これに対し、今回のデモを組織した団体「No Tech For Apartheid」は「自分たちの労働がアパルトヘイトや大虐殺の原動力となることは望まない」と訴える。Googleに対してイスラエル政府との契約の中止を求めるのは、発端となったプロジェクト・ニンバスの契約を「ガザのパレスチナ人を虐殺するイスラエルへの支援」と見なしていることによるものだ。 社員の解雇について同団体は「言語道断の報復行為」「Googleが自社の社員よりも、虐殺行為をしているイスラエル政府および軍との12億ドルの契約の方を大切にしていることが、これではっきりした」と反発した。 また抗議デモは平和的に行われ、Google社内で器物を損壊したり、同僚を妨害したりもしていないと主張。社員の解雇はGoogleのいう「開かれた文化」の虚偽をさらけ出したと訴え、解雇は不当だったとし全米労働関係委員会（NLRB）に不服を申し立てて

各店側はどのレンズメーカーが原因なのか詳細は報告していないが、レンズメーカーのHOYA（東京都新宿区）は3月30日から、社内システムで障害が起きていると発表。4月4日に発表した調査結果によると、この障害は「第三者による当社サーバへの不正アクセスに起因する可能性が高い」と公表している。 この影響により、複数の製品で生産工場内のシステムや受注システムが停止し、4日時点では在庫出荷などの業務は手作業で対応しているという。なお、機密情報や個人情報の外部流出の可能性は現時点では調査中としており「解析には相当の日数を要する見込み」（同社）としている。 関連記事 第三者が個人情報15万人分ダウンロード　労務管理クラウド「WelcomeHR」で漏えい　マイナカードや免許証の画像も ワークスタイルテック（東京都港区）が、同社の労務管理クラウドサービス「WelcomeHR」について、ユーザー情報が外部から閲覧

カオナビ子会社のワークスタイルテック（東京都港区）は3月29日、同社の労務管理クラウドサービス「WelcomeHR」について、ユーザー情報が外部から閲覧可能な状態になっていたと発表した。16万2830人分の情報が閲覧可能だったとしており、うち15万4650人分の情報が実際に第三者にダウンロードされたという。 2020年1月5日から24年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書（マイナンバーカード、運転免許証、パスポートなど）や履歴書の画像が閲覧可能だった。情報がダウンロードされたのは23年12月28日から29日にかけてだったという。3月29日時点では二次被害は確認していないとしている。 「本来　ユーザーがストレージサーバに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバのアクセス権限の誤設定により、閲覧可能

個情委、ランサムウェアで約1カ月停止の社労士向けクラウド提供元に指導　「管理者権限のパスワード類推可能」「深刻な脆弱性が残存」【お詫びと訂正】 個人情報保護委員会は3月25日、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム（大阪市）に対し、個人情報保護法に基づく指導を行ったと発表した。 同社は2023年6月、ランサムウェア攻撃を受け、サービスが約1カ月停止するなどの被害に遭っていた。サービスを導入する社労士法人や民間企業からは、エムケイシステムから報告を受けての発表も相次いでいた。 【訂正：2024年3月28日午後3時48分　記事掲出当初、漏えいの事実があると受け取れるような記載をしていましたが、エムケイシステムから個人情報保護委員会への報告は「漏えいのおそれ」に基づくものであり、漏えいの事実は確認されておりませんでした。お詫びして訂正いたします。】 個人情報保護委

人が足りない？　自治体システム標準化・ガバメントクラウドに取り組む現場のホンネ　尼崎市の場合：ガバクラ・自治体システム標準化の行方（1/3 ページ） 自治体の業務を共通化し、システムもそれに沿ったものに移行する“自治体システム標準化”。国は原則として2026年3月末までの対応を自治体に求めており、各自治体への補助金として1825億円を確保している。中には期限に先行して移行する自治体も出ているが、一方でスケジュールや、補助金の不足による負担増といった問題を抱える自治体も少なくない。 例えば茨城県水戸市や福島県福島市など、人口20万人以上の市町村の市長からなる中核市市長会は10月、全額国費による事業推進と期限の見直しを求める要望書を提出した他、京都市・横浜市などの市長からなる指定都市20市市長会も補助金の上限や対象となる経費の拡充などを求めている。 このうち補助金の上限については、11月10日

