乙Py先生のプログラミング教室

乙Py先生のプログラミング教室

乙Py先生のプログラミング教室
初学者のためのプログラミング学習サイト

ニュース

今回はOmiaiの会員情報流出事件についてです


解説動画はこちら



会員情報流出事件

さて
マッチングアプリ「Omiai」は会員数が延べ
600万人と国内有数のマッチングアプリです。


そんな恋活・婚活マッチングアプリ
「Omiai」を管理するサーバーに対し
外部からの不正アクセスを受け
会員情報の一部が流出した可能性が
高い事が判明したそうです。

今のところ、不正利用などの
被害は確認されていないそうですが・・・



流出対象の会員情報

対象:2018年1月31日
~2021年4月20日の期間(3年分ちょい)
171万1千756件分の年齢確認書類の画像データ

年齢確認審査書類の主な種別:
運転免許証、健康保険証、パスポート
マイナンバーカード(表面)等
そのうち、全体の過半数となる約6割を
運転免許証画像データが占める

マイナンバーは取っていなかったんだけど
会員さんがマイナンバーを含む画像を
誤って送って来てしまったので
それが流出しちゃった(ゴメンね)

結構エグいですよねーーーー
免許証のデータが流出しちゃうとか
管理方法はどうなっているんだって
思いますよね。


事件の経緯

2021年4月28日15時頃:
「Omiai」サービスの会員情報を
管理するサーバーにおいて
意図されていない挙動が観測

画像データに対する不正アクセスの痕跡を発見

特定可能な不正アクセス者のIPを速やかに遮断
ネットワーク制限を強化するなどの対処を行う

外部専門会社の協力の下
フォレンジック調査および
更なる監視体制の強化を図り
システム全般面の第三者検証も同時に開始

サービス内で利用されている
他の情報についてもアクセス制限を強化



流出の原因は?

恐らくですが
・アクセスポイントやID、PASSが流出していた
・第三者がアクセスできる状態にあったこと

こういうことなんだろうと思いますね。
一応運営側の言い分がありました。

「これは言い訳になってしまうかもしれませんが
この不正アクセスの痕跡を確認したのが
ゴールデンウィークの直前で

さらには当社では新型コロナウイルス感染症の影響で
リモートワークを進めていたことなどもあり
結果的に発表までに時間を要してしまいました」


対策

やはり
個人情報を扱う場合は
外部との接触ポイントを極力抑える

個人情報取り扱い業者のリモートワークは
そもそも危険なのではないかということ

定期的にID,PASSの管理、チェックを行う
最低限の努力はしないといけないですね。



そもそもなんで本人確認が必要なのか

インターネット異性紹介事業を利用して
児童を誘引する行為の規制等に関する法律
通称「出会い系サイト規制法」

異性と出会うことを目的とした
マッチングアプリなどのサービスの運営を
開始する際には、インターネット異性紹介事業の
届出を行うことを法律で義務付けられているからです

そしてマッチングアプリの運営は
「インターネット異性紹介事業」にあたり

インターネット異性紹介事業者には
18歳未満の児童の利用を確実に阻止するための
厳格な年齢確認の義務が課されています

運転免許証や国民健康保険被保険者証など
生年月日と年齢が記載された
公的な本人確認書類を受け取る、か

クレジットカードなど一般的に18歳未満の児童が
利用できない方法でのみ支払いを可能にする

という対策をしないといけないようです。



マッチングアプリを開発・運営するなら

インターネット異性紹介事業者の
登録を行わないといけない

公的な本人確認書類をユーザーから
受け取って確認しないといけない

売春防止法違反の幇助の疑いでも逮捕される

セキュリティー面や法律面の問題を
全てクリアしながら開発しないといけないので
かなりハードルが高い!!!!!!
(非出会い系アプリでも判断されるとアウト)


いやーー婚活したいので
マッチングアプリでも使ってみるかーとか
思っていたらこの事件ですよーー

くーーー
二の足を踏んでしまいますねえ
 
安心安全を求めるなら
自分たちで作るしかないのか
マッチングアプリ!!!


今回はこれまでです
それでは

タグ :
会員情報流出
Omiai
マッチングアプリ

今回はメルカリの個人情報流出事件についてです


解説動画はこちら



さて結構大きめの個人情報流出事件が起きました。
何が起きたのでしょうか??

