orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

ファイルサーバーはもうオワコン 危険性を認識せよ

どんな会社にも、ファイルサーバーはありますよね。 そのデータが流出したら。 www.asahi.com 企業や組織の機密情報を盗み取り金銭を要求するサイバー犯罪グループが、ゲーム大手カプコン(大阪市)に攻撃を仕掛けて機密情報などを入手したとして、同社に取…

「情報セキュリティ10大脅威 2020」とクラウド利用の増大

毎年話題になる「情報セキュリティ10大脅威 2020」ですが、いろいろ今年は状況が激変していてつい見忘れていました。 www.ipa.go.jp なかなか気づきのあるランキング変動です。 特にクラウドの利用が増大しているからこそのランクインと思われる項目が散見さ…

ドキュメントにプログラムを加えてしまったマイクロソフトのしくじり

ドキュメントとは本来データであって、プログラムではありません。 紙の書類を手にしたら、急に動き出してナイフが出てきたら危ないですよね。 ドキュメントと、プログラムは本来は別モノとして厳格に管理するべきでした。 しかし、VBAというものをこの世に…

紙文書管理における不正の数々を思い出す

ハンコ利用が不経済・非効率の象徴みたいな話になっています。が、そもそも紙文書でのワークフロー自体が、一見ちゃんとしているけれども中身は嘘だらけ、のような日本にありがちな現象を助長しているように大昔から思っていました。 過去の職場で見た、実際…

仕様通りに作ってバグもないのに大問題になるケースをどう防ぐか

ドコモ口座問題、大変なことになっていますね。 www.itmedia.co.jp NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとして…

テレワークは古い社内システムの考え方だと危険な件

ホンダにサイバー攻撃 ホンダの社内ネットワークがサイバー攻撃を受けた件、これ、もっと企業は危機感を持った方がいいと思いますので書きます。 www.bbc.com ホンダは9日、社内ネットワークがサイバー攻撃を受けたと発表した。世界各地の工場などが影響を受…

テレワークしている人のパソコンが狙われている

セキュリティー攻撃も新しい展開へ テレワークしている人のパソコンが今狙われています。 www.sankei.com 新型コロナウイルスの感染が拡大し、外出自粛が求められるなか、出社せず自宅などで仕事を進めるテレワークが広がっている。こうした動きに照準を合わ…

インフラエンジニア、WEBサイト高負荷との戦いを振り返る

高負荷との戦い インフラエンジニアをやっているとどこかで遭遇する、高負荷との戦い。先日はシャープのECサイトが高負荷と戦っていると聞きました。 pc.watch.impress.co.jp シャープは、4月21日午前10時から開始した、自社生産の不織布マスク「MA-1050」の…

Gitに危険な脆弱性が見つかった

バージョン管理システムについておさらい Gitというのはバージョン管理システムで広く世の中に使われています。あのLinuxの大元を作ったLinusさんが2週間で作ったっていうのは有名な話です。 hyoshiok.hatenablog.com だいたい、バージョン管理システム自体…

完全性の話 想定外との戦い

完全性の話 セキュリティーの三原則と言えば、「機密性」「可用性」「完全性」なのですが、その中の完全性の話です。 完全性と言えば、「いつでも完全な形でシステムやデータを使えるか」という話なのですが、結局のところシステムというのはこれに尽きるん…

SSLサーバー証明書は2年物を買ってはいけない

SSLサーバー証明書は2年物を買うべきではない 今日の今日、今の今知ったことですが、たくさんの人に知られるべきだと思ってまとめます。サーバー証明書を購入する時、たいてい「1年」「2年」が選べると思います。更新作業は面倒なので、2年を選びたくなる…

Zoomで今、何が起こっているのか

はじめに Zoomというサービスがテレワークで流行していて、しかしセキュリティーに問題があっていろいろとすったもんだしていると伺いました。 何がZoomに起きているのか、いろんな記事を確認していきます。 さまざまな脆弱性 toyokeizai.net アメリカ連邦捜…

急にテレワークを始めた企業が危ない

テレワークとSaaSの関係 テレワークも長丁場となってくると想像力が働いてくるのですが、この状況を機に新しいSaaSなどのシステムを入れた企業も多いのではないでしょうか。 SaaS提供企業もこの状況に対して寄与するために、無償利用キャンペーンをするのが…

社内メールを乗っ取られてスパムメール送信の踏み台にされる的な話

意図しないメールが送信された 私はメール運用なんて、さっさとGmailやらMicrosoft365やらにぶん投げちゃえばいいと思っていますが、こういう件があるとさらにそう思いますね。 www.itmedia.co.jp 日本郵便は2月14日、同社のメールアカウントが第三者から不…

消防法レベルでサイバー攻撃に対する防衛をしなければいけない時期にあるのではないか

日本の消防はすごい 日本ってどこの地域に行っても消防署があって、防火・防災を中心に地域の安全を守ってますよね。火事や災害は人の命や財産に直結しているので、国民が生活をしていくうえでとても重要な組織だと思います。 法的な根拠として「消防法」と…

なぜ『ITの7つの無意味な習慣』が無くならないのかを現場から考える

『ITの7つの無意味な習慣』 セキュリティー対策にて企業が導入しているいくつかの所作について、全く意味がないどころか生産性を下げているのになぜ生き残っているか、という記事が話題になっています。 qiita.com 2019年の今年は「令和元年」であるわけだが…

