転職から半年経った亀田さんに聞いたCloudflareのすごいところ (1/4)
熱狂の卒業イベントから半年、みんな大好き元AWSの亀田治伸さんがCloudflareのエバンジェリストとして戻ってきた。久しぶりのインタビューは、転職した経緯やCloudflareのサービスや設計思想、ゼロトラストの定義、コミュニティの話まで多岐に及んだ。(インタビュアー ASCII編集部 大谷イビサ 以下、敬称略) ラストワンマイルの課題って意外と解消されていない 大谷:まずは改めてAWSからCloudflareに転職した経緯を教えてください。 亀田:AWSに7年半いて、後半5年はエバンジェリストをやらせてもらいました。クラウドは世の中を大きく変え、これから必須の存在になると私は確信しています。一方で、クラウドに面白さを感じていた人たちがそれなりにシニアになり、イビサさんが先日書いていたようにある程度のイノベーションは出尽くしてきたのも事実です。 こういう時代になり、AWSでも、Goog
LAVIE VEGA 実機レビュー = 2020を先取りしたプレミアムな新モバイルノートだった!!
NECは2020年春モデルのメダマである15型のクリエイター向けノートPC 「LAVIE VEGA」を、2月20日に発売した。これまでの15型ノートとはデザインも作りも異なる新モデルである。製品版を試用できたのでレポートする。 第9世代の6コアCPUに 4Kの有機ELを搭載 VEGAの最大の特徴は、クリエイター向けということで、現行最速クラスの第9世代コアHつまりCoffee Lake Rプロセッサー「i7-9750H」を搭載していることだ。TDPが45Wの6コア12スレッド、ターボブーストで4.5GHzで駆動する。 VEGAの店頭モデルは3つで、メモリーとストレージは最上位のLV950/RALが16GBと1TBで、LV750/RAでは8GBと512GBだが、ともにSSDにはインテルOptaneメモリーを搭載して高速化を図っている。LV650/RAというモデルは、コアi7ではなく、AMD
PayPalアカウントは簡単に乗っ取られる? 友人で実験してみた
PayPalアカウントは、十分に注意をしないと簡単に乗っ取られ、金銭的な被害につながる場合がある。こうした攻撃から、シンプルで効果的な防御方法について解説する。 この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。 筆者は1990年代に、銀行強盗がテーマの映画に魅了されて以来、銀行に侵入するということに一種の憧れのような感情を抱いていたのだが、ついにその方法を発見してしまったかもしれない。一般的な銀行アプリにおけるセキュリティに興味をもっていたが、備わっている強固な防御策をすり抜ける方法については思いついていなかった。これらのアプリは、顧客の預金を守るために堅牢なセキュリティ対策が練られているからだ。しかし、銀行がそれほど堅牢であるならば、預金へアクセスできる最も有名なサードパーティの1つであるPayPalを
なぜLINE WORKSでは管理者がユーザーのメッセージを止められないのか?
