ホテリコプター:空飛ぶ豪華ホテル

これはすごい。
豪華客室を18部屋持ったヘリコプターが営業を始めるそうで。
あめじゃむ : ★世界最大!空飛ぶヘリコプター豪華ホテル@The Hotelicopter – livedoor Blog(ブログ)

ソビエト連邦で開発された世界最大のヘリ「Mill Mi-12」(NATOでのコードネームはホーマー)をベースに設計されているそうなんですが、どうみても二段重ねになっていますね。

このブログには、元になった世界最大のヘリが飛ぶ動画も載っている。
どういうニーズがあるんだろ。豪華客船の代わりってことかな。スピードはあまり出ないみたいだから、時間がかかるのを逆手に利用して、豪華な時間をゆっくりどうぞと。
写真が、ここに載っている:http://www.hotelicopter.com/photo-gallery/
外観
異様、とまず思った。このタイヤは、どんなんだろう。
hotelicopter_terminal_sm.jpg Hotelicopter_flight2_sm.jpg
内部
ベッドの写真には、雲の上で寝るようですよ、とキャプションがついていた。そんなこと言われたらかえって落ち着かないかもしれない。
Floor1-hallway-a.png Queen-suite-bed.png Bathroom-standard.png Room-standard-desk.png

スパイネットワークの告発

Deep computer-spying network touched 103 countries – Network World
10ヶ月に及ぶスパイ操作で、103カ国の政府関連機関の1,295台のコンピューターがスパイされてた。中国から行われていた疑い。
不正プログラムgh0st RAT (Remote Access Tool)を使ったGhostNetというネットワークが構築されていた。
この調査を行ったのは、Information Warfare Monitor, a research project of the SecDev Group, a think tank, and the Munk Center for International Studies at the University of Toronto. チベット亡命政府が調査の為コンピューターへのアクセスを許可したことが発端。
報告書はここ
不正ソフトウェアの感染は、添付ファイルか、ウェブサイトへのリンクをクリックさせる形で行われていた。
調査スタッフはデータ収集サーバーを発見、チベット以外の国にも多く仕掛けられていることが判った。

なぜ、アメリカ経済は崩壊に向かうのか―信用バブルという怪物: チャールズ・R. モリス, Charles R. Morris, 山岡 洋一: 本

なぜ、アメリカ経済は崩壊に向かうのか―信用バブルという怪物 (単行本)
チャールズ・R. モリス (著), Charles R. Morris (原著), 山岡 洋一 (翻訳)
# 単行本: 261ページ
# 出版社: 日本経済新聞出版社 (2008/07)
# ISBN-10: 4532353173
# ISBN-13: 978-4532353179
# 発売日: 2008/07

USで2008年はじめに出版された本。当時騒ぎになっていたサブプライム危機は氷山の一角で、金融業界の構造的な危機だということを言っている。
シカゴ学派が自由市場偏重で影響を与えていたことの失敗、それに乗っかったグリーンスパンFRB元議長の失敗、などをとりあげ、60年代からの金融政策の流れを踏まえて解説。全体の損失額が1兆ドルを超えると警告した。その後、政府支援が7千億ドルとか、さらに追加とか言っているのを見ると、わかる人にはわかってたんだな。
難しくて理解できない部分もあったけど、おそらくこれ以上ないくらい噛み砕いて説明してくれているんだろう。モーゲージ・ファンド、買収ファンド、住宅ローンの流通など、金融業界のうごきがちょっと判った気になった。
翻訳も読みやすい。
The Trillion Dollar Meltdownという原題は恐ろしい感じだけど、ほんとになっちゃったんだもんな。
第1章 リベラリズムの死
第2章 ウォール街の新たな宗教
第3章 バブルの国への道
第4章 資金の壁
第5章 ドルの津波
第6章 大規模な清算
第7章 勝者と敗者
第8章 均衡の回復

「国際情報セキュリティ調査2008」報告 – CIO Online

企業のセキュリティ意識を読み解く 「国際情報セキュリティ調査2008」報告
国際的なアンケート調査。100を超える国・地域のCIO Magazine読者とPwCの顧客7,097名が対象。
企業のセキュリティ意識を読み解く|「国際情報セキュリティ調査2008」報告 – CIO Online
よくわからない調査報告。質問項目など調査内容の詳細は載ってないし、報告書へのリンクがあるわけでもない。
まず本文書き出しにびっくり。

