個人情報保護

［米国］ 小売り大手ハナフォードのカード情報流出事件、原因はサーバにマルウェア

「内部関係者が意図的に仕込んだ可能性もある」と専門家

　食品雑貨チェーン大手の米国Hannaford Bros.から最大420万件の顧客のカード情報が流出した事件で、同社は3月25日、侵入者は同社のニューイングランド、ニューヨーク、フロリダの各店舗のサーバにマルウェア・プログラムを仕込み、犯行に及んだことを明らかにした。（2008年03月31日）

［米国］ マイクロソフト、コンタクト・リストの共有で5つのSNSサイトと提携

Webメールからの招待でもアカウント情報をSNSへ通知不要に

　米国Microsoftは3月25日、同社のオンライン・プラットフォーム「Windows Live」のユーザーが、コンタクト・リストのデータを5つのSNSサイトと共有できるようにすると発表した。（2008年03月26日）

［米国］ オバマ上院議員の旅券記録に国務省職員が不正アクセス

問われる同省の情報管理体制

　米国国務省に勤務する3人の契約職員が、米国上院議員バラク・オバマ（Barack Obama）氏の旅券記録に繰り返し不正にアクセスしていたことが明らかになった。国務省の内部コンピュータ・システムはこの違反行為を察知し、違反者に警告したと見られているが、不正行為を事前にやめさせる機能は同システムには備わっていなかったようだ。（2008年03月24日）

［米国］ マイクロソフト、ルートキット検知ベンダーのコモクを買収

「Forefront」と「Windows Live OneCare」の機能強化の一環として

　米国Microsoftは3月20日、ルートキット検知ベンダーの米国Komokuを買収すると発表した。両社は買収金額などの条件を明らかにしていないが、買収取引は3月19日に完了しているという。（2008年03月21日）

［国内］ リバティ・アライアンス、OpenIDなど異種プロトコルとの相互運用シナリオを紹介

大規模組織のユースケースから20個のシナリオを抽出

　ユーザー認証技術の標準化団体であるリバティ・アライアンスは3月17日、都内で記者説明会を開き、同団体の日本における活動状況について報告した。異種プロトコル間にまたがるシングル・サインオン（SSO）の相互運用シナリオの抽出や、アイデンティティ情報の信頼性を保証するための取り組みなどが発表された。（2008年03月17日）

［英国］ Gmail経由のスパムが急増――CAPTCHA認証はもはや意味なし？

Gmailドメイン・スパムの全スパム中に占める割合が2.6％に

　電子メール・セキュリティ・ベンダー、英国MessageLabsの調査で、米国GoogleのWebメール・サービス「Gmail」のドメインから発信されるスパムの数が、この2月に倍増したことが判明した。Googleは、Gmailアカウントの大量取得や、その他のWebサイト乱用行為を防ぐため、歪んだ文字の書かれた画像を人間に識別させる認証技術「CAPTCHA」を導入しているが、スパマーにはあまり効果がないようだ。（2008年03月11日）

［米国］ 「ICカードの暗号は数分で解読可能」――RFIDのセキュリティ懸念広がる

揺らぐ「Mifare Classic」カードの信頼性。カード偽造や個人情報漏洩の危険性も

　昨年12月、ドイツの名高いハッカー・グループChaos Computer Club（CCC）がベルリンにて開催した「第24回会議（24th Congress）」において、3人の若いセキュリティ研究者が、RFID（無線ICタグ）を利用したスマートカードの不正読み取りが以前よりもはるかに容易かつ安価に行えるようになっているという事実をデモンストレーションを通じて実証した。それを機に、ICカードの脆弱性に対する関心が、セキュリティ・ハッカー以外の世界にも広がり始めている。（2008年03月10日）

［米国］ Microsoft、プライバシー保護技術「U-Prove」を買収

オンライン上での個人情報開示を必要最小限にとどめ、不正使用を防ぐ

　米国Microsoftは3月6日、プライバシー保護技術「U-Prove」を買収したと発表した。（2008年03月07日）

［世界］ Microsoft、月例パッチを11日に公開――Officeのみ4件、すべて緊急

Outlook、Excel、Office Web Componentsのバグに対応

　米国Microsoftは3月6日、3月の月例パッチとして、Microsoft Officeの全バージョンに向けた4件のセキュリティ更新プログラムを3月11日にリリースすると発表した。いずれも危険度が最も高い「緊急」に位置づけている。（2008年03月07日）

