【 ここから本文 】
基本的なブール検索さえ処理できない
米国政府が推進しているテロ防止ITプロジェクト「Railhead」に対し、米国下院の小委員会が同プロジェクトの技術的な問題点を指摘している。小委員会によると同プロジェクトのシステムでは「and、or、not」などの演算子を使った基本的なブール検索さえ処理できないというのだ。(2008年08月28日)
機能の“実質的な用途”から「ポルノ・モード」と揶揄する声も
米国Microsoftは8月26日、Webブラウザ「Internet Explorer(IE)8)」に追加する3種類の新しいプライバシー・モード機能「InPrivate」の詳細を明らかにした。ブラウザのプライバシー・モードと聞いて、多くのユーザーが真っ先に思い浮かぶ用途はアダルト・サイト閲覧履歴の削除であることから、新しい機能の1つを“ポルノ・モード”と皮肉る向きもある。(2008年08月27日)
低価格化やサービスの多様化で、普及へ向けて“3度目の正直”となるか
企業の情報システムを担う次世代クライアント技術として「シン・クライアント」が注目を集めて久しい。これまで何度かブームを巻き起こしてきたが、そのたびに導入コストの高さなどがネックとなり、大規模な普及には至らなかった。だが、ここにきて端末価格の低価格化や仮想化技術の応用により、これまでの課題が克服されつつある。さらにシン・クライアントのホスティング・サービスが登場するなど、サービス形態も多様化してきた。そこで本稿では、今回のブームの背景とともに、進化するシン・クライアントの最新事情を解説する。(2008年08月14日)
EFFは「言論の自由を奪う決定だ」と反発
8月8日〜10日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「DEFCON 16」において、米国マサチューセッツ連邦地方裁判所は8月8日、8月10日に行われる予定だったマサチューセッツ湾交通局(MBTA)の電子切符システムの脆弱性に関するプレゼンテーションに対し、実施差し止めを命じる仮処分を決定した。結果、プレゼンテーションは行われなかったものの、電子フロンティア財団(EFF)はこの処分を不服とし、控訴する意向を明らかにした。(2008年08月12日)
スパム・メールだけではない、CAPTCHAクラッキングの弊害
「CAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans Apart)」は、Webサイト管理者が自サイトに訪れたユーザーを(人間かどうか)見極める簡単かつ有用な手段であったはずだ。しかし最近では、「スパム業者が悪事を働くためのツール」と成り果てている。本稿では、CAPTCHAを取り巻く現在の状況を整理するとともに、その将来性についてあらためて考えてみたい。(2008年08月11日)
パスワードの盗難や検索履歴が読み取られるおそれも
今、「Google Gadgets」の愛用者は、冷水を浴びせられた気分だろう。米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」(8月2日〜7日開催)において、2人の研究者がGoogle Gadgetsの(ショッキングな)問題を報告したからだ。(2008年08月08日)
世界規模で多発する脅威に対して、ITマネジャーがとりうる防御策とは?
最近、データベースと連動したWebサイトを改竄し、不正に情報を搾取する、いわゆる「SQLインジェクション攻撃」が世界規模で多発している。SQLインジェクション攻撃自体は昔から存在するものだが、その対策方法をきちんと把握している企業は案外少ないのではないだろうか。そこで本稿では、SQLインジェクション攻撃の現状を報告するとともに、企業が講じるべき対策のポイントを紹介することにしたい。(2008年08月08日)
容疑者11名の国籍は米国、エストニア、ウクライナ、中国……
数千万件に上るクレジットカードやデビットカードの番号を盗み出したとして、11人が起訴された。彼らはすぐれた“技術力”を駆使して犯行に及んでおり、その“人材”も世界中から集結していた。(2008年08月07日)
パートナー・ベンダーへの情報開示は10月から
米国Microsoftは8月5日、毎月繰り返されるハッカーたちとの“いたちごっこ”に対処するため、セキュリティ・ベンダーに対し、事前に脆弱性情報を開示する新プログラム「Microsoft Active Protections Program(MAPP)」を10月から開始すると発表した。(2008年08月06日)
「クライアント・ライブラリ適用パッチがリリースされていない」
