圧縮・解凍ソフト「WinRAR」の脆弱性、さまざまな攻撃キャンペーンで悪用
世界有数の人気を誇る「Windows」向けファイル圧縮・解凍ユーティリティ「WinRAR」に脆弱性が存在している事実が2019年2月に明らかになった。過去19年間にリリースされたWinRARの全バージョンに影響を与える同脆弱性は、この1カ月間でまたたく間に多くのマルウェア開発者によって利用されるようになった。 これまでに複数の攻撃キャンペーンが確認されており、サイバー犯罪グループが、そしておそらくは国家の支援を受けたハッカーらも、WinRARのこの脆弱性を突いて、ユーザーのデバイスにマルウェアを感染させようとしている。 この脆弱性は米国時間2月20日にCheck Point Software Technologiesによって公表されていた。攻撃者はこの脆弱性を突く仕掛けを施したアーカイブを作成し、WinRARユーザーをだまして解凍させることで、悪意のあるファイルをユーザーシステム上の任意の
“使い続ける”か“乗り換える”--SAP ERPの「2025年問題」を考える - ZDNet Japan
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独SAPの提供する「SAP ERP」および「SAP Business Suite」の保守期限が2025年に終了する。国内で2000社以上が導入していると言われており、SAPユーザーが対応策を迫られることになる。 SAP ERPは、世界的に高いシェアを持つ大手企業向けの基幹業務システムパッケージ。SAP Business Suiteは、SAP ERPに加え、CRM(顧客管理)、SCM(サプライチェーン管理)、PLM(製品ライフサイクル管理)などで構成される製品群。2025年に保守期限切れとなる各製品は次の通り。 SAP ERP 6.0 SAP CRM 7.0 SAP SCM 7.0 SAP SRM 7.0 SAP PLM 7.0 また、イ
「OneDrive」の「Known Folder Migration」機能、コンシューマーにも提供開始か
Microsoftは企業のIT担当者に対して、同機能によってユーザーのデータをローカルPCからクラウドに移行できるというメリットを示している。しかしコンシューマーに対しては、機能的には同じであるものの、そのメリットは少しばかり異なったものとなっている。 この機能を有効にしていれば、プロンプトに従って設定する場合でも、手動で複数の操作を経て設定する場合でも、ローカルに保存した後でOneDriveに同期するよりも、情報をより優れた形で同期させておけるようになる。 Microsoftはこれにより、OneDriveに保存されたファイルがランサムウェアに感染した場合に通知し、ファイルの復元を可能にする機能などによって、より多くのファイルを保護できるとしている。
SAPシステムの更改ピークは2020年、移行完了にリスクも--ミック経済研究所調査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ミック経済研究所は、調査リポート「SAP S/4HANAマイグレーションで加速する ITモダナイゼーションの市場動向 2018年版」を発表した。 その概要によると、ITモダナイゼーション(メインフレームなど基幹系システムの更改)市場規模は、2017年度が352億6000万円で、対前年比162.5%だった。レガシーマイグレーションとSAPマイグレーションの比率は4対6で、今後はSAPマイグレーションがITモダナイゼーション市場を牽引していくという。 同調査は、レガシーマイグレーションやSAPマイグレーションに関するサービスを提供するSIベンダー17社を対象に実施したもの。ITモダナイゼーション市場として、2016~2018年度の集計・分析
最も嫌われているプログラミング言語は?--Stack Overflowが調査結果を発表
Stack Overflowを利用している開発者の中には、プログラミング言語「Perl」を扱いたくないと思っている人が多くいることが明らかになった。PerlはLarry Wall氏が開発したもので、生まれて30年近くになる。 Perlは1990年代にはよく使われていたが、今では「Python」の方が好まれることが多い。PythonはGoogleで広く利用されているほか、データサイエンティストの間でも人気がある。 同サイトの統計でPerlに次いで嫌われていた言語は、「Delphi」とMicrosoftの「VBA」だった。 Stack Overflowは、この嫌われている言語ランキングに使用したデータを、求職情報ページの「Developer Story」ページから集めた。Developer Storyは、開発者が自分の職歴や実績などをまとめて公開できるサービスだが、このページには使いたい言語と
