IIJの格安通信利用者向けアプリで情報漏洩、APIサーバーのバグが原因
インターネットイニシアティブが2021年7月15日に情報漏洩事件を起こした。格安通信サービス「IIJmio」の顧客向けスマートフォンアプリケーションで、他のユーザーの電話番号の一部や契約情報などが誤表示された。サーバー側のアプリケーションに存在したバグが原因だった。同社は即座にアプリの運用を停止、再開には4カ月弱を要した。 「さっきダウンロードしたアプリの画面に、見知らぬ電話番号が表示されている」。インターネットイニシアティブ(IIJ)が手掛ける格安スマートフォンサービス「IIJmio」のサポートセンターにユーザーからこうした指摘が寄せられたのは、2021年7月15日午後のことだった。 問題となったスマートフォンアプリケーションは「My IIJmio」だ。IIJmioの料金プラン「ギガプラン」を契約しているユーザーが、契約内容や請求金額、データ通信の利用実績などを確認するための管理アプリで
米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年
MRJ開発遅延の真相、知見不足で8年を浪費 直面した900件以上の設計変更
三菱航空機は2008年にMRJの開発を開始し、当初設定した納入時期は2013年だった。その後、5度の延期を繰り返し、現在は2020年半ばの納入を予定している。ところが、機体の安全性を国(国土交通省航空局)が証明する「型式証明(TC)」の取得に使う試験機(10号機)の開発が遅れており、「2020年半ばの納入は絶望的」との声が一部で上がる厳しい状況にある。三菱航空機代表取締役社長の水谷久和氏は「進捗状況を見極めており、スケジュールを精査している」と、6度目の納入延期の可能性について言葉を濁す*。 * 2020年1月6日、設計変更を施した10号機が製造を担う三菱重工業から三菱航空機に引き渡された。日本で動作確認を実施した後、米国に運び、TCを取得するための飛行試験を実施する計画。その後の同月24日、TC取得が間に合わずに6度目の納入延期となり、納入予定は2021年以降となると報じられた。だが、三
「FF6」の新たなバグを発売25年後に見つけたテスト技術者の腕前
1994年に発売された大人気ゲーム「ファイナルファンタジーVI(FF6)」(スーパーファミコン版)をやりこみ、2019年になっても未発見の「バグ」を見つけ出し続けている人がいる。ここ数年、熱心なゲームファンを何度も驚かせているのが、「エディ」のハンドルネームで知られるプレーヤーだ。必須のイベントをクリアせずに先に進める方法を見つけ出し、毎年のようにゲームクリアまでの「歩数」の最少記録を更新している。 本記事でいうバグとは、ゲーム開発者が意図していなかったと推測される仕様を含む。特別な操作をすると通常とは異なる挙動となり、いわゆる「裏技」が可能になる。 FF6スーパーファミコン版はスクウェア(現スクウェア・エニックス)が開発したロールプレイングゲーム(RPG)で、美しいグラフィック、ドラマチックなシナリオ、完成度の高いゲームシステムが好評を博し、全世界で約340万本の売り上げを記録した。人気
Windowsの令和対応パッチ配信が始まらず、10連休に間に合わない懸念も
日本マイクロソフトによる新元号「令和」に対応するためのWindowsの更新プログラム(パッチ)の配信時期が不透明になっている。2019年4月22日午後の時点で、まだ配信が始まっていない。 同社は「現在、米国の技術チームが準備を進めているところで、まだ配信時期は確定していない。22日中の配信開始はない。10連休に入る前の26日までの配信開始を目指している」(広報)が、間に合わない可能性もある。「全製品で同時期に配信せずに、Windows 10/8.1/7などの製品によって配信開始時期を変えることになるかもしれない」(同)と説明する。 今後配信する予定のパッチは、Windowsの時刻制御をつかさどる「日付と時刻」を修正して令和に対応する。平成の次が令和だという内部ロジックを実装して、2019年の1月から4月までが平成31年で、5月以降が令和元年と認識させる。かな漢字変換機能も修正して、令和を変
