パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

12861560 story
データベース

MITの研究チーム、文法や構文の注釈を入れた非ネイティブ英語話者による英文のデータベースを公開 51

ストーリー by headless
特徴 部門より
米国・マサチューセッツ工科大学(MIT)の研究チームが、ネイティブでない英語話者が書いた英文に文法や構文の注釈をすべて入れ、データベースとして公開した。この種のデータベースとしては初の大規模なものだという(MIT Newsの記事The Vergeの記事)。

データセットは英語を第2言語とする学生が試験で書いた論文から抽出した5,124の文で構成され、それぞれ1つ以上の誤りを含む。世界人口のおよそ40%が母国語とする10言語のネイティブスピーカーがほぼ均等になるように抽出されているという。データセットのオリジナルソースは英ケンブリッジ大学が公開したもので、誤りに関する注釈だけが入れられていたそうだ。

データセットに情報を追加するため、研究チームはMITの学生および大学院生を募集し、8週間にわたって注釈の入れ方についての指導を行った後に作業を開始した。注釈は品詞の区分、単数・複数や時制などの区分、Universal Dependencies (UD)の手法に基づく単語間の構文上の関係、という3つのレベルで、誤りの訂正前・訂正後両方の文に対して入れられている。研究を率いたYevgeni Berzak氏はオンラインインターフェイスも作成しており、Webブラウザー上でデータセットを参照可能だ。

英語はインターネット上で最も多く使われる言語だが、英語話者や英文作成者の大半は英語を母国語としない人々が占める。しかし、科学的な英語研究や自然言語処理を行う際には、この点が軽視されがちだという。ネイティブでない英語話者には前置詞を外す/追加する。特定の時制を別の時制に置き換える、特定の助動詞を誤用するといった傾向がある。今回のようなデータセットを機械学習に用いることで、非ネイティブ英語話者をターゲットにした文法訂正ソフトウェアの開発などにつながることを研究者らは期待しているとのことだ。
12821178 story
データベース

国立健康・栄養研究所、水素水に対し安全性・有効性について「信頼できる十分なデータが見当たらない」との見解を出す 59

ストーリー by hylom
このデータベース自体も面白い 部門より

「健康食品」の素材情報データベース』を公開している独立行政法人国立健康・栄養研究所が、「水素水」についての情報を公開している。これによると、水素水は人での有効性や安全性について信頼できる十分なデータが見当たらず、根拠がないという(産経新聞)。

ここでは下記のように記されており、「水素水」の有効性について根拠が無いことを示している。

俗に、「活性酸素を除去する」「がんを予防する」「ダイエット効果がある」などと言われているが、ヒトでの有効性について信頼できる十分なデータが見当たらない。現時点における水素水のヒトにおける有効性や安全性の検討は、ほとんどが疾病を有する患者を対象に実施された予備的研究であり、それらの研究結果が市販の多様な水素水の製品を摂取した時の有効性を示す根拠になるとはいえない。 水素分子(水素ガス)は腸内細菌によって体内でも産生されており、その産生量は食物繊維などの摂取によって高まるとの報告がある。従って、市販の多様な水素水の製品を摂取した水素分子の効果については、体内で産生されている量も考慮すべきとの考え方がある。

そのほか、水素水に関連するいくつかの論文も紹介されているが、安全性および有効性の療法で「信頼できる十分なデータが見当たらない」との総合評価が下されている。

12774818 story
情報漏洩

ICIJ、「パナマ文書」および「オフショアリークス」内を検索できるデータベースを公開 98

ストーリー by hylom
調べてみよう 部門より
あるAnonymous Coward 曰く、

租税回避地として知られるパナマで法人登記などを手がける事務所から大量に流出した、通称「パナマ文書」を調べているICIJ(The International Consortium of Investigative Journalists、国際調査報道ジャーナリスト連合)が、パナマ文書およびそれ以前に流出していた通称「オフショアリークス」内を検索できるデータベース「Offshore Leaks Database」を公開した。約32万のオフショア企業などを検索できるという(産経新聞毎日新聞)。

国別での検索が可能で、検索ワードを指定せずに「Japan」を選択して検索を行えば日本の関係企業・個人が表示される。なお、表示される情報はその名称や登記を行った日付、関連する個人や企業といったものに限られる。

12708851 story
海賊行為

海賊が船会社のサーバーから積荷の情報を取得、船を攻撃して高価な積荷だけを奪う 19

ストーリー by headless
本物 部門より
VerizonのRISK Teamが調査を手掛けたサイバーセキュリティー事件の中に、海賊が船会社のサーバーに侵入したというものがあるそうだ(Verizonのリポート: PDFArs Technicaの記事The Registerの記事Softpediaの記事)。

