東京ガス子会社への不正アクセスは「VPN装置経由」、個人情報約416万人分漏洩か
東京ガスの子会社が不正アクセスを受けて個人情報約416万人分が漏洩した可能性がある問題を巡り、侵入経路はVPN(仮想私設網)装置経由であったことが日経クロステックの取材で2024年7月18日までに分かった。現在は外部との接続を遮断するなど対策を講じた上で、被害範囲や原因などについて調査を進めている。2024年7月18日午前10時時点で情報の不正利用は確認されていないという。 不正アクセスを受けたのは、ガスや電力の営業を手掛ける東京ガスエンジニアリングソリューションズ(TGES)。2024年6月26日に、同社ネットワークへの不正アクセスを検知したという。同社は即日、外部との接続を遮断した上で専門機関による協力を受けて調査を進めたところ、特定のファイルサーバーへのアクセスに必要な従業員のIDとパスワードが複数窃取されていたことが、2024年7月9日に判明したという。 窃取されたIDとパスワード
PHPの深刻な脆弱性、IPAが「ネットワーク貫通型攻撃」の悪用に注意喚起
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は3件のシステムトラブル関連トピックを取り上げる。情報処理推進機構の注意喚起と、ユニテックフーズの不正アクセス被害、新日本製薬のランサムウエア被害である。 国内外で悪用を確認された深刻な脆弱性 情報処理推進機構(IPA)は2024年7月5日、PHPの脆弱性を悪用する活動が国内で確認されたとしてPHPの利用者に注意を呼び掛けた。 脆弱性は6月7日に情報公開され、識別子として「CVE-2024-4577」が採番された。Windows上で脆弱性が存在するバージョンのPHPをCGIモードで稼働させていると、外部からシステムが乗っ取られたり、機密情報が流出したりする恐れがある。 IPAによれば、国内の複数組織が当該脆弱性を悪用した攻撃を受け、Webサービス上にバックドアが仕掛けら
福島銀行でAWS勘定系が稼働、BIPROGYのシステムから乗り換え
福島銀行は2024年7月16日、SBI地方創生バンキングシステムやフューチャーアーキテクトと開発した新勘定系システムを稼働させたと発表した。米Amazon Web Services(アマゾン・ウェブ・サービス、AWS)のパブリッククラウド上で勘定系システムを全面稼働させたのは、日本の銀行で初めてとなる。 新システムへの移行に伴い、福島銀行は2024年7月12~15日にかけて、全てのオンラインサービスを停止していた。新システムについては、7月16日午後2時30分時点で「今のところおおむね順調に稼働している」(広報)としている。 福島銀行は従来、BIPROGY(旧日本ユニシス)の勘定系システムを利用していたが、SBI地方創生バンキングシステムやフューチャーアーキテクトと開発した「次世代バンキングシステム」に乗り換えた。同システムはSBIグループがAWS上に構築した「SBI金融クラウド」環境で動
1本2500円の「Apple Pencil」互換ペンが驚きの進化、本家より優れた点もある
iPad mini(第6世代)用にApple Pencilが必要になった。筆者は悩んだ末に、サードパーティー製のいわゆる「互換ペン」を購入した。Apple Pencilのように使える製品である。 以前にも同様の製品を何種類か試したことがあるが、明らかに性能が良くなっていて驚いた。いくつかのこだわりを捨てれば、Apple Pencilの代用品に十分なると思う。 そこで今回は、互換ペンがどこまでApple Pencilに迫っているか、レビューを交えて紹介しよう。 Apple Pencilを高いと思ってしまった iPad mini(第6世代)に対応するApple Pencil(第2世代)の直販価格は2万1800円(税込み、以下同)である。今まで周囲には「性能を考えればApple Pencilは全然高くないよ」と言っていた。にもかかわらず、今回は高いと思ってしまった。これには価格以外の要因がある。
「欧米企業に普通にある部門」がない日本企業、それじゃDXなんてできるわけないぞ
