システム脆弱性

当面は応急パッチでしのぐ以外に対処法はなし

7月9日、インターネットの根幹を支えるDNS（Domain Name System）プロトコルに脆弱性があることが明らかになった。これを発見したセキュリティ研究者は17日に記者会見を開き、DNSソフトウェア・ベンダーから提供されているパッチは応急処置にすぎず、抜本的な対策が必要だと訴えている。（2008年07月18日）

攻撃手法のデモを10月開催のコンファレンスで公開

　ITセキュリティ専門家のクリス・カスペルスキー（Kris Kaspersky）氏が7月14日、米国Intel製プロセッサを搭載しているコンピュータは、プラットフォームにかかわらず、チップの欠陥を突いたリモート攻撃を受ける可能性があると発表した。（2008年07月15日）

Safariのバグ7件と、WebKitブラウザ・エンジンの3つの脆弱性に対応

　7月11日、米国Appleは同社製スマートフォンの最新機種「iPhone 3G」を華々しく発売した。それと同時に、初代iPhoneを利用しているユーザーに向けて、バグの修正を含む「iPhone 2.0」ソフトウェア・アップデートが配布されている。（2008年07月14日）

未承認のOffice文書には要注意

　米国Symantecは7月8日、「Word」で新たな脆弱性が発見されたことを明らかにした。この脆弱性を悪用した攻撃も確認されており、同社は注意を呼びかけている。（2008年07月10日）

DNSキャッシュ・ポイズニングの脆弱性などに対処

　米国Microsoftは7月8日（日本時間9日）、4件の月例セキュリティ更新プログラムを公開した。これらは同社の「Exchange Server」「SQL Server」「Windows Server」「Windows Vista/XP/2000」に含まれる合計9つの脆弱性に対処するもので、いずれも深刻度は上から2番目のレベル「重要（Important）」となっている。（2008年07月09日）

“手作業による回避策”を呼びかけ。修正パッチの公開は未定

　米国Microsoftは7月7日、同社のデータベース・ソフトウェア「Microsoft Office Access」の未修整のバグを突く新たなオンライン攻撃が発生しているとの警告を発した。（2008年07月08日）

「旧ソ連のシンボルは表示禁止」法案の可決が引き金？

　リトアニアのCERT（コンピュータ緊急対応チーム）は7月4日、たった1台の脆弱なWebサーバが原因となり、リトアニアの300近いWebサイトが攻撃を受けたことを明らかにした。（2008年07月07日）

Windows、SQL Server、Exchangeの問題を修正

　米国Microsoftは7月3日、合計4件のセキュリティ更新プログラムを米国東部夏時間（EDT）の7月8日の午後1時ごろに公開する予定であることを明らかにした。それらは、Windows、「SQL Server」「Exchange Server」のセキュリティ上の脆弱性を修正するものという。（2008年07月04日）

XSS攻撃などを許すコーディング上の問題を抽出

　米国Googleは7月1日、自社で使用しているセキュリティ・テスト用ツール「Ratproxy」をオープンソース・ソフトウェアとして公開した。同ツールはWebアプリケーションをテスト対象とし、クロスサイト・スクリプティング（XSS）攻撃を許すようなコーディング上の問題点を検出する。（2008年07月04日）

来月リリース予定のベータ2に搭載

　米国Microsoftは7月2日、次期Webブラウザ「Internet Explorer（IE）8」に搭載するセキュリティ新機能を明らかにした。他社のWebブラウザで提供されているようなマルウェア対策ツールや、ほとんどのクロスサイト・スクリプティング攻撃をブロックするフィルタなどが搭載されるという。（2008年07月03日）

「問題の大半はベンダー側の対策不足にあり」と研究員が指摘

スイスのチューリッヒ工科大学（ETH Zurich）は7月1日、修正パッチを適用した最新のWebブラウザを使用しているユーザーは全体の59.1％にとどまり、残りは攻撃の脅威にさらされているとする最新の研究報告を発表した。（2008年07月02日）