ハードディスクやSSDの中身はどうやったら本当に消えるかの議論を整理する

ハードディスクやSSDの中身はどうやったら消えるか 某事件の発生以来、世間で「おい、システム終了後にシステムが保管していたデータは本当に消えるんだろうな?」という疑念は沸きあがっているように思います。もっと具体的に言えば、ストレージにあるデー…

ハードディスク破壊の現場と、人の問題

消えないハードディスクの中身 オンプレミスの運用をやっていたときの思い出ですが。 お客様の物理サーバーをお預かりし、データセンターでシステムを運用していたことがあります。 お客様のシステムを終了する際、そのシステムを動かしていた物理サーバーの…

セキュリティー問題で「深刻」と表現する意味はあるのか

セキュリティー問題と、深刻という言葉 多くのソフトウェアがインターネットによって接続され、相互に関係しあうようになったため、あるソフトウェアの脆弱性が多くの人々を巻き込むようになりました。自分が使っていないからと言って関係ないとは言い切れな…

sudo脆弱性(CVE-2019-14287)はてへぺろ

sudoってヤバいの? 久々にセキュリティーネタでびっくりしましたよ。 japanese.engadget.com Linuxのsudoコマンドに、本来root権限をとれないユーザーがそれを奪取できるようになる脆弱性が発見されました。この脆弱性を突けば、sudoを利用する際の権限設定…

ランサムウェア「Lilu」「Lilocked」にLinuxサーバーが感染するとどうなるか

Linuxに新種のランサムウェアが猛威 ランサムウェア「Lilu」あるいは「Lilocked」が、Linuxサーバーに対して脅威となっているそうです。 news.mynavi.jp 既に数千台のLinuxサーバがこのランサムウェアに感染したとされている(フランスのセキュリティ研究者で…

リクナビ問題 個人情報保護委員会の是正勧告とは何か?

初の是正勧告 リクナビ問題について、個人情報保護委員会が初めての是正勧告を出すと日経新聞が報道しました。 www.nikkei.com 就職情報サイト「リクナビ」を運営するリクルートキャリア(東京・千代田)が就活生の同意を得ずに「内定辞退率」の予測を企業に…

IT技術者はどこまで業務指示に従うべきか

サイバー攻撃とIT技術者 日韓の安全保障問題が大きな話題となる中、IT技術者としては別の記事が気になりました。サイバー攻撃への防衛力強化の件です。 www.nikkei.com 日米両政府が19日に開いた外務・防衛担当閣僚協議(2プラス2)はサイバー攻撃への防衛力…

ITエンジニアは個人情報問題で炎上しないためにPIA(プライバシー影響評価)を知ろう

個人情報のデータ活用に潜むリスク リクナビが学生の個人情報を元に内定辞退率の予測データを販売していた問題は、これからのWebサービスを考える上で問題提起となったと思います。 www.itmedia.co.jp リクルートキャリア(東京・千代田)が、就活支援サイト…

「BIG-IPの深刻な脆弱性」をエフセキュア社が主張 情報まとめ

「BIG-IP」に深刻な脆弱性? 夏の大型連休直前、金曜日の夕方に報道されていて何となくスルーされているニュースがあります。 pc.watch.impress.co.jp エフセキュア株式会社は、F5 Networksの提供するロードバランサー(負荷分散装置)の「BIG-IP」において、…

会社でGitHubを使うとなぜ危ないのか

はじめに 7PayにおけるGitHubソースコード漏洩(の可能性)の件、できるだけわかりやすく、何が起こったかを説明してみたいと思います。一般の人にはなかなかわかりにくいと思いますので。 この件そのものの顛末は、下記の記事をごらんください。 www.busine…

ショートメッセージサービス(SMS)がフィッシングに使われる案件が急増している背景は何か

はじめに SMS(ショートメッセージサービス)は電子メールと違って、電話番号に届くメッセージであり通知の仕方も特別なので最近は企業等から通知する手段として見直されている存在です。 メッセージ開封率も高いのですが、それを逆手にとってフィッシングサ…

7Pay不正利用関連の情報をまとめる

はじめに 毎日のようにセブンイレブンを使っていて、7payが始まるのは知っていたのですが様子見していました。そうしたところ、不正利用の話が各所で炎上しています。状況を把握すべくこれまでに入っている情報をまとめます。 メディア記事 2019/7/3 19:08 I…

Exim メールサーバーに深刻な脆弱性 マイクロソフトが警告

Exim メールサーバーに深刻な脆弱性 私はメールサーバーを構築するときは、postfixと決めているので今回の件全く影響を受けないのですが、なんだかEximというメールサーバープログラムは結構シェアを伸ばしていたようですね。 nakedsecurity.sophos.com 6 月…

ヤマダ電機不正アクセス発生 業界を挙げてWeb改ざんへの厳しい対応が必要

ヤマダ電機のECサイトから流出 大きいのが来ましたね・・。 www.yamada-denki.jp このたび、弊社が運営する「ヤマダウエブコム・ヤマダモール」におきまして、第三者による不正なアクセスを受け、クレジットカードの情報が最大37,832件流出した可能性がある…