オラクルデータベースは現行12cからいきなり「18c」に--ラリー・エリソンCTO
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米Oracleの年次カンファレンス「Oracle OpenWorld 2017(OOW2017)」が米国時間10月1日、カリフォルニア州サンフランシスコで開幕した。会長兼最高技術責任者(CTO)のLarry Ellison氏がデータベース最新版の「Oracle Database 18c」(18c)を発表した。 パッチ漏れでデータも漏れる OOW2017には、昨年とほぼ同様の約6万人が参加する。4日間の会期中には2311のセッションが開かれ、オンラインを加えると全体では175カ国、43万人が参加する予定だ。メイン会場のMoscone Convention Centerではリニューアル工事中で、会場の規模は例年よりやや手狭だが、参加人数はほ
SAPのPOSシステムに脆弱性--「MacBook」を1ドルにする可能性も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます POSシステムに潜む脆弱性を悪用し、商品価格を大幅に値引きさせる、すなわち不当に入手する方法がセキュリティ研究者らによって発見されていた。 サイバーセキュリティ企業としてSAP関連の製品も手がけるERPScanによると、SAPのPOSシステムは内部コマンドを実行する際に認証やチェックを実施していなかったため、店舗のネットワークに自由にアクセスできる人間であれば誰でも精算システムにアクセスできる状態になっていたことを発見した。店舗内にさまざまな機器やPCが設置され、イーサネットで接続されている場合、こうしたアクセスはさほど難しくなく、プラグアンドプレイ型の攻撃によってその他の手段よりもはるかに容易な攻撃が実行できる。 管理者向け機能にアク
全銀協、広域IP網版の「全銀プロトコル」公開--ISDNなどの終了を視野
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 全国銀行協会(全銀協)は5月16日、企業や銀行間のオンラインデータ交換の新たな標準通信プロトコル「全銀協標準通信プロトコル(TCP/IP手順・広域IP網)」の仕様書を公開した。広域IP網をベースとした新たな全銀プロトコルとなる。 全銀協は、2016年秋にNTT東西が一般公衆電話網(PSTN)から広域IP網への移行とISDNサービスの廃止時期について具体的な検討を開始したことを受け、これらの廃止後に必要となる広域IP網に対応したプロトコルの制定を進めていた。 新たな全銀プロトコルは、既存の全銀プロトコルが企業と銀行や銀行間だけでなく、企業間のデータ交換にも使用されている実態を踏まえ、全銀プロトコル(TCP/IP手順)で規定された電文シーケ
グーグルがRDBとNoSQLの「いいとこ取り」--DBサービス「Cloud Spanner」発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国時間2月14日、Googleはリレーショナルデータベースでありながら、水平的に拡張可能で高可用性を実現した、ミッションクリティカルな用途にも利用できる分散データベースサービス「Cloud Spanner」のパブリックベータサービスを開始した。 Googleによれば、Cloud Spannerはリレーショナルデータベースのトランザクションの一貫性と、NoSQLのシンプルで水平的に拡張しやすくデータを分散管理できるという特徴の「いいとこ取り」ができるマネージドサービスだという。 同社は、Cloud Spannerの特長として次のようなポイントを挙げている。 ハードウェアやソフトウェアの管理に時間を割く必要がなく、アプリケーションロジック
主要Linuxディストリビューションに深刻な脆弱性--Enterキーを押し続けるだけで悪用可能
主要なLinuxディストリビューションの「Linux Unified Key Setup-on-disk-format」(LUKS)に、セキュリティホールが存在することが明らかになった。LUKSはLinuxで使われているハードディスク暗号化のための標準的な仕組みだ。LUKSは多くの場合、「cryptsetup」というユーティリティを使用してセットアップされている。この脆弱性はcryptsetupに存在するもので、かなり深刻度が高く、影響を受けるLinuxディストリビューションには、「Debian」、「Ubuntu」、「Fedora」、「Red Hat Enterpise Linux」(RHEL)、「SUSE Linux Enterprise Server」(SLES)が含まれる。 セキュリティレポートCVE-2016-4484には、このセキュリティホールを利用すると、攻撃者は「対象システム
