個人情報保護

「われわれが耳にするよりはるかに多くの事件が起きている」

　米国の調査会社Gartnerはこのほど、米国小売企業の半数近くが、これまでに何らかのデータ盗難被害に遭ったことがあるにもかかわらず、そうした事実はほとんど公表されていないとの調査リポートを発表した。（2008年05月27日）

米国小売り大手TJXの店舗スタッフの行動は「若さゆえの過ち」か？

　米国の小売り大手TJX Companiesの現場スタッフが、勤務中に発見した情報セキュリティ上の問題について公に発言したことで職を失った。このスタッフはカンザス大学の学生で、カンザス州ローレンスにあるT.J.Maxxパイン・リッジ・プラザ店で働いていたニック・ベンソン（Nick Benson）氏。同氏は電子メールでの取材に対し、専有情報の公表による社内ポリシー違反で5月21日に解雇されたと述べた。（2008年05月26日）

第3回 フィッシング対策の救世主

社会問題化するフィッシング詐欺への対策は、FBIの専門チームでも手を焼くほど複雑で困難とされる。そんななか、その解決に多大な貢献をしている、ある“救世主”が注目を集めている。ここでは、もともとは石油企業の一職員だったこの人物が、いかにしてフィッシング対策のエキスパートへの道を歩んだのか、その経緯をたどるとともに、フィッシング対策の難しさや被害者の取るべき活動について探った。（2008年05月26日）

評価プロセスの形骸化を批判する声が専門家の間で高まる

米国連邦議会の下院監査政府改革委員会は5月20日、2007年度における各政府機関のコンピュータ・セキュリティ対策に関する評価表を発表した。それによると、政府全体の総合評価は「C（可）」であった。その一方で、評価表とその基準となる内部セキュリティ報告書は、サイバー脅威に対する連邦機関の対応度を正確に反映していないと批判する声も上がっている。（2008年05月21日）

テロ対策の一環として監視を強化――議会からの反発は必至

　英国国内での通信は、すべて英国政府の監視下に置かれることになるかもしれない。巨大な中央集中型のデータ収集計画が実現すれば、の話だが……。（2008年05月21日）

Webカメラと望遠鏡を用いた意外なハッキング・ツールにご用心

　米国とドイツの研究チームはこのほど、Webカメラと望遠鏡という意外なハッキング・ツールを用いてコンピュータからデータを盗む2つの新手法を開発した。（2008年05月20日）

1万台以上のサーバがマルウェアに感染

　中国と台湾の数千にも及ぶWebサイトが、大規模なSQLインジェクション攻撃を受け、マルウェアを埋め込まれる事態に陥っている。今年1月から世界各地で発生しているSQLインジェクション攻撃は、地球規模で拡大しているようだ。（2008年05月20日）

第2回 偽造IDを使ってオンライン詐欺を追跡、逮捕へ

犯罪者の摘発は警察の仕事である。しかし、複雑化したインターネット犯罪に、警察が迅速に対処する可能性は低い。ならばインターネット犯罪には、自分が立ち向かうしかないのだろうか──。第2回目となる本稿では、偽装IDを作成し、みずからの命を危険にさらしながらも、オンライン詐欺師の現行犯逮捕に貢献したケースを紹介しよう。（2008年05月20日）

「今後攻撃はさらに激化する」と専門家は警鐘

　米国Trend Microのネットワーク・アーキテクト、ポール・ファーガソン（Paul Ferguson）氏は先ごろ、今年1月から急増しているWebサイトのハッキング被害件数が、50万件を突破したと語った。（2008年05月13日）

第1回 トロイの木馬を仕込んで児童ポルノを摘発

毒をもって毒を制す──。急速に普及したインターネット社会で暗躍する犯罪者を“あぶり出す”ためには、時として法律に抵触する危険もあるようだ。サイバー犯罪の最新動向を探る本連載で、最初に紹介するのは、ネット上に蔓延する違法な児童ポルノを摘発するため、「トロイの木馬型プログラム」を第三者のコンピュータに仕込んだ青年（当時）のケースである。法律を犯せば罰せられる。しかし、だれが彼の“罪”を非難できるのだろうか。（2008年05月13日）

