「Kubernetes」に深刻な脆弱性
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2018-12-04 10:36 「Kubernetes」に初めて深刻な脆弱性が発見された。Kubernetesは最も人気のあるクラウドコンテナオーケストレーションシステムであるがゆえに、この日がくるのは時間の問題だったと言える。「CVE-2018-1002105」という脆弱性識別番号を割り当てられ、Kubernetesの権限昇格に関する脆弱性とも称されているこの脆弱性は深刻なものであり、共通脆弱性評価システム(CVSS)による深刻度は9.8(最大値は10.0)となっている。 特殊な細工が施されたネットワークリクエストを用いれば、誰でもKubernetes APIサーバ経由でバックエンドサーバとのコネクションを確立できる。そして、いったんコネクションを確立すれば、攻撃者はそ
サイバーセキュリティー人材、共同雇用する構想 : IT&メディア : 読売新聞(YOMIURI ONLINE)
2020年の東京五輪・パラリンピックに向け、限られた人材を有効に活用するのが狙いだ。 NTTの鵜浦(うのうら)博夫社長が、読売新聞のインタビューに答えた。 12年のロンドン五輪では、公式ホームページに約2億回の攻撃が行われるなどサイバー攻撃が多発し、大きな問題となった。今後、日本では交通やエネルギーなどの分野でインターネットを利用した管理がさらに進むと予想され、東京五輪の際、「何か(サイバーテロ)が起きたらさまざまな影響が広がる」(鵜浦社長)ことが懸念されている。 政府によると、国内のサイバーセキュリティー人材は約26・5万人。このうち約16万人は技術が不十分で、さらに約8万人足りないという。 NTTの構想では、人材を1社が囲い込むのではなく「企業横断で高度な専門職として処遇」(鵜浦社長)する。各社で共通の待遇を用意し一定期間ごとに各社のセキュリティー分野で働いてもらう。NTTはすでに他社
iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】※追記あり : iPhoneマイスター
元ギズモードのライターであるMat Honan氏に襲った悪夢。ハッカーが彼のTwitter、Gmail、iCloudのパスワードを解読し、乗っ取ってしまいました。どうなってしまうかは想像通り。 ※結局パスワードがハックされた訳ではありませんでした。記事の最後に追記があります。 ハイジャックしたのはハッカー集団「Clan Vv3」。本人のTwitterアカウントが乗っ取られ、約50万のフォロアーを擁する公式Gizmodeアカウントから人種差別的なツイートが流れてしまいます。乗っ取り時間は15分。 もっと最悪なのが、iCloudアカウントを乗っ取られてしまったこと。本人もツイッターは「序の口」と述べており、iCloudアカウント乗っ取りで起きた悲劇をこう綴っています。(抜粋) 夕方の4時50分、誰かが自分のiCloudアカウントにログインして、パスワードをリセット。 そのパスワードは7文字のア
Amazon EC2 を使った無限IPアドレスの作り方 - ぼくはまちちゃん!
こんにちはこんにちは!! たまにIPアドレスがたくさん必要な時ってありますよね。 ぼくも先日そういう機会があって、ちょっと困りました。 で、「AmazonさんならIPいっぱいもってるのでは?」ってことで、 ちまたで話題のクラウドサービス Amazon Web Servise を試してみました! あ、もちろんタイトルは煽りぎみで実際にはIPアドレスは有限なんですが>< 正直、クラウドとかサーバーとかよくわかってなかったんですが、 とりあえず試してみたら意外と簡単にできたので、忘れないようにメモしておきます! そうそう、Amazonのクラウドって高そうなイメージがあるけど、いまだと制限つきで無料らしいので、お得ですね! もし無料枠こえても、無茶な使い方をしない限りはそれほど高くない。と思います。たぶん。 制限を見る限り、とりあえず一ヶ月がっつり試すだけならタダです! 必要なもの: ・クレジット
カンザス州の図書館コンソーシアム、電子書籍ベンダーの変更にあたりコンテンツの所有権を主張(米国)
Library Journal誌の記事によると、米国カンザス州の図書館コンソーシアムが、電子書籍ベンダーOverDrive社との契約を終了し他のベンダーに移行するにあたり、OverDrive社から提供されていた電子書籍コンテンツはライセンスによる利用ではなく購入であるとしてその所有権を主張し、それらのコンテンツを新たな電子書籍サービス提供者に移行するよう求めているとのことです。カンザス州のコンソーシアムは、OverDrive社と2011年12月までの契約をしていますが、その後の契約について料金引き上げや契約内容の変更等を示されたため、新たなクラウド型サービスを開始する3M社のサービスに変更する予定とのことです。現行の契約では、契約終了時にOverDrive社は、コンソーシアムが同社から購入したデジタル製品及びコンテンツの他のサービス提供者への移行に協力する、と規定されており、「購入」(pu
Amazonクラウドの大規模障害、そのときに内部で何が起きていたのか? 日本語での要約
