システム脆弱性

FBI副局長の名をかたって金銭をだまし取ろうとするケースも

　2009年はほとんどの企業にとって厳しい年だったが、サイバー犯罪者にとっては最高にすばらしい1年だったはずだ。インターネット上の犯罪でかれらが手にした利益は、2008年の2倍以上の金額だったからだ。（2010年03月15日）

臨時にリリースするかどうかは未定

　米国Microsoftは3月12日、同社のブラウザ「Internet Explorer（IE)」に含まれる緊急性の高い脆弱性に対応する修正パッチのテストを行っていると表明した。しかし、次回の月例パッチ配布までに提供できるかどうかという点については明言を避けている。（2010年03月15日）

Microsoftが修正パッチを提供する時期は未定

　Internet Explorer（IE）の未パッチの脆弱性を突くエクスプロイト・コードが3月10日に公開された。このエクスプロイト・コードを公開したのは、イスラエルのセキュリティ専門家モシュ・ベン・アブ（Moshe Ben Abu）氏。（2010年03月12日）

「各国政府の大きな不安を呼び起こしかねない」と支持組織

　DNSの安全性を疑問視したICANN CEOの発言に対し、支持組織の1つであるccNSO（国コードドメイン名支持組織）から批判の声が上がっている。（2010年03月12日）

ゼロデイ脆弱性の報告はこの2カ月で2件目

　米国Microsoftは3月9日、「Internet Explorer（IE）」に含まれる深刻な脆弱性について警告を行った。すでにこの脆弱性を突いた攻撃も発生しているという。（2010年03月10日）

同社広報は「うわさや憶測にはコメントしない」との姿勢

　米国Microsoftは、Windows 7の「Service Pack（SP）1」のリリースを2010年第4四半期中に行う模様だ。Microsoftの動向予測に定評があるマレーシアのTechARP.comが3月8日、このような観測を報じた。（2010年03月09日）

「攻撃の成功率が高まる」とセキュリティ研究者が予測

　Windowsのセキュリティ機能を回避する新手法が公開されたことで、同OSに対する攻撃が成功する可能性が高まった――セキュリティ・ベンダーの研究者が3月3日に指摘した。（2010年03月04日）

同問題の根本原因となったルートキットを検出する機能を追加

　米国Microsoftは3月2日、一時中止していたセキュリティ更新プログラム「MS10-015」の配布を再開した。このパッチをインストールすると“死のブルー・スクリーン”（BSOD：Blue Screen of Death）が表示され、PCがクラッシュするという問題が指摘されていた。（2010年03月03日）

「“忍耐強い”ハッカーが、手間ひまかけて攻撃している」と専門家

　セキュリティ・ベンダーの米国iSEC Partnersは先ごろ、2009年末に米国Googleのシステムに侵入したハッカーらは、ほかにも100社以上の企業を狙って攻撃を仕掛けていたと見られると発表した。（2010年03月01日）

自社システムに対する攻撃を確認

　米国Intelは、2月22日に米国証券取引委員会（SEC）に提出した年次報告書（10-K）のなかで、2010年1月に“高度な技術を用いた”サイバー攻撃のターゲットになったことを認めた。（2010年02月24日）

もはやITだけでは解決できない

　東京都心とベッドタウンとを結ぶ第三セクターの鉄道会社A社では、列車の運行管理から社内経費精算まで、あらゆる業務システムをWebアプリケーションとして社内に公開していた。ある日、業務システムにアクセスした社員のPCにアラートが表示される。《※この物語はフィクションです》（2009年12月24日）

適切なデータの保管・廃棄ポリシーが企業を救う

大企業が抱える係争中の裁判件数は500を超えると言われる米国では、IT技術管理者が電子情報の保管・廃棄戦略を主導するようになっている。今日のコンプライアンス時代においては、日本企業も情報の保管にかかわるポリシーをしっかり定めておく必要があるだろう。本稿で述べる米国の例を基に各自に適したポリシーの立案を実行していただきたい。（2009年08月26日）

「犯罪者との戦いに勝っているわけではないが、あきらめるつもりもない」

　新たなテクノロジーが生み出す利便性は、同時に犯罪者の利便性をも高める。近年急増するサイバー犯罪の背後では、テクノロジーを巡る犯罪者とセキュリティ専門家の戦いが繰り広げられているのだ。では、犯罪者は次に何を狙うのか。F-Secureセキュリティ研究所で主席研究員を務めるミッコ・ヒッポネン氏に聞いた。（2009年07月06日）

ダライ・ラマ法王事務所のコンピュータをはじめ1,295台がスパイの対象に

サイバー・スパイ調査プロジェクト「Information Warfare Monitor」の報告によると、103カ国の国際機関をねらった「GhostNet」というサイバー・スパイ・ネットワークが存在するという。標的となったコンピュータにはチベット亡命政府やダライ・ラマ法王の個人事務所のものが含まれており、また、情報収集サーバが中国内の数個所に設置されていたとから、中国政府の関与を指摘する声もある。（2009年03月31日）

CSO編集部を抜き打ちチェック、露呈した危機管理のお粗末さ

オフィスの入り口に監視カメラを設置して人の出入りをチェックしたり、堅牢なファイアウォールで社内システムを守ったりしている企業は多い。しかし、従業員のデスクまでチェックしている企業は少ないのではないだろうか。実は、デスクなどオフィス内の作業スペースには、機密情報だけではなく、悪用されれば危険な情報が無造作に置かれていることが（多々）ある。本稿では、CSO編集部のオフィスを例に、「セキュリティ上やってはならない行為」を紹介する。（2009年01月26日）

2,500ものフィードバックを新版に反映

2008年10月、PCI DSS規格が待望のバージョンアップを果たし、「1.2」へとアップグレードした。新バージョンは、同規格の導入企業やコミュニティから寄せられた2,500もの意見・改善要求を反映したものだという。本稿では、PCI DSSを推進する第一人者の話を交えながら、この情報セキュリティ規格に定められた「12の要件」や新バージョンでの変更点などについて解説する。（2009年01月14日）

「単一エージェントでセキュリティ管理を簡素化する」

　米国に端を発した金融不安は、IT業界にも暗い影を落とし始めている。各社が先行きに不安を募らせる中、チェック・ポイント・ソフトウェア・テクノロジーズはこの事態をどのように捉えているのか。同社の創業者で会長兼CEO（最高経営責任者）を務めるギル・シュエッド（Gil Shwed）氏に聞いた。（2008年12月05日）

脆弱性発覚から4カ月。未アップデートなど危機意識の低さが明らかに

　DNSサーバにセキュリティ上の深刻な脆弱性が見つかったのは今年7月のこと。以降、IT業界はDNSサーバのセキュリティ対策を必死で進めているが、それでも4台に1台の割合で脆弱なDNSサーバが存在することが、米国The Measurement Factoryの調査で明らかになった。（2008年11月12日）