本当に失敗したな。まさにそう思う。何の話かというと、欧米の企業には「プロセスオフィス(Process Office)」と呼ばれる部門が普通にあるのに、日本企業には全くと言ってよいほど存在しないことについて、あまりに問題意識がなさ過ぎたのを悔やんでいるのだ。よくよく考えると、このプロセスオフィスに相当する部門がなければ、DX(デジタルトランスフォーメーション)なんてできるわけがないのだ。で、「IT部門がDXの実行部隊となって……」などと言っていたら、まさに噴飯ものである。 私と同様に、「プロセスオフィスだって? そういえばそんな話を聞いたことがあるな」といった程度の認識の読者は多いだろう。というか「何だ、それ」という読者が大半かもしれない。それぐらいプロセスオフィスは日本企業には縁遠いのだ。さて、記事の書き出しがこうならば当然、まずはプロセスオフィスとは何かを説明するのが筋だ。だけどねぇ、プ
情シス子会社は「親」を救えるか、「めちゃコミ」のインフォコムが示した異例の貢献
日本企業による情報システム子会社のグループ外への切り離しは、近年においては決して珍しくない。しかし帝人によるインフォコムの売却は、親会社に1000億円以上の売却益をもたらすという点で極めて異例だ。情シス子会社の「存在意義」を再考する機会になるだろう。 従来の情シス子会社切り離しでよくあるパターンは、ITベンダーへの譲渡だ。その狙いは、情シス子会社の技術力強化やコスト削減とされる。情シス子会社をITベンダーの傘下に組み込むことで、技術力やノウハウを取り込むことを目指す。 もっとも、こうした理由は「建前」に過ぎない可能性がある。単に親会社が自前でのシステム開発や運用を諦めて、人員ごとITベンダーに引き取ってもらったケースが相当数存在するからだ。 それに対して帝人は2024年6月18日に、インフォコムを投資ファンドである米Blackstone(ブラックストーン)に売却すると発表した。 帝人は株式
超重要な基盤技術「Attention」、Transformerがなぜ画期的なのかを知る
対話型AIサービス「ChatGPT」で使われている自然言語モデルの核になっている技術が「Transformer」だ。自然言語処理を例に、Transformerの仕組みを解説する。 実は、エンコーダーとデコーダーに用いられている「RNN」(Recurrent Neural Network)には、欠点があります。それは、長い文章が苦手だということです。 なぜ苦手かというと、以下の2つのポイントからそのように言えます。 (1)RNNでは、翻訳元文章全体の特徴を記憶できるサイズが固定されている。そのため、文章が長くなり単語の数が増えるほど、エンコーダーにおいて、文章の前の方で出現した単語の意味が薄まってしまう。 (2)RNNでは、単語を1つずつニューラルネットワークで処理する。そのため、単語の数が多くなればなるほど処理時間がかかってしまう。 ですので、RNNが持つこうした欠点を解消するための仕組み
三菱電機がClaude 3活用で「工数4割減」、仕様書の図表解析にマルチモーダルが威力
三菱電機が組み込みソフトウエア開発への生成AI(人工知能)活用を進めている。ソフトウエア開発に関連する過去数十年分のドキュメントの要約文を生成AIにより作成。これを検索用のインデックスとして使うことで、エンジニアの作業工数を最大40%削減できると見込む。 2024年6月20日に開催されたアマゾン ウェブ サービス ジャパン(AWSジャパン)の年次イベント「AWS Summit Japan」で、PoC(概念実証)の成果として明らかにした。今後は実用上必要最小の機能を備えたサービスであるMVP(Minimum Viable Product)として、従業員向けのアプリケーションを開発する予定だ。 三菱電機の組み込みソフトの開発部門では、製品開発部門から改修依頼を受けると、改修対象のソフトウエアの仕様書を検索して改修内容に関連する記述を確認。それを基にソフトウエアのソースコードを確認し、ソースコー
「見積もりが出ない」「利用できない」、値上げだけではないVMware問題の深刻度
米Broadcom(ブロードコム)による米VMware(ヴイエムウェア)買収によってユーザー企業が被った悪影響は、製品の値上げだけではなかった。ライセンス更新に必要な見積もりが遅延したり、製品のアクティベーション(有効化)ができなくなったりするなど、ユーザー企業が様々な困難に直面している。 届かない見積もり、保守切れのまま運用へ 「見積もりが全く届かない。早くどうにかしてほしい」――。 悲痛な声を寄せるのは、自社のプライベートクラウドでVMware製品を使うあるユーザー企業A社の担当者だ。A社は自社のプライベートクラウド基盤にVMware製品を使い、複数の業務システムを動かしている。2024年5月末に使用するVMware製品の保守期限が終了する予定だったことから、2024年2月末に保守更新の見積もりをリセラーに依頼したが、2024年6月18日時点でも正式な見積もりの提示がないという。 「リ
