大学で個人情報が意図せず漏洩、原因は無料セキュリティーツール
北陸先端科学技術大学院大学(JAIST)で学生・教職員の個人情報1725件が流出した。原因は、職員が無料セキュリティーツールを不用意に使用していたこと。パソコンで扱うファイルが自動的に外部サイトにアップロードされ、公開された。ツールは自動アップロードと第三者公開を利用規約に明記していたが、見過ごした。同サイトでは企業の機密ファイルなども公開されている。社員への注意喚起が必要だ。 北陸先端科学技術大学院大学(JAIST)は2021年1月29日、個人情報1725件が外部に流出したと発表した。流出したのは学生・教職員の氏名とメールアドレス、所属部局・研究室だ。 今回の情報流出事件が特異なのは、サイバー攻撃や内部犯行などが原因でなかった点だ。JAISTは、マルウエアではない正常なセキュリティーツールを業務用端末にインストールしていた。職員が誤って個人情報を扱う業務でその端末を使ってしまった結果、個
PS5に覚悟の「液体金属」採用、真の狙いはコスト削減
「液体金属(による熱伝導材)をどうしても使いたかった。それには相当な決意と準備が必要だった」――。米Sony Interactive Entertainment(SIE、ソニー・インタラクティブエンタテインメント)が2020年11月に発売予定の据え置き型ゲーム機「PlayStation 5(PS5)」の機構設計・熱設計の責任者である鳳(おおとり) 康宏氏は、PS5を実現する上で重要な役割を担った技術への思いをこう語る。同氏は、PS2からプレイステーションの設計に携わっており、SIEが2020年10月7日に公開したPS5の分解動画では、自ら出演し、作業と解説を行った。 PS5ではメインプロセッサー(SoC)が発する熱をヒートシンクに伝える熱伝導材料(TIM)に液体金属を利用。この液体金属のTIMの採用がなければ、筐体(きょうたい)はさらに大きく、かつ高価になり、冷却ファンの音も大きくなってい
沈むH.265、グーグル動画仕様AV1が主役へ アップル採用で加速か
動画の放送や配信の中核技術である映像符号化方式(動画コーデック)。国際機関で標準化された“正統”な現行規格が、主役から引きずり降ろされる異例の展開になっている。 米グーグル(Google)や米アップル(Apple)、米アマゾン・ドット・コム(Amazon.com)などが推す“異端”の新規格が、「事実上の標準(デファクトスタンダード)」として主役に立つ。世界で急伸する動画配信サービスで、米国勢の台頭を勢いづかせる。 新規格とは、米国の非営利団体アライアンス・フォー・オープン・メディア(AOM)が2018年に公開した「AOMedia Video 1(AV1)」である(図1)。グーグルやアップルなど多くの大手IT企業が参画する。 最大の特徴は、特許料を無料にする「ロイヤルティーフリー」を掲げることだ。映像関連事業を手掛ける費用を大きく削減できる。現行の標準規格である「H.265/HEVC(Hig
三菱UFJニコスのシステム障害の原因が判明、3個のHDDが同時に故障
マスターデータから中間加工ファイルを作成するバッチ処理のシステムでHDDが故障し、障害が発生した。三菱UFJニコスによれば、HDD15個で一連の機能を果たしており、そのうち3個が同時に故障した。「2個までの同時障害は自動復旧可能な仕組みを設けていたが、3個の故障は想定外だった」(広報)。同社はシステムやHDDの開発企業を明らかにしていないものの、「発生確率は極めて低いとの報告を受けている」という。 故障したHDDは、障害が発生した2017年12月26日中に交換したが、利用会員の売上データ処理などに遅れが発生した。一部の利用会員に2重請求が発生したほか、請求が遅れるなどの事態につながった。同社はシステム機器の監視体制を強化するなどして対策を講じるという。
セキュリティの現場が報われないのは半分自分たちの責任
「私のおかげでこの部署は成り立ってるんだ!」。普通、こんな“仕事頑張ってるアピール”をすると職場で嫌われる。多くのエンジニアは「人事評価の時ならともかく、普段から手柄を自慢するなんて恥ずかしい」と感じているだろう。 しかし、こうした“普通の感覚”で仕事をしてはいけない職場もある。セキュリティ担当チームだ。セキュリティ担当チームは「対策をうまくやるほど、評価が下がる」という全く報われない職場環境にある。 「セキュリティは企業にとってのインフラだが、生活インフラの水道や電気と違って手触り感が伴うものではない。何も起こらない状況が続くと、『何もしていない』と周囲から見られてしまい、チームの人数や予算を減らされたりする」。日本マイクロソフトの蔵本雄一マイクロソフトテクノロジーセンターセキュリティアーキテクトは、コンサルティングを通じて見てきた多くのセキュリティの現場の実態をこう話す。 もちろん、セ
Dell SecureWorks、契約企業に対してサイバー攻撃を実際に実行するサービスを開始
