セキュリティ・マネジメント

修正パッチは公開済み、「早急なアップデートを」と研究者が警告

　Adobe Reader 8.1.2以前のバージョンに潜む脆弱性を悪用し、システムに感染する攻撃用PDFファイルが発見されたとセキュリティ・アナリストが警告している。この脆弱性に対しては、先週4日に修正パッチが公開されたばかりだ。（2008年11月10日）

専用ハードウェアを採用した「UNIVERGE UnifiedWall」3モデル

　NECは11月10日、Check Point Software Technologies（以下、Check Point）製ソフトウェアを搭載したUTM（統合脅威管理）アプライアンス「UNIVERGE UnifiedWall」3モデルを販売開始した。（2008年11月10日）

セキュリティ研究者が「15分以内に解析可能な手法を発見」

　現在、多くの無線ネットワークで利用されているセキュリティ規格「WPA（Wi-Fi Protected Access）」で用いられている暗号鍵の一部を短時間で解析する手法を発見したとするセキュリティ研究者が現れた。TKIP（Temporal Key Integrity Protocol）で生成される暗号鍵（セッション・キー）を12〜15分という比較的短い時間で解析することができるという。（2008年11月07日）

Adobe Flash Playerのアップデートと見せかけて悪質なプログラムをインストール

　米国大統領選挙に決着が付いたのに乗じて、ハッカーが大がかりなマルウェア頒布作戦を進行中とのことだ。セキュリティ専門家によれば、米国Adobe Systemsの「Adobe Flash Player」をアップデートするように見せかけて、セキュリティ対策が不十分なPCにトロイの木馬を仕込もうとするという。（2008年11月06日）

返金の手続き方法を公表するのは常軌を逸している──英セキュリティベンダー

　セキュリティ・アナリストらが、先頃経営破綻したアイスランドの銀行に口座を持つ英国の預金者に向けて、フィッシング詐欺に注意すべきとの警鐘を鳴らしている。（2008年11月06日）

Google ChromeやMicrosoft IE 8の動きに追随したプライバシー保護モード

　Mozillaは、新ブラウザ「Firefox 3.1」の最新版テスト・ビルドに、ユーザーのプライバシーを守るブラウジング・モードを実装したことを明らかにした。このモードを使えば、キャッシュ・ファイルや履歴などからどんなページを見ていたのかが発覚することを防ぐことができる。（2008年11月05日）

ポリシーを守っていたら仕事にならないという現状も

米国EMCのセキュリティ事業部門であるRSAセキュリティは先ごろ、社員（雇用者）のセキュリティ意識に関する調査結果を発表した。それによると、多くの社員が任務を遂行するために、自社のセキュリティ・ポリシーをしばしば無視している現状が明らかになった。（2008年10月30日）

“暗号鍵の管理”や“バックアップ速度の低下”がネック

　英Thalesが発表した調査報告によれば、大半の企業は機密データを保護するために何らかの暗号化技術を導入しているが、バックアップ・テープに対しては暗号化をためらっている企業も多いという。（2008年10月29日）

グーグルは修正プログラムを開発中

　米国のセキュリティ・ベンダー、Independent Security Evaluators（ISE）は10月27日、米国Googleの携帯電話／モバイルOSプラットフォーム「Android」にセキュリティ上の脆弱性が存在することを明らかにした。この脆弱性はまだ修正されておらず、Android携帯電話のユーザーは情報を盗まれる可能性があると警告している。（2008年10月28日）

「サイト・マスキング」など新手の攻撃手法も

　ITセキュリティのコンファレンス「RSA Conference Europe 2008」においてセキュリティ専門家は、ハッカーらがGoogleなどの検索エンジンを利用し、重要なデータが保存されているWebアプリケーションに侵入するケースが急増していると警告した。（2008年10月28日）

RFIDタグの不正コピーにより「他人に成り済まして出入国することも可能」

　ワシントン大学の研究者らは、米国で今年から導入された2種類の出入国用カードについて、RFIDタグのデータを不正に読みだしたり不正にコピーしたりする攻撃を受けることで悪用されるおそれがあると警告している。（2008年10月27日）

