システム脆弱性

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。本稿では、前編で述べたエンドポイント・セキュリティ製品の中から代表的な4製品を取り上げ、それぞれの機能を検証してみたい。（2007年11月15日）

アナリストは「1つの組織体としては消滅した」との見方を示す

　米国ベリサインのアイディフェンス・ラブズ部門に勤務するアナリストらが11月9日に語ったところによると、ロシアから逃亡して中国に活動拠点を移した謎のハッカー団「Russian Business Network」（RBN）が、現地で再び行方をくらましたという。（2007年11月13日）

クライアント環境を襲う各種の脅威に立ち向かう

最近、エンドポイントのセキュリティに対する関心が急速に高まってきている。これは、ネットワーク・セキュリティにおける脅威が複雑化・高度化し、企業ネットワークを守るためには境界セキュリティだけでは対応しきれなくなったためだ。その結果、クライアント・ファイアウォール製品のような、エンドポイント向けのセキュリティ対策製品の導入が進んでいる。前編となる本稿では、今一度エンドポイント・セキュリティの定義について整理する。（2007年11月13日）

「緊急」ランクは1件のみ

　米国マイクロソフトは11月8日、11月の定例セキュリティ修正パッチを11月13日（日本時間14日）に配布することを明らかにした。配布されるパッチは2件のみ。セキュリティ管理者にとってはラクな1日になるかもしれない。（2007年11月09日）

市場に流通する多数の低品質製品が企業セキュリティを危険にさらす

　「ハッカーがますます組織化するなか、企業セキュリティは市場に流通している多数の低品質なセキュリティ製品によって危険にさらされている」――英国BTカウンターペインのCEOでセキュリティ専門家でもあるブルース・シュナイアー氏は10月23日、セキュリティ関連の年次コンファレンス「RSA Conference Europe 2007」の基調講演に登壇し、こう語った。 （2007年10月24日）

「アプリ・ベンダー側でも対応を検討すべき」とマイクロソフト

　米国アドビシステムズは10月22日、「Adobe Reader」および「Adobe Acrobat」の脆弱性を修復するパッチを公開した。この脆弱性によって、Windows XPユーザーが悪質なPDFファイルを利用した攻撃にさらされるおそれがある。（2007年10月23日）

コマンド・トラフィックを暗号化する亜種の存在も明らかに

　米国セキュアワークスは10月16日、きわめて悪質で撲滅の難しいトロイの木馬「Storm」を操るハッカーらが、このマルウェアによって作られたボットネットの切り分け作業を行っていると発表した。目的は、支配下に置かれたコンピュータをスパムやDoS攻撃を仕掛けるグループに「売り渡す」ことだという。（2007年10月18日）

マイクロソフトはサードパーティ製パッチに懐疑的

　Windows URI処理の脆弱性が先週明らかになったのを受け、これに対するパッチを、当のマイクロソフトよりも先に、イタリア在住のセキュリティ研究家が公開した。ただし同氏は、検証が十分ではないとして、パッチ適用には十分注意してほしいと語っている。（2007年10月16日）

マイクロソフトがURI処理問題に関するセキュリティ情報を公開

　米国マイクロソフトは10月10日、Windows XPまたはWindows Server 2003上でInternet Explorer 7（IE 7）を使用している場合に、一部のURI（Uniform Resource Identifier）の処理に問題が生じることを説明したセキュリティ情報を公開した。（2007年10月12日）

国内最大規模のセキュリティ監視センター「JSOC」を活用

　シマンテックは10月11日、主に大規模企業を対象にゲートウェイ・セキュリティ・デバイスの監視やセキュリティ・コンサルティングなどを提供する「マネージドセキュリティサービス（MSS）」の直接販売を開始した。（2007年10月11日）

9月のiMac Software Update 1.1が原因か？

　米国アップルは10月5日、今年8月に発売されたデスクトップ・コンピュータ「iMac」で頻繁にフリーズする不具合があることを認め、調査を開始したことを明らかにした。 （2007年10月09日）

