「冷房を効かせたければ金払え」、IoT狙うランサムウエア
「IoTを狙うランサムウエアが出現するだろう」――。誰しもが言いそうなことだ。そのうち出現するのは間違いだろう。だが既に、エアコンのコントローラーを乗っ取るランサムウエアの実証コードが作られている。このランサムウエアに感染すると、猛暑日にエアコンから熱風しか出てこなくなる恐れがある。考えただけでも汗が出る。いくらでも“身代金”を払ってしまいそうだ。 ワームの次はIoT ランサムウエアは、ファイルを暗号化するなどして利用不能にし、復旧したければ金銭を支払うよう画面に表示して“脅迫”するウイルス(マルウエア)のこと。ランサム(ransom)は身代金の意味。1989年には最初のランサムウエアが出現している。 だが、当初はそれほど流行しなかった。被害者との連絡や金銭の授受の際に、攻撃者の身元を特定される可能性が高かったためだ。ところが、匿名化通信のTorと、仮想通貨のビットコインの普及が状況を変え
Cylance、Google子会社の無料ウイルス対策サービスに自社エンジンを対応
米Cylanceは2017年7月10日、米Googleの子会社が提供する無料のオンラインウイルス対策サービス「VirusTotal」に、同社のウイルス対策エンジン「CylancePROTECT」を対応させたと発表した。VirusTotalは、セキュリティ関連の企業やコミュニティなどから提供されたスキャンツールやセキュリティソフトを使い、利用者が指定するファイルやURLが安全かどうかをチェックするサービス。 ウイルス対策ソフトは通常、検体のシグネチャーをブラックリストと照合してマルウエアを判定するが、CylancePROTECTは、機械学習により対象ファイルの特徴を評価してマルウエアかどうかを判定するという。 都内で開催された記者説明会では、未知のマルウエアやゼロデイ攻撃にも対応できることも説明した。一般的なウイルス対策ソフトは、マルウエアが発見されてから、そのプログラムのコードからシグネチ
押すだけでビールが買えるボタン Amazonが発売
アマゾンジャパンは2017年6月28日、ボタンを押すだけで洗剤や飲料水、ペット用品やおむつなどの日用品をアマゾンで注文できる「Amazon Dash Button」(以下ダッシュボタン)を拡充したと発表した。新たに74ブランドのボタンを追加し、約1400種類の製品が注文できるようになった。
マックのシステム障害はマルウエアが原因、大量パケットで通信が遮断
日本マクドナルドの店舗システムで起きている障害について同社は2017年6月19日、同システムがマルウエアに感染していたと発表した。複数店舗システムのコンピュータがマルウエアに感染し、外部に向けて大量のパケットを発信。通信を圧迫して、商品購入時のポイントサービスが利用できなくなったという。同社は新たに電子マネーや宅配サービスなども利用できない事象が起きていることも明らかにした。 同社はマルウエアの種類について「調査中」として明らかにしていない。この5月に世界的に発生したランサムウエア「WannaCry(ワナクライ)」の可能性もあるとした。ただ、ネットワーク経由で自己増殖して感染を広げるワームの動作はしていないという。同社アプリ登録者のデータをはじめとする機密データの社外流出は「確認できていない」(同社)。 マルウエアに感染したのは店舗に設置して販売管理などを担うシステムのコンピュータ。複数店
またもStruts2脆弱性被害、国交省で約20万件の情報流出か
国土交通省は2017年6月6日、JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を攻撃され、最大で約20万件の土地関連情報が流出した恐れがあると公表した。Struts2の脆弱性を悪用された被害事案は3月10日に東京都などが公表して以来、公表ベースで13件目となった。 第三者が不正アクセスしたのは「不動産取引価格アンケート回答(電子回答)」サイト。適正な公示地価を判定するため、不動産取引の実例をアンケートで収集するサイトである。 今回、氏名・法人名、契約日、取引価格、登記上の地番と住居表示などのアンケート回答情報が最大4355件流出した恐れがあるという。併せて、登記所などで入手できる情報ではあるものの、所有権移転登記情報も最大19万4834件流出した恐れがある。 サイトを運営する国交省の土地・建設産業局不動産市場整備課によれば、同サイトの運営委託業者に調
Struts2脆弱性事故のGMO-PGを直撃、事故報告書の疑問に答える