「OSではなくSMMで稼働する、きわめて検知困難なソフト」

　米国のセキュリティ研究者が、新たなタイプのルートキットの開発につながる概念実証ソフトを開発した。同ソフトは、今年8月に米国ラスベガスで開催されるセキュリティ・コンファレンス「Black Hat」で公開される予定だ。（2008年05月12日）

「国連サイトの一部はまだハッキングされたままの状態だ」と専門家

　米国Websenseは4月22日、英国政府のWebサイトや国連のWebサイトなどを含む多数のWebサイトがハッキングされ、マルウェアをまき散らしているとの報告を発表した。（2008年04月24日）

個人情報の入力を促す従来手法に加え、トロイの木馬で情報収集を図る

　米国EMCのセキュリティ事業部門である米国RSA Securityは4月21日、大規模なフィッシング作戦を展開していることで悪名高いオンライン犯罪者集団「Rock Phish」が、新たな攻撃手法を使い始めたと発表した。（2008年04月22日）

マイスペースは「単なるシステム・エラー」と重要視せず

　世界ナンバー1の会員数を誇るSNS（ソーシャル・ネットワーキング・サービス）の「MySpace」で、新たなセキュリティ問題が発覚した。意図的にコード変更されたメンバーの「プロフィール」を閲覧しただけで、そのプロフィールを公開しているメンバーから、行動を追跡される可能性があるというのだ。（2008年04月18日）

すでに脆弱性は修正されているものの、専門家は「今後も同様の問題が発生する」と警告

　米国Googleが提供するWebアプリケーション「Google Spreadsheets」で、深刻な脆弱性が発見された。同脆弱性を攻撃者が悪用すれば、攻撃対象のユーザーが利用しているGoogleのWebアプリケーション・スイートすべてにアクセスできるという。（2008年04月17日）

リモート実行を許可する脆弱性にも対応、専門家は「早急に適用を」と呼びかけ

　米国Oracleは4月15日、同社のデータベースおよびアプリケーション・サーバ製品で発見された41件の脆弱性を修正する、セキュリティ修正パッチ「CPU（Critical Patch Update）」をリリースした。（2008年04月16日）

裁判所をかたる偽の召喚状を送りつけ、詐欺サイトへ誘導

特定の人物をターゲットに詐欺メールを送りつけ、悪意あるWebサイトに誘い込む、いわゆる「スピア・フィッシング（Spear Phishing）」攻撃が急増している。本稿では、4月14日に、CEOなど企業の経営者を標的に大量送信されたスピア・フィッシング・メールに関して、セキュリティ専門家などから寄せられたコメントを紹介する。（2008年04月15日）

3年前にも同様の脆弱性が大規模攻撃の対象に

　4月8日に配付された米国Microsoftのセキュリティ修正パッチをめぐり、ハッカーらは活動を活発化させているようだ。セキュリティ・ベンダーは4月10日、公開されたWindowsの脆弱性を悪用しようと狙っている動きがあると警告した。 （2008年04月11日）

RSAのCoviello社長「今後、求められるのは情報中心型のセキュリティ」

　「完璧なセキュリティを目指すのは時間とコストの無駄である。これからはリスクを分析しながら保護すべきデータを見定める、インフォメーション・セントリック（情報中心型）セキュリティのアプローチが求められるようになる」──そう主張するのは、米国RSA Security社長、アーサー・コヴィエロ・ジュニア（Arthur W.Coviello, Jr.）氏だ。同氏は4月8日、米国サンフランシスコで開催された「RSA Conference 2008」（4月7日〜11日開催）の基調講演に登壇し、企業が講じるべきセキュリティ対策のポイントについて語った。（2008年04月10日）

うち半分は2007年下半期に検出。「マルウェア作成の分業化が進行」と分析

　米国Symantecがセキュリティ脅威に関して半年ごとに発表しているリポート「Internet Security Threat Report」によると、2007年下半期には新種の悪性コードが急増し、同社が25年以上前に調査を開始して以来のマルウェア検出数累計が100万件を突破したという。（2008年04月09日）