人々の不安をいたずらにあおるつもりはないが、一言だけ言わせていただきたい。「目を覚ませ」と。

なんだか、エラい雑誌なんだなあ。
セキュリティに投資する主な理由は、
BC/DR 57%
社内規定コンプライアンス 46%
規制コンプライアンス 44%
デジタル・コンバージェンス 23%
アウトソーシング 20%
社内規定のためにセキュリティに投資する、っていうのは、なんだか本末転倒というか、おかしな気がする。
セキュリティ・インシデント発生に気がついた理由は、
サーバもしくはファイアウォールのログ 39%
侵入検知および帽子システム 37%
同僚からの指摘 36%
外部からの指摘というのがないなあ、ほんとかなあ。
利用しているツールとして、
悪質なコードの検出ツール 84%はいいとして、
アプリケーション・レベルのファイアウォール 67%
ということは、4700名以上が導入しているということになる。
これが会社数に相当するとは書いてないけど、いくらなんでも多すぎるのでは。
あるいは、ステートフル・インスペクションのレベルも入ってるのかな。でもそうすると少ないし。
さらにデータベースの暗号化を55%が行っているとある。
そんなこと、ないだろ。
暗号化については、ノートPCが50%、バックアップ・テープが47%とある。
ふーん。

ITセキュリティを安く済ませる方法

ボストンで開かれた会議、SecureWorld Bostonでのパネルで、低コストで良いセキュリティを手に入れる方法が話し合われた。
プロセスが確立していれば、工夫の仕方はある、ということかな。
プラス、英語だとリソースもいっぱいあって、羨ましい。
IT security on the cheap – Network World

大学Brown UniversityのCISO David Sherryの発表。
オープンソースを使う。商用ツールと比べると完璧というわけにはいかないが、good enoughなものはある。リスク評価はフリーのツールを使っている。
学生に侵入テストをやらせている。企業においても、地域の学生を集めてインターンをさせるといいのではないか。
IT関連の契約を見直して明細を入手し、値引き要求や安くなる形の契約変更。保守契約の解約。
他の学校とのオフサイトストレージ交換…って何だろう。
BoseのTerri Curranはセキュリティ啓発について。海外に目を向けて、同時に自分の社内にも目を向けようと指摘。
政府の活動として、良いツールを提供しているところがある。たとえばオランダのウェブにはウィルス対策などに関するビデオやスライドが豊富。Interpolも良い資料がある。
社内については、社員で手助けしてくれる人が意外といるものだ。以前は啓発ビデオを外注して作っていたが、社内で公募するようにして、コスト削減だけでなくできばえもよくなった。
(啓発ビデオを自前で作ってる時点でレベルが違うなあ)
社員に接触することが大事、地方拠点のことを考えてBrainshark社のオンラインプレゼンのツールを使っている。
Genzymeのセキュリティ担当者Anne Oribello:ポリシー策定でもフリーのツールが使える。
SANS Security Policy Project と NISTを例示。そのままでは使えないかもしれないが出発地点として使える。
標準規格を活用できる。HIPAAを、医療機関でなくても参照するなど。

電子道路標識のハッキング、ナチのゾンビ

ニューヨークで電子道路標識がハッキングされていた、という記事。
PRANKSTERS HACK ELECTRONIC ROAD SIGNS IN NYC – New York Post
やり方を書いたページ。(警告 こうした標識を絶対に不正変更しないこと、と注があるけど)
Novelties: How To Hack An Electronic Road Sign

*** WARNING YOU SHOULD NEVER TAMPER WITH THESE SIGNS ***
* The access panel on the sign is generally protected by a small lock, but often are left unprotected. Upon opening the access panel you can see the display electronics.
* The black control pad is attached by a curly cord, with a keyboard on the face.
* Programming is as simple as scrolling down the menu selection to “Instant Text”. Type whatever you want to display, Hit Enter to submit. You can now either throw it up on the sign by selecting “Run w/out save” or you can add more pages to it by selecting “Add page”

