セキュリティ・マネジメント

返金の手続き方法を公表するのは常軌を逸している──英セキュリティベンダー

　セキュリティ・アナリストらが、先頃経営破綻したアイスランドの銀行に口座を持つ英国の預金者に向けて、フィッシング詐欺に注意すべきとの警鐘を鳴らしている。（2008年11月06日）

Google ChromeやMicrosoft IE 8の動きに追随したプライバシー保護モード

　Mozillaは、新ブラウザ「Firefox 3.1」の最新版テスト・ビルドに、ユーザーのプライバシーを守るブラウジング・モードを実装したことを明らかにした。このモードを使えば、キャッシュ・ファイルや履歴などからどんなページを見ていたのかが発覚することを防ぐことができる。（2008年11月05日）

ポリシーを守っていたら仕事にならないという現状も

米国EMCのセキュリティ事業部門であるRSAセキュリティは先ごろ、社員（雇用者）のセキュリティ意識に関する調査結果を発表した。それによると、多くの社員が任務を遂行するために、自社のセキュリティ・ポリシーをしばしば無視している現状が明らかになった。（2008年10月30日）

“暗号鍵の管理”や“バックアップ速度の低下”がネック

　英Thalesが発表した調査報告によれば、大半の企業は機密データを保護するために何らかの暗号化技術を導入しているが、バックアップ・テープに対しては暗号化をためらっている企業も多いという。（2008年10月29日）

グーグルは修正プログラムを開発中

　米国のセキュリティ・ベンダー、Independent Security Evaluators（ISE）は10月27日、米国Googleの携帯電話／モバイルOSプラットフォーム「Android」にセキュリティ上の脆弱性が存在することを明らかにした。この脆弱性はまだ修正されておらず、Android携帯電話のユーザーは情報を盗まれる可能性があると警告している。（2008年10月28日）

「サイト・マスキング」など新手の攻撃手法も

　ITセキュリティのコンファレンス「RSA Conference Europe 2008」においてセキュリティ専門家は、ハッカーらがGoogleなどの検索エンジンを利用し、重要なデータが保存されているWebアプリケーションに侵入するケースが急増していると警告した。（2008年10月28日）

RFIDタグの不正コピーにより「他人に成り済まして出入国することも可能」

　ワシントン大学の研究者らは、米国で今年から導入された2種類の出入国用カードについて、RFIDタグのデータを不正に読みだしたり不正にコピーしたりする攻撃を受けることで悪用されるおそれがあると警告している。（2008年10月27日）

マッシュアップの高度化でWebコンテンツの安全性を向上

　米国Microsoftは、10月27日（米国時間）からロサンゼルスで開催する開発者向け自社コンファレンス「PDC 2008」において、Webコンテンツを隔離して保護する新たなセキュリティ・プロジェクト「Web Sandbox」を発表する。（2008年10月27日）

データがどんな状態にあっても保護できるソリューションが必要

米国SafeNetは、2008年4月に暗号化技術を手がける米Ingrianを買収したほか、ここ数年で幾つかの技術の買収／売却を行い、企業のデータを直接的・統合的に保護する「Enterprise Data Protection」とデジタル著作権管理の「Software Right Management」の分野に注力することを表明している。企業のセキュリティの現状と同社の戦略について、社長兼COO（最高執行責任者）であるクリス・フェッド（Chris Fedde）氏に話を聞いた。（2008年10月24日）

「悪用されやすい脆弱性」とセキュリティ専門家が警鐘

　米国Microsoftが10月23日の朝、Windowsの「緊急」の脆弱性について詳細を明らかにしたところ、この脆弱性を利用する実証コードがほんの数時間で登場した。（2008年10月24日）

巧妙化するあらゆる攻撃からネットワークを守る

　電子メールやWebブラウザを経由した攻撃や、Webアプリケーションの脆弱性を突く攻撃は、日々巧妙化しており、一見普通のアクセスに見えてしまう。そのため、一般のファイアウォールやIDS／IPSでは検知・防衛することはできない。本ホワイトペーパーでは、アプリケーション通信をより細部までチェックして万全のセキュリティ基盤を提供するUTM（Unified Threat Management：統合脅威管理）の実力を明らかにするとともに、導入を効果的に進めるための実践的な手法を紹介する。（2008年10月23日）

半数以上の企業は従業員の仮想化ツール利用実態を把握せず

　英国Sophosが実施した最新の調査によると、半数以上の企業は、従業員がクライアントPC上で仮想化ツールを利用しているかどうかを把握していないという。こうした状況について同社は「企業は自らをサイバー攻撃のリスクにさらしている」と警告する。（2008年10月22日）

2,500人の会員を抱える闇サイト「DarkMarket」に潜入

　米国連邦捜査局（FBI）は10月16日、2年にわたるおとり捜査で56人のオンライン犯罪者を逮捕したと発表した。今回の逮捕により回避された経済的損失は数百万ドルに上ると、FBIでは見ている。（2008年10月17日）

クリップボード攻撃と併せ、新版で脆弱性を修正

　米国Adobe Systemsは10月15日、マルチメディア向けWebブラウザ・プラグインの最新版「Flash Player 10」をリリースした。GPUアクセラレーション機能の強化に加え、旧バージョンで指摘されていた「クリックジャック（clickjacking）攻撃」などに対する脆弱性が修正されている。（2008年10月16日）

セキュリティ・ソフトの実態をセキュニアが指摘

　デンマークのセキュリティ・コンサルティング会社Secuniaは10月13日、現在市販されているセキュリティ・スイート製品のほとんどが、PCにインストール済みの各種ソフトウェアの脆弱性を突くエクスプロイトを十分に検知できないという調査結果を明らかにした。（2008年10月14日）

高いコスト・パフォーマンスと操作性――最新製品に備わる特徴と機能

　迅速にネットワーク系トラブルを解析し対応できる体制・仕組みの構築は、ネットワーク管理者の責務である。そうしたなかで今、注目されているのが、無線を同時にリアルタイムにパケット・キャプチャする「リアルタイムLANアナライザ」という製品分野だ。その代表的な製品にディアイティの「OmniPeek Family」（開発元：米国WildPackets）がある。同製品は、スタンドアロンのLANアナライザとしてだけでなく、分散した企業ネットワーク全体の一元的な常時監視を実現する。（2008年10月14日）

来週のベータ1版に続き、11月にはベータ2版をリリース

　米国Mozillaは10月9日、“Shiretoko”の開発コード名で呼んでいる「Firefox 3.1」にプライバシー・モード機能を搭載する方針を明らかにした。「Google Chrome」や「IE 8」に対抗するうえで不可欠と判断したと見られる。（2008年10月10日）

11件のうち7件がリモート・コード攻撃に対応する高レベル・パッチ

　米国Microsoftは10月9日、来週14日（日本時間15日）にリリースされる予定の11件の月例セキュリティ・パッチについての事前情報を公開した。今回のパッチの内容はWindows、Active Directory、Internet Explorer（IE）、Office、およびHost Integration Server（HIS）のバグを修正するものだ。 （2008年10月10日）

「脆弱性は少なくとも5つ」とセキュリティ専門家。対応急ぐベンダー各社

　インターネット基盤を支えるベンダー各社は現在、セキュリティに関する複数の脆弱性の修正作業に追われている。この脆弱性を悪用すると、ハッカーはサーバを簡単にオフライン化することができるという。（2008年10月06日）

RFIDの普及が進む反面、ハッキングの危険性も高まる

　米国カリフォルニア州議会は今週、他人のRFIDカードの無断読み取りを違法とする法案を可決した。（2008年10月03日）