政府が今後調達する「安全な」クラウドサービスのリスト、IPAが公開
政府が調達する民間企業のクラウドサービスについて、セキュリティーを担保しながら円滑に導入できるようにする「政府情報システムのためのセキュリティ評価制度(ISMAP、イスマップ)」が2021年3月12日に始まった。運用を担う情報処理推進機構(IPA)は審査を経て登録した10個のクラウドサービスのリストを公開した。具体的なサービスと事業者は次の通り。 OpenCanvas(IaaS)(NTTデータ) FUJITSU Hybrid IT Service FJcloud(富士通) Apigee Edge(米Google) Google Cloud Platform(米Google) Google Workspace(米Google) Salesforce Services(セールスフォース・ドットコム) Heroku Services(セールスフォース・ドットコム) Amazon Web Serv
最も危険なマルウエア「Emotet」が壊滅、アジト急襲のウクライナ警察が見たもの
欧州刑事警察機構(ユーロポール)は2021年1月下旬、大きな被害をもたらしたマルウエア「Emotet(エモテット)」を事実上壊滅させたと発表した。8カ国の法執行機関や司法当局などの協力により、Emotetを制御するサーバー(C&CサーバーあるいはC2サーバー)を押収。攻撃者がEmotetを操作できなくするとともに、既に感染しているEmotetの無害化を図っている。 オランダ警察やウクライナ警察などによると、Emotetに感染しているパソコンは100万台以上、被害額は25億ドル以上だという。ユーロポールなどは、Emotetを「世界で最も危険なマルウエア(World's Most Dangerous Malware)」としている。 Emotet感染パソコンで構成されるネットワーク(ボットネット)は、サイバー犯罪の巨大インフラとなっていた。これを壊滅させたのはものすごい快挙だ。 だが手放しでは喜
アドレスが流出すれば攻撃は5倍に増える、Gmailに届く攻撃メールをグーグルが分析
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は3件のトピックを紹介する。Gmailに届く攻撃メールの分析結果と、Windowsの脆弱性、国内で活動が活発なマルウエアの最新動向である。 新型コロナウイルス関連の攻撃メールは1日で1800万通(2月9日) 米Google(グーグル)は同社のメールサービスGmail(ジーメール)のユーザー宛てに送られてきたフィッシングメールやマルウエア添付のメールなどの攻撃メールを分析した結果をブログで公開した。分析結果は同社が国際会議(Internet Measurement Conference 2020)で発表した内容をまとめたもの。 Gmailはユーザーに攻撃メールが届かないように自動で遮断している。その数は毎日1億通を超えるという。このうち、新型コロナウイルスに関連するフィッ
COCOA不具合放置の遠因か、開発ベンダー選定で繰り返された「丸投げ」の実態
新型コロナウイルス感染症対策の切り札と期待されていた接触確認アプリ「COCOA」。そのAndroid版で「接触を検知・通知できない」という根幹機能に関わる不具合が4カ月以上放置されていた問題は、開発体制の見直しや原因調査に波及しようとしている。同問題は2021年2月3日に厚生労働省が公表した。 「アプリそのものの出来があまりよくなかった」――。平井卓也デジタル改革相は2021年2月9日、現状のCOCOAについてこう断じ、今後は内閣官房IT総合戦略室がCOCOAの保守・運用などに関与していく考えを示した。一方でCOCOAを担当してきた厚労省は不具合発見が遅れた原因について第三者による調査を検討しているという。 現在の体制は、厚労省と発注先ベンダーの両方が問題を抱えている。ただ原因を究明するならば、厚労省の前任者らが関わっていた発注プロセスが最善だったのかという点まで踏み込んで検証すべきだ。
厚労省のコロナ感染者管理システム、データ活用がようやく開始へ
厚生労働省が新型コロナウイルス感染者の迅速な把握と保健所の負担軽減を目指して開発した新システムのデータ活用がようやく始まりそうだ。厚労省は2021年1月6日に開催した新型コロナ対策を助言する専門家組織「アドバイザリーボード」の会合で、新システムのデータから分析した感染状況の結果を公表した。自治体などと調整がつき次第、現在は自治体の公表データを集計して毎日発表している全国の感染状況を、新システムに置き換える計画だ。 公表したのは、「新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)」のデータを使った新規陽性者数の推移など。基本的には従来の自治体公表データの集計結果と同様の内容だが、保健所ごとの感染者数推移など詳細な分析も可能になる。
