パスワードを盗まずにアカウントを乗っ取る、新型フィッシングの恐ろしすぎる手口
フィッシング詐欺の新しい手口が報告された。新手口では、メールに記載された偽のURL(リンク)をクリックするだけで、Office 365などのクラウドサービスのアカウントを乗っ取られる恐れがある。 アカウントを乗っ取られると、クラウドに保存されたファイルやメール、連絡先などあらゆるデータを盗まれてしまう。従来のフィッシング詐欺と大きく異なる点は、ユーザーのパスワードを盗む必要がないことだ。一体、どんな手口なのだろうか。 パスワードを盗むのが常とう手段 一般的なフィッシング詐欺は、ユーザーのパスワードといった資格情報(認証情報)を盗むのが目的だ。攻撃者は実在する企業などをかたった偽メールをターゲットのユーザーに送る。メールには、正規のWebサイトに見せかけた偽サイトのリンクを記載する。 ユーザーがリンクをクリックすると偽サイトに誘導されて、パスワードなどの入力が促される。ユーザーがだまされて入
8000人の個人情報が流出した三菱電機の不正アクセス被害、採用応募者も含まれる
三菱電機は2020年1月20日、同日に同社が明らかにした2019年6月に把握した不正アクセスで、最大8122人の個人情報が流出した可能性がある発表した。8122人には同社の関係者以外に、社外の採用応募者も含まれていた。流出した可能性がある社外の人には報告とおわびの文書の送付を同日から開始し、電話による問い合わせの専用窓口も設けた。 流出した可能性がある採用応募者は2017年10月から2020年4月までに入社する新卒採用応募者と、 2011年~2016年の中途採用応募者の合計1987人。このほかに三菱電機の本社に2012年に所属していた4566人分と、関連会社の退職者1569人分の情報が流出した可能性があるという。 ほかに技術情報や営業関連の情報も流出したが、いずれも機密性が高い情報や取引先に関する重要な情報は含まれていなかったとしている。特に外部から狙われやすい防衛・電力・鉄道などの社会イ
Webサイトを改ざんされた財団法人が「ピント外れ」の注意喚起を出したワケ
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。 2019年12月中旬に発生したトラブルを3件取り上げる。最初は、日本地図センターのWebサイト改ざんである。 スクリプトファイルの改ざんでカジノサイトへ誘導(12月11日) 日本地図センターはTwitter上で、検索サイトの結果に表示される同センターのWebサイトへのリンクをクリックしないよう呼びかけた。クリックすると、同センターのWebサイトとは異なる中国語のWebサイトが表示される恐れがあるとしていた。同センターは元国土交通省所管だった財団法人。 筆者が調べたところ、検索結果に表示されるリンクは日本地図センターのWebサイトへのリンクだった。同センターのWebサイトにアクセスすると読み込まれるスクリプトファイルが書き換えられ、スクリプトファイルによって中国語のカジノサイト
技術者440人が「学びたくない」言語ランキング、不名誉な首位はあの言語
ITエンジニアは今後どんなプログラミング言語を学びたいと思っているのだろうか。またもう学ぶ必要はないと感じているプログラミング言語は何か。これを探るため、日経 xTECHでは「プログラミング言語実態調査」のアンケートをWebサイト上で実施した。調査では今後スキルを磨きたいプログラミング言語を複数回答で聞いた。 スキルを磨きたい言語の第1位は「Python」だった。回答者440人中321人がPythonを選んだ。実に7割を超える回答者がPythonを学びたいという状況だ。AIブームの到来で有望視するITエンジニアが多いとみられる。 第2位は「JavaScript」(221人)だ。半数以上の回答者がJavaScriptのスキルを磨きたいと答えている。同じくWeb技術である「HTML/CSS」(156人)も第3位に入った。こうしたWeb技術を用いたシステム開発が現場で増えているのだろう。 第4位
ヤフー・LINE経営統合の衝撃、巨大Pay連合におびえる「あの業界」
ヤフーを傘下に持つZホールディングス(HD)とLINEは2019年11月18日、経営統合で基本合意した。2019年12月をめどに最終契約を結び、2020年10月までの統合完了を目指す。 幅広いサービスを持つ両社だけに、統合の狙いや効果は広範囲に及ぶ。その中でも注目なのは、両社が同日朝に発表したリリースで統合効果の1番目として挙げた「データの活用」だ。 「最もまずい組み合わせかもしれない」 マーケティングでの活用を考えれば、1億人を超えるとされる巨大な顧客基盤が生み出すデータを1つの企業グループが持つメリットは計り知れない。2011年の世界経済フォーラム年次総会(ダボス会議)で「パーソナルデータは次世代の石油」と指摘されたように、次世代の主要な資源争いにおいて、日本市場で一歩抜きんでた存在になったことは間違いない。 利用者にはより個人に合った利便性の高いサービスが提供されるようになるだろうと
