<   2005年 03月 ( 15 )   > この月の画像一覧

アフラック(アメリカンファミリー生命保険会社)で1万7000人分の個人情報入り磁気テープを紛失

ニュースリリース

アフラック(アメリカンファミリー生命保険会社、本社:東京都新宿区、日本における代表者・日本担当チーフオペレーティングオフィサー:幹晶稔)では、兵庫県内の団体契約のお客様情報が記録された磁気テープの所在が、社内で不明となっている事案が2005年3月15日に判明いたしました。

所在が不明となっておりますのは、団体契約のお客様の保険料請求のために当社が団体に提供しているカートリッジ型磁気テープ(以下CMT)4本(正副2本ずつ)です。当該CMTには、兵庫県内の団体に所属する13,777名のご契約者情報(氏名、生年月日、証券番号、契約日、保険料等)および3,573名の被保険者情報(氏名、生年月日)が記録されております。なお、住所、電話番号、銀行の口座番号は記録されておりません。


 みずほのエントリに、「個人情報保護法施行の直前に発表というのは、タイミング的にうさんくささを感じるなぁ」と書いたが、やはりこれは、施行前の「駆け込み発表]と捉えられてもしかたないような気がする。
 後になって発覚すれば罰則の対象になるかもしれんものな。

もしかして今日(3/31)、もっと駆け込むところが出てくるかも

ちょっと指摘しておくと、ニュースリリースにある

このCMTは、該当するカートリッジ仕様に適合した磁気テープ装置を業務用の大型コンピュータシステムに接続してデータの読み出しを行うもので、一般の個人が内容を読み取ることはできません。

この認識は少々甘いような気がする。
CMT(といっても各種あるが、一般的に)はそれほど特殊なメディアではないし、メディアコンバートのサービスをやってるところもあるし、一般の個人でも借りようと思えば借りられる。

特に汎用機系の記録フォーマットだとすれば逆に、暗号化やトラスティその他のプロテクトがかけられている可能性は非常に低いのではないか?
[PR]
by SIGNAL-9 | 2005-03-31 09:39 | 情報保護・セキュリティ

シマンテックの「インターネットセキュリティ脅威レポート」

シマンテックの「インターネットセキュリティ脅威レポート」

最近の傾向としては
  1. 秘密情報に対する脅威の増大
  2. フィッシング攻撃の着実な増加
  3. Web アプリケーションに対する攻撃の増加
  4. Windows を狙うウイルス/ワーム亜種の急増
  5. 深刻度が高く、悪用が容易な上、リモートから悪用できる脆弱性の増大

といったところで、今後の傾向としては;

・金銭目的でのボットやボットネットワークの使用が増加していくと見ています。新たなボットを獲得し、ボットネットワークを作る手法が多様化してきています。

・モバイル機器を狙った悪意のあるコードが、件数、深刻度とも高まっていくと見ています。Bluetooth 対応機器の脆弱性を研究するグループが多数存在しています。これら脆弱性を悪用して拡大する悪意のあるコード(ワームなど)が出現するおそれが高まっています。

・シマンテックでは、ワームやウイルスを拡散手段としたクライアントサイドへの攻撃が増えていくだろうと考えています。

・音声やビデオ画像のコンテンツに埋め込まれて隠れた形の攻撃が増えていくだろうと予測しています。これは、厄介な問題です。画像ファイルは今やありふれたものであり、ほとんど誰もが疑いを抱かない上、現代のコンピュータ利用に不可欠な存在だからです。

・シマンテックでは、アドウェア、スパイウェアに関連したセキュリティリスクが増大すると予測しています。これらのリスクを抑える各種法律だけでは効果的かつ十分な抑止力とはならないと考えています。


 ちなみに俺も最近、場合によってはあえて「物理的にネットワークに繋がないマシン」や「隔離LAN」で作業をするということがある。数年前には「時代に逆行してるよな」とメンドくさがったものだが、最近では慣れた(笑)

 そんな人、けっこう多いのではないかしら。ボットやトロイの木馬の類で情報流出なんてことになりゃあ、おマンマの食い上げだからねぇ。
恥ずかしいし

 まぁ、幸い今まで直接ひどい目にあった経験は無いのだが、「セキュリティパッチってなんですか」「ウィルスチェックってなんですか」な人のとばっちりを食ったことは多数。
 上のレポートなどを読むと、状況はますます悪化すること疑いないなぁ。

