狙われるSIM搭載パソコン
携帯電話網に接続するSIM(Subscriber Identity Module)*1を搭載したパソコンを悪用して、ランサムウエアに感染させる攻撃が国内で複数見つかった。攻撃に使用されたのは、離れた場所にあるサーバーやパソコンを操作する通信プロトコルであるRDP(Remote Desktop Protocol)だ。 どうやってサイバー攻撃者はRDPを悪用したのか。専門家の調査によって、国内企業がSIM搭載パソコンを無防備なまま運用している実態が明らかになった。 国内11万台がRDPを公開 医薬品や医療機器の販売を手掛けるほくやく・竹山ホールディングスは2024年2月、社内のサーバーの一部がランサムウエアに感染する被害に遭った。調査の結果、攻撃者はSIMカードを搭載したノートパソコンをRDP接続で不正に操作し、サーバーのデータをランサムウエア「Enmity」で暗号化させたことが分かった。SI
オージス総研が顧客システムの不具合で開発元を提訴、排他制御は「技術常識」と認定
オージス総研はオリックス向けシステムでのトラブルを巡り、開発元の両毛システムズを訴えた。裁判で焦点となったのは、データの排他制御機能の扱いである。前橋地方裁判所は一審判決で排他制御機能の具備を「技術常識」と断定。「考慮する役割はもっぱら開発者」として両毛システムズの債務不履行を認めた。両毛システムズに4億1047万円の支払いを命じたが、両社とも控訴した。 大阪ガス子会社のオージス総研はオリックスから受注したシステム開発プロジェクト(オリックス案件)におけるトラブルを巡り、同業の両毛システムズを提訴した。オージス総研の発注を受けて両毛システムズが開発したシステムに瑕疵(かし)があったとして債務不履行などに基づく損害賠償、さらにはオージス総研がプロジェクト途中で両毛システムズを支援した業務に対する報酬の支払いを求めた。その額は損害賠償が21億9561万円、報酬が12億1390万円の計34億円超
KADOKAWA、ランサムウエア攻撃でドワンゴの全従業員の個人情報などが漏洩
KADOKAWAは2024年6月28日、6月8日からシステム障害が継続している中、傘下のドワンゴにおいてランサムウエア攻撃によって全従業員の個人情報が漏洩したと発表した。外部流出を確認した情報には、ドワンゴの取引先である一部クリエーターの個人情報、取引先との契約書や見積書なども含まれる。 KADOKAWAへのランサムウエアを含む大規模なサイバー攻撃によって、動画配信サービス「ニコニコ動画」や「KADOKAWAオフィシャルサイト」、出版事業の製造・物流機能など、グループ全体に被害が及んでいる。同社は対策本部を立ち上げ事実確認などを進めている。2024年7月中には、外部専門機関の調査に基づく正確な情報が得られる見通しとしている。
河野大臣「自治体ネットワークの三層分離やめる」、ゼロトラストアーキテクチャー導入
河野太郎デジタル相は2024年5月31日、デジタル庁主催の記者会見で、自治体ネットワークの整備に関し今後の方針を明らかにした。会見の中で河野大臣は、自治体がネットワークのサイバーセキュリティー対策として運用してきた「三層の対策(三層分離)」をやめると述べた。 三層の対策とは自治体のネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」と業務に応じて大きく3つに分け、ネットワークごとに扱う情報や外部への接続環境を管理するもの。2015年の日本年金機構による情報漏洩事故以降、自治体は総務省が定めた同対策に従いセキュリティー対策を打ってきた。 だが、ネットワークごとに使う端末を切り替える手間がかかる、端末間でデータを移動させるためにUSBメモリーを使うことで逆にセキュリティーリスクが高まるといった課題があった。河野大臣は会見の中で「1人1台のパソコンで効率的に業務が
「京大生でもx=x+1が分からない」、喜多教授が明かすPython教育の実態
プログラミング言語「Python」の大規模イベント「PyCon APAC 2023」が2023年10月27日と28日の2日間にわたって開催された。1日目に行われた京都大学国際高等教育院の喜多一教授による基調講演を中心に、イベントの内容をリポートする。 PyCon APAC 2023は、1日目の基調講演「Why University Teachers Wrote a Python Textbook?」で幕を開けた。京都大学でPythonを使ったプログラミング教育を担当している喜多教授が、その実態について英語で講演した。 喜多教授は、主に大学1年生向けの教養教育の一環として、Pythonを使ったプログラミングコースを2018年に始めた。そのための教科書をつくり、2019年に公開した。誰でも無償でPDFをダウンロードできる。教科書は毎年改訂しているが、一般向けに公開したのは2019年版と2021