ワークスモバイルジャパンのプロダクト担当者にLINE WORKS(ラインワークス)の設計思想やこだわりについて聞くインタビュー。第1回はおもにLINEとの違いについて聞いたが、今回は設計や開発で苦労しているところがテーマ。必ずしもシステム管理者がいないユーザー企業を前提に、どのような思想でサービスを作り上げているのかを聞いてみた。(インタビュアー ASCII編集部 大谷イビサ 以下、敬称略) 管理者になりたくなかった人でも抵抗感のないように オオタニ:LINE WORKSの設計や開発で特に苦労しているところを教えてください。 一柳:サービス特性上、ユーザー企業にシステム管理者がいるとは限らないので、LINE WORKSの管理者がなにをするのか想像もつかないという新規ユーザーが多いところですかね。最初は「メンバーが増えたら管理してください」みたいなアナウンスをしていたんですけど、そもそもグル
ドコモ口座経由の不正引き出しの背景に「進化したリスト型攻撃」 (1/2)
NTTドコモの電子決済サービス「ドコモ口座」を通じて、同サービスと連携する複数の銀行から不正引き出しが行われた問題は、メディアで大々的に報じられ、多くの人に不安を抱かせた。そして、個々のサービス設計や不正アクセス監視体制の不備が指摘され、二要素認証の導入をはじめとする対策の必要性が叫ばれている。 ただ、より根本的な対策を考えるならばもう一歩引いて、組織化が進むサイバー攻撃全体の動向を俯瞰する必要があるのではないか――。アカマイ・テクノロジーズは2020年10月9日に開催した記者向け説明会「金融、決済サービスを狙う不正事件の考察と最新のセキュリティ攻撃手法の解説」において、そのような問題提起を行った。 分業化と専門化が進むダークウェブ、「進化したリスト型攻撃」の全貌 一般的な企業において、ビジネスの下流から上流まですべてを一社で完結させられるケースはまれだ。製造プロセスがサプライチェーンに依
家庭用ルーター100製品以上に脆弱性が発見される
大手ベンダーを含む7社が提供している100種類を超える家庭用ルーターに実施された最新の調査結果によると、ほぼすべてのルーターにパッチが適切に適用されておらず、深刻なセキュリティ欠陥の影響を受ける恐れがあり、デバイスとそのユーザーをサイバー攻撃のリスクにさらしていることが明らかになりました。 「Home Router Security Report 2020(ホームルーターセキュリティレポート2020年版)」というタイトルのこの調査レポートは、「すべてのルーターで既知の重大な脆弱性が見つかった」ことを報告しています。この調査は、ドイツのフラウンホーファー研究機構の通信・情報処理・人間工学研究所(FKIE)によって、ASUS、AVM、D-Link、Linksys、Netgear、TP-Link、およびZyxelの127種のルーターモデルを対象に実施されました。 「多くのルーターは、何百もの既知
Web会議で自宅は見せたくない、なら「Snap Camera」で隠しましょう (1/3)
今回は「Snap Camera」というソフトのご紹介です(https://snapcamera.snapchat.com/) リモートワーク、とりわけ在宅勤務における困りごとのひとつが「オンラインミーティング(Web会議)で自室が相手に見られてしまうの、ちょっとヤだなあ」ということですね。少なくとも筆者はそうです。なぜなら部屋が片付いてないから。とても他人様にお見せできるような環境ではないのです。 もちろん筆者のような「部屋が汚い」という事情はなくとも、プライベートな自室の様子をあまり見せたくないな……と思っている方は多いのではないかと思います。だからといって、カメラをオフにして音声だけのやり取りだと、やはり意思疎通がうまくいかなかったりして、なかなか悩ましいところ。 そんなリモートワーカーの悩みを解消してこそのテクノロジーです。たとえばZoomには「バーチャル背景」という機能が備わってお
「自社がサイバー攻撃の対象になりうる」危機感のある中小企業は1割未満
自社がサイバー攻撃の対象になりうるという危機感を持つ中小企業は、1割にも満たない――。一般社団法人 日本損害保険協会(損保協会)は2020年1月28日、調査レポート「中小企業の経営者のサイバーリスク意識調査 2019」を発表した。 企業へのサイバー攻撃が激しさを増す中でも、多くの中小企業経営者は「攻撃によってどんな被害があるのか」を十分にイメージできておらず、経営課題としての「サイバーリスク対応」も優先度が極めて低いなど、セキュリティ対策が遅れている原因を示唆するものとなっている。 「Q:貴社がサイバー攻撃の対象となる可能性は、どの程度あると考えていますか」。中小企業では「高い/やや高い」の合計はわずか6.2%にとどまり、大企業との大きな意識差がある 「サイバーリスク」やサイバー攻撃被害への理解度が低い中小企業 この調査は、中小企業の経営者/役員825人を対象として、2019年11月にイン
