システム脆弱性

「少数に絶賛も、多数に非難」の悲しきプロジェクトたち

コンピュータ業界の歴史をひもとくと、まったく不名誉な理由で人々に記憶されている出来事の多さに気づかされる。それらは、すぐれたアイデアが必ずしも成功につながるわけではないこと、たとえMicrosoftでも過ちを犯さずにいられるわけではないことを、われわれに教えてくれる。しかし、「歴史に学ばない者はそれを繰り返すハメになる」との格言どおり、相も変わらず先達の失敗が繰り返されているというのが、この業界の実情だ。そこで本稿では、過去の失敗を今後の糧とするべく、過去20年の間に登場した“すべった”テクノロジーやトレンド、さらにはキーパーソンを振り返る。［前編：25〜11位］に続き、今回はいよいよ10〜1位を紹介しよう。（2008年07月19日）

当面は応急パッチでしのぐ以外に対処法はなし

7月9日、インターネットの根幹を支えるDNS（Domain Name System）プロトコルに脆弱性があることが明らかになった。これを発見したセキュリティ研究者は17日に記者会見を開き、DNSソフトウェア・ベンダーから提供されているパッチは応急処置にすぎず、抜本的な対策が必要だと訴えている。（2008年07月18日）

専門家は「次の技術に取って代わられる」と悲観的

「CAPTCHA（Completely Automated Public Turing Test to Tell Computers and Humans Apart）」は、Webサイト管理者がユーザーを（人間かどうか）見極める簡単かつ有用な手段であったはずだ。しかし最近では、「スパム業者が悪事を働くためのツール」と成り果てている。本稿では、CAPTCHAを取り巻く現在の状況を紹介するとともに、その将来性についてあらためて考えてみたい。（2008年07月15日）

攻撃手法のデモを10月開催のコンファレンスで公開

　ITセキュリティ専門家のクリス・カスペルスキー（Kris Kaspersky）氏が7月14日、米国Intel製プロセッサを搭載しているコンピュータは、プラットフォームにかかわらず、チップの欠陥を突いたリモート攻撃を受ける可能性があると発表した。（2008年07月15日）

Safariのバグ7件と、WebKitブラウザ・エンジンの3つの脆弱性に対応

　7月11日、米国Appleは同社製スマートフォンの最新機種「iPhone 3G」を華々しく発売した。それと同時に、初代iPhoneを利用しているユーザーに向けて、バグの修正を含む「iPhone 2.0」ソフトウェア・アップデートが配布されている。（2008年07月14日）

未承認のOffice文書には要注意

　米国Symantecは7月8日、「Word」で新たな脆弱性が発見されたことを明らかにした。この脆弱性を悪用した攻撃も確認されており、同社は注意を呼びかけている。（2008年07月10日）

DNSキャッシュ・ポイズニングの脆弱性などに対処

　米国Microsoftは7月8日（日本時間9日）、4件の月例セキュリティ更新プログラムを公開した。これらは同社の「Exchange Server」「SQL Server」「Windows Server」「Windows Vista/XP/2000」に含まれる合計9つの脆弱性に対処するもので、いずれも深刻度は上から2番目のレベル「重要（Important）」となっている。（2008年07月09日）

“手作業による回避策”を呼びかけ。修正パッチの公開は未定

　米国Microsoftは7月7日、同社のデータベース・ソフトウェア「Microsoft Office Access」の未修整のバグを突く新たなオンライン攻撃が発生しているとの警告を発した。（2008年07月08日）

「旧ソ連のシンボルは表示禁止」法案の可決が引き金？

　リトアニアのCERT（コンピュータ緊急対応チーム）は7月4日、たった1台の脆弱なWebサーバが原因となり、リトアニアの300近いWebサイトが攻撃を受けたことを明らかにした。（2008年07月07日）

