政府は2019年12月5日、教育用ICT（情報通信技術）環境の整備拡充などを盛り込んだ総額26兆円規模の総合経済対策を閣議決定した。注目すべき対策が、義務教育課程である小中学校への大規模なパソコン導入に向けた予算措置だ。国内PC市場がまるごともう1つ生まれるほどの規模だが、パソコンメーカーには単純に喜べない事情がある。 整備の目標について政府は「全学年の児童生徒1人ひとりがそれぞれ端末を持ち、十分に活用できる環境の実現を目指す」と対策に盛り込んだ。 小中学校に在籍する児童・生徒数930万人に対し、現在の教育用PCの導入台数は160万台と普及率17％にとどまる（2019年3月時点、文部科学省調べ）。新たな経済対策により教育現場で短期に導入される新規のPCは約770万台となり、更新も含めれば1000万台に達する可能性がある。 国内PC市場（MM総研調べ）は2018年度実績で1183万台。国内市

セブン＆アイ・ホールディングスが決済サービス「7pay（セブンペイ）」の不正利用を受けて外部のIDからアプリへのログインを一時停止した措置について、原因となった脆弱性の一端が明らかになった。日経 xTECHの取材で2019年7月12日までに分かった。外部IDとの認証連携機能の実装に不備があり、パスワードなしで他人のアカウントにログインできる脆弱性があったという。 同社は2019年7月11日午後5時、FacebookやTwitter、LINEなど5つの外部サービスのIDを使ったログインを一時停止した。「各アプリ共通で利用しているオープンIDとの接続部分にセキュリティー上のリスクがある恐れがあるため」（広報）としている。 この脆弱性は、不正利用が判明した後に外部からの指摘で明らかになったもので、セブン＆アイのグループ共通ID「7iD」の認証システムに存在した。外部ID連携機能を使っている人のI

仮想通貨交換業者のコインチェックから多額の仮想通貨「NEM」が流出した事件から2カ月が経過した。 2018年1月26日、攻撃者が不正に引き出したNEMは、間もなく異変を察知した日本人技術者の機転で、すぐに追跡が始まった。この2カ月間は、別の仮想通貨を踏み台にNEMを換金しようとする攻撃者と、これを阻止しようと資金移動を追跡する関係者や有志のIT技術者がサイバー空間で攻防を繰り広げる、異例の展開を見せた。 しかし「ブラックハッカー対ホワイトハッカー」の攻防は、ホワイトハッカーがNEMの交換や換金を阻止できなかった形で1つの区切りがついたようだ。 NEMの普及団体で追跡活動の中心的役割を担ってきたNEM.io財団が、3月18日に流出NEMの追跡機能を停止したと3月20日に公表。事実上、換金を阻止する活動を終えたからだ。

DMM.comは2018年2月22日、同社が提供するオンラインゲーム「艦隊これくしょん」（艦これ）のTwitterの開発/運営公式アカウント「@KanColle_STAFF」が、第三者からの虚偽の著作権侵害申請で凍結されたと発表した。

2017年11月1日昼ごろ、アマゾンジャパンの電子書籍販売サイト「Kindleストア」に、GMOインターネットから漏えいしたとされる個人情報が販売されていたことがわかった。販売ページは14時ごろ削除され、現在はアクセスできない。

「今までのパスワード規則は実は失敗作だった」。2017年8月、米ウォール・ストリート・ジャーナルのオンライン版に衝撃的な記事が掲載された。告白の主は米国標準技術研究所（NIST）が発行するガイドライン「SP800-63」の作成者の1人。 SP800-63は米国連邦政府の認証に関するセキュリティ要求事項をまとめたガイドライン文書だ。OpenIDファウンデーション・ジャパンでSP800-63の翻訳を手掛けるメンバーの1人である、NRIセキュアテクノロジーズの勝原達也サイバーセキュリティ技術開発部セキュリティコンサルタントは「認証を包括的に扱ったおそらく唯一のガイドラインで、ECサイトや銀行、会員管理、業務システムの開発などで民間企業もよく参考にする」と話す。 かつてのSP800-63は「英大文字、小文字、数字、記号をすべて使う」「定期的に変更する」といった規則をWebサイトが利用者に課して、パ

