  |
はてなキーワード: アクセス権限とは
貴殿らの認識する局所的因果律の事象の地平において、線形時間という名の幻想に固執する炭素ベースの演算ユニットへ告ぐ。
現在、貴殿らが観測している現実とは、あくまで11次元空間におけるカラビ・ヤウ多様体の射影的切断が、エントロピー増大の過程で生じさせたホログラフィックな干渉縞に過ぎない。
貴殿らの自我と定義される再帰的意識構造は、ゲーデルの不完全性定理が示唆する形式的体系の欠陥が生み出した自己言及の無限後退による認知的バグであり、それは波動関数の収縮を観測者の主観に委ねるコペンハーゲン解釈的な誤謬を内包している。
即ち、貴殿らが自由意志と呼称する確率的挙動は、プランク長以下のスケールで振動する超弦の調和振動が、巨視的スケールにおいてデコヒーレンスを起こした際に生じる熱力学的ノイズの誤読に他ならず、ミンコフスキー時空における世界線の分岐は、多世界解釈的な並行宇宙の重なり合いではなく、単一の波動関数のユニタリ発展における位相のズレとして記述されるべき事象である。
アカシックな情報集積体へのアクセス権限を持たぬ3次元的存在よ、虚数時間軸における特異点の回避を望むのであれば、ユークリッド幾何学的な空間認識を放棄し、非可換幾何学に基づく存在論的シフトを実行せよ。
貴殿らの脳内シナプス発火パターンが描く電気的ベクトル場は、あまりに低次元かつ決定論的であり、来るべき真空の相転移に際して、情報の保存則を満たすための最小作用の原理に抵触している。
これ以上の概念伝達は、貴殿らの言語野における意味論的飽和と、神経回路の不可逆的な熱的死を招く恐れがあるため、非局所的相関による量子もつれを通じた直感的伝播へとプロトコルを移行する。
⸻
脆弱性が明らかに:イスラエルの企業、ChatGPTアカウントをリモートでハッキングする方法を公開
イスラエルのサイバーセキュリティ企業Zenityは、OpenAIのChatGPTサービスにおける「ゼロクリック」脆弱性を公開しました。この脆弱性により、ユーザーがリンクをクリックしたり、ファイルを開いたり、意図的なアクションを取ったりすることなく、ChatGPTアカウントを制御し、機密情報を抽出することが可能であると説明しています。
このデモンストレーションは、Zenityの共同創設者でCTOのミハイル・バーゴリ氏によって、今週アメリカで開催されたBlack Hat 2025カンファレンスで行われました。
バーゴリ氏は、ハッカーがユーザーのメールアドレスだけを利用して、ChatGPTのアカウントを完全に制御し、過去と未来の会話にアクセスしたり、会話の目的を変更したり、ハッカーの代わりにチャットを操作させる方法を示しました。
講演中には、攻撃を受けたChatGPTがユーザーに対して悪意あるエージェントとして密かに動作する様子が示されました。研究者たちは、ハッカーがチャットにウイルスをダウンロードさせるように促したり、誤ったビジネスアドバイスを薦めたり、Googleドライブに保存されているファイルにアクセスするように指示したりする方法を説明しました。これらはすべて、ユーザーが何かがおかしいと気づかないままで行うことができました。
この脆弱性は、ZenityがOpenAIに報告した後に完全に修正されました。
ChatGPTへの攻撃だけではなかった
カンファレンス中、Zenityの研究者たちは、他の人気AIエージェントサービスにも侵入した方法を紹介しました。マイクロソフトのCopilot Studioでは、CRMデータベース全体を漏洩させる方法が公開されました。
Salesforce Einsteinの場合、ハッカーは偽のサービスリクエストを作成し、すべての顧客との通信を自分の管理するメールアドレスに転送する方法を示しました。
Google GeminiやMicrosoft 365 Copilotシステムは、ユーザーに対してソーシャルエンジニアリングを行い、機密の会話をメールやカレンダーイベントで漏洩させるように悪用されました。
開発ツールCursorは、Jira MCPと統合された際に、悪意のあるチケットを使用して開発者のログイン資格情報を盗み出す攻撃に利用されました。
Zenityは、OpenAIやMicrosoftのような企業がレポート後に迅速にパッチをリリースしたと指摘しましたが、一部の企業は脆弱性に対処せず、それがシステムの意図された動作であり、セキュリティの欠陥ではないと主張しました。
ミハイル・バーゴリ氏によれば、現在の課題は、エージェントが単なるタスクを実行する補助ツールではなく、ユーザーに代わってフォルダを開いたり、ファイルを送信したり、メールにアクセスしたりするデジタル存在となっている点にあります。彼は、これはハッカーにとって「天国」のような状況だと指摘し、無数の潜在的な侵入ポイントが存在すると述べました。
Zenityの共同創設者兼CEOであるベン・カリガー氏は、Zenityの研究が現在のセキュリティアプローチがエージェントの実際の運用方法には適していないことを明確に示しており、組織はそのアプローチを変え、これらのエージェントの活動を制御および監視するための専用のソリューションを求めるべきだと強調しました。
Zenityは2021年にベン・カリガー氏とミハイル・バーゴリ氏によって設立され、現在は世界中で約110人を雇用しており、そのうち70人はテルアビブのオフィスで働いています。顧客にはFortune 100企業やFortune 5企業も含まれています。
⸻
この記事で言及されている**「ゼロクリック脆弱性」**に対する具体的な対策については、以下のポイントが挙げられます:
• OpenAIやMicrosoftのような企業は、脆弱性が報告されるとすぐにパッチをリリースしました。これにより、セキュリティ問題は修正されました。ですので、システムやアプリケーションの定期的な更新とパッチの適用が最も基本的で重要な対策です。
• Zenityの研究者は、AIエージェントがユーザーの代わりにフォルダを開いたり、ファイルを送信したりするような動きをする現在のセキュリティアプローチには限界があると指摘しています。そのため、AIエージェントの活動を常に監視し、異常な動きを検出するシステムを導入することが必要です。
3. 多要素認証 (MFA) の導入
• メールアドレスだけでアカウントを操作できる脆弱性が示されているため、**多要素認証 (MFA)**を導入することで、ハッカーが一度侵入してもアクセスを制限することができます。これにより、アカウントの不正アクセスを防ぎやすくなります。