出前館サービスが利用不能に、原因はシステム更新作業に起因するデータベース障害
料理宅配大手の出前館は2024年6月20日、システム障害でサービスが利用できない状態だと発表した。6月20日午後0時50分時点で復旧していない。 出前館は日経クロステックの取材に対して、「(トラブルの)原因はシステム更新作業に起因するデータベースの障害だ」と回答した。現段階では「復旧のめどは未定だ」(出前館)。個人情報漏洩などの事象は発生していないという。 出前館のスマートフォンアプリやX(旧Twitter)の公式アカウントによれば、システム障害は6月19日の午後10時40分ごろから起きているという。出前館は「復旧次第ご連絡いたします。お客様にご迷惑おかけしておりますことを深くお詫び申し上げます」としている。
VMware問題でIIJやNTTコムなどが大幅値上げ、クラウド料金が2~3倍になる場合も
米Broadcom(ブロードコム)によるVMware製品ライセンスの変更による影響が、国産クラウドベンダーに波及している。VMware製品を使う国産クラウドベンダーが相次ぎ、値上げを始めたからだ。ユーザーが支払うクラウド利用料金が2~3倍に跳ね上がったケースもあるという。 IIJとNSSOLは値上げ済み、NTTコムは7月から値上げ 日経クロステックの取材によって、既にインターネットイニシアティブ(IIJ)と日鉄ソリューションズ(NSSOL)が値上げを実施済みであり、NTTコミュニケーションズも2024年7月に値上げ予定であることが分かった。 富士通とソフトバンクは、値上げの有無や予定についての回答を拒否した。しかし日経クロステックの取材では、富士通が既に複数の顧客に対して値上げを打診していることが分かっている。 ソフトバンクは2024年6月13日時点で、クラウドサービス「ホワイトクラウド
グリコもユニ・チャームも苦渋、トラブル相次ぐERP導入に潜む大きな理解不足
ERP(統合基幹業務システム)の導入に失敗した挙げ句、ビジネスが止まる――。ERPにまつわるシステム障害が相次ぎ発生している。江崎グリコは独SAPのERP「S/4HANA」を使って構築した基幹系システムの障害で、プッチンプリンなどチルド品の出荷停止に追い込まれた。ユニ・チャームもS/4HANAと物流システムの連係を巡る障害で、製品の出荷に遅延が生じた。 なぜERPの導入はうまくいかないのだろうか。イチからシステムを構築するわけではなく、形のあるパッケージソフトを導入するにもかかわらず、だ。 江崎グリコは2024年4月3日に実施した基幹系システムの切り替えでトラブルが発生し、「プッチンプリン」をはじめとする同社製品と、同社が物流・販売を請け負っていた他社チルド食品の出荷ができなくなった SAPや米Oracle(オラクル)など大企業向けのERPパッケージを中心に、導入に失敗することは今に始まっ
猶予はわずか1日、金曜公開の脆弱性が週末にはサイバー攻撃に悪用される
「以前であれば『一部の攻撃者による限定的な悪用ならまだ猶予はある。直ちに慌てる状況ではない』と判断していたが、最近はその想定が通用しなくなった」――。JPCERTコーディネーションセンター(JPCERT/CC)の佐々木勇人政策担当部長兼早期警戒グループマネージャー脅威アナリストは、脆弱性を突く攻撃者の変化をこう話す。 米Palo Alto Networks(パロアルトネットワークス)製品に脆弱性が見つかり、その情報が米国の脆弱性情報データベースNVD(National Vulunerability Database)に2024年4月12日金曜日(米国時間)に掲載された。JPCERT/CCでは同日夕方から準備に取りかかり、4月13日土曜日に日本国内の企業や組織に向けて注意喚起を発出した。「週明けの注意喚起では、企業などの対応が間に合わなくなると判断した」(佐々木脅威アナリスト)という。 実際
Javaアプレットの一部領域を顧客に開放したSIMカード、NTTコムが本格提供開始
NTTコミュニケーションズ(NTTコム)は2024年4月9日、暗号化されたJavaアプレット領域の一部を顧客に開放したSIMカードの本格提供を始めたと発表した。顧客企業が同領域に決済情報・個人情報・設定情報などを安全に格納できるようにし、IoT(インターネット・オブ・シングズ)などのサービスを展開しやすくする。価格は個別見積もりだが、SIMカード1枚当たり月額100円程度から、管理コンソール機能は同1万5000円程度からを見込む。 同社が「アプレット領域分割技術」と呼ぶ技術により、SIMカード内にあるJavaアプレット領域のうち約300キロバイトを切り出し、顧客企業が独自に暗号鍵を管理して利用可能にした。SIMカード上のCPUやメモリー、OSなどと組み合わせて、認証などのアプリケーションを実行できる。同技術による領域の切り出しはSIMカードの製造時に書き込むソフトウエアにより実現しており、