「Windows 10」の小技--プリインストールWindowsのプロダクトキーを確認するには
WindowsがプリインストールされているPCをこの数年のうちに購入していた場合、WindowsのプロダクトキーはBIOSに記録されている可能性が高い。「PowerShell」の小技を使えば、マシンの奥深くに隠されたこのキーを見つけ出し、自らが現在保持しているライセンスに関するより詳しい情報が得られるはずだ。 この数年のうちにPCを購入したというユーザーであれば、マシンの外見で今までとは異なる点に気付いているかもしれない。 最も目立つ違いは、プロダクトキーがどこにも見当たらないという点だ。「Windows 7」以前の「Windows」がプリインストールされたPCには、ホログラムが印刷された「Certificate of Authenticity(COA)」シールが貼られていた。 しかし「Windows 8」以降では、その情報はCOAシールに記載されるのではなく、BIOSに埋め込まれるように
ソフトウェアのバグをなくすには?--プログラミングの際に避けるべき10の失敗
この疑問に対する答えにたどり着くまでの道筋は数多くあるが、ここでは現実的な答えを提示したい。その答えとは、プログラマーが過ちをおかすためというものだ。彼らは、時にいいかげんな作業をする。また彼らは、最適なツールや最適なプラクティスを常に選択するわけでもない。 筆者はカリフォルニア大学バークレー校の公開講座でオブジェクト指向プログラミングを教えており、ソースコードそのものに対する理解を助けるために費やす時間と同じくらいの(あるいはそれ以上の)時間をかけて、優れたプログラミングプラクティスとは何かを教えている。本記事では、この講座の学生らがしでかす数多くの過ちを紹介したい。 なお、本記事を執筆するにあたり、ノースウェスタンポリテクニック大学工学部のJames A. Connor教授に連絡を取り、同教授の学生たちがしでかす過ちを紹介してもらった。 #1:コメントの付け方が貧弱 コメントという要素
Linuxでもファイルをセキュアに--使いやすい暗号化ツール5選
はじめに データがこれまでになく貴重だと思うなら、確実にそのセキュリティを最優先に考えるべきである。そして、複数のプラットフォームで業務を行う企業が増えるにつれて、利用できる全ての業務対応OSで暗号化を行う心構えが必要だ。そのOSにはLinuxも含まれる。ありがたいことに、暗号化に対応したツールの選択肢はたくさんある。 しかし、どのツールを検討すればよいのだろうか。例えば、Ubuntuソフトウェアセンターを開くと、提供されているツールの大部分(「暗号」で検索するとよい)は、依存関係を解析するライブラリに過ぎないことが分かるだろう。ただし、もう少し深く探してみると、簡単な暗号化に必要なものが何でも見つかる。筆者はそうしたLinux用の暗号化ツールを5つ見つけた。 提供:iStockphoto.com/ChrisBoswell
金融機関が検討すべきセキュリティ対策とは--意外と簡単で完璧な対策(後編)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回はトークンのユーザーインターフェースを突き、ユーザーの誤操作を狙うソーシャルエンジニアリングの攻撃手法を紹介した。 この手法に対して有効な対策は何か。それは、ユーザーが行っている操作情報を視覚的に表示することができる下記のようなトークンである。先ほどの10キー付きワンタイムパスワード生成トークンと似ているが、大きな違いは表示画面が2行で、ユーザーが実行している操作に対するメッセージが表示できることである。 例えば、口座番号入力に対しては「コウザバンゴウ」、金額の入力に対しては「キンガク」と表示できる。従って、ユーザーは何の数値を入力しているのかをトークン上で理解でき、現在行っている作業が何に対しての承認(認証)であるのかを常に把握で
最も脆弱性の多いソフトウェアは?--意外な調査結果が明らかに
Jack Schofield (Special to ZDNET.com) 翻訳校正: 編集部 2015-03-30 13:09 セキュリティソフトウェアプロバイダーのSecuniaは先週、年次レポート「Secunia Vulnerability Review 2015」を公開した。これによると、2014年には3870種のソフトウェアに存在していた1万5435件の脆弱性が報告されたという。 同レポートによると、2013年と比較すると脆弱性の数が18%増加し、ソフトウェアの数も22%増加している。しかし、このレポートに目を通していない限り、最も脆弱性を多く抱えていたソフトウェアの名前を当てられる人はほとんどいないだろう。 1位は504件の脆弱性が報告された「Google Chrome」だ。その後に「Oracle Solaris」(483件)、「Gentoo Linux」(350件)、Micr
