システム脆弱性

セキュリティ・ソフトの実態をセキュニアが指摘

　デンマークのセキュリティ・コンサルティング会社Secuniaは10月13日、現在市販されているセキュリティ・スイート製品のほとんどが、PCにインストール済みの各種ソフトウェアの脆弱性を突くエクスプロイトを十分に検知できないという調査結果を明らかにした。（2008年10月14日）

11件のうち7件がリモート・コード攻撃に対応する高レベル・パッチ

　米国Microsoftは10月9日、来週14日（日本時間15日）にリリースされる予定の11件の月例セキュリティ・パッチについての事前情報を公開した。今回のパッチの内容はWindows、Active Directory、Internet Explorer（IE）、Office、およびHost Integration Server（HIS）のバグを修正するものだ。 （2008年10月10日）

500件以上の事例調査から浮かび上がる業界別“脅威動向”

ライバル企業がセキュリティ侵害を受けたとのうわさを耳にしたなら、次は自社の番かもしれないと思ったほうがよい。実際、自分の勤める企業がセキュリティ侵害の標的となっている可能性は、決して低くないのだ。本稿では、米国Verizon Businessが実施した500件以上のセキュリティ侵害事例調査から見えてきた業界別の脅威動向を解説する。（2008年10月08日）

「脆弱性は少なくとも5つ」とセキュリティ専門家。対応急ぐベンダー各社

　インターネット基盤を支えるベンダー各社は現在、セキュリティに関する複数の脆弱性の修正作業に追われている。この脆弱性を悪用すると、ハッカーはサーバを簡単にオフライン化することができるという。（2008年10月06日）

セキュリティ専門家は「偽のポップアップにだまされやすい」と懸念

　Webブラウザ上でポップアップ・ウィンドウが突然表示されたとき、ユーザーはどう反応するのか。米国ノースカロライナ州立大学（NCSU）の調査によると、ユーザーの多くはお決まりの反応をするそうだ。すなわち、ポップアップ・ウィンドウをすぐさま閉じるために「OK」ボタンをクリックするのだという。（2008年09月26日）

高級車販売会社のシステムから顧客データを盗み、同社に金銭を要求

　イタリア系の高級車販売会社Maserati North Americaから顧客データを盗み、そのシステムへの侵入の詳細を公表すると同社を脅して金銭をゆすり取ろうとしたとして、カリフォルニア州に住むハッカーが起訴されている。（2008年09月24日）

Computerworld米国版の独自調査で判明

　先週、共和党の副大統領候補であるアラスカ州知事サラ・ペイリン（Sarah Palin）氏の「Yahoo! Mail」アカウントがクラッキングされ、メールが流出するという事件があったが、他人のアカウントのパスワードを盗み出せるWebメールはYahoo! Mailだけではないようだ。（2008年09月22日）

DNS修正をセキュリティ企業が確認。パッチ総数は70件近くに

　米国Appleは9月16日、Mac OS Xの最新アップデート版「Mac OS X 10.5.5」をリリースした。同アップデートには、信頼性と安定性にかかわるバグを修正するパッチのほか、7月末配布のパッチで修正できなかったDNS脆弱性にあらためて対応するパッチが含まれている。（2008年09月17日）

2種類の観点と一貫性のある方法でセキュリティの度合いを測定

　ITインフラストラクチャのセキュリティを評価する際の基準を、米国の非営利団体Center for Internet Security（CIS）が近く発表する。CISによると、この基準は、ITインフラ全体のセキュリティ評価を一貫性のある方法で行うものだという。（2008年09月17日）

旧式化したネットワーク周辺防衛システムを刷新し、頻発するサイバー犯罪に対抗

　米国政府は、総合的なサイバー・セキュリティ対策の一環として、電子機器の製造過程で仕込まれる悪意あるソフトウェア・コードから保護するため、ネットワーク防衛能力の改善と調達ルールの改定に取り組む意向だ。（2008年09月16日）

