月別アーカイブ: 2016年6月

AWS EC2へのSSHに対する攻撃を分析してみた (2015年4月〜6月) | ある研究者の手記

富士通研究所の齊藤さんが発表された「SSHログインセンサによるSTBF(Brute Force attacks with Single Trials)の観測」において 一つのIPアドレスからパスワード試行が1回だけ実施されて、次は別のIPアドレスから試行されて、というのを繰り返すBrute force攻撃が確認されたという 事例が報告されていました。これは、一つのホストからパスワード試行を繰り返すと防御側に目立って接続拒否されたり、 共有されているブラックリストに掲載されてしまい他の環境に対しても攻撃ができなるなることを攻撃者が警戒した結果、 ボットネットのように悪性ホストを大量に所有(またはレンタル)している攻撃者が目立たないように1回だけパスワード試行をして去る、という 一撃離脱型の攻撃が連続して発生しているということだと考えられます。 この攻撃に対してはIPアドレスを基準としたパスワード試行回数制限による対策がほぼ無効化されてしまうということが言えます。

引用元: AWS EC2へのSSHに対する攻撃を分析してみた (2015年4月〜6月) | ある研究者の手記.

フィレンツェ最富裕層、600年前と変わらず – WSJ

イタリアのエコノミスト2人が最近行った調査で、驚くべき事実が判明した。現在のフィレンツェで最富裕層に属する家は、600年近く前も同都市の最富裕層だったのだ。

イタリア銀行(中銀)のエコノミスト、グリエルモ・バローネ、サウロ・モチェッティ両氏は、フィレンツェの1427年の記録と2011年の納税データを比較した。イタリアの名字は地域性が高く、見分けやすいことから、名字に基づいて同じ家の両年の状況を比較することができたという。それらの家では、先祖の職業、収入、資産が、同じ姓を持つ子孫の現在の職業、収入、資産を予想するのに役立つことがわかった。

エコノミストの提言を集めたウェブサイト「VoxEU」で両氏は、「現在の納税額がトップクラスの家は、6世紀前に既に社会経済のはしごの最上段にあったことがわかった」と書いている。

調査ができたのは、ある財政危機のおかげだ。1427年、ミラノと戦争中だったフィレンツェ共和国は戦費で破産しかけていたため、執政官が市民約1万人を対象に税調査を実施。家長の姓名、職業、資産を調べたのだ。

そうした名字のうち約900種類はフィレンツェに現存しており、それらの名字を持つ納税者は約5万2000人いる。ある名字を持つフィレンツェ市民が全て1427年当時の同姓の人々の子孫だとは限らないが、その公算は大きい。それらの家の600年間の変遷を知るために、両氏は2011年のフィレンツェの納税データと照らし合わせた(名字を公表しないことがデータ閲覧の条件だった)。

調査では、階層が驚くほど変わっていないことがわかった。現在最も豊かな層に属するのは、1427年に靴職人の組合に加盟していた家で、当時の収入は上位3%に入っていた。絹織物業者組合のメンバーや弁護士の家はともに当時の収入が上位7%に入っており、末裔(まつえい)は現在も裕福だ。

引用元: フィレンツェ最富裕層、600年前と変わらず – WSJ.

4500万件の納税記録の分析により億万長者は税金を高くしても引っ越ししないことが判明 – GIGAZINE

最低100万ドル(約1億1100万円)の年間所得を得ている富裕層およそ50万世帯が移住する割合は2.4%レベルであるのに対し、グラフの左に位置する年間所得が1万ドル(約110万円)の層の実際の移住率は約4.5%となっており、「金持ちほど移住しない」という結果が浮き彫りになっています。

この理由について、ほとんどの富裕層は「働く金持ち」であり、自らのビジネスや生活が深くコミュニティに根付いていることが挙げられます。以下は億万長者の移住率を条件ごとに示した表で、既婚であること・子どもの数が1人以上いること・高齢であること・事業主であること、など条件によって億万長者の移住率が低下することもわかっています。

引用元: 4500万件の納税記録の分析により億万長者は税金を高くしても引っ越ししないことが判明 – GIGAZINE.

良いディフェンダーはタックルをしないし、良いエンジニアは障害対応をしない · takus’s blog

この話は、エンジニアリングの世界に置き換えて考えるとどうなるでしょうか? フォワード陣をプロダクトチーム、ディフェンダー陣をインフラチームやセキュリティチームに当てはめるとしっくり来そうです。

プロダクトチームの評価は、インフラチームやセキュリティチームに比べると、非常に分かりやすいです。 ダウンロード数、アクティブユーザ数、売上など、実際に起きたことを評価に使えます。

一方で、インフラチームやセキュリティチームの評価はディフェンダーの評価と同じように注意する必要があります。 ディフェンダーが良い状況判断でタックルをしなくても済ませているように、 この領域で良いエンジニアは重大な障害が起きる前に良い状況判断で障害の芽を摘み取っているのかもしれないわけです。

評価する側は、起きなかったことに対する評価にはバイアスがかかっていると認識した上で評価した方がよいのはもちろん、 評価される側も、バイアスがあることを認識した上で成果をアピールしていく努力は必要なのかなと思いました。 (誤解がないように書いておくと、今の会社は特別にアピールしなくてもすごく高く評価してくれてる気がします。)

引用元: 良いディフェンダーはタックルをしないし、良いエンジニアは障害対応をしない · takus's blog.