2017年前半、脆弱性を突いた二つの大きなサイバー攻撃が立て続けに日本を襲った。一つは5月12日に世界的に発生したランサムウエア「WannaCry(ワナクライ)」、もう一つは3月10日から日本の企業や団体での被害報告が公表ベースで12件となったJavaのWebアプリケーションフレームワーク「Apache Struts2」だ。 3月10日、東京都と住宅金融支援機構(以下、機構)、日本貿易振興機構(JETRO)がStruts2脆弱性を悪用したサイバー攻撃の被害を最初に公表した。このうち、東京都と機構からクレジットカード払いサイトの運営を委託されていたのが、決済代行事業者大手のGMOペイメントゲートウェイ(以下、GMO-PG)である。
IT要員は増加傾向だが「IT部門は魅力的でない」と4分の3が回答
第2回で取り上げたように、国内企業でもビジネスのデジタル化が加速度的に進んでいる。こうした中で、IT人材に求められる役割は一層拡大し、多様化している。IT人材の育成にどう取り組んでいくのかは、企業経営者、IT部門長にとっての大きな課題だろう。 ITを取り巻く環境や技術の変化のスピードが速いため、人材育成には長期的な視点が求められる。同時に、足元の重要課題や最新技術に対応できる人材のスピーディな確保にも対応しなければならない。人材リソースを社内外のどちらに求めるかの判断も求められる。一方で、年齢構成やキャリアプランといった、IT部門が抱える人材育成の構造的な課題への対応も待ったなしの状況ではないだろうか。 このような難しい環境下で、各企業はどのようにIT人材の育成を進めているのか。日本情報システム・ユーザー協会(JUAS)は、ユーザー企業のIT部門長を対象に実施した「企業IT動向調査2017
あまりに危険なIoT、濃いコーヒーを飲まされる恐れ
IoTのセキュリティの重要性が叫ばれている昨今、新たなニュースが飛び込んできた。セキュリティ関連の海外サイトが2017年3月下旬、ネットワークにつながる食器洗い機(食洗機)に脆弱性が見つかったことを相次いで報じた(英The Registerの記事、米CyberScoopの記事)。 これらを読んで筆者の頭には、「狙われる食洗機」というタイトルが浮かんだ。「何ということだ。食洗機を乗っ取られて第三者に皿を洗われてしまう恐れがあるのか!すぐに『狙われる食洗機』という記事を書いて警告しなくては」と思った。 考えることはみんな同じで、国内のまとめサイトには、「食器洗い機に致命的な脆弱性!第三者に皿を洗われる危険性」といった扇情的なタイトルが踊った。 前述のニュース記事などによると、該当の食洗機が備えるWebサーバー機能に脆弱性が見つかったようだ。「ディレクトリトラバーサル」と呼ばれる脆弱性で、悪用さ
TIS、COBOLの大規模システムをJavaに自動変換する移行支援サービス
TISは2017年4月11日、メインフレームで稼働するメガステップクラスの大規模アプリケーションを、オープン環境に移行するのを支援する「Xenlon~神龍 マイグレーションサービス 」を4月から順次提供開始すると発表した。習得率が減少し保守要員の確保が難しいCOBOLの大規模アプリケーションを、技術者の確保が容易なJavaに移行することで、運用コストを低減して運用継続性を担保する。 高い再現性で業務ロジックのほぼ100%を自動変換できる独自ツール「Xenlon~神龍 Migrator C2J」を活用し、COBOLからJavaへの移行を支援するサービス。「アセスメントサービス」「マイグレーションサービス」「運用・保守サービス」「Cloud基盤移行サービス」「Cloud基盤プラットフォームサービス」の5つのメニューから構成される。 アセスメントサービスは、マイグレーションを検討するシステムを対
「残業ゼロ」は職場を崩壊させる
トップダウン型の残業抑制では、現場に「アウトプットを変えずに残業を短くしなさい」を丸投げする形になりがち。自動車にたとえると「もっと車間距離を短くして、もっと速く走ってよ」という話だ。こうした状況は問題があるのか。事故や渋滞は起こらないのか。渋滞現象を数理的に解き明かした「渋滞学」で知られる、東京大学 先端科学技術研究センター 工学系研究科航空宇宙工学専攻(兼任)の西成活裕教授に聞いた。 自動車で「車間距離を短くして、速く走る」ようにすると何か問題が起こるのか。 そうなると非常に不安定な「メタ安定」という状態になる。車間距離を詰めて速く走るというのは、一見すると理想的に思うのだが、ちょっとしたぶれがあると安定しない状態に変わる、交通でいうと渋滞が起こるような状態にある。 私の元々の専門は流体力学という、流れを扱う学問だ。この領域では、不安定な流れなのか、安定な流れなのかという研究が非常に進