Exchange公式ブログで状況と対処法を説明。完成版は9月23日に配布の見通し

　Microsoftは9月11日、「Exchange Server 2007」の継続的なクラッシュを引き起こすおそれのある未完成のアップデートを誤って提供してしまったことを認めた。9月9日に同社のアップデート・システム「Microsoft Update」および「Windows Server Update Services（WSUS）」を介してユーザーに配布された「Update Rollup 4 for Exchange Server 2007」が、完成前のバージョンだったという。（2008年09月16日）

QuickTimeは今年に入って5回目のアップデート

　米国Appleは9月10日、「QuickTime」や「iTunes」、「iPod touch」、ネットワーク・ソフトウェア「Bonjour for Windows」など、複数のアプリケーションで合計20件の脆弱性を修正するセキュリティ・アップデートを配布した。脆弱性の半数以上は、PCやiPodが乗っ取られる可能性のある深刻なものである。（2008年09月11日）

XPの画像処理プログラムに深刻な脆弱性

　米国Microsoftは9月9日、4日の事前告知どおり、Windowsの深刻な脆弱性に対処する「緊急」レベルの月例セキュリティ更新プログラム4件をリリースした。（2008年09月10日）

品質管理プロセスにおけるセキュリティ対策強化を支援

　日本ヒューレット・パッカード（HP）は9月9日、Webアプリケーション開発の品質管理プロセスにセキュリティ対策機能を組み込むための統合管理製品群「HP Application Security Center」を発表した。（2008年09月09日）

米国時間9日に公開され、適用対象は広範に及ぶ見込み

　米国Microsoftは9月4日、9日に公開予定の月例セキュリティ更新プログラムの概要を明らかにした。今回のセキュリティ・パッチは4件で、数としては先月の3分の1にすぎないが、いずれも重大な脆弱性にかかわる「緊急」レベルに分類されている。（2008年09月05日）

ファイルのダウンロードに注意。悪意あるコードを勝手に実行してしまう可能性も

　米国Googleが、新ブラウザ「Google Chrome」のベータ版をリリースして一夜明けた9月3日、セキュリティ研究者たちから早くも複数の脆弱性を指摘されている。その1つは、ブラウザがクラッシュしてしまう可能性があるというものだ。（2008年09月04日）

DNS脆弱性を就く攻撃を防ぐ各種セキュリティ機能を搭載

　米国Nominumは先ごろ、同社のキャッシングDNSサーバ・プラットフォーム「Ventio」のアップグレード版をリリースしたと発表した。セキュリティ機能の大幅なアップグレードを図り、今年7月にセキュリティ・サービス会社の米国IOActiveの研究員であるダン・カミンスキー（Dan Kaminsky）氏がDNSキャッシュ・ポイズニングにまつわる脆弱性を公表した際、その対策として提案していた標準規格「UDP SPR（Source Port Randomization）」をサポートするセキュリティ機能を追加したという。（2008年09月01日）

ただし具体的な日程についてはコメントを避ける

　米国Appleは8月28日、「iPhone」に備わっているパスコード・ロック機能に脆弱性が存在することを認め、同脆弱性に適用する修正パッチを9月中に実施するソフトウェア・アップデートで配布すると発表した。ただし、具体的な配布日程は明らかにしていない。（2008年08月29日）

「すべてのユーザーに利用してほしい」とアピール

　米国Microsoftは8月27日、かねてからの約束どおり、次期Webブラウザ「Internet Explorer（IE）8」のベータ2をリリースした。ただし、最終版の出荷日については明らかにしていない。（2008年08月28日）

基本的なブール検索さえ処理できない

　米国政府が推進しているテロ防止ITプロジェクト「Railhead」に対し、米国下院の小委員会が同プロジェクトの技術的な問題点を指摘している。小委員会によると同プロジェクトのシステムでは「and、or、not」などの演算子を使った基本的なブール検索さえ処理できないというのだ。（2008年08月28日）