仮想通貨交換業者のコインチェックから多額の仮想通貨「NEM」が流出した事件から2カ月が経過した。 2018年1月26日、攻撃者が不正に引き出したNEMは、間もなく異変を察知した日本人技術者の機転で、すぐに追跡が始まった。この2カ月間は、別の仮想通貨を踏み台にNEMを換金しようとする攻撃者と、これを阻止しようと資金移動を追跡する関係者や有志のIT技術者がサイバー空間で攻防を繰り広げる、異例の展開を見せた。 しかし「ブラックハッカー対ホワイトハッカー」の攻防は、ホワイトハッカーがNEMの交換や換金を阻止できなかった形で1つの区切りがついたようだ。 NEMの普及団体で追跡活動の中心的役割を担ってきたNEM.io財団が、3月18日に流出NEMの追跡機能を停止したと3月20日に公表。事実上、換金を阻止する活動を終えたからだ。

Netflixは、わざと本番障害を起こしてすぐ復旧させることを繰り返し、本当の障害発生に備える、という驚くべき手法「カオスエンジニアリング」を実践している。 その効果は実証されている。Netflixが全面的に採用しているAmazon Web Services（AWS）で、2017年2月に中核施設の一つ、米バージニア北部リージョン（広域データセンター群）にて大規模障害が起きたとき、別のリージョンに速やかに切り替えたという。 Netflixの先進的な取り組みを紹介するこの特集の最後に、カオスエンジニアリングを取り上げる。

JPCERTコーディネーションセンター（JPCERT/CC）は2017年10月25日、新手のランサムウエア「Bad Rabbit」について注意喚起を告知した。 告知文によると、Bad Rabbitの感染で、ロシアやウクライナなどの地域を中心に公共交通機関やメディア、政府機関に影響が出ていると報道されているもようだ。ESETの研究者は、このランサムウエアは2017年6月に注目を集めた「Petya」の亜種であり、Adobe Flashのインストーラーに偽装し「Mimikatz」などの攻撃ツールをインストールして感染を広げる特徴があるという。またJPCERT/CCは、感染するとほかの端末に拡散させようとする点も特徴だと説明している。 JPCERT/CCは、ランサムウエアに感染させるための「ドロッパー」がダウンロードされている国に日本が含まれているという情報もあるとして、「国内での感染も既に広がり

2017年5月12日以降、世界中で大規模な感染被害をもたらしたといわれるランサムウエア「WannaCry」。当初の報道では「不審なメールを開かないで」といった注意喚起などが出ましたが、実際のところは違ったようです。また感染経路だけでなく、感染の仕組みについても情報が断片的に公開されていたので、全体像が見えていない人は多いのではないでしょうか。今回はこの攻撃を調査しました。 多言語対応に“進化” まず、WannaCryの概要について説明します。あまり知られていませんが、今回騒ぎになったのはWannaCryの亜種です。オリジナルは2017年初頭に確認されています。オリジナルは、感染時に表示する文章は英語のみで、ネットワーク経由で感染する機能はなく、大きな脅威ではありませんでした。 5月に出現した亜種は、ネットワーク機能を持っていたために、大規模な感染被害につながりました。また27の言語に対応し

ランサムウエア被害が発生した韓国のWebホスティング会社「NAYANA」がデータを復元できるコードをもらうため、ハッカーに13億ウォン（約1億3000万円）のビットコインを支払った。この事件は「サイバー強盗にやられた」として、韓国だけでなく欧米のメディアでも大きく取り上げられている。 事件は6月10日午前1時に発生した。NAYANAのLinuxサーバー153台（バックアップサーバー含む）が午前1時に一斉にErebusランサムウエアに感染。NAYANA社を利用している約3400社のホームページ上のデータが人質になった。 NAYANAは自社でデータの復元を試みたが失敗。政府機関の韓国インターネット振興院や警察庁サイバー捜査隊などに相談する一方、ハッカーと交渉を始めた。警察は「ハッカーにお金を払ってもデータを復元できる可能性は低い」として、交渉に応じてはならないとしたが、NAYANAは「自社だけ