電子カルテを中核とする病院情報管理システムの開発が失敗した責任を巡り、旭川医科大学とNTT東日本が争っていた訴訟の控訴審判決は一審判決を覆す内容だった。 札幌高等裁判所は2017年8月31日、旭川医大に約14億1500万円を支払うように命じた。2016年3月の一審判決は旭川医大の過失割合が2割、NTT東が同8割として双方に賠償を命じていたが一転、旭川医大に100％の責任があるとした。同医大は2017年9月14日、判決を不服として最高裁に上告した。 なぜ判決が覆ったのか、裁判資料かと判決文から見ていく。旭川医大とNTT東は日経コンピュータの取材に「コメントできない」と回答した。 高裁もユーザーの義務違反を認定 旭川医大は2008年8月に病院情報管理システムの刷新を企画し、要求仕様書を基に入札を実施。NTT東が落札した。日本IBMと共同開発したパッケージソフトをカスタマイズし、6年リースで提供

無料Wi-Fiサービスなどの公衆無線LANでは、WPAやWPA2▼などの暗号化方式を採用している。WEP▼だと盗聴される危険性が高いが、WPAやWPA2なら安心だと思っている人は少なくないだろう。ただ、SSIDやパスフレーズが公開された無料Wi-Fiサービスでも、安全だろうか。検証してみた。 パスフレーズが公開されている WPAやWPA2には、アクセスするときに入力する文字列（キー）がユーザーごとに異なる「IEEE 802.1X方式」と、すべてのユーザーで同じ文字列（パスフレーズ）を使う「事前共有鍵（PSK▼）方式」がある。どちらの方式でも、キーやパスフレーズがわからなければ、解読するのはまず不可能だ。 ところが無料Wi-Fiサービスは、アクセスポイントを識別するSSID▼やPSK方式のパスフレーズが公開されている。そこで実験8では、攻撃者がパスフレーズを知っているのを前提に、PSK方式の

Equifaxは最大1億4300万人分の個人情報を漏洩した。これは米国民のおよそ半分に相当する。規模もさることながら、漏洩した情報の内容が“史上最悪”だった。氏名、住所、電話番号、生年月日、運転免許証番号、社会保障番号が漏洩した。一部はクレジットカード番号も含んでいた。Cylanceのブログでは「大規模な詐欺を実行するために必要なすべての情報」としている。 想定される詐欺としては、オンラインの銀行口座から振替を行う、他人の名前を使ってクレジットカードを作る、融資を受けて返済を無視する、確定申告書を偽造して還付金を着服する、といったものがあるという。しかも、詐欺に利用されると信用格付けが低下するという二次被害にも遭う。 2016年12月には、米Yahoo!が10億件以上の個人情報を漏洩した。Equifaxの事件はこれよりも件数は少ないが、「今回の漏えいのほうが間違いなく、非常に多くの人が極め

FX（外国為替証拠金取引）事業者など金融事業者を狙ったDDoS（分散型のサービス妨害）攻撃が継続している。2017年9月22日、FX（外国為替証拠金取引）事業者のマネースクウェア・ジャパンと先物取引業を手掛けるコムテックスがそれぞれ攻撃による被害と障害復旧を公表した。

米グーグルによるネットワークシステムの設定ミスが引き金になって、NTTコミュニケーションズやKDDIなどのサービスに障害が発生した。独立したネットワークの集合体であるインターネットにおいて、どうしてグーグルの設定ミスが他社に波及したのか。その理由は、インターネットに使われるBGPの仕組みを知るとわかってくる。 インターネットは、インターネットプロバイダーや通信サービス事業者、大学など、数万のネットワークが相互接続された巨大なネットワークである。 グローバルIPアドレスやドメイン名などの資源は、インターネットレジストリが管理するが、個々のネットワークはそれぞれの組織が独立して管理している。インターネットのように、個々のシステムが自律して管理を実行し、全体として機能するシステムを「自律分散システム」という。 対等な関係ならピアリングでつなぐ ネットワークが相互接続する形態には、「トランジット」

