2009年7月 Archives

ウェブの改竄。国交省の件と似ているみたい。SQLインジェクションかな。

文科省のWebサイトが改ざん　中国ドメインのサイトにリンク - ITmedia News

文科省の「再生医療の実現化プロジェクト」Webサイトが一部改ざんされ、中国ドメインのサイトにリンクしていたことが分かり、同省はサイトを閉鎖した。
2009年07月27日 17時29分 更新

　再生医療を研究する文部科学省の「再生医療の実現化プロジェクト」を紹介するWebサイトが一部改ざんされていたことが分かり、文科省は7月27日、同サイトのサーバを停止した。詳細は調査中。

　サイトの各ページからトップページに戻るための「ホーム」のリンク先が、中国ドメイン「.cn」のWebサイトのアドレスに書き換えられていたという。調査したところ、25日の午後3時39分ごろに書き換えを行ったとみられるアクセス履歴があったという。

　26日に、内閣官房情報セキュリティセンターから改ざんの指摘を受け、サイトを運営する先端医療振興財団にサーバの停止を指示した。現在、再発防止と再開に向けた作業を行っている。

こっちのニュース
文科省「再生医療の実現化プロジェクト」のサイトが改ざん：Security NEXT
によると、Googleでプロジェクト名を検索すると、「このサイトはコンピュータに損害を与える」表示が出てしまっているというので、やってみたら、ほんとだ。これは、まずいでしょう。

ところで文部科学省って、英語で言うと
Ministry of Education, Culture, Sports, Science and Technology
なんだ。 教育・文化・スポーツ、科学と技術省ってところか。 知らなかった。それでなんでMEXTなんだろう。 っていうか、そもそもなんなんだろう。

顧客情報漏洩、カード不正利用
アリコ客情報流出　最大１１万件、カード不正請求で発覚 - けにあmemo
の続報。

アリコジャパン：カード不正使用の被害拡大 － 毎日ｊｐ(毎日新聞)

カードの不正使用の件数が２５日時点で約２２００件に上り、問題を公表した２３日時点で発表した１０００件超の約２倍に拡大したことを明らかにした。情報流出の件数も約１３万件と、２３日発表した最大１１万件から増加し、被害が広がっている。

　クレジットカードの不正使用では、０５年に米カード情報処理会社からビザ、マスターなどの顧客情報が流出し日本で７４５件（総額１億１１００万円）の被害が確認されたが、件数はこれを大きく上回り、国内最大規模となる。

新記録になってしまったか。

流出したのは契約者のカードの名義や番号、有効期限など。アリコによると、これらの情報は社内の閉じたネットワーク上で管理しており、外部回線と直接つながっていないため、外からのアクセスは難しい。社内で情報を引き出して加工できるのは従業員約４０人に限られ、聞き取り調査などを進めているという。

おっとまた内部漏洩だったらしい。 なんでこう相次いで似たような事件がおきるんだろう。
不景気に伴って、不満を持つ従業員による不正行為が増えるだろう、という予言が実現しつつあるのか。(不況、解雇、情報盗難、漏洩コスト - けにあmemo)

Network Solutions社のEcommerce Hosting というサービスの顧客である小売業者たちに送られたレターより。カード取引を扱うサーバーに不正なソフトウェアがインストールされ、そこでは今年の3月12日から6月8日の間に573,928件が処理されていた。
1万件以上の販売ウェブサイトがホスティングされているうち、4,343サイトに関わる通信が転送された可能性がある。
説明サイト。http://www.careandprotect.com/
Network Solutions warns merchants after hack - Network World

不正プログラムにより情報を転送する、というやり方は、今年1月のHeartlandの事件に似ているのか。
最大のカード情報漏えい？ Heartland事件 - けにあmemo

カード情報の漏洩。
asahi.com（朝日新聞社）：アリコ客情報流出　最大１１万件、カード不正請求で発覚 - ネット・ウイルス - デジタル

カード会社から身に覚えのない請求をされたとの照会が、２３日までに千件を超えた。

７月１４日に提携カード会社から、アリコの保険契約者のカード情報が不正利用されており、アリコから情報が漏れているのではないかとの照会があった。その後、他の複数の提携会社から同様の問い合わせが相次いだ。インターネット通販でカードで家電製品を買ったとして、数万円を請求されるといった被害が出ているという。

