12/27/2016

[biz] 東芝の原発事業減損再び

東芝が原発事業に関連してまたしても数千億円規模の減損の見込みだそうです。それ自体はある程度予想する向きもあって驚きはそれほどないものの、2期連続というのは流石に問題なしとは到底言えないでしょう。大体、今期は回復するって散々言ってたところにこの有様ですから、正しく嘘つきと言う他ないところです。この種の業績についての虚言は、常習犯として富士通が広く認知されているところですが、そこに東芝も並ぶ事になりそうです。直近で見ればむしろ東芝の方が酷いと言えるでしょうか。

ともあれ。その対象は、昨年末(2015年12月)に同社の原発子会社であるところの米ウェスチングハウス(WEC,WH)が買収した、原発の建設や運用等を総合的に請け負うサービス会社CB&I Stone & Webster。具体的な条件等は非公表につき不明ですが、元々債務超過にあった同社の買収に際し、その価格やのれん代等は何故か買収成立後に協議により定める事とされていたところ、今年一杯CB&I側とその価格決定の方法を巡って紛争(売主のCB&I側から提訴)に陥り、先日ようやく第三者たる会計士の決定に委ねる旨の司法判断が下されたところだそうです。なお、暫定的に東芝が計上していたのれん代は100億円規模(8700万$)とのこと。

なんとなくそれっぽい雰囲気は漂うものの、これだけでは数千億の減損が何処から出てきたのか、第三者からは判然としません。従って推測するしかないわけですが、現在知りうる情報から解釈すれば、要するに、買収に伴うのれん代について、本来は買収額+債務超過額であるのに東芝の計上したのれん代が著しく低かったところ、今回の決定に伴ってその数千億円規模の差額が表面化する見込みとなり、同事業は業績不振にある事から、表面化すれば即減損が必要になる、という事かと思われるわけです。

そうだとしても、わけがわかりませんね。というのも、同事業が債務超過にある事、それに伴って減損の可能性がある事は、買収当時の公式文書にも記載されており、従ってその超過額分の損失リスクがある事を東芝が知らなかったという事はあり得ないわけです。その額についても、計上されていたような100億程度ののれん代で済むような規模・性質の事業ではない事も明らかだった筈です。また周知の通り、東芝は当時既に大規模な不正会計が発覚して巨額の赤字計上が避けられない状況にあり、原発事業の巨額の減損はその焦点の一つでした。事業継続の資金調達にも苦慮するそのような状況で、なにゆえにその減損リスクを加重し、その額も倍加させるような本件買収を強行したのか、合理的な解釈は困難のように思われるところです。

同社の原発事業が窮地に陥っていたが故に、同事業を維持継続するためには無理にでも拡大を図る姿勢を見せる必要があったという事なのか、それとも、危機とは関係なく、単にWH買収時と同様、リスクを承知で強行したというだけの事なのか。何にせよ無謀という他ないのでしょうけれども、それをやってしまうというのが、前代未聞の会社ぐるみの不正を起こし、またもんじゅ等による国家への損害も含めて原発事業を通じ損失を積み上げ続けてなお反省するところの皆無な東芝たる所以なんでしょうか。

リスクを負うのもそれで損失を被るのも、自分たちで責任を負える範囲内でというならそれぞれの自由であろうけれども、原発のような、それでは済まない公共的な事業でのこの無謀ぶりには、その担い手としての資格に欠けるものと断ぜざるを得ないのです。

Chicago Bridge & Iron 社の WEC に対する 差止請求 の棄却について
米国 CB&I ストーン・アンド・ウェブスター社の買収完了について

東芝、米原発サービス会社買収で数千億円減損の可能性

[関連記事 [biz] 個人向けから撤退する東芝、その行く先もまた暗く]
[関連記事 [biz] 彷徨う東芝、医療機器事業売却の意味不明]
[関連記事 [biz] 東芝がWH株追加買取]

12/26/2016

[biz] 恒例行事化したMRJ納入再延期、漂う諦観

三菱重工が開発中の短距離向け旅客機MRJの納入予定、さらに延期の運びになったんだそうです。同機の予定延期は1年ぶり、通算で実に5回目。もはや殆ど毎年の恒例行事と言っていいだろう現状、驚いている人は殆どいないのでしょうけれども。

度重なる延期のもたらす帰結、その詳細については既に各所で散々言い尽くされて来たところですし、ここで繰り返す意味もないでしょうから省略しますが、これでembraelとbombardierはじめ競合他社への顧客流出はさらに進み、既に回収不能と評価する他ない巨額に達した開発費等初期投資の額もさらに積み上がる事となりました。その意味するところは明らかです。

