セキュリティ・マネジメント

NICチップセット・ベースやCisco IOS向けのルートキットが登場

　8月2日〜7日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」では、昨年と同様、ルートキット（rootkit）に関するセッションが盛況であった。ここでは、そのうちのいくつかを紹介しよう。（2008年08月08日）

「リモート攻撃を許す可能性のある深刻な欠陥」と警告

　米国Microsoftは8月7日、来週リリース予定の月例セキュリティ更新プログラムについて、事前情報を発表した。今回のパッチは合計12件で、そのうち深刻度が最も高い「緊急」に分類された7件は、Windows、「Office」、「Internet Explorer（IE）」、Vistaにバンドルされている「Media Player」の脆弱性を修正するものだ。また残り5件は、2番目に深刻度の高い「重要」レベルに分類されている。（2008年08月08日）

世界規模で多発する脅威に対して、ITマネジャーがとりうる防御策とは？

最近、データベースと連動したWebサイトを改竄し、不正に情報を搾取する、いわゆる「SQLインジェクション攻撃」が世界規模で多発している。SQLインジェクション攻撃自体は昔から存在するものだが、その対策方法をきちんと把握している企業は案外少ないのではないだろうか。そこで本稿では、SQLインジェクション攻撃の現状を報告するとともに、企業が講じるべき対策のポイントを紹介することにしたい。（2008年08月08日）

「SSLはわれわれが思っているような万能薬ではない」と強調

　米国のセキュリティ・サービス企業IOActiveの研究者であるダン・カミンスキー（Dan Kaminsky）氏は、DNS（Domain Name System）プロトコルの欠陥を発見したことで一躍脚光を浴びて以来、早朝6時にフィンランドの証明書発行当局から電話がかかってきたり、セキュリティ業界の仲間から厳しいバッシングを浴びたり、また今週米国ラスベガスで開催されているセキュリティ・コンファレンス「Black Hat USA 2008」（8月2日〜7日開催）で講演する予定だった内容を漏らされたりと、散々な目にあってきた。だが、“インターネットにおける過去最大級のセキュリティ・ホール”として大きく取り上げられたDNS攻撃への対応策をひととおり済ませた8月6日、同氏は「もう一度やり直してもかまわない」と強い責任感をにじませた。（2008年08月07日）

容疑者11名の国籍は米国、エストニア、ウクライナ、中国……

　数千万件に上るクレジットカードやデビットカードの番号を盗み出したとして、11人が起訴された。彼らはすぐれた“技術力”を駆使して犯行に及んでおり、その“人材”も世界中から集結していた。（2008年08月07日）

パートナー・ベンダーへの情報開示は10月から

　米国Microsoftは8月5日、毎月繰り返されるハッカーたちとの“いたちごっこ”に対処するため、セキュリティ・ベンダーに対し、事前に脆弱性情報を開示する新プログラム「Microsoft Active Protections Program（MAPP）」を10月から開始すると発表した。（2008年08月06日）

「クライアント・ライブラリ適用パッチがリリースされていない」

　7月上旬にDNS（Domain Name System）で重大な脆弱性が発見された問題で、セキュリティ専門家は、「先週リリースされた米国AppleのDNS脆弱性修正パッチでは、脆弱性は修正されない」と指摘し、ユーザーに注意を呼びかけている。（2008年08月06日）

「被害が後を絶たないなか、対策を講じていないブラウザは危険」

　「MacユーザーはAppleの『Safari』ではなく、フィッシング対策を講じている『Firefox』や『Opera』のほうを使うべき」――非営利の消費者団体Consumers Unionが発行する月刊誌「Consumer Reports」は8月4日、インターネット・セキュリティの年次調査リポートにおいて、このような見解を明らかにした。（2008年08月05日）

数百人分のクレジットカード番号、パスポート情報が流出の疑い

　米国で偽のオリンピック・チケット販売サイトを舞台にした詐欺事件が発生し、多くの被害者が出た。セキュリティ専門家は、今後も同様の事件が起こる可能性があると警告している。（2008年08月05日）

他愛ない行為が、刑事事件にまで発展するおそれも

席を外している同僚のコンピュータのそばを通りかかり、電子メールをのぞいてみようと思ったことはないだろうか。あるいは、ほんのいたずら心で同僚のメール・パスワードを探り出し、仕事用のメール・アカウントに勝手にアクセスしようと思ったことは？――単なる悪ふざけや害のない盗み見のつもりでも、そのせいで思わぬ窮地に陥るかもしれないことを、少なくとも企業ユーザーは知っておくべきである。場合によっては、勤務先解雇だけでなく、連邦犯罪に問われるおそれもあるのだ。（2008年08月04日）