開発会社に、アプリケーション脆弱性を生む原因の根本的解消を呼びかける

　米国The SANS Instituteと同組織の国内活動拠点を置くNRIセキュアテクノロジーズは7月1日、セキュリティに配慮したプログラミングの知識・スキルを認定する「GIAC Secure Software Programmer試験」の実施を今年12月より日本国内で開始すると発表した。両社によると、同試験は、セキュア・プログラミング・スキルに特化した、世界で唯一の認定試験であるという。（2008年07月01日）

ブラウザ上でのあらゆる作業を追跡／捕捉されるおそれも

　米国Microsoftが提供しているWebブラウザ「Internet Explorer（IE） 6」に、脆弱性対策が公開される前に攻撃される、いわゆる「ゼロデイ攻撃」の危険性が指摘されている。複数のセキュリティ研究者によると、IE 6には修正パッチが配布されていない脆弱性があり、クロスサイト・スクリプティング攻撃に遭うおそれもあるという。（2008年07月01日）

最大の“目玉”は「ARDAgent」のセキュリティ・ホール

　米国Appleは6月30日、Mac OS X Leopardの最新版「Mac OS X 10.5.4」をリリースした。しかし、数週間前に発見されたリモート・デスクトップ用コンポーネント「ARDAgent」のセキュリティ・ホールが“未解決”であること以外、目を引く点は特にないと言える。（2008年07月01日）

問題の元凶から改革の旗振り役に転向したトップのメッセージ

米国Microsoft会長のビル・ゲイツ（Bill Gates）氏は来週、同社の常勤取締役を退く。同社の“アイコン”として33年間君臨し続けてきたGates氏。それは同時に同氏の方針が、Microsoftの行く末を左右するということでもあった。本稿ではGates氏が同社のセキュリティ戦略に及ぼした影響を、ITアナリストらのコメントを中心に振り返ると同時に、今後、同社が抱える（であろう）セキュリティ戦略の課題を紹介する。（2008年06月27日）

Mac上でWindowsを動かす仮想化ソフトの存在が採用の動機に

米国Yankee Groupは6月26日、企業でのMacの採用状況に関する調査結果を発表した。それによると、企業の80％近くが社内でMacを使用しており、その割合は2年前の調査結果と比べて倍近くに増えているという。（2008年06月27日）

「とんでもない数の感染実態に、度肝を抜かれた」と担当者

　米国Microsoftのマルウェア・レスポンス・センターで広報担当を務めるマット・マコーミック（Matt McCormack）氏は6月20日、6月の月例セキュリティ更新プログラムが配布された6月10日以降、悪意あるソフトウェアをユーザーのPCから検出／削除する同社のマルウェア除去ツール「Malicious Software Removal Tool（MSRT）」は、200万台以上のコンピュータからゲーム用パスワード窃盗ソフトウェアを排除したことを明らかにした。（2008年06月23日）

Windows XPでBluetoothの脆弱性が解決されない問題に対応

　米国Microsoftは6月19日、先週リリースした月例セキュリティ・パッチの一部が問題を解決できなかったとして、修正したパッチを再リリースした。（2008年06月20日）

悲惨としか言いようのない出来事も一歩まちがえれば「明日は我が身」

職場でPCが支給されたら、まずセキュリティ対策が十分に施されているかどうかを確認したほうがいい。というのも、それらが機能しないばかりに悪質なプログラムに感染してしまい、最悪の場合、職を追われることにもなりかねないからだ。IDG News Serviceでは、最近、悪質なプログラムに人生を台無しにされた人々の代弁者として注目を浴びている元マサチューセッツ州公務員、マイケル・フィオラ（Michael Fiola）氏に話を聞いた。（2008年06月19日）

一方で深刻な脆弱性も見つかる

　米国Mozillaは6月18日、「Firefox 3」のダウンロード数がリリース後24時間で800万件を突破したことを明らかにした。リリース初日のFirefoxダウンロード数としては過去最高だという。（2008年06月19日）