セキュリティ・マネジメント

「Nortonの一部機能も原因」と責任の一部を認める

　米国Symantecは6月5日、無料のレジストリ・クリーンアップ・ツール「SymRegFix」のダウンロード配布を開始した。同社のセキュリティ・ソフトウェアが導入されたPCをWindows XP Service Pack 3（SP3）またはVista SP1にアップグレードすると、レジストリに不正なエントリが大量に追加される場合があり、SymRegFixはこれらのエントリを削除する。（2008年06月09日）

プライバシーとセキュリティのバランス／RFIDパスポートの問題点／企業によるITワーカーの素行調査……

米国R＆H Security ConsultingのCEO、ハワード・シュミット（Howard Schmidt）氏については、現職よりも31年間務めたホワイトハウス時代の経歴のほうが広く知られているだろう。Computerworld米国版は先ごろSchmidt氏へのインタビューを行い、プライバシーとセキュリティのバランス、RFIDパスポートの問題点、企業によるITワーカーの素行調査などについて同氏の意見を聞いた。（2008年06月09日）

セキュリティ専門家がSNSでの犯罪や情報プライバシー危機への対策を提言

FacebookやMySpaceなどのソーシャル・ネットワーキング・サービス（SNS）が若者を中心ににぎわっている。だが、こうしたSNSは現状、いくらでも年齢や性別を詐称して登録することができるので、サイバー犯罪の温床となる危険が指摘されている。解決策として、一部のセキュリティ専門家からは、メンバー登録時のクレジットカード提示の義務づけや“オンライン・セキュリティ新法”の制定といった提案があがっている。（2008年06月06日）

サードパーティ・プログラムを無効にする更新プログラムも公開か

　米国Microsoftは6月5日、来週10日に公開する月例セキュリティ更新プログラムに関する事前情報を発表した。6月の月例セキュリティ更新プログラムは、深刻度が「緊急」の3件を含む7件で、Bluetooth機能、DirectX、「Internet Explorer（IE）」といったWindowsコンポーネントの問題を修正するという。 （2008年06月06日）

香港は昨年28位→1位、中国は同11位→2位。いずれも「危険性が際立つ」との評価

　米国McAfeeは6月4日に発表した調査リポートの中で、香港や中国の国別ドメインを持つWebサイトを「セキュリティ上、最も危険性が高い」と指摘した。香港は昨年の28位から1位へ、中国も同11位から2位というように危険度が急上昇している。（2008年06月05日）

第4回 ボット犯罪者たちの「罪と罰」

ボットネットを使う犯罪者たちを捕らえるべく、FBIなどにより決行された「ボット・ローストII（Bot Roast II）」作戦。この作戦で逮捕されたサイバー犯罪者たちの人間性や犯行手口から、この種の犯罪に共通する犯行動機や犯行パターンが浮かび上がってきた。最終回となる今回は、犯罪者たちを分析するべく米国InfoWorldが独自に試みたプロファイリングのデータを披露しよう。（2008年06月03日）

顧客の目の動きを追跡できるシステムなど、技術の進歩も後押し

　米国の調査会社ABI Researchはこのほど、米国におけるビデオ監視ソフトの売上高が今後5年間で現在の4倍に増えるとの見通しを明らかにした。（2008年06月02日）

iCalのセキュリティ脆弱性には未対応

　米国Appleは5月28日、Mac OS X Leopardの最新アップデート「Mac OS X 10.5.3 Update」をリリースした。同アップデートには、安定性、互換性、セキュリティに関する70近くの改善とバグ・フィックスが含まれている。ただし、付属するiCalで見つかったセキュリティ脆弱性を修正するパッチは今回も見送られた。（2008年05月29日）

「SymProtect」の無効化の呼びかけと、不正なレジストリを削除するツールを準備中

　Windows XP Service Pack 3（SP3）をインストールしたPCの一部で発生しているレジストリ破損問題をめぐり、米国Symantecは、同社のコンシューマー向けセキュリティ製品「Norton」シリーズのユーザーに対し、XP SP3の導入時には同社製ソフトウェアの「SymProtect」機能を無効にするよう呼びかけている。（2008年05月28日）

22万件近くのWebページに悪意あるスクリプトが埋め込まれる

　米国Symantecは5月26日、米国Adobe Systemsの「Flash Player」の脆弱性を突く新種の攻撃について警告を発した。Symantecのセキュリティ対策チームでディレクターを務めるオリバー・フリードリッヒ（Oliver Friedrichs）氏は、「Flashの未パッチの脆弱性を突く攻撃が出回っていることを確認した」と注意を呼びかけている。（2008年05月28日）

