機械学習を利用して、Webサイトが抱えるクロスサイトスクリプティング（XSS）の脆弱性を自動検出する技術が登場した。Webサイト側でXSSへの対策を施していても、それをかいくぐって攻撃するパターンまで見つけてくれる。2017年9月上旬に開催されたイベント「PyCon JP 2017 in Tokyo」で、三井物産セキュアディレクションの高江洲勲（たかえすいさお）セキュリティエンジニアが発表した。 高江洲氏は趣味で機械学習を勉強しており、せっかくだから本業のセキュリティに生かせないかと考えた。背景にはセキュリティ技術者の圧倒的な人材不足がある。機械で脆弱性を検出できるようになれば、これまでセキュリティエンジニアの職人技に大きく依存していたセキュリティ診断を自動化できる。 最初からすべての脆弱性を検出できるようにするのは大変なので、とりあえずXSSに対象を絞ることにした。XSSは、悪意のあるユ

米グーグルは2017年9月、同社が提供するWebブラウザーChromeのバージョン70以降では、米シマンテックが発行したサーバー証明書を「信頼できない」として受け入れないことを発表した。 国内外の多数の企業が利用しているシマンテックのサーバー証明書。一体どうなってしまうのだろうか。 サーバー証明書は信頼の証し サーバー証明書とは、Webサイトの認証や通信の暗号化に使用する電子データのこと。TLS（SSL）と呼ばれる安全性の高い通信を実現するために必要となる。 Webサイトを運営する企業・組織が、認証局（CA：Certificate Authority）と呼ぶベンダーに申請して発行してもらう。シマンテックは認証局の一つ。 信頼できる認証局が発行したサーバー証明書を持つWebサイトにアクセスすると、Webブラウザーには錠マークなどが表示され、HTTPS（HTTP over TLS/SSL）とい

「ネットワークの誤設定により、インターネットサービスにアクセスしづらくなる障害が発生した。ご不便、ご心配をおかけしたことをお詫びする」――。2017年8月25日昼ごろ日本国内で発生した大規模な通信障害。これについて米グーグルが、原因となる誤設定があったと、謝罪の意を8月26日に表明した。 当初より識者の間では、「グーグルから送られてきた大量の経路情報が引き金になったのではないか」との見方が強かった。実際にその通りだったわけだ。 とりわけ大きな影響を受けたのが、NTTコミュニケーションズとKDDI、そしてこの両社の通信サービスを利用していた法人・個人だ。インターネットの接続から各種ネットサービス、金融取引、モバイルSuicaのような決済サービスにまで影響が及んだ。 ただグーグルは、同社がいう「ネットワーク誤設定」が、人為的ミスなのか、ソフトや機器の不具合によるものなのかまでは明らかにしていな

2017年8月25日、NTTコミュニケーションズ（NTTコム）のインターネット接続サービス「OCN」で発生した通信障害に関して、インターネット通信関連の識者は誤った経路情報が大量に流れたことが原因ではないかとの見方を示した。ここでいう経路情報はルーターがBGP（Border Gateway Protocol）というプロトコルを使って交換するものだ。 日本ネットワークインフォメーションセンター（JPNIC）の岡田雅之氏は、NTTコムは複数の組織と対等な関係でネットワークの経路情報をやり取りしているが（これを「ピアリング」という）、そのうちのある組織が誤った経路情報を大量に流したのではないかと話す。その結果、「NTTコムを介してインターネットに接続していた企業のルーターが、大量の経路情報を受け取り高い負荷がかかり、一部はフリーズしたような状態に陥るなどして通信障害につながったのではないか」（岡

新著『物理学者の墓を訪ねる ひらめきの秘密を求めて』（日経BP社）で偉大な物理学者たちの足跡をたどった京都大学大学院総合生存学館（思修館）教授の山口栄一氏（イノベーション理論、物性物理学）が、現代の“賢人”たちと日本の科学やイノベーションの行く末を考える本企画。 前々回、前回に続き、東京大学宇宙線研究所長の梶田隆章氏との対談の模様を伝える。最終回となる今回は、科学に対する国や市民の視線をテーマに据え、科学立国と言われた日本再興に向けた方策を探った。（構成は片岡義博＝フリー編集者） 定期的なカンフル剤注射 山口　物理学は誰も知らないことを見つけていく学問で、要するに未踏領域に挑戦する学問です。梶田さんがいらっしゃるこの宇宙線研究所、カミオカンデ、スーパーカミオカンデは、いわば「ニュートリノ物理学」という新しい物理学を切り開いてきました。その成果によって、小柴さんと梶田さんがノーベル賞を取られ

