【 ここから本文 】
基本的なブール検索さえ処理できない
米国政府が推進しているテロ防止ITプロジェクト「Railhead」に対し、米国下院の小委員会が同プロジェクトの技術的な問題点を指摘している。小委員会によると同プロジェクトのシステムでは「and、or、not」などの演算子を使った基本的なブール検索さえ処理できないというのだ。(2008年08月28日)
機能の“実質的な用途”から「ポルノ・モード」と揶揄する声も
米国Microsoftは8月26日、Webブラウザ「Internet Explorer(IE)8)」に追加する3種類の新しいプライバシー・モード機能「InPrivate」の詳細を明らかにした。ブラウザのプライバシー・モードと聞いて、多くのユーザーが真っ先に思い浮かぶ用途はアダルト・サイト閲覧履歴の削除であることから、新しい機能の1つを“ポルノ・モード”と皮肉る向きもある。(2008年08月27日)
ゲートウェイ、スパム/ウイルス対策、情報漏洩対策などの機能を提供
センドメールは8月26日、メール・セキュリティ仮想アプライアンス「Sentrion MPV」を発表した。同製品は、VMwareによる仮想化環境上で動作し、企業で扱う電子メールのセキュリティを確保するための諸機能を提供するもので、販売開始予定は今年12月末、出荷開始予定が2009年1月末となっている。(2008年08月26日)
同社幹部、署名鍵のパスフレーズ漏洩など致命的な被害はないと強調
米国Red Hatは8月22日、Fedoraパッケージの署名鍵のパスフレーズを格納したシステムを含む、Red Hat Enterprise Linux(RHEL)およびFedora Projectのインフラ・サーバが第三者によってハッキングされたことを明らかにし、経緯と講じた対策を説明した。(2008年08月25日)
巧妙化が極まるクラッキング、増え続ける攻撃の手口
最近、正規のWebサイトを改竄してマルウェア感染サイトに誘導する攻撃が多発している。セキュリティの脅威の目的が営利化した結果、換金が容易なインターネット・ユーザーのアカウント情報が狙われるようになったからである。このような脅威に対して、企業・組織はどのような対策を講じればよいのだろうか。本稿では、ネットワーク・セキュリティ環境を取り巻く現状とリスクを明らかにしたうえで、最新の脅威に立ち向かうための具体的方策を提起したい。(2008年08月22日)
社内イントラネットへのアクセス・セキュリティを強化
京セラコミュニケーションシステム(以下、KCCS)は、企業イントラネットへのセキュアなリモート・アクセスをサポートする、リモート・アクセス端末認証・検疫サービス「CAREN(Controlled Access to Remote Enterprise Networks)」を提供開始すると発表した。(2008年08月21日)
mixiのユーザーIDを1万以上のOpenID対応Webサイトで利用可能に
ミクシィは8月20日、オープンな分散認証技術「OpenID」とSNS「mixi」のソーシャル・グラフ(人と人との相関図)を融合した認証サービス「mixi OpenID」の提供を開始したと発表した。同サービスは、さまざまなmixi関連サービスの構築を目指すプラットフォーム「mixi Platform」の第1弾となる。(2008年08月21日)
ネットワーク上の疑わしい挙動を検知・分析し、未知の不正プログラムに対応
トレンドマイクロは8月20日、企業ネットワーク内の疑わしい挙動を検知・分析することで潜在的な脅威を可視化するとともに、パターン・ファイル対応前の潜在的な不正プログラムの検知とシステムの復旧、感染原因の分析を提供するセキュリティ対策ソリューション「Trend Micro Threat Management Solution」を発表した。(2008年08月20日)
「ほとんどのウイルス対策ソフトは攻撃コードを検知不可」と専門家
ロシアと紛争中のグルジアを目の敵とするハッカーらが新たなスパム攻撃を仕掛けている。この攻撃を通じ、新しいボットネットの構築をねらっているようだ。(2008年08月18日)
低価格化やサービスの多様化で、普及へ向けて“3度目の正直”となるか
企業の情報システムを担う次世代クライアント技術として「シン・クライアント」が注目を集めて久しい。これまで何度かブームを巻き起こしてきたが、そのたびに導入コストの高さなどがネックとなり、大規模な普及には至らなかった。だが、ここにきて端末価格の低価格化や仮想化技術の応用により、これまでの課題が克服されつつある。さらにシン・クライアントのホスティング・サービスが登場するなど、サービス形態も多様化してきた。そこで本稿では、今回のブームの背景とともに、進化するシン・クライアントの最新事情を解説する。(2008年08月14日)
EFFは「言論の自由を奪う決定だ」と反発
8月8日〜10日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「DEFCON 16」において、米国マサチューセッツ連邦地方裁判所は8月8日、8月10日に行われる予定だったマサチューセッツ湾交通局(MBTA)の電子切符システムの脆弱性に関するプレゼンテーションに対し、実施差し止めを命じる仮処分を決定した。結果、プレゼンテーションは行われなかったものの、電子フロンティア財団(EFF)はこの処分を不服とし、控訴する意向を明らかにした。(2008年08月12日)