企業の経営層を標的にした巧妙な詐欺メールが蔓延

　5月23日、複数のセキュリティ研究者ならびに米国政府が、蔓延の兆しを見せているフィッシング攻撃について一斉に警鐘を発した。それによると、連邦裁判所が発行した支払期限切れの納税通知書を装った詐欺メールが、CEOなど企業の経営層宛てに大量に送信されているという。その標的の中にはセキュリティ・ベンダーである米国McAfeeの幹部も含まれていた。（2008年05月27日）

「われわれが耳にするよりはるかに多くの事件が起きている」

　米国の調査会社Gartnerはこのほど、米国小売企業の半数近くが、これまでに何らかのデータ盗難被害に遭ったことがあるにもかかわらず、そうした事実はほとんど公表されていないとの調査リポートを発表した。（2008年05月27日）

NGNを基盤としたSaaS提供でも協業し、より強固な認証スキームを実現へ

　セールスフォース・ドットコム、NTTコミュニケーションズ、NTTの3社は5月26日、セールスフォースのSaaS型アプリケーション「Salesforce」をNGN（Next Generation Network）上で提供していくことで合意した。これに先立ち、NTTコムのVPN経由でSalesforceが利用できる「Salesforce over VPN powered by NTT Communications」（Salesforce over VPN）の提供を7月1日から開始する。（2008年05月26日）

米国小売り大手TJXの店舗スタッフの行動は「若さゆえの過ち」か？

　米国の小売り大手TJX Companiesの現場スタッフが、勤務中に発見した情報セキュリティ上の問題について公に発言したことで職を失った。このスタッフはカンザス大学の学生で、カンザス州ローレンスにあるT.J.Maxxパイン・リッジ・プラザ店で働いていたニック・ベンソン（Nick Benson）氏。同氏は電子メールでの取材に対し、専有情報の公表による社内ポリシー違反で5月21日に解雇されたと述べた。（2008年05月26日）

第3回 フィッシング対策の救世主

社会問題化するフィッシング詐欺への対策は、FBIの専門チームでも手を焼くほど複雑で困難とされる。そんななか、その解決に多大な貢献をしている、ある“救世主”が注目を集めている。ここでは、もともとは石油企業の一職員だったこの人物が、いかにしてフィッシング対策のエキスパートへの道を歩んだのか、その経緯をたどるとともに、フィッシング対策の難しさや被害者の取るべき活動について探った。（2008年05月26日）

Web 2.0や内部起因リスク、コンプライアンスとセキュリティの関係に着目せよ

IT市場調査会社の米国IDCは5月20日、シンガポールで情報セキュリティ関連コンファレンス「IDC Security Vision 2008」を開催した。「次世代セキュリティ――新世代の脅威に立ち向かう」をテーマにした同コンファレンスでは、今、企業・組織をとりまくセキュリティ上の脅威とそれらへの対処が業界のキーパーソンによって語られた。（2008年05月22日）

言葉巧みに「救済募金」を求める

　米国連邦捜査局（FBI）は5月20日、中国が大地震に見舞われた5月12日以降、「救済募金」を求める詐欺メールが米国内で急増していることを受け、これらのメールに応じないよう警告を発した。（2008年05月22日）

「セキュリティ問題ではない」としてアップルは対応を先送り

　マルウェア対策を推進する米国の非営利団体StopBadware.orgは5月19日、Webブラウザ「Safari」のエクスプロイト対策を強化し、悪意あるコードのダウンロード防止策を講じるよう米国Appleに対して要望書を提出した。（2008年05月22日）

評価プロセスの形骸化を批判する声が専門家の間で高まる

米国連邦議会の下院監査政府改革委員会は5月20日、2007年度における各政府機関のコンピュータ・セキュリティ対策に関する評価表を発表した。それによると、政府全体の総合評価は「C（可）」であった。その一方で、評価表とその基準となる内部セキュリティ報告書は、サイバー脅威に対する連邦機関の対応度を正確に反映していないと批判する声も上がっている。（2008年05月21日）

テロ対策の一環として監視を強化――議会からの反発は必至

　英国国内での通信は、すべて英国政府の監視下に置かれることになるかもしれない。巨大な中央集中型のデータ収集計画が実現すれば、の話だが……。（2008年05月21日）