2009年04月の記事一覧 | 傀儡師の館.Python

管理者権限の乱用で顧客情報流出かぁ (2)

先日、管理者権限の乱用で顧客情報流出かぁを書いたが、その後、［続報］顧客情報の入手業者が80社に拡大、三菱UFJ証券の顧客情報流出なのね。この事件、セキュリティの問題を考えるためにも、ちょうどよい題材なので、引き続き追っかけてみる。この事件、日経コンピュータが頑張って記事にしている。興味本位の煽り記事ではなくて、［詳報］業績に大きな打撃、補償には適切に対応---三菱UFJ証券の秋草社長が会見のような記事を見ても、しっかりとした記事になっていて、さすがにこういうものは、しっかりとしたマスメディアでないとなかなか読めないなぁと好感が持てる。アクセスランキングもトップ3をこれ関連が占めていて、IT業界の人とかは人ごとじゃない＋飯の種になる？とかで関心が高いのだろうか。アクセスランキングの下に WebFOCUS が関連記事として出ているのが皮肉っぽい。というか、コンテンツ連動で関連記事を出したり、広告を出したりすると、こういうことが起きるわなぁ。気になっていたのが ID とアクセス権のところ。－元社員は同僚のIDを入手して不正に利用していたというが、これを防ぐ体制はなかったのか。前田　さまざまな部署に、システムのデータを加工して資料を作成する社員がいる。こうした社員はシステムの専門家ではないので、画面がフリーズするなどトラブルがあった場合などに、元社員が支援を担当していた。今回のデータ抽出で元社員は、以前に相談を受けていた社員のIDを使ってなりすまし、WebFOCUSと呼ぶシステムにログインした。WebFOCUSにアクセスできるのは社内で48人に限定されている。［詳報］業績に大きな打撃、補償には適切に対応---三菱UFJ証券の秋草社長が会見WebFOCUS というのは、関連記事にある WebFOCUS 7.6.8【米Information Builders】オペレーショナルBIをうたうWeb型レポート作成ソフト (WebFOCUS 製品概要) のことなのかな。UFJ銀行などでも導入されていたようだから、これかな。シンプルでパワフルな開発環境なのね。対応プラットフォームも広いし、けっこう使っているところがあるのかな。オートデモとかも見てみる。確かに便利そうだし、値段もBI ツールという点からは安いというところがメリットなのかな。昔、Crystal Reports とか試しで使ったことがあるけど (Crystal Reportsで作る高品質なWebレポート)、SAP に買収されちゃったのね、というのは関係ないが。WebFOCUSに戻って、アクセスログ照会とか見てみると、ログに ID が記録されていないから、ゆるゆるって感じ。作り込みで ID ごとのアクセスログとか落とせるようにできるのかなぁ。これはいくらなんでも緩すぎで不味そう。でも、調べてみたら、監査れポータルってのがちゃんとあるのね。監査れポータルは、多種多様なシステム上のログを分析し、「ＩＴ全般統制の運用状況の評価」を支援するモニタリング・ツールです。“セキュアコンポｆｏｒＷｅｂＦＯＣＵＳ”－レポーティングシステムのセキュリティは万全－とか、WebFOCUSでセキュアな情報活用をのあたりを見るとだいたいのところが分かる。Active Directory との連携もできる。統合ログ管理システム「Logstorage（ログストレージ）」と内部統制評価支援ツール「監査れポータル」との連携を簡便化～「Logstorage for 監査れポータル」の販売開始～ものも出ているし。このあたりも参照。三菱系では、アシストと三菱電機インフォメーションテクノロジー、内部統制評価支援で協業が 2008年9月1日に出ている。でも、三菱UFJ証券の場合、記事から推測するに、こうした監査はできていないってことなんだろうな。

