時刻同期サービス「ntpd」に重大脆弱性、細工パケット一撃でサーバー乗っ取りも
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。 見つかった脆弱性は四つ。(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を
大規模障害から1年余り、あの企業が「その後」を語った
「この度は取材をお受けしましたが、どう対応したらよいか。今でも迷いがあります」。担当者は取材の冒頭で、心境をこう吐露した。 記者は取材のためレンタルサーバー事業を手掛けるファーストサーバ(本社:大阪市)を訪れた。1年半ほど前に、顧客企業が利用していたサーバー約5700台のデータをほぼ消失させる大規模障害を起こした事業者だ。 今回の取材は、過去に失敗を経験した複数の企業や公的団体に申し込んだ。目的は、「IT運用の失敗から技術者がどう学び、再発防止に取り組むべきか」をまとめる企画記事を執筆するためだ。 中でもファーストサーバは、運用のプロであるべきITベンダーが、一部とはいえ現場担当者のずさんな運用作業を見逃していた実態が明るみになり、個人としても大きな衝撃を受けた。失敗を経てどう体制を立て直したのか、大いに興味があった。 「非技術者」にも分かる再発防止策を:ファーストサーバ 簡単に、ファース
「8段階のステップ」で進行した、Mac版Evernoteのリニューアル
「ユーザーインタフェースの変更はなぜ必要で、どのような考えに基づいて、どのようなプロセスで実行されたのか」。各種サービスの開発に携わる人に興味深いテーマのセッションが、2013年5月25日に行われた。セッションの機会を設けたのは、MacやiPhone周りの開発者コミュニティによる「第4回 iphone_dev_jp 東京iPhone/Mac勉強会」。題材は、2012年11月にリニューアルされたMac版Evernote(Evernote 5 for Mac)。講師は、同サービスのUIのリニューアルを指揮したジャック・ハーシュ氏である(写真1)。 ハーシュ氏の講演の内容は、リニューアルのプロセスを8つのステップにまとめ、それぞれのステップで何を考え、何をルールとして実行していったのか説明していくというもの。実際の手書きラフスケッチや参照画面が散りばめられており、簡単に理解・実行しやすくまとめら
第1回 Gradle入門
Gradleは、Groovyで書かれたビルドシステムです。GradleをAndroidアプリ開発に使用すると、便利なことがいろいろできます。本連載では、Gradleの特徴やインストール方法、便利な使い方を解説していきます。 ビルドシステム、ひいてはGradleがあると助かる場面とは、一体どういう場面でしょうか? 筆者の具体例でいうと、ある日上司がやってきて、「今お前たちが作っているアプリを俺の端末にインストールしてくれ。」と言ってくるわけですね。1回だけならば話は簡単です。 PCと端末をmicroUSBで接続して、Eclipseを起動してADTでアプリをコンパイルして、端末に転送してインストールして返してあげるだけです。 ですが、それが2回も3回も…となってくると、思わず「自分でやってください!><」と言ってしまいたくなりますが、上司のPCには開発環境が整っていません。それに、新しいAnd
IPAが「Hadoop体験型研修コンテンツ」を公開、仮想マシンも無償提供
独立行政法人 情報処理推進機構(IPA)は2012年4月27日、「Hadoop体験型研修コンテンツ」を公開した。プレゼン資料(写真1)などとともに、仮想マシンも無償で使用可能。社内研修など非商業利用であれば無償で利用できる。同日、コンテンツを使った実際の研修も実施した(写真2)。 「Hadoop体験型研修コンテンツ」は、研修運営マニュアル、プレゼン資料、受講者向け教材で構成される。Hadoopの構成、MapReduceのプログラミング、Hiveの基礎、MapReduce/Hadoop Streaming/Hiveの使い分けなど、Hadoopの基礎から応用までをカバーした研修。IPAが運営しているサイト「オープン・ラボ」で公開している(閲覧、利用にはユーザー登録および申し込みが必要)。オープン・ラボでは仮想マシン環境を提供しており、受講者が実際にHadoopを操作できる。 同日、IPAと国立
「Lean Startup」理論を実践するクックパッド、補完ツールも作成
「Lean Startup」の方法論を実践している企業がある。レシピ共有・検索サービスを提供するクックパッドだ。 全社員がリース氏の著書を入社前に読む クックパッドでは、新入社員に対してエリック・リース氏の「Lean Startup」を入社前に読むことを推奨している。もし入社前に読むことができなかったときには、入社後の2日を同書を読む時間にあてることができる。さらに、先輩社員が同社での活用方法をレクチャーしたり、全体会議で成果を報告したりというほどの入れ込みぶりだ。 同社の取り組みは、佐野陽光社長が「自分の言いたかったことが、うまくまとまっている」という理由から社員に薦めたことが発端。社長が普段から繰り返し話している内容に近いという理由もあり、社員の多くが「引き込まれるように」(石田忠司Happy Author部副部長)同書を読み込んだ。それだけでなく、新サービスの開発陣がその方法論を実践
エバーノートのクリエイターが教える「魅力あるUIとUX」の極意
