「情報セキュリティ読本 三訂版 IT時代の危機管理入門」（編著：情報処理推進機構）、A5判／144ページ、ISBN：ISBN978-4-407-31800-5、定価500円、実教出版 情報処理推進機構（IPA）は、コンピュータユーザー向けの情報セキュリティ教本「情報セキュリティ読本 三訂版」（実教出版）を刊行した。8月10日ごろから全国の書店で販売されている。 同書は、2006年11月に刊行した前回の内容を最新のセキュリティ環境の変化に合わせて改訂したもの。ボットを使用した攻撃や標的型攻撃、フィッシング詐欺など、近年の攻撃手法と被害事例を解説するとともに、企業などの組織に求められるリテラシーや倫理などの項が加わった。 特に攻撃手法の解説では、脆弱性を悪用する攻撃としてDNSキャッシュポイズニングやSQLインジェクション攻撃を追加。用語集では新しい用語を追加し、解説ページの番号を付記するなど

「Snow Leopard」のセキュリティは企業にとって十分か？：Windows 7と渡り合えるのか（1/2 ページ） Appleは9月にMicrosoftは10月にそれぞれOSの新バージョンを発売する予定だ。Appleは新OS「Snow Leopard」をWindowsよりセキュアだとうたっているが、本当だろうか。 企業ユーザーにとって、セキュリティは常に大きな関心事だ。多くの企業では、毎日のように社外に出歩く従業員のノートPCにも重要な業務データが保存されている。また、悪質なハッカーは企業の機密データにアクセスしたり、情報を盗んだり、あるいは単に混乱を引き起こしたりするために、社内ネットワークに侵入する策略を絶えず練っている。ITマネジャーはこのことを念頭に置き、優れたセキュリティソフトウェアを採用するとともに、従業員の安全とセキュリティについて常に心配しなければならない。これは大変な

処分だけでは済まされない さて、N氏の今後の処遇については、人事部や上司である支店長などが検討しました。N氏本人が流出させたわけではないものの、無罪放免では済みません。社会が納得するであろうとして、依願退職という形になりました。しかし、N氏は50代です。この状況下では、簡単には就職口が見つかりません。退職金が支払われましたが、定年退職を目前にしていたN氏にとっては本当に辛いことでした。 事件はあまりも社会的影響が大きく、通常なら人事部が再就職先の仲介をするのですが、それも全くありませんでした。たまに面接までに至っても、事件のことを明らかにするとほぼ100％「不採用」の返信が来るという状況でした。やっとのことで銀行時代に懇意にしていた企業の経営者からの紹介で、警備会社に就職できましたが、収入は銀行員時代の3割に届くかどうかというほどに減ってしまったのです。 それでも就職口があるだけましと考え

Heads on: Apple’s Vision Pro delivers a glimpse of the future

株式会社 日経BP 〒105-8308 東京都港区虎ノ門4丁目3番12号 →GoogleMapでみる ＜最寄り駅＞ 東京メトロ日比谷線「神谷町駅」4b出口より徒歩5分 東京メトロ南北線　「六本木一丁目駅」泉ガーデン出口より徒歩7分

日本航空（JAL）は2009年6月3日、同日早朝に発生したチェックインシステムの障害（関連記事）の原因について、チェックインシステムと予約発券システムのバージョンアップ作業によるものと発表した。 JALは国内線の全面チケットレス化に関連する新機能を追加するために、2日夜からチェックインシステムと予約発券システムのプログラムのバージョンアップ作業を行った。バージョンアップ作業は、配信用のホストサーバーと全国の空港に設置するチェックイン用端末の両方で実施。羽田空港のチェックインシステムは起動直後の午前5時45分にダウンしたためチェックイン業務ができなくなった。新機能追加前の状態に切り替えて、障害発生から約1時間後の午前6時45分ごろに復旧した。ただし羽田発のWebチェックインは午前11時30分時点でも、利用できない状態が続いている。 JAL広報によると、羽田以外の空港のチェックインシステムは障