だからコンピュータは免許制にしろ、というのだ(笑)
[PR]
by SIGNAL-9 | 2005-03-30 19:02 | 情報保護・セキュリティ

みずほ銀行、約27万人分の顧客情報紛失

みずほ銀行のホームページニュースリリース(PDF)より。

今般、個人情報保護法の全面施行を控え、当行全店においてお客さま情報(※)が記載されたCOM、還元資料等の保管状況の調査を実施した結果、167か店において調査した資料の一部について紛失していることが判明致しました。このような事態を招きましたことは、誠に申し訳なく、深くお詫び申し上げます。

紛失の概要は、以下のとおりです。

○ 該当支店数:167か店

○ お客さま数:約27万名

○ 対象となった主なお客さま情報:
お取引日、お客さま氏名、口座番号、入払・振込明細、預金残高
口座開設日(預入日)、満期日

※詳細は別添資料をご参照下さい。
現時点で、紛失物は発見されておりませんが、内部調査の結果、不正持出の可能性は極めて低いものと判断され、また、これまでにお客さまからの照会や当行に対する不正要求等、問題となる事象は生じていないことから、誤って廃棄した可能性が高く、外部への情報の漏洩懸念は極めて低いものと考えております。


 幸い俺の使ってる支店ははいっていないようだが…しっかしねぇ。

 167支店で見当たらないものが全部「誤って廃棄した可能性が高く、外部への情報の漏洩懸念は極めて低いものと」考えてしまっていいものなのだろうか。

 古くなって廃棄した…みたいな話なのかどうかも、肝心の「いつのデータ」なのかが発表資料には記載がないようだし。
 「カードローン申込書類」とか「投資信託総合取引申込書」なんて、名前から住所から生年月日から年収まで載ってるわけで、こりゃあ「個人情報流出」事件としては最大級かも。

 しかし、個人情報保護法施行の直前に発表というのは、タイミング的にうさんくささを感じるなぁ(笑…って笑い事ではないな)。
[PR]
by SIGNAL-9 | 2005-03-30 13:12 | 情報保護・セキュリティ

朝日記者、海賊版DVD購入を告知(Googleに証拠残存)

 朝日新聞の上海支局の記者が、自社HPの自分のプロフィール欄に「暇があれば、街角の屋台で買った海賊版のDVD(1枚約100円)で映画鑑賞」と書いてしまい、各方面で突っ込まれている。

 いくらなんでもマズイでしょう、これは。

 買うこと自体は違法でないとしても、国際社会的にも大きな問題になっている「海賊版」であるという認識があって購入し、それを自分の会社のHPでおおっぴらに告知するというのは道義的にアウトだと思う。

 というような追求は2ちゃんや保守系反朝日Blogにお任せするとして、怖いなぁと思うのはGoogleのキャッシュだ。

 朝日新聞は既に問題のページを証拠隠滅「訂正」しているが(つまり「マズい」という認識はあるわけだな)、Googleのキャッシュには本日時点ではしっかり残っている

 公器を自認しておられる大新聞社だから、めったな対応はしないだろう。そのうち謝罪文なりなんなり出てくるのだろうと思う。

 天下の朝日新聞がまさか、証拠隠滅訂正するだけでOKだなんて考えているはずが無い。

 朝日新聞社のWebマスター様、ご存知とは思いますが、Googleのキャッシュの削除はこうなってます
 まあ、自動URL削除システムは既にご承知・御対策済みとは思いますが、過去の例だと、「Googleキャッシュで鳥取県個人情報流出の2次被害」のように、クロールしてくるのに数日かかる場合があるようですよ。

 おまけにプロクシやらキャッシュサーバやら、ネットワークのあちこちに立ってますし、PCのローカルキャッシュもあるでしょうし、俺みたいに個人でキャッシュサーバ立ててるようなヤツも珍しくはないですから、御社みたいな人気HPの場合、「無かったことにする」のは無理だと思いますよ。

 てーか、フツーの会社なら、自社のホームページで社員が違法社会的に不当な行為を堂々と告知したらタダじゃあすまんでしょう。
 フツーの会社員の俺だったら、原文に訂正線を施した上で謝罪文を同時に掲示的な対応をすると思いますが。だって誤魔化しようがないもの

いやはや。インターネットってのは怖いねぇ(笑)
[PR]
by SIGNAL-9 | 2005-03-29 12:49 | 奇妙な論理

VBってなくなっちゃうの?