この記事は新野淳一氏のブログ「Publickey」に掲載された「GitHub、1200台以上のMySQL 5.7を8.0へアップグレード。サービス無停止のまま成功させる」（2023年12月12日掲載）を、ITmedia NEWS編集部で一部編集し、転載したものです。 米GitHubが提供するGitHub.comは、世界最大のソースコード管理システムを始めとするソフトウェア開発者向け支援サービスを提供しています。 そのGitHub.comはRuby on Railsで構築されており、同社はつねにRubyとRuby on Railsをアップデートし続けていることを今年（2023年）4月に明らかにしています。 参考：GitHubは200万行規模のRailsアプリケーションであり、毎週RailsとRubyを最新版にアップデートし続けている そして同社はこのGitHub.comを支える1200台以上

NTT西日本グループのNTTマーケティングアクトProCX（大阪市）は10月17日、マーケティング業務を代行するためにクライアントから預かっていた顧客情報900万件が不正に持ち出されたと発表した。コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズ（同）の元派遣社員が、第三者に情報を流出させていたという。

警察庁は2023年9月27日、「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について」という注意喚起を発表しました。同庁はこれまで、状況証拠がある場合でも、こうした情報を公開しないケースが多かったのですが、今回は、国名を明記した形での注意喚起となっています。これは無視できるものではありません。 今回の注意喚起は警察庁やNISCだけでなく、何と米国連邦調査局（FBI）、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）など、米国政府機関の名前も連なっています。その上で、中国を名指ししたものとなっているのですから穏やかではありません。 ここで名指しされているサイバー攻撃グループBlackTechはかなり前から日本をターゲットに活動しており、2020年1月に発生した三菱電機への不正アクセスにも関与していたとされています。セキュリティベ

米Microsoftは8月31日（現地時間）、欧州経済領域（EEA）およびスイス地域で、ビデオ会議ツール「Teams」の「Microsoft 365」バンドルを解除すると発表した。EUの欧州委員会が7月、独禁法違反の可能性について正規調査を開始したことを受けたもの。 この調査のきっかけは、米Slackが2020年、欧州委員会にMicrosoftを独禁法違反で提訴したことだ。 Microsoftは公式ブログで、この変更は顧客がTeams抜きのOfficeをより安価に購入できるようにすべきであり、競合するサービスとの相互運用性をより容易にするために努力すべきだというEUの懸念に対処するために行うと語った。 この変更は10月1日に発効する。Teamsを含むEnterpriseスイートは提供されなくなるが、既存顧客は現行のプランを継続するか、更新日に新たなプランに切り替えるかを選択できる。 Mic

医療政策の企画立案などを目的とする日本医師会総合政策研究機構（日医総研）が8月24日に公開した文書が、SNS上で物議を醸している。医療機関とシステムベンダーの契約と責任分担に関するもので、「信義誠実の原則」を理由に「ベンダーのリスク説明が不足している場合、契約に記述がなくても、医療機関側から一定の責任を問える可能性がある」との内容が記されている。 文書のタイトルは「サイバー事故に関し システムベンダーが負う責任：医療DXを推進するために」。医療機関とベンダーには専門知識の格差があることなどから、「システムベンダーは信義誠実の原則に基づく不随義務として、医療機関が安全管理義務を履行するために必要な情報を適切に提供する義務を負う」との見方を示している。 「信義誠実の原則」とは「互いに信頼を裏切らないよう行動すべき」とする法原則。既知の脆弱性についてベンダーが適切に情報提供しない状態で、その脆弱

