セキュリティ・マネジメント

「ほとんどのウイルス対策ソフトは攻撃コードを検知不可」と専門家

　ロシアと紛争中のグルジアを目の敵とするハッカーらが新たなスパム攻撃を仕掛けている。この攻撃を通じ、新しいボットネットの構築をねらっているようだ。（2008年08月18日）

EFFは「言論の自由を奪う決定だ」と反発

8月8日〜10日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「DEFCON 16」において、米国マサチューセッツ連邦地方裁判所は8月8日、8月10日に行われる予定だったマサチューセッツ湾交通局（MBTA）の電子切符システムの脆弱性に関するプレゼンテーションに対し、実施差し止めを命じる仮処分を決定した。結果、プレゼンテーションは行われなかったものの、電子フロンティア財団（EFF）はこの処分を不服とし、控訴する意向を明らかにした。（2008年08月12日）

気球を使って無防備な無線ネットワークを探査。全体の約3分の1が「未暗号化状態」と判明

　8月8日、米国ラスベガスの目抜き通りであるLas Vegas Stripで、気球を使った“ウォードライビング（Wardriving）”が実施された。ウォードライビングとは、自動車にコンピュータを積み、街中を走りながら無防備な無線ネットワークを探し出す行為で、米国のセキュリティ・コンサルティング会社Tenacity Solutionsの上級研究員であるリック・ヒル（Rick Hill）氏と10数人のボランティアが、ラスベガスで開催中のセキュリティ・コンファレンス「DEFCON 16」（8月8日〜10日開催）に合わせて実施したもの。（2008年08月11日）

12件に及ぶ他の脆弱性については放置――「すべてのCPUには何らかの不具合がある」

　ロシアのセキュリティ専門家であるクリス・カスペルスキー（Kris Kaspersky）氏は、米国Intelから同社製CPUにおける2件の重大な脆弱性を修正したとの報告を受けたと発表した。同氏は、マレーシアのクアラルンプールで開催されるセキュリティ・コンファレンス「Hack In The Box（HITB）Security Conference」（10月27日〜30日）において、同社製CPUの脆弱性を利用したデモンストレーションを行う予定だ。（2008年08月11日）

パスワードの盗難や検索履歴が読み取られるおそれも

　今、「Google Gadgets」の愛用者は、冷水を浴びせられた気分だろう。米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」（8月2日〜7日開催）において、2人の研究者がGoogle Gadgetsの（ショッキングな）問題を報告したからだ。（2008年08月08日）

NICチップセット・ベースやCisco IOS向けのルートキットが登場

　8月2日〜7日に米国ネバダ州ラスベガスで開催されたセキュリティ・コンファレンス「Black Hat USA 2008」では、昨年と同様、ルートキット（rootkit）に関するセッションが盛況であった。ここでは、そのうちのいくつかを紹介しよう。（2008年08月08日）

「リモート攻撃を許す可能性のある深刻な欠陥」と警告

　米国Microsoftは8月7日、来週リリース予定の月例セキュリティ更新プログラムについて、事前情報を発表した。今回のパッチは合計12件で、そのうち深刻度が最も高い「緊急」に分類された7件は、Windows、「Office」、「Internet Explorer（IE）」、Vistaにバンドルされている「Media Player」の脆弱性を修正するものだ。また残り5件は、2番目に深刻度の高い「重要」レベルに分類されている。（2008年08月08日）

「SSLはわれわれが思っているような万能薬ではない」と強調

　米国のセキュリティ・サービス企業IOActiveの研究者であるダン・カミンスキー（Dan Kaminsky）氏は、DNS（Domain Name System）プロトコルの欠陥を発見したことで一躍脚光を浴びて以来、早朝6時にフィンランドの証明書発行当局から電話がかかってきたり、セキュリティ業界の仲間から厳しいバッシングを浴びたり、また今週米国ラスベガスで開催されているセキュリティ・コンファレンス「Black Hat USA 2008」（8月2日〜7日開催）で講演する予定だった内容を漏らされたりと、散々な目にあってきた。だが、“インターネットにおける過去最大級のセキュリティ・ホール”として大きく取り上げられたDNS攻撃への対応策をひととおり済ませた8月6日、同氏は「もう一度やり直してもかまわない」と強い責任感をにじませた。（2008年08月07日）