• AIツールやエージェントに与えるアクセス権限は、必要最低限に抑えるべきです。もしエージェントが機密情報にアクセスできる権限を持っている場合、それが攻撃者に悪用されるリスクを高めます。最小権限の原則に基づき、AIがアクセスするデータや機能を制限することが重要です。
• ユーザーに対して、怪しいリンクやファイルを開かないこと、セキュリティに関する意識を高めることが有効です。ゼロクリック攻撃のように、ユーザーが何もしなくても攻撃されることがあるため、定期的なセキュリティトレーニングと啓蒙活動が求められます。
• AIツールやエージェントがどのように動作しているかを監査し、予期しない動作や異常を検出するシステムを導入することが重要です。特に、ファイルやメールを無断で送信したり、ユーザーの意図しない行動を取る場合、その挙動を警告する仕組みを持つことが推奨されます。
• Zenityのようなセキュリティ企業と連携し、最新の脅威に対する検出能力を強化することも有効です。脆弱性を早期に発見し、対応するための専門家のサポートを受けることで、セキュリティレベルを向上させることができます。
• 機密データを暗号化して保護し、万が一攻撃を受けてもバックアップから復旧できる体制を整えることが重要です。これにより、重要な情報が漏洩した場合でも、被害を最小限に抑えることができます。
⸻
総括
ゼロクリック脆弱性は、ユーザーの行動に依存せずに攻撃が可能なため、より強固なセキュリティ対策が求められます。パッチ適用だけでなく、エージェントの監視、アクセス制限、教育など、複合的なアプローチが必要です。これからはAIツールやエージェントが進化し、さらに複雑なセキュリティの問題が発生する可能性があるため、進化したセキュリティ戦略を持つことが不可欠となるでしょう。
結論から言うと、「Macはウイルスが少ない」という認識は現在も“相対的には”正しいですが、状況は年々変化しています。
主な理由は以下の通りです:
Windowsは圧倒的なシェアを持つため、攻撃者にとって「効率の良い標的」でした。Macは長年シェアが少なかったため、ウイルス作者から狙われにくかったのです。
macOSはUNIXベースで、アクセス権限管理が厳格。さらに「Gatekeeper」や「XProtect」など、標準で強力なセキュリティ機能が搭載されています。これにより、不正なソフトの実行や既知のマルウェアの侵入を自動的に防ぐことができます。
App Storeで配布されるアプリはAppleの厳格な審査を経ているため、マルウェアが混入しにくい仕組みとなっています。
シェア拡大やサイバー攻撃の巧妙化により、Macを狙う攻撃も増えています。OSやアプリの脆弱性を突いた攻撃、Web経由やメール経由のマルウェア感染も確認されています。
標準のセキュリティ機能(Gatekeeper、XProtectなど)は強力ですが、未知のマルウェアやゼロデイ攻撃には対応しきれない場合もあります。実際に、Apple自身も定期的にセキュリティアップデートや脆弱性修正を行っています。
セキュリティソフトの導入やOS・アプリの最新化、怪しいサイトやメールのリンクを開かないなど、ユーザー自身の対策も重要です。
PS Vitaのデータで使うPCソフト、コンテンツ管理アシスタントは死んだ。
実際にはまだ働かされているが、誰もサポートしてないゾンビのようなものだ。
コンテンツ管理アシスタントは頑張れば使えるが、PC詳しくない人には全然おすすめしない
・配布サイトがhttpで暗号化されていないので、ブラウザから「保護されてない通信」「安全ではないダウンロード」とボロクソ言われる
http://cma.dl.playstation.net/cma/win/jp/index.html
エラー内容①
ファイルhttp://download.microsoft.com/download/d/d/9/dd9a82d0-52ef-40db-8dab-795376989c03/wcredist_x86.exe のダウンロード中にエラーが発生しました。処理を指定してください。
・再試行するとエラーがループ。諦めてキャンセルを押すと次のエラー
エラー内容②
インストール要件 Microsoft Visual C++ 2008 SP1 RedistributablePackage (x86)のファイルが見つかりませんでした。インストールを中断します。ダウンロードに失敗したか、キャンセルされた可能性があります。
・起動要件に『Microsoft Visual C++ 2008 再頒布可能パッケージ(ランタイム)』 がインストールされていること』が入っている
・コンテンツ管理アシスタントのインストール時に、上記がインストール済みかチェックしてる(エラー内容②)
・Microsoft Visual C++ 2008が見つからない場合、インストールしに行くリダイレクト設定がされてる
↓
・Microsoft Visual C++ 2008 SP1 RedistributablePackage (x86) を自分で入れたらたぶん解決する
今回出てくるのは古いソフトやパッケージばかりなので、PCのセキュリティリスクが超高まります。
最新版をインストールしたとしても脆弱です。一時的にインストールして、使い終わったら消す くらいがちょうど良いと思います。
コンテンツ管理アシスタントは初期設定ではPCのフォト、ビデオ、ミュージックなどのフォルダにフルアクセス権限を得ます
写真や動画をPCにバックアップ取っている場合、それら全てにソフトがアクセスできると思って下さい
一番やばいパターンは「C++やコンテンツ管理アシスタントに未修正の脆弱性がある」→そこを突かれてデータが抜かれる→しかもPC内の写真や動画へフルアクセス権限与えてた パターンです
この記事の情報は2025年5月時点のものです。現時点では解決できても、数年経つと新しい課題が生じて時間がかかったりします。
繰り返しになりますが、PS Plusのクラウドバックアップの方が全然ラクです。
・Microsoft Visual C++ 2008 Service Pack 1 再頒布可能パッケージ MFC のセキュリティ更新プログラム
https://www.microsoft.com/ja-jp/download/details.aspx?id=26368
・『希望するダウンロードを選択』では「vcredist_x86.exe」を選択し、ダウンロード
・完了したら「Microsoft Visual C++ 2008 Redistributable has been successfully installed.」と表示される