［国内］ 日立、文書の長期保管に特化したストレージの機能強化版を発表

きめ細かなシステム／セキュリティ管理を可能にする新機能を実装

　日立製作所は3月5日、同社のコンテンツ・アーカイブ専用ストレージ・アプライアンス「Hitachi Content Archive Platform」の機能強化モデルを発表した。同アプライアンスは、電子メール、契約書、公的文書などの重要コンテンツを長期保管するための製品である。（2008年03月05日）

［米国］【CompTIA調査】 ITスタッフにセキュリティ・スキルを強く求めるも、十分なレベルに達せず

スキル不足の原因を半数以上が「技術進化のペースが速すぎるから」と回答

　米国CompTIA（Computing Technology Industry Association：コンピュータ技術産業協会）は先ごろ、ITスタッフのセキュリティ・スキルに関する調査を実施した。調査の結果から、大半の企業・組織がセキュリティ、ファイアウォール、データ・プライバシーに関するスキルを有したITスタッフを求めているものの、自社の社員がそうした技術に十分習熟していないと全体の40％が考えていることがわかった。（2008年02月28日）

［国内］ 国内でOpenID推進団体が設立へ――4月に正式発足

参加メンバーにはヤフー、ミクシィも

　野村総合研究所、シックス・アパート、日本ベリサインの3社は2月28日、日本国内におけるOpenIDの普及促進を目指す非営利団体「（仮称）OpenIDファウンデーション・ジャパン」の設立へ向けた活動を開始したと発表した。今年4月の設立に向け現在準備を進めている。（2008年02月28日）

［英国］ 英国政府の児童データベース構想に、専門家がセキュリティ強化を勧告

政府は「第三者がシステム稼働前に設計・実装の見直しを行う」と回答

　英国政府が2億2,400万ユーロ（4億4,800万米国ドル）を投じての構築を計画している同国全児童データベース「ContactPoint」について、専門家らからは、現状では完全な安全性が確保できないとして、報告者を作成し政府に勧告している。（2008年02月25日）

［米国］ 仮想サーバの脆弱性は仮想マシンにあり――研究者がBlack Hatで講演へ

「仮想マシンが物理サーバ間を移行するときに攻撃を受けやすい」

　「仮想化技術の最たる魅力の1つは、必要に応じて瞬時に仮想サーバを複製できる点にある。しかし、このことはデータ盗難やサービス拒否といったセキュリティ面での深刻な弱点にもなっている」。仮想化技術に潜む脅威について、このように指摘する研究者の講演が、2月18日から21日までワシントンD.C.で開催される「Black Hat DC 2008」で予定されている。（2008年02月18日）

［世界］【Sophos調査】 2007年4Qのスパム中継国ランキング、ロシアが2位に急浮上

専門家は「ボットに感染したPCの存在が大きい」と指摘

　英国のセキュリティ・ベンダーSophosは2月11日、2007年第4四半期（10－12月期）のスパム調査リポートを発表した。それによると、昨年1年間でロシアからのスパム発信数が急激に増加し、トップの米国に次ぐ第2位となったことが明らかになった。過去の超大国は、「スパム超大国」という不名誉な地位を確立してしまったようだ。（2008年02月13日）

［米国］ Apple、今年初のMac OS X向けセキュリティ・アップデートを公開

Leopardの最新アップデート「Mac OS X v10.5.2」も同時リリース

　米国Appleは2月11日、Mac OS Xに含まれる少なくとも10件の脆弱性を修正する今年初のセキュリティ・アップデート「Security Update 2008-001」と、Mac OS X Leopardの最新アップデート「Mac OS X 10.5.2 Update」を公開した。（2008年02月12日）

［米国］ 「緊急」が7件、Macにも対応――Microsoftが月例パッチを12日に公開