システム脆弱性

「放置状態は非常に危険。無料ツールを利用すれば、とりあえずは対処できる」

　2008年7月に発覚したDNS（Domain Name System）プロトコルの脆弱性は、各メディアが大きく取り上げた。しかし、IT業界全体が不況の影響を受けるなか、同脆弱性に対する取り組みは、2009年に持ち越されているようだ。セキュリティ専門家はこうした状況に懸念を表明し、早急に対処すべきだと警鐘を鳴らしている。 （2009年01月05日）

4月に発見されていた脆弱性、マイクロソフトが修正パッチを開発中であることを認める

　Microsoftは12月24日、前々日の22日に明らかとなった「Microsoft SQL Server」の脆弱性について、8カ月以上前から修正パッチの開発に取り組んでいることを認めた。その一方で、「すでに2008年9月にはパッチを完成させていた」とする、オーストリアのセキュリティ研究者による主張の真偽は明らかにしなかった。（2008年12月25日）

セキュリティ研究者が「Trend Micro HouseCall」ユーザーに注意を呼びかけ

　Trend Microの無料オンライン・ウイルス・スキャン・ツールに存在していたバグによって、Internet Explorerが稼働するWindows PCが乗っ取られるおそれがあると、セキュリティ研究者が警告している。（2008年12月24日）

しびれを切らしたセキュリティ会社が攻撃実証コードを公開

　米国Microsoftは12月22日、同社データベース・ソフトウェア「SQL Server」の旧バージョンに存在する脆弱性を狙った攻撃コードがリリースされたとの警告を発表、顧客に対し一時的な対処法を適用するよう促している。同脆弱性は半年以上も前に見つかっていたが、Microsoftはいまだに修正パッチをリリースしていない。（2008年12月24日）

米国時間の12月17日にリリース。日本は18日の見込み

　米国Microsoftは12月16日、同社Webブラウザ「Internet Explorer（IE）」の深刻な脆弱性に対処するためのパッチを、翌17日（米国時間）に配布すると発表した。同社はおよそ1週間前の12日、全バージョンのIEに脆弱性が存在することを認め、注意を呼びかけていた。（2008年12月17日）

攻撃元のWebサイトにはハッキングされた正規サイトも多数

　米国Microsoftは12月13日、Internet Explorer（IE）の脆弱性に対する攻撃が“激増”しているとして注意を呼びかけた。同脆弱性に適用するパッチは、まだリリースされていない。（2008年12月16日）

データ・バインディング機能にバグ。修正パッチのリリース時期は未定

　米国Microsoftは12月12日、同社がサポートしているすべてのバージョンのInternet Explorer（IE）に脆弱性が存在することを明らかにした。（2008年12月15日）

ユーザーに不正なWord文書を開かせることで任意のコードが実行可能

　米国Microsoftは12月9日、過去5年間で最大規模となるセキュリティ・パッチをリリースしたが、それと共に“未対応の”重大なバグに関する警告文書（セキュリティ・アドバイザリ）を公開した。この「ワードパッド テキスト コンバーター」に潜む脆弱性を悪用することで、攻撃者は任意のコードを実行できるという。（2008年12月11日）

「Asterisk」ソフトウェアの脆弱性を悪用し、大量に呼発信

　米国連邦捜査局（FBI）は12月5日、犯罪者がIP-PBXソフトウェア「Asterisk」の脆弱性を悪用しているとの警告を発した。攻撃者は発信者を偽って、1時間に数千回もの呼発信をすることが可能だという。（2008年12月08日）

暗号化アルゴリズムの変更が原因で、パスワードのクラッキングが容易に

　「Adobe Acrobat 9」「同Reader 9」に加えられた暗号化アルゴリズムの変更の影響で、PDFドキュメントのパスワードを保護する機能の安全性に懸念が生じていると、ロシアのセキュリティ・ベンダー、ElcomSoftが警鐘を鳴らしている。（2008年12月08日）