政府、マイナンバー制度の「通知カード」廃止を検討
政府はマイナンバー制度の「通知カード」の廃止を検討している。日経 xTECH/日経コンピュータの取材で2019年2月19日までに分かった。マイナンバーカード(個人番号カード)の利用者や利用方法を拡大するため、マイナンバー法の改正案に盛り込む方針だ。 政府は「行政手続オンライン化法」を2019年3月中に国会に提出予定で、住民基本台帳法、公的個人認証法、マイナンバー法の改正案も提出する方針だ。通知カードの廃止は、紙の通知カードから、ICチップ内蔵のマイナンバーカードへの移行を促す狙いがある。 現行のマイナンバー制度でマイナンバーの付番を受けた国内在住者がマイナンバーカードを申請するには、通知カードと交換する必要がある。総務省は今後自治体がマイナンバーを付番するには通知カードの送付ではなく、別の通知書類を送付する方法を検討している。 通知カードはマイナンバーを証明する書類となるものの、写真はない
宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓
大阪ガス100%子会社のオージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」のサービス停止が続いている。2019年1月23日の午前10時50分にサービスを停止してから3週間が経過した。480万件のメールアドレスとパスワードが漏洩したと発表したオージス総研は、「現在も原因の調査を続けているが、依然として復旧のメドは立っていない」と説明する。専門家はWebサービスの提供者にとって対岸の火事ではないと警鐘を鳴らしている。 サービス開始20年目を襲った漏洩事件 宅ふぁいる便の歴史は古い。もともと大阪ガスグループのエルネット(大阪市)が1999年に提供を始めた。2014年に大阪ガスはエルネットの会社分割を決め、宅ふぁいる便事業は旧エルネットが商号変更した大阪ガス行動観察研究所が引き継いだ。2015年にオージス総研が大阪ガス行動観察研究所を吸収合併し、宅ふぁいる便のサービスを提供してき
大塚商会のホスティング、5000サイトの改ざん被害の真相
「日本のホスティングサービスをハイジャックした」という声明とともに、企業など5000組織以上のドメイン名が書かれていた。これらのサイトはほとんどがアルファメールを利用していたWebサイトだった。 大塚商会は1月23日、アルファメールに改ざん被害があったことを明らかにし、同25日には不正アクセスの内容を発表した。その内容だけでは攻撃の詳細までは分からなかったが、関係者や別のホスティング事業者、セキュリティー専門家への独自取材で、原因や攻撃の流れが見えてきた。どんな攻撃だったのか検証していこう。 改ざんを誇示するコンテンツを置いていく 大塚商会の発表では、改ざんは各Webサイトに攻撃者が用意した静的コンテンツを置くというものだった。Webサイトにアクセスした人をウイルスに感染させるような改ざんやユーザーコンテンツの変更といった被害はなかったという。では具体的にどんな改ざんだったのか。
なぜスクショ?スマホネイティブ世代がコピペしない理由
「スクショ」という言葉をご存じだろうか。スクリーンショットの略で、スマートフォンなどの画面を画像として保存することだ。言葉自体は以前からあるが、今どきの若者のネット文化を読み解くうえで、大事なキーワードになっている。 2018年12月にTwitterのあるつぶやきが話題になった。それは「友人や妹がサイトの情報を送ってくるとき、スクショで送ってくる。若い人たちはURLの概念を知らないのではないか?」といった内容だ。 中でも10代の若者はスクショを多用する。Twitterを使っていると、Webページの画面がそのまま貼り付けられたツイートを見かけることがある。Webページを紹介するとき、URLをツイートするのではなく、スクショを送ってくる。 これはTwitterだけの現象ではない。若い世代とLINEでメッセージを交わしていると、同じようにWebページのスクショを送ってくる人が多い。筆者の身近なと
デンソーウェーブ、QRコードサービス中止の舞台裏