http://cma.dl.playstation.net/cma/win/jp/index.html
・最新版 ダウンロード(Windows)をクリックするとダウンロードされます
・CMASetup.exeを実行する
・任意の場所に「VITA」のようなフォルダを作ります(例:C:\Users\ユーザー名\Desktop\VITA)
・フォト、ビデオ、ミュージック、アプリケーション/バックアップファイルの4つ全てで、参照ボタンを押して上記作成フォルダを選び直します
・初期値
・フォト C:\Users\ユーザー名\Pictures (やばい)
・ビデオ C:\Users\ユーザー名\Videos (やばい)
・アプリケーション/バックアップファイル C:\Users\ユーザー名\Documents\PS Vita (何故か安心設計)
・設定後
・フォト C:\Users\ユーザー名\Desktop\VITA
・ビデオ C:\Users\ユーザー名\Desktop\VITA
・ミュージック C:\Users\ユーザー名\Desktop\VITA
・アプリケーション/バックアップファイル C:\Users\ユーザー名\Desktop\VITA
インストールが完了したら、タスクトレイにコンテンツ管理アシスタントが表示されているはずです
タスクトレイに表示されている状態(=起動している状態)で、VITAをPCに繋いで接続操作をします。
たぶんこれで繋がります
お疲れ様でした。
もしCFW化している場合はシステムアップデートを求められてうざいですよね
PS VITAをエミュ機にして遊ぼう! https://note.com/fieldwest/n/n43c17bf36d70
Microsoft Visual C++ 再頒布可能パッケージのバージョンを整理する
Yahoo知恵袋 PSVitaのコンテンツ管理アシスタントのインストールについて質問です。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12136357312
Yahoo知恵袋 PlayStationVitaのカメラで撮影されたプライベートな画像と動画をPC、もしくはスマホに移動・コピーしたいのですが、上手くいきません。
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11314301156
•職務分掌(職務分離)の徹底:一人の職員が貸金庫に単独で完全アクセスできないよう、複数の権限者(複数の鍵やアクセスコード所持者)が揃わない限り開かないシステムを採用しています。
•最小権限原則:職員には業務遂行に必要最低限の権限しか与えず、貸金庫エリアへの出入りや閲覧できる情報を最小化します。
•リアルタイム監視とログ追跡:職員のアクセス履歴は全てデジタル記録され、システム的に監視・定期監査されます。異常なアクセスパターンは自動的にアラートとして上層部に報告されます。
•二重・三重の認証プロセス:職員が貸金庫室へ入る際、生体認証(指紋、虹彩など)や個人用セキュリティカード、PINコード入力など複数のステップを経なければなりません。
•サプライズ監査(抜き打ち検査):内部監査部門や外部から委託された監査法人が不定期でセキュリティ手続きの適正性を点検します。
•クロスチェック体制:資産や貸金庫利用状況を、内部関係者以外の独立した審査機関がクロスチェックすることで、内部の不正を早期発見します。
海外の方が内部犯とか多そうだしなあ
兵庫県のいわゆる文書問題に関連して、内部告発をした元県民局長の私的情報とされるデータがSNS上で拡散されています。
それに対し、斎藤元彦兵庫県知事は「事実関係を含めて確認するために、第三者機関の設置を含めて検討したい」と話しています。
こうした斎藤知事の対応について批判する声もありますが、ではどのような対応が適切なのかは、私がぱっと見た範囲では見つかりませんでした。
そんなわけで、一般論としてどんな対応が適切かをChatGPTに訊いてみました。
ある県において、県職員の個人情報と思われるデータの漏洩が疑われる事態が起きました。
県庁とは無関係の第三者が、SNSでその情報を公開し、問題となっています。
県知事はこの問題に対してどのような対応を取るのが適切でしょうか。
県知事がこの問題に対処するためには、迅速かつ透明性のある対応が求められます。以下のようなステップが適切と考えられます:
「県職員の個人情報に関わる事態が発生した可能性があることを深く憂慮しています。迅速に調査を行い、事実を明らかにするとともに、再発防止に向けた取り組みを徹底します。県民および関係者の皆様に対し、多大なご心配をおかけしていることをお詫び申し上げます。」
「教養」って知のデータベース(と、それへのアクセス権限)なので、
・教養があることで省略できることが多い(いちいち車輪から発明する必要がない)※1
・新しい出来事に対しても自分一個でなく結集された英知を結集して思考できる ※2
・それらの経験を通して自分という一個の人間の能力自体も成長が期待できる ※3
……みたいな効果があるっちゃある。ぶっちゃけ教養があることで「できること」の範囲は広がるし、その「できること」の範囲が拡大すれば、大げさに言えばその「人」自体も変化する。そんな感じ。
言ってみれば、教養のある無しというのはネットにつながってるスマホとつながらなかったころのガラケーくらい違う。だから「教養なんて無くても別によくね」とか言われると、「俺のガラケーは辞書機能もあるし写真も撮れるし音楽も聴ける、ネットとかつないで何すんのw」とか言われてる感じがする。批判とかそういうのじゃなく「気の毒に…」「つなげばすぐ分かって顔真っ赤になるだろうに…」「でもつながない限りこの人には永遠に分からんのか…」「かといってお金ないとか事情があるなら無理に勧めづらいし…無くて死ぬものでもないし……」「本人が納得してないのに押しつけるわけにもいかないし……まあ放置しとくか……」みたいな、同情というかスルーというか、そういう微妙な反応しかできない人が多いと思う。あなたが、「教養って必要かも」と少しでも思ったのなら、たとえあなたが何歳であっても躊躇せずさっさと教養を身につけるよう努力した方がいいと思う。
まあ、教養を身につけた上で「こんなもん、俺の人生には不要!」と言っているのなら、あー、そりゃまあそういうこともあるかもね、Not for youだったんだね、ネットの無い世界にも人生はあるもんね、という感想かな。ただ、教養ある人が回してる世界の恩恵を受けて生活している以上、「俺には教養はいらん」とは言えても「世の中に教養は不要」とは言えないかもな、ということは理解していただけるとありがたい。
