セキュリティ・マネジメント

「OSではなくSMMで稼働する、きわめて検知困難なソフト」

　米国のセキュリティ研究者が、新たなタイプのルートキットの開発につながる概念実証ソフトを開発した。同ソフトは、今年8月に米国ラスベガスで開催されるセキュリティ・コンファレンス「Black Hat」で公開される予定だ。（2008年05月12日）

Google Appsの1サービスとして、年額36ドルから提供

　米国Googleは5月8日、企業向けのWebセキュリティ・ホスティング・サービス「Google Web Security for Enterprise」を発表した。企業のインターネット・ユーザーをマルウェア攻撃からリアルタイムに保護する各種機能が提供される。（2008年05月09日）

5月13日に公開開始。懸案だった「Jet Database Engine」のバグも解消へ

　米国Microsoftは5月8日、5月13日に公開する月例セキュリティ更新プログラムを事前発表した。今月の月例セキュリティ更新プログラムは合計4件で、Windows、「Microsoft Word」、「Microsoft Publisher」、Microsoftの全マルウェア対策ソフトウェア（「Microsoft Antigen」「Microsoft Forefront Security」「Windows Live OneCare」「Windows Defender」）の問題を修正する。（2008年05月09日）

ビジネス・スピードのアップと業務処理コストの低減を実現

　機械工具／機器の大手メーカー、米国スナップ・オン（Snap-on）のグリープ会社として、金融サービスを提供しているスナップ・オン・クレジット（Snap-on Credit）は先ごろ、Snap-on製品を購入した顧客とのクレジット契約を合理化するインテリジェントな電子フォーム・アプリケーションを構築した。この仕組みにより、スナップ・オンと、その販売店とを結ぶビジネス・プロセスは大幅に効率化されたという。（2008年05月01日）

CAPTCHAの有効性を疑問視する声も

　米国Googleのブログ・サービス「Blogger」にスパマーが偽のブログを自動作成するという行為が広がっており、大量アカウント登録を防ぐために導入されたCAPTCHAの有効性が疑問視される事態となっている。 （2008年04月28日）

「国連サイトの一部はまだハッキングされたままの状態だ」と専門家

　米国Websenseは4月22日、英国政府のWebサイトや国連のWebサイトなどを含む多数のWebサイトがハッキングされ、マルウェアをまき散らしているとの報告を発表した。（2008年04月24日）

「今後も断続的に攻撃される可能性がある」と専門家は警鐘

　複数のネットワーク・セキュリティ・アナリストは、米国CNNのWebサイトに対するサイバー攻撃が断続的に行われていることを明らかにした。あるアナリストは、「先週末に一時沈静化したものの、今週に入ってから再び増加している。今後も攻撃は増加することが予想される」と指摘している。（2008年04月23日）

4カ月間で52万6,000台のPCからStormを除去

　米国Microsoftは4月22日、トロイの木馬型プログラム「Storm」から構成されるボットネットが弱体化していることを明らかにした。同社がWindowsユーザーに配布したマルウェア削除ツールが効力を発揮し、多くのPCからStormが除去されたという。（2008年04月23日）

自由な情報デリバリーと強固な情報漏洩対策の両立に向けて

情報セキュリティ対策の必要性が強く叫ばれてすでに久しい。だが、企業が多大なコストと時間を費やしてきたにも関わらず、情報漏洩をはじめとする情報セキュリティにまつわる事件は依然として減少の兆しさえ見えていないのが実情だ。その一方で、情報セキュリティを厳重にするあまり、部門間や取引企業間での情報の連携や共有に制約が生まれてしまい、ビジネスの柔軟性が損なわれるといった問題も浮上している。こうした問題を解決するために企業はどのような取り組みを進めていけばよいのか。本稿では、強固な情報漏洩防止対策と自由な情報デリバリーとを両立させる新たな方策について検証する。（2008年04月23日）

