システム脆弱性

緊急電話機能を利用すればロックを回避可能。修正パッチは今年1月に配布済み

　米国Appleのスマートフォン「iPhone」にはパスコードで全操作をロックする機能があるが、このパスコード・ロック機能を簡単に回避できるセキュリティ・バグがまたもや見つかった。同社は今年1月にこの問題を修正するパッチを配布しているが、今月リリースされた最新のソフトウェア・アップデートで再び同じ脆弱性が確認された。（2008年08月28日）

専門家の指摘で明らかに――情報提供料の支払いについては明言を避ける

　フィンランドのNokiaは8月21日、同社の携帯電話プラットフォーム「Series 40」に脆弱性が存在することを認めた。同脆弱性は、以前にも同社プラットフォームの脆弱性を発見したセキュリティ研究者の指摘によって明らかになったものである。なおNokiaは、同研究者が要求している“調査結果の対価”を支払ったかどうかについて明言を避けている。（2008年08月22日）

巧妙化が極まるクラッキング、増え続ける攻撃の手口

最近、正規のWebサイトを改竄してマルウェア感染サイトに誘導する攻撃が多発している。セキュリティの脅威の目的が営利化した結果、換金が容易なインターネット・ユーザーのアカウント情報が狙われるようになったからである。このような脅威に対して、企業・組織はどのような対策を講じればよいのだろうか。本稿では、ネットワーク・セキュリティ環境を取り巻く現状とリスクを明らかにしたうえで、最新の脅威に立ち向かうための具体的方策を提起したい。（2008年08月22日）

ネットワーク上の疑わしい挙動を検知・分析し、未知の不正プログラムに対応

　トレンドマイクロは8月20日、企業ネットワーク内の疑わしい挙動を検知・分析することで潜在的な脅威を可視化するとともに、パターン・ファイル対応前の潜在的な不正プログラムの検知とシステムの復旧、感染原因の分析を提供するセキュリティ対策ソリューション「Trend Micro Threat Management Solution」を発表した。（2008年08月20日）

EFFは「言論の自由を奪う決定だ」と反発

8月8日〜10日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「DEFCON 16」において、米国マサチューセッツ連邦地方裁判所は8月8日、8月10日に行われる予定だったマサチューセッツ湾交通局（MBTA）の電子切符システムの脆弱性に関するプレゼンテーションに対し、実施差し止めを命じる仮処分を決定した。結果、プレゼンテーションは行われなかったものの、電子フロンティア財団（EFF）はこの処分を不服とし、控訴する意向を明らかにした。（2008年08月12日）

気球を使って無防備な無線ネットワークを探査。全体の約3分の1が「未暗号化状態」と判明

　8月8日、米国ラスベガスの目抜き通りであるLas Vegas Stripで、気球を使った“ウォードライビング（Wardriving）”が実施された。ウォードライビングとは、自動車にコンピュータを積み、街中を走りながら無防備な無線ネットワークを探し出す行為で、米国のセキュリティ・コンサルティング会社Tenacity Solutionsの上級研究員であるリック・ヒル（Rick Hill）氏と10数人のボランティアが、ラスベガスで開催中のセキュリティ・コンファレンス「DEFCON 16」（8月8日〜10日開催）に合わせて実施したもの。（2008年08月11日）

12件に及ぶ他の脆弱性については放置――「すべてのCPUには何らかの不具合がある」

　ロシアのセキュリティ専門家であるクリス・カスペルスキー（Kris Kaspersky）氏は、米国Intelから同社製CPUにおける2件の重大な脆弱性を修正したとの報告を受けたと発表した。同氏は、マレーシアのクアラルンプールで開催されるセキュリティ・コンファレンス「Hack In The Box（HITB）Security Conference」（10月27日〜30日）において、同社製CPUの脆弱性を利用したデモンストレーションを行う予定だ。（2008年08月11日）

スパム・メールだけではない、CAPTCHAクラッキングの弊害

「CAPTCHA（Completely Automated Public Turing Test to Tell Computers and Humans Apart）」は、Webサイト管理者が自サイトに訪れたユーザーを（人間かどうか）見極める簡単かつ有用な手段であったはずだ。しかし最近では、「スパム業者が悪事を働くためのツール」と成り果てている。本稿では、CAPTCHAを取り巻く現在の状況を整理するとともに、その将来性についてあらためて考えてみたい。（2008年08月11日）

パスワードの盗難や検索履歴が読み取られるおそれも

　今、「Google Gadgets」の愛用者は、冷水を浴びせられた気分だろう。米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」（8月2日〜7日開催）において、2人の研究者がGoogle Gadgetsの（ショッキングな）問題を報告したからだ。（2008年08月08日）

NICチップセット・ベースやCisco IOS向けのルートキットが登場

　8月2日〜7日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」では、昨年と同様、ルートキット（rootkit）に関するセッションが盛況であった。ここでは、そのうちのいくつかを紹介しよう。（2008年08月08日）

