W3Cが分散IDの規格を標準化、認証サービスの選択が可能に
Web技術の標準化団体であるWorld Wide Web Consortium(W3C)は2022年7月19日、分散IDの規格「Decentralized Identifiers(DIDs)」を標準規格として勧告した。これまでWebサービスで利用者を認証するには中央集権型のIDP(IDentity Provider)が必要だった。分散IDにより、利用者もサービス事業者もオンラインにおけるID情報の管理をコントロールできるようになるという。 携帯電話の電話番号や電子メールのアドレスは認証IDによく使われ、一見利用者が所有しているように見える。しかしMNP(モバイルナンバーポータビリティー)が実現されるまで、携帯電話番号はキャリアを変えると変更を余儀なくされた。また電子メールのアドレスも、個人が契約するISP(インターネットサービス事業者)を変えると変更が必要になる。これがこれまでの中央集権型
トヨタの危機感を共有できているか 脱炭素からは誰も逃れられない
100万人の雇用と、15兆円もの貿易黒字が失われかねない――。 脱炭素の遅れで自動車は輸出できなくなり、最大の輸出産業で雇用が失われる。トヨタ自動車の豊田章男社長が“必死の警告”を続けている。 菅義偉首相の「2050年カーボンニュートラル宣言」の後、日本自動車工業会(自工会)の会長として宣言に賛成した上で、このままでは「産業が崩壊する」と叫び続けているのだ。 「カーボンニュートラル2050、これは国家のエネルギー政策の大変化なしに達成は難しい」「ここで手を打たないと、モノ作りを残して、雇用を増やし、税金を納めるという、自動車業界がやっているビジネスモデルが崩壊する」(2020年12月17日) 「車の競争力をどれだけ上げたとしても、このままでは日本で車を作れなくなる」(2021年3月11日) 「クリーンエネルギーを調達できる国や地域への生産シフトが進み、日本の輸出や雇用が失われる可能性がある
[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI
![[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/50af62bf10b2327e63a67030d0f38884caebfa3d/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fnews%2F18%2F05498%2Ftopm.jpg%3F20220512)
なるほどそうか、「機械学習モデル」を高1数学で理解する
機械学習をマスターする上でカギとなる、「損失関数」。機械学習モデルにおいて、予測値と正解値(正解データ)がどの程度近いかを示す指標となる関数です。 そのイメージをより具体的に持つため、簡単な例題をここで扱ってみましょう。解を導き出すのに少し時間がかかりますが、「偏微分」などの高度な数学は全く使いません。 2次関数など高校1年生レベルの数学をおさらいしながら解説していきます。一通り読めば、「数学を使って機械学習モデルを解く」というイメージがつかめるので、ぜひ解を導くところまで読み進めてください。 題材として「単回帰」と呼ばれる、1つの実数値の入力(x)から1つの実数値(y)を予測するモデルを取りあげます。具体的な処理内容としては、成年男子の身長x(cm)を入力値に、体重y(kg)を出力値とするようなモデルを考えることにします。モデルの内部構造は「線形回帰」と呼ばれるもので考えます。 線形回帰
解雇者によるサイバー犯罪が増加、ベライゾンが2009年のデータ侵害事件を分析
ベライゾンジャパンは2010年9月17日、2009年の1年間に発生したデータ侵害事件に関する説明会を開催。米Verizon Business 調査対応チーム ディレクターのブライアン・サーティン氏(写真)が、米国時間7月28日に発表した調査レポート「2010年データ漏洩/侵害調査報告書」の結果を元に、データ侵害被害のトレンドと有効な対策について解説した。 「2010年データ漏洩/侵害調査報告書」はVerizon Businessの調査対応チームがUSSS(United States Secret Service)の協力をうけて、2009年に世界で発生したデータ侵害事件の原因、攻撃手法、有効な対策などを調査、分析したレポート。Verizon Businessの調査対応チームが有するデータ侵害の事例データと、USSSから提供されたデータ侵害事件の情報を使用した。2組織のデータを合わせると、調査