国土交通省は2017年6月6日、JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を攻撃され、最大で約20万件の土地関連情報が流出した恐れがあると公表した。Struts2の脆弱性を悪用された被害事案は3月10日に東京都などが公表して以来、公表ベースで13件目となった。 第三者が不正アクセスしたのは「不動産取引価格アンケート回答（電子回答）」サイト。適正な公示地価を判定するため、不動産取引の実例をアンケートで収集するサイトである。 今回、氏名・法人名、契約日、取引価格、登記上の地番と住居表示などのアンケート回答情報が最大4355件流出した恐れがあるという。併せて、登記所などで入手できる情報ではあるものの、所有権移転登記情報も最大19万4834件流出した恐れがある。 サイトを運営する国交省の土地・建設産業局不動産市場整備課によれば、同サイトの運営委託業者に調

「イスラエルは現在、サイバーセキュリティ技術に対する世界の投資のおよそ5分の1を集めている」。イスラエルのベンヤミン・ネタニヤフ首相は2017年1月31日、同国テルアビブで開催されたセキュリティイベント「CyberTech 2017」の基調講演で、こう胸を張った。「サイバーセキュリティ技術におけるリーダーになるという目標を数年前に掲げ、それを達成した」（ネタニヤフ首相）という。 世界中から集まる投資を糧に、サイバーセキュリティ産業を大きく成長させた。国家サイバー局（National Cyber Bureau）のエビヤタ・マタニア局長は、「年間40億ドルを輸出している、米国に次ぐ世界第2位の国だ」と説明する。 国土の広さや人口からすると、イスラエルは小国といえる。面積は日本の四国と同じくらい、人口は800万人あまりである。そんなイスラエルがどうやってサイバーセキュリティを大規模な輸出産業に育

ラックの課題は何でしょうか。 会社の規模が小さいことです。従業員数が1700人で2000人に満たないですし、営業利益は25億円ぐらいです。もう少し売り上げや営業利益を増やさないと、思い切った投資が難しい。株主からみても、安心して当社に投資できないというのが実情だと見ています。 人員を増やすためには、通常の採用とM＆A（合併・買収）の両方が必要だと思っています。ただし優秀な人材を容易に確保できるほど、セキュリティ産業は大きくないのです。例えば「CISSP」という国際的に有名なセキュリティ資格を保持している人材は、米国で3万人以上いるのに対して、国内は1500人ぐらいしかいません。 日本では、ようやく独自のセキュリティ資格「情報処理安全確保支援士」の制度が始まります。ラックでは100～200人といった単位でこの資格を取得させますし、維持する費用は会社で負担します。しかし国内全体で、情報処理安全

シマンテックは2016年12月8日、都内で記者発表会を開き、2016年の取り組みの総括と2017年のセキュリティ動向予測を発表した。発表会の冒頭、同社 代表取締役社長 日隈寛和氏は、2016年1月のVeritasの完全譲渡や8月のBlue Coat社の買収、11月の「Symantec Endpoint Protection 14」のリリースなどに触れ、2016年を振り返った。 日隈氏は、Blue Coat社の買収について「ネットワークセキュリティに注力できる体制が強固になった」と述べ、同社の事業展開におけるターニングポイントの1つであったことを示した。さらに、2016年10月にはBlue Coat社の脅威情報をSymantec Global Intelligence Networkに完全統合したことに触れ、「民間企業としては世界最大規模のサイバーセキュリティの情報ネットワークを構築できた。

大阪府が2017年4月に稼働する予定の「自治体情報セキュリティクラウド」の構築などの業務について、ケイ・オプティコムが予定価格の9億1142万円を大幅に下回る15万円で落札した。2016年9月末に公表された落札結果で明らかになった。 自治体の情報セキュリティに詳しい専門家は「長期にわたり契約を更新できれば、利益につながると踏んだのではないか」と指摘する。ケイ・オプティコムの櫻間秀彦・公共営業グループマネージャーは「大阪府の各市町村ともパイプができる」と期待をかける。 自治体の情報セキュリティ強化策の柱 自治体情報セキュリティクラウドは、原則として各市町村のインターネット接続ポイントを都道府県ごとに集約して、セキュリティ機能を共同利用するものだ（図）。

