システム脆弱性

DRAMチップの物理特性を利用

　HDDの内容を暗号化してもデータが安全とはかぎらないことが、プリンストン大学の研究で明らかになった。同大学の研究者らは、DRAMチップの物理特性を利用すればHDD暗号鍵を盗むことは可能だと述べている。（2008年02月22日）

特定地域のユーザーがターゲット。Winnyに感染するマルウェアが一例

ここ数年のコンピュータ・ウイルスの傾向として、攻撃のターゲットを特定の地域・国のユーザーに絞ることが挙げられる。日本やブラジル、中国、ドイツといった国々のユーザーに感染するよう特別に設計されたプログラムを作るケースが増えているのだ。（2008年02月22日）

DDoS攻撃対策の対価として、月額2,000ドルの“みかじめ料”要求の疑い

　多数のマルウェアをインターネットに流し込んでいるとされるロシアの悪名高いサイバー犯罪組織、Russian Business Network（RBN）。セキュリティ専門家によると、現在、この組織は「サイト保護サービスの使用料」という名目で、多数のWebサイトから月額2,000ドルもの“みかじめ料”を徴収しているという。（2008年02月20日）

「1,000分の1の割合で潜んでいる」と同社エンジニア

　米国Googleが最近発表した調査結果は、Webが一般に思われている以上に危険な場所であることを浮き彫りにした。同社が1年にわたって調査したところ、悪意あるWebページは300万を超え、およそ1,000分の1の割合で存在することがわかった。（2008年02月18日）

「仮想マシンが物理サーバ間を移行するときに攻撃を受けやすい」

　「仮想化技術の最たる魅力の1つは、必要に応じて瞬時に仮想サーバを複製できる点にある。しかし、このことはデータ盗難やサービス拒否といったセキュリティ面での深刻な弱点にもなっている」。仮想化技術に潜む脅威について、このように指摘する研究者の講演が、2月18日から21日までワシントンD.C.で開催される「Black Hat DC 2008」で予定されている。（2008年02月18日）

セキュリティ・ベンダーも指摘、「Falling in Love with You」には要注意

　米国連邦捜査局（FBI）は2月13日、バレンタイン・メールを装ったスパム・メールに警戒するよう、異例の呼びかけを行った。FBIによると、ここ数週間にトロイの木馬型プログラム「Storm」を蔓延させる動きが活発化しているという。（2008年02月14日）

Office 2003のWorksコンバータを悪用

　米国Microsoftが2月分のセキュリティ・パッチをリリースしたのは2月12日であるが、その翌日の13日には早くも「Works」のバグを突いた攻撃コードがインターネット上で公開された。同コードに感染すれば、PC内のソフトウェアがリモートで操作されるおそれがある。（2008年02月14日）

Leopardの最新アップデート「Mac OS X v10.5.2」も同時リリース

　米国Appleは2月11日、Mac OS Xに含まれる少なくとも10件の脆弱性を修正する今年初のセキュリティ・アップデート「Security Update 2008-001」と、Mac OS X Leopardの最新アップデート「Mac OS X 10.5.2 Update」を公開した。（2008年02月12日）

「ほぼすべてのWindowsユーザーが対象」と専門家

　米国Microsoftは2月7日、2月の月例パッチとして、12件のセキュリティ更新プログラムを2月12日に公開すると発表した。このうちの7件は、同社の深刻度評価システムで最高レベルの「緊急」とされている。（2008年02月08日）

国家情報長官、「ロシアや中国は米国のインフラをストップさせる技術力がある」と警鐘

　米国連邦政府は今週、2009会計年度（2008年10月-2009年9月）の国家予算に、総額710億ドル以上のIT予算を承認するよう、米国議会に求めることを明らかにした。この要求額は、昨年承認されたIT支出額よりも3.8％（26億ドル）多い。（2008年02月08日）

昨年10月以来、5回目のアップデート

　米国Appleは2月6日、QuickTimeの脆弱性を修正した最新版「QuickTime 7.4.1」をリリースした。同社のWebサイト、もしくはMac OSの「ソフトウェア・アップデート」機能を利用してダウンロードできる。（2008年02月07日）

Adobeは脆弱性情報を明らかにせず

　米国Adobe Systemsは2月6日、セキュリティ上の脆弱性に修正した「Adobe Reader 8.1.2」をリリースした。ただし、脆弱性に関する情報がAdobeから提供されておらず、情報公開に関する同社の姿勢を疑問視する声も出ている。（2008年02月07日）

Vista SP1、XP SP3、Windows Server 2008に搭載へ

　米国Microsoftは1月31日、Windows XPなどで採用されているデータ実行防止技術「DEP」（Data Execution Prevention）の利用拡大を目的とする新しいセキュリティ関連APIを、VistaとXPのSP（Service Pack）などで提供することを明らかにした。（2008年02月01日）

「一部データの漏洩ではすまない危険がある」と研究者

　米国Mozillaは1月30日、同社のWebブラウザ「Firefox」で見つかったバグの危険度を「低」から「高」へと上げたことを明らかにした。このバグの修正パッチは、2月5日に提供される予定のFirefox 2.0.0.12セキュリティ・アップデートに同梱されるという。（2008年01月31日）

チベット関連ニュースを装い、トロイの木馬を仕込む

　米国Trend Microは1月29日、「Microsoft Office Word」のドキュメントを悪用した新種のウイルス攻撃が発見されたと発表した。チベット関連ニュースを装うメールには注意する必要があると、同社はユーザーに警告している。 （2008年01月30日）

XPやVistaと同じ欠陥を持つことが判明

　米国Microsoftは1月23日、Windows Small Business Server 2003に重大な脆弱性が見つかったことを明らかにした。同社は2週間前に、この脆弱性がWindows XPなどに対して危険であることを発表。1週間前には、この脆弱性を突く攻撃コードが出現したと発表していた。（2008年01月25日）

サービス再開は修正パッチの配布後

　ルクセンブルクのSkype Technologiesは1月23日、ユーザーのPCを乗っ取る新たな方法をセキュリティ研究家が発表したことを受け、IP電話ソフトウェア「Skype」のビデオ・アクセス機能を停止する措置をとったと発表した。（2008年01月24日）

「危険度は低いが、注意は必要」とセキュリティ研究者らが警告

　米国Mozillaのセキュリティ責任者が1月22日、Webブラウザ「Firefox」に情報漏洩につながるバグが存在することを認めた。これは、同社のCSO（最高セキュリティ責任者）であるウィンドウ・スナイダー（Window Snyder）氏が、Mozillaのセキュリティ・ブログで明らかにしたもの。攻撃者がこの脆弱性を悪用する可能性もあるという。（2008年01月24日）

前回調査の30％台半ばから大幅に増加

　米国Websenseは1月23日、攻撃用コードを提供するWebサイトの多くが、犯罪者に乗っ取っられた合法的なドメインであると指摘する調査リポートを発表した。こうした合法ドメインで運営される悪質サイトの数が、当初からマルウェア配布を目的に開設されたサイトの数を上回ったのは、今回の調査が初となる。（2008年01月24日）

「Linux＋Apache」のWebサイトが標的

　先週初めに報告されたWebサイトのハッキング被害が当初の見通しよりもはるかに大規模なことが、米国SecureWorksの調べでわかった。同社によると、少なくとも1万のサイトがハッキングされており、そうしたサイトは訪問者のPCに攻撃を仕掛け、未パッチの脆弱性を悪用してPCを乗っ取るという。（2008年01月21日）