「IronPythonでのnullは？」と尋ねられて IntPtr.Zero ではいかがかと答える

掲示板に、次のような質問が掲示板に書かれていたので、ネタにしておく。IronPythonでのnullは？ (投稿者: bucoさん)はじめまして。Pythonに触れ始めて時折こちらのサイトをご参考にさせていただいております。ところで、こういったところにご質問を書くのもすごく恐縮なのですが、文献や参考サイトも少なくどうしても分からないことがあるのでご質問させてください。IronPythonからC#で作成したdllを呼び出して使用しようとしました。そこで、dllの中に関数の引数にnullを渡したいのですが、渡し方が分りません。PythonではNoneとなっておりますが、C#にNoneを渡すと型が違いますとエラーがでます。C#のdllの引数にIronPythonからC#でいうnullを渡すことはできないのでしょうか。ご質問に答えていただければ幸いです。 (April 6, 2009 13:50:58) IronPythonから C#で作成したdllを呼び出すとき、関数の引数にnullを渡したいということで、None では型が違うとエラーになるので、その場合は、どうしたらよいかということ。ここからは、第六感で答えたわけだけど、[IronPython] Null pointer passing みたいなことなのかなぁと思ったから、from System import IntPtrしておいて、IntPtr.Zero を渡したらどうなるでしょうか？(April 10, 2009 07:39:48) たぶん、そういうことなんじゃないかなぁと思って返事をしておいたら、ちゃんと返答があって、ご返答ありがとうございます。IntPtr.Zeroを渡すことで無事引数を渡して関数を実行することができました。ありがとうございます！ (April 10, 2009 16:51:39) ということで、解決したようだ。IntPtr に関しては、IntPtr 構造体や IntPtr.Zero フィールドのあたり参照。このフィールドの値は、 null 参照 (Visual Basic では Nothing) と等価ではありません。 IntPtr のインスタンスが 0 以外の値に設定されているかどうかを効率的に確認するにはこのフィールドを使用します。たとえば、変数 ip が IntPtr のインスタンスであるとします。この変数が設定されているかどうかを確認するには、同変数とコンストラクタから返された値 (たとえば " if ip != new IntPtr(0)... ") を対比します。コンストラクタを呼び出して初期化前の状態のポインタを取得するのは非効率的です。その場合は " if ip != IntPtr.Zero... " または " if !IntPtr.Zero.Equals(ip)... " とコーディングすることをお勧めします。例えば、デスクトップ上のすべてのメイン・ウィンドウを列挙するには？みたいな例では、foreach (Process p in Process.GetProcesses()) { if (p.MainWindowHandle != IntPtr.Zero) { Console.WriteLine(p.ProcessName + " : " + p.MainWindowTitle); } }のように使われる。new IntPtr(0) としないで、効率化のためにIntPtr.Zero が使えるわけね。普段 Python のプログラミングだけだと、型を気にすることはないけれど、型が問われるときには、こういうことをしなきゃいけないことも出てくる。鋼鉄の蛇使いへの道 - IronPythonの復習 (ふにゃるん) のあたりも参照。>>> import clr>>> clr.AddReferenceToFile("csextend.dll")>>> import Simple>>> from System import IntPtr>>> Simple.MessageBox(IntPtr(0), "hello IronPython", "hello", 0)1ここでは、IntPtr(0) としているけれど、こういう場面でも ItrPtr.Zero を使えばよいかな。なお、掲示板への書き込みは、いつもチェックしているわけではないので、書かれていても気がついていないときもありますので悪しからず。書かれてもスパムが多いので、ときどきざっくり削除してます。加えて、一部の文字列が投稿制限で使えないとか制限がかかってます。なお、この質問に関しても、掲示板の方は、あとで削除しちゃいます。ということでブログのネタにしておくのであった。IronPythonの世界