「ほぼ毎日、感染報告が上がってきますよ」。ある大手ユーザー企業のCSIRT（コンピュータ・セキュリティ・インシデント・レスポンス・チーム）のリーダーはこともなげに話した。感染するとPCのデータを暗号化したり端末をロックしたりして、「元に戻したくば身代金を支払え」と画面に表示して金銭をゆする「ランサム（身代金）ウエア」の感染はもはや日常茶飯事になったという。 このCSIRTのレベルが低いのかと言えば、決して低くなく、対策や人員はかなり日本でも先行している。ただ、ランサムウエアを含むマルウエア（悪意のあるソフトウエア）の感染を100％防げないというのはもはや常識だ。攻撃者は大量の亜種を持って、メールやWebサイト経由で攻撃してくる。被害件数は急増中で、「2016年1～3月の3カ月間で昨年1年間の被害額を超えた」（トレンドマイクロの染谷征良上級セキュリティエバンジェリスト）。

見た目は地味な「GitHub」だが、強さの秘密はデザインにあり 米GitHub Head of Design、Mark Otto氏 サンフランシスコに拠点を置く米GitHubは、もしかしたら「世界一地味なユニコーン（推定企業評価額が10億ドルを超えるスタートアップ）」かもしれない。同社の「GitHub」はプログラムのソースコードを管理するクラウドサービス。ひたすらアルファベットが並ぶ画面に、派手さは一切無い。 しかしGitHubは、企業向けソフトウエア業界でも有数の「デザインを重視する企業」だ。その証拠の一つがデザイナーの多さ。同社が雇用する「社員デザイナー」は25人。全社員が562人（2016年4月現在）なので、社員に占める割合は約5％となる。ITベンダーにおけるデザイナーの比率は1～2％以下とみられるので、これはかなり多い。 GitHubのデザイナーが取り組んでいるのは、プログラマの「

バイドゥは2014年8月6日、Android向けに無料で提供しているIME「Simeji」（しめじ）のiOS 8対応版を開発していることを明らかにした。「アップルの審査次第だがiOS 8の正式リリースに合わせて公開したい」（バイドゥ）という。iOS版Simejiは新開発言語であるSwiftを使って開発、主要機能として「クラウド変換」「キーボードのデザイン（スキン）変更」「顔文字入力」の三つを搭載する。 米アップルが9月9日に発表すると見られる「iPhone 6」（関連記事：Apple、「iPhone 6」発表イベントを9月9日に開催か）。そのiPhone 6発表に合わせて正式リリース予定の「iOS 8」には様々な機能拡張が施されるが、目玉の一つに「サードパーティ製日本語入力ソフト（IME）の開発許可」がある。これにより、Androidでは当たり前のこととして実現している「自分の好きなIME

最盛期の開発要員6000人，開発工数11万人月，投資額2500億円，取引件数1日1億件。三菱東京UFJ銀行が「Day2」と呼ぶ，勘定系システム一本化プロジェクトの成果物である。6000人のシステムズエンジニア（SE）が作り上げた巨大システムは，2008年5月の連休明けに必ず動くはずだ。 23年間にわたって情報システム開発プロジェクトの取材を続けているが，6000人のSEを集めた事例は過去に一度も見聞きしたことがない。世界を見渡してもおそらく例がないはずだ。これから何年間，記者を続けるのか分からないが，今回の三菱東京UFJ銀行を除けば，6000人を動員するプロジェクトを取材する機会は二度とないだろう。 6000人のSEが同時期に集まったのであって，「6000人月」ではない。開発工数は先に書いた通り，11万人月である。この数字も凄い。一体何を作ったのかと思ってしまう。正確にはこのSEパワーは開

政府システム調達における失敗の典型例が、特許庁の基幹系システム刷新プロジェクトだ。5年がかりで臨んだが、結局は55億円を無駄にしただけ。新システムは完成しなかった。失敗の最大の要因は、発注者である特許庁にあった（図1）。関係者の証言から、失敗に至る経過を改めてひもとく。 特許庁は2004年、政府が打ち出した「業務・システム最適化計画」に沿って、特許審査や原本保管といった業務を支援する基幹系システムの全面刷新を計画した。システムアーキテクチャーに詳しい情報システム部門のある職員（以下A職員）と、刷新の「可能性調査」を担ったIBMビジネスコンサルティングサービス（現・日本IBM）を中心に、調達仕様書を作成した。 業務プロセスを大幅に見直し、2年かかっていた特許審査を半分の1年で完了することを目指した。度重なる改修によって複雑に入り組んだ記録原本データベース（DB）の一元化に加え、検索や格納など

