暗号化技術

［米国］【DEFCON】 マサチューセッツ連邦地裁、地下鉄のセキュリティ脆弱性に関するプレゼンに仮差し止め命令

EFFは「言論の自由を奪う決定だ」と反発

8月8日～10日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「DEFCON 16」において、米国マサチューセッツ連邦地方裁判所は8月8日、8月10日に行われる予定だったマサチューセッツ湾交通局（MBTA）の電子切符システムの脆弱性に関するプレゼンテーションに対し、実施差し止めを命じる仮処分を決定した。結果、プレゼンテーションは行われなかったものの、電子フロンティア財団（EFF）はこの処分を不服とし、控訴する意向を明らかにした。（2008年08月12日）

【解説】 CAPTCHA認証は“終わった”技術なのか――有効性を疑問視する専門家たち

スパム・メールだけではない、CAPTCHAクラッキングの弊害

「CAPTCHA（Completely Automated Public Turing Test to Tell Computers and Humans Apart）」は、Webサイト管理者が自サイトに訪れたユーザーを（人間かどうか）見極める簡単かつ有用な手段であったはずだ。しかし最近では、「スパム業者が悪事を働くためのツール」と成り果てている。本稿では、CAPTCHAを取り巻く現在の状況を整理するとともに、その将来性についてあらためて考えてみたい。（2008年08月11日）

［米国］ 米国司法省、過去最大規模のカードデータ窃盗グループを起訴

容疑者11名の国籍は米国、エストニア、ウクライナ、中国……

　数千万件に上るクレジットカードやデビットカードの番号を盗み出したとして、11人が起訴された。彼らはすぐれた“技術力”を駆使して犯行に及んでおり、その“人材”も世界中から集結していた。（2008年08月07日）

［米国］ 米国政府機関所有のノートPCで、暗号化されていたのはわずか3割

会計検査院が2007年9月時点のセキュリティ調査結果を報告

　米国会計検査院（GAO）は7月27日、政府機関のノートPCやモバイル・デバイスに保存されている機密情報のうち、1年前の時点で暗号化されてデバイスは30％にすぎなかったとのセキュリティ調査リポートを発表した。この機密情報には米国民の個人情報も含まれる。近年、政府機関でデータのセキュリティ違反が相次いで発覚したにもかかわらずの実態に批判の声が寄せられている。（2008年07月30日）

［米国／英国］ 暗号化されたHDDからデータ漏洩の危険性――大学の研究チームが明らかに

Word/Google Desktopなど一般的なアプリケーションの使用時に漏洩が発生

　米国Washington大学と英国British Telecommunications（BT）の共同研究チームはこのほど、コンピュータのハードディスク・ドライブ（HDD）を部分的に機密保護する目的で暗号化ソフトを使っているユーザーに対し、「Microsoft Office Word」といった一般的なアプリケーションの使用でデータが漏洩する可能性があると注意を促す論文を発表した。（2008年07月17日）

［米国／国内］ マイクロソフト、4件の月例セキュリティ修正プログラムを公開

DNSキャッシュ・ポイズニングの脆弱性などに対処

　米国Microsoftは7月8日（日本時間9日）、4件の月例セキュリティ更新プログラムを公開した。これらは同社の「Exchange Server」「SQL Server」「Windows Server」「Windows Vista/XP/2000」に含まれる合計9つの脆弱性に対処するもので、いずれも深刻度は上から2番目のレベル「重要（Important）」となっている。（2008年07月09日）

［米国］ グーグル、Webアプリのセキュリティ検査ツールをオープンソースで公開

XSS攻撃などを許すコーディング上の問題を抽出

　米国Googleは7月1日、自社で使用しているセキュリティ・テスト用ツール「Ratproxy」をオープンソース・ソフトウェアとして公開した。同ツールはWebアプリケーションをテスト対象とし、クロスサイト・スクリプティング（XSS）攻撃を許すようなコーディング上の問題点を検出する。（2008年07月04日）

［米国］ マイクロソフト、IE 8のセキュリティ新機能を一部披露

来月リリース予定のベータ2に搭載

　米国Microsoftは7月2日、次期Webブラウザ「Internet Explorer（IE）8」に搭載するセキュリティ新機能を明らかにした。他社のWebブラウザで提供されているようなマルウェア対策ツールや、ほとんどのクロスサイト・スクリプティング攻撃をブロックするフィルタなどが搭載されるという。（2008年07月03日）

［世界］ マイクロソフト、6月のセキュリティ更新プログラムで200万件のパスワード窃盗プログラムを駆逐

「とんでもない数の感染実態に、度肝を抜かれた」と担当者

　米国Microsoftのマルウェア・レスポンス・センターで広報担当を務めるマット・マコーミック（Matt McCormack）氏は6月20日、6月の月例セキュリティ更新プログラムが配布された6月10日以降、悪意あるソフトウェアをユーザーのPCから検出／削除する同社のマルウェア除去ツール「Malicious Software Removal Tool（MSRT）」は、200万台以上のコンピュータからゲーム用パスワード窃盗ソフトウェアを排除したことを明らかにした。（2008年06月23日）