フルスタックエンジニアよりデュアルスタックエンジニア | F’s Garage@fshin2000

これ、何が必要かというと、隣り合う役割の技術的知識や、会話をして問題点や解決案を伝えられるスキルのことを言ってるんです。

理想を言えば、お互いがプロで適切にコラボしあえれば、そんなことは必要ないと思うんですが、現実的には溝があって、ボールが落ちてしまうことが多々有ります。ホントあります。マジで過小責任はロクなことが起きないです。

10年以上前から、そんなシーンを嫌と言うほど見てきました。

Aはこうだと思っていた、Bはこうだと思っていた。お互いにお互いが都合よくやってくれると思っていた。自分の範囲が相手にこういう影響をあたえるとは思っていなかった、なんで相手がこういうことをやってるのかわからない、、、などなど。

そうではなく近接する役割を、自分事としてしっかりこなし、相手を説得するだけの技術力や経験を持ったエンジニアを、仮にデュアルスタックエンジニアと定義した場合、デュアルスタックエンジニアが揃うチームは強いです。

要するに、自分でやれば、その辺まるっと作れなくもないんだけど、あえてチームで役割分担をしているので、効率は非常に高いチームができるわけです。

どうやったらなれるか?というと、自分の技術力の範囲に閉じずに越境することを怖がらないで勉強するということに他ならないでしょう。

人間、ついつい自分のやりたいことしかしないですし、得意な領域や得意な言語をどんどん深掘りしていくほうが楽しいもんです。他の人がやればいいと思ってることは、任せればいいわけですし、もし失敗したら、あいつが悪いって非難すればいいんですから。

それに仕事ではマネージャは、現状最適できればいいわけですから、あえて与えられた範囲を超えて求められることはありません。

しかし、それでは、実は世界の動きに置いて行かれているケースもあるかもしれませんよ。devopsやクラウドを生かすという部分において、越境しないと相手の気持ちがわからないなんてことは多々あります。

つまり自分から外の世界に飛び出る努力をしないと、デュアルスタックにはなれない可能性が高いです。

引用元: フルスタックエンジニアよりデュアルスタックエンジニア | F's Garage@fshin2000.

フィレンツェ最富裕層、600年前と変わらず – WSJ

最富裕層は他のどの層に比べても階層移動が幾分少ないことが調査結果からうかがえると両氏は話す。これは「上流層の末裔が経済のはしごから落ちることを防ぐガラスの床が存在する」証拠だとみられるという。

両氏によると、調査は収入上位1%を占める超エリートに特化したわけではない。1427年に収入分布の上位33%に入っていた人の子孫は現在も裕福なケースが多い。これは、城や領地を数世紀にわたり引き継いでいたメディチ家の当主らよりもずっと大きな集団だ。このことから、繁盛していた皮革業者から25代ほど後の現在の末裔は、かなり暮らしぶりがいいと予想され、それは先祖たちの靴やベルト、ましてや宮殿が受け継がれているためではないとみられる。

調査の結果は、富裕層、中流層、貧困層など全ての層の階層移動がさまざまな時代を通じて少ないことを示唆している。

引用元: フィレンツェ最富裕層、600年前と変わらず – WSJ.

長澤まさみ、北川景子……女優のiCloud盗み見 パスワードを解読した29歳男の“職人芸” (2/3) – ITmedia ニュース

男のパソコンには、女性芸能人の大量な画像のほか、他人のIDやパスワード約1千件が保管されており、著名人も100件以上含まれていたとみられる。被害者はいずれものぞき見されていたことに気付いていなかった。

捜査関係者によると、被害者の多くが、ネット上に公開している名前や誕生日などを組み合わせたパスワードだった。男が特別なツールを使った様子は確認されておらず、手当たり次第ログインを試したとみられる。また、男にのぞき見された被害者のうち、数十人は警視庁が以前摘発した別の男にものぞき見されており、「パスワードが弱かったため狙われたとみられる」と対応強化を呼びかけている。

引用元: 長澤まさみ、北川景子……女優のiCloud盗み見 パスワードを解読した29歳男の“職人芸” (2/3) – ITmedia ニュース.