マルカワみそで個人情報約9万人分が流出、原因は決済アプリの改ざん
老舗味噌メーカーのマルカワみそは2024年4月2日、自社が運営する「マルカワみそ公式サイト」に第三者の不正アクセスがあり、顧客のクレジットカード情報5447件分、個人情報8万9673人分が漏洩した可能性があると発表した。原因は第三者からの不正アクセスによるペイメントアプリケーションの改ざんだったという。 クレジットカード情報が漏洩した可能性があるのは、2023年3月11日~11月13日の間、公式サイトでクレジットカード決済した顧客およびサイトのマイページでクレジットカード情報を登録・変更した顧客4851人(5447件)。カード名義人名やクレジットカード番号、有効期限、セキュリティーコードの情報が漏洩した可能性があるという。また個人情報が漏洩した可能性があるのは、公式サイトの立ち上げから2023年11月13日までの間、同サイトで購入した顧客またはサイトのマイページに登録した顧客8万9673人
基幹系への安易なOSS採用は禁物、バージョンアップ多発で運用保守が重荷に
基幹系システムのような社内システムにおいても、オープンソースソフトウエア(OSS)の利用が当たり前になってきた。クラウドサービスを利用する場合や、開発担当者と運用担当者が連携する開発手法DevOpsを採用する場合など、OSSの利用を避けられない。 多くの企業でOSSの利用が進む中、OSSを採用した当初は想定していなかった誤算に直面するケースが浮上している。商用のソフトウエアに比べてサポート期間が短かったり、サポートが充実していないため脆弱性が見つかっても放置してしまったりといった課題だ。ユーザー企業は安易に導入コストだけを見てOSSを採用するのは禁物だ。その後の長期間の運用・保守も含めた体制の検討が求められる。 「OSSの採用がここ数年で周辺システムから基幹系に広がった。その結果、ユーザー企業からは長期間、同じバージョンのソフトウエアを使いたいという要望が増えている」。OSSのデータベース
研究室のフリーアドレス化でトラブル
校舎建て替えに当たり個人研究室を廃止し、フリーアドレスの「共同研究室」を設けた大学で、教授らが大学を運営する学校法人を訴える裁判が起こった。原告側は「研究・執務に専念できない」と反発の声を上げた。 日本で初めて、教員や事務職員の執務室をフリーアドレス化した大学校舎を巡り、教授らが大学を運営する学校法人を訴えた。講義に向かうたびに机の上を片付けなければならず、独自の研究や試験の問題作成なども行えないという。原告側は、大学教員には「研究室利用権」があり、被告はそうした環境整備を行う義務を負う、と主張した 今回取り上げる事件は、研究室のフリーアドレス化を巡る裁判だ。トラブルが起こったのは山口県下関市にキャンパスを置く私立大学だ。 問題の「共同研究室」は、校舎老朽化に伴って建て替えられた新校舎に配置されたものだ。大学は著名建築家が代表を務める設計事務所(訴外)と設計契約を締結。また校舎新設に関する
自動運転用LiDARに脆弱性、慶応大らがHFR攻撃で物体消失を確認
LiDARは、車両周辺の様々な物体の存在を検知し、物体との距離を高精度に測定できるセンサーとして自動運転の中核的な役割を担っている。その脆弱性として攻撃レーザーによる虚偽データの注入がセキュリティー課題になっている。しかし、従来の研究は、初期世代のLiDARを対象としており、理論的に偽装データの注入が可能としているものの、実証実験をしていなかった。そのため、攻撃能力と自動運転システムへの影響についての理解が不完全で、不正確になる可能性があった。 今回の研究では、「偽装データの注入(存在しない物体を存在するように見せかける)」と「物体消失(存在する物体を認識できなくする)」に焦点を当てた。新旧あわせて9種類のLiDARを用いて調査し、特にSoC(System on Chip)チップを搭載した次世代LiDARは、旧世代品と異なる脆弱性特性を持つことを発見した。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Linuxに商用レベルの画像編集フリーソフト、動画編集ソフトも豊富
厳選Linuxフリーソフト100
