航空会社を狙ったビジネスメール詐欺（BEC）が頻発している。JALだけでなく、スカイマークにも同様の偽メールが二度にわたって送られていたことがわかった。 最初の偽メールが送られてきたのは2016年6月。実在する取引先の担当者の名前で「振込先を変更した」というメールが送られてきた。香港の振込先だったという。それを信じた担当者が40万円を振り込んだが、既に口座が凍結されており、振り込めなかった。それを不審に思って取引先に確認したところ、振込先を変更した事実はなく、詐欺だということがわかった。 2回目の偽メールが送られてきたのは2017年10月。1回目のメールとは別の実在する取引先の担当者の名前で、振込先を変更したというメールが届いた。海外の振込先で、請求額は200万円余り。ただ、1回目の偽メールが発覚したときに社内に注意を喚起していたため、担当者が不審に思い、取引先に確認した。その結果、詐欺だ

京都府警サイバー犯罪対策課などは2017年10月31日、ファイル共有ソフト「Share」の利用者から情報を流出させるウイルスを業務用PCに保管したとして、セキュリティ企業ディアイティの社員を不正指令電磁的記録（ウイルス）保管容疑で逮捕した。容疑者は顧客の依頼を受けてShareに情報が流出していないかを監視するサービスの担当者だった。 京都府警によれば、東京都江東区の同社において容疑者は2017年10月10日ごろ、解析用途に使う専用PCにウイルスに感染したファイルを保管し、Share利用者がダウンロードできる状態にしたという。利用者が当該ファイルにアクセスするとPCがウイルスに感染し、PC内部の文書ファイルなどがShareに流出するようになっていた。 ディアイティの三橋薫社長は同社Webサイトにて2017年11月1日付けで「当社社員の不正指令電磁的記録（ウイルス）保管容疑で逮捕された件につい

フリーマーケットアプリ「メルカリ」で現金を出品し、法定利率の上限を超える利息を受け取った――千葉、秋田、京都の3府県警は2017年11月16日、出資法違反の疑いでメルカリのユーザー4人を逮捕した。 その3日前の11月13日。メルカリとヤフーが9月に設立した「EC事業者協議会」の第2回会合が都内で開催された。 奇しくもテーマは「オークション・フリマサービスにおける現金出品への対策」。消費者庁や経済産業省に加え、今回初めて金融庁と警察庁がオブザーバー参加した。メルカリは自社の現金出品問題と対策について説明し、オブザーバーの省庁担当者から質問やコメントを受けたという。 金融庁は現金出品というテーマゆえの参加だが、警察庁については「違法出品対策としてのユーザーの本人確認手法について、メルカリと警察庁と折り合ったことで、オブザーバー出席が可能になった」（関係者）という。 これはメルカリが同年10月1

米ウーバー・テクノロジーズ（ウーバー）は米国時間2017年11月21日、2016年10月に約5700万件の個人情報漏洩を起こしていたと発表した。同社のWebサイト上でダラ・コスロシャヒCEOの執筆記事として公開している。 漏洩したのは、Uberユーザーの名前、メールアドレス、携帯電話番号。約60万人の運転手の運転免許証番号も漏洩した。外部のフォレンジックの専門家の調査によると、移動履歴、クレジットカード番号、銀行口座番号、社会保障番号、生年月日の漏洩は見つかってないという。 Uberが利用する外部のクラウドサービスに不正アクセスがあり、データを窃取されたとしている。事件の認知後ただちにデータを保護し、不正アクセスを遮断。2016年11月にはクラウドストレージへのアクセス制限や管理などの対策を完了したという。ただ、影響のあった運転手やユーザー、規制当局に漏洩の事実を知らせなかった。 ウーバー

インドのセキュリティベンダーであるクイックヒール・テクノロジーズなどは2017年11月初旬、メッセージアプリ「WhatsApp」の偽物がGoogle Play Storeで配信されていたと発表した。既に削除されたが、100万回以上もダウンロードされたという。ある工夫が凝らされていたからだ。 人気のアプリに見せかける 人気のアプリに見せかけてダウンロードさせようとするのは、悪質なアプリを配信する際の常套手段。アプリの名前やアイコンを本物そっくりにして、ユーザーをだますのは珍しいことではない。 例えば、今回発表されたケースでは、本物のアプリ名は「WhatsApp Messenger」で、偽物のアプリ名は「Update WhatsApp Messenger」や「WhatsApp Mesenger」だった。アイコンも全く同じ。アプリの名前やアイコンでは本物かどうか判断できないのが現状なのだ。 そこ

情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）が運用する脆弱性情報サイトJVNは2017年11月16日、シャープのロボット掃除機「COCOROBO」（ココロボ）に脆弱性が見つかったことを明らかにした。第三者にCOCOROBOのカメラ機能を乗っ取られて、部屋の中をのぞき見される恐れなどがある。対策はCOCOROBOのソフトウエア（ファームウエア）を更新すること。 スマホで遠隔操作が可能 COCOROBOは、自動で部屋の中を掃除する、いわゆるロボット掃除機。今回、脆弱性が見つかったのは、COCOROBOの「RX-V200」「RX-V100」「RX-CLV1-P」「RX-CLV2-B」「RX-CLV3-N」。いずれもメーカーの販売は終了している。 COCOROBOは、スマートフォンで遠隔操作できる機能を備えている。無線LAN機能が搭載されており、部屋の無