Windows版Linuxの導入でつまずかない方法
2017年10月17日に一般提供が始まる「Windows 10 Fall Creators Update」は、Windowsの正式な機能としてLinux互換環境「Windows Subsystem for Linux(WSL)」を搭載する。Windowsストアから簡単にLinux OSを導入できる機能だが、つまずきやすい落とし穴がある。 Windowsの中でネイティブのLinux OSを動かせる「Windows Subsystem for Linux」。Fall Creators Updateから正式版になった。画面はUbuntuのもの。 導入までに必要な操作は、 Windows Subsystem for Linux(WSL)を有効化 Windowsストアからインストールして起動 ユーザーアカウントを作成してログイン の3ステップだ。いきなりWindowsストアで「linux」、またはL
ブロックチェーンは本当に世界を変えるのか
2015年来、ブロックチェーンはFinTech(金融とテクノロジーの融合領域)の文脈のみならず、そこを飛び越えた領域でも、インターネット革命と近いレベルの「ディスラプティブ(破壊的)」な技術と喧伝されている。世界的な金融機関やITベンダーを中心に、多くの企業や各国政府が参画して、ブロックチェーンの活用に向けた活発な研究や実証が始まっているのは事実だ。 一方で、現状のブロックチェーン技術の成熟度には疑問の声も多い。インターネットでいえば1980年代前半の黎明期の水準に過ぎないという指摘もある。 本連載では、暗号とその応用技術の設計と運用に長年関わってきた研究者と技術者によるリレー形式で、ブロックチェーン技術の現状、活用に向けた課題と解決の方向性を、国内外の動向を交えながら解説する。 ブロックチェーンの課題解決や標準化へ、世界はどう動いているのか 世界の先端のブロックチェーン技術者、研究者は、
Webアプリの脆弱性調査ツール、脆弱性学習ソフトなど
ラック ITプロフェッショナル統括本部 ESS事業部 システムアセスメント部 担当部長。入社以来、ユーザー企業などのセキュリティ診断を手掛ける。最近飼い始めたフェレットと前からいる愛しの猫とのけんかに悩まされている。 セキュリティ技術者の山崎 圭吾さんがオススメするフリーソフトは、セキュリティチェックに使う「OWASP Zed Attack Proxy(ZAP)」とセキュリティの学習に使う「AppGoat」、Windows上でLinuxコマンドによる操作を可能にする「Cygwin」の三つ。最初の二つは、企業のセキュリティ担当者やシステム開発者が、セキュリティを学習するための入門ツールとしてぴったりだ。 OWASP ZAPは、Webアプリケーションの脆弱性を調べられるソフト。通信の中身を確認したり止めたりする「プロキシー」と、Webサイト内のコンテンツをリストアップする「スパイダー」、セキュ
ANAシステム障害の原因判明、シスコ製スイッチの「世界初のバグ」でDBサーバーがダウン
同期処理が失敗した原因は、4台をつなぐスイッチの不具合。具体的には、スイッチが故障状態であるにもかからず、故障を知らせる「故障シグナル」を発信しなかった。国内線システムは故障シグナルを検知するとスイッチを予備機に切り替えるが、今回はその機能そのものを作動できなかった。 スイッチは完全に停止したわけではなく、「不安定ながらも動作していたようだ」(同)。そのため、DBサーバー間の同期は順次失敗し、停止していったと見られる。 ANA広報によると、スイッチは米シスコシステムズ製「Catalyst 4948E」という。「2010年6月の発売開始以降、世界で4万3000台、うち日本で8700台を販売しているが、今回の不具合は初めての事象と聞いている」(ANA広報)。なぜ「故障シグナル」が発信できなかったかは分かっていない。 1台での縮退運転を決断 4台の完全停止から37分後、ANAは1台のDBサーバー