今回の延期の理由はいつもの通り、要するに品質管理の不手際による開発の遅延。直接的な事象としては、型式取得に必須の評価試験の開始が予定から大幅に遅れている事と、主に米国での規制当局の動向を読み間違え、重量超過に対する仕様変更が必要な見込みとなった事、と言われます。

前者は兎も角、後者は擁護のしようもありません。当然ながら、重量は航空機における最も基本的な仕様であり、基本設計に影響を与えずにそれだけを削減することなど出来ません。座席数や航続距離を減らすなら用途自体が変わって顧客の計画も練り直しになり、当然受注も(ANAのような特殊な顧客を除き)やり直しになるし、そこは変えずに機体の軽量化で乗り切るというのなら、それこそ基本構造や材質の設計から修正する事になり、もはや延期では済まなくなってしまうわけですから、いずれにせよ致命的と言うべきところです。もっとも、その理由がなんであれ、どうせリリースされないのなら結果としては同じだし、一々云々する意味もさほどない、とも言えるわけですが。ただ、どうもその辺が定まらないからか、今回は延期先の見積もり自体が困難になっているっぽいのが不穏ではありますけれども。

結局のところ、再延期がなされても驚きも感じられないという、ある種の諦観が広まっている事実それ自体が、同事業の先行きがもはや絶望的と言っていい状況にある事を証明しているのではないかと思うのです。少なくとも世間の大半がそう認識している、とは言えるでしょう。

この種の、当初の見込みの甘さ、準備段階の不備、実行における能力不足、それらがもたらす費用超過による不採算化、といった事業の立ち上げ全般に渡る失敗により泥沼に陥った状況、そしてそこに至ってなお有効な修正も撤退も出来ず、ただ損害を積み上げながら死の行軍を続ける以外に何も出来ない、という有様は、正しく惨状という他ないものです。東京五輪も似たような状況ですが、あちらは単発につき上限や終りが見えるだけまだマシと言えるでしょうか。

航空機事業を甘く見て、無謀にも突っ込んだ報いを受けているだけ、とも言えそうですが、何にせよ、さてこれからどう始末を付けるのか。事業規模の大きさとそのスパンの長さから、自ずと損害の桁も洒落にならないものになる事は避けられないだろうところ、他の事業も火の車な事もあるし、場合によっては自動車よろしく、とまではいかずとも、近い所まで行ってしまう可能性も否定できないところですが、さて。

MRJ開発で追加負担=納期時期「読めず」-三菱重工社長

12/12/2016

[IT biz] NETGEAR製Wifiルータに即時乗っ取り可能な脆弱性発覚

NetGear製のWifiルータ製品群に、httpリクエスト経由で任意のコマンドを実行出来る酷い脆弱性が発覚したそうです。

具体的には、下記のように後部にコマンドを記載したhttpリクエストをルータのIPアドレス宛に送信するだけで、root権限で任意のコマンドを実行出来てしまうんだとか。

http://ルータIPアドレス/cgi-bin/;COMMAND

マジですか。。。何がどうすればこんな事態が起こりうるのか、あまりの意味不明っぷりにもはや呆然とする他ありませんね。一応これもinjection攻撃に分類される脆弱性という事になるんでしょうけれども、しかしこれ、通常injection攻撃の文脈で言う脆弱性はオーバーラン等を利用する隠れたものを指すものであるところ、これは隠れたものではない、どころか普通にコマンド入力のインタフェースが設けられているようにしか見えないわけで、要するに設計ミスによる欠陥というべきものではないのかと。確かに脆弱性には違いないんでしょうが、通常の脆弱性とは異なり、メーカーの重過失によるものにつき、これによる被害は一義的にメーカーに帰責されるべきものと言わざるを得ないでしょう。悪意があったものとまでは思いたくないところですが、公式の説明は未だ無い以上、その点については現時点ではいずれとも判じる事は出来ません。

なお、対象については、CERTの報告によれば、同社製のR7000とR6400が確定しているのに加え、同様のファームを使用している筈の同系統製品群はおそらく該当するだろうとの事で、このシリーズはそのカタログスペックの高さから世界的に良く売れているものでもありますから、その膨大な数のルータが即座に乗っ取られ放題という、それはそれは大変な事態になってしまったわけです。