2012年2月3日、“シリコンバレー流”のユーザー・インタフェース(UI)やユーザー体験(UX)、ブランドのデザインをテーマにしたトークセッションが、デジタルガレージ本社で行われた。 登壇したのは、米エバーノートでクリエイティブディレクターを務めるゲイブ・キャンポドニーコ氏(写真1)。米アップルでの勤務経験も持つ同氏は、この数年にわたるエバーノートのアイコンのデザインからブランド構築までの数々の経験談を語った。 同氏が講演で指摘したUIとUX、ブランド構築のポイントは、以下の9点にまとめられる。 1)最初から編集に着手してはいけない 最初の教えは、「いきなり編集に着手してはいけない」。同氏がデザインする際に心がけているのは、できるだけたくさんの情報を収集すること。そのために同氏は、たくさんの人に会うのだという。 エバーノートには創業時から参加することになったので、同氏はまず企業ロゴを考える
「IE6の利用はやめて」、内閣官房が各省庁に移行を推奨
内閣官房情報セキュリティセンター(NISC)は2010年6月17日、各府省庁に対して、Internet Explorer 6(IE6)からInternet Explorer 8(IE8)への移行を推奨したことを明らかにした。 IE6は、2001年8月にリリースされたWebブラウザー。最近では、セキュリティや互換性の問題が頻発。例えば2010年1月には、IE6だけを狙った攻撃が確認されている。このためマイクロソフトなどでは、IE6のユーザーに対して、最新版IE8への移行を推奨(図)。グーグルなどのWebサービス提供者は、IE6への対応を順次打ち切っている。 しかしながらNISCによれば、中央省庁の中には、バージョンアップすることなくIE6を使い続けているところがあるという。組織内のシステム(Webアプリケーション)を、IE6用に構築しているためだ。IE8に移行するとなると、既存システムがIE
だれでもAndroidアプリを作成可能に、タオソフトが自動生成サービス
ソフト開発会社のタオソフトウェアは2010年5月26日、プログラミング知識がなくてもAndroid用アプリケーションを作成できるようにするサービスの試験運用を始めたと発表した。タオソフトが用意するフレームワークに沿って画像などのコンテンツを登録するだけで、Android用アプリケーションが自動生成される。試験運用中は、ユーザー登録をすれば無償で利用できる。 試験運用を始めたのは、「ドロクリ」と呼ぶサービス。フレームワークとして、アナログ時計と動画ビューワーの2種類を用意する。いずれも、Android用アプリケーションの作成に必要なプログラミングスキルなどは全く問われない。Android端末からも利用でき、特別な開発環境も不要である。 アナログ時計では、自身で作成したアイコン用画像と、時計の文字盤および時針の画像を登録するだけで、オリジナルの時計アプリケーションを作成できる(写真)。サンプル
Androidアプリ開発に24時間で挑戦してみた
クックパッドという料理レシピサイト(http://www.cookpad.com/)がある。料理好きの筆者は、しばしば利用する好きなサイトの一つである。このクックパッドが2010年4月23日から「開発コンテスト 24」というイベントを開催する(http://info.cookpad.com/24contest)。主催者が発表した課題を解決するプログラムを開発するコンテストで、課題の発表から24時間以内に成果物を応募するというものである。 24時間で何かを作るというのは面白い。Microsoftが主催する学生向けの技術コンテスト「Imagine Cup」では、いくつかの部門で24時間のチャレンジという競技ルールがあって、その取材は楽しかった。趣味の人力飛行機でも、明日のこの時間までに問題を解決しなければ、ということが何度かあり、これらはしんどい経験だったが、やはり楽しかった。 筆者はクックパ
グーグルのJavaScriptツール集大成「Google Closure Tools」
2009年11月5日,Googleは自社サービス製品であるGmail,Google Maps,Google Docsなどの開発に使用しているJavaScriptアプリ開発ツール群「Google Closure Tools」を一般公開しました。 "Closure"は一般的に,閉鎖や閉店といった意味で使われます。ツールの命名としては少しネガティブなニュアンスを感じますが,Google Closure Toolsの場合は,終結といった意味で,開発プロジェクトにおける最終ステップの仕上げ用ツール。すなわち“栓”という意味で中身があふれ出さないようにキッチリ閉めておくものといった意味合いから命名されているようです。 Ultimate(究極)に近い意味でGoogleの自信の表れと受け取った方がいいかもしれません。Googleで新規公開になったプロジェクトとしては珍しく,ベータ版の表記もありません(Go
Apacheに対するサービス拒否攻撃を回避する方法
筆者は最近,Apache HTTPサーバーに対するサービス拒否攻撃を防御するWebベースのセキュリティ・ツール「mod_evasive」を使い始めた。mod_evasiveは特定の挙動を探してそれをブロックするモジュールである。 mod_evasiveは,筆者が昨年の12月に紹介した「Suhosin」に似ている(関連記事:PHPの「守護神」Suhosin)。SuhosinはPHPスクリプティング・エンジンの安全性を大幅に高めるパッチである。Suhosinは,害を及ぼす危険性を持つありとあらゆるWebベースのコンテンツを検出し,それらがPHPエンジンを越えてシステムやネットワークに到達するのを防ぐ上で役に立つ。 mod_evasiveが機能する仕組みを説明しよう。mod_evasiveはまずURLリクエストをApacheサーバーに送信するIPアドレスの記録を取る。その後,あらかじめ設定した許