容疑者11名の国籍は米国、エストニア、ウクライナ、中国……

　数千万件に上るクレジットカードやデビットカードの番号を盗み出したとして、11人が起訴された。彼らはすぐれた“技術力”を駆使して犯行に及んでおり、その“人材”も世界中から集結していた。（2008年08月07日）

パートナー・ベンダーへの情報開示は10月から

　米国Microsoftは8月5日、毎月繰り返されるハッカーたちとの“いたちごっこ”に対処するため、セキュリティ・ベンダーに対し、事前に脆弱性情報を開示する新プログラム「Microsoft Active Protections Program（MAPP）」を10月から開始すると発表した。（2008年08月06日）

「クライアント・ライブラリ適用パッチがリリースされていない」

　7月上旬にDNS（Domain Name System）で重大な脆弱性が発見された問題で、セキュリティ専門家は、「先週リリースされた米国AppleのDNS脆弱性修正パッチでは、脆弱性は修正されない」と指摘し、ユーザーに注意を呼びかけている。（2008年08月06日）

「被害が後を絶たないなか、対策を講じていないブラウザは危険」

　「MacユーザーはAppleの『Safari』ではなく、フィッシング対策を講じている『Firefox』や『Opera』のほうを使うべき」――非営利の消費者団体Consumers Unionが発行する月刊誌「Consumer Reports」は8月4日、インターネット・セキュリティの年次調査リポートにおいて、このような見解を明らかにした。（2008年08月05日）

数百人分のクレジットカード番号、パスポート情報が流出の疑い

　米国で偽のオリンピック・チケット販売サイトを舞台にした詐欺事件が発生し、多くの被害者が出た。セキュリティ専門家は、今後も同様の事件が起こる可能性があると警告している。（2008年08月05日）

IOCへの批判に強く反論。ただしIOC報道委員長の発言との食い違いも

　国際オリンピック委員会（IOC）のジャック・ロゲ（Jacques Rogge）会長は8月2日、北京オリンピック運営当局との間で、オリンピック期間中にインターネット・アクセス規制を行うことを容認するような取り引きはしていないと述べ、IOCのこの問題への対応に対する批判に強く反論した。（2008年08月04日）

「根本的な解決はまだ数週間先」とセキュリティ専門家

　DNS（Domain Name System）で重大な脆弱性が発見されてから1カ月近くが経過し、ファイアウォール・ソフトウェア・ベンダーの間ではようやく抜本的な対策に向けた動きが出始めている。（2008年08月04日）

会計検査院が2007年9月時点のセキュリティ調査結果を報告

　米国会計検査院（GAO）は7月27日、政府機関のノートPCやモバイル・デバイスに保存されている機密情報のうち、1年前の時点で暗号化されてデバイスは30％にすぎなかったとのセキュリティ調査リポートを発表した。この機密情報には米国民の個人情報も含まれる。近年、政府機関でデータのセキュリティ違反が相次いで発覚したにもかかわらずの実態に批判の声が寄せられている。（2008年07月30日）

「初期導入コストを従来比で最大30％削減可能」とし、SMBへの浸透をねらう

　NECは7月29日、Webフィルタリング機能を搭載したインターネット・アプライアンス・サーバ「Express5800/InterSecシリーズ」の新製品2機種を発表した。31日より出荷を開始している。（2008年07月29日）

脱獄から4日後、妻と3歳の娘を道連れ

　ペニー株（投機的な低位株）を推奨するスパム・メールの大量送信行為で有罪判決を受けたエディ・デビッドソン（Eddie Davidson）被告が、自宅のあるコロラド州ベネットで銃で自殺した。死ぬ前に妻と3歳の娘を殺害したもよう。米国司法省が7月24日に明らかにした。（2008年07月28日）

「検知不可能なフィッシング攻撃が行われるのも時間の問題」と専門家は警鐘

　7月上旬、DNS（Domain Name System）プロトコルの脆弱性の存在が明らかになったが、早くも同脆弱性を攻撃するコードが登場した。セキュリティ専門家は、「一刻も早く修正パッチを適用し、抜本的な対策を講じる必要がある」と警告している。（2008年07月25日）

フィッシング詐欺やスパム攻撃に遭うおそれ

　米国Appleの携帯端末iPhoneに搭載されている「Mail」と「Safari」で、セキュリティ上の脆弱性が複数発見された。これらが悪用されれば、ユーザーがフィッシング詐欺に遭ったり、ジャンク・メールを大量に送付されたりする可能性があるという。（2008年07月24日）