本件への対策としては、既にリリースされている対策済のファームウェアを適用するまで使わない、というものしかない事は明らかで、各所で即時の使用停止が呼びかけられています。しかし、ルーターを使うな、と言いわれても、それはネットを使うなと言われているに等しい場合も多いでしょうし、そもそも気づかないユーザの割合も小さくはないでしょうから、十分に対策が行き渡るまでどれだけの時間がかかるかも未だ見通せない状況で、当然ながらそれらの無防備な分につき諸々の攻撃による被害が懸念されています。いや大変な事になりましたね。しかし、当のメーカー自身はというと、公式サイトでは本件について触れてすらいないばかりか、クリスマス向けに直ぐ入手出来る旨の、当該Wifiルータ製品群の宣伝及びオーダーの受付窓口を大々的に掲げている始末という。危機感が薄いのか、あるいはあまりに致命的に過ぎて、無かった事にしようと絶望的な試みに走ったのか。いずれにしろ論外と言わざるを得ないわけですけれども。

一応、R7000及びR6400自体は、同社の個人向け製品群の中ではハイエンド寄りのモデルにつき、対象がそれらハイエンドカテゴリの製品群に限定されるのであれば、リテラシが高く迅速に対処出来るユーザが比較的多数を占めるでしょうから、まだ被害は限定的に留まる可能性もあるにはあります。ただ、こういうインタフェース部分は廉価版と共通にするのが通常でしょうから、実際のところはあまり期待は出来ないだろうものと思われるところです。

しかしNetgearがねぇ。。。老舗の専業という事で、評価は最も高い部類のメーカーだった筈なのですけれども、これで一気に評価を落とし、信用を失うだろう事も避けられないでしょう。直近の決算は悪くないようですけれども、おそらく本件は長引くでしょうし、さてどうなることやら。ソニーの監視カメラの件といい、過去の販売実績やブランド等ももはや全くあてにならない、という事なんでしょうか。だとしたら、極めて残念な事です。

Vulnerability Note VU#582384 Multiple Netgear routers are vulnerable to arbitrary command injection

[関連記事 [IT biz] ソニーが監視カメラにバックドアを仕込んでいた事が発覚]

12/09/2016

[IT biz] ソニーが監視カメラにバックドアを仕込んでいた事が発覚

Sony製の監視カメラにバックドアが存在していて、オンライン・オフライン共に外部から自由に操作及びデータの取得が可能な状態になっていたことが発覚したそうです。

具体的には、SonyのIPELA Engine IP Cameraシリーズとして発売されている約80機種のIP接続対応の監視カメラ群につき、ファームウェア上に、root権限のアカウントに対する固定の第2パスワード('himitunokagi')が設定されており、これを知っていれば誰でもネット経由(Telnet!)及びシリアル接続により文字通り全ての操作が可能になる状態にあった、というのです。確かにこれは脆弱性ではなく、正しくバックドアというべきものですね。しかも公式の。

本件バックドアが導入された経緯等についてSonyは何も説明していないため、その目的等は不明です。一応、報道の中では、テスト目的等と推測されていますが、だとしてもrootの隠しパスワードなんて、何のテストに必要なんだという話ですし、俄に首肯し難いところです。当然ながら、Sony自身が顧客データの不正取得を目的にしていた可能性も否定する事は出来ない、というかその方がむしろ自然と言えるでしょう。何にせよ、Sonyの目的が何であろうと、顧客のシステムを危険に晒すのみならず、その秘密情報を無断で取得し得る仕組みをSonyが導入していた事が事実である以上、言語道断な所業と言わざるを得ない事は間違いなく思われるところです。

しかし本当にSonyは自分達が何を売っているのか、全く理解していないものとしか思えません。セキュリティ目的のデバイス自体にバックドアとか本末転倒も甚だしいわけで、ユーザに与える不利益、また心証、それにより失われる信用等の影響の甚大さを考えれば、正気を疑うべき愚行とも言えるでしょう。仮に単なる過失によるものだとしても、こんな致命的な欠陥が放置されたまま出荷される体制自体、セキュリティ関連デバイスのメーカーのそれとして論外と言わざるを得ないところです。わけがわかりません。

なお、当該バックドアについては、発見者であるところのSEC Consult社の事前連絡に従って公表直前にバックドアを潰したバージョンのファームウェアがリリースされており、これを適用すれば解消されるとのことです。対応に追われるSEの方々には御愁傷様。

先日、中国製ウェブカメラがその杜撰な設計からMiraiに大量感染して大規模なDDoS攻撃に利用された件の際には、中国製につきまだ潜在的な危険に留まるものと解して若干他人事のように捉えていたところもあったわけですが、残念ながらその認識は甘く、既に他人事ではなかった、という事になるわけで、その点につき反省しなければならないものと言えるでしょうか。全く以って油断なりませんね。だからといって、本件のようにメーカーにバックドアを仕込まれるというのでは、ユーザーの側ではもうどうしようもないわけなのですけれども。困ったものです、では済まない話なのですけれどもね。

Backdoor accounts found in 80 Sony IP security camera models

[関連記事 [IT biz] あまりにも容易なIoT機器乗っ取りによるDDoS攻撃の脅威]

