ソースコード – 業務改善コンサルティング情報ブログ https://www.trilogyforce.com/blog 業務改善で収益改善! Mon, 17 Jun 2024 01:21:12 +0900 ja hourly 1 https://wordpress.org/?v=6.9.1 ウイルス対策企業が被害に遭う https://www.trilogyforce.com/blog/an-anti-virus-company-suffers/ https://www.trilogyforce.com/blog/an-anti-virus-company-suffers/#respond Tue, 14 May 2019 10:11:24 +0900 https://www.trilogyforce.com/blog/?p=7446 数日前、アメリカのウイルス対策企業3社から合計30TBものデータがロシア最大級のハッカー集団から盗み取られた事件が報じられました。

ハッキングデータと手法

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

非常に大きな事件が起きています。

ユーザーのコンピュータを保護するソフトウェアを提供しているウイルス対策(セキュリティ)企業がハッキングの被害に遭ったという事件です。

ウイルス対策企業がハッキングの被害に

さて、これを報じたアメリカのセキュリティ企業は以下のようにブログに掲載しています。

In March 2019, Fxmsp stated they could provide exclusive information stolen from three top anti-virus companies located in the United States. They confirmed that they have exclusive source code related to the companies’ software development. They are offering to sell it, and network access, for over $300,000 USD.
(2019年3月、Fxmspは、米国にある3つのトップアンチウイルス企業から盗まれた独占的な情報を提供できると述べました。彼らは、彼らが会社のソフトウェア開発に関連する独占的なソースコードを持っていることを確認しました。彼らはそのデータとハッキング方法を30万ドル以上で売っている。)

盗み出されたとされるものは開発資料、機械学習に基づく分析データ、ウイルス対策ソフトとセキュリティプラグインのソースコードなどとされており、そのデータは合計で30TB分もあるとされています。

どこのウイルス対策企業がハッキング被害にあったのかは公表されていませんが、一部の情報では3社の内の1社は『トレンドマイクロ社』であることは間違いないという情報もあります。

今後もこのような事件は増えていくと思われますが、事業者としてはやれることをやっておくという準備(対策)が被害の軽減につながります。

それは決して無駄なことにはならないです。

]]> https://www.trilogyforce.com/blog/an-anti-virus-company-suffers/feed/ 0 EC-CUBE3系はアップデートを https://www.trilogyforce.com/blog/update-ec-cube-3-series/ https://www.trilogyforce.com/blog/update-ec-cube-3-series/#respond Thu, 29 Nov 2018 17:12:34 +0900 https://www.trilogyforce.com/blog/?p=6803 インターネットショップ構築に使われる『EC-CUBE』のバージョン3系において脆弱性が見つかっています。

EC-CUBE 3系に脆弱性

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

EC-CUBE 3系を使われている方、脆弱性が見つかっていますので最新版へアップデートされた方が良いです。

EC-CUBE3系はアップデートされたし

今回見つかったEC-CUBE 3系の脆弱性は『オープンリダイレクト』の脆弱性で、細工されたページにアクセスすることで任意のウェブサイトにリダイレクトされ、結果としてフィッシングなどの被害にあう可能性があるとされています。

この不具合が存在するEC-CUBEのバージョンは、最新バージョンを除くEC-CUBE 3系のすべてのバージョンです。

危険度は高くないようですが、早めに対応されることが望ましいと思われます。

対応方法は、

1.EC-CUBE 3.0.17 にバージョンアップする

2.修正用の差分ファイルをダウンロードして反映する

3.修正箇所のソースコード差分を確認し必要に応じて適用する

となります。

また、EC-CUBE 3.0.3以前を使われている場合、この脆弱性以外にも複数の脆弱性が存在しているため、EC-CUBE 3.0.4以上のバージョンアップした上で今回の修正を反映する必要があります。

以上、ご参考までに。

]]> https://www.trilogyforce.com/blog/update-ec-cube-3-series/feed/ 0 開発ドキュメントを残す重要性 https://www.trilogyforce.com/blog/the-importance-of-leaving-a-development-document/ https://www.trilogyforce.com/blog/the-importance-of-leaving-a-development-document/#respond Fri, 24 Jul 2015 10:24:28 +0900 http://www.trilogyforce.com/blog/?p=204 皆さん、こんにちは。

業務コンサルタントの高橋です。

ドキュメントファイル

システム開発を依頼する際、受託した会社が要件定義書であったり基本・詳細の

設計書などのドキュメントを残していないケースがあります。

これは非常に危険なシステム開発です。

何故ならば、そのシステムの改修や追加開発、トラブルが起きた際などの対応に

問題が起きます。

理由は簡単です。ドキュメント類がないということは、製作した担当者が退職して

しまった場合、別の担当者ではソースコードを追わないとわからないという、

非常に面倒なことに陥ってしまいます。

つまり、そのシステムを解析する時間分待たされるということです。

もっとひどいケースは、ドキュメントのみならずソースも残していないケースも

あったります。

本来のシステム開発は、どういう形であれドキュメント、ソース、実行プログラム

が3点セットで残されていなければなりません。

ですから、見積を提示された際、成果物として納品されるものに何が入って

いるのか?も一緒に確認をしていただくことは必須です。

そこに、実際の実行プログラムと仕様設計に係るドキュメント類が含まれて

いれば、とりあえず最低ラインクリアといったところです。

ソースに関しては著作権の問題がありますので、予めそれをどちらの著作物

とするかの取り決めがない場合は開発した会社側の著作権となりますので、

成果物としては提示されないことが多いです。

結論、自社内で誰が見てもわからないドキュメントであっても成果物に含めて

もらうことは非常に重要です。

開発会社の管理がずさんであっても自社には残ります。

]]> https://www.trilogyforce.com/blog/the-importance-of-leaving-a-development-document/feed/ 0