「マイクロソフトのVisual Basicをめぐる綱渡り」
Martin LaMonica(CNET News.com) 2005/03/28 21:29

 MicrosoftのS. "Soma" Somasegar(開発ツール部門コーポレートバイスプレジデント)は、CNET News.comに対し、Visual Basic 6(VB6)の無償サポートを今月末で終了する計画は「絶対に」撤回しない、と語った。

 Microsoftが、1998年に投入したVB6の無償サポートを打ち切るとの判断を下したことを受け、同ツールを利用する開発者の一部から抗議の声が上がっている。そのなかには、同社と緊密な提携関係にある顧客も含まれている。


俺自身はVBというのはアウトオブ眼中な人間で、実装経験も稀少のため何か語る資格はない。素養程度しか知らないので、そのレベルの感想だが;

上記記事によると、大きく二つの意見がある。

「ふざけんな、なくなったら困るから今のままにしとけ!」

「どーせいつか作り直しになるんだから、移植とか無茶なこと考えないでVB.NETで作り直せばいいじゃん」

 俺は後者に近い意見なのである。

 レガシーはレガシーとして使い続けて、必要に応じてまるっきり作り直す。この方が得策のような気がするのである。

 VB6とVB.NETの言語仕様、というかそもそもの「考え方」の違いを考えると、いわゆる「移植」作業は、一般論としてはかなり困難な-技術的にというより工数的に-無理がある選択だと思うのだ。
 似たコーディング・似た開発手法の採用は不可能ではないが、それだと.NET的メリットよりもデメリットの方がでかいような気がするためだ(実装の裏づけが無いので単に気がするだけだが)。

 いわゆるVBとVB.NETを、「同じ言語のバージョン違い」と考えるのがそもそも無理な話で、まったく別物-つまるところ「MSの製品からVBという言語はなくなる」-という理解をした方が、少なくとも精神衛生上はよいのではないか。

 VBのような、かなり実績のある汎用言語が大幅な仕様変更でまったく別物に変わってしまうという例は過去にあまり例は無いとは思う。
 特にコスト意識の高い事務系プログラム/システムは保守的にならざるを得ない場合が多い。
 COBOLみたいに、古いのクソのと言われ続けて45年、根本的には変わらずに(変えられずに)、未だに事務系システムでは大きな位置を占めているような例がある。

 ちょっと思うのは、MSが見切りをつけるのなら、VB6上位互換の開発環境を提供する第三のベンダは出てこないのだろうか?ということだ。
 現状、構文上一部互換のものなら他社から出ているようだが、VB6上位互換の開発環境というのは、開発途上の一部のオープンソース系プロジェクト以外では寡聞にして知らない(しかもLinux向けとか言われても困るヤツも多かろうし)。
 ビジネスアプリでいえば、dBase上位互換としてのxBaseのような例はある。アシュトンテイト亡き後も、xBase言語自体は未だ現役である。

 例えばMSが他社にVB6をライセンスし、レガシーVBのサポートと改修を残存させるような選択はないのだろうか?
 ノウハウは全世界にあるは、ある程度の顧客は見込めるはで、大儲けは無理にしてもこれは意外とおいしいかもしれない。
 少なくとも俺は、VB6コンパチで、DelphiなみにWin32ネイティブコードが生成できるなら買っちゃうような気がする。
#VS.NETやDelphi2005みたいなIDEの馬鹿でかさとクソトロさに嫌気がさしているのもあるが(爆)

 俺に金と行動力があれば、今すぐにでもチャータ機でレドモンドに突撃したいところだが(笑)
[PR]
by SIGNAL-9 | 2005-03-29 11:19 | 電算機関係の話題

Windowsイベントログの保存

 個人情報保護法やら何やらの件で、今まで余裕ぶっこいてあまり真面目に考えていなかったWindowsマシンのログもいちおう取っておこうかなという気になった(笑)

 仕事関係の中核マシンは監視の絡みもあるので、Snareみたいな仕掛けを使って比較的しっかり作っているのだが、さほど重要度の高くないWindowsサーバはほとんどローテートするに任せていた。

ようするに何もしていなかったわけである(爆)

 これだとイザという時困るかも…ということで、せめてバックアップくらいは取って置こうかと思ったわけである。

 どんな時がイザという時なのか…と問われると、よくわからんのだが(笑)。

 イベントログファイルは、リソースキットツールのDumpel.exeとかElogDmp.exeなどでもエクスポートできるが、パージといっしょに行いたかったので、WMIを使ったスクリプトを用意した。
 実際には纏めて圧縮アーカイブしたり二次記憶媒体に書き込んだりで、もっと複雑だが、キモ的にはこんな感じ。

