9つの自治体で不正アクセスの可能性が明らかに、セールスフォース「設定不備」問題セールスフォース・ドットコムが手掛けるクラウドサービスの「設定不備」に起因した不正アクセス被害が、全国の自治体で続々と明らかになっている。2021年2月12日までに、神戸市や千葉県船橋市など少なくとも9つの自治体が不正アクセスの被害の可能性を公表した。いずれの自治体も、岡山市に本社を構えるIT企業、両備システムズのシステムを利用していることが日経クロステックの取材で分かった。
NISCが「セールスフォース製品の設定不備」に注意促す、楽天などで不正アクセス
NISCによると、セールスフォース製品の設定不備が原因で、意図しない情報が外部から参照される恐れがあるという。サービスの利用状況や各種設定を確認・見直すことで「適切なセキュリティー対策を講じることが必要」(NISC)と呼び掛けた。 セールスフォース製品の設定不備を巡っては、金融庁が2020年12月17日付で金融機関向けに非公開で注意喚起を出している。「Salesforceサイトを有効に設定(インターネットに公開している)」などの3条件がそろうと、「セールスフォースが提供するクラウドサービスに保存した情報に第三者が特定の機能を用いてアクセス可能となり、情報が漏洩する可能性がある」としている。
日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了
日立製作所が2021年度から電子メールへの暗号化ファイルの添付を社内で禁止することが明らかになった。子会社の日立ソリューションズが「秘文」ブランドで販売していたメールの添付ファイルを自動で暗号化するツールも、2017年に販売を終了していた。同様の動きは他の大手ITベンダーでも進んでいる。 暗号化ファイルをメールに添付して送付した後に、別のメールでパスワードを送付する手順、いわゆる「PPAP」については、平井卓也デジタル改革担当大臣が2020年11月に、内閣府と内閣官房でこれを廃止すると発表したことから、脱PPAPがここに来て盛り上がっている。 社内ルールを改定しPPAPを禁止 日本のITベンダーは自らが社内でPPAPを行うだけでなく、PPAPの手順を自動化するツールを顧客に販売するなど、これまでは強力な「PPAP推進派」だった。しかしPPAPがメール誤送信対策として不十分であるだけでなく、
PayPay、設定不備で加盟店情報2000万件が不正閲覧された可能性
同社は外部からの指摘を受けて管理サーバーのアクセス履歴を確認したところ、11月28日にブラジルからのアクセス履歴を1件確認。12月3日までに遮断する措置を実施したという。 同社広報は「10月18日にサーバーのバージョンアップ作業を実施し、動作確認の作業の際にアクセス権限の設定を誤ったことが原因」と説明。「このたびは加盟店の皆さまにご迷惑とご心配をおかけし申し訳ございません。今回の事象を重く受け止め、再発防止に努めてまいります」(広報)とした。
三菱パワーが不正アクセス被害を公表、日立システムズの運用監視サービス経由か
三菱重工業子会社で火力発電向けのガスタービンを手掛ける三菱パワーは2020年12月11日、同社が使うマネージド・サービス・プロバイダー(MSP)経由で不正アクセスの被害を受けたと発表した。機微な情報や機密性の高い技術情報、取引先に関係する重要情報、個人情報の流出はいずれも確認されていないとしている。 三菱パワーが不正アクセスの被害に気づいたのは2020年10月2日。翌3日にかけて三菱重工と連携して調査を進めると、複数のサーバーやパソコンから外部に不正な通信をしていると判明した。 当該機器をネットワークから遮断し、通信ログなどを解析すると、MSP事業者を経由して不正侵入されていると分かり、2020年10月8日に当該MSP事業者に調査を依頼したという。三菱パワーは「MSPの事業者名は明かせない」(広報)としている。同社以外の三菱重工グループのネットワークへの不正アクセスはなかったという。 MS
日立システムズの「ITマネジメントサービス」が不正アクセス被害に、利用企業にも影響か