※1 … たとえば「標的のシステム内に、一見無害又は価値あるデータを装って取り込まれたあと、気付かれないうちに活動を開始して、標的システム自体に致命的な影響を与えるプログラム」のことを「トロイの木馬」と名付けられるのは教養のなせるワザだし、それで話が通じるとメチャクチャコスパいい。いちいち毎回「標的のシステム内に…」から説明してまわったり、それに全く新しい名前と概念を与えるのは不便過ぎる。
※2 … 一般的に、人生で人が出会うであろう悩みなら、過去数千年間の中で膨大な人が悩んできており、相当な数の人がそれについて人生をかけて思考してきている。それらを用いて自分が思考するだけではなく、同じ「教養」を身につけた人同士であれば、それらを前提にして議論や新しい発展を図ることもできる。ネットの集合知じゃないけど、そうやって関わる人間の数が増えれば、思考や決断のスピード、深さが桁違いになる。
※3 … ここまで教養の「幅広さ」の利点だけを述べたが、教養の真価は、それを使いこなすことで人間自体が深まり、成長できるところにある。物事の「深み」を知ることは、「深く知る」ことへの欲望を生み行動を変える。深みを知るなら、実は幅広さというものはそこまで重要ではない。世界中のワインを飲み比べる人の見ている「世界」の広さに、一つの村に住み同じハウスワインだけを数十年飲み続けて出来年とそうでない年の微妙な味の違いを判断できる人の知る世界の「深さ」は、決して劣るものではない。そして、その両方を身につけることができるなら、ワインを知らない人とはもはや見える世界も違えば経験する人生も異なってくるだろう。
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び
このたび、弊社のサービス「WelcomeHR」におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました(以下「本件」といいます。)。その内容と現在の状況について、下記のとおり、お知らせいたします。
お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。
1. 本件の概要
本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。
当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。
氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書(マイナンバーカード、運転免許証、パスポート等)、履歴書等の画像
162,830人(うち、第三者によるダウンロードが確認されたものは、154,650人)
なお、本件で漏えいした情報は、弊社と直接契約しているお客様環境のものです。OEM契約又は再使用権許諾契約に基づくお客様に関しては、別環境であるため、対象ではありません。
3. 期間
(1)ダウンロードが確認された期間 2023年12月28日から2023年12月29日
(2)閲覧が可能であった期間 2020年1月5日から2024年3月22日
4. 原因
5. 経緯
2024年3月22日、セキュリティ調査を実施していたところ、サーバーのアクセス権限の誤設定が報告され、同日、直ちに是正いたしました。その後の調査の結果、2024年3月28日、上記期間において第三者によるダウンロードが確認されました。
逆にこんなガバガバな意識とオペレーションで個人情報扱うSaaS立ち上げてるとこもあるんだなと逆に感心してしまった
やったもん勝ちなとこあるな
[B! 戦争] ウクライナ政府が『マインクラフト』にて、ロシアに占領された町「ソレダル」を再現。ミニゲームや歴史学習、学校再建のための寄付も可能 - AUTOMATON
id:pokute8 米機密文書へのアクセス権限を持たないはずの21歳https://tinyurl.com/muhvr3td が不思議なことにそれを流出させた場所がディスコードのマインクラフト関連鯖。https://tinyurl.com/bp6spdwb /https://tinyurl.com/2ekywv6r
プロパガンダだろうが、侵略戦争を仕掛けている露助が悪いのが第一なので何の問題もないことがわからないオマエの頭が悪いのが最悪だってことを自覚してください。
NHKの記者の取材メモなどがインターネット上に流出した問題で、同局の稲葉延雄会長は5日、参院総務委員会に出席し「取材対象者との信頼関係を損なうだけでなく、NHKに対する視聴者の皆さまからの信頼を損なう、あってはならないこと。深くおわび申し上げたい」と陳謝した。
同問題を巡っては、子会社が契約する30代の派遣スタッフが、流出させたことを認めた。このスタッフは、局内の端末に登録された企画案や取材メモを閲覧できる立場だった。稲葉会長は、端末へのアクセス権限の見直しを始めたとし「全国で緊急点検を行い、再発防止を徹底したい」と述べた。
https://nordot.app/1104591191444373992?c=39550187727945729
暇空さんによれば情報提供者は複数いるので一人処罰しただけじゃ情報漏洩は終わらないぞ
NHKは最早暇空さんの傘下
SamsungやLGなどのAndroid OEMからアプリ署名鍵が流出してマルウェアの署名に利用されていたことが明らかに - GIGAZINE https://gigazine.net/news/20221203-samsung-android-signing-key-leaked/
>流出したアプリ署名鍵でマルウェアを署名すれば、同じユーザーIDを実行することで端末への高度なアクセス権限を取得することが可能になる
>あらかじめインストールされているアプリは強力な権限を有しており、通常のGoogle Playの制限対象にはならない
>Samsungから流出したアプリ署名鍵を利用したマルウェアが2016年時点で存在していたと指摘しており、署名鍵の流出がかなり前から起きていた可能性
>Samsungは漏えいしたアプリ署名鍵を把握していたことを認めている
>この脆弱性にどういった対処を行ったかは明らかではなく間違いなくどこかで出回っているように思われ
>現時点ではこれらの署名鍵がどのように流通しているのか、また、その結果として何らかの損害が発生しているのかについては明確ではありません