4月21日から23日のあいだ、Foursquare、Quora、Herokuなど多くのサービスに影響を与えたAmazonクラウドの大規模障害。このとき実際にどのような障害が発生していて、どう対応したのか、詳しい日本語での資料がAmazonから公開されています。 この資料は非常に詳細に記されているため、短時間で内容を把握できるものではありません。そこで本記事では資料からポイントを引用し、要約してみました。 以下からの記事はあくまで独自に内容を要約したものです。正確な情報は原文をご覧ください。 今回発生した障害とは何だったのか? 今回発生した障害を手短にまとめると、米国東 (US East) リージョンにおける一部のアベイラビリティゾーンにおいて、Amazon Elastic Block Store (EBS) で読み込み、書き込み操作が行えなくなる、という現象でした。 そして障害の影響は一部
NTTPCのレンタルサーバー(ホスティング)サービス【WebARENA】 | レンタルサーバー,VPS,クラウド,メールサーバー, 専用サーバー,データセンター
クラウドサーバー WebARENA IndigoPro™ 最高ランクのSLA(サービス品質保証制度)、国内最高回線10Gbps*1の広帯域ネットワークを提供する最安値*1のビジネス向けクラウドサーバーが新登場。*1 当社調べ、2021年12月20日現在(回線速度はベストエフォート)
お知らせ - WebARENA CLOUD9 - クラウドサービス
株式会社NTTPCコミュニケーションズ 2011年5月13日 WebARENA CLOUD9障害について お客さまにはWebARENA CLOUD9をご利用くださいまして誠にありがとうございます。 この度の5月8日(日)発生の長時間障害により、お客さまには多大な御迷惑をおかけしていることを深くお詫び申し上げます。 WebARENA CLOUD9をご利用のお客さまへ 継続して復旧作業を実施しておりますが、5月16日の週にお客さまデータが復旧できる見込みになりました。 データの取り出し方法の詳細や代替サービスの提供等につきましては、来週あらためてお客さまへ個別にご案内いたします。 本件に関するお問い合わせ先 代替サーバーに関するお問い合わせ cloud-staff@arena.ne.jp データ移行に関するお問い合わせ cloud-tec@arena.ne.jp WebAREN
Amazon、Azure、Niftyクラウドのいいところ、悪いところを本音で語り合う ~ クラウドごった煮パネルディスカッション(IaaS編 前編)
Amazon、Azure、Niftyクラウドのいいところ、悪いところを本音で語り合う ~ クラウドごった煮パネルディスカッション(IaaS編 前編) 国内にあるクラウドのユーザーコミュニティに集まってもらい、ディスカッションを行う日本で初めてのイベント「クラウドごった煮」が、昨年末12月11日に開催されました。Windows Azureのユーザー会(Japan Windows Azure User Group、JAZ)の人たちが中心になり、つてをたどってほかのクラウドのユーザー会などに呼びかけて実現したものです。 パネルディスカッションでは、クラウドを本当によく使い込んでいるユーザーならではの視点で、それぞれのクラウドの良いところ、悪いところ、会場からの鋭い質問もあり、これからの展望などが語られています。 モデレータには、「これだけ幅広いクラウドの議論を仕切れるのは新野しかいない」とおだて
Tokyo SOC Report
クラウドサービスの利便性は様々な場所で取り上げられており、クラウドをこれから利用しよう、または、利用しているという方も多いのではないでしょうか。このクラウドサービスを活用しようと考えているのは、企業や一般ユーザーだけではないかもしれません。クラウドを悪用しようと考えている攻撃者も存在するはずです。 今回は、東京SOCで検知したクラウドサービスからの攻撃について紹介します。 以下の図は、2010年1月から2011年1月までの東京SOCで検知したAmazon EC2を送信元とした攻撃検知数の推移です。2010年には、約5千件以上の攻撃を観測しています。
「ツイッターにも通信傍受?」に関しての雑感:Geekなぺーじ
「時事通信: ツイッターにも通信傍受?=政権が法制化を検討-米紙」という記事がありました。 【ワシントン時事】28日付の米紙ワシントン・ポストは、オバマ政権がインターネットの簡易ブログ「ツイッター」や会員制交流サイト(SNS)「フェースブック」などのソーシャル・メディアやインターネット電話を対象に、司法当局による通信傍受を可能にする技術導入の義務付けを模索していると報じた。 現行法では、犯罪やテロ捜査に当たる司法当局の盗聴を可能にするため、電話やブロードバンド・サービスの会社にこうしたシステム整備が義務付けられているが、ソーシャル・メディアは対象になっていない。(2010/09/29-06:26) 「asahi.com: 米、ネット傍受強化へ法案 ブラックベリー解読も視野」も見ましたが、何の事だか良くわかりませんでした。 「あれ?Lawful Interceptってもう既にあるし、Webと
情報管理大丈夫?78大学がメールに民間利用 : 社会 : YOMIURI ONLINE(読売新聞)
