個人情報保護

DNSキャッシュ・ポイズニングの脆弱性などに対処

　米国Microsoftは7月8日（日本時間9日）、4件の月例セキュリティ更新プログラムを公開した。これらは同社の「Exchange Server」「SQL Server」「Windows Server」「Windows Vista/XP/2000」に含まれる合計9つの脆弱性に対処するもので、いずれも深刻度は上から2番目のレベル「重要（Important）」となっている。（2008年07月09日）

ホームページの簡素なデザインを重視

　米国Googleは7月3日、複数のプライバシー擁護団体からの要請に応じ、同社のプライバシー方針が掲載されている「Privacy Center」ページへのリンクをホームページに追加した。このリンクは、同社の著作権表示の横にあった社名の代わりに配置されたため、簡素なことで有名な同社ホームページの総ワード数は変わっていない。（2008年07月07日）

「旧ソ連のシンボルは表示禁止」法案の可決が引き金？

　リトアニアのCERT（コンピュータ緊急対応チーム）は7月4日、たった1台の脆弱なWebサーバが原因となり、リトアニアの300近いWebサイトが攻撃を受けたことを明らかにした。（2008年07月07日）

過去16カ月で38万台余りのコンピュータが感染

　感染したPCに潜伏して、システム管理者がログインしてMicrosoftの管理ツールを使うのを待ち、他のPCに感染を広げる――。こうした「トロイの木馬」プログラムが猛威を振るっているとして、セキュリティ・ベンダーが注意を呼びかけている。（2008年07月02日）

ブラウザ上でのあらゆる作業を追跡／捕捉されるおそれも

　米国Microsoftが提供しているWebブラウザ「Internet Explorer（IE） 6」に、脆弱性対策が公開される前に攻撃される、いわゆる「ゼロデイ攻撃」の危険性が指摘されている。複数のセキュリティ研究者によると、IE 6には修正パッチが配布されていない脆弱性があり、クロスサイト・スクリプティング攻撃に遭うおそれもあるという。（2008年07月01日）

法規制の増加を見据え、長期的な視点でIT投資を考える

コンプライアンスへの取り組みは、それ自体が直接的な利益を生み出すわけではない。そのうえ、スタッフの人件費や監査への対応、アクセス制御やログ取得といったツールの導入、アーカイブ・データの永久保存と、さまざまな局面でコストが発生する。本稿では、米国Nemertes Researchによる調査結果を基に、米国ユーザー企業におけるコンプライアンスへの取り組み状況をコスト面に目を向けて解説する。（2008年06月27日）

機密データのセキュリティ確保と分析への活用を両立

米国オクラホマ州立大学のテクノロジー・ビジネス・アセスメント・グループは先ごろ、「データ・シャッフリング」の研究プロジェクトに資金を提供すると発表した。データ・シャッフリングとはデータ・マスキング技術の1つであり、同大学経営科学・情報システム学部のラシンドラ・サラシー（Rathindra Sarathy）教授が中心となって開発を進めている。以下、データ・シャッフリングについて同氏に話を聞いた。（2008年06月23日）

海外のデータセンターで個人情報が盗まれる可能性も

もしも、知人または見ず知らずの人の情報について尋ねる電話がかかってきたとしたら、すでにあなたの個人情報の一部が“債権回収会社”に漏れているかもしれない――。Network World米国版の人気コラム・コーナー「Gearhead」の著者であるネットワーク・ビジネスの専門家、マーク・ギブス（Mark Gibbs）氏の調べによると、さまざまな場所から収集された個人情報の売買やデータ・マイニングを専門とする一大業界が存在するという。（2008年06月23日）

「とんでもない数の感染実態に、度肝を抜かれた」と担当者

　米国Microsoftのマルウェア・レスポンス・センターで広報担当を務めるマット・マコーミック（Matt McCormack）氏は6月20日、6月の月例セキュリティ更新プログラムが配布された6月10日以降、悪意あるソフトウェアをユーザーのPCから検出／削除する同社のマルウェア除去ツール「Malicious Software Removal Tool（MSRT）」は、200万台以上のコンピュータからゲーム用パスワード窃盗ソフトウェアを排除したことを明らかにした。（2008年06月23日）

対策のカギは「情報中心型セキュリティ」のアプローチにあり

ITセキュリティ業界最大のコンファレンス＆展示会「RSA Conference 2008」が4月7日から11日までの5日間にわたり、米国サンフランシスコのモスコーニ・センターで開催された。ネットワークや暗号、認証技術や標準規格、実装、法律、政策などあらゆる方面からセキュリティを扱う同コンファレンスでは、15の基調講演、19種類のトラックからなる220以上のセッションが繰り広げられた。また、展示会場には350社以上のセキュリティ関連ベンダーが一堂に会し、各社製品のデモやサービスのプレゼンテーションなどを行った。以下、同コンファレンスで注目を集めた最新のトピックなどを紹介しよう。（2008年06月16日）