1TBの高速USBフラッシュメモリーに続いてよく似た「1TBスティックSSD」を衝動買い (1/2)
1996年に、それまでのシリアルポートやパラレルポートに替わるテクノロジーとして登場したUSB(Universal Serial Bus)。2000年には世界最初のUSBフラッシュメモリーが登場し、20年後の現代でもまだ隆盛を極めている。今ではすべての人に認知された標準インターフェースとして数多くの周辺機器が採用している。今回ご紹介する1TBスティックSSDも、高速、コンパクトな外付けSSDにUSBフラッシュメモリーの使いやすさをプラスした付加価値の高い商品だ。左からWindowsドライバーで標準的にパソコンで読み書きできる世界初のUSBフラッシュメモリー(IBM USBメモリーキー)、東芝製3D TLC搭載 USB 3.1フラッシュメモリ 1TB、ITPROTECH 外付けスティックSSD JUST RED Ultimate 1TB 今年の9月末にたいして使い道も考えず、単に大容量に惹か
USB Type-Cで再スタートを切ったWindowsとUSBの関係 (1/2)
Windowsでは、USBデバイスの大半は接続するだけで動作する。しかし、ここに来るまでには長い道のりがあった。最初のUSB 1.0の仕様書が公開されたのは1996年。その後1997年あたりからUSBを搭載するPCが販売されはじめたが、Windowsが対応したのは、1997年8月の「Windows 95 OSR2 USB Supplement」からだった。 これは、Windows 95のPCメーカー向けのバージョンであり、一般ユーザー向けのパッケージではなかった。これに対応したPCでは標準でUSBに対応したが、実際のデバイスはほとんどなく、USBがまともに利用できるようになるのは、1999年のWindows 98 Second Editionあたりからだ。 USBデバイスは、すべて一定の仕様を持ち、その情報を常に一定の手順で調べることができる。また、デバイスクラスで仕様が決まるため、同一ク
最強のセキュリティ、原子核の自然崩壊で実現
神奈川県川崎市のK-NICで「第30回NEDOピッチ」が実施された。同イベントは、オープンイノベーション・ベンチャー創造協議会(JOIC)と、国立研究開発法人新エネルギー・産業技術総合開発機構(NEDO)との共催による、オープンイノベーションを創出することを目的としたピッチイベントだ。第30回のテーマは「サイバーセキュリティ特集」。 イベントでは、はじめに日本総合研究所のリサーチ・コンサルティング部門 プリンシパル/融合総合戦略グループ長 兼 創発戦略センター Connected Lab.ラボ長の東 博暢氏が登壇。 「サイバーセキュリティは、経産省でも新時代に向けて力を入れていこうとしている分野。私も、経産省の委員としてサイバーセキュリティ関連で新しい産業を創出していこうという動きに協力している。 また、今後はIoTが活性化し、サイバーとフィジカルが一体化してくるという流れもある。これまで
ASCII.jp:ウイルス罪の解釈と運用はどこが「おかしくなっている」のか (1/4)
2019年4月26日夜、日本ハッカー協会主催によるITエンジニア向けセミナー「不正指令電磁的記録罪の傾向と対策」が東京・渋谷で開催された(後援:IPA/情報処理推進機構)。 この日のテーマとなった「不正指令電磁的記録に関する罪」(いわゆる“ウイルス罪”)は、コンピューターウイルスをはじめとする不正なプログラムの作成や提供などを禁じ、罰する目的で作られた法律だ。 しかし最近になって、「Coinhive(コインハイブ)事件」(自らのWebサイトに仮想通貨のマイニングスクリプトを組み込んだことで検挙された事案)、「アラートループ事件」(無限アラート事件、アラートダイアログが繰り返し表示されるWebページへのリンクを掲示板に貼ったことで検挙・補導された事案)、「Wizard Bible事件」(セキュリティ研究のためのWebマガジンが初歩的なリモートコマンド実行コードを掲載したことで管理者らが検挙さ
Googleマップの劣化原因「地図」になにが起こったのか?
