[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明
セブン&アイ・ホールディングスが決済サービス「7pay(セブンペイ)」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」(広報)としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン&アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI
![[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明](https://cdn-ak-scissors.b.st-hatena.com/image/square/50af62bf10b2327e63a67030d0f38884caebfa3d/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fatcl%2Fnxt%2Fnews%2F18%2F05498%2Ftopm.jpg%3F20220512)
[続報]spモード障害、なぜ処理能力オーバーで「メールアドレスの置き換え」が起きたのか
2011年12月20日に発生したNTTドコモのspモード障害(関連記事)。一部のサーバーが処理能力不足に陥ったことが、なぜ「自分のメールアドレスが他人のものに置き換わる」という通信の秘密にかかわる事故に発展したのか。大きな理由の1つは、メールアドレスが端末固有のIDでなく、端末に振り出されたIPアドレスとひも付いていた点にある。 Android OS端末がいったん3G網に接続したら、3G網から切断しない限り、端末のIPアドレスは変わらない。端末を再起動したり、あるいは3G網からWiFi網に切り替えたりしない限り、IPアドレスが再度割り振られることはない。家庭の固定網に接続したパソコンに近い仕様といえる。 この仕組みによって、Android OSにおけるIPアドレスは、一時的には端末を識別するIDとして使える。NTTドコモのspモードシステムの場合、3G網に接続して電話番号とIPアドレスをひ
![[続報]spモード障害、なぜ処理能力オーバーで「メールアドレスの置き換え」が起きたのか](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
「人手不足だが、無理に採用しない」
SNS(ソーシャル・ネットワーキング・サービス)・携帯電話向けゲームサイト「GREE」を運営するグリーが元気だ。2009年6月期の売上高は前期比約4.4倍の128億円 、営業利益は前期比約7倍の73億円を見込む。「リーマンショック」直後の2008年12月に東証マザーズに株式を上場したが、株価は堅調に推移。同業のミクシィ(mixi)の2倍近い時価総額になっている(2009年6月中旬時点)。 会員数は2009年4月に1000万人を突破したばかりだ。ミクシィの約1700万人に比べて小規模ながら、利益率は高い。一般的にネットビジネスでは広告収入に依存することが多いが、グリーの広告収入は全体の4分の1ほどに過ぎず、4分の3をゲームのアイテム購入などによる有料課金から得ているのが特徴だ。 CIO(最高情報責任者)としてグリーのシステムを支える取締役執行役員CTOプラットフォーム開発部長の藤本真樹氏は「
ムダと一緒に捨てたもの
怖い話を聞いた。某大メーカーの幹部が雑誌をパラパラとめくっていたら、大口取引先であるメーカーの広告が載っていた。さっそくその幹部はそのメーカーを訪ね、「いやあ結構なことですな、このご時勢に広告をお出しになる余裕があって」と皮肉ったらしい。そう言われた中堅メーカーでは即日、広告出稿を停止したという。 業績不振で広告宣伝費を大幅に削減している大手メーカーの心証を悪くしたくないという配慮であろう。「余裕があるとみられたら、必ずや厳しく値下げを求められる」という現実的な理由もある。とにもかくにも、大切な顧客に「余裕がある」と見られてはならないのである。 かく言う私だって、上の人から「みんな忙しそうなのに、君は余裕だねぇ」などと言われたら、その瞬間からものすごく忙しそうなフリをして「いやぁ、ヘラヘラしているように見えるかもしれませんが実はすごく大変なんでして」とか、思いつく限りの悲壮ネタを披露するこ
「一体,我々のどこが悪い」,JASRACが公取委と全面対決へ
他の著作権管理事業者との競争を阻害しているとして,社団法人日本音楽著作権協会(JASRAC)に独占禁止法違反で排除措置命令を行った公正取引委員会。「公取委の事実誤認」として不服を申し立てるJASRAC。意見が食い違う両者と,その背後にはどのような問題があるのか。経緯を整理するとともに,まずはJASRAC側の言い分を聞いた。 2008年4月。公正取引委員会は日本音楽著作権協会(JASRAC)に対し,他の著作権管理事業者との競争を阻害しているとして,独占禁止法(私的独占の禁止)違反の疑いで立ち入り調査を行った。近年,二次創作の人気も成長の一要因であった動画共有サイトに対し「著作権侵害」として厳格な運用を求めるなど活躍が目立ったJASRAC。インターネット上では公取委の動きに好感を示す意見が多い半面,権利者や著作権利用者などの関係者の間では戸惑いの声も聞こえた。 そして2009年2月27日。正式