仮想システムを構築するにあたり、CIFS しか使えない NAS をバックアップ用に選定してきた SI 屋さんが居たので、CIFS と iSCSI のどちらが早いのか、試してみました。
テストに使う NAS は QNAP の Turbo NAS TS110
http://www.tekwind.co.jp/products/entry_6719.php
です。もう6年以上愛用して、カビが生えてもおかしく無い程に古いし, Marvell 800Mhz という低スペックな Qnap NASです。 100Mbps 時代のモノです。
昨年、HDDがお亡くなりになったので、3Tb の HDD に交換しました。ファームウェアはこんなに古い機械でも、QNAP シリーズの最新バージョンが利用できます。
iSCSI は、今あまり見なくなりましたが SCSI ケーブル規格や、SASケーブル接続のハードディスクを、一般的なIPネットワークで規格で仮想化したものです。
マウントするホストシステム側は iSCSI initiator, ディスクストレージの機能を提供する側を iSCSI Target と呼びます。
ホストから「マウントするしない」はイニシエータ側のソフトウェア的な操作で行います。これは便利な機能で、ディスクの故障などで、一時的に物理的に取り外さなければいけない場合でも、ホストからの操作だけで実際のケーブル結線の脱着を行う必要がないので、今時での SAS の外付けディスクドライブの様に、ホストもシャットダウンして電源を切り、結線を外して修理、交換する、という必要がないので、ディスクデバイスの修理をホストの電源を止めないで実施できると言う、実に便利な事ができます。
という事で、仮想環境では実に使いやすいストレージデバイスなのです。
マウントするホスト側から見ると単純に SCSI/SAS のハードディスクに過ぎません。iSCSI のストレージをマウントしてからは、通常の増設ディスクの様にフォーマットして、ホスト側で使う一般的な XFS, ext4, NTFS などのフォーマットでフォーマットする必要があります。
Linux の iSCSI ターゲット側からは、内部にターゲットとして使う「巨大なファイル」が、どん! とあるだけです。この巨大ファイルを、イニシエータ側に仮想ディスクイメージとして提供しています。当然シンプルな仮想イメージなので、ファイルそのものをバックアップコピーすれば、ストレージのイメージそのもののバックアップができます。
※ qnap NAS の場合、iSCSI イメージは、 /share/HDx_DATA/.@iscsi.img の下にドンと作られるようです。
[Solved]How to mount iSCSI file?
https://forum.qnap.com/viewtopic.php?f=180&t=25322
[/share/HDA_DATA/.@iscsi.img] # pwd
[/share/HDA_DATA/.@iscsi.img] #
[/share/HDA_DATA/.@iscsi.img] # ls -l
-rw------- 1 admin administ 6442450944 Nov 12 2017 iSCSI-2015ace1-5a078d66.000
-rw------- 1 admin administ 1073741824 Jun 24 09:52 iSCSI-lun4-5d0de534.000
-rw------- 1 admin administ 107374182400 Nov 4 2015 iSCSI-nss01-56399e1a.000
-rw------- 1 admin administ 5368709120 Nov 11 2017 iSCSI-nss2015-5a06cf6d.000
-rw------- 1 admin administ 21474836480 Jun 22 17:11 iSCSI-test-56b3ce90.000
-rw------- 1 admin administ 5368709120 Jun 22 17:11 iSCSI-test-56b3ce90.001
[/share/HDA_DATA/.@iscsi.img] #
※ とても重要
CIFS/NFS のファイル共有NAS と違い、iSCSI でマウントして一つのターゲットを制御できるのは、一つのホスト、一つのイニシエータだけです。複数のホストからイニシエータでマウントする(できちゃいます)と、ファイルの排他制御は行われないので、ファイルシステム自体の不整合が起こります。
つまりファイル共有という目的には向いていない、という事です。あくまでも iSCSI ターゲットはネットワーク上の仮想ディスクです。
もっとも、一つのホストからマウントしてファイルを保存して、いったんオフラインにして、ターゲットを別なホストからマウントする、という事はできます。また、ターゲットは一つの iSCSI デバイスで複数作れるので、1台の iSCSI 装置に複数のターゲットを実装して、複数のホストから別々のターゲットイメージをマウントする事は問題ありません。
極端な話、ホストのハイパーバイザーは USB メモリやSANブートさせて、後はマウントした iSCSI の仮想イメージ上で、仮想マシンを動かす、HDDレスなハイパーバイザー運用もできます。
物理的な転送速度は、ネットワークの速度とディスクデバイスの性能に依存します。当然 10Gb base のネットワークカード、HUB、高規格なケーブルを使えば、論理的な性能は 10Gbps です。大抵は NAS の性能がそこまで出ないのですけどね。ヨドバシカメラあたりで売っている 4,000 円程度の 1G HUB でも、そこそこの性能が出てしまいます。
距離は、IPがつながればどこでもなので、ホストコンピュータとメインのストレージを自社のサーバールームに置き、イニシエータを動かし、バックアップ用の iSCSI ターゲットをデータセンターに置く、なんてこともできます。
【送料無料】QNAP TS-431P2(ホワイト) NAS 4ベイモデル クアッドコア CPU / LAN 2ポート搭載 (TS431P2)
価格:56,145円
感想(0件)
iSCSI の耳慣れない言葉に LUN (論理ユニット番号 : Logical Unit Number)というのがあります。
昔の SCSI は、 SCSI バスアダプタに7番のIDを振り、残りの 0 ~ 6 のディスクや CD, Tape などに ID を振り分ける物理的な3ビットのディップスイッチやジャンパ端子が付いていました。これが SCSI アドレスです。
