システム脆弱性

「サイト・マスキング」など新手の攻撃手法も

　ITセキュリティのコンファレンス「RSA Conference Europe 2008」においてセキュリティ専門家は、ハッカーらがGoogleなどの検索エンジンを利用し、重要なデータが保存されているWebアプリケーションに侵入するケースが急増していると警告した。（2008年10月28日）

マッシュアップの高度化でWebコンテンツの安全性を向上

　米国Microsoftは、10月27日（米国時間）からロサンゼルスで開催する開発者向け自社コンファレンス「PDC 2008」において、Webコンテンツを隔離して保護する新たなセキュリティ・プロジェクト「Web Sandbox」を発表する。（2008年10月27日）

「悪用されやすい脆弱性」とセキュリティ専門家が警鐘

　米国Microsoftが10月23日の朝、Windowsの「緊急」の脆弱性について詳細を明らかにしたところ、この脆弱性を利用する実証コードがほんの数時間で登場した。（2008年10月24日）

クリップボード攻撃と併せ、新版で脆弱性を修正

　米国Adobe Systemsは10月15日、マルチメディア向けWebブラウザ・プラグインの最新版「Flash Player 10」をリリースした。GPUアクセラレーション機能の強化に加え、旧バージョンで指摘されていた「クリックジャック（clickjacking）攻撃」などに対する脆弱性が修正されている。（2008年10月16日）

セキュリティ・ソフトの実態をセキュニアが指摘

　デンマークのセキュリティ・コンサルティング会社Secuniaは10月13日、現在市販されているセキュリティ・スイート製品のほとんどが、PCにインストール済みの各種ソフトウェアの脆弱性を突くエクスプロイトを十分に検知できないという調査結果を明らかにした。（2008年10月14日）

11件のうち7件がリモート・コード攻撃に対応する高レベル・パッチ

　米国Microsoftは10月9日、来週14日（日本時間15日）にリリースされる予定の11件の月例セキュリティ・パッチについての事前情報を公開した。今回のパッチの内容はWindows、Active Directory、Internet Explorer（IE）、Office、およびHost Integration Server（HIS）のバグを修正するものだ。 （2008年10月10日）

「脆弱性は少なくとも5つ」とセキュリティ専門家。対応急ぐベンダー各社

　インターネット基盤を支えるベンダー各社は現在、セキュリティに関する複数の脆弱性の修正作業に追われている。この脆弱性を悪用すると、ハッカーはサーバを簡単にオフライン化することができるという。（2008年10月06日）

セキュリティ専門家は「偽のポップアップにだまされやすい」と懸念

　Webブラウザ上でポップアップ・ウィンドウが突然表示されたとき、ユーザーはどう反応するのか。米国ノースカロライナ州立大学（NCSU）の調査によると、ユーザーの多くはお決まりの反応をするそうだ。すなわち、ポップアップ・ウィンドウをすぐさま閉じるために「OK」ボタンをクリックするのだという。（2008年09月26日）

高級車販売会社のシステムから顧客データを盗み、同社に金銭を要求

　イタリア系の高級車販売会社Maserati North Americaから顧客データを盗み、そのシステムへの侵入の詳細を公表すると同社を脅して金銭をゆすり取ろうとしたとして、カリフォルニア州に住むハッカーが起訴されている。（2008年09月24日）

Computerworld米国版の独自調査で判明

　先週、共和党の副大統領候補であるアラスカ州知事サラ・ペイリン（Sarah Palin）氏の「Yahoo! Mail」アカウントがクラッキングされ、メールが流出するという事件があったが、他人のアカウントのパスワードを盗み出せるWebメールはYahoo! Mailだけではないようだ。（2008年09月22日）