ここ半年ほど、「プログラミングを職業とすることの意味」を考え続けています。私自身は職業プログラマではないので、プログラマ向けの各種サービスを取材して、何とか手がかりをつかもうとしています。これまでに、技術情報共有サービス「Qiita」、競技プログラミングサイト「topcoder」、技術者が企業を気軽に訪問できるきっかけを提供する「Wantedly」、技術者が得意なスキルをアピールできる「Forkwell」、プログラミングの実力を測定できる「CodeIQ」や「paiza」を取材しました。 そうした取材の成果は、折に触れてITproや日経ソフトウエアにまとめています。具体的には、ITproの「『プログラマの役に立つものを提供していきたい』、情報共有サービス『Qiita』の挑戦」や「『60万人の一流プログラマ』が『成功率93％のSI』を実現するtopcoder」といった記事です。このテーマの集大

私は自分のコラム「極言暴論」で、ユーザー企業のIT部門とITベンダーの問題点や課題を極言し、暴論してきた。だが、特にITベンダーあるいはIT業界の話を書くと、空しくなることがある。私が指摘する問題点は、ITベンダーの経営幹部なら随分前から自覚している。それでもITベンダーや業界は何も変わらない。 「極言暴論」の読者にも「以前に何度も聞いた話」とシニカルに受け止められてしまったりする。「このままでは日本のIT業界に未来は無い」と叫んだところで、「またですか」とオオカミ少年扱い。やはり“ゆでガエル”状態になっている人には、湯の温度が多少上がったぐらいでは危機感を持って受け止めてはもらえない。 それでもクラウドの世となり、ITベンダーを丸ごとゆでる湯の温度は急激に上昇している。今起こっているパラダイムシフト、パワーシフトは以前のダウンサイジングやインターネットの爆発的普及のときの比ではない。シス

サイボウズは2014年7月11日、セキュリティ対策に関する取り組みの説明会を開催した。その席上、目玉として始めた「脆弱性報奨金制度」（関連記事：脆弱性を見つけたら最大100万円謝礼、サイボウズが報奨金制度を開始）の現況について説明した。 報奨金制度の運用を事実上始めた2014年2月下旬から6月末までの約4カ月間で、サイボウズの製品・クラウドサービスにおいて発見されたセキュリティ脆弱性件数は43件、報奨金支払い予定金額は279万8000円になった。7月に入ってからさらに15件以上の脆弱性が発見されており、ペースが上がっているという。 これまでの報奨金の最大金額は1件当たり51万円。深刻度が高い脆弱性が二つの製品で同時に発見されたため、支払い額が大きくなったという。一人当たりの最大獲得額は220万円強。ある熱心なセキュリティ専門家が繰り返し脆弱性を報告しており、報奨金支払いが集中しているという

IT関連のニュースサイトなどにおいて、サポート切れのWindows XPに「Windows Embedded POSReady 2009」のセキュリティ更新プログラム（パッチ）を適用する方法が2014年5月27日以降紹介されていることについて、日本マイクロソフトは5月29日、日経コンピュータの取材に対して、適用しても保護を期待できないことや、システムが正常に動作しなくなる恐れがあることを明らかにした。 Windows Embedded POSReady 2009とは、Windows XPをベースにした、POS（販売時点情報管理）端末向けの組み込みOS。Windows XPについては2014年4月9日にサポートが終了し、パッチは公開されなくなったが、Windows Embedded POSReady 2009は2019年4月までサポートされる。 そこで今回、ある人物が、Windows XPを

IT業界の技術者不足が、ユーザー企業のシステム化計画に悪影響を与えそうだ。みずほ銀行のシステム統合やマイナンバー関連のシステム構築など、いくつもの超大型の開発プロジェクトが2014～2016年に重なったことで、技術者不足が一気に深刻になってきた。超大型案件が多くの技術者を“バキューム”してしまっており、ユーザー企業の間では、自社のシステム開発にそのしわ寄せが及ぶのではという懸念が広がっている。 懸念されているのは、システム開発をITベンダーに外注する際の料金単価の上昇や納期の長期化、担当技術者のスキルレベルの低下などである。だが実は、そうした懸念よりもさらに怖い事態が生じる可能性が高い。ユーザー企業がシステム開発案件でベンダー各社に提案を募っても、優れた提案を得ることができない状況が想定されるのだ。 ユーザー企業のIT部門の人はあまり思い至らないだろうが、ベンダーが提案書を作るのには大変な