メルカリの個人情報流出事件

メルカリが利用していた外部のコードカバレッジツール
「Codecov」に対する第三者からの不正アクセスにより
顧客情報など約2万7000件が外部流出したと発表した。

一次調査は2021年5月21日までに完了し
現時点で顧客への被害は確認されていない。

流出した個人情報

同社フリーマーケットアプリ「メルカリ」において
2013年8月5日から2014年1月20日までに実行された
売上金の振り込みに関連する顧客情報1万7085件。
金融機関の情報や口座番号
名義、振込金額などが含まれる。

さらに「メルペイ」に加盟する
個人事業主名7925件や取引先における
氏名、生年月日、所属、メールアドレスなど41件

関連会社従業員の氏名、メールアドレス
従業員ID、電話番号、生年月日など
2615件なども対象となる。


事件の経緯

2021年4月15日:
Codecov LLCが第三者による
不正アクセスについて公表

2021年4月16日:
当社CI環境にある認証情報の初期化に着手

2021年4月23日:
GitHub社より「GitHub」上に
格納されていたソースコードの一部も
影響を受けている可能性がある旨の通知を受領
追加のログ調査実施

一部に不正アクセスされていたことが判明

2021年4月27日:
不正アクセスされたソースコード上に
一部顧客情報があったことが判明


流出の原因は?

コードカバレッジの可視化プラットフォーム
「Codecov」が攻撃を受けた事が起因のようです

コードカバレッジとはソフトウェアテストで
用いられる尺度の1つでカバレッジは
プログラムのソースコードがテストされた割合(網羅率)
「Codecov」はカバレッジの測定ツールになります

テストの自動化とかは良くやっていて
レポート出してくれたりするのは
自分は使ったことは有りませんが
やはり開発系のツールも進化していて
大型の開発には必須になって来ていますね。


プロジェクト内のカバレッジレポートを
「Codecov」に送信するためのスクリプトが
何者かによって改ざんされ
資格情報やトークン、コードなどが盗まれた
ということなんだそうです。


我々も他人事ではない

「Codecov」を利用していたら情報が搾取されている
可能性があるわけです

利用を停止して、外部への情報漏れの
チェックをしなくてはならなくなります


また外部に公開されているツールを
利用している場合に外部ツールが攻撃されて
改竄されるとツールの利用者にも被害が及ぶため
外部ツールの利用にも気を払う必要が出てくるわけです。