【RSA Conference 2008】 業界のビッグネームたちが語る、情報セキュリティ対策の“勘所”

対策のカギは「情報中心型セキュリティ」のアプローチにあり

ITセキュリティ業界最大のコンファレンス＆展示会「RSA Conference 2008」が4月7日から11日までの5日間にわたり、米国サンフランシスコのモスコーニ・センターで開催された。ネットワークや暗号、認証技術や標準規格、実装、法律、政策などあらゆる方面からセキュリティを扱う同コンファレンスでは、15の基調講演、19種類のトラックからなる220以上のセッションが繰り広げられた。また、展示会場には350社以上のセキュリティ関連ベンダーが一堂に会し、各社製品のデモやサービスのプレゼンテーションなどを行った。以下、同コンファレンスで注目を集めた最新のトピックなどを紹介しよう。（2008年06月16日）

［ロシア］ 「ランサムウェアの暗号鍵解読に協力を」――カスぺルスキー・ラボが世界中に呼びかけ

悪名高き「Gpcode」の亜種発見を受け、1,024ビット鍵解読で協力を依頼

　PCをマルウェアに感染させて金銭を要求する“ランサムウェア”の暗号鍵解読に向け、ウイルス対策で世界的に知られるロシアのKaspersky Labが、世界中の組織や個人に協力を呼びかけている。同社によると、新たに発見されたマルウェア「Gpcode」の亜種を撲滅に追い込むには1,024ビット長のRSA暗号を解読する必要があり、それには外部の協力が不可欠だという。（2008年06月10日）

【インタビュー】 “元ホワイトハウスCSO”ハワード・シュミット氏が語る「今、ここにあるセキュリティ危機」

プライバシーとセキュリティのバランス／RFIDパスポートの問題点／企業によるITワーカーの素行調査……

米国R＆H Security ConsultingのCEO、ハワード・シュミット（Howard Schmidt）氏については、現職よりも31年間務めたホワイトハウス時代の経歴のほうが広く知られているだろう。Computerworld米国版は先ごろSchmidt氏へのインタビューを行い、プライバシーとセキュリティのバランス、RFIDパスポートの問題点、企業によるITワーカーの素行調査などについて同氏の意見を聞いた。（2008年06月09日）

［世界］ マイクロソフト、「緊急」3件を含む７件の月例セキュリティ修正パッチを来週公開へ

サードパーティ・プログラムを無効にする更新プログラムも公開か

　米国Microsoftは6月5日、来週10日に公開する月例セキュリティ更新プログラムに関する事前情報を発表した。6月の月例セキュリティ更新プログラムは、深刻度が「緊急」の3件を含む7件で、Bluetooth機能、DirectX、「Internet Explorer（IE）」といったWindowsコンポーネントの問題を修正するという。（2008年06月06日）

【連載】 サイバー・セキュリティ［罪と罰］

第3回フィッシング対策の救世主

社会問題化するフィッシング詐欺への対策は、FBIの専門チームでも手を焼くほど複雑で困難とされる。そんななか、その解決に多大な貢献をしている、ある“救世主”が注目を集めている。ここでは、もともとは石油企業の一職員だったこの人物が、いかにしてフィッシング対策のエキスパートへの道を歩んだのか、その経緯をたどるとともに、フィッシング対策の難しさや被害者の取るべき活動について探った。（2008年05月26日）

［英国］ 英国政府、国内の全通信記録を収集する法案を作成中？

テロ対策の一環として監視を強化――議会からの反発は必至

　英国国内での通信は、すべて英国政府の監視下に置かれることになるかもしれない。巨大な中央集中型のデータ収集計画が実現すれば、の話だが……。（2008年05月21日）

［世界］ 大規模なサイト・ハッキングが再発生――英国政府や国連のサイトも被害に

「国連サイトの一部はまだハッキングされたままの状態だ」と専門家

　米国Websenseは4月22日、英国政府のWebサイトや国連のWebサイトなどを含む多数のWebサイトがハッキングされ、マルウェアをまき散らしているとの報告を発表した。（2008年04月24日）

［米国］ CNNのWebサイト、サイバー攻撃の標的に――中国批判発言が引き金か

「今後も断続的に攻撃される可能性がある」と専門家は警鐘

　複数のネットワーク・セキュリティ・アナリストは、米国CNNのWebサイトに対するサイバー攻撃が断続的に行われていることを明らかにした。あるアナリストは、「先週末に一時沈静化したものの、今週に入ってから再び増加している。今後も攻撃は増加することが予想される」と指摘している。（2008年04月23日）

［世界］ MySpaceに新たなセキュリティ問題――特定ユーザーに行動を追跡されるおそれ

マイスペースは「単なるシステム・エラー」と重要視せず

　世界ナンバー1の会員数を誇るSNS（ソーシャル・ネットワーキング・サービス）の「MySpace」で、新たなセキュリティ問題が発覚した。意図的にコード変更されたメンバーの「プロフィール」を閲覧しただけで、そのプロフィールを公開しているメンバーから、行動を追跡される可能性があるというのだ。（2008年04月18日）

［米国］ グーグルのWebアプリ、XSS攻撃のターゲットに