セキュリティ・マネジメント

［米国］ アップル、iPhoneのセキュリティ修正パッチを9月に配布すると明言

ただし具体的な日程についてはコメントを避ける

　米国Appleは8月28日、「iPhone」に備わっているパスコード・ロック機能に脆弱性が存在することを認め、同脆弱性に適用する修正パッチを9月中に実施するソフトウェア・アップデートで配布すると発表した。ただし、具体的な配布日程は明らかにしていない。（2008年08月29日）

［米国／国内］ マイクロソフト、「IE 8」のベータ2をリリース

「すべてのユーザーに利用してほしい」とアピール

　米国Microsoftは8月27日、かねてからの約束どおり、次期Webブラウザ「Internet Explorer（IE）8」のベータ2をリリースした。ただし、最終版の出荷日については明らかにしていない。（2008年08月28日）

［米国］ 米国下院委員会、政府のテロ対策情報システムの問題点を指摘

基本的なブール検索さえ処理できない

　米国政府が推進しているテロ防止ITプロジェクト「Railhead」に対し、米国下院の小委員会が同プロジェクトの技術的な問題点を指摘している。小委員会によると同プロジェクトのシステムでは「and、or、not」などの演算子を使った基本的なブール検索さえ処理できないというのだ。（2008年08月28日）

［米国］ iPhoneのパスコード・ロック機能にまたもやバグ――最新ソフトウェア・アップデートで発見

緊急電話機能を利用すればロックを回避可能。修正パッチは今年1月に配布済み

　米国Appleのスマートフォン「iPhone」にはパスコードで全操作をロックする機能があるが、このパスコード・ロック機能を簡単に回避できるセキュリティ・バグがまたもや見つかった。同社は今年1月にこの問題を修正するパッチを配布しているが、今月リリースされた最新のソフトウェア・アップデートで再び同じ脆弱性が確認された。（2008年08月28日）

［米国］ マイクロソフト、「IE 8」に3種類のプライバシー・モード機能を追加へ

機能の“実質的な用途”から「ポルノ・モード」と揶揄する声も

　米国Microsoftは8月26日、Webブラウザ「Internet Explorer（IE）8）」に追加する3種類の新しいプライバシー・モード機能「InPrivate」の詳細を明らかにした。ブラウザのプライバシー・モードと聞いて、多くのユーザーが真っ先に思い浮かぶ用途はアダルト・サイト閲覧履歴の削除であることから、新しい機能の1つを“ポルノ・モード”と皮肉る向きもある。（2008年08月27日）

［国内］ センドメール、VMware対応のメール・セキュリティ仮想アプライアンスを発表

ゲートウェイ、スパム／ウイルス対策、情報漏洩対策などの機能を提供

　センドメールは8月26日、メール・セキュリティ仮想アプライアンス「Sentrion MPV」を発表した。同製品は、VMwareによる仮想化環境上で動作し、企業で扱う電子メールのセキュリティを確保するための諸機能を提供するもので、販売開始予定は今年12月末、出荷開始予定が2009年1月末となっている。（2008年08月26日）

［米国］ レッドハットのRHEL/Fedoraインフラ・サーバがハッキングされる

同社幹部、署名鍵のパスフレーズ漏洩など致命的な被害はないと強調

　米国Red Hatは8月22日、Fedoraパッケージの署名鍵のパスフレーズを格納したシステムを含む、Red Hat Enterprise Linux（RHEL）およびFedora Projectのインフラ・サーバが第三者によってハッキングされたことを明らかにし、経緯と講じた対策を説明した。（2008年08月25日）

［世界］ ノキア、Series 40の脆弱性の存在を認める

専門家の指摘で明らかに――情報提供料の支払いについては明言を避ける

　フィンランドのNokiaは8月21日、同社の携帯電話プラットフォーム「Series 40」に脆弱性が存在することを認めた。同脆弱性は、以前にも同社プラットフォームの脆弱性を発見したセキュリティ研究者の指摘によって明らかになったものである。なおNokiaは、同研究者が要求している“調査結果の対価”を支払ったかどうかについて明言を避けている。（2008年08月22日）

【解説】 ネットワーク・セキュリティ――最新の脅威とその対策

巧妙化が極まるクラッキング、増え続ける攻撃の手口

最近、正規のWebサイトを改竄してマルウェア感染サイトに誘導する攻撃が多発している。セキュリティの脅威の目的が営利化した結果、換金が容易なインターネット・ユーザーのアカウント情報が狙われるようになったからである。このような脅威に対して、企業・組織はどのような対策を講じればよいのだろうか。本稿では、ネットワーク・セキュリティ環境を取り巻く現状とリスクを明らかにしたうえで、最新の脅威に立ち向かうための具体的方策を提起したい。（2008年08月22日）

［国内］ KCCS、リモート・アクセス端末認証／検疫サービス「CAREN」を提供開始

社内イントラネットへのアクセス・セキュリティを強化

　京セラコミュニケーションシステム（以下、KCCS）は、企業イントラネットへのセキュアなリモート・アクセスをサポートする、リモート・アクセス端末認証・検疫サービス「CAREN（Controlled Access to Remote Enterprise Networks）」を提供開始すると発表した。（2008年08月21日）