気球を使って無防備な無線ネットワークを探査。全体の約3分の1が「未暗号化状態」と判明
8月8日、米国ラスベガスの目抜き通りであるLas Vegas Stripで、気球を使った“ウォードライビング(Wardriving)”が実施された。ウォードライビングとは、自動車にコンピュータを積み、街中を走りながら無防備な無線ネットワークを探し出す行為で、米国のセキュリティ・コンサルティング会社Tenacity Solutionsの上級研究員であるリック・ヒル(Rick Hill)氏と10数人のボランティアが、ラスベガスで開催中のセキュリティ・コンファレンス「DEFCON 16」(8月8日〜10日開催)に合わせて実施したもの。(2008年08月11日)
12件に及ぶ他の脆弱性については放置――「すべてのCPUには何らかの不具合がある」
ロシアのセキュリティ専門家であるクリス・カスペルスキー(Kris Kaspersky)氏は、米国Intelから同社製CPUにおける2件の重大な脆弱性を修正したとの報告を受けたと発表した。同氏は、マレーシアのクアラルンプールで開催されるセキュリティ・コンファレンス「Hack In The Box(HITB)Security Conference」(10月27日〜30日)において、同社製CPUの脆弱性を利用したデモンストレーションを行う予定だ。(2008年08月11日)
スパム・メールだけではない、CAPTCHAクラッキングの弊害
「CAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans Apart)」は、Webサイト管理者が自サイトに訪れたユーザーを(人間かどうか)見極める簡単かつ有用な手段であったはずだ。しかし最近では、「スパム業者が悪事を働くためのツール」と成り果てている。本稿では、CAPTCHAを取り巻く現在の状況を整理するとともに、その将来性についてあらためて考えてみたい。(2008年08月11日)
パスワードの盗難や検索履歴が読み取られるおそれも
今、「Google Gadgets」の愛用者は、冷水を浴びせられた気分だろう。米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」(8月2日〜7日開催)において、2人の研究者がGoogle Gadgetsの(ショッキングな)問題を報告したからだ。(2008年08月08日)
「リモート攻撃を許す可能性のある深刻な欠陥」と警告
米国Microsoftは8月7日、来週リリース予定の月例セキュリティ更新プログラムについて、事前情報を発表した。今回のパッチは合計12件で、そのうち深刻度が最も高い「緊急」に分類された7件は、Windows、「Office」、「Internet Explorer(IE)」、Vistaにバンドルされている「Media Player」の脆弱性を修正するものだ。また残り5件は、2番目に深刻度の高い「重要」レベルに分類されている。(2008年08月08日)
世界規模で多発する脅威に対して、ITマネジャーがとりうる防御策とは?
最近、データベースと連動したWebサイトを改竄し、不正に情報を搾取する、いわゆる「SQLインジェクション攻撃」が世界規模で多発している。SQLインジェクション攻撃自体は昔から存在するものだが、その対策方法をきちんと把握している企業は案外少ないのではないだろうか。そこで本稿では、SQLインジェクション攻撃の現状を報告するとともに、企業が講じるべき対策のポイントを紹介することにしたい。(2008年08月08日)
「SSLはわれわれが思っているような万能薬ではない」と強調
米国のセキュリティ・サービス企業IOActiveの研究者であるダン・カミンスキー(Dan Kaminsky)氏は、DNS(Domain Name System)プロトコルの欠陥を発見したことで一躍脚光を浴びて以来、早朝6時にフィンランドの証明書発行当局から電話がかかってきたり、セキュリティ業界の仲間から厳しいバッシングを浴びたり、また今週米国ラスベガスで開催されているセキュリティ・コンファレンス「Black Hat USA 2008」(8月2日〜7日開催)で講演する予定だった内容を漏らされたりと、散々な目にあってきた。だが、“インターネットにおける過去最大級のセキュリティ・ホール”として大きく取り上げられたDNS攻撃への対応策をひととおり済ませた8月6日、同氏は「もう一度やり直してもかまわない」と強い責任感をにじませた。(2008年08月07日)
容疑者11名の国籍は米国、エストニア、ウクライナ、中国……
数千万件に上るクレジットカードやデビットカードの番号を盗み出したとして、11人が起訴された。彼らはすぐれた“技術力”を駆使して犯行に及んでおり、その“人材”も世界中から集結していた。(2008年08月07日)
パートナー・ベンダーへの情報開示は10月から
米国Microsoftは8月5日、毎月繰り返されるハッカーたちとの“いたちごっこ”に対処するため、セキュリティ・ベンダーに対し、事前に脆弱性情報を開示する新プログラム「Microsoft Active Protections Program(MAPP)」を10月から開始すると発表した。(2008年08月06日)
集計期間:08/23〜08/29