重要指標としての言葉の出現頻度

「グレート」は重要指標を読む。米電機大手ＧＥ（ゼネラル・エレクトリック）の株価急落に伴い、同社幹部が連発した「グレート（素晴らしい）」という言葉も急減した。「グレート」は重要指標以前、経済参謀不在の日本の株価、底堅い指数 (August 1, 2007) とか書いたことがある。「底堅い」という言葉に注目するとおもしろいと言うことを書いた。ロイターは訂正する (May 2, 2008) でも、不思議なことに底堅いが増えると、加熱している状態でしばらくすると株価が下げるのはいつものこと。VIX指数との逆相関性が高い。と書いた。やっぱり日経平均大谷場安かぁ (February 29, 2008) のあたりでも取り上げた（他にもいくつもあるが）。言葉の出現頻度に着目すると、トレンドが分かりやすいときがある。が、この「底堅い」は FX が流行始めてから、徐々に株価との連動性が下がっていったような感じ。為替に言及するものの割合が増えたので、株価ではなく、円ドルレートの底堅さを語る文脈が増えてしまったから。ということで、言葉というのは時代によって使われる文脈が代わり、意味も微妙に変わってくるから、長期に渡って同じ意味を持つ指標として使うのはなかなか難しい。ちなみに、この関連に注目したモルガン・スタンレーのアナリスト、スコット・デービス氏はこの分析を、投資判断には利用しないとしている。「グレート」は重要指標これは、モルガン・スタンレーのアナリストのレベルでは当たり前のこと。そんなものでレーティングに影響があったらたまったものじゃないｗけれども、言葉遣いに気をつけてみると、決算書に現れないトーンを感じ取ることができるというのはあるだろう。役員の言葉にやたら景気のよい言葉が増えてピークに達して、それが減り始めたら、大きな変調の時と捉えること自体は、直感的な指標として有効かもしれないが。景気動向指数的な感じで。メンタルな側面は捉えられるかもしれない。もっとも、単独の単語の場合は、指摘されることで使う側の意識が喚起されるから目安以上には使えないけど。面倒なのでやらないけれど、上場企業の決算書に現れている「サブプライムローン」という言葉の数をカウントして、これをグラフ化してみるとおもしろいと思う。「サブプライムローンの影響で」云々といった記述がどのように変動していったか。見方を変えれば、サブプライムローンという言葉が決算書の中から消えるに従って景気回復が本物になっていくということになるだろう。まあ、いつのことになるか分からないけど、来年の後半あたりになると、減少の兆しが出てくるんじゃないだろうか。2011年になるとかなり減るだろう。んー、でもサブプライムローン問題に端を発する景気後退云々でという記述は景気が良くならない限り消えないだろうから、完全に消えるのはいったい何年後になるんだろう。。。。。Googleトレンドで「増資」を調べてみる。こういうのって長期のスパンで見るとあまり正確なことは分からないなぁ。でも、ピーク時にどういうニュースがあったのかという視点で見ると、やはりおもしろい。野村證券とか、東芝の増資の話は三菱ＵＦＪの増資のときよりもインパクトはなかったのね。三井住友ＦＧの増資の話もピークとしてはでてこないのか。もうちょっと細かく、増資の企業がピックアップされていると、時代によって、どの分野の企業が巨額の増資したかが分かって、おもしろいんだけど。とりあえず、2008年、2009年は金融業が多いっていうのは、今は見なくても分かるけど。5年も経つと忘れちゃうし。Googleトレンドで「倒産」を調べてみる。すごい右肩上がり。実態も倒産数がスゴイからなぁ。じゃあ、Googleトレンドで「自殺」を調べてみると、意外に伸びていないのね。まあ、この数年、3万人台で安定しているっていうのがあるからなんだろうか。むしろ、2004年がピーク値つけているのね。もしかすると、2010年か2011年頃に再びピークを付けるかな。それにしても、年間 3万人以上の自殺者が出るという状況が続く国というのは、どういうものなんだろうなぁ。という話は置いておき、何かを知るのに重要な指標となるような言葉をいかに抽出すべきか。単純な出現頻度（ランキング）では分からないけれども、一定期間のナニカの具体的な指標と相関するような言葉が抽出されるとおもしろいのだけど。