ソース
[PR]
by SIGNAL-9 | 2005-03-28 15:00 | TIPSとかKludgeとか

古いSolarisで大量ユーザ登録

 何の因果か応報か、今時Solaris2.6(爆)でメールサーバ動かしてくれと頼まれた。
 どーしてそーゆー事になったのかは、我ながら信じられない事情なので省く。

しいていえば太陽のせいだ

 でまあ、OSやらsendmailやらqpopperやら、指定されたソフトのインストール自体は問題なかったのだが、ちょっと困ったのがここに数百人分のユーザ登録が必要、ということだったのである。

 Solaris2.6ではユーザ登録はadduserコマンドで行える。ユーザ自体の登録とホームディレクトリ掘りは、このコマンドで一発である。
 が、これを使ってもadmintoolを使っても、初期登録時はパスワードロックされており、必ずパスワードを登録しなければ使用開始できない。
 問題は、このパスワードの設定である。

 初期パスワード自体はアカウント名からのハナモゲラでよいということなので、自動生成できるとして、問題はそれをどうやってSolaris君に喰わせるか。

 ちょっと見てみたらSolaris2.6のpasswdコマンドは、入出力ともstderrであり、普通のシェルスクリプトでリダイレクトでコントロールするのが難しい。つまり、

passwd foo 12346
passwd baz 12346


みたいなコマンドをズラズラ書いたシェルスクリプトで一括登録!ってわけにはいかないんである。
 cryptを使って自前で暗号化したpasswdファイルを生成して差し替えてしまおうか、と思ったが、よく考えりゃあshadowパスワードだ。んな事やったことないからなぁ。Linuxみたいにshadow on/offができりゃあいいのだが、残念なことにSolaris2.6君はできないみたいだ。
 いずれにしてもこの方法だと、差し替える時にシングルユーザモードでないとまずそうだし、現に生きて動いているサーバの場合、こりゃあちょっとまずそうだ。

 うううううううううううううん。
 と10分ばかり考えた末、結局、telnetソフトのTeraTermを立ち上げた。


timeout = 1
fileopen fhandle 'passwd.txt' 0
:loop
filereadln fhandle uname
if result goto fclose
filereadln fhandle passtext
if result goto fclose
passcmd = 'passwd '
strconcat passcmd uname
sendln passcmd
wait "New password:"
sendln passtext
wait "Re-enter new password:"
sendln passtext
waitln "#"
goto loop
:fclose
fileclose fhandle


TeraTerm用に、概略上のようなマクロを書いた。

要するに、


ユーザー名
パスワード



というファイルを順次読み込んで、自動的にpasswdコマンドを次から次へと動かしてしまえ、という甚だカッチョ悪い方法である。おまけに死ぬほど遅い

 がこれにもいいところはあって、あくまでも正規のpasswdコマンドを通しているので間違いは少ないし、システムを停止する必要もない上、動かしっぱなしで帰ってしまえば翌日には終わってる(笑)

まあ、どう考えても良い方法ではないが、どうせ一発ものだし、うまくいったからどうでもいいか(爆)
[PR]
by SIGNAL-9 | 2005-03-25 18:42 | TIPSとかKludgeとか

失敗知識データベース

JST失敗知識データベース

2005年3月23日
失敗知識データベースの一般公開開始について

失敗知識データベースは、2005年3月23日より一般公開しました。(無料)

このデータベースは、単なる事故事例データベースにはない以下のような特徴を備えており、この事業を統括している畑村洋太郎 工学院大学教授を中心に、失敗事例を分析して得た教訓を知識として活用できるようなデータベースを目指して開発しました。

(1)失敗の原因、行動、結果を分類して体系化した「失敗まんだら」と、それに基づいて失敗に至る脈絡を記述する「シナリオ」という表現法を開発。

(2)機械、材料、化学物質・プラント、建設の4分野で約1,000件のデータを搭載。

(3)「失敗百選」として失敗事例の中から国内外の典型的な事例を100例程度取り上げ、読みやすく記述。なお、一般公開開始時は、数十件の失敗百選を搭載していますが、以降、順次件数を増やす予定です。

事故や失敗の未然防止や、技術研修・技術学習等に、是非ご活用下さい。


データベースという性格上、報告書様式なので現場のドロドロ感が希薄だが、よく考えたらそんなドロドロしたデータベースは嫌か(笑)。

参考にはなりそうだが、飛行機の墜落事故と配管の破裂事故を同列のデータ管理のレベルに並べてしまって、後で困らないのかしら…と他人事ながらちょっと心配。

それと、掲載数が合計で1000件ちょっと、というのは量的に物足りなくないか。
ちなみにJSTといえば独立行政法人で、けっこうな(えっ、と思うような額の)国費を使っている、わりと大きい組織である。

