弁財天

ゴフマン「専門家を信じるのではなく、自分自身で考えて判断せよ」

三菱UFJニコスのストレージ障害。性能を最適化するための「投機実行」の脆弱性パッチで性能が劣化w update8

三菱UFJ、損失1000億円 19年3月期、子会社システム開発中止 金融機関 2019/4/22 2:00日本経済新聞 電子版
三菱UFJフィナンシャル・グループ(MUFG)は2019年3月期に1000億円規模の追加損失を計上する。クレジットカード子会社の三菱UFJニコスは投資に見合った収益を見込めないとして新システムの開発を中止。投資済みの750億円程度で減損損失を出す。過去に払いすぎた利息を顧客に返す「過払い金返還」に充てる引当金も計上する。
ニコスはMUFGの完全子会社。MUFGの19年3月期の純利益は前の期比4%…

MUFGが損失1000億円計上を検討、子会社システム開発中止 萩原ゆき、浦中大我
2019年4月22日 8:07 JST 更新日時 2019年4月22日 9:50 JST
三菱UFJニコスで関連損失を計上、過払い金返還の引当金も負担に 損失計上を決めれば5月15日の決算発表時に公表する見通し
Mitsubishi UFJ Financial Group Inc. (MUFG) Photographer: Tomohiro Ohsumi/Bloomberg
三菱UFJフィナンシャル・グループ(MUFG)が、2019年3月期に1000億円規模の追加損失の計上を検討している。クレジットカード子会社・三菱UFJニコスの新システム開発中止などが主要因。事情に詳しい関係者が明らかにした。
 非公開情報を理由に匿名を条件に語った関係者によると、三菱UFJニコスは投資に見合った収益を見込めないなどとして新システムの開発を中止し、関連損失が生じる。過払い金返還に充てる引当金とあわせて計上することを検討している。
 損失計上が決まれば、5月15日に予定している19年3月期決算発表時に公表する。MUFGの前期純利益予想は、前の期比4%減の9500億円。同社広報担当者は、コメントを控えた。
 1000億円規模の損失計上については、22日付けの日経新聞朝刊が先に報じていた。この日のMUFGの株価は一時、前営業日比1.4%安の557.9円まで下落した。
「クレジットカード子会社・三菱UFJニコスの新システム開発中止」w

三菱総研とTISかぁ…

おいおい。なんでマスターデータ?w。トランザクションデータが破損して「二重引き落とし」が起きてるw。

NICOSカードで障害 「顧客情報流出なし」
2018/1/9 19:13
 三菱UFJニコスは9日、昨年12月にシステム関連機器が故障し、クレジットカード「NICOSカード」の契約内容の照会や変更などの手続きができなくなったり、遅延したりする障害が発生したと発表した。通常のカード利用に支障はないという。サイバー攻撃ではなく、顧客情報の流出はないと説明している。
 障害が起きたのは昨年12月26日。NICOSカードの会員と加盟店の取引内容を保管するハードディスクが故障した。
 1月4日には、システムをおおむね正常に稼働できるようになったが、運用に慎重を期すために利用時間を制限し、一部のサービスが遅延する状態が続いている。

三菱UFJニコス トラブルで57万件の入金に影響 1月9日 20時02分
大手カード会社「三菱UFJニコス」は、システム関連の機器の故障でコンビニエンスストアでの公共料金などの収納代行サービスで最大で57万件に上る入金データの通知の遅れなどトラブルが発生していることを明らかにしました。
「三菱UFJニコス」によりますと、先月26日にシステム関連機器が故障し、決済業務などにトラブルが生じているということです。
具体的には、コンビニエンスストアで三菱UFJニコスの収納代行サービスを利用した際に、税金や公共料金、商品の購入代金などを支払ったにもかかわらず、自治体や商品を販売した会社への入金データの通知などが遅れるケースが最大で57万件に上るとしています。このため入金が確認できないとして支払いを督促されるトラブルも起きているということです。
また、三菱UFJニコスの加盟店で、ほかの会社が発行するクレジットカードやデビットカードを利用して商品を購入した場合に代金が二重に引き落とされているケースが252件発生しているとしています。
さらに、NICOSカードを使ったインターネットでのキャッシングサービスが利用できなかったりするトラブルも起きているということです。
会社によりますと、顧客情報が外部に流出するおそれはないとしていますが、通常どおりの運用に戻るのは今月下旬になるとしています。
三菱UFJニコスでは「関係者の皆様に多大なるご不便とご迷惑をおかけすることになり誠に申し訳ない」としていて、9日から特設の窓口を設けて問い合わせなどに応じています。問い合わせ先は0120-567-308で午前9時から午後8時まで受け付けます。
「また、三菱UFJニコスの加盟店で、ほかの会社が発行するクレジットカードやデビットカードを利用して商品を購入した場合に代金が二重に引き落とされているケースが252件発生しているとしています。」w