SecureWorks Japan(以下、Dell SecureWorks)は2015年11月11日、現実のサイバー攻撃をシミュレーションするサービス「SecureWorks Red Team Testing」を開始した。契約した企業に対して実際にサイバー攻撃を仕掛けることによって、サイバー攻撃対策の弱点を調査する。業務システムへのバックドアの設置や、漏えいしてはいけないデータの取得など、事前に打ち合わせて定めたゴール(目的)を達成するべく、様々なやり方で攻撃する。 一般的なセキュリティ診断が個々のシステムの脆弱性を調べることを狙うのに対して、Red Team Testingは、実際に攻撃の成果(ゴール)を達成することを狙う。現実の標的型攻撃と同様に、目的さえ達成できれば手段は選ばない。標的型メールの送付や遠隔アクセスだけでなく、業者を装って建物に入るといったオンサイトでの攻撃も実施する(
Microsoft、顔写真から感情を分析する開発者向けツールを発表
米Microsoftは現地時間2015年11月11日、顔認識技術を利用した新しいツール「Emotion API」の公開ベータ版を開発者向けにリリースしたと発表した。同社で機械学習や人工知能(AI)に取り組むチーム「Project Oxford」が手がけるツールで、写真に写った顔の表情から感情を判断する。 同ツールのデモサイトでは、画像に含まれる顔を認識し、8つの主要な感情要素である「怒り」「軽蔑」「恐れ」「嫌悪」「幸福」「中間」「悲しみ」「驚き」を数値化する。数値が高いほど、その感情が強いことを意味する。同サイトで任意の顔写真をアップロードして分析することもできる。ただし「認識は試験的なもので、常に正確というわけではない」としている。 Microsoft技術および調査部門担当上級プログラムマネージャーのRyan Galgon氏は、同ツールの導入方法として、店舗のディスプレイや食べ物を見た人
Twitter、エンジニアを中心に全社的人員削減を計画、米メディアが報道
米Twitterが全社的な人員削減を計画していると、米IT系メディアサイト「Re/code」が現地時間2015年10月9日に報じた。今週にも発表する見通しという。 Re/codeが複数の関係者から得た情報によると、削減規模は不明だが、ほとんどの部署が対象となる。同社はエンジニアリング部門の効率化を図っており、同社従業員の約半数を占めるエンジニアが最も影響を受けると見られる。 Twitter内部では、数年前から従業員の増え過ぎが業務遂行を遅らせているとの懸念があり、人員削減の必要性について協議されていたという。 米Wall Street Journalによると、2015年6月末時点のTwitterの従業員数は約4100人で、前年と比べ24%増加している。一方Twitterの月間アクティブユーザー(MAU)は3億1600万人で、同期間の伸び率は15%だった。ちなみに米Facebookは従業員数
Microsoft、音楽プレーヤー「Zune」向けサービスを終了
米Microsoftは現地時間2015年9月16日、携帯音楽プレーヤー「Zune」向けの音楽サービスを同年11月15日で終了すると発表した。それ以降ユーザーは、サービスからZuneに音楽をダウンロードしたり、ストリーミング再生したりできなくなる。ただしZuneは単体のMP3プレーヤーとして使えるため、既存の楽曲を再生したり、他の機器との間で楽曲を転送したりすることはできる。 また、Zuneのサブスクリプションサービスに加入しているユーザーは、10月15日から11月15日の間に新ブランド音楽サービス「Groove」のサブスクリプションに移行される。Grooveに移行した場合、これまでのように1カ月10曲を追加料金なしでダウンロードすることはできなくなるが、4000万曲以上の楽曲にアクセスできるようになるとMicrosoftは説明している Grooveは月額9.99ドル/年額99.90のサービ
敵に手の内をさらして大丈夫? NISCの年金機構事件報告書を読み解く
「本文書には、NISCの対処能力を推知しうる情報が含まれるが、今般発生した事案の重大性に鑑み、可能な限り実態解明のための情報開示を行い、説明責任を果たす観点から取りまとめたものである」 政府のサイバーセキュリティ戦略本部が2015年8月20日に決定した「日本年金機構における個人情報流出事案に関する原因究明調査結果」という文書(以下「NISC報告書」と表記、関連記事)の最初のページに、こうした一文がある。2015年6月1日に明るみに出た日本年金機構の年金情報流出事件(関連記事)について、国のサイバーセキュリティ対策の司令塔に当たるNISC(内閣サイバーセキュリティセンター)の調査結果をまとめたものである。
[2]上田市は氷山の一角、限られた予算で迫られる対応
