システム脆弱性

VoIPが抱えるリスクも同リポートで報告

　米国SANS Instituteは11月27日、2007年に最も大きな脅威となったセキュリティ上の脆弱性リストを発表し、特にクライアント側の脆弱性が深刻な状況であるとの見解を明らかにした。（2007年11月29日）

攻撃の実証コードも公開

　3週間前にセキュリティ・アップデートを行ったばかりのQuickTimeで新たな脆弱性が見つかった。未パッチ個所をターゲットにした攻撃用コードも公開され、Windows XPやVistaが稼働するシステムへの攻撃が近々始まるのではないかという懸念が強まっている。（2007年11月27日）

「現在Vistaへの攻撃が少ない理由は市場シェア」と同社研究員

　米国McAfeeのアナリストは11月26日、Windows Vistaのシェアが10％の壁を超えるとともにマルウェア開発者たちが同OSを攻撃の対象とし始め、来年には40以上の脆弱性が発見されるという予測を明らかにした。（2007年11月27日）

VoIPシステムや仮想化環境も攻撃の主要ターゲットに

　米国McAfeeがこのほど発表したセキュリティ脅威予測リポートによると、2008年はMicrosoft Vistaやソーシャル・ネットワーキング・サービス（SNS）のユーザーをターゲットにした攻撃の件数が増えるという。（2007年11月21日）

複数フォームへの入力を経るプロセスの自動テストが可能に

　米国IBMは11月13日、Webアプリケーション向けの脆弱性スキャン・ソフトウェア「IBM Rational AppScan」を発表した。販売開始は11月19日で、日本語版も提供される。（2007年11月16日）

アクセス可能なSQL Serverは37万台、Oracle DBは12万台超

　自社のデータベース（DB）サーバが安全だと思っているなら、再確認の必要がある。セキュリティ研究者のデービッド・リッチフィールド氏によると、ファイアウォールで保護されていない無防備なDBサーバがインターネット上に50万台近く存在するという。 （2007年11月16日）

発売からわずか3週間、“目玉機能”Time Machineの不具合も修正

　米国アップルは、「Mac OS X v10.5 Leopard」の発売からわずか3週間後の11月15日、同OSのマイナー・アップデート版となる「Mac OS X v10.5.1 Leopard」を公開した。（2007年11月16日）

マルウェア検知率とパフォーマンスが飛躍的に向上

　米国マイクロソフトのコンシューマー向け次期デスクトップ・セキュリティ／管理パッケージ「Windows Live OneCare 2.0」が、まもなくリリースされる見通しだ。すでに米国内の小売店はオンラインでの予約販売を開始している。（2007年11月15日）

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。本稿では、前編で述べたエンドポイント・セキュリティ製品の中から代表的な4製品を取り上げ、それぞれの機能を検証してみたい。（2007年11月15日）

アナリストは「1つの組織体としては消滅した」との見方を示す

　米国ベリサインのアイディフェンス・ラブズ部門に勤務するアナリストらが11月9日に語ったところによると、ロシアから逃亡して中国に活動拠点を移した謎のハッカー団「Russian Business Network」（RBN）が、現地で再び行方をくらましたという。（2007年11月13日）

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。前編となる本稿では、今一度エンドポイント・セキュリティの定義について整理する。（2007年11月13日）

「緊急」ランクは1件のみ

　米国マイクロソフトは11月8日、11月の定例セキュリティ修正パッチを11月13日（日本時間14日）に配布することを明らかにした。配布されるパッチは2件のみ。セキュリティ管理者にとってはラクな1日になるかもしれない。（2007年11月09日）

市場に流通する多数の低品質製品が企業セキュリティを危険にさらす

　「ハッカーがますます組織化するなか、企業セキュリティは市場に流通している多数の低品質なセキュリティ製品によって危険にさらされている」――英国BTカウンターペインのCEOでセキュリティ専門家でもあるブルース・シュナイアー氏は10月23日、セキュリティ関連の年次コンファレンス「RSA Conference Europe 2007」の基調講演に登壇し、こう語った。 （2007年10月24日）

「アプリ・ベンダー側でも対応を検討すべき」とマイクロソフト

　米国アドビシステムズは10月22日、「Adobe Reader」および「Adobe Acrobat」の脆弱性を修復するパッチを公開した。この脆弱性によって、Windows XPユーザーが悪質なPDFファイルを利用した攻撃にさらされるおそれがある。（2007年10月23日）

コマンド・トラフィックを暗号化する亜種の存在も明らかに

　米国セキュアワークスは10月16日、きわめて悪質で撲滅の難しいトロイの木馬「Storm」を操るハッカーらが、このマルウェアによって作られたボットネットの切り分け作業を行っていると発表した。目的は、支配下に置かれたコンピュータをスパムやDoS攻撃を仕掛けるグループに「売り渡す」ことだという。（2007年10月18日）

マイクロソフトはサードパーティ製パッチに懐疑的

　Windows URI処理の脆弱性が先週明らかになったのを受け、これに対するパッチを、当のマイクロソフトよりも先に、イタリア在住のセキュリティ研究家が公開した。ただし同氏は、検証が十分ではないとして、パッチ適用には十分注意してほしいと語っている。（2007年10月16日）

マイクロソフトがURI処理問題に関するセキュリティ情報を公開

　米国マイクロソフトは10月10日、Windows XPまたはWindows Server 2003上でInternet Explorer 7（IE 7）を使用している場合に、一部のURI（Uniform Resource Identifier）の処理に問題が生じることを説明したセキュリティ情報を公開した。（2007年10月12日）

国内最大規模のセキュリティ監視センター「JSOC」を活用

　シマンテックは10月11日、主に大規模企業を対象にゲートウェイ・セキュリティ・デバイスの監視やセキュリティ・コンサルティングなどを提供する「マネージドセキュリティサービス（MSS）」の直接販売を開始した。（2007年10月11日）

9月のiMac Software Update 1.1が原因か？

　米国アップルは10月5日、今年8月に発売されたデスクトップ・コンピュータ「iMac」で頻繁にフリーズする不具合があることを認め、調査を開始したことを明らかにした。 （2007年10月09日）

コマンド・インジェクション問題を解決

　米国アップルは10月3日、「QuickTime 7.2 for Windows」用のセキュリティ・パッチを公開した。1年以上も前に見つかっていたにもかかわらず、その後見過ごされていたQuickTimeの脆弱性が、これでようやく修正されたことになる。（2007年10月05日）