　流出情報には氏名、カード番号、カードの有効期限が含まれる可能性が高い。アリコは不正利用は７月初旬から始まったと見ているが、流出経路は現在調査中といい、被害総額も明らかにしていない。

　アリコによると、被害の照会があった契約者には（１）０２年７月～０８年５月にアリコジャパンに直接、保険契約を申し込んだ（２）クレジットカードで保険料を払っている（３）保険証券番号の下１けたが２か３の契約――の共通点がある。これらの３条件を満たす契約は１１万件ある。アリコの契約者で保険料の支払いにクレジットカードを利用している約７４万人いるという。

地球大って...
ほんとにそんなでっかいものが飛んでくるのか。
木星に地球大の衝突痕、すい星が衝突か？　国際ニュース : AFPBB News

平文、が気になって、重箱読みの逆はなんていうんだっけな、と調べたら、湯桶読み、だった。
湯桶読み - Wikipedia

湯桶読み（ゆとうよみ）は、「湯桶」（ゆトウ）のように、ある語の前半を訓読みで、後半を音読みでする読み方のこと。原則として誤りとされるが、慣用になっているものも少なくない。

こんなの引合いに出しても、ゆとう、なんて使わないからかえって判りにくいなあ。

復号化、でなく復号であることの説明。
日本人なら知っておくべき復号化のこと - 4403 is written

「暗号化」と呼ばれる行為は，「平文」を「暗号文」にすることを指す．言い換えれば，「平文」を「暗号文」にする行為を「暗号化」と呼ぶ．ならば，その逆作業はどうなるか．「暗号文」を「平文」にする行為なのだから，「平化」ではないのか．常識的に考えて．仮に，この行為が「復号化」だとするならば，「暗号文」は「復号文」になって然るべきではないのか．ほら！論理的に考えて，おかしいだろ．そうなんだ．だから，「復号化」ではなく「復号」なのだ．「復号」と呼ばれる行為は，「暗号文」を「平文」にすることを指しているのだ．だから，「暗号化」に対する言葉は「復号」であって，「復号化」では有り得ない．

まだちょっと判りにくいけど、このテーマに関してはものすごく整理して書かれている説明だと思う。
もう一つ付け加えるなら、復号する、と動詞として使えるけど暗号する、とは言わず暗号化するになる、という逆の視点からの説明がありうるか。
エントリーのタイトルは、
日本人なら知っておくべき復号のこと
の方がよかった気がするんだけど...

三菱鉛筆から6月に発売された、240色の色鉛筆。
ユニ色鉛筆が、発売後50周年を記念して発売。 240種類の鉛筆が、専用の箱に入っている。
ユニカラー240 リミテッドエディション
50周年ということは、思ったより古くないんだ。 僕とあまり変わらない...

いいなあ。
子供にあげたいけど、5万円じゃ、なあ。

昔使ったのがあったはず、と思ってみてみたら、クーピーペンシルと、三菱鉛筆のPOLYCOLORという12色セットが出てきた。 ユニカラーってもってなかったかなあ。
Uni GOLDという鉛筆は、出てきた。

三菱鉛筆POLYCOLOR、名札には、三の四、と書いてあるから、9歳ごろのだな。

90件の2008年情報漏洩事件を調査したVerison BusinessのVPとNetwork Worldが作成した、ネットワーク管理者によるもっとも間抜けな失敗10種。
The 10 dumbest mistakes network managers make - Network World