「ゲーム業界目指す最低限できていない」──社長のSNS投稿が議論呼んだサイバーコネクトツーが、実は抱えていた育成の課題：CEDEC 2023（1/3 ページ） 「ゲーム系専門学校や大学で学生に持っているゲーム機を聞くと、スマホ100％、Switch90％、PS4が70％、PS5が10％、Xboxが1％。結果を見る度に『ゲーム業界を目指す最低限の準備すらできていない』と認識する」──6月、X（当時はTwitter）でゲーム開発人材を巡るこんな投稿が話題になった。 投稿したのは「鬼滅の刃 ヒノカミ血風譚」「ドラゴンボールZ KAKAROT」などのゲーム開発を手掛けるサイバーコネクトツー（CC2）の松山洋社長だ。当時はゲーム業界関係者を中心に物議を醸し「家庭用ゲーム機にこだわる必要はない」「そもそも学生にはそんなお金はない」「最新ハードがなくても業界には入れる」などとSNS上でさまざまな議論を呼

社会保険労務士（社労士）向けクラウドサービス「社労夢」などで6月5日以降システム障害が続いているエムケイシステム（大阪市）は29日、2024年3月期通期連結業績予想を修正した。6月分のサービス利用料を請求しないため、収益が激減。もともと約32億円を見込んでいた売上高、2.6億円を見込んでいた営業利益はいずれも「未定」となった。 エムケイシステムはランサムウェアを使ったサイバー攻撃により、サービス提供用のサーバが暗号化された。社労夢に加え、人事労務向けサービス「DirectHR」などの9サービスが影響を受けており、29日の時点でも完全復旧はできていない。 約3400いるユーザーに正常なサービスを提供できないため、6月分の請求は停止。調査や復旧、再発防止にかかる費用は今後も増加する可能性があり、業績予想が立たない状況になっている。 このシステム障害により、サービスを導入する社労士法人や民間企業

社会保険労務士（社労士）向けクラウドサービス「社労夢」を提供するエムケイシステム（大阪市）は6月21日、ランサムウェア攻撃による障害への対応状況を発表した。5日から複数のサービスで障害が発生しており、21日時点で完全復旧に至っていない。「当社の約3400ユーザーの大半にサービス提供できない状況」（同社）という。 影響を受けているサービスは社労夢に加え、人事労務向けサービス「DirectHR」など9サービス。当初は8サービスと発表していたが、記載漏れがあったとして追加した。いずれもデータセンターにあるサービス提供用のサーバが暗号化されたという。 一部サービスについては復旧の状況も公開した。まず、社労夢などで提供している社労士事務所向けの給与計算機能については、AWS上で開発中だったバージョンを急きょ改修し、暫定版としてリリース。約2800の事務所に提供して対応した。開発中のバージョンは社労士

クラウドベンダーのエムケイシステム（大阪市）が提供するサービスで障害が発生している。6月5日から9日午後7時現在まで、クラウド型の人事労務向けサービス「DirectHR」など8サービスが利用しにくい状況だ。原因はランサムウェア攻撃。サービス提供に使っているサーバに不正アクセスを受け、データを暗号化されたという。 影響を受けているのは、DirectHRに加え、社会保険労務士向けクラウドサービス「社労夢V3.4」など。一部、バックアップから復旧を進めているサービスもあるが「システム全体の復旧についてはまだめどが立っておらず、調査を継続している」（同社）という。 同社が事態に気付いたのは5日の早朝。同社のデータセンターにあるサーバがダウンしたため、調査したところ、不正アクセスの可能性が浮上した。サーバをネットワークから切り離し、改めて調査したところ、ランサムウェアによる攻撃を受け、データが暗号化

エーザイは5月19日、同社グループの取引先情報約1万1000件が漏えいした可能性があると発表した。何者かが海外法人に勤める社員のアカウントに不正ログインし、グループ横断で使っていたクラウドサービス上の情報にアクセスしたという。 エーザイやその子会社であるEAファーマ（東京都中央区）、カン研究所（神戸市）、サンプラネット（東京都文京区）の取引先情報が対象。2018年5月から23年4月にかけて、（1）4社が管理する「Microsoft Teams」のプロジェクト管理機能に招待された人、（2）4社が管理するファイル共有サービス「Sharepoint」へのアクセス権を付与された人、（3）オフィススイート「Microsoft 365」で作成したメーリングリストに登録された人、（4）4社が管理するID管理システムに登録された人──の氏名やメールアドレスが漏えいした可能性がある。 約1万1000件のうち