個人情報に関する指摘とは何なのか。サービスの中止には、5月25日に施行された「EU一般データ保護規則(GDPR)」に絡んでいたと考えられる。 利用者の情報を収集してサーバーに送信 QRコードは、デンソーウェーブが開発した2次元コードである。英数字や漢字、ひらがななどの文字列を四角い画像コードとして作成できる。カメラ付きのスマートフォン(スマホ)などでQRコードを読み取るソフトを使えば、QRコードから元の文字列を得られる。 QRコードの仕様は公開されており、QRコードを作成するWebサービスやQRコードを読み取るソフトは無料で提供されている。QRコードを開発したデンソーウェーブも、アララと共同開発したQRコードを作成するWebサービス「QRコードメーカー」とQRコードを読み取るソフト「公式QRコードリーダー“Q”」(以下、“Q”)を無料で提供する。
パスワードに記号は不要、JPCERT方針転換の理由
パスワードを12文字以上にすれば、必ずしも記号を使う必要はない――。インターネットの危険情報を取りまとめるセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)は、推奨するパスワードの作り方の方針転換をした。これまでは「大小英字、数字、記号といった全文字種を組み合わせて、8文字以上のパスワードにする」を推奨していた。 JPCERT/CCは2018年8月1日から31日まで「STOP!パスワード使い回し!キャンペーン」を実施している。パスワードの使い回しを控えるように呼び掛ける活動で、2014年から毎年実施している。2018年はヤフーや楽天、セブン銀行など26の賛同企業/団体とともにユーザーに呼びかけている。キャンペーンでは、破られにくいパスワードの作り方と管理方法をユーザー向けに紹介している。この内容が2017年までと比べて大きく変化した。 2017年までは「大小
?P=1
日本のIT業界の関係者は、自分たちの業界が建設業界によく似ていると思っている。さらに心ある人は「ITはハイテク産業のはずなのに労働集約型の建設と同じだから、日本のIT業界はダメなんだ」と嘆く。確かに多重下請け構造は建設業界にそっくり。米グーグル(Google)や米アマゾン・ドット・コム(Amazon.com)などの巨大プラットフォーマーが主導し、知識集約型あるいは資本集約型の産業として進化を続ける米国のIT業界と比べて、ため息をつくしかない。 しかし、建設業界の人から言わせると「冗談じゃない!」ということらしい。以前、大手ゼネコンのCIO(最高情報責任者)から聞いた話だが、この人はIT業界の多重下請け構造のひどさを知ったとき、あきれ果てたという。IT業界で大手ゼネコンに相当する大手SIerが元請けとなったプロジェクトでも、設計やプロジェクトマネジメント(建設業では施行管理)がいい加減だし、
アロハシャツの中堅SEを注意、逆上されて紛糾
Q.服装について教えてください。先日、アロハシャツと破れたジーンズで出社してきた中堅SEがいて、さすがに問題があると思って注意しました。ところがそのSEに「服装は自由だ」と逆上されて紛糾。「服装をこうしろと強制されるのはおかしい」と言い出す始末です。いったい職場ではどのように対応すればよいのでしょうか。 確かにクールビズが流行してから、身だしなみがおろそかになったと感じます。筆者は相手に不快感を与えなければ1年中自由な格好でよいと思います。 ただ、不快に感じるか否かは相手によって変わります。よって、職場でも一定のルールを設ける必要があります。特に大企業になれば社員数が多く、常識目線での管理はできません。ルール作りは当然であり、内勤・外勤や、業態・職種によって、一定程度の服装ルールを決めることをお勧めします。 職種によって感覚は違う ベンチャーの会社に行くと、カフェのようなオフィスで服装も自
対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃
フジ・メディア・ホールディングス子会社で通販大手ディノス・セシールが新たな手法によるサイバー攻撃の被害に遭った。同社は2018年6月2日にWebサイト「セシールオンラインショップ」が不正アクセスを受け、4日後の6月6日に顧客情報が流出した可能性があったと公表した。 手口は「リスト攻撃(リスト型アカウントハッキング)」の一種だ。リスト攻撃とは、サイバー攻撃や闇取引など何らかの手段で入手した、攻撃対象のWebサイトのユーザーIDとパスワードの一覧(リスト、パスワードリストとも)を使って、機械的にログイン試行を繰り返し、不正ログインを試みるものだ。ログインできたら個人情報を盗んだり、ポイントを金品に換えたりする。 今回、ディノス・セシールを襲ったのは、より巧妙さを増した「新型リスト攻撃」と言えるものだった。結果的に不正ログインが成功したのは490人にとどまったものの、セキュリティ関係者には波紋が
40万人が不足し40万人が余る、技術者を襲う恐るべき雇用のミスマッチ
最近、経済産業省の官僚の人たちと会う機会があり、IT人材の件でも議論したので、改めて世間で騒がれている「技術者不足」の実態を調べてみた。まず経産省が2016年6月に発表した調査結果では、2015年の段階でIT人材が17万人不足していたとする。さらに2020年には29万人、2025年には43万人と不足人数が拡大していく見立てだ。経産省は定期的にIT人材不足を騒ぎ立てるので、この数字は話半分でよい。 むしろ問題は不足するIT人材の内訳だ。経産省は同じ発表で、人工知能(AI)やIoT(インターネット・オブ・シングズ)などの先端IT人材が2020年に4万8000人不足し、情報セキュリティ人材が19万3000人不足するとしている。足し合わせると24万人。この数字も「当たるも八卦、当たらぬも八卦」だが、2020年にIT人材が29万人不足すると言っても、その大半が先端IT分野やセキュリティ分野の技術者と
みずほ銀が第一関門を突破、正念場続く新システム移行
みずほフィナンシャルグループ(FG)は2018年6月11日、みずほ銀行などの勘定系システムの統合に向けた初回の移行作業を終えた。午前8時のオンライン開始直後はインターネットバンキングがつながりにくくなる事象が発生したものの、午前10時の段階で店舗の窓口やATM(現金自動預け払い機)、インターネットバンキングに目立ったトラブルは起こっていない。順調なスタートを切った格好だが、まだ「第一関門」を突破したに過ぎない。新システムへの移行作業は2019年度上期まで段階的に続く。 切り戻しプランは発動せず 初回の移行作業では9日午後10時から11日午前8時までATMなどのオンラインサービスを全面停止して、みずほ銀行とみずほ信託銀行のそれぞれの勘定系システムで管理する顧客の基本データを新システム「MINORI」に移した。データを取り出し、新システムに適合する形式に変換してから格納した。サービス停止に先立
海賊版サイトのブロッキング、総務省が政府決定前に通信3社に実施要請
総務省がNTT、KDDI、ソフトバンクの通信大手3社に対し、海賊版サイトのブロッキングの実施を政府決定の前に要請していたことが、日経 xTECHの取材で分かった。政府は今回のサイトブロッキングについて、「事業者による自主的な取り組みとして行うのが適当」としつつ、実際には規制官庁から要請が出ていた。通信大手3社を真っ先に取り込むことで、一気に進める計画だったようだ。 関係者によると、知的財産戦略本部・犯罪対策閣僚会議が方針を決める前の4月9日の週に鈴木茂樹総務審議官が通信大手3社の経営幹部を訪れ、直々に要請した。総務審議官は事務次官に次ぐポストで、要請のために通信会社に足を運ぶのは異例。サイトブロッキングを実施しても行政指導することはなく、通信の秘密の侵害で訴えられても政府が責任を負う旨を説明し、対応を求めたという。 もっとも、書面による正式な要請は出ずに終わった。総務省内でも賛否が分かれ、
「NTTを訴えていいかと相談あった」、NTT鵜浦社長が語るブロッキング決断の理由
NTT持ち株会社が2018年5月11日に都内で開催した2017年度決算説明会で、海賊版サイトへのサイトブロッキング実施を公表した経緯について鵜浦博夫社長が記者の質問に答えた。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
デンソーウェーブが公式QRコードリーダーを更新、位置情報の無断収集を中止
カドカワ川上量生社長が語る、サイトブロッキングの必要性
