「非常事態の危機管理」がない日本の怖さ| nikkei BPnet 〈日経BPネット〉 11月1日、福島県南相馬市を取材で訪れ、桜井勝延市長と面談した。市長から3月11日の東日本大地震発生後の話を聞いているうちに、私は「日本は非常事態の危機管理がない大変怖い国だ」ということを思い知らされた。
サーバーへの直接攻撃の8割は古典的 – 過激化するサイバー犯罪:ITpro 日本マイクロソフトの高橋正和 チーフセキュリティアドバイザーは「サーバーの守り方は確立されているが、実際にそれを順守できているところは少ない」とする。日本IBMの大西克美 ICP-エグゼクティブ・アーキテクト セキュリティ・エヴァンジェリストは「自社の調査ではインターネット上のサーバーのうち55%は脆弱性が残った状態になっている」という。
「全く脆弱性がない」ことを証明するのは難しいが、「脆弱性が一つでもある」ことを発見するのは簡単だという。攻撃が可能かどうかを判定するコードはインターネット上にある。それを利用すれば、あまり技術力のない攻撃者でも簡単に脆弱性の有無を見つけられる。「会員制サイトで登録番号を順番に割り当てている場合は、番号を一つ変えてみたりして攻撃の可能性を簡単に探ることができる」(日本IBMの大西セキュリティ・エヴァンジェリスト)。
個人情報を置いたデータベースと接続しておらず、アクセス数もほとんどないサイトであっても放置しておくのは危険だ。終了したキャンペーンサイトなどが該当する。脆弱性を突いた攻撃で乗っ取られ、攻撃者がサーバーを自由に使える状態にされてしまうことがあるためだ。
EVB とは – Networkキーワード:ITpro EVB(Edge Virtual Bridging)は、サーバーを仮想化した際のネットワークに関する規格である。IEEE 802.1Qbgとして策定が進みつつある。サーバー仮想化環境で指摘されているネットワークの課題に対処するために考案された。
EVBは仮想スイッチが担っていた処理を物理NICや物理スイッチにオフロードすることで、以上のような課題を解決する。物理サーバーの物理NICにオフロードする方式をVEB(Virtual Ethernet Bridge)、物理スイッチにオフロードする方式をVEPA(Virtual Ethernet Port Aggregator)と呼ぶ。どちらも物理的なハードウエアがスイッチング処理を担うため、物理サーバーのCPUに負荷がかからない。
Jawbone UP: 運動・睡眠・食生活改善を支援するセンサー内蔵リストバンド — Engadget JapaneseUP は米国で11月6日から、量販店 Best Buy や Apple Store で販売予定。価格は99.99ドル。小・中・大の3サイズがあり、それぞれ7色が用意されます。モバイルアプリは (当初) iOS版のみ、こちらは無料。なお本体には無線接続や時計表示といった機能はありません。運動不足や暴飲暴食、不摂生を改善する連帯責任チャレンジも面白そうですが、睡眠ステージを認識するすっきり目覚ましとして有効ならばなかなかお買い得な価格です。
CAPTCHAへの警鐘–スタンフォード大学が開発した解読ツール – CNET JapanDecaptchaは、Visaの決済サイトAuthorize.netが使用するCAPTCHAの66%、Blizzard Entertainment(「World of Warcraft」や「Diablo」などのゲームの開発元)のCAPTCHAの70%、 WikipediaのCAPTCHAの25%を解読できた。Digg.comで約5分の1、CNN.comでもそれに近い割合のCAPTCHAが解読可能だった。スタンフォード大学研究チームによると、解読成功率が1%を超えるCAPTCHAは破綻しているので、使うのをやめた方がいいという。
CAPTCHAのセキュリティは重要である。なぜなら、スパム送信の目的でウェブメールサービス上に自動でアカウントを作成しようとするボットネット運営者など、悪意のあるボットに対する防御策として使われるからだ。また、ボットが生成するコメントやオンライン投票での自動大量投票を抑制するためにも使用されている。
テスト対象となったCAPTCHAの中で研究チームの攻撃に耐えたのは、GoogleのCAPTCHAだけだった。研究チームは、傾いた赤色の文字で構成されるGoogleの「Gmail」のCAPTCHAと、ぼやけた文字が使われている「ReCaptcha」を解読しようと試みたが、成功率はなんと0%だった。ReCaptchaはカーネギーメロン大学が開発したもので、2009年にGoogleが買収している。
Bursztein氏は、CAPTCHAについて、十分なテストを行うことなく解決できる単純なセキュリティ問題としてではなく、もっと体系的に、コンピュータサイエンスの難問として考えるようウェブ開発者に促したいと望んでいる。同氏はそれを1980年代の暗号化研究の状況になぞらえる。当時の開発者たちは、それぞれが独自のアルゴリズムを発明しようとしていた。研究者たちはやがて、ピアレビューと、暗号を解読しようとしている人間によるセキュリティ分析が必要であることを悟った。
「自分のやっていることを完全に把握できるまで、独自のCAPTCHAを公開しないことが重要だ」(Bursztein氏)
デジタルガレージが“自分史”サービス展開へ–米Memolaneが資本業務提携 – CNET Japan Memolaneは、さまざまなソーシャルメディアに投稿したコンテンツを蓄積し、一元的に表示することで「自分史」を構築できるサービス。3月にベータ版を公開して以降、英語版のみの提供にもかかわらず、米国の20%に次いで17%が日本のユーザーだという。
OfficeファイルをPDFより軽いファイルに–ソースネクスト「ダントツ 軽量化」 – CNET Japan ソースネクストは11月2日、Microsoft Officeや画像ファイルをPDFよりもさらに軽量化できる「ダントツ 軽量化」を12月2日より発売すると発表した。価格は1980円。
ダントツ 軽量化は、Microsoft Officeや画像などのファイルを、簡単にPDFよりも軽いjet形式のファイルへ変換できるソフトだ。同社の測定結果によると、4.88MバイトのPowerPointファイル(.pptx)を0.68Mバイト(約14%)まで軽量化できたという。Microsoft Office(.doc/.docx/.xls/.xlsx/.ppt/.pptx)、csv、画像(.jpg/.bmp/.tif)などのファイル形式に対応する。
標準価格:
1,980円(税込)
ダントツ 軽量化|ファイル軽量化ソフト|ソースネクスト総合サイト解凍やビューアのインストールは不要
変換したファイルはビューアーと一体になっているので、インストールなどの手間は不要です。送付先のパソコンにビューアがインストールされているかどうかを気にすることなく、ご利用いただけます。
asahi.com(朝日新聞社):全米で猛毒リシン散布計画 容疑者4人は65歳以上 – 国際米国では極右グループの活動が活発化しており、捜査当局が監視を強めている。1995年に約170人の犠牲者を出したオクラホマシティー連邦ビル爆破事件も、民兵組織に所属する男たちによる犯行だった。海外の過激派による脅威に注目が集まる中、FBIは「今回の事件は国内の動きに対しても警戒が必要であることを示している」とコメントしている。(ニューヨーク=田中光)
SSL認証局問題が再び発覚、MicrosoftとMozillaが対応表明 – ITmedia エンタープライズ今度はマレーシアのSSL認証局が発行した証明書に問題が発覚した。