LINEは4月17日、ユーザー同士でギフトを送りあえる「LINEギフト」で「不適切なデータの取り扱いがあった」と発表した。 2015年から2023年まで8年間にわたり、「本来、受取り主に伝えるべきではない送り主の情報が、通信内容に含まれる」などの問題があったという。現時点で個人情報の不正利用など二次被害は発生していない。 LINEは同日、ユーザーにメッセージを送り、詳細を記載したURLを伝えた。ただ、告知の文章が非常に長い上に専門的な内容も含まれており「意味が分からない」などの声も出ている。 ギフトの受け取り主への情報漏えい 告知によると、問題が発生していたのは2015年2月ごろから、2023年3月9日にわたる約8年間。2月の社内調査で発覚した。「誤った実装」が原因という。 「ユーザーがLINEギフト上で一定の操作を行った」場合、ギフトを送ったユーザー情報のうち、伝えるべきでない情報が、受

リトアニアのセキュリティ企業Nord Securityは3月30日、情報漏えいしたことがある企業のデータを基に、世界31カ国の大企業で働くビジネスマンが、仕事でよく使うパスワードのランキングを発表した。米国や日本、中国、インド、英国などからデータを集めたという。 「テクノロジー・IT」「航空・宇宙」など20業界でランキングを公開。例えばテクノロジー・IT業界の1位は「123456」だった。2位は「password」で、3位は「aaron431」。TOP10には「research」（4位）、「linkedin」（7位）、「社名や部署名（もしくはそれを一部変更したもの）」（12位）などもあった。 航空・宇宙業界も1位は「password」。2位は「社用メールアドレスのドメイン」、3位は「社名や部署名（もしくはそれを一部変更したもの）」だったという。TOP20には「opnesesame」（6位）

エン・ジャパンは3月30日、転職情報サイト「エン転職」のWebサーバに不正アクセスを受け、25万5765人分の履歴書が漏えいした可能性があると発表した。外部で取得したID・パスワードを悪用して総当たりで不正ログインする「リスト型攻撃」を受けた可能性があるという。 漏えいした可能性があるのは、2000年以降にエン転職に登録した人のうち、Web上に登録した履歴書25万5765人分。すでに退会した人のデータが漏えいした可能性はないとしている他、履歴書や企業側が利用する管理画面の改ざんなども確認していないという。 問題を受け、エン・ジャパンは30日午後3時に、不正ログインされたユーザーのパスワードをリセット。不正にログインしていた通信元のIPアドレスもブロック。被害の拡大を防ぐため、他のユーザーのパスワードもリセットし、再設定するようメールで連絡したという。現在は警察への通報や個人情報委員会への報

経済産業省は3月27日、アクセンチュアに運用・保守を委託している「産業保安システム」で情報が漏えいした可能性があるとして謝罪した。事業者が同システムを利用した際の手続き履歴に関する情報が第三者から閲覧できる状態になっていた。 産業保安システムは産業保安・製品安全法令に関する手続きをするためのオンライン申請システム。アクセンチュアが実施した改修作業で不備があり、約7000件の提出者名や、法人名、提出日、事業場番号、受理番号などの情報が10時間にわたり公開されていた。 経済産業省はアクセンチュアに対し、該当の期間にシステムを利用した150人に対し、謝罪と経緯説明をするとともに、公開されていた情報を見ていないか確認した上で削除を求めるように指導した。 関連記事 Microsoftの純正スクショツールにも情報漏えいの脆弱性　パッチ公開 MicrosoftはWindowsの純正スクリーンショットツー

Innovative Tech： このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: ＠shiropen2 ドイツのResearch Center Trustworthy Data Science and Securityとルール大学ボーフム、オランダのラドバウド大学、米ノースイースタン大学、米ニューヨーク大学に所属する研究者らが発表した論文「Hope of Delivery: Extracting User Locations From Mobile Instant Messengers」は、WhatsAppなどのメッセンジャーアプリにおいて、メッセージを送信することで受信者の位置を特定できる攻撃を提案した研究報告である。 メッセンジャーアプリでは、送信し