【 ここから本文 】
Windows、SQL Server、Exchangeの問題を修正
米国Microsoftは7月3日、合計4件のセキュリティ更新プログラムを米国東部夏時間(EDT)の7月8日の午後1時ごろに公開する予定であることを明らかにした。それらは、Windows、「SQL Server」「Exchange Server」のセキュリティ上の脆弱性を修正するものという。(2008年07月04日)
XSS攻撃などを許すコーディング上の問題を抽出
米国Googleは7月1日、自社で使用しているセキュリティ・テスト用ツール「Ratproxy」をオープンソース・ソフトウェアとして公開した。同ツールはWebアプリケーションをテスト対象とし、クロスサイト・スクリプティング(XSS)攻撃を許すようなコーディング上の問題点を検出する。(2008年07月04日)
来月リリース予定のベータ2に搭載
米国Microsoftは7月2日、次期Webブラウザ「Internet Explorer(IE)8」に搭載するセキュリティ新機能を明らかにした。他社のWebブラウザで提供されているようなマルウェア対策ツールや、ほとんどのクロスサイト・スクリプティング攻撃をブロックするフィルタなどが搭載されるという。(2008年07月03日)
「問題の大半はベンダー側の対策不足にあり」と研究員が指摘
スイスのチューリッヒ工科大学(ETH Zurich)は7月1日、修正パッチを適用した最新のWebブラウザを使用しているユーザーは全体の59.1%にとどまり、残りは攻撃の脅威にさらされているとする最新の研究報告を発表した。(2008年07月02日)
開発会社に、アプリケーション脆弱性を生む原因の根本的解消を呼びかける
米国The SANS Instituteと同組織の国内活動拠点を置くNRIセキュアテクノロジーズは7月1日、セキュリティに配慮したプログラミングの知識・スキルを認定する「GIAC Secure Software Programmer試験」の実施を今年12月より日本国内で開始すると発表した。両社によると、同試験は、セキュア・プログラミング・スキルに特化した、世界で唯一の認定試験であるという。(2008年07月01日)
ブラウザ上でのあらゆる作業を追跡/捕捉されるおそれも
米国Microsoftが提供しているWebブラウザ「Internet Explorer(IE) 6」に、脆弱性対策が公開される前に攻撃される、いわゆる「ゼロデイ攻撃」の危険性が指摘されている。複数のセキュリティ研究者によると、IE 6には修正パッチが配布されていない脆弱性があり、クロスサイト・スクリプティング攻撃に遭うおそれもあるという。(2008年07月01日)
最大の“目玉”は「ARDAgent」のセキュリティ・ホール
米国Appleは6月30日、Mac OS X Leopardの最新版「Mac OS X 10.5.4」をリリースした。しかし、数週間前に発見されたリモート・デスクトップ用コンポーネント「ARDAgent」のセキュリティ・ホールが“未解決”であること以外、目を引く点は特にないと言える。(2008年07月01日)
問題の元凶から改革の旗振り役に転向したトップのメッセージ
米国Microsoft会長のビル・ゲイツ(Bill Gates)氏は来週、同社の常勤取締役を退く。同社の“アイコン”として33年間君臨し続けてきたGates氏。それは同時に同氏の方針が、Microsoftの行く末を左右するということでもあった。本稿ではGates氏が同社のセキュリティ戦略に及ぼした影響を、ITアナリストらのコメントを中心に振り返ると同時に、今後、同社が抱える(であろう)セキュリティ戦略の課題を紹介する。(2008年06月27日)
Mac上でWindowsを動かす仮想化ソフトの存在が採用の動機に
米国Yankee Groupは6月26日、企業でのMacの採用状況に関する調査結果を発表した。それによると、企業の80%近くが社内でMacを使用しており、その割合は2年前の調査結果と比べて倍近くに増えているという。(2008年06月27日)
「とんでもない数の感染実態に、度肝を抜かれた」と担当者
米国Microsoftのマルウェア・レスポンス・センターで広報担当を務めるマット・マコーミック(Matt McCormack)氏は6月20日、6月の月例セキュリティ更新プログラムが配布された6月10日以降、悪意あるソフトウェアをユーザーのPCから検出/削除する同社のマルウェア除去ツール「Malicious Software Removal Tool(MSRT)」は、200万台以上のコンピュータからゲーム用パスワード窃盗ソフトウェアを排除したことを明らかにした。(2008年06月23日)
