ウイルス／ワーム／スパム対策

「今後も断続的に攻撃される可能性がある」と専門家は警鐘

　複数のネットワーク・セキュリティ・アナリストは、米国CNNのWebサイトに対するサイバー攻撃が断続的に行われていることを明らかにした。あるアナリストは、「先週末に一時沈静化したものの、今週に入ってから再び増加している。今後も攻撃は増加することが予想される」と指摘している。（2008年04月23日）

4カ月間で52万6,000台のPCからStormを除去

　米国Microsoftは4月22日、トロイの木馬型プログラム「Storm」から構成されるボットネットが弱体化していることを明らかにした。同社がWindowsユーザーに配布したマルウェア削除ツールが効力を発揮し、多くのPCからStormが除去されたという。（2008年04月23日）

個人情報の入力を促す従来手法に加え、トロイの木馬で情報収集を図る

　米国EMCのセキュリティ事業部門である米国RSA Securityは4月21日、大規模なフィッシング作戦を展開していることで悪名高いオンライン犯罪者集団「Rock Phish」が、新たな攻撃手法を使い始めたと発表した。（2008年04月22日）

マイスペースは「単なるシステム・エラー」と重要視せず

　世界ナンバー1の会員数を誇るSNS（ソーシャル・ネットワーキング・サービス）の「MySpace」で、新たなセキュリティ問題が発覚した。意図的にコード変更されたメンバーの「プロフィール」を閲覧しただけで、そのプロフィールを公開しているメンバーから、行動を追跡される可能性があるというのだ。（2008年04月18日）

すでに脆弱性は修正されているものの、専門家は「今後も同様の問題が発生する」と警告

　米国Googleが提供するWebアプリケーション「Google Spreadsheets」で、深刻な脆弱性が発見された。同脆弱性を攻撃者が悪用すれば、攻撃対象のユーザーが利用しているGoogleのWebアプリケーション・スイートすべてにアクセスできるという。（2008年04月17日）

リモート実行を許可する脆弱性にも対応、専門家は「早急に適用を」と呼びかけ

　米国Oracleは4月15日、同社のデータベースおよびアプリケーション・サーバ製品で発見された41件の脆弱性を修正する、セキュリティ修正パッチ「CPU（Critical Patch Update）」をリリースした。（2008年04月16日）

団体側／キャリア側とも持論を譲らず、意見書提出の応酬に

　移動体通信事業者（携帯電話キャリア）が他社からのテキスト・メッセージを受信拒否している現状に、米国の複数の権利擁護団体が異を唱えている。複数の団体は4月14日、これを米国連邦通信委員会（FCC）が規制しなければならないとし、FCCに意見具申書を提出した。（2008年04月15日）

裁判所をかたる偽の召喚状を送りつけ、詐欺サイトへ誘導

特定の人物をターゲットに詐欺メールを送りつけ、悪意あるWebサイトに誘い込む、いわゆる「スピア・フィッシング（Spear Phishing）」攻撃が急増している。本稿では、4月14日に、CEOなど企業の経営者を標的に大量送信されたスピア・フィッシング・メールに関して、セキュリティ専門家などから寄せられたコメントを紹介する。（2008年04月15日）

懸念されるスパム業者の大量アカウント取得――米国ウェブセンスが報告

　米国MicrosoftのWebメール・サービス「Windows Live Hotmail」が採用している画像認証システム「CAPTCHA（Completely Automated Public Turing Test to Tell Computers and Humans Apart）」が、新種のボットによって破られることが判明した。米国Websenseのセキュリティ研究者が4月11日に明らかにしたもの。（2008年04月14日）

3年前にも同様の脆弱性が大規模攻撃の対象に

　4月8日に配付された米国Microsoftのセキュリティ修正パッチをめぐり、ハッカーらは活動を活発化させているようだ。セキュリティ・ベンダーは4月10日、公開されたWindowsの脆弱性を悪用しようと狙っている動きがあると警告した。 （2008年04月11日）

企業向けセキュリティ製品群の次期版がパブリック・テストを開始

　米国Microsoftは4月8日、企業向け統合セキュリティ製品群「Forefront」の次期版（開発コード名：Stirling）のパブリック・ベータをリリースした。Forefrontは、クライアント／サーバ／ネットワーク境界のセキュリティを一元管理するソフトウェア群で、Stirlingとしては今回が初のパブリック・テストとなる。（2008年04月10日）