単純にふたを開けて中のコントローラーでテキストを入力。
パスワードが設定されていた場合のリセット方法も簡単。

ナチのゾンビだ逃げろ、って日本ではありえないな。
国民的な恐怖感か罪悪感でもあるんだろうか。
そういう教育してるのかな。

不況、解雇、情報盗難、漏洩コスト

不況による解雇の増加に伴って、不満な従業員による情報盗難の危険が取りざたされている。
SC Magazineの記事、IAMの重要性、パイオニアでの事例など。
Security during layoffs: Inside out – SC Magazine US
Dan Kaplan
March 05, 2009
Pioneer Electronics が北米で契約社員を解雇、そのコスト削減が不満な従業員によって帳消しにされてしまわないように気を使った。 解雇は2週間前に通知。役割ベースのID管理ツールを利用。「ログを精査して異常なことが起きてないことを確認した。」「システムやアプリケーションに対して高い権限を持つ人たちに焦点を当てた。」
内部犯行の大規模な例として、仏銀行Socie’te’ Ge’ne’rale、31歳のディーラーがシステム権限を超えて不正取引、7千億円の損害。損失分の増資が必要になった。主な要因として不正なアクセスの制御ができていなかったことが指摘された。
元BPのCISOでセキュリティコンサルのポール・ドレイ氏
「誰かが退社したり、会社に不満を持つ従業員がいたりすると、情報漏洩の危険がある。」「IDとアクセスの管理が実施されていなければその他の対策は無意味だ。」
IAMは内部犯行対策のほかに、コスト指向の理由でも採用されている:コンプライアンス(罰金回避)、業務改善(ROI)
規制関係では、今までSOX、HIPAA、PCI DSSが強力なアクセス管理を要求、もうすぐ実施のマサチューセッツ州データ保護法は全国で最も厳しいものになるといわれており、アクセス制限を課す。
Symark International, an IAM solutions providerの調査(回答850件)
20件以上の迷子アカウントが存在する=27%
アクセス停止が3日いないでできない=30%
元従業員のアカウントでデータにアクセスされても検知できない=38%
情報管理会社Cyber-Ark SoftwareのIT職種の特権ユーザーに対する調査:本来見るべきでないが権限が与えられている情報を漁ったことをある=47%
IAM以外に有用な技術:暗号化、監視、アクセス制御、DLP
Network Worldの記事、解雇従業員の半数以上がデータを盗んでいる。
More than half of booted workers steal data on way out, survey finds – Network World
By Ellen Messmer , Network World , 02/23/2009
Ponemon Instituteの調査”Jobs at Risk = Data at Risk” より。
この1年以内に解雇あるいは辞職した人945人を対象にした調査。
会社のデータを盗んだ=59%
前職の機密情報を新しい職場で活用した=67%
データを持ち出した人のうち、会社に否定的な感情=61%、好意的=26%
前職の会社が誠実かつ公正か:そう思う=31%、わからない=25%、そう思わない44%
スポンサーのSymantecコメント:DLP製品ユーザーのある銀行でレイオフを発表した日、対象の人たちがいっせいにデータにアクセスしていた。
持ち出し対象で多かったのは電子メールと紙のファイル、持ち出し方は紙のほかCD、DVD、USB、個人メールアドレスへの転送。
持ち出した理由は、みんなやってる、将来役に立つ、ばれない。
元の会社のコンピューターにアクセスできる人=24%
そのうち退社して1週間以内の人=50%、1週間以上経過している人=20%
Network Worldの記事、情報漏洩のコストが増加している。
Data-breach costs rising, study finds – Network World By Ellen Messmer , Network World , 02/02/2009
2008年に情報漏洩を経験した43社対象の調査、Ponemon Institute。
漏洩事故あたりの関連コスト 2006年=$4,7M、2007年=$6.3M、2008年=$6.6M
漏洩レコード1件当たり:2008年=$202、前年比2.5%増。
ちなみに国内では2007年個人情報漏洩インシデントにおける、一人当たり平均想定損害賠償額 = 3万9,017円 (NPO 日本ネットワークセキュリティ協会、2007年度 情報セキュリティインシデント調査報告書)
業種により漏洩事故の影響が違う。金融と医療では、漏洩被害者が利用をやめるケースが多い。平均=3.6%、医療=6.5%、金融=5.5%
レコードあたりコストでは、医療で$282、流通では$131

IBM、サン・マイクロシステムズと買収交渉–WSJ報道

とうとう、こんなことになるんですか。
UNIXもJavaも、IBMのものになるのか。
IBM、サン・マイクロシステムズと買収交渉–WSJ報道:ニュース – CNET Japan

 IBMがSun Microsystemsの買収交渉を進めていると、Wall Street Journalが報じた。買収金額としては現金で65億ドルが提示されているという。

「IBMがSun買収に向けて交渉」の報道 – ITmedia News  

Wall Street Journalによると、ここ数カ月の間、Sunは多数の大手IT企業に身売りの話を持ちかけていたという。
 米Hewlett-Packard(HP)はその話を断ったと同紙は伝えている。

HPがSolarisを売るって言う時点でショックだったんだけど。
サンとHPが提携、HPのx86サーバにSolarisを搭載:ニュース – CNET Japan
2009/02/26 13:25

 Sun MicrosystemsとHewlett-Packard(HP)は2月25日(米国時間)、HPのx86サーバ製品「HP ProLiant」にSunのUNIX系OS「Solaris 10」を搭載するOEM契約を結んだと発表した。これにより、HPがSolarisの販売からサポートまでを担当することになる。契約年数は「複数年」(両社)。

「ファビコンに南京錠」は信頼できないサイト–日本ベリサインが警告:ニュース – CNET Japan

ユーザーとWebサイトの間に割り込む「中間者攻撃」の警告。
こういう細かい仕掛けで、引っかかってしまうということだろうなあ。

「ファビコンに南京錠」は信頼できないサイト–日本ベリサインが警告:ニュース – CNET Japan  新たな手口は、ユーザーのブラウザと本物のウェブサイトの間の通信に偽のサーバやアプリケーションを割り込ませ、プロキシのように機能させることで、ブラウザとサーバの間で送受信されるHTTP形式の重要情報を盗み出すというもの。
 従来の中間者攻撃との違いは、不正なウェブサイトを信頼できるものに見せかけるために、偽の視覚的目印を表示している点にある。具体的には、SSLで暗号化されているサイトの目印として広く知られている南京錠のマークを偽サイトのファビコン(アドレスバーに表示されるアイコン)に設定するという手口が取られている。