管理者権限の乱用で顧客情報流出かぁ

元部長代理、指導役の立場悪用　三菱ＵＦＪ証券顧客情報売却を読む。同僚のパスワードで接続、不正アクセスで警察捜査へなのね。こういう事件は、そのうち起きるんじゃないかと思っていたのだけど。パスワードを盗めたというのであれば、生パスワードがデータベースに登録されていたということなんだろうか。もし、そうであれば、どうしようもないシステム。パスワードをデータベースに登録するときには例えばハッシュ値を登録するとかで、生はないよなぁ。生パスワードを登録していなかったけれど、力業で解読しちゃったというのであれば、別だけど。例えば DB 自体のユーザのパスワードなら生パスワードが登録されているはずはないから、やっぱり盗むならアプリケーションのレベルか、それともキーロガーの類で盗んだのだろうか。やり方はどうであれ、他人の犯行に見せかけるというのが、悪質。ハッシュといえば、無線LANで WEP を使ったらダメで MD5 も、もうダメって話を書いたけれど、MD5破りにGoogleを活用とかいう話もあるようなので、単語をパスワードにして単純に MD5 で変換しているだけだと、一瞬で破れちゃうかもしれない。Anti-WMAC MD5BRUTE とか、オンラインでも http://passcracking.com/ みたいなものがあるし。そもそも、研究機関によるMD5対する衝突攻撃(collision attack)の実現可能性にの実証に関してみたいな話もあるし。MD5 (Wikipedia) のあたりも参照。MD5コリジョンでインチキ認証局は作れる（ネットにとっては悪い報せ）なので日本ベリサイン、MD5利用のSSL証明書を発行停止になっているし、偽のSSL証明書作成を研究者グループが実証、200台のPS3を使用とかニュースがあったな。それにしてもシステム管理権限を持っているような人が、こういうことをすると、どうしようもない問題が多い。そうなると操作をすべてチェックして、怪しい操作をチェックしましょうとかいう話になって、とてつもなく面倒な話になる。指導役の元部長代理は、社員が顧客情報を取り扱っている場合、自身も情報を自由に引き出すことが可能だった。元部長代理は、抜き出した顧客情報を社内サーバーに一時的に保存。定期的なマーケティング業務に紛れ込ませる形で、オペレーターを使ってＣＤに記録させ、持ち帰っていたという。元部長代理、指導役の立場悪用　三菱ＵＦＪ証券顧客情報売却こういう確信犯に対しては、そのログ、活用できていますか内部統制時代の統合ログ管理を考えるとかいう話になってくるわけだが、これもまた大変で、コストもかかる話。運用をやっている部署とは別の監査部門がチェックしないと、こういう問題に対しては意味ないし。三菱ＵＦＪ証券の場合は、その手の内部監査が機能していなかったということになるんだろうか。外部からのクレームで事件が発覚して調査しているうちに犯人特定に成功したとすると、最終的にどうやって犯人特定につなげたのとかも興味あるな。名簿業者にデータを売ったときに、自分の個人情報を提供していたからとかで足がついたとかかなｗデータにアクセスできるのが8人と絞り込まれて、そこから一人一人問いつめていったのか。何はともあれ、管理者がそういうことをするのが意識される時代というのは（この手の犯罪は昔からなんだろうけど）、とっても窮屈で手間がかかる時代でもある。情報漏洩のかなりの部分は内部犯行。CD-ROM 持ち出しをしているのだから、CD-ROM に個人情報を書き込んだ場合には履歴を記録して、自動的にチェックがかかるようにすれば、とりあえず、低コストで同じような犯行は防げるだろうけど、内部犯行は悩ましいわね。お役所関連で言えば、例えば税務署とか、社会保険庁にしたって、どの程度、情報流出しているか分からないなぁ。借金している先が賭博関連から暴力団系だったりすると、なんていうのがたくさんあったりして。そんなことはありませんと、否定できるようなシステムがなければ、否定はできないわなぁ。だいたい、生活保護の類だって暴力団が怖くて出している場合がたくさんあるだろうしっていうのは全然話が違うけど、安全なシステムっていうのは、脅されるとか金に目がくらむとかで、一人がおかしいことをしても、誰かがすぐに見つけてくれるシステムだと思う。それによって、働く人の安全も守れる。脅しや暴力に屈しないシステム。こういう事件が起きると、結果として暴力団とかとお付き合いしなきゃいけなくなるから、さらに大変だわね。個人情報流出事件と、その後の暴力団関係者絡みのお話ってマスコミになかなか登場しないけど、絶対、金にしようとやってくるよね。ちなみに、警察では、148万人のリストの中に暴力団関係者の名前がないかチェックしていたりして。興味津々。