［国内］ ミクシィがOpenIDに対応――“マイミクだけ”に閲覧可能な認証サービスも同時に提供

mixiのユーザーIDを1万以上のOpenID対応Webサイトで利用可能に

　ミクシィは8月20日、オープンな分散認証技術「OpenID」とSNS「mixi」のソーシャル・グラフ（人と人との相関図）を融合した認証サービス「mixi OpenID」の提供を開始したと発表した。同サービスは、さまざまなmixi関連サービスの構築を目指すプラットフォーム「mixi Platform」の第1弾となる。（2008年08月21日）

［国内］ トレンドマイクロ、潜在的な脅威を可視化する「Threat Management Solution」を発表

ネットワーク上の疑わしい挙動を検知・分析し、未知の不正プログラムに対応

　トレンドマイクロは8月20日、企業ネットワーク内の疑わしい挙動を検知・分析することで潜在的な脅威を可視化するとともに、パターン・ファイル対応前の潜在的な不正プログラムの検知とシステムの復旧、感染原因の分析を提供するセキュリティ対策ソリューション「Trend Micro Threat Management Solution」を発表した。（2008年08月20日）

［米国］ 反グルジア派のスパマー、ボットネット構築をねらって新種のスパム攻撃を実行

「ほとんどのウイルス対策ソフトは攻撃コードを検知不可」と専門家

　ロシアと紛争中のグルジアを目の敵とするハッカーらが新たなスパム攻撃を仕掛けている。この攻撃を通じ、新しいボットネットの構築をねらっているようだ。（2008年08月18日）

【解説】 進化する「シン・クライアント」――ブーム再来の背景と今後の展望

低価格化やサービスの多様化で、普及へ向けて“3度目の正直”となるか

企業の情報システムを担う次世代クライアント技術として「シン・クライアント」が注目を集めて久しい。これまで何度かブームを巻き起こしてきたが、そのたびに導入コストの高さなどがネックとなり、大規模な普及には至らなかった。だが、ここにきて端末価格の低価格化や仮想化技術の応用により、これまでの課題が克服されつつある。さらにシン・クライアントのホスティング・サービスが登場するなど、サービス形態も多様化してきた。そこで本稿では、今回のブームの背景とともに、進化するシン・クライアントの最新事情を解説する。（2008年08月14日）

［米国］【DEFCON】 マサチューセッツ連邦地裁、地下鉄のセキュリティ脆弱性に関するプレゼンに仮差し止め命令

EFFは「言論の自由を奪う決定だ」と反発

8月8日～10日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「DEFCON 16」において、米国マサチューセッツ連邦地方裁判所は8月8日、8月10日に行われる予定だったマサチューセッツ湾交通局（MBTA）の電子切符システムの脆弱性に関するプレゼンテーションに対し、実施差し止めを命じる仮処分を決定した。結果、プレゼンテーションは行われなかったものの、電子フロンティア財団（EFF）はこの処分を不服とし、控訴する意向を明らかにした。（2008年08月12日）

［米国］【DEFCON 】 ラスベガス上空から無線ネットワークを“ハッキング”――専門家が調査を実施

気球を使って無防備な無線ネットワークを探査。全体の約3分の1が「未暗号化状態」と判明

　8月8日、米国ラスベガスの目抜き通りであるLas Vegas Stripで、気球を使った“ウォードライビング（Wardriving）”が実施された。ウォードライビングとは、自動車にコンピュータを積み、街中を走りながら無防備な無線ネットワークを探し出す行為で、米国のセキュリティ・コンサルティング会社Tenacity Solutionsの上級研究員であるリック・ヒル（Rick Hill）氏と10数人のボランティアが、ラスベガスで開催中のセキュリティ・コンファレンス「DEFCON 16」（8月8日～10日開催）に合わせて実施したもの。（2008年08月11日）

［米国］ インテル、同社製CPUで発覚した2件の重大な脆弱性を修正

12件に及ぶ他の脆弱性については放置――「すべてのCPUには何らかの不具合がある」

　ロシアのセキュリティ専門家であるクリス・カスペルスキー（Kris Kaspersky）氏は、米国Intelから同社製CPUにおける2件の重大な脆弱性を修正したとの報告を受けたと発表した。同氏は、マレーシアのクアラルンプールで開催されるセキュリティ・コンファレンス「Hack In The Box（HITB）Security Conference」（10月27日～30日）において、同社製CPUの脆弱性を利用したデモンストレーションを行う予定だ。（2008年08月11日）

【解説】 CAPTCHA認証は“終わった”技術なのか――有効性を疑問視する専門家たち

スパム・メールだけではない、CAPTCHAクラッキングの弊害

「CAPTCHA（Completely Automated Public Turing Test to Tell Computers and Humans Apart）」は、Webサイト管理者が自サイトに訪れたユーザーを（人間かどうか）見極める簡単かつ有用な手段であったはずだ。しかし最近では、「スパム業者が悪事を働くためのツール」と成り果てている。本稿では、CAPTCHAを取り巻く現在の状況を整理するとともに、その将来性についてあらためて考えてみたい。（2008年08月11日）

［米国］【Black Hat USA 2008】 「Google Gadgetsを悪用すれば、マルウェアを強制インストールできる」――専門家が警鐘

パスワードの盗難や検索履歴が読み取られるおそれも

　今、「Google Gadgets」の愛用者は、冷水を浴びせられた気分だろう。米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」（8月2日～7日開催）において、2人の研究者がGoogle Gadgetsの（ショッキングな）問題を報告したからだ。（2008年08月08日）

［米国］【Black Hat USA 2008】 ルートキットのセッションが盛況、“新タイプ”のデモも相次ぐ