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
第65回 [図解]Webサイト構築プロジェクト・ワークフロー - Webデザイン エンジニアリング:ITpro
今回は,Webサイト構築プロジェクトのワークフローを俯瞰してみたいと思います。実際にクライアントから声がかかる場面から納品,つまり開発案件の完了までを12の「ステージ」に分けて図解してみました。思考のプロセス/人的配置/タスク/ツールなども一緒に記しています。少し大きな図になってしまいましたが,ご参考になれば。 図は,一番上は「4つのステップ/3つのタスク/12の要素(第62回 持続可能なWebサイト開発を支える12の要素)」。その下は,人的配置をロール(役割)ごとに記述しています。その下は,大まかなタスクのレベルです。それぞれの期間内に処理すべき項目を列挙しています。その下が,「ステージ」。プロジェクト全体を12のステージに分類して作業内容を整理しています。基本的には,その流れの順で進んでいきます。その下は,それぞれのステージのアウトプットのイメージで,更にその下にはよく使うファイルアイ
実開発で分かったGoogle App Engine for Javaの“すごさ”
ゴールデンウィークに特に予定のなかった筆者は,「ちまたで噂のGoogle App Engine for Java(GAE/J)とFlexでスケジュール共有ツールでも作ってみよう」と思い立ちました。およそ5日間かけて開発を進めたのち,2009年5月6日に「ご都合.com(画面1)」を公開しました。その後,はてなブックマークやニュースサイトなどでご紹介いただいたおかげで,公開後6日で約2000人の方にご利用いただいています。 そこで本稿では,この「ご都合.com」の開発で実際に筆者が得た経験を通じて,GAE/JによるWebアプリケーション開発の実際とそのポテンシャルについて紹介します。 米Googleが2008年4月に発表したGoogle App Engine(画面2)は,「自分が開発したWebアプリケーションをGoogleのデータセンターで運用できるクラウドコンピューティング・サービス」です
ミクシィのCTOが語る「mixiはいかにして増え続けるトラフィックに対処してきたか」:ITpro
ミクシィのCTOが語る「mixiはいかにして増え続けるトラフィックに対処してきたか」 YAPC::Asia 2006 Tokyo 東京都大田区で開催されているPerl技術者向けカンファレンス「YAPC::Asia 2006 Tokyo」で2006年3月29日,日本最大のソーシャル・ネットワーキング・サイト(SNS)である「mixi」を運営するミクシィのBatara Kesuma(バタラ・ケスマ)取締役最高技術責任者(CTO)が,増え続ける膨大なトラフィックにどのように対処してきたのかについて講演した。カギとなるのは「データベース分割」である。 mixiのシステムはもともとBatara氏が1人で作り上げたものだ。2003年当時,米国でFriendsterなどのSNSがはやっており,同氏が会社(現在のミクシィ,当時はイー・マーキュリー)にSNSを作りたいと提案したところ認められたという。同氏が
第7回 Googleツールバーにオリジナルボタンを追加する(2)
Google Toolbarは2007年12月にInternet Explorer(以降IEと略)用Version 5のベータ版が出ました。IE版から遅れること実に9カ月,2008年9月にようやくFirefox(以降FXと略)版のVersion 5 ベータが登場しました。2008年10月29日には,IE用Version 5(英語版)もリリースされました。 ここでは,Google Toolbar 5の本体の機能にちょっと触れた後,本連載の前回の流れを受けて,Google Toolbarで簡単なプログラムを作成してみます。プログラムと言っても,複雑な制御構造や関数は一切なく,XMLの世界です。 Google Toolbar 5の新機能 Google Toolbar 5 ベータ版はダウンロード・ページからダウンロードできます(図1)。すでに旧バージョンを利用している場合には,既存のGoogle
第6回 Googleツールバーにオリジナル・ボタンを追加する(1) - かんたん10分プログラミング:ITpro
今回は,今までとはちょっと毛色の違うところで,Googleツールバーにオリジナル・ボタンを追加するというのをやってみます。 Googleツールバーは,Googleのトップページから「Googleについて」をたどった先(http://toolbar.google.com/intl/ja/)からインストールします。GPL系ソフトウエアのインストール時に一緒にインストールされることもあります。 インストールすると,ブラウザのツールバーに検索系のボタンがいろいろと増えるようになってます。なお今回の内容は,Google側の制約でInternet Explorer用Googleツールバー限定です。Firefox版では動かないことがあります。 オリジナルボタンの雛形を作る Googleはいろいろな開発用APIを提供しています。今回使用するのはツールバーAPIです。ドキュメントも日本語で完備されていますか
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