サポート詐欺でトレンドマイクロ社員の内部犯行が発覚、発表文にはない「事実」
トレンドマイクロは同事件について、国内向けにはリリースで、海外向けにはブログで明らかにした。しかし、リリースやブログでは明らかにされていない事実が2つある。 サポートサービス利用者のリストを攻撃者に売る 1つめは、サポート担当の従業員が外部に持ち出したのは、過去にトレンドマイクロのサポートサービスを使った顧客の情報だった事実だ。情報には、顧客の名前やメールアドレス、電話番号、サポートチケット番号が含まれていた。 流出した顧客情報には、米国とオーストラリア、バハマ、カナダ、ドイツ、アイルランド、ニュージーランド、英国の8カ国で販売される個人向けセキュリティー製品のユーザーが含まれる。日本製品のユーザーは含まれていない。 内部犯行者は顧客情報を攻撃者に売り、攻撃者はその情報を基にトレンドマイクロのサポート担当者を装ってサポート詐欺を働いたとされる。サポート詐欺とは一般に、ユーザーのパソコンにセ
説明が分かりにくいのは知的怠慢だ、技術者よ思い上がるな
技術者にとって、企業の経営者や事業サイドの人たちの「ITへの無理解」はものすごく腹立たしいはずだ。特に経営者がITを理解していないと本当に困る。しかもITへの無理解は技術者の仕事に対する無理解につながる。そうでなくても日本では技術者の専門性を軽視する企業が多い。ITの専門家としては耐えがたいと思う。 ITベンダーの技術者もきっと同じ思いだろう。上司から「お客さまに寄り添え」と気色悪い指示を受けているから我慢しているとは思うが、素人化した客のIT部門の無知から来る要求はやはり腹立たしいはずだ。客から「そんなの簡単にできるだろうから、やってよ」などと言われると、「少しはITを勉強しろ!」と叫びたくなるに違いない。 言うまでもないが、今やITに関する知識はビジネスに必須である。だから、技術者以外のビジネスパーソンはITを学び、業務に必要なら使いこなせなくてはいけない。さらに言えば、誰もがスマート
IT企業への「発注ハラスメント」が炎上案件を生む
最近の報道で気になることがあります。中期経営計画の大きな目標の1つに「ITコストの削減」を掲げている企業が多いことです。 ITコストの削減とは何でしょうか? 普通に考えると次の2つが浮かびます。 [1]実は無駄なシステムや運用経費があったので、それを排除する。 [2]ITを使わないようにすることで、システムを廃止する。 [1]は非常に恥ずかしい話であり、現行のITシステムの設計や管理が甘かったことを露呈しています。大々的に広報する内容ではありません。一方、[2]は時代に逆行する話であり、大企業が採る方針としては考えられません。 これらのどちらでもないとすると、3つめを考えなければなりません。すると、次の内容になるのではないでしょうか。 [3]サービスレベルを落とさずにIT企業への支払いを減らす。 「コスト削減」を目標に掲げる弊害 私は「コスト削減」という言葉が大嫌いです。最初に減らされるの
「10年後にDX担当大臣を輩出」、国内初のCTO協会は日本を変えるか
「10年後には会員の中からDX(デジタルトランスフォーメーション)担当大臣を輩出する」――。壮大な目標を掲げる一般社団法人が2019年9月2日に立ち上がった。 その名も「日本CTO協会」。CTO(最高技術責任者)とは自社ビジネスのコアを支える製品や装置、サービス、システムで使う「技術」全般について選定や廃棄計画などを取り仕切る責任者であり、技術者組織の運営に責任を持つ場合もある。日本で類のないCTO集団の運営に挑むのが、日本CTO協会だ。第1回の理事会を9月23日週に控えるため未決事項が大半というが、意気込みや目標などを聞いた。なお公式Webサイトは2019年10月に開設予定という。 「無色」のCTO集団、誕生へ 代表理事に就任したのは技術戦略コンサルティングを手掛けるベンチャー企業、レクターの松岡剛志社長である。レクターはCTO経験者と現役のCTOの合計4人が2016年6月に立ち上げた「
地方税ポータル「eLTAX」はなぜActiveXを採用したのか、地方税電子化協議会に聞いた
~eLTAXをお使いの皆様へ~ Java実行環境が不要になります (中略) ※電子署名を付与する場合に、ActiveXコントロールのインストールが必要です 地方税電子化協議会が運営する地方税電子申告システム「eLTAX(エルタックス)」のWebサイト上で2016年3月3日に掲載された案内(PDF)が、IT技術者の間で波紋を呼んでいる。 eLTAXではこれまで、Web上で利用届出や申請などを行う際の電子署名を、Javaアプレットで実行していた。だが、Java実行環境(JRE)の更新に伴うJavaアプレットの動作確認が間に合わず、旧バージョンのJREのインストールを利用者に求めることがたびたびあった。 eLTAXでは、2016年3月14日からJREに代わり、動作確認が不要なActiveXを採用。このとき掲載した利用案内では、Internet Explorer(IE)設定で「署名済みActive