全銀システムの大規模障害、中継コンピューター2台ともに不具合で冗長構成が機能せず
2023年10月10日午前8時30分ごろに発生した「全国銀行データ通信システム(全銀システム)」の障害。全国銀行資金決済ネットワーク(全銀ネット)は復旧に向けた対応を実施しているが、11日午前11時時点で解消のめどは立っていない。 全銀システムは東京と大阪の2カ所のセンターで並行運転し、システムを構成する各種装置や通信回線などをすべて二重化してある。顧客に影響が出るシステム障害が発生するのは1973年の稼働以降、50年間で初めてとなる。 今回、不具合が生じたと考えられるのは、金融機関が全銀システムに接続する際に使う中継コンピューター(RC)のプログラムだ。送金元の金融機関から送金先の金融機関に対して支払う「内国為替制度運営費(旧銀行間手数料)」の設定などをチェックする機能に不具合が生じたと見られる。 きっかけは保守期限到来に伴い、10月7~9日の3連休中に14の金融機関で実施したRCの更改
「要件定義をやめよう」の真意、普通にやると金と時間が無駄になるだけ
「要件定義をやめないといかんね」――。ある勉強会が終盤に近づいた頃、隣席の参加者がこうつぶやいた。それを聞いた周囲の参加者がうなずいた。驚いたことに自分も「おっしゃる通り」と同意してしまった。 なぜ驚いたかというと、「要件がすべてを決める」「じっくり時間をかけるべき」と教わってきたからだ。日経コンピュータ編集部に配属された1985年以降、取材先の情報システム部長やソフトハウスの幹部を取材した際、「情報化で重要なこと」を問うと、たいていこう言われた。だから「いわゆる最上流工程が大事」という記事をたびたび書いてきた。 勉強会に登壇した講演者たちが「要件定義をやめよ」と言ったわけではない。しかし隣に座っていた参加者は、講演の趣旨を「要件定義をやめよ」という一言に集約した。同じ話を聞いてきた筆者を含めた参加者はすんなり納得したわけだ。 失敗につながる要件定義の実態 DX(デジタルトランスフォーメー
もう外部侵入を防ぐのは無理、著名ファイアウオール開発者がSOC自動化を進める理由
ファイアウオールの開発者として著名なNir Zuk(二ア・ズーク)氏は、今は攻撃者の侵入を前提としたセキュリティー対策の強化に注力しているという。こうした変化の背景、現在のSOC(セキュリティー・オペレーション・センター)の課題、AI(人工知能)を活用した今後のセキュリティー対策などについて同氏に聞いた。 ズーク氏は1990年代にセッション情報を管理するステートフルインスペクション方式のファイアウオールを発案したことで知られる。同氏はその後、次世代ファイアウオール(NGFW)を標榜するセキュリティー・ベンダー、米Palo Alto Networks(パロアルトネットワークス)を創業して長年CTO(最高技術責任者)を務めてきた。つまり企業ネットワークの境界において、サイバー攻撃を水際で防ぐ製品についてはプロ中のプロなのだが、近年は既に攻撃者が社内に侵入していることを前提とした防御策を重視して
マイナンバー関連のトラブルは大した数ではない、なぜここまで大炎上するのか
どうしたらこんなばかばかしい騒ぎになるんだろうね。何の話かというと、マイナンバー関連の一連のトラブルで、デジタル庁をはじめ政府が火だるまになっている件だ。現行の健康保険証の廃止とマイナンバーカードへの一体化を延期する、しないでドタバタ劇まで演じる始末。おいおい、一体どうなっているんだ。そもそもトラブルの件数が8500件程度なら大騒ぎになるような「大事件」ではないぞ。 まあ、そうは言っても、そりゃ国民からすると不安が高まるのは当然だ。何せマイナンバーカードを使ったコンビニ証明書交付サービスでの誤交付、別人の住民票などが交付されたという問題を皮切りに、マイナンバーを利用した各種事業で個人情報のひも付け誤りなどのトラブルが次から次への明るみに出たわけだしね。ただし、それがマイナンバー制度への不信感へと直結してしまったり、保険証の廃止時期を延期しようとしたりするのは明らかに行きすぎだ。 冒頭に書い
内閣サイバーセキュリティセンターが不正侵入被害、脆弱性突かれメール8カ月漏洩