日立システムズの運用監視サービスが外部から不正アクセスを受けた問題で、被害のサービスは「ITマネジメントサービス」であることが2020年12月7日までに分かった。同社は12月4日に運用監視サービスが外部から不正アクセスを受けたと発表していたが、具体的なサービス名を挙げていなかった。 不正アクセスを受けたのは日立システムズのデータセンターと顧客のシステムをIP-VPN回線でつなぎ機器の異常などを監視するサービス。同社は不正アクセスによって、サービスの利用企業にも不正アクセスが行われた可能性があるとしている。日経クロステックの取材に対し日立システムズは「(顧客企業との)契約の関係で顧客のシステムまで実際に不正アクセスが及んだかどうかは明らかにできない」(広報)とした。現時点で顧客企業からの情報流出は確認されていないという。 同社が運用監視サービスの不正アクセスを確認したのは10月8日。約2カ月
楽天だけでなくPayPayでも、セールスフォース製品の設定不備を狙った不正アクセス
セールスフォース・ドットコムの一部のサービスを使う企業に対する不正アクセスを巡って、楽天だけでなくPayPayも被害を受けていたことが2020年12月26日までに分かった。セールスフォースのサービスを使う企業は多く、被害がさらに広がる可能性がある。 PayPayは2020年12月7日、加盟店に関する営業情報などを管理するシステムが不正アクセスを受けていたと発表していた。日経クロステックの取材で、同システムにセールスフォースのサービスを使っていることが分かった。 不正アクセスの原因はアクセス権限の設定不備である。不備があった期間は2020年10月18日から12月3日までで、加盟店の店名や住所、連絡先、代表者名、代表者生年月日などを社外の第三者が不正に閲覧した可能性がある。PayPayは2020年11月28日にブラジルからのアクセス履歴を1件確認しており、12月3日までに遮断する措置を講じてい
楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る
楽天は2020年12月25日、クラウド型営業管理システムに保管していた情報の一部が社外の第三者から不正アクセスを受けていたと発表した。楽天のほか、楽天カードや楽天Edyも被害に遭い、最大で延べ148万件超の顧客情報が不正にアクセスできる状態だった。日経クロステックの取材で、このクラウド型営業管理システムが米salesforce.com(セールスフォース・ドットコム)のシステムだったことが分かった。 不正アクセスの原因は、楽天がクラウド型営業管理システムのセキュリティー設定を誤ったことにある。2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わったという。再設定が必要だったが、できていなかった。2020年11月24日の社外のセキュリティー専門家からの指摘をきっかけに、設定の誤りが判明。社内のセキュリティー専門部署を中心に対応し、2020年11月26日までに正
基幹刷新「一部中断」の京都市、膨れた開発費100億円は無駄に終わるのか
足かけ6年、100億円近い費用を投じている京都市の基幹システム刷新プロジェクトが「一部中断」となった。2017年1月の稼働予定を2度延期してもなお全面稼働の時期を示せないままの幕引きであり、事実上の失敗だ。京都市民は巨額の税金を投じたにもかかわらず行政サービスの向上を享受できていない。1度目の延期を巡っては委託事業者であるITベンダーのシステムズ(東京・品川)との民事調停も続いている。 「結果責任は市長である私の責任」 「本市(基幹システム)オープン化事業につきましてはこのたびの国の方針のもとで、(2025年度末を目標とした自治体)システム標準化への対応のために一旦立ち止まり、改めて見定める必要があると判断いたしました。そのため一部を除き開発を中断することといたします」。2020年9月30日、京都市議会(京都市会)本会議において京都市の門川大作市長は森田守議員の質問に答える形でこう明言した
「PPAP」をいつまで続けるのか、セキュリティー対策の効果は薄く面倒なだけだ
「PPAP」という言葉をご存じだろうか。お笑い芸人が展開しているあの楽曲のことではない。 ここで言う「PPAP」とは、「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)、Protocol(プロトコル)」の略。電子メールの添付ファイルをzip形式に圧縮してパスワードを付与し、パスワードを記したメールを追送するビジネス慣習を言う。読者諸氏のもとにも、「PPAP」方式で添付ファイルが送られてくるケースがあろう。 このPPAP、政府が開設した「デジタル改革アイデアボックス」にも廃止を求める提言が投稿されるなど注目を浴びている。PPAPは、セキュリティー対策の名の下に多くの企業が取り入れているものの、効果は極めて限定的。それどころか、むしろセキュリティーリスクを高める行為であるとさえ専門家から指摘されている。 PPAPは生産性やビジネススピードの足かせにな