【MySQLウォッチ】第8回 MySQLチューニングのテクニック:ITpro
SlowLogの設定 環境設定ファイル(Windowsではmy.ini,Linuxではmy.cnf)に次のような設定を加えるとSlowLogが有効になる。 log-slow-queries SlowLogの有効化(ログファイル名を指定可能) long-query-time=2 SlowLogに記録する処理時間の上限 log-long-format インデックスを使用しないSQL文の記録 long-query-timeパラメータは,SlowLogに記録するしきい値を秒単位で設定する。この場合には,2秒超える処理時間を費やしたSQL文を記録する。また,log-long-formatを指定すると,インデックスを使用しないSQL文もSlowLogに記録する。 SlowLogの確認 SlowLogが動作しているかどうかは,次のコマンドで確認できる。log_slow_queriesがONであれば有効と
無いから作った人たち
データベース技術の世界に新顔が次々と登場している。米Danga Interactiveの「memcached」、ミクシィの「Tokyo Cabinet」と「Tokyo Tyrant」、楽天の「ROMA」、グリーの「Flare」などだ。いずれも半導体メモリーを使って大規模データベースを高速処理する技術である。面白いのは、4社ともIT製品を開発するメーカーではないことだ。 4社は、Webを使ったサービス事業を手掛ける企業であり、本来であればメーカーが開発した製品や技術を使う立場である。ところが、こうした「ユーザー企業」が自ら基盤技術を開発し、それを利用している。 memcachedやTokyo Cabinet/Tyrant、ROMA、Flareの中では、memcachedが一番古い。Danga Interactiveが自社のブログ・サービス「LiveJournal」を改善するために2003年に
学生とIT業界トップの公開対談で胸を衝かれたこと---IT産業を呪縛する“変われない日本”:ITpro
IPAのイベントで2008年5月28日に行われた学生とIT業界トップの公開対談を聞いていて,一瞬胸を衝かれた。IPA理事長で元NEC 代表取締役社長の西垣浩司氏のこの言葉を聞いたときのことだ。 コンピュータを作ることが本業ではなくなったメーカー 「数として欲しいのは,金融システムなど企業の大型システムに従事する人間。こういった領域では,個人の能力よりは業務ノウハウが重要。プログラマとして優秀であっても,業務を理解しないと,よいシステムができない。技術だけを評価して処遇することは企業としては難しい。天才プログラマのように技術を極めるのであればそれを生かす道に行くべきであって,企業に入って大型システムを開発するのはもったいないか,向いてない」(西垣氏) 必要とされているのは技術ではなく,プロジェクト・マネジメント能力や調整能力。求められているのはメーカーの人材像ではなく,ゼネコンやエンジニアリ
島根大学のすごい講義とオープンソースの果てしない広がり:ITpro
島根大学で2007年度から「オープンソースと地域振興」をテーマにした講義が行われている。オープンソースをテーマにした講義というだけでも珍しいが,この講義のものすごいところは,第一線で施策や開発,ビジネス,教育を現在進行形で行っている当事者が週替わりで教壇に立つことだ。Rubyの作者まつもとゆきひろ氏,長崎県のCIO 島村秀世氏,Ruby City Matsueプロジェクトの仕掛け人である松江市産業経済部参事 田中哲也氏,オープンソースを利用したビジネスを推進している伊藤忠テクノソリューションズ・執行役員 鈴木誠治氏,Java VM上のRuby実行環境JRubyの開発者であるSun MicrosystemsのTim Bray氏とCharles Nutter氏,上海教育ソフト発展会社社長の張永忠氏と上海遠距離教育グループ 電達情報技術有 副社長 郭永進氏など日本に留まらない(講義Blog)。
だから技術者は報われない
お会いするのは何年かぶりだから、さすがにちょっと老けたかなと思った。でも、せっかちに歩く姿も、甲高い声で熱く語る姿も、昔とちっともかわらない。「1993年からだから、ずいぶん長いですよね」。そう言われて指を折ってみれば15年。その間に、何度も彼に会い、語り、彼と彼の成果について実に多くの記事を書いてきた。 彼とは、中村修二氏のことである。最初に出会ったとき彼は、地方の中小企業に勤務する一技術者だった。ところが、1年も経たないうちに、カリスマ研究者と呼ばれるようになり、やがて「日本としては初めての企業人ノーベル賞候補」と目されるようになる。その彼から「会社を辞める」という連絡をもらったのは、1999年末のこと。地方企業の技術者から米有名大学の教授へと転身し、一躍全国区のヒーローになった。 その彼が古巣の会社からトレードシークレットで訴えられ、その反訴というかたちで、いわゆる「中村裁判」が始ま