対策

やはり個人情報を扱う場合は
外部との接触ポイントを極力抑えるしかないですね。

また利用しているツールやソフトウェアの
安全性にも気を払う必要が出て来ますね。


定期的に脆弱性のチェックを行い
ソースコードに個人情報や
認証情報は載せないっていう基本を
守ることで最低限のリスクは排除できます。

にしてもメルカリさんで起きたのは
非常に残念です・・・

どんなに大きな会社であっても
そんなに優れた人たちがいる会社であっても
起きる時は起きる

これを教訓にしてより一層
セキュリティー面の強化を考えていく
必要があるかなと思いますね

今回はこれまでです
それでは。


タグ :
メルカリ
個人情報流出
開発
ニュース

今回は最近出来た
AIによる音声合成サービスである
CoefontStudioのご紹介です


解説動画はこちら


さて
こちらは最近出来た音声合成のサービスのようです
coefont.studio


何も登録しなくても30文字までなら
音声を確認する事ができます
スクリーンショット 2021-05-02 17.27.20

せっかくなんで
もっと試したいですよね

Googleアカウントを持っていれば
そのままログインできますんで
YouTubeなんかみてる人は
Gアカウントでログインしましょう


ログインするとこんな感じです
スクリーンショット 2021-05-02 17.29.33

音声合成できるキャラクターは
「アリアル」と「ミリアル」の2種類で
「ミリアル」の方はプロトタイプの明記がありました。

テキストは1ブロック200文字まで入力でき
それ以上はブロックを分けるみたいです。
スクリーンショット 2021-05-02 17.31.51

ブロックごとに読み上げの設定が行えます
声のスピードや声の高さ
読みやアクセントの修正が行えるようです

スクリーンショット 2021-05-02 17.32.23

また、音声データのダウンロードも行えます。

かなり自然に読み上げている部分もあり
最近の音声合成サービスの質の高さには
おどろかされるばかりです。

このサービス自体は無料で利用できますが
合成した音声を利用する場合は
コピーライトを付けてください。

自分の声でフォントを作れるみたいな
明記もあったので
そっちは有料かもしれませんね

なかなか面白くて使えるサービスですので
音声読み上げの際は利用したいですね

今回はこれまでです
それでは。
タグ :
音声合成
AI
coefont

DMMさんがやっているプログラミングスクールが
某スクールのサービス内容と
すんごいカブるので調べてみました。


解説動画はこちら



DMMさんのプログラミングスクール

その名も
DMM WEBCAMP

まるで某テックキャンプさんみたいな
名前ですねーー

テックキャンプさんのHPは
こちらですね
テックキャンプ


サービス内容を比べてみると
DMMがテックキャンプさんを殺しに来ている件.005
双方のHPから分かる事だけですが
殆どのサービス内容がカブる様に見えました。

どちらもオンラインでの学習が出来て
教室に通うことも出来る様です。

教室の数はテックキャンプさんの方が
多いかと思いますが
このご時世、教室に通えるかは分かりませんね。

コース内容や料金面もかなり近いですね。
専門コースのカリキュラムが同等で有れば
若干テックキャンプさんの方が
安い可能性も有りますが

一番大きい点は
DMMさんの方は
専門実践教育訓練給付金制度

これが受けられる点です。

これは最大で56万円の支給なので
もし適用となると
35万円ほどでDMMのスクールに通える!!

だいぶ金額に差が出てきます。


DMMがテックキャンプさんを殺しに来ている件.006
双方のHP見ても
カリキュラムの詳細は分かりづらいです。

有るか無いかの判断くらいで
どこまで習えるのかは直接聞いてみないと
ダメですね。


ということで、もしDMMさんと
テックキャンプさんで
カリキュラムやサービスが同等なら

給付金制度を受けられるDMMさんの方が
圧倒的に有利です。

もちろん給付金は100%受けられる保証は無く
条件を満たした人だけですが、それでも
かなりのアドバンテージですよね。

さてテックキャンプさんは
今後どうなっていくのでしょうか?!

最近のプログラミングスクール動向から
目が離せなくなって参りましたね!!

また何かあれば
お伝えしたいと思います

それでは。

タグ :
プログラミング
スクール
DMM
テックキャンプ

今回は2038年問題についてです。

今から17年後ですが
割とやっかいな問題ですね

解説動画はこちら

 

2038年問題とは

さて2038年問題とは
具体的にどのような問題でしょうか

現在も利用されているOSであるUNIXには
タイムスタンプ値という日付の元になるような
基準の値があります。

これは1970年1月1日の0時0分0秒を0として
1秒毎にプラス1される値のことです。

こういった値の計算の際に使用されるデータ型は
int型のような32ビットのデータ型で計算されるように
設定されています。

32ビットの整数型では最大値が2の31乗-1
値だと2147483647

この値を超えると-の値にオーバフローしてしまいます。
日付が-のタイムスタンプ値である1901年などに
されてしまうわけです。

その限界となる日が
2038年1月19日(UTC)です。

対策

対策としては32ビットで動いているデータ型を
64ビットに直す事です。

そうすれば西暦3000億年まで耐えられます。
人類はおろか、太陽系すら残っているか
分からない時まで測れるので問題になることは
無いでしょうね。



何が起きるか

自分の予想を4つにまとめてみました。

1.現在では有る程度の対策はされてて
2038年になっても何も起きない(本命)

2.銀行がおかしくなる(対抗)

3.インフラ系がおかしくなる(穴)

4.核ミサイルが飛んでくる(大穴)

日本のエンジニアの方々を信じたいですね。
最も、海外で事故ったらアウトですけどね。

64ビットに改修したあと
できれば西暦3000億年のその時に
何が起きるか体験してみたいですね。

それまで生きてみようと思いますwww
それでは。

タグ :
2038年問題
プログラミング
タイムスタンプ

このページのトップヘ