12/08/2016

[biz] SMBCダイレクトのワンタイムパスワード強制切替も杜撰すぎる

今回は、ネットバンクの悪夢再び、的な話です。もっとも、前回と違って私は直接の被害者というわけではないのですけれども。

三井住友銀行のネットバンキングサービスSMBCダイレクトがワンタイムパスワードへの強制移行に踏み切ったようで。これに伴い、12/5付で従来の暗号表による取引は出来なくなっており、代わりにトークン(パスワードカードと呼称)もしくはスマホアプリによるワンタイムパスワードの入力が必須とされています。

先日、MUFGが同様の強制切替を実施した際にも相当な混乱があり、一度ならず二度までも切替がなかった事になった件も記憶に新しいところですが、これも同様の混乱があったようです。というか、とある知人に泣きつかれました。ほぼ毎日業務で使用している決済処理が出来ないんだけどどういうことだろう、と。急遽呼び付けられ、サポートをする羽目になったわけなのです。

なのですが、これがまた面倒で。何はともあれまず問い合わせようとしたのですが、決済処理が出来ない旨の画面に表示されているSMBCの問い合わせ窓口の番号に電話をかけても、音声対応で告げられる区分に、ネットバンキング関連の問い合わせに対応するものが存在しないのです。試しにその中で近いと言えなくもない感じの2つ程を選択してみましたがいずれも外れ。これは電話番号の記載がおかしいのだろう、と諦めてSMBCのHPからネットバンク関連の問い合わせ窓口を探してようやくそれらしきものを見つける事が出来たのです。しかしその後も、混み合っているという事でオペレータに繋ぐまで長時間待たされるという。。。

ちょっと酷過ぎませんかね。こんな重大な変更に際し、最も重要な筈のエラー画面の誘導に誤った窓口を表示するとか、問い合わせを受けたくないからわざとやったのでは、といった類のSMBCの悪意を疑わざるを得ません。窓口が混みあうというのも、本件のようなドラスティックなシステムの切替えであればトラブルが大量に発生して問い合わせも殺到するのは当然の話で、窓口の十分な増員等その準備がなされていなかった事は、文字通り不備と言う外ないでしょう。いずれも極めて遺憾です。

その後は、 まあお決まりの、今すぐに決済をしなければならない状況だというのに送付に一週間かかるだとか、スマホを持っていないのにアプリを使えだとか、そういった類の木で鼻をくくったような対応を受けた知人が憤慨して悶着があった後、最終的には最寄りの店舗に出向いたところ運良くパスワードカードの在庫があり、何とかその日の内に切替えのち決済をする事ができたのです。が、解決の見通しの立たないまま長時間に渡って業務が滞り、手間も掛けさせられた知人は当然ながら憤りが治まらず、相当に不満が残った様子でした。聞けば、本件切替えについて、特にメールやDM等での告知はされた覚えはなく、本人にとって完全に不意打ちだったんだとか。そりゃ怒るに決まっています。おそらくは画面上に注意的な表示はあったんでしょうけれども、日々機械的に同じ作業を多数繰り返す中では、そんな細かい注意書きなんて一々読まないでしょうし、SMBCの怠慢により起こるべくして起こった障害というべきところだったわけです。

しかしMUFGの時といい本件といい、こうも当たり前のように顧客に迷惑をかける杜撰ぶりには流石に驚きました。MUFGの場合はあまりにしつこい催促それ自体が主たる迷惑の要素だったのに対し、SMBCの場合は全く告知をしないも同然のまま切替を強行したという事で、その態様は両極端に対照的ではあるものの、いずれも手続上の不備があったと言うべき点に違いはありません。そもそもワンタイムパスワードへの切替は完全に銀行側の都合による話であって、顧客に一方的に不利益を被らせる話だというのにこの対応の漫然さ加減は、銀行もベンダも一体何を考えているんでしょうか。あるいはやはり何も考えていないと言う事なんでしょうか。

これらの惨状、その原因が部分的にせよそういう事なのであれば、システム更新時等に頻繁に大規模な障害を起こすというのも、その作業自体が困難だからというのではなく、要するにその種の変更作業におけるリスク及びそれに際して負うべき自己の責任に対する認識が甚だしく不十分で、そのために対応も杜撰なものになっているというだけなのでは、といった銀行とベンダのシステムの管理運用の能力自体に対する疑念を強くせざるを得ないところなのです。事システムに関する限り、銀行を信用してはいけない、という事なのでしょう。困ったものです。そんな銀行がfintechとか何の冗談だと言わざるを得ないわけなのですが。

[関連記事 [note] MUFGオンラインのワンタイムパスワード強制切替の催促が極めて不快かつ迷惑]