長野県上田市では2015年6月12日に、庁内LANがサイバー攻撃を受けていたことが判明した(写真1)。同月下旬から、調査が本格化した([1]を参照)。 そのなかで、「医療費通知」を装う標的型攻撃メールを受信・開封したために、「Emdivi(エムディビ)」と呼ばれるタイプの遠隔操作ウイルスに感染していたことが明らかになった(関連記事:医療費通知を偽装した電子メールにご用心、遠隔操作ウイルス感染も)。だが、2月に受信したとみられる標的型攻撃メールは、メールサーバーには残っていなかった。 上田市ではこうしたサイバー攻撃を前提に、メールを長期間保存することはしていなかった。今回のケースでは、たまたまPCにメールが残っていたため、標的型攻撃メールを検出できた。 さらに調査を進めると、攻撃者はこの1台のPCを糸口に、LAN内部に様々な形で侵入していたことが分かってきた。ウイルスに感染させたり、情報窃取
![[2]上田市は氷山の一角、限られた予算で迫られる対応](https://cdn-ak-scissors.b.st-hatena.com/image/square/4e4886a158e1c3a2e41801dbe17a2393e0c2419e/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F082000199%2F082000002%2Fkohoueda.jpg%3F20220512)
[1]長野県上田市を襲った標的型攻撃メール、住基ネット強制遮断の憂き目に
2015年6月12日夜。長野県の上田市役所に1通のメールが届いた。「市役所庁内のPCがウイルスに感染し、外部への不審な通信が発生しているようだ。大至急調べてほしい」。 メールの発信元はJPCERTコーディネーションセンター(JPCERT/CC)。日本国内を対象に、サイバーセキュリティに関する情報収集や注意喚起をしている組織である。政府や企業から独立して中立的に運営されている。 JPCERT/CCからのメールは市の情報システム部門に当たる総務部広報情報課に届いた。受信した佐野茂樹係長は、「メールを一読しただけでは、内容をよく理解できなかった」と率直に話す。 マイナンバーの最前線へサイバー攻撃 上田市は人口約16万人。長野県第3の都市で、北陸新幹線などが経由する交通の要所だ。戦国時代以降に活躍した真田氏ゆかりの地として知られ、市内には2016年に放映されるNHK大河ドラマ「真田丸」ののぼりがは
![[1]長野県上田市を襲った標的型攻撃メール、住基ネット強制遮断の憂き目に](https://cdn-ak-scissors.b.st-hatena.com/image/square/09b7c6b1e3eba9c2803d43afedce7996b62f2282/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F082000199%2F082000001%2Fcityhall.jpg%3F20220512)
揺れる米デジタル広告業界、Microsoftはディスプレイ広告から撤退
米国のデジタル広告業界が揺れている。2015年6月、米Microsoftがディスプレイ広告市場から撤退して、同事業を米AOLに譲渡すると発表。そのAOLも2015年5月、米Verizon Communicationsに買収されることを発表している。 米TwitterでDick Costolo氏が7月1日にCEO(最高経営責任者)を退任した背景にも、モバイル広告を主な収入源とする同社の売り上げの伸び悩みがあるとされる。急速に伸び続けてきたデジタル広告業界も、転換点を迎えているようだ。 Microsoftは赤字続きのデジタル広告事業を縮小 Microsoftがディスプレイ広告事業をAOLに譲渡すると発表したのは6月29日(米国時間)。ブラジル、カナダ、フランス、ドイツ、イタリア、日本、スペイン、英国、米国の9カ国で、Microsoftの広告セールスとマーケティング関連の従業員がAOLに移籍する
企業やYouTuberに暗雲、FTCがガイドラインでTwitterや動画も明確に規定
今後、企業にとって、ソーシャルメディアはますます使いづらいものになってくるかもしれない。最近のFTC(米国連邦取引委員会)の動きを見ると、そう感じてしまう人も少なくはないだろう。 先日、FTCはソーシャルメディアにおける「エンドースメント(この場合「金品等の対価をもって自社、もしくは自社製品を推奨してもらうような活動」とされる)」について、2009年に発表した「エンドースメントガイド」を一部改訂し、「エンドースメント」としてみなされる対象を「Facebookページ(および投稿)に対して“いいね!”ボタンを押させる行為や、Pinterestなどに自社製品に関する画像や動画を投稿してもらうような行為まで含める形で拡大させている(関連記事:「『いいね!』ボタンを押させる行為を米国連邦取引委員会が明確に規定」)。 今回、このガイドラインが、さらにアップデートされている。その中でも特に注目されている
「10年前からスイッチを自作」、Googleが“公然の秘密”をついに公表