「クラウドが原因で止まっても謝る」とアーキテクトが実情明かす
アイレットなどを経て、2015年11月にAWSを使ったシステム構築を手掛けるセクションナインを設立。AWSの普及に尽力した個人に与えられる「AWS Samurai」を2014年と2017年に受賞。サーバーレスアーキテクチャーのコミュニティー「Serverless Meetup Japan(Tokyo/Osaka)」を主宰 停止させたくないシステムはクラウドに乗せないとしても、ダウンタイムは短いほうがいい。今回のような障害がAWSの東京リージョンで起こるかもしれないという前提に立ったとき、どんな対策をすればいいでしょうか。 吉田 今回障害が発生したオブジェクトストレージのAmazon S3であれば、複数のリージョンに同じデータを保存しておき、障害発生時にすぐ切り替えられるようにすることですね。簡単にリージョンを横断して冗長化できるのがクラウドの利点です。 しかし無条件にそうすべきというわけで
ニュース - Web制作会社の迷惑メール送信は放置されたWordPressが原因:ITpro
Webデザインを請け負うアリアファームは2017年4月4日、管理するWebサーバーが改ざんされ、大量の迷惑メールを送信していたと発表した。Webサーバー上で使っていたコンテンツ管理ソフト「WordPress」の脆弱性が悪用されたとみている。 同社の鹿野 幹雄社長によれば、Webサーバーを構築していたレンタルサーバーサービスを提供するエックスサーバーから、「迷惑メールを送信しているのでアカウントを停止した」と通知を受けて、攻撃が発覚。該当サーバーを調査したところマルウエアが見つかり、ロシアと思われるIPアドレスからの大量のアクセスがあった、としている。 悪用されたと思われるWordPressのバージョンは4.3.1で、2015年9月に公開されたもの。同社は複数のWebサーバーで「WordPress」を使い、定期的にアップデートしていたが、一部のサーバーがアップデート対象から漏れていた。該当サ
「SNS炎上で会社が大ダメージ」、避けるために新人に伝えるべきこと
企業のIT管理者の皆さんは、4月に入社してきた新卒社員のパソコンの使い方に、何かと気を揉むことになるかもしれない。企業で設けたポリシーに反した使い方や、当然だと考えられているマナーを逸脱した使い方をされる可能性があるからだ。 例えば企業によっては、システム管理者(または情報システム部門)が従業員のパソコンやプリンターなどの機器を「Active Directory」などのシステムで一元管理している。管理下にあるパソコンでは、例えばネットワーク設定を変えられなかったり、自由にUSB周辺機器をつなげられなかったりする。禁止事項は、企業が導入する管理システムの種類や、その設定によって変わってくるが、従業員である各ユーザーが勝手に変えられる部分は少ないか、ケースによってはほとんどない。 ただしITマネジメントのレベルは、企業によってまちまちである。パソコンの設定を全て、従業員に任せている企業もある。
木村岳史の極言暴論! - IT部門はゲームユーザーと全く同じ、ベンダーは日本を相手にするな:ITpro
日本企業のIT部門の反応は、日本のゲームユーザーのそれと全く同じである。「おいおい、冒頭からいったい何を言い出すのだ」と思う読者もいるだろうが、これは紛れもない事実なのだ。もう少し普遍的に言うと、日本人の客は企業、個人を問わず、売り手にとっては危険極まりない存在で、特にITが絡むとリスクはマックス。「とにかく初モノを出すのはやめておけ」ということだ。 実は少し前に、日本のゲーム会社の人と会った時に、次のような話を聞いた。この人が言うに、世界一律サービスが可能なオンラインゲームでも、日本ではなく米国などで先行させるのが賢明だそうだ。日本のゲームユーザーは少しのバグも許さないし、ソーシャルメディアなどの普及で、ボコボコにされる風評リスクも高まっているからだ。 この話を聞いて、私は「なるほど、話題のオンラインゲームが欧米などで先行リリースされ、日本での提供が後回しにされるのは、このためか」と妙に
営業が決める、「テクノロジーカンパニー」の日本上陸