接触確認アプリ「COCOA」Android版で不具合、20年9月から検知・通知されず
厚生労働省は2021年2月3日、新型コロナウイルス感染拡大防止策として導入した接触確認アプリ「COCOA(ココア)」で、陽性登録したアプリ利用者と接触しても検知・通知されない障害が判明したと発表した。障害は2020年9月28日のバージョンアップに伴い、Android版アプリで発生。厚労省は障害解消に向けた改修を2月中旬に実施するとしている。 COCOAでは、陽性登録したアプリ利用者の1メートル以内に15分以上いると、陽性登録者と接触があったことを検知・通知する。今回明らかになったのは、この条件を満たしても接触があったことを検知・通知しないという不具合になる。2020年9月28日のバージョンアップ以降、Android版アプリで発生していた。 厚労省によると、開発・保守運用事業者がアプリ改修時に実施した動作テストに不備があり、障害が検出されず見過ごされてきたという。陽性者と接触しているはずがア
「脆弱性に起因するものではない」、セールスフォースが設定不備問題で改めて主張
既に楽天やPayPay、イオンにおいて、セールスフォース製品の設定不備が原因で、顧客情報の流出の可能性が明らかになっている。セールスフォースは「コミュニティ、Salesforceサイト(旧Force.comサイト)、およびSite.comのサイト上に構築する公開サイト機能をご利用のお客様にのみ発生する事象」とした。 セールスフォースは最近のアップデートから、ユーザーに必要最小限のアクセス権限を付与する「最小権限」と、初期設定(デフォルト)を可能な限り安全な状態にする「セキュア・バイ・デフォルト」の原則に基づくゲストユーザーのセキュリティーポリシーの強制適用も始めた。従来はゲストユーザーの権限の多くを顧客側が設定できたという。
セールスフォース製品「設定不備」による不具合続々、バンダイや日本政府観光局でも
セールスフォース・ドットコムが提供するクラウドサービスの「設定不備」に起因する不具合が続々と明らかになっている。2021年2月1日までに、楽天やPayPay、イオンに加えて、バンダイや日本政府観光局(JNTO)でも顧客情報などの流出の可能性が明らかになった。内閣サイバーセキュリティセンター(NISC)がこの問題で注意喚起を出し、セールスフォース自身もお知らせを掲載するなど周知が広まるなか、今後も被害を公表する企業が続く可能性がある。 バンダイとBANDAI SPIRITSは2021年1月29日、お客様相談センターのシステムで管理していた顧客情報に対し、社外の第三者から不正アクセスを受けた可能性があると発表した。同システムにセールスフォースのクラウド型営業管理システムを採用しているとみられる。対象人数は両社合わせて147人で、顧客の名前や住所、電話番号、メールアドレス、対応記録が外部に流出し
GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」
三井住友銀行(SMBC)が行内で使っている業務システムのソースコードの一部が流出していたことが2021年1月29日、明らかになった。Twitterなどのソーシャルメディアで、2021年1月28日の夜ごろから流出の可能性が指摘されていた。三井住友銀行が1月29日に事実関係を調査し、行内システムのソースコードの一部と一致したことを確認した。 一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。日本在住で三井住友銀行のシステム開発に関係した人物が投稿した可能性が浮上している。三井住友銀行は日経クロステックの取材に対し、「当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」(広報部)と説明している。 三井住友銀行によれば、公開されていたコードは複数ある事務支援系システムの1つに含ま
個人番号カード普及に妙手?総務省がカードケースを配布へ
2016年1月から、マイナンバーの個人番号カード配布が始まる。総務省は、そのカードを収納できる専用ケースを配布する方向で話を進めている。ケースに入れれば、カードに記載された情報の一部を隠すことができる。 プライバシーへの配慮に加えて、カード裏面に記載されたマイナンバーなどを法定外に利用されないようにする目的がある。希望者に配るカードの枚数を、できるだけ増やそうという狙いも見える。 希望者に無償交付する個人番号カードは、表面に氏名や住所、生年月日、性別、個人番号、顔写真を記載することが法律で定められている。住所変更などで利用するサインパネル領域や、臓器提供の意思表示欄も設けられる。 マイナンバー法改正案の国会審議では、個人番号カードに記載された情報が見えてしまうことを、プライバシーの面から問題視する意見が出ていた。例えば、性同一性障害者にとって性別は知られたくない情報である可能性が高く、配慮