コマンド・インジェクション問題を解決

　米国アップルは10月3日、「QuickTime 7.2 for Windows」用のセキュリティ・パッチを公開した。1年以上も前に見つかっていたにもかかわらず、その後見過ごされていたQuickTimeの脆弱性が、これでようやく修正されたことになる。（2007年10月05日）

リモート・コード実行を許す脆弱性に対応

　米国マイクロソフトは10月4日、10月の定例セキュリティ修正パッチの配布を、10月9日に行うことを明らかにした。配布される修正パッチは7件で、その内訳は、最大深刻ランクの「緊急」が4件、その次に深刻な「重要」が3件となっている。（2007年10月05日）

エンタープライズ市場に注力するマカフィーの新CEOが言明

　ストック・オプションを巡るスキャンダルを払拭するべく経営陣の刷新を図る米国マカフィーは、EMCでエグゼクティブ・バイスプレジデント兼顧客事業部門担当社長を務めていたデイブ・デウォルト氏を、今年4月、CEOに迎えた（関連記事）。レスリングで全米代表に選出された経歴を持つほか、熱心なトライアスリートとしても知られる同氏は、マカフィーにおいてここ6年間で実に4人目のCEOとなるが、持ち前のバイタリティとスポーツマンシップでこの難局を乗り切ることが期待される。Computerworldオンライン米国版は、先ごろ同氏を訪ね、セキュリティ市場の状況や競合会社の動向、さらにはマカフィーがエンタープライズ市場で図ろうとしているイメージ・チェンジの方向性などについてインタビューを行った。（2007年10月03日）

「TwC（信頼できるコンピューティング）」担当副社長、セキュリティ強化戦略の“今”を語る

米国マイクロソフトのTrustworthy Computing（TwC：信頼できるコンピューティング）担当副社長、スコット・チャーニー氏と言えば、ここ数年来同社が特に力を入れているセキュリティ製品強化計画の指揮官として活躍している人物だ。マイクロソフトに入社する前は、ハイテク犯罪担当連邦検察官、（ニューヨーク州）ブロンクスの地方検事補などとしても名をはせた経験を持つ同氏が、このほど、Computerworldオンライン米国版のインタビューに応じ、TwCの成果、進化するセキュリティ脅威の実態、同氏が現在不安に感じていること、などについて語ってくれた。（2007年10月01日）

SIMロック解除iPhoneも継続して利用可能？

　米国アップルは9月27日、「iPhone」のセキュリティ・アップデート「Software Update Version 1.1.1」を公開した。この中には、Wi-Fi接続経由で「iTunes Music Store」から曲を購入できる新機能「iTunes Wi-Fi Music Store」の追加も含まれている。（2007年09月28日）

メールが盗まれ、攻撃者に転送されるおそれも

　英国のセキュリティ研究団体「GNUCITIZEN」は9月25日、米国グーグルが提供するWebメール・サービス「Gmail」に、深刻な脆弱性があると発表した。同脆弱性を悪用すれば、Gmailのハッキングはもちろん、過去に受信した電子メールや、これから受信する電子メールを、攻撃者の受信箱に転送させることも可能だという。（2007年09月27日）

iPhoneのブラウザや電子メール・ツールはバグの宝庫？

　ハッキング・ソフトウェア「Metasploit」の開発者の1人であるHD・ムーア氏が、「iPhone」の新たなハッキング・ツールを世に送り出した。（2007年09月27日）

リリースから半年以上、ユーザー・グループの報告で明らかに

　米国マイクロソフトは9月25日、表計算ソフトウェアの最新版「Excel 2007」に、一定条件下でまちがった計算結果を表示するバグがあることを認めた。このバグは先週、Excelユーザーのニュース・グループで明らかにされたものだった。（2007年09月27日）

「バージョンごとのアップデートは管理者にとって負担」との批判を受け

　米国サン・マイクロシステムズは9月25日、Javaアプリケーション開発プラットフォーム「Java Platform, Standard Edition（Java SE） 」のセキュリティ・アップデートについて、事前通知を開始すると発表した。（2007年09月26日）