改変とは?/ アイフル
[ 378] 【特報】東証で大規模システムダウン、プログラム改変が原因 − @IT
[引用サイト] http://www.atmarkit.co.jp/news/200511/02/tse.html
|
東京証券取引所は11月1日、株式売買システムに障害が発生し、午前の取引が全面的に停止した。東証1部、2部、マザーズなど全2520銘柄が停止。東証で全銘柄の取引が停止するのは初めて。注文数の増大に対応するためのシステム増強でプログラムミスが発生したとみられる。東証ではシステムを開発した富士通と協力して障害の原因を探るとしている。 東証の常務取締役 天野富夫氏は「システム、取引所に対する市場からの信頼を損なった。大変申し訳ない」と謝罪し、「徹夜してでも原因を探る」と述べた。東証とシステムを共有している札幌証券取引所と福岡証券取引所でも午前中の売買ができなくなった。東証は手動でシステムを復旧させ、同日13時30分に全取引を再開した。 東証によると、システム障害が発生したのはメインフレームで稼働する株式売買システムの手組みアプリケーション。東証は最近の株式注文数の増大に対応するため、10月8日から10日にかけて、株式売買システムのアプリケーションの1日当たりの受注数を620万件から750万件に増強する改変を行った。変更では古いプログラムを削除し、新しいプログラムを追加した。 東証のシステムでは月末に月次処理としてテーブルを自動で移動、整理して、データベース領域の容量を回復させている。10月31日の月次処理では、アプリケーションの改変にともなって、証券会社と証券会社が利用する端末のコードを格納する「会員情報テーブル」も移動した。しかし、11月1日朝、売買システムのアプリケーションが移動した会員情報テーブルを検知できずにシステム障害が発生した。 天野氏は「月次処理は毎月行っている。本来は自動処理後にテーブルが移動していても、アプリケーションがテーブルの新しい場所を指定するはずだ。今回はプログラムに欠陥があり、移動したテーブルを見つけられなかったようだ」と説明した。 システムの開発は富士通、運用は富士通と東証が担当。天野氏は「システム障害の責任の所在は原因を究明してからはっきりさせたい」と述べた。新アプリケーションの事前検証やテストは、東証と富士通の両社で「必要な期間、回数はやった」(天野氏)としているが「データの場所の変更で予測できないところに影響がでた」(同氏)とも述べた。 システム障害に関連し、東証はシステムを開発、運用するベンダとの契約を一本化する作業を進めていることを明らかにした。これまでシステム開発ごとに異なっていた契約書の内容を同一にし、サービスレベル・アグリーメント(SLA)などを組み込む。システムのバージョンアップに合わせてベンダと新しい契約を結ぶ考えだ。 証券取引所のシステムを巡っては、ジャスダック証券取引所で8月29日にシステム障害が発生し、午前の全銘柄で取引ができなくなった。ジャスダックの障害の原因は売買システムと証券会社のシステムを接続するシステムのプログラムミスだった。ジャスダックはシステムを開発したベンダの計算ミスが根本原因と説明した。 |
[ 379] ITmediaニュース:元研究員「HTMLソースの改変は通常の閲覧の範囲」
[引用サイト] http://www.itmedia.co.jp/news/articles/0410/20/news047.html
|
ACCS不正アクセス事件の第4回公判が開かれ、被告人質問が行われた。元研究員は「通常アクセスの範囲内で個人情報を入手した」と主張した。 コンピュータソフトウェア著作権協会(ACCS)の個人情報流出事件で、不正アクセス禁止法違反で起訴された元京都大学研究員の第4回公判が10月20日、東京地裁で開かれた。 2回ぶりの公開裁判となった同公判では、被告人質問が行われた。第2、第3回公判は、検察側証人の申し出が認められて一部非公開となり、傍聴人は入廷できなかった(関連記事1、関連記事2)。 弁護側による被告人質問で元研究員は、自身が問題の個人情報ファイルにアクセスした方法は通常アクセスの範囲内だと主張。対する検察側は、元研究員の手法は不正なものだったとの前提でただした。 公判では、元研究員はCGIフォーム送信用のHTMLソースを改変し、CGIの引数にファイル名を渡して問題のファイルにアクセスしたと指摘されている。「HTMLソースを改変して目的のコンテンツを表示させるのは、ブラウザのブックマーク機能と変わらない」と元研究員は主張する。 「ブックマーク時は、Webサイト上のソースの一部を編集してPCに保存する。ブックマークをクリックすると、保存したデータをもとに、目的のサイトをブラウザ上に表示する仕組みだ。今回の手法はこれと同じ。許されないはずはない」とし、これは通常のWebサイト閲覧行為に含まれると主張した。また、HTMLソースを見たり改変することは趣味のようなものだと話した。 検察側は、同様のファイルにはFTP経由でアクセスするのが普通だと主張した。サーバを管理していたファーストサーバやACCSもFTPからアクセスしており、HTMLからのアクセスは通常利用の範囲外。元研究員もそれを認識していたのではないかとの趣旨の質問を繰り返した。 これに対して元研究員は、「ファイルにアクセスする一般的な方法が何なのかは知らないし、自分がやった以外のアクセス方法があるかどうかは分からない。サーバ管理者側がファイルをどう管理しているかは、閲覧時は考えないのが普通」と反論した。 例え話を多用し、質問にゆっくりと答える元研究員に対して、検察官が「質問に答えなさい」と声をあげ、裁判長に制止されるシーンもあった。 脆弱性を利用して引き出した個人情報を、プレゼン資料に載せて公開したのは「脆弱性の具体的な証拠を提示するためだった」(元研究員)。ただ、情報が公開された個人に迷惑をかけたことは申し訳ないと思っており、謝罪したいと話した。 一方、ACCSやファーストサーバに謝罪するつもりはないとした。「ACCSは、セキュリティ対策を施していないサイトで情報公開するのはモラルに反していると公言しながら、自らモラルに反した行いをした。ファーストサーバは、欠陥品を出荷し続けていた。謝る必要はない」(元研究員)。 裁判長は「被告人が何をしたかという点については、弁護・検察側で同意している。次回以降はこれを法的にどう評価するかという争いになる」とした。 次回公判は11月22日。弁護側は、情報学に詳しい大学教授による技術的な意見書と、コンピュータ犯罪に詳しい大学教授による法的な意見書を提示する予定。裁判長は、検察側にも次回までに法的な意見書を用意するよう要請した。(編集部注:初出時、次回公判は20日としましたが、22日の誤りでした。ここにお詫びして訂正します) 特集:ACCS裁判を追うACCSのサーバに侵入し、個人情報を引き出した上で脆弱性を指摘した元京大研究員が、不正アクセス禁止法違反で起訴された。被告は無罪を主張。“不正アクセス”の定義を問うを争う裁判を追う。 IBM、ロシア国内に7番目のクライアントセンターを開設IBMがロシアのペルミに、同国内で第7番目となるクライアントセンターを新設した。 通勤でいらつく米ドライバーの実態が浮き彫りに――IBM調査自動車での通勤者が多い米都市部では、昨今のガソリン価格高騰もあいまって、ストレスを募らせる人々が増えているようだ。 |
アイフルのサイトです。