RISK Teamは国際的な海運コングロマリットから、海賊に過去数か月悩まされているという相談を受けた。外洋での海賊行為は珍しくないが、船を乗っ取って船員を人質に取り、身代金を要求する一般的な海賊とは異なっていたそうだ。海賊は船に乗り込んで船員らを一か所に集めると、バーコードをチェックして高価な積荷を特定し、中身だけを短時間で持ち去っていたという。

RISK Teamが調査を行ったところ、被害者は自社で開発したWebベースのコンテンツマネージメントシステム(CMS)を使用して積荷や伝票を管理していることが判明。海賊はCMSの脆弱性を利用してサーバーにWebシェルをアップロードすることで、積荷やスケジュール、航路などの情報を取得していたとのこと。

しかし、海賊はWebシェルとの通信を暗号化しておらず、RISK Teamはフルパケットキャプチャで攻撃の全容を把握できたという。また、プロキシサーバーも使用していなかったため、海賊が使用するIPアドレスも判明。被害者は侵入を受けたサーバーをいったん停止させて海賊のIPアドレスをブロックし、パスワードの変更やCMSの更新などを行ったとのこと。さらに定期的な脆弱性スキャンなども実行するようになったそうだ。
12706252 story
データベース

日本オラクルがDBライセンスを変更 43

ストーリー by hylom
小規模ユーザーにとっては値上げ 部門より
あるAnonymous Coward 曰く、

日本オラクルがOracle Databaseのライセンス体系を変更、Standard Edition One(SE1)の廃止を行った(日経ITpro)。

68万6,000円/プロセッサという価格設定だったSE1がなくなったことで、SE1ユーザーは保守費用がアップすることになる。昨年にはSEの廃止とSE2の導入も行われており、ここでも条件変更によるコスト増が懸念されていた。

12665339 story
軍事

電気系統のトラブルによる米軍のドローン墜落が多発 34

ストーリー by hylom
まだ信頼性には不安が? 部門より
あるAnonymous Coward 曰く、

オバマ政権は、ISやアルカイダなどの対テロ任務に無人攻撃機(ドローン)を多用している。しかし、ワシントンポストの調査によると、米軍は世界中でドローンのクラッシュ問題を抱えているという。2001年以降、クラスAに分類される事故は237件にも登るという。昨年はドローンの墜落や事故が20件発生、200万ドル以上の損害を出した。中でも米空軍の最新型ドローンであるMQ-9リーパーが墜落事故の半数を占めたことが問題視されている。

空軍関係者によると、リーパーの墜落は電気系統のトラブルによる主電源喪失によるものであるようだ。リーパーには緊急バッテリバックアップが用意されているが、バッテリー容量が少ないことから基地への帰還が困難な場合は人のいないところに墜落させている模様。研究者やエンジニアはスタータジェネレータに原因があるとにらんでいるが、現時点では問題は解決できていないとしている(ワシントンポストGIZMODOSlashdot)。

12638694 story
情報漏洩

米国の有権者約1億9,100万人分の情報を含むデータベースが公開状態になっていた 52

ストーリー by headless
全員 部門より
米国の有権者約1億9,100万人分の情報を含むデータベースが閲覧用パスワードなども設定されないまま、インターネット上で公開状態になっていたそうだ。誰がデータベースを設置したのかもわかっていないとのこと(DataBreaches.netの記事CSO Online - Salted Hashの記事The Registerの記事BetaNewsの記事)。

このデータベースには有権者のフルネームや性別、住所、生年月日、電話番号、支持政党、人種といった有権者登録時に記入する情報(PDF)に加え、2000年以降の投票履歴や投票の予測スコアも含まれるという。ただし、社会保障番号や運転免許証番号などは含まれていない。有権者データは基本的に公開されているが、用途や提供先などに制限が設けられている州もあり、こういった州の有権者データも含むデータベースはインターネット上での公開が可能なものではないとのこと。

データベースを発見したのは、先日サンリオタウンのユーザーアカウント情報が公開状態になっていることを発見したセキュリティ研究者のChris Vickery氏。確認のために自分のレコードを取り出したVickery氏は、自分を特定可能な詳細な情報が含まれていたのを見て強いショックを受けたという。

予測スコアの情報が含まれるところから、Vickery氏やDataBreaches.net、Salted Hashは、こういった情報を提供する政治関連のコンサルティング会社に問い合わせを行っているが、データベースの作成者や設置者は見つかっていない。また、Vickery氏とDataBreaches.netのDissent氏は司法当局にも通報しており、現在データベースはオフラインになっているとのことだ。

なお、データの形式や有権者に割り当てられているIDから、公開状態になっていたのはNationBuilderのデータを元に作られたデータベースとみられている。ただし、NationBuilderでは同社が提供したデータが含まれている可能性が高いものの、データベース自体は同社のものではないとの声明を発表している。
12627502 story
情報漏洩