「単一エージェントでセキュリティ管理を簡素化する」

　米国に端を発した金融不安は、IT業界にも暗い影を落とし始めている。各社が先行きに不安を募らせる中、チェック・ポイント・ソフトウェア・テクノロジーズはこの事態をどのように捉えているのか。同社の創業者で会長兼CEO（最高経営責任者）を務めるギル・シュエッド（Gil Shwed）氏に聞いた。（2008年12月05日）

10月に公表されたWindowsの「緊急」レベルの脆弱性を悪用、感染が急拡大

　米国のセキュリティ・ベンダー、Trend Microのセキュリティ研究員は12月1日、10月下旬に公表されたWindowsの重大な脆弱性を突いて感染するワームが出現したとして警戒を呼びかけた。このワームは、感染を広げて新たなボットネットを構築しようとしているという。（2008年12月02日）

新手のボット・コードを数日以内に検出できる確率はわずか40％程度

　多くのウイルス対策ソフトウェアが、ボットネットを拡大させるのに使われるバイナリ・コードを的確に検出できていない――そんなショッキングな実態が、米国のセキュリティ・ベンダーFireEyeが11月28日に発表した調査結果から明らかになった。（2008年12月01日）

Windows 2000/XP/Server 2003は深刻度「緊急」、MS08-067パッチの適用を推奨

　Microsoftのセキュリティ研究者が11月25日、同社が10月に緊急パッチをリリースしたWindowsのバグを悪用する攻撃が急増していると警告し、すでにSymantecが発表していた同様の内容を追認した。「MS08-067」パッチを適用していないユーザーはすぐにこれを適用するよう、同社はあらためて呼びかけている。（2008年11月27日）

出品の6割はクレジットカード情報

　米国Symantecは11月24日、盗難クレジットカードや海賊版ソフト、金融口座に関する情報を売買する非合法オンライン市場が活況を呈しているとの報告をまとめた調査リポートを発表した。同市場に盗品を出品するのは1年間でおよそ7万人、出品総額も3億ドル近くに上っている。（2008年11月25日）

まだ答えが出ないDNSキャッシュ・ポイズニング問題の解決方法

　インターネット関連技術の標準化を進めるIETF（Internet Engineering Task Force）は、今年夏に発見されたDNSの脆弱性への対処方法を模索している。今週ミネアポリスで開催中のIETFの会合で、この問題が議論されている。争点は、IETFがDNSサーバを運用しているDNSレジストリやISP、企業に、DNSのセキュリティを向上させる拡張仕様「DNSSEC（Domain Name System Security Extension）」へのアップグレードを促すか、あるいは暫定措置としてこの脆弱性に対応するためにDNSプロトコルを改変するかのどちらを選ぶかだ。（2008年11月21日）

民間任せではない実効性のある改善プログラムの実施を！

　サイバー・セキュリティの強化を推進する米国Internet Security Alliance（ISA）は11月18日、次期大統領バラク・オバマ（Barack Obama）氏に対し、政府が民間企業の情報セキュリティ対策を奨励するという新たなアプローチの導入を求める提言を発表した。（2008年11月20日）

「DNSSECの普及を遅らせているIETFに責任あり」との見解を示す

　DNSが抱えるセキュリティ上の問題がIT業界で叫ばれるにもかかわらず、その解決策の1つと目されているDNSSEC（Domain Name System Security Extension）の普及は遅々として進んでいない。そうした現状への危機感を声高に訴えるのが、DNSSECの考案者でありDNSの“生みの親”として広く知られるポール・モッカペトリス（Paul Mockapetris）氏だ。（2008年11月12日）

Webページ表示に関する脆弱性、ファイル／プリンタ共有に関する脆弱性の2件

　米国Microsoftは11月11日、月例のセキュリティ更新プログラム（パッチ）を公開した。深刻度の最も高い「緊急」レベルのパッチが含まれている。（2008年11月12日）

脆弱性発覚から4カ月。未アップデートなど危機意識の低さが明らかに

　DNSサーバにセキュリティ上の深刻な脆弱性が見つかったのは今年7月のこと。以降、IT業界はDNSサーバのセキュリティ対策を必死で進めているが、それでも4台に1台の割合で脆弱なDNSサーバが存在することが、米国The Measurement Factoryの調査で明らかになった。（2008年11月12日）