国指定重要文化財の萬代橋を渡る新潟市のBRT（バス高速輸送システム）の連節バス。路線名は萬代橋ラインだ（写真：日経コンストラクション） 5月下旬からBRT（バス高速輸送システム）やLRT（次世代型路面電車）の取材に取り組んでいる。どちらも近い将来の超高齢化社会に対応し得る新しい公共交通システムとして注目され、主に地方都市で導入の動きが盛んだ。 ただ、こうした公共交通システムは今のところ、自家用車の利用に慣れた地元住民の支持を必ずしも得られていない。導入に熱心な自治体の首長は議会での基盤が強固でも、しばしば選挙で大苦戦を強いられる。公共事業を取材するうえで地元の民意は重視せざるを得ず、いろいろ考えさせられている。 そんな日々のなかで週末に映画館に入り、山田洋次監督の『家族はつらいよ2』を見た。もちろん、週末くらいは仕事を忘れて気晴らしをするために見たのだ。 しかし、主人公の平田周造（橋爪功）

昨年11月にJR博多駅前の地下鉄工事で起きた大規模な陥没事故で、福岡市は6月6日、周辺の店舗などへの損害賠償金や現場の復旧費用を、施工者の大成建設JVが全額負担することで合意したと発表した。

国土交通省は2017年6月6日、JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を攻撃され、最大で約20万件の土地関連情報が流出した恐れがあると公表した。Struts2の脆弱性を悪用された被害事案は3月10日に東京都などが公表して以来、公表ベースで13件目となった。 第三者が不正アクセスしたのは「不動産取引価格アンケート回答（電子回答）」サイト。適正な公示地価を判定するため、不動産取引の実例をアンケートで収集するサイトである。 今回、氏名・法人名、契約日、取引価格、登記上の地番と住居表示などのアンケート回答情報が最大4355件流出した恐れがあるという。併せて、登記所などで入手できる情報ではあるものの、所有権移転登記情報も最大19万4834件流出した恐れがある。 サイトを運営する国交省の土地・建設産業局不動産市場整備課によれば、同サイトの運営委託業者に調

トレンドマイクロは2017年5月15日、世界規模で被害が相次いだランサムウエア「WannaCry（ワナクライ）」の説明会を開催した。5月12日から15日16時までに、同社の法人・個人ユーザーから175件の問い合わせと9件の被害報告があったという。 トレンドマイクロの岡本勝之セキュリティエバンジェリストは、WannaCryは「ワームの性質を持つのが最大の特徴」とする。WannaCryは、実行したWindows PCのファイルを強制的に暗号化して復号キーをユーザーに売り付けるランサムウエアとしては一般的なものだが、ネットワーク経由でWindowsの脆弱性を突いて感染を広げる。 同社に報告のあった9件の被害の感染経路は不明だが、「メールとすれば、件数からは無差別攻撃ではなく標的型の可能性が高い。WannaCryにはグローバルIPアドレスをスキャンして感染を広げるため、インターネットからの侵入経路

ぴあは2017年4月25日、同社が運営を受託しているプロバスケットボールリーグ「B.LEAGUE」関連のWebサイトから最大約15万5000件の個人情報が流出した可能性があると発表した。原因は同サイトに使っている「Apache Struts2」の脆弱性。約3万2000件のクレジットカード情報も含まれるという。 不正アクセスを受けたのはB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバー。B.LEAGUEチケットサイトはホットファクトリー、ファンクラブ受付サイトはききょう屋ソフトが、ぴあの発注を受けて構築したという。情報流出の原因になったのはJavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性。これらのサイトがStruts2を使用していた。 同年3月10日、Struts2の脆弱性を情報処理推進機構（IPA）が公表した。ただぴあは当初、B.LEAG