Windows、SQL Server、Exchangeの問題を修正

　米国Microsoftは7月3日、合計4件のセキュリティ更新プログラムを米国東部夏時間（EDT）の7月8日の午後1時ごろに公開する予定であることを明らかにした。それらは、Windows、「SQL Server」「Exchange Server」のセキュリティ上の脆弱性を修正するものという。（2008年07月04日）

ささいなミスも命取りに――10の「やってはいけないこと」

セキュリティ・マネジメントのバランスをとるうえでは、いわゆる基本に立ち返ることも重要である。多大なコストとリソースをかけて守りを固めても、セキュリティ上の基本事項を軽視したことに起因する失策やミスなどを犯してしまえば、それまでの努力が水泡に帰することもありうるからだ。本稿では、そうした失策・過ち・ミスなどを「セキュリティ上のNG（No Good）」としてまとめ、代表的な解決策とともに紹介する。（2008年06月11日）

第4回 ボット犯罪者たちの「罪と罰」

ボットネットを使う犯罪者たちを捕らえるべく、FBIなどにより決行された「ボット・ローストII（Bot Roast II）」作戦。この作戦で逮捕されたサイバー犯罪者たちの人間性や犯行手口から、この種の犯罪に共通する犯行動機や犯行パターンが浮かび上がってきた。最終回となる今回は、犯罪者たちを分析するべく米国InfoWorldが独自に試みたプロファイリングのデータを披露しよう。（2008年06月03日）

第2回 偽造IDを使ってオンライン詐欺を追跡、逮捕へ

犯罪者の摘発は警察の仕事である。しかし、複雑化したインターネット犯罪に、警察が迅速に対処する可能性は低い。ならばインターネット犯罪には、自分が立ち向かうしかないのだろうか──。第2回目となる本稿では、偽装IDを作成し、みずからの命を危険にさらしながらも、オンライン詐欺師の現行犯逮捕に貢献したケースを紹介しよう。（2008年05月20日）

IBMのセキュリティ研究員、攻撃の仕組みの複雑化・高度化を警告

50万以上ものWebサイトにハッキングの被害を与え、世界中のWebマスターを震撼させたSQLインジェクション攻撃。その“最新バージョン”は、従来のセキュリティ対策を回避する機能がこれまでのものよりも強く、“第3の波”と呼ぶべき進化を遂げてしまった。以下、米国IBMのセキュリティ研究員による調査結果の一部を紹介する。（2008年05月16日）

特定地域のユーザーがターゲット。Winnyに感染するマルウェアが一例

ここ数年のコンピュータ・ウイルスの傾向として、攻撃のターゲットを特定の地域・国のユーザーに絞ることが挙げられる。日本やブラジル、中国、ドイツといった国々のユーザーに 染するよう特別に設計されたプログラムを作るケースが増えているのだ。（2008年02月22日）

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。本稿では、前編で述べたエンドポイント・セキュリティ製品の中から代表的な4製品を取り上げ、それぞれの機能を検証してみたい。（2007年11月15日）

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。前編となる本稿では、今一度エンドポイント・セキュリティの定義について整理する。（2007年11月13日）

エンタープライズ市場に注力するマカフィーの新CEOが言明

　ストック・オプションを巡るスキャンダルを払拭するべく経営陣の刷新を図る米国マカフィーは、EMCでエグゼクティブ・バイスプレジデント兼顧客事業部門担当社長を務めていたデイブ・デウォルト氏を、今年4月、CEOに迎えた（関連記事）。レスリングで全米代表に選出された経歴を持つほか、熱心なトライアスリートとしても知られる同氏は、マカフィーにおいてここ6年間で実に4人目のCEOとなるが、持ち前のバイタリティとスポーツマンシップでこの難局を乗り切ることが期待される。Computerworldオンライン米国版は、先ごろ同氏を訪ね、セキュリティ市場の状況や競合会社の動向、さらにはマカフィーがエンタープライズ市場で図ろうとしているイメージ・チェンジの方向性などについてインタビューを行った。（2007年10月03日）