米Googleはネットワークスイッチを自社で開発している――。長年IT業界でささやかれていた噂を、Googleがついに認めた。2015年6月14日から18日まで米カリフォルニア州サンタクララ市で開催された「Open Networking Summit 2015」の基調講演で、同社のFellowであるAmin Vahdat氏が公表した(写真1)。 同社がネットワークスイッチを初めて自作したのは2005年。現在Googleのデータセンター(DC)で使用する「Jupiter」スイッチは5代目に当たるという(写真2)。世界でも最大規模のデータセンターを構築・運用しているGoogleが、ネットワークスイッチをネットワーク機器ベンダーから購入せずに、自社で大量に生産しているという噂は、2007年頃から業界でささやかれていた。その噂をGoogleが公式に認めたのは、今回が初めてのことである。 「既存のネ
トップはなぜIT部門を軽んじるのか
自社のIT部門に不満を抱いている経営トップは少なくありません。実際は優秀な人材が少なからずいるはずなのですが、なぜ「うちのIT部門は使えない」と経営トップは考えてしまいがちなのか。その理由の1つはIT部門が担っている仕事の価値が、トップの視点ではわかりにくいからです。 クラウドの時代になっても、大方のIT部門の仕事は老朽化したシステムの再構築です。社内にいくつもある「基幹業務システム」を数年おきに再構築して、これからもう数年間寿命を延ばすのがIT部門の最も重要な任務になっています。システム再構築のやり方はいくらでもありますが、共通するのは業務に影響を与えない、つまりこれまでのシステムと全く同じ挙動をするアプリケーションを作る点です。業務改革とかイノベーションとは全く縁遠い仕事なのです。 数十年に渡って運営されてきたシステムにはいくつものデータベースや対外接続が必ず存在します。システム再構築
IT業界に足りない人材は“臨時工”や“コボラー見習い”なのか!
SIerや下請けの受託ソフトウエア開発会社など SIガラパゴスに生きるITベンダーの経営者は、口を開けば「IT人材が足りない!足りない!」と騒ぐ。だが、彼らが足りないと言うIT人材とは、大型案件が集中する今の繁忙期を乗り切るための“臨時工”か、スパゲティ状のコードを永遠に保守し続ける“コボラー見習い”の若者だ。本来、必要なはずのIT人材に関心が無いから恐ろしい。 必要なはずのIT人材とは、別にニュータイプの技術者のことを言っているのではない。以前から必要性が叫ばれてきた「顧客の業務や最新技術に知見を持ち、提案できる技術者」のことだ。だから一応、ITベンダーの経営者も口では、そうしたIT人材が必要だと言う。だが今、欲しいのは臨時工か、コボラー見習い。だから技術者を志す若者は、彼らの言う必要な人材の意味を見極めないと、あとで泣きを見る。 臨時工とコボラー見習いのうち、ITベンダーにとって焦眉の
日本郵政から約7500人分の個人情報が漏洩、メールサービス登録者全員に誤送信
日本郵政は2015年6月10日、個人情報約7500件を含む電子メールを誤送信していたことが判明したと発表した。6月8日に、「建設工事発注情報メールサービス」(画面)に登録している約7500人のメールアドレスに対し、同サービス登録者約7500人分の登録者名・メールアドレス・電話番号・住所を含むファイルを誤送付したという。日本郵政は2時間後に情報の削除を依頼するメールを送信した。 総務省は同日、日本郵政に対して「情報漏えい問題への対応について」という文書を出した。「二次被害を防止するために適切に対応するとともに、再発防止策を講じ、総務省に報告していただきたい」と要請した。再発防止策として、「個人情報が含まれるデータファイルについては、パスワードを設定して管理を行うこと」を求めている。 [日本郵政の発表資料]
株主向けサイトから1万2014件の情報漏洩、内部犯行の疑い
サンリオなど5社の株主向けサイトから4月上旬に株主情報が漏洩した可能性が判明した件について、サイトの開発・運用の委託先であるインベスター・ネットワークス(INV)は2015年5月29日、1万2014件の株主情報が社内から漏洩した事実を認め、公表した。これを受けてサイトを使っていた5社のうちロート製薬など3社は同日、情報漏洩した株主にお詫びの品を送ると発表した。 INVは事態が分かった4月7日から、サイバー攻撃による流出と内部犯行による流出の両面を視野に入れて調査を進めていた(関連記事:株主向けサイトから5社1万4667人の株主情報が漏洩か)。今回、サイバー攻撃についてNEC子会社のサイバーディフェンス研究所に、内部犯行について三井物産セキュアディレクションにそれぞれ調査協力を仰いでいた。 調査は5月26日に完了し、1万2014件のデータが流出したことが分かった。2015年2月23日時点の登
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
さよならSSL ~「安全な通信」標準が使用禁止になったわけ