7月上旬にDNS(Domain Name System)で重大な脆弱性が発見された問題で、セキュリティ専門家は、「先週リリースされた米国AppleのDNS脆弱性修正パッチでは、脆弱性は修正されない」と指摘し、ユーザーに注意を呼びかけている。(2008年08月06日)
数百人分のクレジットカード番号、パスポート情報が流出の疑い
米国で偽のオリンピック・チケット販売サイトを舞台にした詐欺事件が発生し、多くの被害者が出た。セキュリティ専門家は、今後も同様の事件が起こる可能性があると警告している。(2008年08月05日)
会計検査院が2007年9月時点のセキュリティ調査結果を報告
米国会計検査院(GAO)は7月27日、政府機関のノートPCやモバイル・デバイスに保存されている機密情報のうち、1年前の時点で暗号化されてデバイスは30%にすぎなかったとのセキュリティ調査リポートを発表した。この機密情報には米国民の個人情報も含まれる。近年、政府機関でデータのセキュリティ違反が相次いで発覚したにもかかわらずの実態に批判の声が寄せられている。(2008年07月30日)
Word/Google Desktopなど一般的なアプリケーションの使用時に漏洩が発生
米国Washington大学と英国British Telecommunications(BT)の共同研究チームはこのほど、コンピュータのハードディスク・ドライブ(HDD)を部分的に機密保護する目的で暗号化ソフトを使っているユーザーに対し、「Microsoft Office Word」といった一般的なアプリケーションの使用でデータが漏洩する可能性があると注意を促す論文を発表した。(2008年07月17日)
クラッカー/売人/マネジャー/プログラマーからなるピラミッド型で活動
サイバー犯罪者集団の指揮系統が“マフィア”に似てきている。このことは、サイバー犯罪がいかに広範かつ組織的な活動になってきているかを示している。(2008年07月16日)
紛失/盗難にあったノートPCを持ち主の下へ――商用版にどこまで対抗できるか
ノートPCをなくしてしまうのは、今や人生の一部をなくすのと同じだ。思い出の写真や好きな音楽、個人的な日記など、かけがえのないデジタル・データに永遠に別れを告げることになる。ましてや仕事用のノートPCともなれば、機密情報を漏らした張本人として処罰されかねない。そうしたなか、米国Washington大学とCalifornia大学San Diego校の共同研究チームは7月14日、持ち主の情報プライバシーを守りながら無料でノートPCを追跡してくれるオープンソース・ソフトウェア「Adeona」を発表した。(2008年07月15日)
DNSキャッシュ・ポイズニングの脆弱性などに対処
米国Microsoftは7月8日(日本時間9日)、4件の月例セキュリティ更新プログラムを公開した。これらは同社の「Exchange Server」「SQL Server」「Windows Server」「Windows Vista/XP/2000」に含まれる合計9つの脆弱性に対処するもので、いずれも深刻度は上から2番目のレベル「重要(Important)」となっている。(2008年07月09日)
ホームページの簡素なデザインを重視
米国Googleは7月3日、複数のプライバシー擁護団体からの要請に応じ、同社のプライバシー方針が掲載されている「Privacy Center」ページへのリンクをホームページに追加した。このリンクは、同社の著作権表示の横にあった社名の代わりに配置されたため、簡素なことで有名な同社ホームページの総ワード数は変わっていない。(2008年07月07日)
「旧ソ連のシンボルは表示禁止」法案の可決が引き金?
リトアニアのCERT(コンピュータ緊急対応チーム)は7月4日、たった1台の脆弱なWebサーバが原因となり、リトアニアの300近いWebサイトが攻撃を受けたことを明らかにした。(2008年07月07日)
過去16カ月で38万台余りのコンピュータが感染
感染したPCに潜伏して、システム管理者がログインしてMicrosoftの管理ツールを使うのを待ち、他のPCに感染を広げる――。こうした「トロイの木馬」プログラムが猛威を振るっているとして、セキュリティ・ベンダーが注意を呼びかけている。(2008年07月02日)
ブラウザ上でのあらゆる作業を追跡/捕捉されるおそれも
米国Microsoftが提供しているWebブラウザ「Internet Explorer(IE) 6」に、脆弱性対策が公開される前に攻撃される、いわゆる「ゼロデイ攻撃」の危険性が指摘されている。複数のセキュリティ研究者によると、IE 6には修正パッチが配布されていない脆弱性があり、クロスサイト・スクリプティング攻撃に遭うおそれもあるという。(2008年07月01日)
集計期間:08/29〜09/04
