システム脆弱性

大統領予備選挙における投票記録トラブルへのいやがらせ？

　米国ニュージャージー州の選挙管理当局から批判を受けている電子投票マシンを手がける米国Sequoia Voting Systemsは3月20日、同社のWebサイトがハッキングされたことを認めた。（2008年03月21日）

「Forefront」と「Windows Live OneCare」の機能強化の一環として

　米国Microsoftは3月20日、ルートキット検知ベンダーの米国Komokuを買収すると発表した。両社は買収金額などの条件を明らかにしていないが、買収取引は3月19日に完了しているという。（2008年03月21日）

「48ビットでは短すぎる」と暗号解読者

　ドアの開錠や公共交通機関の乗車時に使われているRFIDチップ搭載スマートカード「Mifare Classic」の暗号解読法が発見されたことで、同カードの安全性に疑問が投げかけられている。解読法を発見した大学院生は、暗号鍵のビット長が短すぎる点を問題視している。（2008年03月17日）

負けたセキュア・コンピューティングは、特許技術を「既知のもの」として控訴へ

　米国のITセキュリティ・ベンダーFinjanが、米国Secure Computingおよび同社が過去に買収した企業2社を相手取り2年前に起こした特許侵害訴訟で、3月12日、Finjan側勝訴の判決が下された。Secure Computing側は、この判決を不服として控訴する方針だ。（2008年03月14日）

Gmailドメイン・スパムの全スパム中に占める割合が2.6％に

　電子メール・セキュリティ・ベンダー、英国MessageLabsの調査で、米国GoogleのWebメール・サービス「Gmail」のドメインから発信されるスパムの数が、この2月に倍増したことが判明した。Googleは、Gmailアカウントの大量取得や、その他のWebサイト乱用行為を防ぐため、歪んだ文字の書かれた画像を人間に識別させる認証技術「CAPTCHA」を導入しているが、スパマーにはあまり効果がないようだ。（2008年03月11日）

揺らぐ「Mifare Classic」カードの信頼性。カード偽造や個人情報漏洩の危険性も

　昨年12月、ドイツの名高いハッカー・グループChaos Computer Club（CCC）がベルリンにて開催した「第24回会議（24th Congress）」において、3人の若いセキュリティ研究者が、RFID（無線ICタグ）を利用したスマートカードの不正読み取りが以前よりもはるかに容易かつ安価に行えるようになっているという事実をデモンストレーションを通じて実証した。それを機に、ICカードの脆弱性に対する関心が、セキュリティ・ハッカー以外の世界にも広がり始めている。（2008年03月10日）

Outlook、Excel、Office Web Componentsのバグに対応

　米国Microsoftは3月6日、3月の月例パッチとして、Microsoft Officeの全バージョンに向けた4件のセキュリティ更新プログラムを3月11日にリリースすると発表した。いずれも危険度が最も高い「緊急」に位置づけている。（2008年03月07日）

その名は「Mebroot」。検出困難で「打つ手立てなし」

　フィンランドのセキュリティ・ベンダーF-Secureは3月4日、ドイツ・ハノーバーで開催中のIT展示会「CeBIT 2008」において、昨年12月に感染が確認されたrootkitがきわめて検出困難であることが判明したと発表した。（2008年03月05日）

スキル不足の原因を半数以上が「技術進化のペースが速すぎるから」と回答

　米国CompTIA（Computing Technology Industry Association：コンピュータ技術産業協会）は先ごろ、ITスタッフのセキュリティ・スキルに関する調査を実施した。調査の結果から、大半の企業・組織がセキュリティ、ファイアウォール、データ・プライバシーに関するスキルを有したITスタッフを求めているものの、自社の社員がそうした技術に十分習熟していないと全体の40％が考えていることがわかった。（2008年02月28日）