PDF

2016年7月12日 A評価 三菱UFJニコス株式会社 三菱UFJニコス池袋システムセンタービル 太陽生命東池袋ビル(三菱UFJニコス池袋システムセンタービル)

三菱UFJ、ニコスの赤字は409億円 悲願のシステム統合で 2016/5/23 18:33
 三菱UFJフィナンシャル・グループ(MUFG)は23日のアナリスト向け決算説明会で、傘下の三菱UFJニコスが2016年3月期に409億円の赤字になったと正式に発表した。5年ぶりの赤字だが、実態は「攻め」の投資による利益の目減りが大きい。旧UFJニコスが旧ディーシーカードと合併した07年から、およそ9年。悲願のシステム統合もようやく動き出す。
 今はDCカード、MUFGカード、ニコスカードの3つのシステムが別々に稼働しており、これを統合することで年約200億円の経費削減が可能になる。新システムでは処理能力が高まってほかのカード会社の管理業務を受託しやすくなるほか、ビッグデータや人工知能(AI)を使った市場分析も可能になる。
 システム統合は金融機関の合併による最大のシナジー。それがここまで遅れたのは、06年から払いすぎた利息を顧客に返還する「過払い金返還」問題が業績を圧迫し続けてきたためだ。システム統合の投資額は2021年度の統合完了までに1500億円と大きく、財務体質が改善するまで動けなかった。三菱UFJニコスは16年3月末も新たに309億円の引当金を積み、当面は返還金が業績に影響を与えない環境もつくった。17年3月期は黒字転換を見込む。
 MUFGは16日に開示した決算発表資料で、ニコスによるMUFGの利益への影響額などを記載していたが、具体的な赤字額は開示しておらず、出資比率などから推測するしかなかった。23日の開示資料で初めて赤字額を明らかにした。
(経済部 高見浩輔)
「システム統合の投資額は2021年度の統合完了までに1500億円と大きく、財務体質が改善するまで動けなかった。」w
まだシステム統合は完了してない。じゃぁ池袋でストレージ障害が起きたのか?それともクラウド上のディスクが吹き飛んだのか?w

IBMだわw。あーぁ。ワトソンがハードディスクを壊しちゃったんだわw。それはサイバーテロだからやっちゃダメだよワトソンて、そんなバナナw。

CPU脆弱性問題の影響か、佐賀県庁で一時Office365が利用できず 岡部 一詩=日経FinTech 2018/01/09 日経FinTech
 2018年1月5日、佐賀県庁で約3時間にわたって「Office 365」を利用できない事象が発生した。同月3日に明らかになったプロセッサ(CPU)に関わるセキュリティの脆弱性に対するセキュリティパッチを、クラウド事業者が緊急適用したことが原因とみられる。
 佐賀県庁は米マイクロソフトの「Microsoft Azure」上で、ユーザー認証機能を担うサーバーなどを稼働させていた。同庁によると1月4日、マイクロソフトがセキュリティパッチを適用。パッチ適用に伴いサーバー再起動を実施したところ、必要なプロセスが起動しなかった。
 その結果、ユーザー認証に不具合が生じたもようだ。1月5日午前7時頃、職員がOffice 365にログインできない事象が生じた。認証情報は一定期間保持する仕様だったため、1月4日の再起動時点から不具合事象の発現までにタイムラグがあったものとみられる。
 佐賀県庁は再発防止策として、緊急でセキュリティパッチを適用する際の事前通達をマイクロソフト側に要請したといい、サーバー再起動時のプロセス起動確認を同庁でも徹底するとしている。
 世界を揺るがしたCPUの脆弱性問題を巡っては、大手クラウド事業者が自社パブリッククラウドサービス向けにパッチ適用などを実施している。佐賀県庁のようなトラブルは他にもありそうだ。
あ、これだ。パッチ当てたら互換性なくなってプロセスが起動しなくなるのかぁ。で、サーバーサイドが使い物にならなくなったw。凝った実装は動かなくなるw。

【性能を最適化するための「投機実行」機能に欠陥があり、深刻な脆弱性が存在すると発表した。】
CPU実行コード最適化機能に脆弱性があり、この穴を潰すことは性能を劣化させることに他ならなかった。