サンリオタウン、アカウント情報330万件が公開状態になっていた 26

ストーリー by headless
公開 部門より
サンリオの公式オンラインコミュニティサイト「サンリオタウン」のユーザーアカウント情報330万件を含むデータベースが公開状態になっていたそうだ(The SanrioTown OFFICIAL Blogの記事CSO Onlineの記事V3.co.ukの記事The Guardianの記事The Registerの記事)。

公開状態になっていたデータベースのレコードにはユーザーの姓名、エンコードされた(ただし簡単に復元可能な)誕生日、性別、国名、メールアドレス、ソルトの使われていないSHA-1パスワードハッシュ、パスワードのヒントと答えが含まれるという。

この件についてサンリオは、サーバーの設定ミスによりデータベースが公開状態になっており、サーバーのIPアドレスを知っていればアクセス可能であったと発表。設定は報告を受けて修正済みで、実際にユーザー情報にアクセスされたり、悪用されたりした形跡はないとのこと。なお、公開されていたデータベースには18歳未満のユーザーのレコード18万件以上が含まれるとのことだ。
12526457 story
データベース

配車サービスなどを手がけるUber、スマートフォンをデータセンターのバックアップに使用するシステムを開発 7

ストーリー by hylom
技術的には可能だが 部門より
あるAnonymous Coward 曰く、

スマートフォンアプリによる配車サービスなどを手がける米Uberが、Uberと契約しているドライバーのスマートフォンをデータセンターのバックアップに利用するシステムを開発したそうだ(PublicKey)。

配車サービスで使われるデータを暗号化してドライバーのスマートフォン内に保存しておき、万が一データセンターで障害が発生した場合にそのデータを別のデータセンターに送信して複製する、というものらしい。

多分実際にはセキュリティ的に穴だらけでしょうが、あるんですねこんな方法。

12506307 story
データベース

メタボ検診データベースの不備、会計検査院が厚労省に改修するよう求める 58

ストーリー by hylom
放置 部門より
Hamo73 曰く、

2013年に「厚労省の診療データベース、データの不備によって突き合わせできず 」という話があったが、このシステムはまだ改修されておらず、活用されていないそうだ。そのため会計検査院が厚生労働省に対しシステムを改修するよう求めたという(NHK日経新聞)。

厚労省は2012年の時点で照合率の低さを把握していたと見られており、2013年には報道もされたもののその後も適切な対応を怠っていたことから、会計検査院からの指摘が入ることになったようだ。なお、厚労省はこれを受け今年7月に民間業者と改修契約を結んだという。

厚労省は「すでに集めたデータも照合できるように今年度システム改修を進める」としているが、ハッシュ値を直すには原データが必要だろう。全データの入れ直しになるのではないだろうか。

12505187 story
Firefox

Mozilla、Bugzillaが不正アクセスを受けて未公開の脆弱性情報が流出していたことを公表 15

ストーリー by headless
公開 部門より
Mozillaは4日、バグトラッカーのBugzillaが不正アクセスを受け、未公開の脆弱性など一般公開されていなかったバグ情報が流出していたことを公表した(Mozilla Security Blogの記事VentureBeatの記事Ars Technicaの記事)。

一般公開されないバグ情報にアクセスできるのはBugzillaの特権ユーザーのみだが、パスワードが流出した他のWebサイトと同じパスワードを使用していたユーザーのアカウントが不正アクセスに使われたとみられる。確認された不正アクセスで最も古いものは2014年9月で、2013年9月には不正アクセスが行われていた可能性もあるとのこと。

攻撃者のアクセスが確認された未公開バグ185件のうち、重大な脆弱性は53件。このうち43件は攻撃者がアクセスした時点で修正済みであり、攻撃者がアクセスしてから修正までの期間が7日以内のものが2件、7~36日が5件、131日が1件、157日が1件、335日が1件となっている。

修正までの期間が36日以内の脆弱性のうち、1件は8月5日に攻撃が確認され、8月6日のアップデートで修正されたもの。これ以外に流出した脆弱性による攻撃は確認されておらず、8月27日リリースのFirefox 40.0.3ですべて修正されているとのこと。

不正アクセスの発生を受けてMozillaでは、Bugzillaの特権ユーザーにパスワードの変更と2段階認証の利用を義務付け、特権ユーザーの数も減らしていくとのことだ。
12249690 story
インターネット

北米でもIPv4の在庫が不足 94

ストーリー by headless
枯渇 部門より
あるAnonymous Coward 曰く、

北米でもIPv4の枯渇が始まったようだ。北米を管轄する地域インターネットレジストリのARINは、IPv4アドレスの分配を制限すると発表した。個人や企業にはIPv6への乗り換えを行うことを推奨している。それでも必要な場合は、条件を満たした上でIPv4が返却されるのを待つ必要があるという(ARINのアナウンスV3.co.ukの記事Slashdotの記事)。