NTT東西は2017年4月6日、INSネットのディジタル通信モードの提供終了時期を2024年初頭に後ろ倒しすると発表した。2025年頃に維持限界を迎える加入電話網（PSTN）をIP網に移行することに伴う措置で、これまでは「2020年度後半に終了予定」と案内していた。当面の対応策として、既存のISDN対応端末を使い続けながらデータを送受信できる「メタルIP電話上のデータ通信」（補完策）も2024年初頭に提供する予定である。

人工知能（AI）の開発者が研究開発に当たって留意すべき原則「AI開発ガイドライン（仮称）」の素案を策定するため総務省が設置した産官学会議から、AIスタートアップのPreferred Networks（PFN）が離脱していたことが明らかになった。 Preferred Networksは深層学習（ディープラーニング）開発のスタートアップ企業で、深層学習フレームワーク「Chainer」の開発元としても知られる。 総務省 情報通信政策研究所は、同ガイドライン素案策定のための産官学会議「AIネットワーク社会推進会議」を主催している。2016年12月には、素案策定に向けた論点整理を公開した。 この素案は、日本政府がOECD（経済協力開発機構）などに提案することを目的に策定するもので、「日本の法制度に直接反映させることを想定したものではない」（同研究所）という。 だがこの方針に対し、2017年1月まで同

損害保険ジャパン日本興亜が、基幹システムの再構築プロジェクトを本格化させる。まもなく要件定義を完了し、2017年5月に基本設計を始める計画である。 同社が基幹システム再構築の準備を始めたのは2013年4月。プロジェクトの序盤フェーズである要件定義の工程を終えるまでに4年かかった計算になる。一般的なシステム開発であれば失敗と見られかねない長さだが、損害保険ジャパン日本興亜の場合はやむを得ない面がある。 途中の2014年9月には企業合併に伴うシステム統合を優先せざるを得なかった。さらに、COBOLアプリケーションの大半をJavaアプリケーションに切り替える、システム刷新とともに利用部門の業務も改革するといった挑戦的な要素を含んでおり、これらの要素に対して多数の関係者の理解を得る必要があった。 実際、プロジェクトの主要メンバーはシステムを利用するさまざまな関係者の協力姿勢を引き出すことに多くの時

英パフォームグループが手掛けるスポーツ映像のライブ配信サービス「DAZN（ダ・ゾーン）」で2017年2月25日、映像配信の障害が発生。同日に開幕したJ1リーグ1試合の映像が30分ほど正常に配信されない状態が続き、そのあと復旧した。 ITpro編集部からの問い合わせに対して、パフォームグループは広報代理店を通じて「障害の発生は把握しており、原因を調査中」と回答している。 パフォームグループは2017シーズンから10年間のJリーグ放映権を約2100億円で取得し、鳴り物入りでDAZNのサービスを上陸させた。目玉コンテンツはJリーグの試合映像のライブ配信であるが、J1開幕戦で早くもつまずいた形だ。 システム障害が発生したのは、J1リーグ2017年シーズン第1節の大宮アルディージャ対川崎フロンターレ戦。DAZNでは、午後4時の試合開始前からライブ配信を始めており、前半終了間際から後半開始10分ごろま

資生堂子会社「イプサ」が運営していた化粧品通販サイトの不正アクセス問題で2017年1月31日、新たな動きがあった。およそ2カ月前に公表した最大42万1313件の個人情報と最大5万6121件のクレジットカード情報の漏えいに加え、9699件のクレジットカード情報と150件の個人情報も流出していた可能性があると明らかにしたのだ。 合わせて、資生堂とイプサは、不正アクセスの経緯や原因、対策をまとめた調査報告書を公表した。本来は通販サイト内に蓄積しないはずのカード情報をサーバーに残していたことなど、セキュリティ対策の基本部分がおろそかだったことなどが明らかにした。報告書から分かる、経緯や問題点をみていこう。 攻撃を受けたサイトのサーバーは3台 今回攻撃を受けたイプサの通販サイト「イプサ公式オンラインショップ」は、2台のWebサーバーと1台のデータベース管理サーバーで運用していた。イプサがカード決済代