パスワード付きファイルの何が問題なのか、今こそ「PPAP」との決別を
パスワード付きファイルが話題だ。 ここでのパスワード付きファイルとは、パスワードを付けてZIP形式などで暗号化および圧縮したファイルのこと。パスワード付きファイルそのものには問題はない。そのファイルをメールに添付して送り、パスワードを別のメールで送ることが問題視されている。 平井卓也デジタル改革担当大臣は2020年11月17日、中央省庁においてパスワード付きファイルのメール送信を廃止する方針であることを明らかにした。 また、クラウド会計ソフトなどを手がけるfreeeは11月18日、メールによるパスワード付きファイルの受信を12月1日から原則廃止すると発表した。 一見安全そうなパスワード付きファイルとパスワードのメール送信。実際、多くの組織が実施している。 だが多くの専門家が、以前から問題があると指摘している。何が問題といわれているのか。改めてまとめた。 Emotet感染拡大の一因に 「文書
クラウド政府共通基盤が稼働、AWSが日本政府に食い込めた真相
パブリッククラウドを提供するアマゾン ウェブ サービス(AWS) ジャパン(AWSジャパン)は2020年10月8日、総務省が構築した中央省庁向けの「第2期政府共通プラットフォーム」がAWSのパブリッククラウド上で運用開始されたと発表した。 行政システムのクラウドシフトの始まりになる大きな出来事だが、実際に個別アプリケーションのクラウド化が進むか、コスト削減や効率化が進むかは、今後の政府の取り組みにかかっている。 政府共通プラットフォームは、各省庁が個別に情報システムを構築・運用するのは効率が悪いため、1つの基盤に集約して効率化を図るという考えで作られた。 既存の第1期政府共通プラットフォームは従来型のオンプレミスのデータセンターに集約する仕組みだった。今回稼働した第2期は、パブリッククラウドであるAWSベースのプラットフォームに刷新したうえで集約することになった。 現状は、まだ第2期政府共
無線LANの新規格「Wi-Fi 6」は旧規格と共存できるか、実験で解明してみた
無線LANの新しい規格Wi-Fi 6(IEEE 802.11ax)では、2.4GHz帯を利用できる。外部からの電波干渉の影響を受けやすいこの周波数帯でどれほどのスループットが出るのか。またWi-Fi 6に対応したアクセスポイント(AP)をいち早く導入すれば、1世代前のIEEE 802.11ac対応端末との混在環境が想定される。そうしたとき、新旧の規格の端末が互いに悪影響を与えないだろうか。実験で確認してみよう。 実験 2.4GHz帯 Wi-Fi 6では、802.11acで非対応だった2.4GHz帯に対応した。2.4GHz帯と言えば、Bluetoothや電子レンジといった無線LAN以外の機器でもよく利用される周波数帯なので電波干渉しやすい。このため、使い物にならないというイメージが強い。802.11acで非対応だったのも、利用しにくいからだろう。 ただAPが2.4GHz帯と5GHz帯の両方に
三菱電機のMicrosoft 365に不正アクセス、取引先情報8635件流出
三菱電機は2020年11月20日、契約しているクラウドサービスが不正アクセスを受け、国内取引先情報の一部が外部に流出したと発表した。 不正アクセスを受けたクラウドサービスは三菱電機が全社的に使用していた米Microsoft(マイクロソフト)の「Microsoft 365」。取引先の口座情報などを記録し、同サービスで社内に共有していたファイルが外部から不正アクセスを受けた。Microsoft 365ではメールやファイル共有、社内SNS(ソーシャル・ネットワーキング・サービス)など複数の機能を使っており、どの機能に対して不正アクセスを受けたかは現在調査中だという。 これまでの調査によれば、11月16日に異常なアクセスを認識し、アクセスを遮断するなどの対策を講じて調査を進めた。11月20日までに、国内取引先8635件の名称、住所、電話番号、代表者名、金融機関名、口座番号、口座名義などの情報の流出
光回線を切り替えたらネット接続不能に、原因はまさかの「LANケーブル」