第4回 Catalyst(前編)---Perl向けWebアプリ・フレームワーク
この記事は,日経ソフトウエア2006年9月号,連載「簡単実装で学ぶWeb技術2006」の第3回「Catalyst――Perl向けWebアプリ・フレームワーク」の再録です。記事は執筆時の情報に基づいており,現在では異なる場合があります。 こんにちは,結城浩です。今回はPerlのWebアプリケーション・フレームワーク「Catalyst」を解説し,簡単なメモ帳プログラムを作ります。 Catalyst(カタリスト)は,Perlで作られたWebアプリケーション・フレームワークです。Catalystを使うと,Webアプリを簡単に作成・テスト・配布することができます。catalystという単語のそもそもの意味は,「触媒」あるいは「促進させるもの」です。Perlのモジュール同士を触媒のようにうまく結びつけて,Webアプリ作成を促進させるという意味の名前なのでしょう。 Catalystのオフィシャルページは
遊べない奴は使えない
1960 年生まれ,独身フリー・プログラマの生態とは? 日経ソフトウエアの人気連載「フリー・プログラマの華麗な生活」からより抜きの記事をお送りします。2001年上旬の連載開始当初から,2007年に至るまでの生活を振り返って,週2回のペースで公開していく予定です。プログラミングに興味がある人もない人も,フリー・プログラマを目指している人もそうでない人も,“華麗”とはほど遠い,フリー・プログラマの生活をちょっと覗いてみませんか。 今回は私の「遊び」について紹介しよう。ここで,華麗なナイト・ ライフや行動的なアウトドア・ライフの話になるのかな,と思った人 はまさかいないと思うが,その通りである。ここで言う遊びは,コン ピュータにひたすら向かうコンピュータ・ライフの一環である。 と言っても,ゲームでもチャットでも掲示板でもない。目新しいラ イブラリのソースコードを入手して読んだり,サンプル・プログ
島根県のホームページ管理システムがOSSとして無償公開,地元企業がRubyで開発:ITpro
島根県は2008年2月14日,同県の公式サイトで採用しているCMS(コンテンツ管理システム)をオープンソース・ソフトウエア(OSS)として無償公開した。自治体が開発したCMSをOSSとして公開するのは国内初と見られる。島根県に在住する技術者まつもとゆきひろ氏が開発したRubyで構築されており,同氏が在籍するネットワーク応用通信研究所が島根県の委託を受けて開発した。視覚障害者が利用しやすくするための機能を備えていることが特徴。 基盤ソフトウエアもオープン ソフトウエアの名称は「島根県CMS」。2006年から県の公式ホームページで稼動している実績がある(関連記事)。特徴は,パソコンに詳しくない職員でもコンテンツの投稿,編集が容易になるような管理画面を備えていることと,視覚障害者向けにアクセシビリティを向上させる機能を備えていること。 アクセシビリティ向上のための具体的な機能として,Webブラウ
第1回 Ajax---動的なWebアプリケーションを作るための技術
この記事は,日経ソフトウエア2006年7月号,連載「簡単実装で学ぶWeb技術2006」の第1回「Ajax――動的なWebアプリケーションを作るための技術」の再録です。記事は執筆時の情報に基づいており,現在では異なる場合があります。 こんにちは,結城浩です。 この連載では,Web技術を具体的でシンプルなサンプル・プログラムを通して紹介します。進歩と変化の激しいWeb技術は,手際よく本質をつかんでいきたいものですね。小さいけれどもわかりやすいサンプルを実際に動かして「なるほど,こういうものだったのか」と思っていただければありがたいです。 題材は,新しいものから基本的なものまで幅広く取り扱っていく予定です。第1回のテーマは「Ajax」です。サンプル・プログラムは三つあります。 動的で応答性のよいWebアプリを作る技術 Ajax(エイジャックス)は,一言でいえば「JavaScriptを使って動的な
ブログ同士で“SNS”が作れる,Googleが「Social Graph API」サービス公開:ITpro
Googleは2008年2月1日,Web上のリンクから交友関係を抽出するWebサービスのAPI「Social Graph API」を公開した。ブログやプロフィール・ページのURLなどを入力すると,Googleが収集した,そのサイトを友人としてリンクしている友人のサイトを出力する。このサービスを使うことで,SNS(ソーシャル・ネットワーキング・サービス)サイトを利用しなくともブログ同士でSNSのような機能を実現することが可能になる。 交友情報は,サイトに埋め込んだXHTML Friends Network(XFN),Friend of a Friend(FOAF)と呼ばれるフォーマットから抽出する。XNFでは,例えば <a href="http://bradfitz.com" rel="friend" >Brad</a> のように,リンクに「friend」など,どのような関係かを示す情報を埋