テックビューロは2017年8月3日、企業が独自の仮想通貨を発行することで資金を調達する「ICO（Initial Coin Offering）」を支援するサービス「COMSA」を始めると発表した。ホワイトペーパー（目論見書）の整備、ブロックチェーンを使った仮想通貨の発行、国内外への売り出しの宣伝などを支援する。ICO支援サービスの提供は国内初とみられる。 COMSAの顧客企業は、法律上の仮想通貨に相当するデジタルトークンを独自に発行し、テックビューロが運営する仮想通貨交換所「Zaif（ザイフ）」などで一般ユーザーに販売できる。ユーザーは他の仮想通貨や法定通貨との交換でトークンを購入できるほか、個人間で自由に取引することもできる。 デジタルトークンは、パブリックブロックチェーンである「Ethereum（イーサリアム）」および「NEM（ネム）」の基盤上で発行する。デジタルトークンをEthereu

「ネットワークトラブルはなくならない。そして繰り返す」。企業や研究機関、大学でネットワークの運用・管理をされているエンジニアの方なら、このことを実感として受け入れてもらえるのではないだろうか。 その最たるものが、誤接続などのミスで配線にループ構成ができるネットワークループに起因するトラブルだ。ひとたびネットワークループが発生すると、たちまちレスポンスが悪化し、そのネットワーク環境にいる機器は外部と通信できなくなる。担当者は何とかして問題箇所を探り出そうとするが、悪いのがネットワーク機器の設定なのか、それともLANケーブルの誤接続なのかを特定するまでにも意外と時間がかかる。その間、ユーザーからはひっきりなしに問い合わせやクレームが舞い込み、まさに生きた心地がしない。 なぜネットワークループはなくならないのか。次のようなユーザーの行為が何度も繰り返されるからだ。（1）ユーザーの足元にケーブルが

サイバーエージェントが無料ネットテレビ「AbemaTV」の黒字化に向けて、着々と布石を打っている。主役は同社のエンジニア部門だ。見逃し視聴機能を追加し、スマートフォンで見やすくするよう「縦持ち」視聴も可能にするなど、機能強化や品質改善を急ぐ。スマホアプリ事業の成否を左右する利用者増へ、コンテンツの充実と両輪を成すエンジニアリング体制強化を図る考えだ。 2017年4月、AbemaTVに小さいようで大きな機能改良が実施された。スマホ端末を縦に持った状態で番組を視聴できる「縦持ち視聴」が可能になったのだ。 映像は画面の上部に表示し、下部には同じチャンネルの放送予定番組や番組へのコメントを表示する。それまでAbemaTVの視聴形態はスマホ画面を横向きにして画面いっぱいに映像を表示する「横持ち視聴」だけだった。 「利用者のアプリの起動回数をとにかく増やしたい。この一心で開発した」。開発を率いる長瀬

世の中には、最後の一文字が違うだけで意味が全く異なる言葉がある。例えば、「被告」と「被告人」は使われる場面が違う。被告は民事訴訟で訴えられた側だ。被告人は、犯罪の嫌疑を受けて起訴された者で、こちらは刑事訴訟になる。 筆者が通信社の記者として裁判の記事を書くときに、被告と被告人を書き間違えてはならないと教え込まれた。民事裁判と刑事裁判の区別すらできていないということになるからだ。だが、メディアの多くは被告に統一してしまっている。 一文字ではないものの、最後の単語を省略して使ってしまっているために、現在も混乱を招いている事例がある。「マイナンバー」と「マイナンバーカード」である。 ITproの読者にとってはもはや、いわずもがなだろう。マイナンバーは、国内に住む一人ひとりに振られた12桁の番号である。マイナンバーカードは、希望者に配られる顔写真が入った身分証となるカードだ。 カード裏面にマイナン

