システム脆弱性

修正パッチは未公開、マイクロソフトは設定変更ツールを配布

　米国Symantecは先週、米国MicrosoftのWindows XPやWindows Server 2003に含まれる未対応の脆弱性を利用したマルチ・ストライク攻撃の危険が高まっていると警告した。Microsoftは、この脆弱性に対応したパッチをまだリリースしていないが、代わりに、一時的に対応するための設定変更ツールを配布している。（2009年06月23日）

「背後にはイスラム原理主義グループの存在がある」と捜査担当者

　世界各国の企業が所有するITシステムをハッキングし、電話サービスを無料で不法使用していたハッカー集団が6月12日、米国とイタリアで逮捕された。背後には国際的な犯罪組織の存在があると見られている。（2009年06月15日）

ネットワークを自由に行き来するためのモバイルIP技術を逆手に取る

　スパム・メールやウイルス／ワーム、フィッシングといったさまざまな脅威が時代遅れに見える、新手のDoS（サービス不能）攻撃がワイヤレス・ネットワークを脅かしている。（2009年06月08日）

IE 8に対する修正パッチなど、大規模なアップデートを予定

　米国Microsoftは6月4日、10件のセキュリティ・アップデート（修正パッチ）を6月9日の午後1時頃（米国東海岸時間）にリリースすることを発表した。WindowsやInternet Explorer（IE）、Word、Excelに存在する重大なバグが修正される。 （2009年06月05日）

成功したグループは「セキュリティがアマい」と指摘

　われわれのサイトをハッキングできたら1万ドル――。音声ベースの認証ソフト・プロバイダーである米国Telesignは、同社がセキュリティ機能を提供しているStrongWebmail.comのサイトに侵入できたハッカーに、1万ドルの賞金を贈呈するというコンテストを行っている。「Webメールのセキュリティについてもっと真剣に考えてほしい」というのが主催者の主張だが…。（2009年06月05日）

偽Google Analyticsから不正サイトに誘導後、スケアウェアのダウンロードを促す

　米国Websenseによると、約4万のWebサイトが新たな攻撃を受けているという。被害にあったWebサイトを訪れたユーザーは、気づかないうちにマルウェアを感染させようとする別のサイトに誘導される。（2009年06月03日）

認識不足のまま仮想化を導入するのは危険

　仮想マシンがはらむセキュリティ・リスクへの対応ができていない状態で仮想化に取り組むのは危険――米国IBMのジョシュア・コーマン（Joshua Corman）氏は、ラスベガスで開催された「Interop Las Vegas 2009」で、こう訴えた。（2009年05月27日）

サンが昨年12月に修正したJavaの脆弱性がいまだ残る

　かねてから指摘されている米国Appleの「Mac OS X」の脆弱性について、米国のあるセキュリティ研究者がこの脆弱性を突く攻撃コード（概念実証コード）を自身のブログで公開した。同氏は注意喚起のために公開したと主張している。（2009年05月21日）

DoS攻撃によってDNSクエリが停止する恐れ

　人気の高いオープンソースのDNSサーバに、DoS攻撃（サービス拒否攻撃）に利用されかねないバグが発見され、ドメイン名の管理を行うレジストリ事業者はその対処に追われている。（2009年05月20日）

攻撃実証コードは公開されるも、セキュリティ・パッチはいまだ公開されず

　複数のセキュリティ・ベンダーが、米国MicrosoftのWebサーバ「Internet Information Services（IIS）6」のユーザーに対し、IIS 6に新たな脆弱性が発見され、オンライン攻撃が発生するおそれがあると警告している。（2009年05月19日）

ダライ・ラマ法王事務所のコンピュータをはじめ1,295台がスパイの対象に

サイバー・スパイ調査プロジェクト「Information Warfare Monitor」の報告によると、103カ国の国際機関をねらった「GhostNet」というサイバー・スパイ・ネットワークが存在するという。標的となったコンピュータにはチベット亡命政府やダライ・ラマ法王の個人事務所のものが含まれており、また、情報収集サーバが中国内の数個所に設置されていたとから、中国政府の関与を指摘する声もある。（2009年03月31日）

CSO編集部を抜き打ちチェック、露呈した危機管理のお粗末さ

オフィスの入り口に監視カメラを設置して人の出入りをチェックしたり、堅牢なファイアウォールで社内システムを守ったりしている企業は多い。しかし、従業員のデスクまでチェックしている企業は少ないのではないだろうか。実は、デスクなどオフィス内の作業スペースには、機密情報だけではなく、悪用されれば危険な情報が無造作に置かれていることが（多々）ある。本稿では、CSO編集部のオフィスを例に、「セキュリティ上やってはならない行為」を紹介する。（2009年01月26日）

2,500ものフィードバックを新版に反映

2008年10月、PCI DSS規格が待望のバージョンアップを果たし、「1.2」へとアップグレードした。新バージョンは、同規格の導入企業やコミュニティから寄せられた2,500もの意見・改善要求を反映したものだという。本稿では、PCI DSSを推進する第一人者の話を交えながら、この情報セキュリティ規格に定められた「12の要件」や新バージョンでの変更点などについて解説する。（2009年01月14日）

「単一エージェントでセキュリティ管理を簡素化する」

　米国に端を発した金融不安は、IT業界にも暗い影を落とし始めている。各社が先行きに不安を募らせる中、チェック・ポイント・ソフトウェア・テクノロジーズはこの事態をどのように捉えているのか。同社の創業者で会長兼CEO（最高経営責任者）を務めるギル・シュエッド（Gil Shwed）氏に聞いた。（2008年12月05日）

脆弱性発覚から4カ月。未アップデートなど危機意識の低さが明らかに

　DNSサーバにセキュリティ上の深刻な脆弱性が見つかったのは今年7月のこと。以降、IT業界はDNSサーバのセキュリティ対策を必死で進めているが、それでも4台に1台の割合で脆弱なDNSサーバが存在することが、米国The Measurement Factoryの調査で明らかになった。（2008年11月12日）

セキュリティ研究者が「15分以内に解析可能な手法を発見」

　現在、多くの無線ネットワークで利用されているセキュリティ規格「WPA（Wi-Fi Protected Access）」で用いられている暗号鍵の一部を短時間で解析する手法を発見したとするセキュリティ研究者が現れた。TKIP（Temporal Key Integrity Protocol）で生成される暗号鍵（セッション・キー）を12〜15分という比較的短い時間で解析することができるという。（2008年11月07日）

500件以上の事例調査から浮かび上がる業界別“脅威動向”

ライバル企業がセキュリティ侵害を受けたとのうわさを耳にしたなら、次は自社の番かもしれないと思ったほうがよい。実際、自分の勤める企業がセキュリティ侵害の標的となっている可能性は、決して低くないのだ。本稿では、米国Verizon Businessが実施した500件以上のセキュリティ侵害事例調査から見えてきた業界別の脅威動向を解説する。（2008年10月08日）

「基本的な対策さえ講じていない」と専門家らが指摘

現在、多くの企業がサイバー攻撃対策として、さまざまなセキュリティ対策を講じている一方で、個人のコンピュータ・ユーザーの大半は、依然としてサイバー攻撃に対する基本的な対策さえ講じていないという。本稿では、ベンダーの調査や専門家らの指摘を基に、個人ユーザーのセキュリティ対策の現状と今後取るべき具体策を明らかにしたい。（2008年10月06日）