画像ファイルに偽装した,HDDをフォーマットしようとするトロイの木馬がネットで話題に
画像ファイルに偽装した,HDD(ハードディスク)をフォーマットしようとするトロイの木馬が12月30日ごろからネットで話題になっている。jpgなど画像の拡張子を持つファイルだが,JavaScriptが埋め込まれており,Internet Expolrer(IE)でアクセスすると多数のウインドウを開いたり,HDDをフォーマットするプログラムをダウンロードさせようとしたりするという。 ネットに投稿された情報などによると,画像ファイルのURLを開くと多数のウインドウを開いてユーザーの操作を妨げる,いわゆるブラウザクラッシャーとして動作するほか,メール・クライアントを起動したり,ユーザーにHDDディスクをフォーマットする実行ファイルをダウンロードさせたりしようとするという。 編集部ではトロイの木馬の本体を確認していないが,Internet Explorerは,デフォルト設定ではファイルの拡張子ではなく
ソフトを一人で作るということ:ITpro
最近,WebアプリケーションやWindowsソフトの取材で,“このソフトは担当者が一人で作っています”という事例に続けて遭遇する機会があった。フリーソフトや趣味のソフトではなく,会社が商品として提供し,不特定多数のユーザーが使っているアプリケーションを一人で作って,一人でメンテナンスしているという点に興味を覚えた。 先週都内で開催された開発者向けイベント「ITpro Challenge!」でも,ドワンゴの戀塚昭彦氏がニコニコ動画を一人で(しかも3日間で)作ったと語っていた(関連記事)。よく考えてみれば,ITpro Challenge!に登壇したようなハッカーとかアルファギークなどと呼ばれる優れた開発者でなくても,企業内で一人でソフトを作っているケースは思いのほか多いのではないだろうか。 アプリケーションの規模や内容,また開発者のスキルにもよるだろうが,おおむね一人で開発するほうが, ・低コ
プラットフォームとしてのWeb 2.0とRESTの関係
前回,REST(REpresentational State Transfer)アーキテクチャ・スタイルに準拠した,新しい軽量なWebサービスが増えてきたことについて触れました。アーキテクチャ・スタイルとは,情報システムのプロトコルやデータ構造(情報構造)の基本的性質を規定する“制約の束”のようなものです。今回は,このRESTについてもう少し説明しましょう。 RESTを既定する制約を挙げると以下のようになります。 (1)クライアント/サーバー型 (2)ステートレス(Stateless) (3)キャッシュを許可 (4)統一インターフェース(Uniform Interface) (5)階層化システム(Layered System) (6)コード・オン・デマンド(Code-on-Demand) (1)は,WebブラウザとWebサーバーで構成される,クライアント/サーバー型のネットワーク・アーキテ
「ブレイク直前のLinux」を思い起こさせるRubyのマグマ
Ruby on Railsを利用したドリコムのDrecom Career Search。同社はB2CサービスでRailsを標準に採用している [画像のクリックで拡大表示] その熱気に包まれながら,なんだかこれとよく似た雰囲気を感じたことがあるような気がした。なんだったろう。そうだ。Linuxがブレイクする直前のあの熱気だ---6月に行われた日本Rubyカンファレンス(関連記事)で記者が受けた印象だ。 記者が最初にビジネス用途のソフトウエアとしてLinuxを意識したのは米Netscape CommuncationsがLinuxをサポートする方針を明らかにした時だったと記憶している。正直言って最初は「個人の名前を冠したソフトウエアなんて,どうせホビー用だろう」と思っていた。しかし,それではと調べれば調べるほど,Linux上のソフトウエアや,採用事例はまさに山のように出てくる。 売るわけでもない
8月の修正パッチにIEが不正終了する問題,Windows 2000とXP SP1が影響
米Microsoftは現地時間8月11日,同社が8月に公開した修正パッチ(セキュリティ更新プログラム)の一つに,Internet Explorer(IE)が不正終了する問題が見つかったことを明らかにした。Windows 2000 SP4とXP SP1だけが影響を受ける。マイクロソフトのサポートに問い合わせれば,問題を解消するパッチ(hotfix)を入手できる。 【8月21日追記】Microsoftは8月15日,この問題を解消した修正パッチを8月22日(米国時間)までにリリースすることを明らかにした(関連記事:MSがIE用パッチの修正版をリリース予定)。【以上,8月21日追記】 今回の問題は,8月9日に公開した「Internet Explorer 用の累積的なセキュリティ更新プログラム (918899) (MS06-042)」の修正パッチで確認された(関連記事:WindowsやOfficeに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