個人情報の入力を促す従来手法に加え、トロイの木馬で情報収集を図る

　米国EMCのセキュリティ事業部門である米国RSA Securityは4月21日、大規模なフィッシング作戦を展開していることで悪名高いオンライン犯罪者集団「Rock Phish」が、新たな攻撃手法を使い始めたと発表した。（2008年04月22日）

マイスペースは「単なるシステム・エラー」と重要視せず

　世界ナンバー1の会員数を誇るSNS（ソーシャル・ネットワーキング・サービス）の「MySpace」で、新たなセキュリティ問題が発覚した。意図的にコード変更されたメンバーの「プロフィール」を閲覧しただけで、そのプロフィールを公開しているメンバーから、行動を追跡される可能性があるというのだ。（2008年04月18日）

すでに脆弱性は修正されているものの、専門家は「今後も同様の問題が発生する」と警告

　米国Googleが提供するWebアプリケーション「Google Spreadsheets」で、深刻な脆弱性が発見された。同脆弱性を攻撃者が悪用すれば、攻撃対象のユーザーが利用しているGoogleのWebアプリケーション・スイートすべてにアクセスできるという。（2008年04月17日）

製造段階でのCPUすり替えなど、資金／人材が潤沢な組織でないと実行不可能？

　ハッカーは長年、コンピュータ・システムへの不正アクセス手段として、ソフトウェアのバグ探しに力を注いできたが、最近になってシステムへの新たな侵入手口が登場した。CPUへのハッキングである。 （2008年04月16日）

リモート実行を許可する脆弱性にも対応、専門家は「早急に適用を」と呼びかけ

　米国Oracleは4月15日、同社のデータベースおよびアプリケーション・サーバ製品で発見された41件の脆弱性を修正する、セキュリティ修正パッチ「CPU（Critical Patch Update）」をリリースした。（2008年04月16日）

団体側／キャリア側とも持論を譲らず、意見書提出の応酬に

　移動体通信事業者（携帯電話キャリア）が他社からのテキスト・メッセージを受信拒否している現状に、米国の複数の権利擁護団体が異を唱えている。複数の団体は4月14日、これを米国連邦通信委員会（FCC）が規制しなければならないとし、FCCに意見具申書を提出した。（2008年04月15日）

AIRとの違いは企業向け機能の充実。ベータ版を来週公開へ

　リッチ・クライアント開発言語「Curl」の提供元として知られる米国Curlは来週、企業向けRIAランタイム・ソフト「Nitro」のベータ版を公開する。他のRIAプラットフォームと同様、NitroもRIAのオフライン動作モードを備えている。（2008年04月15日）

懸念されるスパム業者の大量アカウント取得――米国ウェブセンスが報告

　米国MicrosoftのWebメール・サービス「Windows Live Hotmail」が採用している画像認証システム「CAPTCHA（Completely Automated Public Turing Test to Tell Computers and Humans Apart）」が、新種のボットによって破られることが判明した。米国Websenseのセキュリティ研究者が4月11日に明らかにしたもの。（2008年04月14日）

脆弱なIE 6に加え、ファジング・ツールの存在も影響

　米国Symantecが年2回発行しているWebセキュリティ・リポートによると、2007年下半期にWebブラウザ・プラグインで見つかった脆弱性のうち、ActiveXにまつわるものが最も多くを占めたという。（2008年04月14日）

3年前にも同様の脆弱性が大規模攻撃の対象に

　4月8日に配付された米国Microsoftのセキュリティ修正パッチをめぐり、ハッカーらは活動を活発化させているようだ。セキュリティ・ベンダーは4月10日、公開されたWindowsの脆弱性を悪用しようと狙っている動きがあると警告した。 （2008年04月11日）

企業向けセキュリティ製品群の次期版がパブリック・テストを開始

　米国Microsoftは4月8日、企業向け統合セキュリティ製品群「Forefront」の次期版（開発コード名：Stirling）のパブリック・ベータをリリースした。Forefrontは、クライアント／サーバ／ネットワーク境界のセキュリティを一元管理するソフトウェア群で、Stirlingとしては今回が初のパブリック・テストとなる。（2008年04月10日）