交通系ICはコストが重荷?クレジットのタッチ決済が国内外の公共交通に急拡大
今回は、普段使いのクレジットカードやデビットカードなどの決済用カードを読み取り機にかざすことで列車やバスなどの交通系サービスに乗車可能な「オープンループ」の仕組みを取り上げる。 オープンループは、真っ赤な2階建てバスで知られる英国ロンドン市内のバスで2012年に導入されたことを皮切りに、現在では世界中へと拡大している。実はロンドン交通局(TfL)は、それより10年近く前の2003年に交通系ICカード「Oyster」を導入し、現在もサービスを継続している。このOysterによる「クローズドループ」の時代を経て、外部の決済カードを受け入れるオープンループへと変化していったのだ。 せっかくOysterを普及させたのに後からオープンループへも対応したのは、ひとえに国際都市ゆえに短期出張者や観光客も含め国内外からの人の出入りが多く、それもあってOysterの発行・維持コストが増え続けTfLの負担にな
ドコモが新料金「ahamo」で開けた、ショップ改革というパンドラの箱
NTTドコモが新料金プラン「ahamo(アハモ)」を2021年3月から提供すると発表した。月間データ量20ギガバイトで2980円(税別、以下同)としたほか、超過後も毎秒1メガビットで通信可能、1回あたり5分以内の通話料込み、海外ローミングも20ギガバイトの枠内で追加料金不要といった特徴を持つ。 市場調査会社のMM総研が2020年2月に調査した携帯電話のサービス利用実態によると、月間に使用する携帯電話回線のデータ量が20ギガバイト以内というユーザーは全体の9割超に上る。ドコモのモバイル回線1契約者あたりの平均単価(モバイルARPU)は2019年度実績で4230円、2020年度予想で4250円となっており、多くのドコモユーザーにとってはahamoへ切り替えることで値下げの恩恵を受けられそうだ。 記者はahamoの発表会で、料金プランの内容以上に気になった点があった。申し込みや契約後の手続き、相
楽天がKDDIとのローミングを一部で終了へ、苦しいとはいえ本末転倒では
楽天モバイルは2020年10月22日から東京都と大阪府、奈良県の一部地域で、KDDI(au)とのローミング(相互乗り入れ)を打ち切り始めた。ローミングの打ち切りは順次広げていく計画で、KDDIによると「東京都においては離島など一部エリアを除き、2021年3月末でローミングを終了する」という。 楽天モバイルとKDDIのローミングの契約期間は2019年10月1日から2026年3月31日まで。都道府県ごとに楽天モバイルの自社回線エリアの人口カバー率が70%を超えた時点で両社が協議し、ローミングの継続/終了を決める契約となっている。 楽天は2020年8月に開いた決算説明会で、自社回線エリアの人口カバー率を2021年3月末までに70%、2021年中に96%近くまで広げると基地局展開の前倒しを宣言していた。同社がKDDIに支払っているローミング利用料の低減につながるので株主の評価は高まりそうだが、筆者
マイクロソフトがWindowsの脆弱性を2回に分けて修正する理由
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は3件のトピックを紹介する。Netlogonの脆弱性と食品業界で相次ぐEmotet感染被害、安芸高田市観光協会の迷惑メールである。 Windows Serverに特権昇格の脆弱性(9月18日) 米国土安全保障省のサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は政府機関で使用するWindows Serverに対して、2020年9月21日までに脆弱性「CVE-2020-1472」を修正するプログラムを適用するよう緊急指令を出した。修正プログラムは米マイクロソフト(MS)が8月11日(米国時間)に公開し、優先度を「緊急」と評価していた。
無線LANの新規格「Wi-Fi 6」は旧規格と共存できるか、実験で解明してみた
無線LANの新しい規格Wi-Fi 6(IEEE 802.11ax)では、2.4GHz帯を利用できる。外部からの電波干渉の影響を受けやすいこの周波数帯でどれほどのスループットが出るのか。またWi-Fi 6に対応したアクセスポイント(AP)をいち早く導入すれば、1世代前のIEEE 802.11ac対応端末との混在環境が想定される。そうしたとき、新旧の規格の端末が互いに悪影響を与えないだろうか。実験で確認してみよう。 実験 2.4GHz帯 Wi-Fi 6では、802.11acで非対応だった2.4GHz帯に対応した。2.4GHz帯と言えば、Bluetoothや電子レンジといった無線LAN以外の機器でもよく利用される周波数帯なので電波干渉しやすい。このため、使い物にならないというイメージが強い。802.11acで非対応だったのも、利用しにくいからだろう。 ただAPが2.4GHz帯と5GHz帯の両方に