もちろんこれ一事が万事ではないだろうが、そんな組織が麗々しくくデビューさせたわりには、コンテンツが寂しいような気がする。

そういえば国立公文書館のデジタルアーカイブサービスも4/1から運用開始。
[PR]
by SIGNAL-9 | 2005-03-25 15:02 | 情報保護・セキュリティ

VBScriptでSAP R/3をアクセス

VBScriptでSAP R/3 のテーブルを読むサンプル。
知り合いに頼まれたんでちょこちょこと書いたのだが、他に需要も無いのでメモとして晒す。

.NET時代突入でVBSも使わなくなるよなぁ…と思っていたが、


  1. バッチファイル代わりに作ったレガシーな小物が意外に多いんで書き換えるのがメンドい
  2. .NETランタイムが無いマシンでも、WSHくらいは使えるだろ?
  3. ExcelなんかのVBAに焼きなおすのも相対的にラク
  4. 使っているCOMコントロールの類が全部.NET対応というわけではない。.NETで従来のCOMを動かすことは「可能」だが、「可能」ということと「使い物になる」ということは別問題。

みたいなこともあるので、俺はまだけっこう使ってる。

ソースに続く…
[PR]
by SIGNAL-9 | 2005-03-24 14:20 | TIPSとかKludgeとか

ldap照会コマンドの自作

Lukas Gebauer氏か手がけておられるDelphi用の同期TCP/IPライブラリSynapseがLDAPをネイティブでサポートして下さっているので、ありがたく使わせていただき、今までldapsearch.exe→自作LDIFコンバータ→CSVファイルという原始的方法だったのを、EXE一発でできるように作り直した。

今のところ、テキスト項目のみを、デコードしたLDIF/CSV(カンマとタブ区切り)/BIFF2(Excelの一番古いフォーマット)で出せるようにした。

作ってる過程で、問題というかTODOがいくつか。
忘れそうなのでいちおう雑記しておこう。俺的には用は足りているので、時間があればだが…。

■Access2002へ渡したい

最近はたまにAccess2002も使ってるのだが、これのCSVインポートがけっこう馬鹿(失礼)。
現行のCSVデータでは型情報を持ちようがないが、このためだけにMDAC(ADO)使ってMDB直というのも、ツールの性格上忸怩たるモノがある。
ちょっと考えたが、Access2002ではxml形式が読み込めて、こちらにはフィールドの型情報が保持できる。ファイルサイズが膨れるのと、xsdとxmlでファイルが分かれるのがいささかナンではあるが、こっちのセンで考えてみようと思う。

■バイナリの処理…てーか、属性(アトリビュート)のサブタイプの処理

同じldapサポートといっても、例えばActive Directory は、属性のサブタイプ(;jang-jp)などは存在しないみたい。lang-jpの文字型ならばどっちにしてもUTF-8で返されるので、無条件にUTF-8からANSIに変換しちゃってかまわない(UTF-8は1バイトASCIIに関してはANSIと同じコードマップだから)と思うのだが、問題はバイナリ値である。

本来なら;binaryを期待したいところだが、どうも付けてくれないldapサーバ(スキーマ)もあるみたいだ。つまり、SeachのResultセットの属性名からはそれが単なるlang-なのか、本当のバイナリなのか判別できそうにない。
ASCII文字セットならロジックでデータ内容を判定することもできるが、多バイト文字セットではそう簡単にはいかないかも。

LDAP3ではルートにsubSchemaSubEntryとしてスキーマ情報を格納しているノードのDNがあるので、実際の属性型の情報などはこれを参照して解析するしかないか?


  1. ルートからsubSchemaSubEntryを探す
  2. その値(DN=schemaとか)を、attributetypesで探すと、そのLDAPサーバのスキーマのリストが取得できる。ここで、SYNTAXの後ろについているOIDが属性構文なので、これを使ってあれこれ。

…なんかカッチョ良くないなぁ(爆)

特定スキーマ決め打ちならなんとでもできるが、ちょっと汎用性を持たせようと思うと俺の如き三流にはけっこう難しいものだな(泣)
[PR]
by SIGNAL-9 | 2005-03-24 11:44 | TIPSとかKludgeとか