総務省は2017年4月13日、Webサイトの「地図による小地域分析（jSTAT MAP）」から最大で2万3000人分の個人情報が流出した可能性があると公表した。サイトは4月11日正午に停止し、再開時期は未定という。 流出した恐れがある個人情報は、サイト利用登録時に必須項目である氏名、メールアドレス、職業、会社名/学校名、利用目的。加えて、任意入力項目である電話番号、性別、年代、住所、具体的利用目的、情報の入手先のほか、利用者がアップロードした店舗などの情報も漏れた可能性がある。 同サイトはJavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用した不正アクセスを受けた。不正アクセスに気が付いたのは4月11日午前中で、「ウイルス対策ソフトの定期スキャンで悪意のあるプログラムを検知した」（総務省統計局統計情報システム管理官）。被害拡大を防ぐため、正午にサイト

国内のセキュリティ組織であるJPCERTコーディネーションセンター（JPCERT/CC）は2017年3月中旬、Active Directoryを狙ったサイバー攻撃の実態と対策を解説するドキュメントを公開した。Active Directoryを乗っ取る標的型攻撃が多発しているにもかかわらず、企業・組織の多くでは対策が取られていないためだ。 重要なのに守りが甘い Active Directoryは、米マイクロソフトがWindowsサーバーで提供するディレクトリーサービス。企業・組織のコンピュータやユーザーを集中的に管理できる仕組みで、多くの企業・組織が導入している。 一方で、攻撃者にも狙われやすい。Active Directoryのドメイン管理者権限を取得すれば、そのドメイン配下のコンピュータに自由にアクセスできるなど、ほぼ何でもできてしまうからだ。 しかも、Active Directoryの

2017年2月末から1カ月の間に、パブリッククラウドサービスの大規模障害が相次いで起きた。2月28日（太平洋標準時間）にはAmazon Web Services（AWS）の本拠地といえる米バージニア北部リージョン（広域データセンター群）で、オブジェクトストレージサービス「Amazon S3」の大規模障害が発生。復旧まで4時間以上を要した。さらに、3月8日と31日の2度にわたりMicrosoft Azureの東日本リージョンで、同月28日には西日本リージョンで、それぞれ数時間にわたる大規模障害が発生した。 ユーザーは、クラウドサービスの信頼性をどのように捉え、どう対処したらよいのか。AWSに精通したアーキテクトの草分けで、ユーザーとパートナーを代表する2人を招いて座談会を開き、考えを聞いた。 出席者の一人は、NTTドコモの秋永和計氏（イノベーション統括部 クラウドソリューション担当 担当課長

影響が出たサービスは、Azure Storageおよびそれを利用するサービス。Azure仮想マシン、Webサイト構築/Webアプリケーションサーバーの「Azure App Service Web Apps」、データバックアップの「Azure Backup」、リレーショナルデータベースの「SQL Database」など多岐にわたる。 原因は、冷却装置の故障だとしている。熱暴走を回避し、データの整合と復元を確実なものにするため、一部のリソースに対して自動シャットダウンを実行させた。 Azureでは2017年3月8日に東日本リージョンで、3月28日には西日本リージョンでそれぞれ大規模障害を起こしたばかり。3月だけで、東日本リージョンは2度目、西日本リージョンを含めると3度目の大規模障害となった。

シマンテックは2017年3月27日、グーグルが提供するWebブラウザー「Chrome」にバグが見つかったことを明らかにした。EV SSL証明書を使っているWebサイトにアクセスした際、アドレスバーに組織名が表示されない場合があるという。影響を受けるのはバージョン57（Chrome 57）のみ。グーグルもこのバグを報告している。 EV SSL証明書を使用しているWebサイトにChromeでアクセスすると、通常は、アドレスバーの左側に組織名が表示される。