「リモート攻撃を許す可能性のある深刻な欠陥」と警告

　米国Microsoftは8月7日、来週リリース予定の月例セキュリティ更新プログラムについて、事前情報を発表した。今回のパッチは合計12件で、そのうち深刻度が最も高い「緊急」に分類された7件は、Windows、「Office」、「Internet Explorer（IE）」、Vistaにバンドルされている「Media Player」の脆弱性を修正するものだ。また残り5件は、2番目に深刻度の高い「重要」レベルに分類されている。（2008年08月08日）

世界規模で多発する脅威に対して、ITマネジャーがとりうる防御策とは？

最近、データベースと連動したWebサイトを改竄し、不正に情報を搾取する、いわゆる「SQLインジェクション攻撃」が世界規模で多発している。SQLインジェクション攻撃自体は昔から存在するものだが、その対策方法をきちんと把握している企業は案外少ないのではないだろうか。そこで本稿では、SQLインジェクション攻撃の現状を報告するとともに、企業が講じるべき対策のポイントを紹介することにしたい。（2008年08月08日）

「SSLはわれわれが思っているような万能薬ではない」と強調

　米国のセキュリティ・サービス企業IOActiveの研究者であるダン・カミンスキー（Dan Kaminsky）氏は、DNS（Domain Name System）プロトコルの欠陥を発見したことで一躍脚光を浴びて以来、早朝6時にフィンランドの証明書発行当局から電話がかかってきたり、セキュリティ業界の仲間から厳しいバッシングを浴びたり、また今週米国ラスベガスで開催されているセキュリティ・コンファレンス「Black Hat USA 2008」（8月2日〜7日開催）で講演する予定だった内容を漏らされたりと、散々な目にあってきた。だが、“インターネットにおける過去最大級のセキュリティ・ホール”として大きく取り上げられたDNS攻撃への対応策をひととおり済ませた8月6日、同氏は「もう一度やり直してもかまわない」と強い責任感をにじませた。（2008年08月07日）

容疑者11名の国籍は米国、エストニア、ウクライナ、中国……

　数千万件に上るクレジットカードやデビットカードの番号を盗み出したとして、11人が起訴された。彼らはすぐれた“技術力”を駆使して犯行に及んでおり、その“人材”も世界中から集結していた。（2008年08月07日）

パートナー・ベンダーへの情報開示は10月から

　米国Microsoftは8月5日、毎月繰り返されるハッカーたちとの“いたちごっこ”に対処するため、セキュリティ・ベンダーに対し、事前に脆弱性情報を開示する新プログラム「Microsoft Active Protections Program（MAPP）」を10月から開始すると発表した。（2008年08月06日）

「クライアント・ライブラリ適用パッチがリリースされていない」

　7月上旬にDNS（Domain Name System）で重大な脆弱性が発見された問題で、セキュリティ専門家は、「先週リリースされた米国AppleのDNS脆弱性修正パッチでは、脆弱性は修正されない」と指摘し、ユーザーに注意を呼びかけている。（2008年08月06日）

「根本的な解決はまだ数週間先」とセキュリティ専門家

　DNS（Domain Name System）で重大な脆弱性が発見されてから1カ月近くが経過し、ファイアウォール・ソフトウェア・ベンダーの間ではようやく抜本的な対策に向けた動きが出始めている。（2008年08月04日）

「検知不可能なフィッシング攻撃が行われるのも時間の問題」と専門家は警鐘

　7月上旬、DNS（Domain Name System）プロトコルの脆弱性の存在が明らかになったが、早くも同脆弱性を攻撃するコードが登場した。セキュリティ専門家は、「一刻も早く修正パッチを適用し、抜本的な対策を講じる必要がある」と警告している。（2008年07月25日）

フィッシング詐欺やスパム攻撃に遭うおそれ

　米国Appleの携帯端末iPhoneに搭載されている「Mail」と「Safari」で、セキュリティ上の脆弱性が複数発見された。これらが悪用されれば、ユーザーがフィッシング詐欺に遭ったり、ジャンク・メールを大量に送付されたりする可能性があるという。（2008年07月24日）

「少数に絶賛も、多数に非難」の悲しきプロジェクトたち

コンピュータ業界の歴史をひもとくと、まったく不名誉な理由で人々に記憶されている出来事の多さに気づかされる。それらは、すぐれたアイデアが必ずしも成功につながるわけではないこと、たとえMicrosoftでも過ちを犯さずにいられるわけではないことを、われわれに教えてくれる。しかし、「歴史に学ばない者はそれを繰り返すハメになる」との格言どおり、相も変わらず先達の失敗が繰り返されているというのが、この業界の実情だ。そこで本稿では、過去の失敗を今後の糧とするべく、過去20年の間に登場した“すべった”テクノロジーやトレンド、さらにはキーパーソンを振り返る。［前編：25〜11位］に続き、今回はいよいよ10〜1位を紹介しよう。（2008年07月19日）