インターネットに接続する光回線をギガビットに切り替えたところ、ネットワーク機器は対応しているのに接続できなくなった。調査の末にたどり着いた原因はまさかのLANケーブル。一体、どういうことだったのだろうか。 SF作家でコンピューターに精通していたジェリー・パーネル氏が提唱した法則「パーネルの法則」にはこんな一節がある。「コンピューターの問題の90%はケーブルが原因である」――。 この法則が提唱されたのは1990年代。周辺機器をつなぐ当時のケーブルは太く固いものが多く、取り回しづらかった。今となっては「90%」というのはいささかオーバーな印象がある。 しかし忘れかけていたこの法則を思い出させるようなトラブルが発生した。体験したのは元ビッグローブの社長で、エンジニア出身の古関 義幸さん。 昨今の新型コロナウイルスの影響で、自分や家族が自宅からZoomなどのビデオ会議システムを利用する機会が増えた
アマゾンがついにOracle DBを「全廃」、成功のポイントは社内失業対策
米アマゾン・ドット・コム(Amazon.com)がついに米オラクル(Oracle)に「勝利宣言」をした。アマゾンは2019年10月15日(米国時間)、社内からOracle Database(DB)を「全廃」したと発表したのだ。最盛期には約7500ものOracle DBが存在し、eコマースや物流、決済、受発注、広告、動画・音楽配信などのバックエンドで長年使われてきた。それらはほぼすべて姿を消したという。 Oracle DBからの移行先は、アマゾンがクラウドサービスAmazon Web Services(AWS)で提供するDBサービスだ。今後はMySQLやPostgreSQLと互換性のある分散型リレーショナルDB(RDB)サービスのAmazon Auroraをはじめ、NoSQLのDBサービスであるAmazon DynamoDB、データウエアハウス(DWH)のサービスであるAmazon Reds
Zoomはセキュリティーを犠牲に勝ったのか、プロダクトデザインの理想と現実
新型コロナウイルスによる非常事態宣言の影響で、国内ではZoomは定着し、イベントや面接、打ち合わせなどでわざわざZoomとは何か説明しなくても通じるようになった。その影響で最近、Zoomがなぜ一人勝ちしたのか?という議論が局所局所で盛り上がっていた。火を付けたきっかけは、Zoomはセキュリティーを無視してUX(ユーザー体験)の強化に全力投球したから成功したという言説である。 確かにZoomにそれまでのアプリではあまり見たことのない機能も存在する。例えばCG(コンピューターグラフィックス)によるバーチャル背景にPowerPointのスライドを重ねて使う時には、画面共有の開始時に自動でPowerPointを起動し、スライドをエクスポートする動作が見ることができる。WindowsのActiveXならいざ知らず、MacOSでもこんなことが可能なのかと感心させられると同時に、直感的には少し怖いと思う
銀行も保険も「PayPay」に、ZHDがブランド統一に踏み出すわけ
Zホールディングス(ZHD)傘下の金融中間持ち株会社であるZフィナンシャルと、同社が出資するジャパンネット銀行は2020年9月15日、メディア向けの金融戦略説明会を開いた。 併せてZHDは2020年秋以降順次、傘下の金融事業会社6社の社名とサービス名についてスマートフォン決済事業と同じPayPayブランドに統一しているところだ。ジャパンネット銀行は2021年4月5日付でPayPay銀行への社名変更を予定している。
MSが自ら進める「脱IE」、ITベンダーにEdge移行特需は来るか
米Microsoft(マイクロソフト)は2020年8月17日(現地時間)、「Microsoft 365(旧称Office 365)」の「Internet Explorer 11(IE11)」ブラウザーでの動作サポートを1年後に終了すると発表した。利用する企業は一定の対応を進める必要がある。 マイクロソフトは以前からIE11の積極的な開発をやめて、Windows 10の標準ブラウザーである「Edge(エッジ)」に注力する方針を打ち出していた。今回の発表で、自身が「脱IE」を進め、顧客にもIEからEdgeへの移行を促す姿勢がより鮮明になった。 大企業や官公庁に残るIE依存アプリ だが、日本の法人ではまだIEが多く残っている実態がある。日本マイクロソフトMicrosoft 365 ビジネス本部製品マーケティング部の春日井良隆エグゼクティブ プロダクト マーケティング マネージャーは「企業や官公庁
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「脱IE11」は最終段階へ Microsoft 365も対応終了
