システム脆弱性

Web 2.0や内部起因リスク、コンプライアンスとセキュリティの関係に着目せよ

IT市場調査会社の米国IDCは5月20日、シンガポールで情報セキュリティ関連コンファレンス「IDC Security Vision 2008」を開催した。「次世代セキュリティ――新世代の脅威に立ち向かう」をテーマにした同コンファレンスでは、今、企業・組織をとりまくセキュリティ上の脅威とそれらへの対処が業界のキーパーソンによって語られた。（2008年05月22日）

「セキュリティ問題ではない」としてアップルは対応を先送り

　マルウェア対策を推進する米国の非営利団体StopBadware.orgは5月19日、Webブラウザ「Safari」のエクスプロイト対策を強化し、悪意あるコードのダウンロード防止策を講じるよう米国Appleに対して要望書を提出した。（2008年05月22日）

評価プロセスの形骸化を批判する声が専門家の間で高まる

米国連邦議会の下院監査政府改革委員会は5月20日、2007年度における各政府機関のコンピュータ・セキュリティ対策に関する評価表を発表した。それによると、政府全体の総合評価は「C（可）」であった。その一方で、評価表とその基準となる内部セキュリティ報告書は、サイバー脅威に対する連邦機関の対応度を正確に反映していないと批判する声も上がっている。（2008年05月21日）

テロ対策の一環として監視を強化――議会からの反発は必至

　英国国内での通信は、すべて英国政府の監視下に置かれることになるかもしれない。巨大な中央集中型のデータ収集計画が実現すれば、の話だが……。（2008年05月21日）

Webカメラと望遠鏡を用いた意外なハッキング・ツールにご用心

　米国とドイツの研究チームはこのほど、Webカメラと望遠鏡という意外なハッキング・ツールを用いてコンピュータからデータを盗む2つの新手法を開発した。（2008年05月20日）

1万台以上のサーバがマルウェアに感染

　中国と台湾の数千にも及ぶWebサイトが、大規模なSQLインジェクション攻撃を受け、マルウェアを埋め込まれる事態に陥っている。今年1月から世界各地で発生しているSQLインジェクション攻撃は、地球規模で拡大しているようだ。（2008年05月20日）

第2回 偽造IDを使ってオンライン詐欺を追跡、逮捕へ

犯罪者の摘発は警察の仕事である。しかし、複雑化したインターネット犯罪に、警察が迅速に対処する可能性は低い。ならばインターネット犯罪には、自分が立ち向かうしかないのだろうか──。第2回目となる本稿では、偽装IDを作成し、みずからの命を危険にさらしながらも、オンライン詐欺師の現行犯逮捕に貢献したケースを紹介しよう。（2008年05月20日）

IBMのセキュリティ研究員、攻撃の仕組みの複雑化・高度化を警告

50万以上ものWebサイトにハッキングの被害を与え、世界中のWebマスターを震撼させたSQLインジェクション攻撃。その“最新バージョン”は、従来のセキュリティ対策を回避する機能がこれまでのものよりも強く、“第3の波”と呼ぶべき進化を遂げてしまった。以下、米国IBMのセキュリティ研究員による調査結果の一部を紹介する。（2008年05月16日）

「シスコ製ルータがマルウェアとは無縁というのは大きな間違い」

　米国Cisco Systemsのルータをねらったルートキット・ソフトウェアを、米国Core Security Technologiesのセキュリティ・リサーチャー、セバスチャン・ムニス（Sebastian Muniz）氏が開発した。同氏は、英国ロンドンで開催されるセキュリティ関連のコンファレンス「EuSecWest」（5月21・22日）で詳細を発表する予定だという。 （2008年05月15日）

「Office Input Method Editor 2007」の修正モジュールも包含

　マイクロソフトは5月14日、「2007 Microsoft Office system Service Pack 1 日本語版」の自動更新を、6月17日より開始すると発表した。（2008年05月14日）

「今後攻撃はさらに激化する」と専門家は警鐘

　米国Trend Microのネットワーク・アーキテクト、ポール・ファーガソン（Paul Ferguson）氏は先ごろ、今年1月から急増しているWebサイトのハッキング被害件数が、50万件を突破したと語った。（2008年05月13日）

5月13日に公開開始。懸案だった「Jet Database Engine」のバグも解消へ

　米国Microsoftは5月8日、5月13日に公開する月例セキュリティ更新プログラムを事前発表した。今月の月例セキュリティ更新プログラムは合計4件で、Windows、「Microsoft Word」、「Microsoft Publisher」、Microsoftの全マルウェア対策ソフトウェア（「Microsoft Antigen」「Microsoft Forefront Security」「Windows Live OneCare」「Windows Defender」）の問題を修正する。（2008年05月09日）

「国連サイトの一部はまだハッキングされたままの状態だ」と専門家

　米国Websenseは4月22日、英国政府のWebサイトや国連のWebサイトなどを含む多数のWebサイトがハッキングされ、マルウェアをまき散らしているとの報告を発表した。（2008年04月24日）

「今後も断続的に攻撃される可能性がある」と専門家は警鐘

　複数のネットワーク・セキュリティ・アナリストは、米国CNNのWebサイトに対するサイバー攻撃が断続的に行われていることを明らかにした。あるアナリストは、「先週末に一時沈静化したものの、今週に入ってから再び増加している。今後も攻撃は増加することが予想される」と指摘している。（2008年04月23日）

4カ月間で52万6,000台のPCからStormを除去

　米国Microsoftは4月22日、トロイの木馬型プログラム「Storm」から構成されるボットネットが弱体化していることを明らかにした。同社がWindowsユーザーに配布したマルウェア削除ツールが効力を発揮し、多くのPCからStormが除去されたという。（2008年04月23日）

個人情報の入力を促す従来手法に加え、トロイの木馬で情報収集を図る

　米国EMCのセキュリティ事業部門である米国RSA Securityは4月21日、大規模なフィッシング作戦を展開していることで悪名高いオンライン犯罪者集団「Rock Phish」が、新たな攻撃手法を使い始めたと発表した。（2008年04月22日）

マイスペースは「単なるシステム・エラー」と重要視せず

　世界ナンバー1の会員数を誇るSNS（ソーシャル・ネットワーキング・サービス）の「MySpace」で、新たなセキュリティ問題が発覚した。意図的にコード変更されたメンバーの「プロフィール」を閲覧しただけで、そのプロフィールを公開しているメンバーから、行動を追跡される可能性があるというのだ。（2008年04月18日）

すでに脆弱性は修正されているものの、専門家は「今後も同様の問題が発生する」と警告

　米国Googleが提供するWebアプリケーション「Google Spreadsheets」で、深刻な脆弱性が発見された。同脆弱性を攻撃者が悪用すれば、攻撃対象のユーザーが利用しているGoogleのWebアプリケーション・スイートすべてにアクセスできるという。（2008年04月17日）

製造段階でのCPUすり替えなど、資金／人材が潤沢な組織でないと実行不可能？

　ハッカーは長年、コンピュータ・システムへの不正アクセス手段として、ソフトウェアのバグ探しに力を注いできたが、最近になってシステムへの新たな侵入手口が登場した。CPUへのハッキングである。 （2008年04月16日）

リモート実行を許可する脆弱性にも対応、専門家は「早急に適用を」と呼びかけ

　米国Oracleは4月15日、同社のデータベースおよびアプリケーション・サーバ製品で発見された41件の脆弱性を修正する、セキュリティ修正パッチ「CPU（Critical Patch Update）」をリリースした。（2008年04月16日）