「このリストの示唆に従わないのは、ただ単純に、あほだ。」

1. 全ネットワーク機器のディフォルトのパスワードを変更しないこと。
2. 複数の機器で同じパスワードを使うこと。
3. SQL関連のコーディング・ミスを見逃すこと
   情報漏洩件数ベースで79％はSQLデータベースがWebサーバー経由で攻撃されている。最も簡単な対処法は、アプリケーション・ファイアウォールに学習モードでユーザーのデータ入力挙動を観察させ、保護モードでSQLコマンドの注入を防がせる。
4. ACLの設定ミス
   通信元によるアクセス制御を細かく行う。
5. リモートアクセスや管理ソフトウェアによるアクセスの許可
   ハッカーが侵入によく使うのがPCAnyware, VNC, SSHで情報漏えいレコード数ベースで27％。これらのサービスをスキャンするか、外向きトラフィックのNetflowを分析してつきとめ、ふさぐ。
6. 重要でないアプリケーションの、基本的脆弱性検査を怠ること
   Webアプリケーション以外も、全プログラムの検査が必要。
7. サーバーに対するマルウェア対策忘れ
8. ルーターにおける、外向き通信の制御ミス
   4番は内向きの話、だが外向きも重要と言うこと。
9. カード情報や個人情報がどこに保存してあるかを把握していない
   本番サーバーは押さえていてもバックアップデータや開発機が抜けているなど。そういえば、DNPの事件も開発環境だった。
10. 10.PCI DSSに従っていない
    カード情報について準拠していても、他の重要データについては同様の対策をしていない場合が多いが、適用する価値がある。 調査結果ではレコード数で98％がカード情報がらみだったにもかかわらず、準拠していたのは19％だけだった。 「明確だ。PCIの規則を採用すべきだ。基本的にそれでうまくいく。」

Air New Zealandのnothing to hideというキャンペーン。
安全説明ビデオで、スタッフが素肌にボディペイントで安全設備の説明をしている。
面白いこと考えたね。

アナウンスは英語だけど、油断して聞くとなに言ってんだかわかんないな。
同じ格好で機内サービスをしているのは、コマーシャルらしい。

ここに説明があった。
Nothing To Hide - Air New Zealand
格安エアラインでは、意外な料金を取られてしまうことがあるけど、ニュージーランド航空は明朗料金、何にも隠してませんよ、と言う意図らしい。
出演しているのは従業員らしい。

Netscapeのマーク・アンドリーセンが3億ドルの投資会社設立。
Marc Andreessen Forms Boutique Venture Capital Firm | Epicenter | Wired.com
今まで個人的にFacebook, Digg, LinkedIn and Twitterと投資してきて、今度はファンドをつくり、次は何に投資するのかと。 こういうときにOpswareは取り上げられないのね。
チップやコンピューターにかかわるものの範囲で、1社当たり5万ドルから5千万ドルまでの範囲で投資する。

Twitterはタイミングが良かった。2年前でも後でも、失敗だっただろう。 これが15年前の問題だった(Netscapeのこと)。 だけど今は、もしそのテーマの価値を認めれば、今投資して、2年後にもう一度、さらに2年後にもう一度、とできる。

こないだまでP&Gのトップだった著者が、ビジネス成長の方法を説いた本。
Business Week誌のブックレビューで2008年のトップ10に入っていた本が、もう翻訳で読める。
良かった。

10億ドルのブランドをいくつ作れて、それぞれを継続的に成長させるためには、と言う話なのでそのスケールは想像の範囲を超えているけど。 やるべきことを把握してきちんとやっていけば成長していけると、考えなければいけないことを全方位的に解説している。 アンタほんとにこれを全部考えて実行できるんかい、と思って、呆然となってしまう。

成功のためには常にイノベーションしていくことが必要。 苦境において、コスト削減やさまざまな対症療法は長期的には役に立たないという。 低迷していたP&Gを再度成長軌道に乗せた人が言うから、重みがある。
ゲームを変えてしまうイノベーションを創造することによって、全体成長率の1.5～2倍の成長を実現していく。と聞くと、「イノベーションのジレンマ」(1997)の破壊的イノベーションの実践者なのかと思うけど。
実際に破壊的イノベーション、と言うコトバも何回も出てくるけど。 言っていることは違う。 特に、～ジレンマ、が技術や斬新なアイディアを重視して従来と違う市場をみつけることを勧めているのに対して、こちらは顧客を学んでそのニーズとウォンツを満足させるための方策を見つける、という。 だからどちらかと言うと持続的イノベーション。 消費者に訴えるデザインなどを軽視するなと強調している。「消費者がボス」