DNS修正をセキュリティ企業が確認。パッチ総数は70件近くに

　米国Appleは9月16日、Mac OS Xの最新アップデート版「Mac OS X 10.5.5」をリリースした。同アップデートには、信頼性と安定性にかかわるバグを修正するパッチのほか、7月末配布のパッチで修正できなかったDNS脆弱性にあらためて対応するパッチが含まれている。（2008年09月17日）

2種類の観点と一貫性のある方法でセキュリティの度合いを測定

　ITインフラストラクチャのセキュリティを評価する際の基準を、米国の非営利団体Center for Internet Security（CIS）が近く発表する。CISによると、この基準は、ITインフラ全体のセキュリティ評価を一貫性のある方法で行うものだという。（2008年09月17日）

旧式化したネットワーク周辺防衛システムを刷新し、頻発するサイバー犯罪に対抗

　米国政府は、総合的なサイバー・セキュリティ対策の一環として、電子機器の製造過程で仕込まれる悪意あるソフトウェア・コードから保護するため、ネットワーク防衛能力の改善と調達ルールの改定に取り組む意向だ。（2008年09月16日）

Exchange公式ブログで状況と対処法を説明。完成版は9月23日に配布の見通し

　Microsoftは9月11日、「Exchange Server 2007」の継続的なクラッシュを引き起こすおそれのある未完成のアップデートを誤って提供してしまったことを認めた。9月9日に同社のアップデート・システム「Microsoft Update」および「Windows Server Update Services（WSUS）」を介してユーザーに配布された「Update Rollup 4 for Exchange Server 2007」が、完成前のバージョンだったという。（2008年09月16日）

QuickTimeは今年に入って5回目のアップデート

　米国Appleは9月10日、「QuickTime」や「iTunes」、「iPod touch」、ネットワーク・ソフトウェア「Bonjour for Windows」など、複数のアプリケーションで合計20件の脆弱性を修正するセキュリティ・アップデートを配布した。脆弱性の半数以上は、PCやiPodが乗っ取られる可能性のある深刻なものである。（2008年09月11日）

XPの画像処理プログラムに深刻な脆弱性

　米国Microsoftは9月9日、4日の事前告知どおり、Windowsの深刻な脆弱性に対処する「緊急」レベルの月例セキュリティ更新プログラム4件をリリースした。（2008年09月10日）

品質管理プロセスにおけるセキュリティ対策強化を支援

　日本ヒューレット・パッカード（HP）は9月9日、Webアプリケーション開発の品質管理プロセスにセキュリティ対策機能を組み込むための統合管理製品群「HP Application Security Center」を発表した。（2008年09月09日）

米国時間9日に公開され、適用対象は広範に及ぶ見込み

　米国Microsoftは9月4日、9日に公開予定の月例セキュリティ更新プログラムの概要を明らかにした。今回のセキュリティ・パッチは4件で、数としては先月の3分の1にすぎないが、いずれも重大な脆弱性にかかわる「緊急」レベルに分類されている。（2008年09月05日）

ファイルのダウンロードに注意。悪意あるコードを勝手に実行してしまう可能性も

　米国Googleが、新ブラウザ「Google Chrome」のベータ版をリリースして一夜明けた9月3日、セキュリティ研究者たちから早くも複数の脆弱性を指摘されている。その1つは、ブラウザがクラッシュしてしまう可能性があるというものだ。（2008年09月04日）

DNS脆弱性を就く攻撃を防ぐ各種セキュリティ機能を搭載

　米国Nominumは先ごろ、同社のキャッシングDNSサーバ・プラットフォーム「Ventio」のアップグレード版をリリースしたと発表した。セキュリティ機能の大幅なアップグレードを図り、今年7月にセキュリティ・サービス会社の米国IOActiveの研究員であるダン・カミンスキー（Dan Kaminsky）氏がDNSキャッシュ・ポイズニングにまつわる脆弱性を公表した際、その対策として提案していた標準規格「UDP SPR（Source Port Randomization）」をサポートするセキュリティ機能を追加したという。（2008年09月01日）