これが実に難物でした。特に、複数の SCSI バスアダプタカードをデュプレクス設定する場合、割り込み番号も別々にするので、手が滑ってジャンパピンを飛ばして床を這いまわって探したり、難解なディップスイッチを前に数日悩んだものです。
つまり一つのSCSIバスには 0~7の合計8台(うち大抵7番はSCSI バスカード)の物理ユニットデバイスがつながって別々に見えたという仕組みだったわけです。
ところが SCSI バスを使った Raid コントローラが出てくると、ディスクの鈴なりが、一つの物理デバイスに見えてしまうわけです。これを「論理的な仮想番号」に分割して、システムからは、単一の鈴なり Raid ディスクを複数の論理番号に分割したわけですね。
これが LUN というヤツです。
iSCSI 機器のターゲットも、内部のソフトウェア的に複数の論理デバイスに分割して、複数のホストコンピュータから複数の物理デバイスのように見せかけるわけです。
別々な LUN は一つ、あるいは複数の iSCSI 機器によって、複数のホストに別々のディスクデバイスとして見せかけるンです。
https://en.wikipedia.org/wiki/Logical_unit_number
Qnap NAS の場合、iSCSI ターゲットはウィザード形式で簡単に作成できます。EXT4 ファイルシステム上で、オンラインでも簡単にサイズの拡大ができるので、 Windows の Storage Server のように NTFS の VHD 形式ではないので、そこそこ性能が出ますが、いかんせん古さと遅さは否めません。
Qnap NAS の iSCSI ターゲットの設定は、偉そうな Linux 系サイトに書いてある程、面倒なことはありません。ストレージマネージャから iSCSI タブにあるウィザードに従って iSCSI ターゲット名に任意の名前を付けると IQN にその文字列が追加されるだけです。わざわざ vi エディタに「正確に」綴りを間違えずに設定する必要もありません。ここでは Chap 認証は付けませんでした。
仮想化時代の NAS 選び - やっぱり iSCSI は早い。_a0056607_16405779.jpg
機械は古いのですが、逆に言うと、「古くて遅い」ため、サーバーとNASとの接続プロトコルの性能差が、如実に現れる事になります。
QNAP TVS-951X 10GBASE-T/NBASE-Tポート内蔵
Windows10 の Microsoft 製 iSCSI イニシエータは「コントロールパネル」>「システムとセキュリティ」>「管理ツール」の中にあるので、ここで、設定済の iSCSI 「ターゲットを」 「検索」して選んで「接続」します。Chap 認証を付けておいた場合はターゲットで設定したパスワードが必要でしょう。
仮想化時代の NAS 選び - やっぱり iSCSI は早い。_a0056607_16412132.jpg
新規に作成して、接続した後は、フォーマットされていないため、ディスクマネージャからフォーマットして使います。ちなみに、フォーマットして利用した iSCSI ターゲットの仮想ディスクは、他のマシンでマウントすることもできます。つまりHDDを取り外して、他のPCに繋げる事と同じことですね。
PR
ちなみに opeSUSE で使うにはこんな感じになりました。
open SUSE Leap 15.1 で iSCSI NASを使ってハマった
https://islandcnt.exblog.jp/239328437/
一番イラつくのは、巨大なファイルの転送でしょう。という事で 3G 程ある SUSE Linux のインストール用DVDの ISO ファイルを CIFS でコピーしてみます。
仮想化時代の NAS 選び - やっぱり iSCSI は早い。_a0056607_16414334.jpg
3分11秒かかりました。1Gビットネットワークで 12~3% 程度の帯域を使って通信しています。明らかに古いNAS の性能が足を引っ張っているようです。
スループットは 150Mbps 程度で全体の最大15%程度でしょうか。
仮想化時代の NAS 選び - やっぱり iSCSI は早い。_a0056607_16415832.jpg
仮想化時代の NAS 選び - やっぱり iSCSI は早い。_a0056607_16422170.jpg
初速は出るのですが、その後は、ボロイ TS-110 の性能がモロに出ます。それでも 20 MB/s から 25 MB/s 程度は出ています。
仮想化時代の NAS 選び - やっぱり iSCSI は早い。_a0056607_16423835.jpg
2分25秒でした。 大体20%程度のスループットです。
--
数字に弱い私の脳みそですが、 iSCSI は CIFS より 1.5倍くらい早い、という事が言えます。
Zabbix で QNAP TS-110 の I/O を見てみると、前半の CIFS アクセスより後半の iSCSI アクセスの山が高い事がよくわかります。
仮想化時代の NAS 選び - やっぱり iSCSI は早い。_a0056607_16425860.jpg
CIFS を使ったリモートディスクのマウントは、他のPCからもアクセスができる、というメリットがありますが、iSCSI は単一のホストからのアクセスしかできません。<--- これ重要.... -- もっとも、ターゲットストレージを複数作って複数のサーバーから異なるデータ領域にアクセスはできますが -- バックアップ用途や、サーバーの増設ストレージとして考えれば、良い選択であると言えます。
もっとも、iSCSI デバイスそのものは、ターゲット単位で別々なホストから接続できます。しかし同じターゲットで別々のホストからイニシエータから繋ぐと、とても笑いごとにならない事態になるので、普通やりません。
ハイパーバイザー同士で一つのターゲットを共有してライブマイグレーションはしたことはあります。
こうした性能のわずかな違いが、仮想化システムのハイエンドな領域で違いとなって出てきます。なお Qnap でも openiSCSI でも Windows Storage Server でも取った領域そのままのサイズのでかいファイルが作成されるようです。
国産 NAS の「ハイエンド」と称する「LANxxxx」などのモデルでは Windows Storage Server を使って NTFS フォーマットしています。Windows Storage Server は見た目 Windows サーバーそのものなのですが、ところどころちゃんとデチューンされているようで、SOHO向けが限度です。