冒頭で、イノベーションを推進する推進する8つの要素が提示され、ここの要素を説明する形で話が進んでいく。
真ん中に、顧客中心/イノベーション/ゲームを変える、とあってその周りに円状に8つの要素が並ぶ： 動機付け、目標、戦略、強み、組織、システム、文化、リーダーシップ。
この形を説明する文章。

消費財商品・サービスであろうと工業製品であろうと、成長と収益を生み出す、ゲームを変えるイノベーションには、包括的な指針となる原則がある。 それは、消費者と顧客をすべての中心に置くことだ。

第1部は概念的、原則的な話。 具体例はいっぱい出てくるけど。
二つの「真実の瞬間」＝商品を手に取るときと、購入後に実際に使用するとき、両方で勝つことが必要。

第2部が参考になった。
とくに、リスクを管理してチームを運営する、と言うところで、新商品開発プロセスの途中で、試作品やテスト、実験、過去の記録などを利用してチェックポイントを設けて推進の是非を判断していく、その内容を説明しているところが参考になった。

翻訳は、ところどころ意味不明なところがある。 でも原著から1年で邦訳が読めるんだから、文句言っちゃいかんか。

ゲームの変革者―イノベーションで収益を伸ばす (単行本)
A.G.ラフリー (著), ラム・チャラン (著), 斎藤 聖美 (翻訳
# 単行本: 412ページ
# 出版社: 日本経済新聞出版社 (2009/5/23)
# ISBN-10: 453231450X
# ISBN-13: 978-4532314507
# 発売日： 2009/5/23
# 商品の寸法: 19 x 13 x 3.2 cm

--- 以下、目次
私たちの目標
イノベーションは、どうP&Gのゲームを変えたか。その理由は?――A・Gラフリー
P&Gのイノベーションは変革の手段になる――ラム・チャラン

第1部 鳥瞰図を描こう
1 消費者がボス――成功するイノベーションの基盤
2 どこで戦い、どのように勝つか?――イノベーション達成に目的と戦略が果たす役割
3 もっとも得意とするところを十分に活用する――強みをイノベーションで再活性化する

第2部 イノベーションを実現する
4 イノベーションのための組織をつくる――イノベーションを可能にする枠組みをつくる
5 イノベーションを日常業務に取りこむ――アイデアの創出から市場展開まで
6 イノベーションのリスクを管理する

第3部 イノベーションのカルチャー
7 イノベーションは団体競技だ――勇気溢れる人とつながりのある文化
8 リーダーの新たな仕事――イノベーションと成長

結論――ジェフ・イメルトはどのようにイノベーションをGEに定着させたか

テキサス州ダラスで、パトカーに追われて逃げまくる車の映像。ニュースで放送されたとのこと。

追いかけっこは2時間続いた由。
道路わきの芝生を走ったり、検問を避けたはずみにトレイラーと接触したり、標識を吹っ飛ばしたり、激しくやってる。
それにしてもこれニュース番組みたいだけど、アナウンサーが、おっパトカーが2台になったぞとか(しかも原文はtwo copsと言ってる)、これで罰金いくらは間違いないとか、オウ見てくれまた戻ったよとか、ひっくり返りかけてまだ走ってるよどこの車だとか、自分の車ならタイヤはもうなくなってるなとか、言いたい放題。
さすがFOX。
最後は、派手に車と激突して止まっている。

あーあとおもって。
もうチョットまともな情報、と思ってDallas Morning Newsをみてみたら。
A day of chases in Dallas County | News for Dallas, Texas | Dallas Morning News | Breaking News for Dallas-Fort Worth | Dallas Morning News
ダラスからリチャードソンへ行って、衝突したのはプラノ･ロード上だと。この辺、20回以上行ったことあるじゃん。プラノ･ロードも何回も走ったことある。妙なところで世界は狭いな。
この記事だと追跡時間は90分と書いてある。 FOXはそんなところまで誇張してんのか。