4000件の問い合わせが殺到、ドコモ・ゆうちょ騒動で地銀大わらわ
NTTドコモの決済サービス「ドコモ口座」と連携した銀行口座で不正出金が相次いでいる問題で、ドコモ口座に加えて「LINE Pay」や「PayPay」など他の決済サービスとの連携も停止する地方銀行が増えている。地方銀行のホームページには「不正出金」「チャージの停止」といった文言が並ぶ。 その1つである滋賀銀行では、2020年9月16日からドコモ口座に加えて「J-Coin Pay」「pring」「PayB for 滋賀銀行」「PayPay」「メルペイ」「LINE Pay」「楽天Edy」という7つの決済サービスとの連携を停止した。同行では一連の不正出金問題で7件200万円の被害が判明している。いずれもドコモ口座への不正出金であるが、「安全を確保するため」(広報)として他のサービスとの連携も停止した。ドコモ口座のみで10件245万円の被害が出ている紀陽銀行も同様に連携を停止するなど、地銀各行が一斉に
慣れた人ほど詐欺メッセージにだまされる、SMSの恐ろしい仕様に気をつけろ
従来、詐欺サイトやウイルス(マルウエア)配布サイトに誘導する常とう手段はメールだった。だが最近ではスマートフォンの普及を受けて、SMS(ショートメッセージサービス)を使う手口が急増している。「メールでもSMSでも変わりない。注意していれば大丈夫」と思う人は少なくないだろうが大間違いだ。SMSには知る人ぞ知る恐ろしい仕様があるからだ。 偽の不在通知が猛威に SMSの偽メッセージでユーザーを偽サイトに誘導する手口はSMSフィッシングやスミッシングなどとも呼ばれる。 2018年以降、SMSの偽メッセージが大きな被害をもたらしている。特に多いのが宅配便の不在通知に見せかける手口である。佐川急便をかたる手口が猛威を振るい、その後ヤマト運輸や日本郵便などを名乗る手口が出現した。 今でもこの手口は盛んに使われている。例えばフィッシング対策の業界団体であるフィッシング対策協議会は2020年7月、フィッシン
「複数の認証手段を」、ドコモ口座の不正利用を受けて全銀協が銀行に注意喚起
全国銀行協会は2020年9月14日、NTTドコモの電子決済サービス「ドコモ口座」の不正利用事件を受け、会員銀行に注意喚起したと公表した。Web口座振替を扱っている場合、銀行側には認証の問題がないか、決済サービス事業者側には本人確認プロセスに脆弱性がないかを確認するようにも要請した。 問題や脆弱性があった場合、決済サービスとの新規連携やチャージの一時停止をといった対応を検討するよう呼び掛けた。併せて決済サービスのアカウントに銀行口座を連携させたり残高をチャージしたりする際には、複数の認証手段を組み合わせるよう要請した。 顧客からの問い合わせに対しては「被害の有無によらず、お客さまの不安を解消するべく、真摯な姿勢で迅速かつ丁寧に対応いただきたい」とした。
ニッチながら急成長、英国発FinTechベンチャーは日本の金融業界をどう変える
ほんの最近まで50~100年単位で大きな変化がなく、昔からの大手企業がそのまま現代の市場で高いシェアを握っている――。そういわれる銀行業界だが、最近は新たに銀行免許を取得して各国の市場に参入する企業が増えている。そうした企業は比較的小規模で、かつニッチな市場を狙いつつも、市場のユーザーのニーズを確実につかみ始めている。フルサービスを提供する既存の大手銀行が成長戦略で苦しむのを尻目に、そうした新興企業が旋風を巻き起こしている。 これらの新興企業は「Challenger Bank(チャレンジャーバンク)」などの名称で呼ばれ、英国では過去10年ほどで10近いチャレンジャーバンクが誕生したことが話題になっている。筆者はよく参加するアジア各地の金融カンファレンスでも、香港やオーストラリアなどの事例としてそうしたチャレンジャーバンクが紹介される例が増えており、世界的な流れになっていると感じる。 今回取
ビル工事現場の広範囲に無線LAN、戸田建設が高層フロアまで「縦・横」に電波送信
戸田建設は2020年7月31日、古野電気とPicoCELA(ピコセラ、東京・中央)と共同で、超高層ビルの建設現場の高層階でも無線LANを広く利用できるシステムを開発したと発表した。戸田建設と古野電気が19年10月に開発した、建設現場でよく見かける単管パイプ(中空の金属管)を使う無線LANシステムと、PicoCELAが持つ無線通信技術を組み合わせた。建設中の高層ビルで通信エリアを拡大できることを確認した。従来は電波が届きにくかった高層階でも安定して、無線LANを利用できるようになったという。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