IOCへの批判に強く反論。ただしIOC報道委員長の発言との食い違いも

　国際オリンピック委員会（IOC）のジャック・ロゲ（Jacques Rogge）会長は8月2日、北京オリンピック運営当局との間で、オリンピック期間中にインターネット・アクセス規制を行うことを容認するような取り引きはしていないと述べ、IOCのこの問題への対応に対する批判に強く反論した。（2008年08月04日）

「根本的な解決はまだ数週間先」とセキュリティ専門家

　DNS（Domain Name System）で重大な脆弱性が発見されてから1カ月近くが経過し、ファイアウォール・ソフトウェア・ベンダーの間ではようやく抜本的な対策に向けた動きが出始めている。（2008年08月04日）

自社のIT／情報資産を取り巻く脅威を知り、バランスのとれた対策を実施する

企業・組織において情報セキュリティ・マネジメント体制／基盤を確立することは、ビジネスとITの両面の課題をクリアしつつ事業を継続・成長させていくうえでの大前提である。本稿では、今日求められる経営課題を踏まえながら、情報セキュリティに関するインシデントの動向や標準規格の概況、全社的な対策の実施時に留意すべきポイントなどを紹介・解説することで、時代の要請に応えうる情報セキュリティ・マネジメントを構築するためのガイドラインを示してみたい。（2008年07月31日）

会計検査院が2007年9月時点のセキュリティ調査結果を報告

　米国会計検査院（GAO）は7月27日、政府機関のノートPCやモバイル・デバイスに保存されている機密情報のうち、1年前の時点で暗号化されてデバイスは30％にすぎなかったとのセキュリティ調査リポートを発表した。この機密情報には米国民の個人情報も含まれる。近年、政府機関でデータのセキュリティ違反が相次いで発覚したにもかかわらずの実態に批判の声が寄せられている。（2008年07月30日）

「初期導入コストを従来比で最大30％削減可能」とし、SMBへの浸透をねらう

　NECは7月29日、Webフィルタリング機能を搭載したインターネット・アプライアンス・サーバ「Express5800/InterSecシリーズ」の新製品2機種を発表した。31日より出荷を開始している。（2008年07月29日）

脱獄から4日後、妻と3歳の娘を道連れ

　ペニー株（投機的な低位株）を推奨するスパム・メールの大量送信行為で有罪判決を受けたエディ・デビッドソン（Eddie Davidson）被告が、自宅のあるコロラド州ベネットで銃で自殺した。死ぬ前に妻と3歳の娘を殺害したもよう。米国司法省が7月24日に明らかにした。（2008年07月28日）

マーケティングなどへの活用で、監視ソフト市場は拡大

ビデオ監視技術のインテリジェント化が進むにつれて、従来とは異なるフィールドで同技術を活用する動きが広がっている。かつては犯罪防止やテロ対策に使われることが多かったが、最近ではマーケティングに利用する小売企業も出てきた。こうしたニーズの広がりを受け、ビデオ監視ソフトウェア市場も急速に拡大中だ。（2008年07月25日）

「検知不可能なフィッシング攻撃が行われるのも時間の問題」と専門家は警鐘

　7月上旬、DNS（Domain Name System）プロトコルの脆弱性の存在が明らかになったが、早くも同脆弱性を攻撃するコードが登場した。セキュリティ専門家は、「一刻も早く修正パッチを適用し、抜本的な対策を講じる必要がある」と警告している。（2008年07月25日）

「優秀なネットワーク管理者である私に嫉妬した上司らにはめられた」と容疑者

7月上旬、米国サンフランシスコ市のネットワーク管理者が同市WANの大規模接続障害を引き起こしたとして起訴され、刑務所に収監された。今週、同市市長は、収監中の容疑者と前代未聞の面会をはたしたが、同市の行政を支えるネットワークにおける大規模なトラブルはいまだに続いている。（2008年07月24日）

フィッシング詐欺やスパム攻撃に遭うおそれ

　米国Appleの携帯端末iPhoneに搭載されている「Mail」と「Safari」で、セキュリティ上の脆弱性が複数発見された。これらが悪用されれば、ユーザーがフィッシング詐欺に遭ったり、ジャンク・メールを大量に送付されたりする可能性があるという。（2008年07月24日）