ウェブを高速化する「HTTP/2」を知る
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2015-03-04 06:00 これまでHTTPの最新バージョンだったHTTP/1.1が承認されたのは1999年だ。その頃、ハイエンドPCには500MHzの「Pentium III」が搭載されており、米国の大統領はBill Clinton氏だった。ソフトウェアエンジニアは、Y2K問題への対応で忙しかった頃だ。インターネットに関して言えば、米国の連邦通信委員会はブロードバンドを200Kbps以上の回線と定義しており、ほとんどのユーザーは56Kbpsのモデムで接続していた。その後時代は大きく変わったが、ウェブの基礎を担うプロトコルであるHTTPも、ようやく変わることになった。 2年以上もの検討を経て、インターネットエンジニアリングタスクフォース(IETF)がとうとうHTT
誰がLinuxを開発しているのか--数字で見る実態
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2015-02-23 06:00 Linuxは両親と暮らすモテない人々が自宅の地下室で書いているもの、と思っている人がこの地球上にまだいるのだとすれば、Linux Foundationの最新報告書「Linux Kernel Development: How Fast It is Going, Who is Doing It, What They Are Doing and Who is Sponsoring It」は、そうした思い込みを払拭してくれるはずだ。 確かに、2013年9月以降に行われたLinuxカーネル開発の19.4%は、個人開発者によるもののようだが、残りは全て、企業や組織のプログラマーによって作成されている。最も多いのはIntel社員で、Lin
金融機関に押し寄せるオープンデータの波
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます アカウントアグリゲーションの違和感 アカウントアグリゲーションというサービスがある。金融機関の口座の残高や取引情報を集約してくれるサービスである。2000年頃に米国で始まったアカウントアグリゲーションは、数年後には日本でも提供されるようになった。一時は金融機関が提供するケースも多かったが、最近では、オンライン家計簿などベンチャー系のサービスが積極的にアグリゲーション機能を組み込んでその利便性を高めている。 しかし、アグリゲーションサービスを利用するためには、事前に収集対象となる口座のログイン情報を登録しておく必要がある。サーバ型のサービスであれば、アグリゲーション機能の提供者にログイン情報を託して、本人になり代わって口座情報を取得しても
Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2015-01-28 10:04 クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ(glibc)に深刻なセキュリティホールである「GHOST」(CVE-2015-0235)を発見した。この脆弱性を利用すると、ハッカーはIDやパスワードを知らなくてもシステムをリモートから乗っ取ることができる。 Qualysはただちにこのセキュリティホールについて主なLinuxの配布元に警告を送り、多くの配布元がすでにパッチを公開している。 このセキュリティホールは、glibc-2.2(2000年11月10日にリリース)を使用してビルドされたすべてのLinuxシステムに存在する。Qualysによれば、このバグは実際には、2013年5月21日にリリースされた、gl
管理職になりたくないあなたへ--技術系職員としてキャリアを高めるには
Mary Shacklett (Special to TechRepublic) 翻訳校正: 川村インターナショナル 2015-01-09 06:00 重要な技術系職員の多くは経営者には向いていない、あるいは、経営者になることを求めていない。こうした職員はCレベル幹部(CEO、CTO、CFOなどCで始まる最高責任者レベルの幹部のこと)と同じくらい重要だということを企業は理解する必要がある。 多くの場合、昇進や昇給、ストックオプションといった企業のインセンティブを得るには、Cレベルの地位を頂点とする管理職を経ていかなければならない。キャリアの目標を定める際に、多くの職員が経営職を目指すのはそのためである。だが、経営者に向いていない人はどうすればいいのだろうか。 ITの世界には、エンドユーザーや上司と関わり合うために必要な駆け引きや対人関係よりも、マシンに向かってプログラミングしたり、データベ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
