募した132人のうち、落選した57人中50人に7月26日に送ったメールで、50人分のメールアドレスを宛先もしくはccで指定していた。落選を伝えるメールだった。 区役所の担当者は、該当のメールを受信した人からメールで指摘を受けて事態を把握した。 ところが、事態の発覚を恐れた担当者は、指摘を受けたメールと送信履歴にあった該当のメールを削除。上司への報告も怠ったという。 最初に指摘した受信者から再度問い合わせのメールが
テスト駆動開発とマイクロサービスのせいで短命に終わったスマホゲームの話
「悪い方が良い」原則をご存じだろうか? プログラミング言語「Common Lisp」の開発に携わったことでも知られるソフトウエア技術者リチャード・ガブリエル(Richard Gabriel)氏が1990年に発表した有名なエッセイ「The Rise of ``Worse is Better''」で主張したソフトウエア開発の考え方だ。 このエッセイでガブリエル氏は、美しく完全に設計・実装されるより、単純で雑に設計・実装されたソフトウエアの方が良いと説く。彼は前者を「正しいやり方」「MIT/スタンフォード式」、後者を「悪い方がよい原則」「ニュージャージー式」と呼び、ニュージャージー式がいかに優れているか様々な事例を挙げて説明する。 これは一見とても奇妙に聞こえる。 ソフトウエア開発では通常「美しい設計」や「美しいコード」が尊まれる。「車輪の再発明はするな」とか、「階層構造に分けて、要素をいつでも
新入社員はメールが書けない、基礎から教えないとトラブルに
「デジタルネーティブ世代」と呼ばれる新入社員たち。メールは日常的に使いこなしているはずだから、特段教える必要はないだろうと思うのは大きな間違いだ。若者たちの連絡手段は、LINEかSNSがメイン。ビジネスメールは書き方を知らないどころか、PCでメールをやり取りしたことがほとんどないという新入社員だっている。 社会人となると、まともなビジネスメールをやり取りできなければ、業務が成り立たないし、事故やトラブルにつながる恐れもある。ベテラン社員なら常識と思うことが、新人には通用しないケースは多々ある。そこで今回は、新人に教えるべきメールの注意点を整理しよう。 ビジネスメールの書き方は分からないという前提で 筆者が実際に大学生たちに話を聞いたところ、「就職活動のときは大学から与えられたメールアドレスを利用しているが、それ以外のアドレスを持っていない」「携帯メールのアドレス、フリーメールのアドレスを持
若手技術者が年収800万円を要求、怒った課長の非常識さ
最近、Twitterで次のようなユーザー企業の話をつぶやいたら大反響があった。「優秀な技術者(もちろんプログラマー)を採用しようとした某企業。応募してきた若手技術者に『年収800万円以上なら就職してもよい』と言われ、面接官の課長は『私の給与よりはるかに高い』と怒ったそうだ。でも米国企業では技術者が1000万円近くで、現場のマネジャーが500万円なんて当たり前のこと」。 このつぶやきに対して、1日でリツイートが4000以上、「いいね」が6000以上あり、いわゆる「バズる」状態になった。日本企業に勤める技術者たちの秘めたる思いを強く刺激したようだ。この「極言暴論」でも何度か指摘している通り、なぜ日本企業では管理職に比べて、技術者などの専門職の給与水準が低く抑えられているのか。特に優秀な技術者なら誰もが理不尽だと感じていた日本企業の常識を、その若手技術者はあっさり無視してみせたわけだ。 結果とし
みずほ銀が60システムをAWSに移行、ダイソーはBI基盤移行で費用8割減
アマゾン ウェブ サービス ジャパンは2018年12月20日、BI(ビジネスインテリジェンス)サービス「Amazon QuickSight」の説明会を開催した。QuickSightのユーザー企業として登壇したみずほ銀行は、60システムを順次AWSに移行する計画を明かした。
?n_cid=nbpnxt_fbbn
「目指せ!インシデント・ゼロ」「ヒヤリハット撲滅!」──。最近このような組織目標を掲げるIT職場が増えている。 情報セキュリティやシステム品質に対する要求レベルがますます高まっている昨今。インシデント・ゼロやヒヤリハット撲滅を掲げたくなる気持ちはよく分かる。情報漏洩や品質低下が企業の信頼を一瞬にして失墜させ、ブランドイメージを大きく下げることを考えると事情は理解できる。 しかし、インシデント・ゼロやヒヤリハットの撲滅といった掛け声は、私の経験ではIT職場にとってむしろ逆効果でしかないように思える。現場では「ミスなく働く振り」が横行し、結果的に社員や関係会社の人たちを疲弊させるだけだ。 インシデント・ゼロ宣言は余計な仕事を生むだけ インシデント・ゼロを掲げたIT職場で働く社員の典型的な行動パターンを見てみよう。よほど風通しが良い組織でなければ、多くの企業では大抵こうなる。IT職場の課長クラス
覆された常識、CSVファイルでウイルス感染