マッシュアップの高度化でWebコンテンツの安全性を向上

　米国Microsoftは、10月27日（米国時間）からロサンゼルスで開催する開発者向け自社コンファレンス「PDC 2008」において、Webコンテンツを隔離して保護する新たなセキュリティ・プロジェクト「Web Sandbox」を発表する。（2008年10月27日）

データがどんな状態にあっても保護できるソリューションが必要

米国SafeNetは、2008年4月に暗号化技術を手がける米Ingrianを買収したほか、ここ数年で幾つかの技術の買収／売却を行い、企業のデータを直接的・統合的に保護する「Enterprise Data Protection」とデジタル著作権管理の「Software Right Management」の分野に注力することを表明している。企業のセキュリティの現状と同社の戦略について、社長兼COO（最高執行責任者）であるクリス・フェッド（Chris Fedde）氏に話を聞いた。（2008年10月24日）

「悪用されやすい脆弱性」とセキュリティ専門家が警鐘

　米国Microsoftが10月23日の朝、Windowsの「緊急」の脆弱性について詳細を明らかにしたところ、この脆弱性を利用する実証コードがほんの数時間で登場した。（2008年10月24日）

巧妙化するあらゆる攻撃からネットワークを守る

　電子メールやWebブラウザを経由した攻撃や、Webアプリケーションの脆弱性を突く攻撃は、日々巧妙化しており、一見普通のアクセスに見えてしまう。そのため、一般のファイアウォールやIDS／IPSでは検知・防衛することはできない。本ホワイトペーパーでは、アプリケーション通信をより細部までチェックして万全のセキュリティ基盤を提供するUTM（Unified Threat Management：統合脅威管理）の実力を明らかにするとともに、導入を効果的に進めるための実践的な手法を紹介する。（2008年10月23日）

半数以上の企業は従業員の仮想化ツール利用実態を把握せず

　英国Sophosが実施した最新の調査によると、半数以上の企業は、従業員がクライアントPC上で仮想化ツールを利用しているかどうかを把握していないという。こうした状況について同社は「企業は自らをサイバー攻撃のリスクにさらしている」と警告する。（2008年10月22日）

2,500人の会員を抱える闇サイト「DarkMarket」に潜入

　米国連邦捜査局（FBI）は10月16日、2年にわたるおとり捜査で56人のオンライン犯罪者を逮捕したと発表した。今回の逮捕により回避された経済的損失は数百万ドルに上ると、FBIでは見ている。（2008年10月17日）

クリップボード攻撃と併せ、新版で脆弱性を修正

　米国Adobe Systemsは10月15日、マルチメディア向けWebブラウザ・プラグインの最新版「Flash Player 10」をリリースした。GPUアクセラレーション機能の強化に加え、旧バージョンで指摘されていた「クリックジャック（clickjacking）攻撃」などに対する脆弱性が修正されている。（2008年10月16日）

「クラウド・サービスを含むあらゆる形態を駆使し統合的なソリューションを提供」

　電子メールのセキュリティ対策ソリューションを提供する日本プルーフポイント（Proofpoint）は2008年10月7日、日本市場向けに最新バージョンとなる「Proofpoint 5.5」を投入することを発表した。米国ProofpointのCEOを務めるゲイリー・スティール氏に、Proofpoint 5.5の特徴と日本市場での展開について話を聞いた。（2008年10月15日）

「テロリストの特定は消費者行動の分析のようにはいかない」と調査委員会

「複数の米国連邦機関がテロリストの疑いのある人物を特定するのに利用している、行動パターン特定データ・マイニングおよび態度観察（behavioral surveillance）技術の類は、信頼性があまりに低すぎて有効であるとは言いがたい」――。このような指摘が、米国学術研究会議（NRC：National Research Council）が最近発表した調査リポートでなされた。テクノロジーの平和利用を盾に、守られるべき国民のプライバシーが大きく損なわれるという警鐘を含む本リポートの内容が、今後論議を呼ぶのは必至だ。（2008年10月15日）