日本のセキュリティレベルの現状に警鐘を鳴らす連載の2回目である。新たなサイバー攻撃に対抗するには「次世代のセキュリティオペレーション」を支える5軸である「収集」「防御」「監視」「回復」「演習」を包括的に実施する必要がある（図）。第1回では収集と防御を説明した。今回は監視、回復、演習について解説する。 「監視」フェーズ、時間とコストの予測に基づいた決定を 監視とは一般的に、企業や団体を恒常的に襲うサイバー攻撃をリアルタイムで監視することを指す。「何が今起こっていて」「何が今やばいのか」を知ることが目的だ。作業主体は「自社」「アウトソース」の二つがある。以下、「何を」「なぜ」「どのように」監視すべきかを解説しつつ、作業主体を検討するベースとなる「監視の本質」にも触れていく。 「何を」監視すべきか 一義的に監視すべきは「ソフトやハードが出力するログ」である。ただログは膨大であり、漫然と見ていても

ボットネットの“司令塔”となるC＆Cサーバーを次々と変える「ファストフラックス」。攻撃者が編み出した新手口だ。これに対抗すべく防御側では、「一方的な仮処分」という法制度を利用して、C＆Cサーバーのドメイン名を差し押さえる。これにより、ボットネットとC＆Cサーバーが通信できないようにして、ボットネットをテイクダウン（使用不能）に追い込む。 ボットネットを悪用する攻撃者の常套手段の一つが「ファストフラックス」である（関連記事：［ボットネットと戦う2］“司令塔”を守る、脅威の「ファストフラックス」）。ファストフラックスを使うことで、ボットネットの司令塔となるC＆Cサーバーを次々と変更し、テイクダウンを免れようとする。 ファストフラックスのポイントは、C＆Cサーバーへのアクセスにドメイン名を利用し、そのドメイン名に対応するIPアドレスを次々と変更することだ。 ファストフラックスでは、C＆Cサーバー

サイバー犯罪のインフラとなっている「ボットネット」。ネット関連企業やセキュリティベンダー、各国の司法当局などは協力し、大規模なボットネットを次々と「テイクダウン（使用不能にすること）」している。だが、攻撃者も負けてはいない。テイクダウンを避ける仕組み「ファストフラックス」を編み出して対抗している。 不正送金やDDoS攻撃（分散サービス妨害攻撃）、スパム送信といったサイバー攻撃のインフラとなっている「ボットネット」。攻撃者はボットネットを“活用”し、企業や個人ユーザーに大きな被害を与えている。そこでネット関連企業やセキュリティベンダー、各国の司法当局などは協力し、大規模なボットネットを次々と使用不能にしている。 ボットネットを使用不能にすることは「テイクダウン（Takedown）」と呼ばれている。テイクダウンには様々な方法がある。その一つは、各PCに感染しているウイルスを全て駆除することだ。

情報処理推進機構（IPA）は2014年8月1日、法人を狙った不正送金事件が急増しているとして注意を呼びかけた。急増の理由は、ウイルスを使って電子証明書を盗む新手口が出現しているため。電子証明書を盗まれると、正規のユーザーになりすまされて、不正に送金される恐れがある。対策は、電子証明書のエクスポート設定を「不可」にすることなど。 全国銀行協会が実施しているアンケート調査の結果によると、法人を狙った不正送金被害は2014年に急増しているという（図1）。

シマンテック日本法人は2014年4月10日、国内銀行で同年3月末に、法人向けネットバンキングで不正送金事件が発生していたことを明らかにした。同社は国内銀行に対し、当面のセキュリティ対策を示して注意を喚起している。 シマンテックの調査によれば、法人向けネットバンキング利用者のPCにマルウエアが感染。PCにインストールされた電子証明書とその秘密鍵、IDとパスワードが盗み取られ、不正送金に使われたとみられる（図）。 国内銀行の多くは、法人向けネットバンキングの標準的な認証手段として、パスワードと電子証明書による2要素認証を採用している。電子証明書と秘密鍵はWindows OSのユーザープロファイルに格納され、Internet Explorerを通じて利用できる。シマンテックは旧ベリサインの事業として、法人ネットバンキング向け電子証明書の発行では国内で9割以上のシェアを持つという。 この電子証明書

三井住友銀行のインターネットバンキングサービス「SMBCダイレクト」について、同行が2014年5月12日に公表した不正送金被害のうち1件は、ワンタイムパスワード（一回限り使えるパスワード）を生成するハードウエアトークンの利用者が対象だったことが分かった（関連記事）。いわゆる「MITB（マン・イン・ザ・ブラウザー）攻撃」だったために、ワンタイムパスワードを使っていたにもかかわらず被害に遭った可能性が高い。国内での不正送金はフィッシング詐欺や「Webインジェクト攻撃」といった手口が主流で、MITB攻撃が検知されたのは珍しい。 今回の不正送金は2014年4月中旬に発生した。利用者が同行のオンラインバンキングにアクセスし、画面の指示に従ってワンタイムパスワードを入力した後、覚えのない口座への振込が行われていたという。このほか、乱数表カードの一部を入力しただけで不正取引が行われた事例も確認された（図