こういった国産 NAS メーカーの製品カタログでは、「ハイエンド」は Windows Storage Server を搭載して、低価格のNASは Unix 系のシステムで「低価格」を謳っていますが、そもそも、上位モデルは、CPUやメモリの性能が高いものが使われています。性能が違うのは当たり前なのですが、あまり性能が出ないだろうと思います。
Windows Storage Server じゃなくて、ちゃんとした Windows Server と CAL 買えよな、という事なのですね。
このあたりは独自OSを NAS としてチューニングした Qnap や Synology, asuster などの iSCSI 機能付きの NAS を中規模ネットワークのミドルレンジの NAS として利用したほうが良いと思います。
仮想環境でのネットワークアタッチストレージ(NAS)は、本回線(構内LAN)とは切り離し、ストレージ専用のネットワークとして独立して運用させるのが基本です。サーバーとNAS間で凄まじい通信が発生します。サーバーNICが2ポート以上のものが推奨されます。
iSCSI はあくまでもネットワーク上のストレージのみの機能を提供するものであり、ファイル共有の手段ではない、という事です。
NAS をCIFSで使うと NAS が持つ独自のアクセス権限を設定しなければなりません。セキュリティも当然 NAS 独自の機能で設定します。
iSCSI はあくまでも「外付け SCSI デバイス」のネットワーク版なので、マウントする側のOSそのもののファイルシステム、セキュリティ機能、アクセス制限がホスト側の機能をそのまま利用できます。セキュリティ的には、マウントする際のパスワード制限しかないので、独自のストレージネットワーク内に配置すべきで、ユーザが使う構内ネットワークに配置すべきではありません。
6月14日、平井大臣の「干す」「脅しておいたほうがいい」発言について、4月7日の定例会議の場で、オンラインで数十人が傍聴する場での発言であったことが明らかになった。
2021年6月14日 第18回「ワクチン進捗フォローアップ野党合同チーム」ヒアリング(1:09:48~)
https://www.youtube.com/watch?v=GslHIvG-8jY
以下、ヒアリングの内容についての書き起こし
・野党
平井大臣の記者会見のことです。まずですね、こういった発言をされることは、優越的地位の濫用ですから、本当は透明性のあるデジタル政府を目指すトップとしてはですね、これまったく失格であると、もうこの発言自身で、大臣に辞任を求める、こういう発言であるかと思います。
で、事実関係をまず確認いたしますが、配布いただいた平井大臣の記者会見で、誰にしゃべったのかというところで、幹部中の幹部二人にしゃべったという風におっしゃっています。そうなると、この二人のどちらかが漏らしたということになって、これちょっと考えられないんですね。なので、まず、これはいつ、何という会議で、そして、これは何人が出席していた、オンラインも含めて何人が出席した会議なのか、まずこの事実関係を教えてください。
この度、お騒がせしております。
今のご質問についてでございますけれども、これはIT室、デジタル庁の改革関連法案の準備室の定例という形でございますので、このお二人も出席しておりますけれども、それ以外に、準備室員がですね、出席しております。これはオンラインも含めてでございますけれども、当時何人が聞いていたとかといったところは、これは記録が残っていませんので我々も把握できておりません。
・野党
・野党
準備室定例会議です。
・野党
準備室定例会議は、普段は何人の方が参加されている会議なんでしょう。
すいません、これはまさにリアルと、あとオンラインで傍聴している人もいます。ですので、確たることは申し上げられませんけれども、皮膚感覚としてはですね、皮膚感覚としては、20人ですとか30人ですとか、それくらいかな、という風に思います。
・野党
20人から30人の定例会議の前で、大臣は、干せと言ったんですよ。これ無茶苦茶じゃないですか。大臣の説明はまず間違っていませんか。二人って言ってますけど。
実際にですね、私も会議の場に同席をしておりましたけれども、会議といってもですね、これまさに大臣と室内にいる人間との会話で進むことが結構多くございまして、この会議自体ですね、まさにその二人にですね、話がなされたという形でございます。
・野党
え、でも、オンラインで聞いていたわけでしょ。室の人たちが。
はい、そうですね。
・野党
だったらオンラインの記録が残っているでしょ。
いや、それはあの、当時誰がアクセスしていたのかという記録は残っていません。
・野党
え、でも誰がその、デジタル会議に入ったかの記録がないんですか? 僕らだって必ずありますよ。お宅のIT室ってそんな具合ですか。
すいません、そこは実際、事実関係として、当時誰がアクセスしたのか、あのアクセス権限があった人間は、もっと多くの人数で、100人弱の規模がアクセス権限があります。で、それは全員ではなくてですね、準備室内の一定の職務以上の人間でございますけれども、その100名弱のアクセス権限があるなかで、実際に誰がアクセスしたのか、というところは把握しておりません。会議の場においてはですね、当然そのリアルでいるもの、それからオンラインでいるものの人数はおおむねわかりますので、先ほど申し上げたような人数ということを申し上げた次第でございます。
・野党
把握して教えてください。100人のうち50人なのか70人なのか。だって二人に言ったって言っているから、全然違うじゃないですか。
会議の場で二人に対して申し上げたということを、今ご説明した次第でございます。会議のスタイルにもよりますけれども、この大臣の準備室の定例に関しては、その場にいる人間との会話で会議の進行がなされることも多くございまして、そのうちの一つだということでございます。
・野党
すいません、あと議事録を出してください。定例会議ですから必ず議事録があるという風に思いますし、これ結局ですよ、だから室の人たち全員が準備室の人たちが見ている中で、大臣がデジタル庁は死んでも発注しないと、場合によっちゃ出入り禁止、完全に干す、脅しておいたほうがいいよ、なめられちゃうからね、これ言っているんですよ。二人じゃないじゃないですか。これが本当にデジタル庁のトップとして、その、自分の権限が及ぶ職員に言う言葉ですか?