「ベンダーがユーザーの許可なくコンピュータを監視できる」とプライバシー侵害を指摘

　米国議会上院で審議されているスパイウェア対策法案に対し、セキュリティ専門家が懸念を表明している。専門家らは「現在の法案が可決すれば、インターネット・サービス・プロバイダー（ISP）やソフト／ハードウェア・ベンダーが、ユーザーの許可なく個人のコンピュータを監視できるようになる」と指摘している。（2008年06月12日）

違法画像を扱うWebサイトのサーバも一掃

　米国Verizon、米国Time Warner Cable、米国Sprint Nextelの3社は6月10日、オンライン上の児童ポルノ画像の発信源を遮断する内容で、ニューヨーク州検事総長のアンドリュー・クオモ（Andrew Cuomo）氏と合意書を交わした。（2008年06月11日）

「Safariユーザーにとって重大な問題」とセキュリティ専門家らが呼びかけ

　6月8日、あるハッカーが執筆するコンピュータ・セキュリティのブログに、Webブラウザ「Safari」および「Internet Explorer（IE）」の致命的な脆弱性を突くエクスプロイト・コードが、攻撃方法のデモと共に掲載された。（2008年06月11日）

日々進化する攻撃手法、「被害件数は今後も拡大する」と専門家

　米国VeriSignの研究者は先ごろ、「スピア・フィッシング（Spear Phishing）」の被害者が、過去15カ月間で約1万5,000人に達したことを明らかにした。（2008年06月09日）

プライバシーとセキュリティのバランス／RFIDパスポートの問題点／企業によるITワーカーの素行調査……

米国R＆H Security ConsultingのCEO、ハワード・シュミット（Howard Schmidt）氏については、現職よりも31年間務めたホワイトハウス時代の経歴のほうが広く知られているだろう。Computerworld米国版は先ごろSchmidt氏へのインタビューを行い、プライバシーとセキュリティのバランス、RFIDパスポートの問題点、企業によるITワーカーの素行調査などについて同氏の意見を聞いた。（2008年06月09日）

セキュリティ専門家がSNSでの犯罪や情報プライバシー危機への対策を提言

FacebookやMySpaceなどのソーシャル・ネットワーキング・サービス（SNS）が若者を中心ににぎわっている。だが、こうしたSNSは現状、いくらでも年齢や性別を詐称して登録することができるので、サイバー犯罪の温床となる危険が指摘されている。解決策として、一部のセキュリティ専門家からは、メンバー登録時のクレジットカード提示の義務づけや“オンライン・セキュリティ新法”の制定といった提案があがっている。（2008年06月06日）

サードパーティ・プログラムを無効にする更新プログラムも公開か

　米国Microsoftは6月5日、来週10日に公開する月例セキュリティ更新プログラムに関する事前情報を発表した。6月の月例セキュリティ更新プログラムは、深刻度が「緊急」の3件を含む7件で、Bluetooth機能、DirectX、「Internet Explorer（IE）」といったWindowsコンポーネントの問題を修正するという。 （2008年06月06日）

第4回 ボット犯罪者たちの「罪と罰」

ボットネットを使う犯罪者たちを捕らえるべく、FBIなどにより決行された「ボット・ローストII（Bot Roast II）」作戦。この作戦で逮捕されたサイバー犯罪者たちの人間性や犯行手口から、この種の犯罪に共通する犯行動機や犯行パターンが浮かび上がってきた。最終回となる今回は、犯罪者たちを分析するべく米国InfoWorldが独自に試みたプロファイリングのデータを披露しよう。（2008年06月03日）

22万件近くのWebページに悪意あるスクリプトが埋め込まれる

　米国Symantecは5月26日、米国Adobe Systemsの「Flash Player」の脆弱性を突く新種の攻撃について警告を発した。Symantecのセキュリティ対策チームでディレクターを務めるオリバー・フリードリッヒ（Oliver Friedrichs）氏は、「Flashの未パッチの脆弱性を突く攻撃が出回っていることを確認した」と注意を呼びかけている。（2008年05月28日）

企業の経営層を標的にした巧妙な詐欺メールが蔓延

　5月23日、複数のセキュリティ研究者ならびに米国政府が、蔓延の兆しを見せているフィッシング攻撃について一斉に警鐘を発した。それによると、連邦裁判所が発行した支払期限切れの納税通知書を装った詐欺メールが、CEOなど企業の経営層宛てに大量に送信されているという。その標的の中にはセキュリティ・ベンダーである米国McAfeeの幹部も含まれていた。（2008年05月27日）