三菱UFJ証券は2009年5月20日、同社システム部の部長代理だった元社員（4月8日付で懲戒解雇処分）が不正に取得した約148万人分の顧客情報のうち約5万人分を売却した事件で、情報を売却された約5万人に1万円相当のギフト券を送付すると発表した（関連記事1、関連記事2、関連記事3）。この種の漏洩事件の謝罪として1万円は異例の高額。これまでの相場は500円から1000円程度だった。 「顧客におかけする迷惑に対しての、我々のお詫びの気持ちとして受け取っていただきたい」と会見した秋草史幸社長は陳謝した。1万円という金額については、有識者らの意見や過去の事例を参考に「顧客の皆様におかけする迷惑と事件の重大性をかんがみて、総合的に判断した」と説明する。総額で5億円近い費用は三菱UFJ証券が負担する。元社員への損害賠償も今後検討するが、今回のお詫び送付とは別の話とした。 同事件では顧客情報が名簿業者に売

2005年の個人情報保護法の施行以後、企業や公共団体における個人情報の取り扱いは繊細な課題となった。同法の立案にも関わった一橋大学名誉教授の堀部政男氏は、日本における個人情報保護での課題を指摘した。 個人情報保護法が施行された2005年4月以降、企業や公共団体などにおける個人情報の管理が繊細な課題となった。同法の立案にも関わった一橋大学名誉教授の堀部政男氏は、海外とは異なる日本の個人情報に対する意識がさまざまな問題を生んでいると指摘した。 堀部氏は、東京都情報公開・個人情報保護審議会の座長を務めるなど、長年同分野の研究に取り組み、政策や法規制などの立案、提言などに取り組んでいる。 個人情報を取り巻く最近の問題では、グーグルのストリートビューが代表的。同社がインターネットで公開した画像に対するプライバシー保護が十分ではないとして消費者らが問題提起し、都情報公開・個人情報保護審議会の場で議論が

年々巧妙化する不正アクセス事件。既存の対策技術を回避する手法も登場する中で、企業はどのような策を講じたらいいか。米Verizon Businessの事件調査官にポイントを聞いた。 企業の重要情報を狙った不正アクセス攻撃が年々巧妙化している。前回は、不正アクセスによる情報漏えいの原因や攻撃者が用いる手法を紹介した。米Verizon Businessで事件調査を担当するブライアン・サーティン氏は、攻撃者の行動や対策のポイントを解説してくれた。 2000年ごろからの攻撃パターンをみると、2002年ごろまでは特定の企業だけ標的にする攻撃が目立ったが、2001年ごろからは無作為に攻撃する傾向が強まっている。また、2006年ごろからある程度対象を絞った攻撃も増えつつある。2008年は特定企業を狙う攻撃が復活し、3つのタイプの目的が混在する状況になった。 ある程度対象を絞った攻撃では、一定期間に特定の業

Windowsの脆弱性を突き、USBメモリなどを通じて感染するワーム「Conficker」（別名Downadup）が依然として活動を続けている。4月に一斉攻撃開始の可能性が取り沙汰され、メディアでも騒がれたが、この騒ぎが収まった今でもワームの勢力はまったく衰えていないと、セキュリティ企業の米Symantecが指摘した。 Symantecによれば、直近の亜種である「Downadup.E」は、2009年5月3日になると自らを消去する機能を備えていた。しかしこの日を過ぎても、感染数は予想されたほどには減っていない。 Symantecが検出したDownadupの新規感染数は、5月3日以降下旬までの1カ月間で、わずかに減りはしたが、ほぼ一定数を保っているという。 こうした状況を受けてSymantecは、Downadupの動向や仕組みについてまとめた報告書「Downadup Codex」を公表。Dow

脆弱性修正パッチを適用していないものや、セキュリティ対策ソフトを適切に使っていないPCが多数を占めることが判明した。 セキュリティ企業の英Sophosは、企業で使用されるPCの90％が基本的なセキュリティ対策を講じられておらず、リスクにさらされていることが分かったと発表した。 Sophosは、企業のWindows PCをスキャンしてセキュリティ状態をチェックする無料サービス「Endpoint Assessment Test」を通じ、昨年数千社から収集した情報を分析した。 その結果、ソフトウェアの脆弱性を修正するパッチがリリースされているにもかかわらず、適用していないPCが多数あることが判明。その筆頭はWindows OSの59.1％で、以下Office（36.3％）、Internet Explorer（19.7％）、Media Player（12.7％）、Flash Player（7.1％