すごい朝日新聞の校閲センターの社員

あいかわらず朝日新聞ってすごいなぁ。朝日新聞、意味不明の連続書き込みで2ちゃんねるの運営を妨害は、結局、こういうことにつながっていったのね。エイプリルフールのネタじゃないんだ。社員は東京本社編集局の校閲センター員（４９）で、掲示板サイト「２ちゃんねる」に断続的に投稿していた。部落差別や精神疾患への差別を助長する内容が含まれていた。３月３０日夜、外部から指摘があり本社が調査を開始した。本社編集局員、差別表現をネットに投稿なるほど、【討論】朝日社員、掲示板部落差別書込み問題【2ちゃんねる】のようなことがあったのね。「言葉」の前に立ちふさがる大きな事象に対しても、朝日新聞は言葉のチカラを信じて報道していくことを宣言しました。ジャーナリスト宣言: 私たちは信じている、言葉のチカラを。なので、ついでに 2ちゃんねるでも言葉の力で活躍していたわけね。不思議なのは Google で検索すると、いろいろな記事が 3月31日付けになっているのに、実際にアクセスしてみると、4月1日の記事になっているのだな。Google の日付の処理の仕組みでそうなるのかな？ Google の検索で出てくる日付って不正確なのか。まさか、これだけ多くのメディアがわざわざエイプリルフールネタに見えるように、わざわざ、4月1日に記事を付け替えてあげるなんてあり得ないし。Google のバグかな。コレは本当のことなんだろうか。130 ：文責・名無しさん：2009/04/02(木) 01:37:18 ID:OZxpQz8F0 ●朝日新聞社内からの書込規制が始まって起こった事実● 　・大量にあった「ネトウヨ」レッテル張りが無くなった　・大量にあった自民叩きのAAが無くなった　・「小沢さん」を擁護する書込みが無くなった　・民主党を擁護する書込みが無くなった　・北朝鮮・韓国を擁護する書込みが無くなった　・日教組を擁護する書込みが無くなった　・「ニート」レッテル張りが無くなった　・マスゴミ擁護の書込みが無くなった　・上から目線の加齢臭漂うネット批判書込みが無くなった　・低レベルな論争が減り非常に静かになった(N+,ν速,東亜,極東等) 　・主に携帯からの「アク禁は2chらしくない」等の単発工作書込みが異常増加　・丑記者(反日反自民・親民主)がスレ立てをしなくなった　←●重要● 朝日新聞社員が2chに部落差別の書き込み朝日新聞社内からの書込規制が始まってから、2ちゃんねるの書き込みに変化が起きたのだとすると、単一の社員だけでなく、組織的に書き込みを行っていた可能性も否定できないことになる。これが、万が一本当であれば、実に恐ろしいことだな。ゆえに、朝日新聞はそうした危惧を払拭するために、プロキシサーバのログを精細に調査し、2ちゃんねるへのアクセス状況を調査すべきなんじゃなかろうか。ログみりゃ分かるよね。それをやらないとしたら、まあ、朝日新聞はよっぽどひどい IT の能力しかないのか、コンプライアンスに理解がないのか、真実を知りたくないからやりたくないのか、いずれかだろう。朝日新聞のようなところでプロキシサーバがないなんてことは、あり得ないわけで。朝日新聞の校閲センターの社員だったってのがすごいなぁ。http://mimizun.com/search/perl/idsearch.pl?board=rail&id=ccgwfsyN0名無し野電車区：2009/02/20(金) 22:07:57 ID:ccgwfsyN0失語症躁鬱ニート部落民は、すでにみんなに論破され尽くされている敗者だからね。朝日新聞社員が2chに部落差別の書き込み朝日新聞　「２ちゃんねる」高まる批判　言葉の暴力「無法」状態なるほど、「言葉の暴力「無法状態」」なんだねぇ。それとも番組撮影用にブログ自作　テレ朝の情報バラエティーで過去にやったように、あとでこんなに酷い書き込みがあるって自作自演をやるつもりだったのか。まさかそんなことはないわな。テレビ朝日広報部の話　実際にあったブログなどから撮影許可が得られず、番組で撮影用に同じ趣旨のブログを作成した。担当した番組制作会社から実在したブログなどネット情報のコピーを示されており、捏造（ねつぞう）ではないと考えている。朝日新聞は、やっぱり、もう終わってるなぁ。企業としても、こんな状態だし。朝日新聞社は23日、東京国税局の税務調査を受け、2008年3月期までの5年間（一部は7年間）で計約3億9700万円の所得隠しを指摘されたことを明らかにした。所得隠しとされたのは出張費など編集関連費で、このうち京都総局の出張費など約1800万円はカラ出張などの架空経費と判断された。朝日新聞、所得隠し3億9700万円　国税指摘マスコミ企業としての良心なんていうのは、こんな程度のものなんだろう。左翼系の人は、朝日新聞なんかとらないで『しんぶん赤旗』でも購読すればよいのだ。ウェブから参照できる記事を見る限り、まともだと思う。朝日新聞が偏向する理由【元記者が語る】で、朝日新聞の元記者だって朝日新聞の実態を語っているし。共産党といえば "半数以上が派遣"の工場も　キヤノンの場合／志位和夫　２月８日、衆院予算委ハイライト６や、「派遣切り」　大企業の無法をただせ　志位委員長が追及（09.2.4）みないたのも、まとも。きゃんきゃん騒いでいるだけでなく調査をきちんとしているわけで。派遣切り問題について、日比谷公園に集結した派遣村のような感情論ではなく、違法性をきちんと取り上げているところがいい。「明るいナショナルと言ってきた企業が、闇の中で派遣切りをやっている。過労死水準の2倍もの長時間労働を強制し」云々、などもうまい。【日本共産党】真っ赤な誓いみたいなコンテンツが YouTube にもアップロードされていておもしろい。ところで、NHKで騒音おばさん報道についてテレビ製作者（マスコミ関係者）たちを痛烈批判した視聴者の浅野さんは神！・「騒音おばさんの真実」「創価学会の嫌がらせ被害に」・「テレビの、これから」よりで取り上げられている、騒音おばさんの話って、真実はどうなんだろう。事実はどうであれ、創価学会ネタになるからマスメディアは、もう取り上げられないんだろうな。1/4【中山成彬・戸井田徹・水間政憲】テレビ朝日を告発 [桜 H21/3/24] とかいう話もあるな。何はともあれ、マスコミの中核がガタガタ状態だから、左右両翼の支持者が増えるわなぁ。あまり極端な意見を持っている人が増えるのも、また好ましくないんだけど。。。。