ふるさと納税が控除されないトラブル、全国の自治体で操作ミス相次ぐ
2018年分のふるさと納税で、税控除額が正しく計算されない事象が相次ぎ発生した。確定申告の手間を省く「ワンストップ特例制度」のシステムに不具合があった。システムの設計に不備があり、自治体での操作ミスが頻発。納税データが住所地の自治体に届かず、税額計算に影響した。自治体の実情を十分配慮せず電子化を急いだ国の姿勢に対する疑問の声も上がる。 「あれ、控除額が少ないぞ」。都内に住む40歳代の会社員は2019年5月半ば、住所地の自治体から勤務先を通じて交付された「住民税決定通知書」を見て疑問に思った。2018年に3つの自治体にふるさと納税をしていた。確定申告をしなくても気軽にふるさと納税ができる「ワンストップ特例制度」を使ったはずなのに、その分が控除されていなかった。 問い合わせようと思ったところ、2つの自治体から相次いで「手続きのミスで控除されていなかった」との謝罪文が届いた。うち1つの自治体は控
39歳で年収2000万円超え、NTTデータ「大盤振る舞い」制度の適用第1号が判明
NTTデータが2018年12月に導入した高額報酬制度の「Advanced Professional(ADP)」。優れた技術者を2000万円を超える年収で遇する同制度の適用第1号がこのほど明らかになった。その人物の横顔に迫ろう。 適用第1号となったのは、ビッグデータ処理のオープンソースソフトウエア(OSS)「Apache Hadoop」の事業を同社で立ち上げたことで知られる濱野賢一朗氏だ。1980年6月生まれの39歳。同社はADP制度を発表した際に「確定申告が必要な額になる給与」、つまり年間2000万円を超える給与になると説明していた。濱野氏の給与は標準報酬だけで2000万円を超え、業績に応じて年収は最大3000万円に増えるという。 米国IT企業に対抗すべく高額報酬制度を導入する日本のIT企業が相次いでいる。しかしその適用者が明らかになるケースは珍しい。濱野氏は、2019年9月5日に開催され
7pay問題に揺れるセブン&アイ、6年前にも情報流出を引き起こしていた
本特集は、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。今回は7pay問題に揺れるセブン&アイ・ホールディングス傘下のセブンネットショッピングだ。 セブンネットショッピングは2013年10月、同社のEC(電子商取引)サイトがなりすましによる不正アクセスを受け、最大15万件のクレジットカード情報が流出した恐れがあると発表した。被害ユーザーを特定できなかったことから、約150万人のユーザーに警告を出す事態となった。 セブン&アイ・ホールディングス傘下で、EC(電子商取引)サイトを運営するセブンネットショッピングは2013年10月23日、同社のECサイトがなりすましによる不正アクセスを受け、顧客情報が流出した恐れがあると発表した。最大15万165件の氏名や住所、電話番号
AWS大障害、冗長構成でも障害あったと公式に認める
米アマゾン ウェブ サービス(Amazon Web Services)は2019年8月23日に発生したクラウドサービス「Amazon Web Services(AWS)」東京リージョンの大規模障害に関して同月28日、新しい報告をWebサイトに掲示した。障害が発生したサービスを追加したほか、利用企業が複数のアベイラビリティーゾーン(独立性の高いデータセンター群、AZ)横断の冗長構成にしたシステムにも一部で障害(予期せぬ影響)があったと認めた。 障害が発生していたサービスとして追加したのは日経 xTECHの既報の通り、アプリケーションロードバランサーの「Amazon ALB」、インメモリーキャッシュの「Amazon ElastiCache」、データウエアハウスの「Amazon Redshift」、仮想デスクトップの「Amazon Workspaces」などだ。仮想マシンの「Amazon EC2
川崎市の区役所がメール誤送信、「証拠隠滅」を図るも失敗
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。 2019年8月上旬の注目ニュースは3件。最初は、川崎市中原区のメール誤送信トラブルを取り上げる。 50人のメールアドレスを宛先やccに指定して漏洩(8月5日) 川崎市中原区役所が、メール誤送信によるメールアドレスの漏洩を発表した。 中原区が開催した夏休みのイベントに応募した132人のうち、落選した57人中50人に7月26日に送ったメールで、50人分のメールアドレスを宛先もしくはccで指定していた。落選を伝えるメールだった。 区役所の担当者は、該当のメールを受信した人からメールで指摘を受けて事態を把握した。 ところが、事態の発覚を恐れた担当者は、指摘を受けたメールと送信履歴にあった該当のメールを削除。上司への報告も怠ったという。 最初に指摘した受信者から再度問い合わせのメールが
「無駄遣い」がばれる?金融庁の投資調査に戦々恐々の銀行とIT大手