学内のメールシステムに、グーグルなどの民間企業が無償で提供するクラウド型サービスを採用する大学が増えている。 読売新聞の調べでは、少なくとも全国の78大学が導入。経費を節減したい大学側と、自社サイトの利用率アップを狙う企業側の思惑が一致した結果だが、データを管理するサーバーが海外に置かれるケースもあるとみられ、専門家からは情報管理の安全性について疑問視する声も出ている。 読売新聞が全国の主要大学に聞き取り調査をしたところ、国公立大14校、私大64校がシステムの保守管理を一部または全部、企業に委託していると回答した。これは全国で800近くある大学の約1割を占める。 2007年に日大がグーグルのシステムを採用したのが最初で、その後急増。導入すると、教職員や在学生、卒業生らにメールアドレスが付与され、スケジュール管理機能や、ネット上での文書共有機能も利用できる。アドレス表記は大学で独自運用してい
野良クラウドを駆逐せよ | 技術動向 | 毎日がアップデート | あすなろBLOG
「最近、クラウド関連の対策で力を入れているのは“野良クラウド”退治です。」クラウド関連のイベントに行った時に、この「野良クラウド」という言葉を何人かの人から聞くようになりました。 「野良クラウド」という言葉は、聞き慣れない言葉ですが、どうも会社の中で情報システム部門を通さずに、部門ごとに勝手にクラウドを借りて運用している事をいうようです。 IaaSやSaaSに限らず、ハードを買わずサービスを利用する「クラウド」環境では、情報システム部門を通さずに、勝手に部門ごとに契約することができます。 例えば、IaaSの場合であればEC2等のサーバを低価格で借りることもできますし、クラウドに限らずレンタルサーバやVPSならば月額1000円未満で使えます。 またSaaSであれば、グループウェアやメーリングリストを無料もしくは低価格で入れることもできます。全社的に高価なグループウェアを導入していなけ
送信ドメイン認証はスパムに勝てないだろう
前回述べた、迷惑メール対策について講演した某ISPの人は、送信ドメイン認証にえらくご執心のようだった。送信ドメイン認証のコンセプトは、「確固たるスパム対策のためには、送信者アドレスが簡単に詐称できるという問題を解決し、送信ドメインを信頼できるデータにすることが必要だ」というもの。多くの人がそう思っているだろう。 私もかつては、送信ドメイン認証の普及と他の対策の併用によってS25R方式が不要になる時が来るだろうと思っていた。しかし今では、送信ドメイン認証はスパム問題の解決策にはならないだろうと思っている。スパマーが送信ドメイン認証を欺く方法があるからである。以下に、送信ドメイン認証の代表的な方式について、その原理と欺き方を述べる。 ●SPF(Sender Policy Framework) 原理 送信側サイトは、自ドメインからのメールを送信するホストを自ドメインのDNSで宣言する。受信側では
アメリカ国立標準技術研究所による、クラウドコンピューティングの定義
クラウドとは何なのか? にはさまざまな議論があります。最近では、セールスフォース・ドットコムのマーク・ベニオフ氏が「偽のクラウドに気をつけろ!」と言えば、オラクルのラリー・エリソン氏が「セールスフォース・ドットコムはクラウドではなく単なるアプリケーションホスティングだ」と反論するなど、人により立場により、その定義には大幅な違いがあります。ある意味でそれぞれが都合のいい解釈をしているといってもいい状態です。 その中であえて「クラウドの定義とは何か?」について、もっともコンセンサスが得られる定義があるとすれば、アメリカ国立標準技術研究所(National Institute of Standards and Technology:NIST)による定義でしょう。クラウドとは何か? を考えるときには必ず参照することになる定義です。 すでにNISTのクラウド定義については、Hadoopユーザー会によ
EC2から送信したメールがspam扱いされてたのを回避するまでの記録 - Maesan blog
EC2でサイトの運営を開始したのですが、そのIPがブラック(ブロック)リストに載っててメールが届かない人がいたので、それを回避するまでのメモを残します。 ウワサには聞いていたのですが、あまりに気していなかったのはテストとかで自分とか携帯とかに普通に送れてたのでリストに載ってなかったり、こういうスパムリストってあんまり使ってないのかなと軽く考えていたからでした。 で、何で発覚したかというとフツウにメールのログに見慣れない文字列が出てきたからです Sep 1 15:03:43 xxxxxxxx postfix/smtp[7722]: 5DA663A64F: to=, relay=mail.xxxxxx.jp[xxx.xxx.xxx.xxx]:25, delay=4.4, delays=0.05/0/4.1/0.17, dsn=4.0.0, status=deferred (host mail.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Request Rejected
「WebARENA CLOUD9」が障害で全サーバー利用不可に、復旧時期未定 
Cloud Antivirus Security Technology Jeopardized by Computer Trojan, Claims Microsoft
German 'hacker' uses rented computing to crack hashing algorithm