テキストファイルは開いても安全――。情報セキュリティの常識だ。ところが、その常識が覆された。テキストファイルの一種であるCSVファイルを使った標的型攻撃が国内で確認されたのだ。CSVファイルを開いただけでウイルス(マルウエア)に感染する恐れがある。CSVファイルも危ないファイル形式の一つだと認識すべきだ。 CSVファイルとは、表の要素などをカンマや改行を使って記述したテキストファイルのこと。CSVはComma Separeted Valueの略である。ファイルの拡張子はcsv。CSVファイルの中にはテキストの情報しかない。 だが、拡張子がtxtなどのテキストファイルとは大きく異なる点がある。初期設定(デフォルト)でExcelと関連付けられている点である。Excelをインストールすると、ユーザーが設定変更しなければ、CSVファイルが関連付けられる。つまり、CSVファイルをダブルクリックするな
性同一性障害の私に居場所を与えてくれたWeb業界
「異能」ともいえる際立った能力や実績を持ち、まわりから一目置かれるエンジニアを1カ月に一人ずつ取り上げ、インタビューを掲載する。今月取り上げるのは「Yugui」というハンドルネームで知られる園田裕貴(そのだゆうき)氏。書籍「初めてのRuby」の執筆者であり、過去にはRuby 1.9系のリリースマネジャーを務めた。スケールアウト(現Supership)の初期中心メンバーの一人でもある。今回は、プログラミングとの出会いからWeb業界で働くようになったきっかけを聞いた。 プログラミングを始めたきっかけは、小学校低学年のころ、自宅にPC-8800シリーズ(PC-88)というパソコンがあったことです。父親はIT関係の仕事ではありませんでしたが、趣味で多少プログラミングをしていました。デスクトップミュージック(DTM)のようなことをしたり、自作のプログラムで事務処理をしたりしていたようです。 私も家で
失敗の全責任はユーザー側に、旭川医大とNTT東の裁判で逆転判決
電子カルテを中核とする病院情報管理システムの開発が失敗した責任を巡り、旭川医科大学とNTT東日本が争っていた訴訟の控訴審判決は一審判決を覆す内容だった。 札幌高等裁判所は2017年8月31日、旭川医大に約14億1500万円を支払うように命じた。2016年3月の一審判決は旭川医大の過失割合が2割、NTT東が同8割として双方に賠償を命じていたが一転、旭川医大に100%の責任があるとした。同医大は2017年9月14日、判決を不服として最高裁に上告した。 なぜ判決が覆ったのか、裁判資料かと判決文から見ていく。旭川医大とNTT東は日経コンピュータの取材に「コメントできない」と回答した。 高裁もユーザーの義務違反を認定 旭川医大は2008年8月に病院情報管理システムの刷新を企画し、要求仕様書を基に入札を実施。NTT東が落札した。日本IBMと共同開発したパッケージソフトをカスタマイズし、6年リースで提供
Struts2脆弱性対策、実は無意味だった!JPCERTが指摘
JPCERTコーディネーションセンター(JPCERT/CC)は2017年3月17日、同月9日に公開した注意喚起で挙げた「Apache Struts2」の脆弱性対策、「ソフトウエア『Jakarta Multipart parser』の入れ替え」では引き続き攻撃を受けてしまうと発表した。 JPCERTコーディネーションセンターの注意喚起。3月9日に公開した情報に追記として、今回の情報を追加している。URLは、https://www.jpcert.or.jp/at/2017/at170009.html。 Apache Struts2は、JavaのWebアプリケーションフレームワーク。多くのWebサイトで採用される。3月9日に公開された脆弱性(S2-045)を悪用されると、コンテンツを改ざんされたり、サーバー内のファイルを閲覧されたりする被害を受ける。国内でも被害が続出している。 JPCERT/C
ANAシステム障害の原因判明、シスコ製スイッチの「世界初のバグ」でDBサーバーがダウン
同期処理が失敗した原因は、4台をつなぐスイッチの不具合。具体的には、スイッチが故障状態であるにもかからず、故障を知らせる「故障シグナル」を発信しなかった。国内線システムは故障シグナルを検知するとスイッチを予備機に切り替えるが、今回はその機能そのものを作動できなかった。 スイッチは完全に停止したわけではなく、「不安定ながらも動作していたようだ」(同)。そのため、DBサーバー間の同期は順次失敗し、停止していったと見られる。 ANA広報によると、スイッチは米シスコシステムズ製「Catalyst 4948E」という。「2010年6月の発売開始以降、世界で4万3000台、うち日本で8700台を販売しているが、今回の不具合は初めての事象と聞いている」(ANA広報)。なぜ「故障シグナル」が発信できなかったかは分かっていない。 1台での縮退運転を決断 4台の完全停止から37分後、ANAは1台のDBサーバー
今後は「日本ヒューレット・パッカード」と「日本HP」に、HP日本法人が分社