このところ気候がだいぶ穏やかになり、週末のゴルフが一段と楽しさを増してきました。IT業界の関係者とのゴルフでは業界各社のことを語る口調が一段と活発になります。先週もIT業界の様々な関係者と楽しい時間を過ごしてきました。このところ皆さんの関心が集まるのは私のこんな話題です。 楠「そもそも営業と技術の関係性とか役割がすごく変化してしまったんじゃないかと思うんですよ。今の最先端のクラウドカンパニーでは。AWS(Amazon Web Service)にしてもGoogleにしてもいわゆる『テクノロジーカンパニー』ですよね。営業なんてほとんどいないでしょう」。 A氏「営業という肩書きの付いた人はいますけれど、とても技術に詳しいですよね。昔ながらの営業はどんどん肩身が狭くなりますよ」。
「セキュリティの本丸は個人情報ではない」、陸自システム防護隊初代隊長の経産省伊東氏
「報道に出るのが個人情報漏洩事故ばかりなので、分析の視野が狭くなっている」。元陸上自衛隊 システム防護隊 初代隊長でもある経済産業省 商務情報政策局 サイバーセキュリティ・情報化審議官の伊東寛氏はこう主張する。伊東氏は日経BP社主催の「Cloud Days/ビッグデータ EXPO/セキュリティ/モバイル&ウエアラブル/IoT Japan/ワークスタイル変革/FACTORY/デジタルマーケティング」の基調講演に登壇した。 個人情報の漏洩事故が発生したサイバー攻撃に関する報道は多い。伊東氏は「個人情報漏洩が目立つのは攻撃を受ける側の事情であって、攻撃する側が対象を変えているわけではない。民間企業は知的財産が狙われる、恐喝されるという攻撃を受けている。そうした攻撃については、被害企業は公表したがらないために表に出てこないだけだ」と話す。 2016年に報道された大手旅行代理店のセキュリティ事故では
そろそろマズいぞ、企業対応進まぬ改正個人情報保護法
「個人情報保護法の改正に対応しなければならない、という意識が高まってこない。このままで大丈夫なのだろうか」。富士通総研の上 茂之氏(金融・地域事業部 エキスパート・コンサルタント)は警鐘を鳴らす。改正された個人情報保護法は2017年5月30日に全面施行される。あと2カ月しか猶予がない。 改正により、多くの規制強化と一部の規制緩和が行われる。多くの企業はまずは規制強化に対応しなければならない。例えば、改正後の個人情報保護法では、日本から海外にある企業への個人データの移転に制限が加えられる。給与計算などの社員向け事務処理を海外に委託している企業は、影響を受けるはずだ。 ところが、「当事者になりそうな企業でも、十分に意識されていないと感じる。メディアで取り上げられることが多い『EU一般データ保護規則(GDPR)』は感覚的に10社に1社くらいは知っているのに、より時期が近く直接的な影響がある個人情
100個超のパスワード、ツールで一元管理
クラウドサービスの普及でパスワードの重要性が増している。パスワードを破られれば深刻な情報流出につながる。だが「20文字以上」「30日ごとに変更」のような厳しいルールを一律に課すと業務効率が落ちる。この特集では、クラウド時代の新しいパスワードとの付き合い方を探る。 「起業して以来、あらゆる業務をクラウド化する方針を徹底してきた。セキュリティ認証を取得するために、パスワード管理を見直す必要があった」。 クラウド型動画共有システムを通じて営業教育支援サービスを提供するTANREN(タンレン、東京・千代田)の佐藤勝彦代表取締役社長(写真1)はこう話す。 同社は2016年秋から、カナダAgileBitsの「1Password(ワンパスワード)」というパスワード管理ツールを導入。業務で使う100個超のサービスのパスワードを1Passwordで一元管理している。 TANRENは、営業・接客研修を手掛けて
過労による精神疾患でワースト1、IT業界が変われない理由
過労によるうつ病などの精神障害(精神疾患)は20人、うち自殺は4人(未遂含む)――。 これは、IT企業を含む情報通信業の従業員が、業務による過労自殺等として2015年度に東京都内で労災認定された数である(東京都には、情報通信業に属する全国の従業員の50%超が集積している)。 従業員数当たりの比率では、精神疾患、自殺ともに他産業の2倍以上。特に精神疾患の割合では、建設業などを超えてワースト1である。もちろんこの数字は氷山の一角であり、労災の申告や認定に至らなかったケースも多数あるだろう。 東京労働局が2016年9月に過労自殺と認定した電通社員の一件をきっかけに、広告業界における過酷な長時間労働がクローズアップされた。だが、過労による精神疾患や自殺については、IT業界はワースト1の劣等生、と言わざるを得ない。 「IT業界は、長時間労働が最もひどい業種の一つ」。労働時間を監督したり労災を認定した
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
グーグルChromeに証明書関連のバグ、シマンテックが指摘