ハッキング・コンテスト入賞者も利用した危険度の高い脆弱性

　米国Adobe Systemsは4月9日、インタラクティブなWebサイトやバナー広告などのビジュアルに広く利用されている「Adobe Flash」フォーマットの再生ソフトウェア「Flash Player」におけるセキュリティ脆弱性7件を修正するアップデート版を公開した。（2008年04月10日）

RSAのCoviello社長「今後、求められるのは情報中心型のセキュリティ」

　「完璧なセキュリティを目指すのは時間とコストの無駄である。これからはリスクを分析しながら保護すべきデータを見定める、インフォメーション・セントリック（情報中心型）セキュリティのアプローチが求められるようになる」──そう主張するのは、米国RSA Security社長、アーサー・コヴィエロ・ジュニア（Arthur W.Coviello, Jr.）氏だ。同氏は4月8日、米国サンフランシスコで開催された「RSA Conference 2008」（4月7日〜11日開催）の基調講演に登壇し、企業が講じるべきセキュリティ対策のポイントについて語った。（2008年04月10日）

うち半分は2007年下半期に検出。「マルウェア作成の分業化が進行」と分析

　米国Symantecがセキュリティ脅威に関して半年ごとに発表しているリポート「Internet Security Threat Report」によると、2007年下半期には新種の悪性コードが急増し、同社が25年以上前に調査を開始して以来のマルウェア検出数累計が100万件を突破したという。（2008年04月09日）

まずはチリ、イタリア、スペイン、トルコで開始し、全世界への適用を検討

　米国Microsoftは、同社が偽物／海賊版と判断した「Microsoft Office」に対し、繰り返し警告を発するソフトウェアの試験利用プログラムをいくつかの国で間もなく開始する。4月8日、同社のライセンス違反対策グループの責任者が明らかにした。（2008年04月09日）

Mac OS版／Windows版の脆弱性に対応

　米国Appleは4月2日、「QuickTime」の脆弱性を修正する11件のソフトウェア・アップデート「QuickTime 7.4.5」を公開した。QuickTimeの脆弱性修正パッチの配布は、今年に入ってから3回目となる。（2008年04月04日）

マイクロソフトが緊急5件を含む8件の月例パッチを4月8日に公開

　米国Microsoftは4月3日、4月の月例パッチとして、Windows、IE、Officeなどの脆弱性を修正する8件のセキュリティ更新プログラムを8日にリリースすると発表した。8件のパッチのうち5件は危険度が最も高い「緊急」で、そのうち1件は、リリースされて間もないWindows Vista SP1と、Windows Server 2008も対象となっている。（2008年04月04日）

第4回 セキュリティ

もともとコミュニティ・ベースで開発が進められてきたオープンソース・ソフトウェアだが、今や多くの有力ベンダーがサポートし、企業が安心して利用できる環境が整っている。もちろん、OS、Webサーバ、メール・サーバなど、一部の分野では以前から企業利用が進んでいたが、最近は多様な分野において「エンタープライズ・オープンソース」が本格化しているのだ。本連載では、そうしたエンタープライズ・オープンソース・ソフトウェアを8分野に分け、各分野において特にすぐれたものを紹介していく。第4回目となる本稿では、セキュリティ分野における秀逸なソフトを取り上げる。（2008年04月02日）

「Linuxにだれも侵入できなかったのには驚いた」

　カナダのバンクーバーで開催されたセキュリティ・コンファレンス「CanSecWest 2008」のハッキング・コンテストにおいて、最初に陥落したのは米国Appleの「MacBook Air」であったが、コンテスト最終日にはWindows Vistaを搭載した富士通のノートPCが侵入を許した。だが、ハッキング・コンテストが3月28日に終了するまで、ソニーのノートPC「VAIO」上で稼働しているLinuxだけは、何者をも寄せ付けなかった。 （2008年03月31日）

「内部関係者が意図的に仕込んだ可能性もある」と専門家

　食品雑貨チェーン大手の米国Hannaford Bros.から最大420万件の顧客のカード情報が流出した事件で、同社は3月25日、侵入者は同社のニューイングランド、ニューヨーク、フロリダの各店舗のサーバにマルウェア・プログラムを仕込み、犯行に及んだことを明らかにした。（2008年03月31日）