日本ヒューレット・パッカードは2015年8月3日、8月1日に「日本ヒューレット・パッカード株式会社」と「株式会社 日本HP」に分社したと発表した。日本ヒューレット・パッカードがエンタープライズ事業、日本HPがPCとプリンティング事業を担当する。代表取締役社長は日本ヒューレット・パッカード株式会社が吉田仁志氏。株式会社 日本HPは岡 隆史氏。日本法人を8月に分社することは以前明らかにしていた。 11月1日に予定されている米国本社(ヒューレット・パッカード カンパニー)の分社に先駆けた動き。「日本に限らず、世界のいくつかの地域では8月から分社して活動を始めている」(広報部)という。米国では「Hewlett Packard Enterprise」と「HP Inc.」に分社する。
記者は「BadUSB」を試してみた、そして凍りついた
「BadUSB」という非常に危険な脆弱性をご存じだろうか。まだ大きな事件として明るみに出たものはなく、あまり知られてはいない。しかし今後、様々な方法でこの脆弱性が悪用され、企業ユーザーのITシステムが狙われる危険がある(関連記事:ファームウエアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」)。危険性を正しく知ってもらうべく、また自分自身で怖さを理解すべく、記者は今回、自ら環境を構築してBadUSBの動作を確認した――。 セキュリティ分野は特に「自分で触ってみるとよく分かる」 記者は、自分の目で見たり触ったりして確認できたものしか基本的に信じない性格である。もちろん、記事を書くに当たって、あらゆる物事を自分で確認できるはずはない。確認できないケースについては、代わりにその事実を確認した人(一次ソース)に取材することなどにより情報を得るが、自ら確認できるチャンスが少しでもあれば、
岩手県がスマホゲーム「Ingress」を観光振興などに活用
岩手県は米Googleが提供中の位置情報を利用したスマートフォン(スマホ)向けゲーム「Ingress(イングレス)」(写真)を、観光振興や地域活性化に活用する試みを始めると2014年9月24日に発表した。25日に広報や観光、復興推進などの担当者10人を集めた研究会を県庁内に発足、初会合を開く。ゲームのプレーヤーを狙った誘致イベントの開催や情報発信への活用方法を検討、来年以降の実施を目指す。自治体がIngressの活用に動き出すのは全国で初めて。 25日に発足するのは「岩手県庁Ingress活用研究会」。IngressはGoogleが2013年11月から提供しているスマホの位置情報機能を活用したゲーム。緑と青の2チームに分かれ、実在する場所に紐付けられた「ポータル」と呼ぶ拠点を奪い合う陣取りゲームである。今年7月にiOS版が公開されて以降、iPhoneの普及率が高い国内でもプレーヤーが増えて
三菱東京UFJ銀行でシステムトラブル、約30億円が定期振込できず
三菱東京UFJ銀行は2014年4月30日、定期自動送金サービスを担うシステムにトラブルが生じ、当日中に振り込みができない事象が発生したと発表した。約2万3000件の契約について、合計約30億円が振込先に入金できなかったという。 トラブルが起きたのは、決まった振込先に対して定期的に定額を振り込む「定期自動送金サービス」。4月30日付けの振り込みの一部が送金できなかった。システムに「想定外の処理が発生した」(広報)ためだ。 定期自動送金サービスのシステムは、振込日の前日に、1000件単位で契約内容をチェックし、送金処理を実施している。前月分の振り込みで同サービスを解約した契約については、当月分からは送金の必要はないものして扱われる。 具体的には、契約内容のチェックにおいて、契約の継続が確認できたものは、翌日朝に送金処理が実行されるが、確認できないものについては、解約したものとして「データなし」
大規模障害から1年余り、あの企業が「その後」を語った
「この度は取材をお受けしましたが、どう対応したらよいか。今でも迷いがあります」。担当者は取材の冒頭で、心境をこう吐露した。 記者は取材のためレンタルサーバー事業を手掛けるファーストサーバ(本社:大阪市)を訪れた。1年半ほど前に、顧客企業が利用していたサーバー約5700台のデータをほぼ消失させる大規模障害を起こした事業者だ。 今回の取材は、過去に失敗を経験した複数の企業や公的団体に申し込んだ。目的は、「IT運用の失敗から技術者がどう学び、再発防止に取り組むべきか」をまとめる企画記事を執筆するためだ。 中でもファーストサーバは、運用のプロであるべきITベンダーが、一部とはいえ現場担当者のずさんな運用作業を見逃していた実態が明るみになり、個人としても大きな衝撃を受けた。失敗を経てどう体制を立て直したのか、大いに興味があった。 「非技術者」にも分かる再発防止策を:ファーストサーバ 簡単に、ファース
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JTBなど400社が使うTISのリモートアクセスサービスが全面停止、復旧は6月以降
「GO.JP」でも過信は禁物、政府系ドメインにフィッシングサイトが発覚
IPAのITパスポート試験申し込みシステムで個人情報が漏洩、原因は排他制御の欠落 | 日経 xTECH(クロステック)