技術者不足への対策ですか。諦めてください。それが日本のためです
日本は今、空前のIT技術者不足。ユーザー企業のIT部門も、SIerも、下請けベンダーも、そしてブラック企業も「必要な頭数を確保せよ」と、まるでモノか何かをかき集めるかのような口調で技術者の“調達”に奔走している。この私にさえ技術者不足への対策を聞いてくる人がいるが、そんな時は必ず「諦めてください。それが日本や大勢の若者のためです」とだけ答えることにしている。 なぜ、そんな木で鼻をくくったような態度をとるかと言うと、これまで抜本的な対策を打とうともせず、周期的に「技術者が足りない。大変だ!大変だ!」と騒ぐ浅薄な連中が大嫌いだからである。それに、モノか何かのようにかき集められる若者の将来よりも、国や大企業などのシステムのほうが大事だと思っている点もゲンナリする。そんなものは圧倒的に小事である。 そもそも、「技術者不足への対策は技術者を増やすこと」と脊髄反射的に考えるのは、何とかならないものだろ
「携帯電話番号は個人情報に当たらない」、新経連に真意を聞いた
「なぜ、単なる十数ケタの数字の羅列が、個人情報として保護の対象になるのか、そこがさっぱり分からないんですよ。企業ごとの自主的な規制ではダメなんでしょうか…」 2015年3月10日に閣議決定した個人情報保護法の改正案(ITpro関連記事:個人情報保護法改正案を閣議決定、個人情報の定義は骨子案を踏襲)を巡り、企業や経済団体の担当者から、取材の場でこうした疑問をぶつけられた。 担当者を困惑させているのが、個人情報の定義を明確化するという名目で新たに導入される「個人識別符号」という概念だ。個人の氏名だけでなく、政府や民間企業が個人に割り当てた符号(数字や文字)を含む情報も、個人情報として保護の対象になる。 企業や経済団体は、個人情報保護法改正案のどこに、違和感を覚えているのか。経済団体への取材を基に、改めて「符号を法的保護の対象にする」ことの意味について考えてみたい。 国会審議で明らかになった個人
記者は「BadUSB」を試してみた、そして凍りついた
「BadUSB」という非常に危険な脆弱性をご存じだろうか。まだ大きな事件として明るみに出たものはなく、あまり知られてはいない。しかし今後、様々な方法でこの脆弱性が悪用され、企業ユーザーのITシステムが狙われる危険がある(関連記事:ファームウエアを勝手に書き換える、USBの危険すぎる脆弱性「BadUSB」)。危険性を正しく知ってもらうべく、また自分自身で怖さを理解すべく、記者は今回、自ら環境を構築してBadUSBの動作を確認した――。 セキュリティ分野は特に「自分で触ってみるとよく分かる」 記者は、自分の目で見たり触ったりして確認できたものしか基本的に信じない性格である。もちろん、記事を書くに当たって、あらゆる物事を自分で確認できるはずはない。確認できないケースについては、代わりにその事実を確認した人(一次ソース)に取材することなどにより情報を得るが、自ら確認できるチャンスが少しでもあれば、
三井住友銀行の不正送金は「MITB攻撃」、ワンタイムパスワード利用者も被害に
三井住友銀行のインターネットバンキングサービス「SMBCダイレクト」について、同行が2014年5月12日に公表した不正送金被害のうち1件は、ワンタイムパスワード(一回限り使えるパスワード)を生成するハードウエアトークンの利用者が対象だったことが分かった(関連記事)。いわゆる「MITB(マン・イン・ザ・ブラウザー)攻撃」だったために、ワンタイムパスワードを使っていたにもかかわらず被害に遭った可能性が高い。国内での不正送金はフィッシング詐欺や「Webインジェクト攻撃」といった手口が主流で、MITB攻撃が検知されたのは珍しい。 今回の不正送金は2014年4月中旬に発生した。利用者が同行のオンラインバンキングにアクセスし、画面の指示に従ってワンタイムパスワードを入力した後、覚えのない口座への振込が行われていたという。このほか、乱数表カードの一部を入力しただけで不正取引が行われた事例も確認された(図