Windows向けで発見。ゲストOSからホストOSへ侵入される危険性

　米国VMwareは2月22日、同社のWindows向けテスクトップ仮想化製品群で重大な脆弱性が発見されたと発表した。同社によると、攻撃者がその脆弱性を突けば、ゲストOSからホストOSへ侵入することができ、ホストOSを書き換えたり、ファイルを追加したりすることが可能になるという。 （2008年02月26日）

DRAMチップの物理特性を利用

　HDDの内容を暗号化してもデータが安全とはかぎらないことが、プリンストン大学の研究で明らかになった。同大学の研究者らは、DRAMチップの物理特性を利用すればHDD暗号鍵を盗むことは可能だと述べている。（2008年02月22日）

DDoS攻撃対策の対価として、月額2,000ドルの“みかじめ料”要求の疑い

　多数のマルウェアをインターネットに流し込んでいるとされるロシアの悪名高いサイバー犯罪組織、Russian Business Network（RBN）。セキュリティ専門家によると、現在、この組織は「サイト保護サービスの使用料」という名目で、多数のWebサイトから月額2,000ドルもの“みかじめ料”を徴収しているという。（2008年02月20日）

「1,000分の1の割合で潜んでいる」と同社エンジニア

　米国Googleが最近発表した調査結果は、Webが一般に思われている以上に危険な場所であることを浮き彫りにした。同社が1年にわたって調査したところ、悪意あるWebページは300万を超え、およそ1,000分の1の割合で存在することがわかった。（2008年02月18日）

「仮想マシンが物理サーバ間を移行するときに攻撃を受けやすい」

　「仮想化技術の最たる魅力の1つは、必要に応じて瞬時に仮想サーバを複製できる点にある。しかし、このことはデータ盗難やサービス拒否といったセキュリティ面での深刻な弱点にもなっている」。仮想化技術に潜む脅威について、このように指摘する研究者の講演が、2月18日から21日までワシントンD.C.で開催される「Black Hat DC 2008」で予定されている。（2008年02月18日）

セキュリティ・ベンダーも指摘、「Falling in Love with You」には要注意

　米国連邦捜査局（FBI）は2月13日、バレンタイン・メールを装ったスパム・メールに警戒するよう、異例の呼びかけを行った。FBIによると、ここ数週間にトロイの木馬型プログラム「Storm」を蔓延させる動きが活発化しているという。（2008年02月14日）

Office 2003のWorksコンバータを悪用

　米国Microsoftが2月分のセキュリティ・パッチをリリースしたのは2月12日であるが、その翌日の13日には早くも「Works」のバグを突いた攻撃コードがインターネット上で公開された。同コードに感染すれば、PC内のソフトウェアがリモートで操作されるおそれがある。（2008年02月14日）

Leopardの最新アップデート「Mac OS X v10.5.2」も同時リリース

　米国Appleは2月11日、Mac OS Xに含まれる少なくとも10件の脆弱性を修正する今年初のセキュリティ・アップデート「Security Update 2008-001」と、Mac OS X Leopardの最新アップデート「Mac OS X 10.5.2 Update」を公開した。（2008年02月12日）

「ほぼすべてのWindowsユーザーが対象」と専門家

　米国Microsoftは2月7日、2月の月例パッチとして、12件のセキュリティ更新プログラムを2月12日に公開すると発表した。このうちの7件は、同社の深刻度評価システムで最高レベルの「緊急」とされている。（2008年02月08日）

国家情報長官、「ロシアや中国は米国のインフラをストップさせる技術力がある」と警鐘

　米国連邦政府は今週、2009会計年度（2008年10月-2009年9月）の国家予算に、総額710億ドル以上のIT予算を承認するよう、米国議会に求めることを明らかにした。この要求額は、昨年承認されたIT支出額よりも3.8％（26億ドル）多い。（2008年02月08日）

昨年10月以来、5回目のアップデート

　米国Appleは2月6日、QuickTimeの脆弱性を修正した最新版「QuickTime 7.4.1」をリリースした。同社のWebサイト、もしくはMac OSの「ソフトウェア・アップデート」機能を利用してダウンロードできる。（2008年02月07日）