トレンドマイクロは、5月の脅威動向をまとめたリポートで、改ざんされたWebサイトで感染する通称「Genoウイルス」の検知数が急増していると報告した。 トレンドマイクロは6月3日、5月の脅威動向をまとめた月例リポートを発表し、Webサイトで感染するトロイの木馬「TROJ_SEEKWEL」の検知数が急増していると報告した。 TROJ_SEEKWELは、不正に改ざんされたWebサイトを閲覧すると感染し、ユーザーのFTPアカウント情報を盗み出す。攻撃者は、脆弱性を抱えたWebサイトに何らかの方法で侵入して、閲覧者を悪質サイトへ誘導する「JS_AGENT」などの不正スクリプトを埋め込み、改ざんする。 国内では通称「Genoウイルス」、海外では「JSRedir-R」などとも呼ばれ、多数の正規サイトが改ざん被害に遭ったとみられる。攻撃者は、盗んだアカウントで異なるサイトを次々を改ざんする狙いがあるのでは

KDDIは6月3日、同社が2日に顧客へ送信した広告メールで他人のメールアドレスが見られる状態になっていたと発表した。合計4464件のメールアドレスが流出した。 同社は、2009年2月1日～5月28日に国際電話Webサイトで「001国際モバイルトーク」を申し込んだ顧客に対して、2日午後1時4～18分に5回の広告メールを送信した。その際、操作ミスが原因でメールアドレスがあて先欄に表示される状態になったまま、メールが送信された。 同社によれば、1回当たりの送信を1000件のメールアドレスに制限していたため、受信者が知り得る他人のアドレスは最大で999件となっている。メールアドレス以外に流出した情報はなく、不正利用も確認されていないという。 同社は、2日午後3時15分にメールアドレス流出の事実を対象顧客へ通知するとともに、削除を求めるメールを送信。3日午前11時にも経過報告と謝罪のメールを改めて送

IPAは、新型インフルエンザに便乗したスパムメールや、スパムに添付された不正プログラムに注意するよう呼び掛けている。 情報処理推進機構（IPA）セキュリティセンターは6月3日、5月の「コンピュータウイルス・不正アクセスの届出状況」を発表した。新型インフルエンザに便乗するスパムやマルウェアに対する警戒を呼び掛け、特徴を解説している。 見つかった手口では、「新型インフルエンザへの対策」などの件名でスパムを送りつけたり、検索結果に悪質サイトへのリンクを表示させるSEOポイズニングなどを利用したりするものがあった。スパムには、「詳細ガイド」とうたった不審なPDFファイルが添付され、国内では国立感染症研究所をかたった偽メールも見つかっている。 添付ファイルは、Adobe PDFの既知の脆弱性を悪用するマルウェア「Trojan.Pidief.C」が仕掛けられており、脆弱性が解消されていない状態で添付フ

約2000の正規サイトに悪質なJavascriptが仕込まれ、不正サイトへユーザーをおびき寄せているという。 世界各国で正規サイトが改ざんされる被害が続出し、約2000のサイトに悪質なJavascriptが仕込まれているのが見つかったと、セキュリティ企業の米Websenseが伝えた。 問題のJavaScriptは難読化して判別しにくくしており、不正サイトへユーザーをおびき寄せる仕掛けになっている。この不正サイトはGoogleのアクセス解析サービス「Google Analytics」を思わせるドメインを利用。ソフトウェアの脆弱性を突き、ユーザーのコンピュータに悪質ファイルをインストールして実行してしまう。 5月29日現在で、ウイルス対策ソフトによるこの悪質ファイルの検出率は極めて低いという。 Webサイト改ざんでは、通称「GENOウイルス」（別名Gumblar、JSRedir-R）というマル