Windows XPでBluetoothの脆弱性が解決されない問題に対応
米国Microsoftは6月19日、先週リリースした月例セキュリティ・パッチの一部が問題を解決できなかったとして、修正したパッチを再リリースした。(2008年06月20日)
悲惨としか言いようのない出来事も一歩まちがえれば「明日は我が身」
職場でPCが支給されたら、まずセキュリティ対策が十分に施されているかどうかを確認したほうがいい。というのも、それらが機能しないばかりに悪質なプログラムに感染してしまい、最悪の場合、職を追われることにもなりかねないからだ。IDG News Serviceでは、最近、悪質なプログラムに人生を台無しにされた人々の代弁者として注目を浴びている元マサチューセッツ州公務員、マイケル・フィオラ(Michael Fiola)氏に話を聞いた。(2008年06月19日)
一方で深刻な脆弱性も見つかる
米国Mozillaは6月18日、「Firefox 3」のダウンロード数がリリース後24時間で800万件を突破したことを明らかにした。リリース初日のFirefoxダウンロード数としては過去最高だという。(2008年06月19日)
「サイバー戦争を仕掛ける有効な技術力を確立済み」と米国国防省は反論
中国政府は6月12日、オフィスのコンピュータを中国からハッキングされたという2人の米国議員の発言に対し、ハッキング攻撃を仕掛けるような技術力は中国にはないと語り、疑惑を否定した。(2008年06月13日)
「Safariユーザーにとって重大な問題」とセキュリティ専門家らが呼びかけ
6月8日、あるハッカーが執筆するコンピュータ・セキュリティのブログに、Webブラウザ「Safari」および「Internet Explorer(IE)」の致命的な脆弱性を突くエクスプロイト・コードが、攻撃方法のデモと共に掲載された。(2008年06月11日)
ささいなミスも命取りに――10の「やってはいけないこと」
セキュリティ・マネジメントのバランスをとるうえでは、いわゆる基本に立ち返ることも重要である。多大なコストとリソースをかけて守りを固めても、セキュリティ上の基本事項を軽視したことに起因する失策やミスなどを犯してしまえば、それまでの努力が水泡に帰することもありうるからだ。本稿では、そうした失策・過ち・ミスなどを「セキュリティ上のNG(No Good)」としてまとめ、代表的な解決策とともに紹介する。(2008年06月11日)
日々進化する攻撃手法、「被害件数は今後も拡大する」と専門家
米国VeriSignの研究者は先ごろ、「スピア・フィッシング(Spear Phishing)」の被害者が、過去15カ月間で約1万5,000人に達したことを明らかにした。(2008年06月09日)
「Nortonの一部機能も原因」と責任の一部を認める
米国Symantecは6月5日、無料のレジストリ・クリーンアップ・ツール「SymRegFix」のダウンロード配布を開始した。同社のセキュリティ・ソフトウェアが導入されたPCをWindows XP Service Pack 3(SP3)またはVista SP1にアップグレードすると、レジストリに不正なエントリが大量に追加される場合があり、SymRegFixはこれらのエントリを削除する。(2008年06月09日)
プライバシーとセキュリティのバランス/RFIDパスポートの問題点/企業によるITワーカーの素行調査……
米国R&H Security ConsultingのCEO、ハワード・シュミット(Howard Schmidt)氏については、現職よりも31年間務めたホワイトハウス時代の経歴のほうが広く知られているだろう。Computerworld米国版は先ごろSchmidt氏へのインタビューを行い、プライバシーとセキュリティのバランス、RFIDパスポートの問題点、企業によるITワーカーの素行調査などについて同氏の意見を聞いた。(2008年06月09日)
サードパーティ・プログラムを無効にする更新プログラムも公開か
米国Microsoftは6月5日、来週10日に公開する月例セキュリティ更新プログラムに関する事前情報を発表した。6月の月例セキュリティ更新プログラムは、深刻度が「緊急」の3件を含む7件で、Bluetooth機能、DirectX、「Internet Explorer(IE)」といったWindowsコンポーネントの問題を修正するという。 (2008年06月06日)
集計期間:06/29〜07/05