えっ、本当にクリエイティブノートPC? と驚くほど軽い、1kgアンダーの「mouse DAIV Z4」を出張に持って行った Core i9-13900HXとGeForce RTX 4080を搭載、編集部員の自作PCの性能より余裕で上! 480Hz液晶でパワフル性能&プレミアム筐体のノートPC「Alienware m18」は、デスクトップを凌駕する ツクモのBTOパソコン「G-GEAR Aim」シリーズを例にインタビュー ゲーミングPC、光るモデルと光らないモデルは何が違う? 仕事用としても違和感のないデザインが特徴の本格ゲーミングノート<Legion Slim 5i Gen 8> 20周年の懐かしさと新しさが共演するラインアップがスゴイ 21kgの超ド級ケースにファンまみれのCPUクーラーも!? SilverStoneブースレポート デジカメ各社やプロ向けビデオカメラのRAWファイルから、
ASCII:Coinhive事件に学ぶ、エンジニアが刑事事件で身を守る方法
2019年4月26日夜、日本ハッカー協会主催によるITエンジニア向けセミナー「不正指令電磁的記録罪の傾向と対策」が東京・渋谷で開催された(後援:IPA/情報処理推進機構)。 この日のテーマとなった「不正指令電磁的記録に関する罪」(いわゆるウイルス作成罪)は、今年3月に横浜地裁で無罪判決が出た「Coinhive(コインハイブ)事件」の刑事裁判で争点となったものだ。同事件に限らず、最近では「アラートループ事件」(アラートダイアログが繰り返し表示されるWebページへのリンクを掲示板に貼った数名が家宅捜索を受けた事案)や「Wizard Bible事件」(セキュリティ研究のためのWebマガジンが初歩的なリモートコマンド実行コードを掲載したところ管理者が略式起訴=罰金刑を受けた事案)など、この罪状による摘発が相次ぎ、同時にセキュリティ研究者やITエンジニアの間ではその“摘発範囲の曖昧さ”を懸念する声も
ASCII.jp:QRコード離れを起こす中国のキャッシュレス決済事情|中国|アジアン・セキュリティ最前線
郭さんのスマホの支払い履歴。「ビリヤードクラブ」というまったく知らないところに999元を支払っていることになっている。1000元未満では、認証をしなくても支払いができることを利用した犯行だった。(陝西衛星テレビの報道番組「新聞午報」のYoutubeチャンネルより) QRコード決済がすでに日常になっている中国の落とし穴 日本でも、QRコードを利用したスマートフォン決済が増えてきている。しかし、評判は今ひとつのように感じられる。それは支払いに手間がかかるということに起因しているようだ。QRコード決済のやり方は2通りある。ひとつは、スマホを取り出し、アプリを起動し、自分のQRコードを表示する。これをレジでスキャンしてもらうと、レジに打たれた金額が送金されるというもの。アプリを起動して、QRコードを表示しなければならないのが煩わしい。 もうひとつは、逆に店舗側が印刷されたQRコードを掲示しておき、
ケーブル直結で設定なしでもWindows機の間で通信可 自動IPアドレス割り当て「APIPA」解説 (1/3)
家庭用のルーターの普及でユーザーは IPアドレスを手動で設定する必要が無くなった 現在は、広く普及している家庭向けのインターネット接続用ルーターにDHCP(Dynamic Host Configuration Protocol)サーバー機能があるため、PCにおいて手動でIPアドレスを割り当てる必要はまずなくなった。 しかしDHCPが普及する前の時代には、IPアドレスをコンピューターに手動で割り当てることは珍しいことではなかった。一般家庭でDHCPが利用可能になるのは、インターネットの常時接続が可能となったあたりから。それ以前は、ダイヤルアップ接続が主流だったため、インターネット接続ができるコンピューターは1台のみで、家庭内のネットワーク自体をインターネットに接続することが困難だった。もちろん、自力でLinuxやBSD系OSなどをPCに導入していれば困難ではなかったし、DHCPサーバーも動作