内閣サイバーセキュリティセンター(NISC)は2023年8月4日、電子メール関連のシステムに不正通信があり、個人情報を含むメールデータの一部が外部に漏洩した可能性があると発表した。中央省庁の情報システムのセキュリティー確保や政府のサイバーセキュリティー戦略などを担う組織で起きた漏洩だけに、波紋を広げそうだ。 メールデータの漏洩が発覚した最初のきっかけは、2023年6月13日に電子メール関連システムで不正通信を示す痕跡を発見したことだ。6月14~15日にシステムの運用を停止し、不正通信の原因と疑われる機器を交換。他の機器に異常がないことの確認などをした上で、システムを再稼働した。その後、調査に当たった保守・運用事業者が6月21日、機器の脆弱性により不正通信が発生したことを示す痕跡を発見した。 不正通信の痕跡発見を受けNISCは、外部の専門機関などによる調査も実施。現時点までに、2022年10
川崎市のコンビニ交付で他人の戸籍書類出力、市独自の富士通Japan製システムに原因
川崎市は2023年5月2日、市民がコンビニエンスストアでの証明書交付サービス(コンビニ交付)を利用した際、別人の証明書が出力されたと発表した。市は同日午後1時30分ごろにコンビニ交付を休止した。 住民票の写しや印鑑登録証明書など、調査の結果不具合の影響がないと判明した証明書の交付は、5月3日午前6時30分に再開した。戸籍の付票の写しと戸籍証明書の交付は、5月8日午後4時50分時点で休止したままである。
映画Winnyの公開を機に、若手エンジニアに伝えたい「技術者倫理」の在り方
P2P(ピア・ツー・ピア)ファイル共有ソフト「Winny」の開発者として知られる金子勇氏に、筆者は2009年末、日本経済新聞記者として1度だけお会いしたことがある。金子氏が新たに取得したという特許について、技術の概要を取材するためだ。大阪高等裁判所が金子氏に対して逆転無罪の判決を出して間もない頃だった。 金子氏が取得した特許は、同氏が設立に関わったドリームボート(現Skeed)が開発するP2Pコンテンツ配信ソフト「SkeedCast 2」の中核技術だという。残念ながらリリース時期の都合で記事にはできなかったが、こちらの拙い質問に対し、ホワイトボードをいっぱいに使って熱心に解説していただいたことを覚えている。 3年半がたった2013年7月7日、金子氏が前日に急死したとの情報に触れ、驚いた。金子氏と親しかった慶応義塾大学の村井純教授(当時)に連絡を取って事実を確認し、同氏の追悼メッセージを掲載
ブラウザーの中に「偽ブラウザー」を表示、URLを確認しても防げないフィッシング
だがWebブラウザーのセキュリティーは年々強化され、こういった手口はほとんど使えなくなった。このため前述のようにアドレスバーの表示を確認することが、偽サイトに誘導されないための有効な対策になっている。 今回「mr.d0x」を名乗るセキュリティー研究者が警鐘を鳴らすのは、Webブラウザーが表示するポップアップウインドウ(Webブラウザーウインドウ)である。Webブラウザーのアドレスバーではなく、ポップアップウインドウのアドレスバーを偽装する。アドレスバー付きのポップアップウインドウは「Webブラウザーが表示するWebブラウザー」といえるので、この手口はBrowser In The Browser(BITB)攻撃と名付けられた。 BITB攻撃の主な対象となるのは、ソーシャルログインのログイン画面である。ソーシャルログインとは、SNSのアカウントで別のWebサービスにログインできるようにする仕組
野村HDが日本IBMに「敗訴確定」、システム開発の失敗巡る訴訟の上告を取り下げ
システム開発の失敗を巡り野村ホールディングス(HD)と野村証券が委託先の日本IBMを訴えた裁判で、野村側が最高裁判所への上告を取り下げていたことが日経クロステックの取材で2021年12月13日までに分かった。2021年4月21日に控訴審判決が言い渡された野村側の敗訴が確定したこととなる。 同裁判では2013年に野村側が日本IBMを相手取り計約36億円の損害賠償を求めていた。2019年3月の一審判決では日本IBMに約16億円の支払いを命じたが、東京高等裁判所は2021年4月21日の控訴審判決で野村側の請求を棄却。東京高裁は「プロジェクト失敗の原因は仕様凍結後も変更要求を多発したユーザー企業(野村側)にある」と判断した。日本IBM側に非があるとした一審を覆し、逆転敗訴の判決を下したことから注目を集めた。野村側は最高裁に上告を申請していたが、今回これを取り下げた。 上告の取り下げについて野村HD
渋谷区eKYC問題は身元確認と認証を混同、デジタルアイデンティティー専門家が指摘
「要するに二重に信用できないところがあって、それを認証と言われてもなぁという話ですよね」とバッサリ斬ったのは、国際標準化団体である米OpenID Foundationの理事長を2011年から務める崎村夏彦氏である。 上段左が米OpenID Foundation理事長の崎村氏、右はOpenIDファウンデーション・ジャパン(OIDF-J)エバンジェリストの伊東諒氏(ミクシィのID/決済関連業務を担当)。下段左から同代表理事兼KYC WGリーダーの富士榮尚寛氏(伊藤忠テクノソリューションズのIDを含む事業開発部門の責任者)、同事務局長兼エバンジェリストの真武信和氏(YAuth.jp代表)、同理事兼エバンジェリスト倉林雅氏(ヤフーID部門所属) オンライン開催の「日経クロステック EXPO 2021」で2021年10月15日に配信したパネルディスカッション 「DX経営成功の鍵『デジタルアイデンティ