金融庁が地方銀行などを対象に、システム投資の実態調査に乗り出すことが分かった。戦々恐々としているのは調査される地銀だけではない。勘定系システムを開発、運用、保守するIT大手も同様だ。地銀の「無駄遣い」、ITベンダーから見たら「割高な実態」が明るみに出る可能性がある。 やり玉に挙がる「自前主義」 地銀にとって勘定系システムの維持コストは頭の痛い問題だ。地銀のIT関連予算は上位行で年間100億円規模、中位行で同50億円規模で、うち3割を勘定系システムの維持コストが占めるとされる。 銀行はシステム装置産業であり、制度対応やセキュリティー対策などに一定の新規コストがかかり続ける。それだけに、規模が小さいほど負担が相対的に重くなる。 金融庁が地銀のシステム投資の実態調査に乗り出すと、真っ先にやり玉に挙がりそうなのが、自前の勘定系システムを使う地銀だ。勘定系システムを他行と共同利用する地銀と比べて、シ
[独自記事]リクナビが提携サイトの閲覧履歴も取得していた事実が判明
就職情報サイト「リクナビ」を運営するリクルートキャリアは2019年8月6日、就職活動をしている学生のサイト閲覧履歴などを基に内定辞退の指標を顧客企業に提供していたサービスで、同社と提携するサイトの閲覧履歴も取得していたと日経xTECHの取材に明らかにした。提携サイトから「個人を特定できないcookie(クッキー)情報を取得していた」(社外広報グループ)と説明するが、同社はクッキーを「リクナビID」に突合していた。他社が運営するサイトの閲覧履歴を基にした個⼈情報を第三者提供していたことになる。 内定辞退の可能性を指標データとして顧客企業に提供していたのは「リクナビDMPフォロー」。同社のプライバシーポリシーは、学生であるユーザーがログインしてサービスを利用した場合、「個人を特定したうえで、ユーザーが本サービスに登録した個人情報、およびcookie(クッキー)を使用」して、同サービスのほかに同
![[独自記事]リクナビが提携サイトの閲覧履歴も取得していた事実が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/c9d592488d2482d424f0caea2c9f91cf938a5b6e/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fcolumn%2F18%2F00001%2F02710%2Ftopm.jpg%3F20220512)
総務省、「トラストサービス」の法制度化に向けた中間取りまとめを公表
総務省は2019年8月9日、有識者やITベンダー関係者で構成する「トラストサービス検討ワーキンググループ」の中間取りまとめを公表した。データの改ざん防止や電子的に利用者を本人確認できる「トラストサービス」の法制度化に向けて、2019年12月までに最終報告書をまとめる。 報告書は、紙への押印や対面のやりとりからデータのやりとりに移行するためには、トラストサービスが必要だと指摘した。電子署名のほか、法人が作成したデータの正当性やWebサイトを認証する仕組みに加え、データの存在証明や改ざんされていないことを保証するタイムスタンプなど、5つのサービスについて検討した。 欧州連合(EU)は2016年7月にトラストサービスを規定した「eIDAS規則」を発効した。同規則では、一定の要件を満たした電子署名やタイムスタンプ、法人が作成した電子文書が改ざんされていないと保証する「eシール」などをトラストサービ
[脳に挑む人工知能14]「ディベートAI」の背後にある知性と感情
「暴力表現のあるビデオゲームの子どもへの販売は禁止すべきか?」 「カジノは合法化すべきか?」──。 賛否のあるテーマについて、肯定側・否定側に分かれて、互いに主張の理由と根拠を提示する「ディベート」。人間の論理思考力が試されるこの行為に、人工知能(AI)が挑んでいる。 ディベートAIの研究から透けて見えるのは、本当に人を納得させる意見をAIに作らせようとすると、人間の論理思考力を再現するだけでは不十分、という事実だった。 自然言語処理の新領域に挑む 日立製作所は2015年7月、大量の英文ニュース記事を解析し、賛成・反対の理由と根拠を英文で表現できるディベートAIを開発したと発表した(図1)。東北大学大学院情報科学研究科の協力を得て開発したもので、コンピュータとの論理的な対話を実現するための基礎技術になるという。
![[脳に挑む人工知能14]「ディベートAI」の背後にある知性と感情](https://cdn-ak-scissors.b.st-hatena.com/image/square/d4b4f1e67e954c7dcf620411896ca295afedb6e3/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F14%2F090100053%2F082700079%2F1.jpg%3F20220512)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
週休3日制でも生産性4割向上、日本マイクロソフトが新施策の成果発表