FAX番号だけで複合機が乗っ取られる“Faxploit”脆弱性公表 (1/2)
ITU-Tが定めたFAX通信規格「T.30」に存在する脆弱性を利用すれば、ターゲットのFAX番号を知っているだけでバッファオーバーフローを引き起こし、デジタル複合機(MFP)を乗っ取ることができる。さらにランサムウェア「WannaCry」でも使われた脆弱性攻撃ツールなどを組み合わせれば、複合機を踏み台にしてオフィスネットワーク内のPCやサーバーにも侵入を拡大し、機密データを盗み出すことなども可能になる――。 2018年8月12日、米国ラスベガスで開催されたハッカーイベント「DEF CON 26」では、こうした攻撃手法を紹介する講演「What the Fax!?」が行われた(講演タイトルはネットスラング「WTF=What the Fuck」のもじりだ)。講演を行ったCheck Point Software Technologiesのセキュリティリサーチャー、ヤニフ・バルマス氏とエイヤル・イト
検出が困難 Windows狙う「ファイルレス攻撃」が急増
McAfee Labsは、システムに対するサイバー攻撃の方法が、外部マルウェアから信頼されやすいWindowsの実行ファイルへと大きく移行していることを確認しました。最も流通している技術の一つとしてファイルレス攻撃(英文)があげられます。この手の攻撃は信頼できる実行ファイルを通じて感染するため、検出するのが困難です。一般ユーザーも企業ユーザーもこの脅威の被害に遭う可能性があります。企業の環境では、攻撃者はこのベクトルを使用してネットワークを横断して移動します。 ファイルレスの脅威の一つであるCactusTorchは、DotNetToJScriptを利用してメモリーから直接、悪意のある.NETアセンブリを読み込み実行します。これらのアセンブリは.dllや.exeといったアプリケーション展開の最小ユニットです。ほかのファイルレス攻撃技術と同じように、DotNetToJScriptはコンピュータ
詐欺師になりたかった少年が持つホワイトハッカーの「資質」
技術革新の速いWebセキュリティに関連する研究において長期にわたり最先端で活躍。国内、海外でのカンファレンスでの講演や記事執筆も多数。2015年7月より株式会社セキュアスカイ・テクノロジーの常勤技術顧問に就任。同社にて2017年1月よりCTOを務める。2018年3月より取締役CTOに就任。 「僕自身は自分をハッカーだと自称することはあまりないですね。自分から名乗るものではなく、人が既成の概念にとらわれない人を見たときに使う言葉だと思っています」 ましてや職業名として「ホワイトハッカー」という言葉を使うことには違和感があり、SST社内ではごく普通に「セキュリティエンジニア」あるいは単に「エンジニア」と呼んでいるという。 しかし、セキュリティエンジニアといっても毎日同じルーチン作業をこなしているエンジニアと、積極的に脆弱性を発見して対策を講じていくエンジニアでは、だいぶ違いがあるように思う。
Windows 10 RS4のSSHを理解する【原理編】
Windows 10 RS3では、ベータ版としてWindowsのオプション機能で用意されていたOpenSSHが、RS4では正式版となった。プログラム自体は、以前本連載でも紹介した「OpenSSH」なのだが、クライアントについては最初からインストールされている状態。SSHサーバは、必要に応じてユーザーがインストールできる。 インストール自体は、以前に紹介したものに比べて、ずっと簡単だが、使いこなすためにはちょっとしたコマンドを実行する必要がある。もっとも以前はPowershellを利用していたが、RS4ではOpenSSHの標準コマンドだけでほぼなんとかなる。そこで今回の記事では、そもそもSSHがどのように動作して、それぞれのコマンドはどんな働きをするのかを解説し、次回具体的な設定を解説する。 そもそもSSHって何? SSHは、もともとUNIX系OSで使われていたrshやrloginの後継にあ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