一方、英国では雇用年金省が使っていないIPv4アドレス1,680万個の売却を始めたことが、5月に報じられている(BBC Newsの記事V3.co.ukの記事)。

現在もARINでは限られた数のIPv4アドレスを持っているが、ブロックサイズが小さいため、割り当ての要求に応じられないこともある。この場合、要求者は Unmet Requestポリシーに従い、ARINで確保可能な最大ブロックサイズの割り当てを受け入れるか、ウェイティングリストに登録するか、割り当てを受けないかの3つの選択肢から選ぶことになる。ARINでは大きなブロックサイズが必要な場合、IPv4市場の利用を推奨している。

12119798 story
データベース

MySQL 5.7.4で導入された「パスワードの有効期限」設定にご注意を? 30

ストーリー by hylom
まだ採用ディストリが少ないからセーフかも? 部門より
あるAnonymous Coward 曰く、

昨年3月31日にリリースされたMySQL 5.7.4で新たに導入された「default_password_lifetime」システム変数について、その挙動に注意が必要という話が話題になっているはてなブックマーク)。

このシステム変数は、「パスワードの有効期限」を日単位で設定するもの。Changes in MySQL 5.7.4ドキュメントによると、パスワードを変更してからこの変数で指定された日数が経過すると、そのパスワードが失効するというものだ。デフォルト値は360、つまり約1年で、ドキュメントには「パスワードは年一回更新すべきである」と記されている。

ユーザーのパスワードを変更した日付はmysql.userテーブルのpassword_last_changedカラムに記録されており、ログイン処理を行う際にこの値を参照する仕組みのようだ。また、password_lifetimeカラムでユーザー毎の有効期限を設定することも可能だ。より詳しい情報はドキュメントのPassword Expiration Policy項にまとめられているが、パスワードの有効期限が切れていた場合、ログインはできるもののパスワードを変更するまでそれ以外のデータベース操作が一切行えなくなるという。

定期的にパスワードを変更することに意味があるのか、という議論はおいておいて、大きな問題点としては、この設定がデフォルトで有効になっているということだ。そのため、知らぬ間に突然アプリケーションが動かなくなる、といった現象が発生する可能性がある。さらに凶悪なことにログインはできるのにクエリは行えないという状況になるため、パスワードに有効期限が設定されているという知識がない場合、原因不明で特定のアカウントからのみクエリが行えない、という状況に見えてしまう。

MySQL 5.7.4がリリースされてから1年と2か月ほどが経過し、そろそろアカウントを作成してから360日が経過するシステムが登場してくるところだ。なにか大きなトラブルにならなければ良いのだが……

11973172 story
データベース

MySQL/MariaDBではなくPostgreSQLを選ぶ理由 56

ストーリー by headless
比較 部門より
本家/.「Why I Choose PostgreSQL Over MySQL/MariaDB

過去10年、開発者や技術者はMySQLとPostgreSQLを比較し、後者が技術的には優れていると考える人が多かった。PostgreSQLの支持者は、そのANSI標準サポートやACID準拠がMySQLのスピードに勝ると主張する。しかし、すべてのLinux Webホスティングパッケージに含まれることから、非常に多くのWeb開発者がMySQLを使い続けている。Diceの記事では、開発者のDavid Bolton氏がMySQL/MariaDB 5.7.6(2015年3月9日、コミュニティーにリリース)とPostgreSQL 9.4.1を比較し、サブクエリやJSONサポート、ライセンス、データの完全性といった点で現在もPostgreSQLの優位性は変わらないとみる。10年以上にわたって両方のデータベースを使用しているというBolton氏は、MySQLにも改善はみられるものの、PostgreSQLを支持するとの結論に達している。

11951731 story
セキュリティ

Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた 7

ストーリー by hylom
クラウド時代の恐怖 部門より
insiderman 曰く、

タクシー配車サービスを提供する米Uberが、タクシードライバーの個人情報を漏洩させる事件が先日発生したが、これら個人情報が格納されているデータベースに接続するための情報が、誤ってGitHub上で公開されていたという話が出ている。

Ars Technicaによると、GitHubのリポジトリではなく、テキストやメモ、コードスニペットなどの公開に使われる機能「gist」上で、認証不要でドライバーの名前や運転免許証番号にアクセスできるセキュリティキーが公開されていたという。Uberによると、「Uberの関係者以外はこのファイルにアクセスできる権限はない」と述べているそうだが、2014年2月にUber従業員とは関係ないIPアドレスから、関係ないユーザーがこのファイルをダウンロードしていたことが明らかになったという。

ちなみに、gistにはアクセス制限機能はなく、「非公開」に設定してもそのURLが一覧ページに表示されず、直接URLを入力すればその内容にアクセスできる。そこらへんの罠にはまってしまったような気もする。

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...