ZabbixとNagiosを一括監視する「Hatohol」、ミラクル・リナックスがOSSとして公開
ミラクル・リナックスは2013年6月27日、オープンソースの統合監視ソフトウエアである「Zabbix」と「Nagios」を利用した複数の監視サーバーを一括監視する「Hatohol(はとほる)」をオープンソースソフトウエアとして公開した。また、Hatoholの開発などを行うコミュニティ「Project Hatohol」を設立した。 Hatoholはミラクル・リナックスが独自に開発したもの。複数のZabbixサーバーを一元管理することで、監視対象の規模に応じてZabbixサーバーを拡張できるとしている。またそれぞれの独立したZabbixサーバーで動作しているため、いずれかのZabbixサーバーで障害が発生しても他のZabbixサーバーに影響を与えないという。
届け出が急増するDOM Based XSS
2012年10月~12月において、IPAにDOM Based XSSの脆弱性に関する届出が急増した。日本語で解説された資料が少ないDOM Based XSSの脆弱性について2回に分けて解説する。第1回ではDOM Based XSSの脆弱性について概要や対策が必要なアプリについて解説し、第2回ではコードを交えての対策方法を解説する。 XSSの脆弱性とは? DOM Based XSSとは、XSS(cross-site scripting:クロスサイト・スクリプティング)の脆弱性の一種である。まずは、XSSの脆弱性について解説する。 XSSの脆弱性とは、端的に言えば「攻撃者が用意した不正なJavaScriptをWebページに埋め込める問題の一つ」である(図1)。不正なJavaScriptを埋め込む方法は何パターンか存在するが、ここでは説明を割愛する。 これはつまり、攻撃者が悪意のあるJavaSc
米ヤフー、IE10の「Do Not Track」初期設定を無視する方針を表明
米ヤフーは現地時間2012年10月26日、公式表明を掲載するブログ「YAHOO! POLICY BLOG」において、米マイクロソフトの「Internet Explorer 10」が個人情報管理手段「Do Not Track(DNT)」を初期設定(デフォルト)で有効としたことに改めて反発を示し、「IE10初期設定のDNT信号をYahoo!サイトでは認識しない方針」と表明した。この方針は同日付の「In Support of a Personalized User Experience」と題された投稿において発表された。 DNTはインターネットユーザーがオンライン行動の追跡を拒否できるようにするための機能である。米連邦取引委員会(FTC)が2010年12月に提案した。しかしマイクロソフトがIE10でDNT機能を初期状態で有効とする方針が明らかになると、広告業界からは反発が相次いだ(当サイトのまと
iPhoneアプリをRubyで開発できる、「MobiRuby」のソースコードが公開
図2●増井氏がMobiRubyを用いて開発したゲームアプリの画面例。既にAppStoreで「MobiRuby」の名前で公開されている iOS向けのアプリをRubyで開発可能にするソフトウエア「MobiRuby」がリリースされた。開発者の増井雄一郎氏が、Github上でソースコードを公開した。併せて同氏は、2012年9月14日に札幌で開催された「札幌Ruby会議2012」で講演し、MobiRubyについて解説した(同氏の講演資料)。 増井氏は2012年3月よりMobiRubyの開発に着手し、約半年で公開にこぎ着けた。現在はアルファ版の段階だが、2013年第一四半期までに正式版(ver.1)を公開する予定である。MobiRubyはC言語で実装してあり、コード量は約3000行という。まつもとゆきひろ氏らが開発した軽量版のRuby「mruby」を用いている(関連記事)。 Objective-CとR
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
memcachedが攻撃の踏み台に、JPCERT/CCが注意喚起
GMOインターネットから漏えいの個人情報、Amazonの電子書籍として販売される
第2回 UX/UIデザインのプロセスと具体例 -UX編-