逆転敗訴した野村情シスがIBMに送った悲痛なメール、横暴なユーザーを抑えきれず
委託したシステム開発が頓挫したとして、野村ホールディングス(HD)と野村証券が日本IBMを相手取って計約36億円の損害賠償を求めた裁判。プロジェクト失敗はベンダー側に非があるとした2019年3月の一審判決から一転、2021年4月の控訴審判決はユーザー企業側に責任があるとした。工数削減提案に十分に応じなかったり、プロジェクト途中で追加要件を多発したりした野村側の姿勢を東京高裁は問題視し、逆転敗訴の判決を下した。 関連記事 野村HDが日本IBMに逆転敗訴の深層、裁判所が問題視した「X氏」の横暴な変更要求 野村HDが日本IBMに逆転敗訴のワケ、「工数削減に応じず変更要求を多発」と指摘 東京高裁が特に問題視したのが、システムの仕様を策定するうえで重要な役割を担っていた野村証券のユーザー部門「X氏」の振る舞いだ。 当時、投資顧問事業部(判決文では「投資顧問部」)の次長だったX氏は、パッケージソフトに
接触確認アプリ「6割普及は正直かなり厳しい」、有識者委員が語る
厚生労働省は2020年7月3日、新型コロナウイルス対策向け接触確認アプリ「COCOA(COVID-19 Contact-Confirming Application)」について、陽性者からの通知を受けられる機能を有効にした。接触確認アプリの本格運用が始まった格好だ。 安倍晋三首相は5月下旬に「アプリが人口の6割近くに普及できれば大きな効果が期待できる」とする英オックスフォード大学の研究結果に言及したが、現状でアプリは広く普及しているとは言えない。6月19日にリリースして以来、7月6日午後5時までの総ダウンロード数は約582万件と、国内スマートフォン利用者数の1割未満にとどまる。 「6割普及は正直かなり厳しい」――6月8日に日経クロステックが開催したウェビナーシリーズ「コロナとAI」で世界経済フォーラム第四次産業革命日本センターに所属する藤田卓仙・慶応義塾大学医学部特任講師はこう述べた。 藤
10万円オンライン申請は「失敗」だったのか?自治体を混乱させた本当の要因
コロナ禍の経済対策として政府が国民に一律10万円を配る「特別定額給付金」のオンライン申請で自治体の業務が混乱している――。2020年5月から6月にかけ、新聞やテレビは連日、この話題を取り上げた。 マイナンバーカードとマイナポータルの「ぴったりサービス」を使って2020年5月1日に始まったオンライン申請は、申請者による氏名や住所などの誤入力や二重申請が相次いだ結果、自治体が持つ住民情報との照合に多大な手間がかかったという。総務省は2020年6月2日、同月1日までに43自治体がオンライン申請の受け付けを停止したと明らかにした。 ただし実際には、オンライン申請が総じて「ダメ」だったわけではない。混乱する自治体職員の姿がテレビで報道される陰で、狙い通り早期の給付にこぎ着けた自治体も多かった。 ある都内の自治体はExcelの手製ツールを使い、申請データと給付対象者リストを突合し、世帯構成人数の一致を
有事には学長のパソコンさえ止める、東工大のCSIRTが強力な権限を握るワケ
東京工業大学(東工大)がCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム)である「東京工業大学 情報システム緊急対応チーム(東工大CERT)」を設立したのは2014年10月のことだ。当初はリーダーを務める松浦知史准教授が専任として1人で運営していた。 徐々にメンバーを増やし、現在は松浦准教授を含む統括責任者2人、助教1人、事務担当4人、技術担当者2人の合計9人体制となっている。セキュリティーインシデント発生時にはネットワーク監視を担う東工大のNOC(ネットワーク・オペレーション・センター)などと協力して対応に当たっている。 統括責任者を2人配置したのは大学ならではの理由がある。東工大の教授は学会などで出張も多い。もし責任者が海外出張中にセキュリティーインシデントが発生すれば対応が後手に回ってしまう恐れもある。そこで同じ権限を持つ責任者を複数人配置することで「責任
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スマホの画質は2024年に一眼カメラ超え、ソニーGが見通し示す