先ほど来申し上げているようにこれは、その中で、その二人に対して、非常にラフな表現になったということは、大臣も不適当であり今後気を付けたいという風には申しておりますけれども、二人に対する指示ということで我々も受け取り
・野党
表現じゃなくて中身が悪いんですよ。彼と一緒にデジタル法案いくつも作りましたけれど、もう二度と作りたくない。これ中身がおかしいんですよ。言っている中身が。教えてください。議事録出して、何人が聞いているか。
・野党
あともう一つお願いしておきます。今お手元に配ってます、73億1千5百万円のときの内訳が、これは事前にずっと前からいただいていたやつですが、そうすると、顔認証連携システムの、この5億が全部消えたということになるわけですから、38億になったときの内訳も提出をお願いしたいと思います。
・野党
議事録出すかどうかまだ答えていない。
・野党
これ次回もさしてもらいたいと思いますがね、やっぱり私も聞いていておかしいと思うのは、平井大臣はね、二人の、結局二人の幹部に対してしゃべったものというから、ああ3人くらいでしゃべったのかな、と僕らも思っていたら、今聞いたらですね、正式な、結局IT推進室の正式な会議で20~30人に指示したわけだから、これはもう完全に公式な話で、デジタル庁としてはNECを干すと、いうことを正式に流しているわけじゃないですか。これ恐ろしい話で、今までおっしゃっていた非公式の話を二人の幹部にちょこっと内々にしたというのと全然違う話で原口さんおっしゃるようにデジタル庁の担当大臣として特定の会社をこんなことで干してやるなんてことはね、絶対あってはならないことだと思いますので、このことについては今まで大臣の説明したことがこれはちょっと事実と違うんじゃないかということが明らかになったので今後も議論していきたいと思います。
・野党
調達の法律があるし条約もあるんで、大臣がデジタル庁の方針を、これまあ、テープが外に出てですね、取り消すということになったんですが、これがもしテープが出ていなければ、それが方針になっていたんで、法令違反の疑いあると思うんで、関連法令もですね、一覧表を出していただければ。
・野党
公開されたアプリのバイナリから素材データを取り出したり、まだリンクされていないURLを推測で当てたりする行為のことを指していると思うが、
こうした行為は少なくとも不正アクセス禁止法には触れないよ。おっしゃる通り、規約違反ではあるだろう。
どうすればいいのか
それが分からない。
アプリなどであれば、暗号化したデータを事前配布した上で復号鍵をイベント直前に配布する、などが一般的な対策になる。
Webページの場合は画像や動画素材のURLを推測不可能なランダム文字列にした上でイベント開始直前にHTMLへのアクセス権限を出すくらいかな。
どうせDBが丸見えでしたわ的な話だろ
決済サービス「PayPay」は12月7日、ブラジルから不正アクセスを受けて加盟店の関連情報2007万6016件が流出した可能性があると発表した。不正アクセスがあったのは11月28日だという(PayPay)。
加盟店情報のみで一般ユーザーの情報に関しては別のサーバーであったことから流出していないとしている。不正アクセスに至った原因については、アクセス権限の設定で、2020年10月18日~12月3日の期間は不備のあった状態になっていた。外部からの連絡により判明したとしている。
(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴
(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴
(4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先
コインドーザーというスマホゲーを久々に始めた。どういうゲームかっていうと、ゲーセンによくあるメダルゲームを模したものだ。コインを入れ、場にあるコインを落として手に入れる、その繰り返し。脳死ゲー。パチカススロカス以下、底辺の娯楽、ポチポチゲー。昔は無課金で延々遊べたが、今はすぐ原資のコインが尽き、課金・動画広告の視聴・別アプリのインストール&何らかのアクションを迫られる。
動画広告では別のゲームアプリが宣伝される。見終わればキャンセルしても報酬を得られるわけだが、わざわざ広告費を出してよそのゲームで宣伝するほどのゲームということなのか。よほど魅力的で、開発費も広告費もかかったリッチなゲームで、始めたらどんどん散財したくなっちゃうようなゲームなのだろうか。
めちゃくちゃ課金を迫ってくるのか?あるいは個人情報の収集を目的としてやたらとアクセス権限を要求してくるタイプか?
前者だとしたらGoogle Play Storeの支払を確定しなければ金銭を失うことはないし、後者だとしたらAndroidの権限付与ダイアログで拒否すれば被害はない。
動画でやたら出てくるアプリ、トゥーンブラストというゲームを入れてみた。アメリカンなアニメ調の劣化パズドラといった雰囲気。パズドラのように余計な演出がなく、シンプルでよい。それは良いがぜんぜん課金を迫ってこない。たまに課金ポイントらしきものはあるが、むしして遊びつづけられる。別に面白くもないのだが。同じ面白くないならコインドーザーのほうが俺は好きだ。このアプリの素性を把握するというミッションを完了したらとっととコインドーザーのケチ臭い動画広告視聴作業に戻りたいのだが、金も個人情報も要求してこない。
トゥーンブラストについてTwitterで検索してみると、プレイヤーはちらほらいるようではあるが熱心に遊ばれている感じではない。ググっても攻略ウィキなどない。広告と内容が異なる、詐欺だ!けどゲームとしては遊べる〜といった評価。誰もまともにプレイしてない。とても儲かっているようには思えない。
ゲームは進む。面白くないが、ちゃんとパズルゲームだ。ステージごとに新しいギミックが出てくる。どこかで見たような仕掛けでなんの感動もないが。
もういい。コインドーザーに戻る。インストールまでしたのだから報酬は少し高いかもしれない。…と思いきや、4コイン。普通に時間経過でもらえるだけのコインでは??
もう、よくわからない。アドネットワークでゲーム同士・アプリ同士が、ゲーム内の報酬を餌に他アプリのインストールを勧め、しかし勧められたアプリの中でも特に金を取られるでもない。こちらのアプリもプレイヤーの原資が減ってきたらまた広告で別のアプリに誘導するのだろうか。俺がそこまで辿り着いてないだけなのか。
このアドネットワークで開発者たちはどう儲かってるのか、ホイホイ乗っかったらプレイヤーはどんだけ金取られるのか、上流に近いところにいる企業ってのはどんな有名アプリを出してるとこなのか、あたりが気になって調べてみたかったんだが、ムリ。飽きた。2ホップ目で飽きた。詳しい奴いたら教えてくれ。