自衛隊が実弾で撃ち合い、なぜ 幹部「想像超える事故」:朝日新聞デジタル

陸上自衛隊の演習場で5月、敵・味方に分かれた訓練中の隊員同士が実弾を撃ち合うという「戦闘状態」が発生した。空包を撃つはずの銃から実弾が発射された背景に、何があったのか。

空包を請求、届いた時の弾種は「実弾」 陸自誤射問題

空包と誤り実弾配布、79発撃ち合う 北海道の陸自誤射

「想像を超えるような事故」

自衛隊制服組トップの河野克俊統合幕僚長は5月26日の記者会見でこう嘆いた。誤射は同23日午後3時半ごろ、北海道鹿追(しかおい)町の陸自然別(しかりべつ)演習場で起きた。

陸自などによると、訓練をしたのは物資輸送を主任務とする第310輸送中隊。トラックを含む車列が待ち伏せ攻撃を受け、隊員が応戦するという想定だった。敵役の隊員を含め計16人の小銃には空包が込められているはずだったが、実際には実弾が入っていた。この結果、敵役2人を含む9人が計79発の実弾を撃ち合ったという。両者の最短距離は約200メートルだったとみられる。

訓練で使われたのは、1989年度に正式に自衛隊の装備品となった89式小銃(全長92センチ、重さ3・5キロ)。陸自で最も一般的な装備品の一つで、5・56ミリ弾を1分間に最大850発発射できる能力がある。今回の訓練では、空包でも連射できるようにする器具が銃口に取り付けられていたが、実弾が発射されたことで器具が破損。この破片にあたって隊員2人が軽いけがを負った。負傷者が出て初めて、隊員らは実弾だったことに気づいたという。

引用元: 自衛隊が実弾で撃ち合い、なぜ 幹部「想像超える事故」:朝日新聞デジタル.

米軍、核兵器運用に今も8インチフロッピー使用 写真1枚 国際ニュース:AFPBB News

【5月26日 AFP】米軍の核兵器運用部門が、いまだに1970年代に開発された8インチのフロッピーディスクを使用していることが、米政府監査院(GAO)が25日に発表した報告書で明らかになった。

報告書は、米政府機関の多くで既に時代遅れとなった「レガシーシステム」が使用されており、早急な新システムの導入が必要だと指摘している。

米国防総省では、大陸間弾道ミサイル、戦略爆撃機、空中給油・支援機などの核戦力の運用機能を調整する指揮統制系統で、1976年発売のコンピューター「IBMシリーズ/1(IBM Series/1)」や8インチフロッピーディスクが用いられているという。

国防総省報道官のバレリー・ヘンダーソン(Valerie Henderson)中佐はAFPの取材に対し、旧式システムを使っている理由を「簡単に言えば現在も機能しているため」と説明したうえで、「老朽化が懸念されていることから、2017年末までにフロッピードライブをSDメモリーリーダーに置き換える予定だ」と付け加えた。

GAOの報告書では、国防総省は2020年末までにシステム交換を完了させる計画だとしている。報告書はまた、連邦政府がコンピューターシステムの「開発、最新化、機能強化」よりも「運用と整備」に多大な経費を投入していると指摘。例として、昨年には612億ドル(約6兆7000億円)が運用・整備に投じられたのに対し、その他の分野には192億ドル(約2兆1000億円)しか投じられなかったことを挙げている。(c)AFP

引用元: 米軍、核兵器運用に今も8インチフロッピー使用 写真1枚 国際ニュース:AFPBB News.

海外クレジットカードのキャッシングに対応していたATMが攻撃された件(山本一郎) – 個人 – Yahoo!ニュース

偽造カードを使ってATMから不正に現金を引き出す事件を巡っては、二〇一二~一三年に日本を含む二十数カ国の金融機関から約四十五億円が不正に引き出されており、警視庁がルーマニア人グループの男らを国際手配したことがある。

出典:東京新聞

ちなみに、このルーマニア人グループの一部は、泣く子も黙る世界規模のスパムメールのシンジケートを経営していたファミリーも混ざっており、この手の犯罪がいかに世界規模なのかを思い知らせてくれます。

南アフリカの銀行が発行したカード情報が利用された事実や過去の事例から推測するに、今回もまた外国人犯罪グループによる可能性は高そうです。それにしても同時多発的かつ何度も執拗に引き出しを繰り返した犯行が実行されたあたり、その統率力の高さは驚くべきものがあり、なんとも軍隊的な匂いを感じなくもありません。実際に引き出しが行われた状況はどんな感じだったのか気になるところです。

デジタルな時代になりネットワークを経由してサイバー空間だけで大がかりな強盗が成立する時代に、今回のようなある意味でアナログな人海戦術による犯行が起きたというのは、もしかしたらちょっとした盲点だったのかもしれません。

引用元: 海外クレジットカードのキャッシングに対応していたATMが攻撃された件(山本一郎) – 個人 – Yahoo!ニュース.