まもなく、この「極言暴論」を書き始めて4年を迎える。この間、ユーザー企業のIT部門やITベンダーの“惨状”を暴き続けたにもかかわらず、ユーザー企業のCIO（最高情報責任者）やITベンダーの経営幹部をはじめ当事者の皆さんから、「筆を緩めるな。遠慮せず、もっと書け」と多くの激励を受けてきた。当事者として強い問題意識があるためだろうが、大変ありがたいことである。 ところが、肝心のIT部門やITベンダーの改革がなかなか進まない。「このままじゃマズイ」と思うのなら自ら変わればよいと思うのだが、「社長がITを分からないから…」とか「客が変わらないと…」とか言い訳ばかりで、一歩を踏み出そうとしない。木村にボロカスに書かれて喜んでいるだけなら、単なるマゾである。私はサドではないので、くれぐれもお間違えなきようお願いしたい。 そんなわけで、最近ふと「当初はどんな記事を書いていたのか」と思い、初期の記事をみて

HTTP/2に対応したHTTPサーバーソフトウエア「H2O」など多くのオープンソースソフトウエアの開発で知られる奥一穂氏が2017年1月12日、DeNAから米Fastlyに2017年1月1日付けで転職したことを自身のブログで明らかにした（ブログエントリ）。Fastlyは、配信拠点サーバーのキャッシュを高速に更新できる次世代のCDN（コンテンツデリバリーネットワーク）サービスを運営する。 同氏は転職の理由として、Fastlyが「H2Oの世界最大の利用者であり、世界有数の規模のHTTPトラフィックを捌く事業者であり、HTTPを高度に運用することを事業のコアとしている」（同氏のブログエントリより）ことを挙げている。同社は、著名なソフトウエアエンジニアである宮川達彦氏が在籍していることでも知られる。同氏は「最も尊敬するエンジニアの一人である奥氏と働けることにとても興奮している」（原文は宮川氏のツイ

米アマゾン ウェブ サービス（AWS）は2016年8月に、新しいロードバランシングサービス「AWS Application Load Balancer（ALB）」の一般提供を全リージョンで始めた。「コンテントベースのルーティングが可能」と喧伝されているが、それは具体的にどういうものか。ALBの機能を説明したうえで、性能検証の結果を紹介する。 Amazon Web Services（AWS）の新しいロードバランシング（負荷分散）サービス「Application Load Balancer（ALB）」の代表的な機能は、パケットの内容に応じたコンテントベースのルーティングだ。詳しくは後述するが、これはレイヤー7（L7）スイッチが備える機能。ALBは、L7スイッチ相当のロードバランシングサービスといえる。 従来、AWSのロードバランシングサービスには「Elastic Load Balancing（

2016年12月15日、「Ruby biz Grand prix 2016」（Ruby bizグランプリ）の表彰式が開催され、各賞の受賞者が発表された。同グランプリは、プログラミング言語「Ruby」を使ったビジネスを表彰するもので、2回目の開催となる。 ノミネートされた29社の中から選ばれた大賞は、請求書を作成・送付できるクラウドサービス「Misoca」を運営するMisocaと、手の開いている配送事業者に配送依頼を直接できるマッチングサービス「ハコベル」を運営するラクスルが受賞した。 Misocaの豊吉隆一郎代表取締役は「起業する以前からRubyの勉強会を開催するなど、楽しくプログラミングできるRubyが好きだった。2016年11月にはRuby発祥の地である島根県松江市にオフィスを開いた」と、Rubyへの情熱を語った。個人事業主としてWebサービス開発に携わっていた時に、「面倒に感じていた

ウフルと米Aferoは2016年12月12日、IoT（Internet of Things）事業に関する業務提携で合意した。ウフルは、複雑なデータを分かりやすく可視化するユーザー・インタフェースの開発を得意とするコンサルティングサービス事業者。一方のAferoは、IoT製品に組み込む小型のBluetoothモジュールおよび取得したデータをクラウド上に保存するプラットフォームを提供、高いセキュリティ技術を売りにする。今回の提携の背景や狙いを、両社のトップに聞いた。 今回の提携に至る経緯と提携内容を教えてください。 松村:2015年までは「ステルスモード」ということで、水面下で開発を進めていましたが、2016年に入ってからは将来顧客になるであろう企業へのアプローチを始めました。リースや物流など、消費者向けIoTアプリケーションを提供したいと考える企業です。 一方で、セールスとマーケティング、販