これってビットコインのマイニング性能を劣化させる為のワナだったのか?w

あーぁ。これは大騒ぎになるな。

米インテルCEOの自社株売却、SECが調査も-売却時期巡り Alicia Ritcey、Anders Melin 2018年1月9日 13:45 JST
売却規模から見てSECの調査は避けられないとクリミンズ氏 事前に予定されていた株式売却計画に従い実行とインテルは説明
米インテルのブライアン・クルザニッチ最高経営責任者(CEO)は保有する自社株を昨年10-12月(第4四半期)に売却したが、そのタイミングを巡り疑問の声が上がっている。ハッカー攻撃に対するプロセッサーの脆弱(ぜいじゃく)性が報じられ、インテルの株価は先週、大きく下げた。
  インテルは同CEOの持ち株売却について、事前に予定されていた株式売却計画に従い、自動設定された売却スケジュールに沿って実行されたものだと説明したが、通常より売却規模が大きかったことから恐らく米証券取引委員会(SEC)が調査するとみる証券担当の弁護士もいる。
クルザニッチCEOフォトグラファー:Simon Dawson / Bloomberg
  SECの元法執行担当で、現在は法律事務所マーフィー・アンド・マクゴニグルに勤めるスティーブン・クリミンズ氏は「売却規模から見て、SECによる調査は避けられない」と指摘したものの、「クルザニッチCEOは優秀な証券担当弁護士から適切な助言を受けていると考えざるを得ず、疑いは全て晴れるはずだ。インテルのような企業のCEOらがこのような過ちを犯すことはない」と述べた。
  SECのインサイダー取引規制の規則「10b5-1」に基づき、企業幹部は事前に決めた株式数をあらかじめ設定した時期に売却する計画を策定できる。クルザニッチCEOは少なくとも2015年以来そうしたルールに従ってきたが、今回の売却はインテルなどのプロセッサーにセキュリティー上の弱点があり、パスワードなどの重要なデータが流出する可能性が明らかになった時期と重なった。
原題:Intel CEO Krzanich’s Stock Sales Seen Warranting SEC Examination(抜粋)
ぐはは。なんだこれ。インテルの自爆テロだったのかw。

だめだな。メルトダウンとスペクターの対応パッチを当てると不定期に再起動する不具合が起きてる。
カーネルのバージョンアップなので不治痛のBIOS更新テロ(initramfsの再ビルト中の意図しないリブート)がまた起きるリスクもある。
ハードウェア・ベンダーの監視ドライバがカーネルに追従できないので事実上バージョンアップはできない。

うぶんちゅのカーネルはkernel 4.4.0-108
RH7は3.10.0-693.5.2.el7.x86_64

access.redhat.com→Controlling the Performance Impact of Microcode and Security Patches for CVE-2017-5754 CVE-2017-5715 and CVE-2017-5753 using Red Hat Enterprise Linux Tunables
カーネルのパラメータに noibrs noibpb nopti を設定して攻撃を回避w。

稼働中なら
# echo 0 > /sys/kernel/debug/x86/pti_enabled
# echo 0 > /sys/kernel/debug/x86/ibpb_enabled
# echo 0 > /sys/kernel/debug/x86/ibrs_enabled
こえー。これってOracleがコア吐いて落ちてしまいそーなw。
つかカーネルにデバッグスイッチを付けたら各自オンオフで回避するよーにみたいなw。

Oracle社は Meltdown と Spectre 対策がデータベースサーバのページングに与える影響をまだ把握してないw。
インテルが塞ぐことができない裏口を仮想化インフラにつくってるしw。かといってAMDの格安プロセッサーのサーバーなんて売ってないしw。
RHEL7用の Meltdown と Spectre パッチとはLinuxではカーネルをバージョンアップすることw。 centos.org→Meltdown and Spectre

cyberciti.biz→How to patch Meltdown CPU Vulnerability CVE-2017-5754 on Linux
uname -rで
RHEL 6.x [2.6.32-696.18.7]/7.x [3.10.0-693.11.6]
以上にするとカーネルのスイッチが増えるw。なんて乱暴なw。

ACFSだのRAC構成のOracleでカーネル・ドライバを使ってる場合はこのパッチを当てること(カーネルのバージョンアップ)はできない。 なので無防備になる。しかし攻撃方法は公開されてしまった。

これって #Vault7 のときと同じ状況。事実上の公開テロ予告になってる。

投稿されたコメント:

コメント
コメントは無効になっています。