米オラクルは2014年4月15日（米国時間）、Javaの実行・開発環境である「Java 7（Java SE 7）」や「Java 8（Java SE 8）」などに複数の脆弱性が見つかったことを明らかにした。細工が施されたWebサイトにアクセスするだけで、PCを乗っ取られるなどの被害に遭う恐れがある。対策は、最新版にアップデートすること。 プログラミング言語JavaのプラットフォームであるJava SE（Java Platform Standard Edition）は、Javaで作成されたアプレットやアプリケーションの実行環境や開発環境のパッケージ。実行環境のJRE（Java SE Runtime Environment）と、開発環境のJDK（Java SE Development Kit）が含まれる。Java SEには、危険な脆弱性がたびたび見つかり、Web経由の攻撃などに悪用されている。

複雑な事務処理を自動化し、ときに人間の代わりに意思決定を下してくれる情報システムのアルゴリズム。検索エンジンから電車の運行管理まで、今やアルゴリズムのお世話にならない日はない。 だが、そのアルゴリズムがときに思わぬ暴走を起こし、個人や社会に不利益を与えることがある。そんな二つの事例を紹介したい。 フリーソフトを1年半にわたりウイルス判定 一つは、あるPC向けフリーソフトが、トレンドマイクロのウイルス判定アルゴリズムから1年半にわたって危険なウイルスソフトとの「誤判定」を受けたものだ。 事の発端は2012年4月。「いじくるつくーる」「すっきり!! デフラグ」などのフリーソフトを個人で開発・公開していたINASOFT 矢吹拓也氏のメールアドレス宛てに、「ソフトをダウンロードしようとしたら、ダウンロード用URLがトレンドマイクロのセキュリティソフトにブロックされた」とのメールが立て続けに届いた。

多重下請けのピラミッド構造を前提とした現行のSI（システムインテグレーション）モデルは、もう限界点に達している。2015年問題は、急激な技術者不足とその後の人余りにより、この構造に属する業界の各社に大きな苦難を強いる。 だが日本流のSIビジネスを構築する過程で日本のIT業界では、大手IT企業ですら営業利益率が6.7％と低く抑えられてしまった（図1）。最大手のNTTデータは2013年度上期に、SIの不採算案件のため250億円の損失を被った。一括受託を前提にIT企業がプロジェクト失敗のリスクを負うSIビジネスでは、そのリスクが大きな変動要因として効いてくる。各社はリスク管理と収益確保に向けた対策を打ち出しているが、元請けの企業ですら利益を出すのに苦心している。まして競合がひしめく2次請け、3次請けが利益を出すのはさらに困難になる。

今回から、Java SE 8について紹介していきます。1回目の今回は、Java SE 8の成り立ちや、主な新機能について紹介します。 Java SE 8の成り立ち Java SE 8の成り立ちについて紹介するには、まずJava SE 7について言及しなければなりません。というのも、Java SE 8の主要な機能はもともとJava SE 7で導入される予定だったからです。 しかし、Java SE 7のリリースは遅れに遅れていたのです。特にProject LambdaとProject Jigsawはなかなか議論が収束せず、いつ合意に達するか全く読めない状況でした。 そこで、2010年9月にJava SEのチーフアーキテクトのMark Reinhold氏がblogで2つの案を提示したのです。 Plan A: すべてを含んだJava SE 7を2012年中旬にリリース Plan B: Projec

色とりどりのケーブルの束に、多くのユーザーの通信を束ねる装置、さらには都心の地下に張り巡らされたトンネル――。インターネットに接続するには、こうした通信事業者の設備が重要な働きをしている。日頃ほとんど目にすることのない通信事業者のインフラはどんな姿をしているのだろうか。メディア向けに公開された通信設備を写真で紹介していこう。

VMware問題でIIJやNTTコムなどが大幅値上げ、クラウド料金が2～3倍になる場合も 2024.06.14

今回は、パターンを1つだけ紹介します。「Mediatorパターン」です。GoF本では、それぞれのパターンの「目的]「背景」「効果」などが明示されています。私も、ちょっと真似をしてみましょう。複数のオブジェクトを組み合わせてプログラムの機能を実現するという目的において、オブジェクト間の関連がゴチャゴチャになってしまうという背景（問題）があり、Mediatorパターンの採用によって関連をキレイに整理できるという効果があります。説明だけでは、何のことだかわからないと思いますので、具体例をお見せしましょう。 図1[拡大表示](1)をご覧ください。これは、UML（Unified Modeling Language、ユーエムエル）と呼ばれる表記法で記述されたプログラムの設計図です。UMLでは、四角形の中に下線付きで名前を書いてオブジェクトを表し、関連のあるオブジェクトを矢印で結んで示します。ここで関連