マイクロソフトは、IT技術者やCIO向けに情報セキュリティ対策を解説するWebサイト「あんしん処 セキュリ亭（せきゅりてい）」を開設した。 同サイトは、CIOやIT管理者、ソフトウェア開発者などを対象に、情報セキュリティ対策のポイントを架空のスト－リー形式で紹介。映像などを交え、同社のセキュリティレスポンスチームが3分程度で解説している。 内容は休憩時におけるセキュリティの盲点や、無料ツールで実現するセキュリティ対策、リムーバブルメディアの適切な使い方や、ノートPCの紛失による情報漏えいへの対処、安全なWebサイト構築方法などを予定。 1カ月ごとの定期更新のほか、ウイルス騒動などが発生した場合に臨時情報も提供する。 過去のセキュリティニュース一覧はこちら

米GoogleのWebブラウザの最新版「Google Chrome 2.0」には、新機能が幾つか追加され、動作速度の向上が図られている。では、セキュリティについてはどうなのだろう？ Webセキュリティの脅威の高まりを受けて、ブラウザベンダー各社は後れを取るまいと懸命に対策に取り組んでいる。実際、MicrosoftのInternet Explorer 8（IE8）にも、多数のセキュリティ機能が追加されている。GoogleもChrome 2.0に幾つか新しいセキュリティ機能を追加した。例えば、クロスサイトリクエストフォージェリ（CSRF）やクリックジャック攻撃に対する対策などだ。CSRFとは、Webアプリケーションにログイン済みのユーザーに不要なアクションの実行を強要するという攻撃手法。CSRF攻撃への対策として、Chrome 2.0では、サーバがステートを変更する可能性のあるPOSTリクエス

セキュリティ企業の調査によると、無線LANの57％はオープンな状態になっているか、脆弱なWEP暗号が使われているかのいずれかだった。 無線LANセキュリティを手がける米AirTight Networksは、英米7都市の金融街で無線LANセキュリティの現状について調べた結果、いまだに無線LANの多くが無防備な状態で使われていることが分かったと発表した。 AirTightは米ニューヨーク、シカゴ、ボストン、ウィルミントン（デラウェア州）、フィラデルフィアと英ロンドンで2～4月にかけて調査を実施。その結果、無線LANの57％がオープンな状態になっているか、脆弱なWEP暗号が使われているかのいずれかだった。 これら無防備な無線LANの61％は、コンシューマーとSOHOのアクセスポイントが占め、デフォルトのまま使われているものも多かった。 こうしたアクセスポイントでは、データが流出して外部から傍受で

「この仕組みがないと困る」――楽天が採用しているMBSDのセキュリティ教育は、実効性を重視した教育プログラムになっていることが採用のポイントという。 「この仕組みがないと、本当に困ります。セキュアプログラミングの勉強なしでプログラムを書き始められたらと思うと恐い」 楽天のエンジニア・武政央高さん（開発部 コンテンツメディアサービスプロデュースグループ）は、こう明かす。 “この仕組み”とは、楽天が導入している、三井物産セキュアディレクション（MBSD）のセキュリティ教育プログラム「セキュアWebアプリケーション開発セミナー」だ。エンジニアは、入社時に必ずセキュリティセミナーと試験を受験し、年1回、更新試験も受ける。不合格者にはペナルティがあり、自分の書いたソースプログラムが安全かどうかを、試験の合格者にセキュリティレビューをしてもらわなければならない。 Webアプリケーションは、セキュリティ

JPCERT/CCは、ソフトウェアの設計段階で脆弱性の発生や要因を減らすことを目的とした技術資料を公開した。 JPCERTコーディネーションセンター（JPCERT/CC）は5月19日、ソフトウェアの脆弱性発生を設計段階で低減することを目的とした技術資料「セキュアデザインパターン英語版」を公開した。 資料では、ソフトウェアの設計工程において脆弱性につながる要因の数と脆弱性の被害を最小限にするためデザインパターン（設計のひな形）を取りまとめた。認証や認可など特定のセキュリティ機能要件を満たすものではなく、ソフトウェアやシステムに対するセキュリティ品質の向上を目的にしている。 適用範囲や開発環境などに依存しないことから、さまざまなソフトウェア開発案件に適用できるといい、プログラミング段階でのセキュアコーディングと併用することで脆弱性対応関連のコスト削減にもつながるとしている。 日本語版の資料は6

トレンドマイクロは、不正サイトへの接続を遮断するWebセキュリティツールを無償公開した。90日間限定で使用できる。 トレンドマイクロは5月14日、不正サイトへの接続を遮断するWebセキュリティツール「Trend Micro Web Protection Add-On」を無償公開した。90日間限定で使用できる。 同ツールは、PCからWebサイトへ接続する際に同社のWebサイト評価データベースを参照して、不正サイトへの接続を遮断する。不正サイトからマルウェアが自動的にインストールするのを防止するほか、スパイウェアがユーザー情報など送信した場合に警告メッセージを発する。

トレンドマイクロによれば、4月も「MAL_OTORUN」や「WORM_DOWNAD（別名Conficker）」による被害報告が目立っている。 トレンドマイクロは5月8日、4月のインターネット脅威リポートを発表した。Windowsの脆弱性（MS08-067）を悪用する「WORM_DOWNAD（別名Conficker）」ワームの報告数が増加した。 総報告数は前月比416件減の4125件で、リムーバブルメディアで感染を広げる「MAL_OTORUN」が9カ月連続のトップとなった。WORM_DOWNADは前月比55件増の184件となり、3カ月連続で2位だった。 WORM_DOWNADによる攻撃では、偽セキュリティソフトウェアをダウンロードする亜種が見つかり、目的がこれまでの感染拡大から金銭搾取に変わったと同社は分析。WORM_DOWNADのソースコードが流通し、攻撃者が狙いに応じて容易に亜種を作成で

IPAはリムーバブルメディアの自動実行機能を悪用するマルウェア被害が続いているとして、MSが公開している無効化機能などの導入を呼び掛けている。 情報処理推進機構（IPA）セキュリティセンターは5月7日、4月の「コンピュータウイルス・不正アクセスの届出状況」を発表した。リムーバブルメディアの自動実行機能を悪用するマルウェア被害が続いているとして、対策の導入を呼び掛けた。 2008年後半から猛威を振るっている「Conficker（別名Downad）」ワームのように、近年はUSBメモリなどのリムーバブルメディアで感染を広げるマルウェアが増加している。これらのマルウェアは、OSの自動実行機能を悪用してユーザーがマルウェアに気付く前に感染してしまうケースが多い。リムーバブルメディアは、容易にデータを持ち運べる利便性から急速に普及し、攻撃者が感染を効率的に広げる手段として注目しているとみられる。 国内

JPCERT コーディネーションセンターは、約2200人の開発者が参加したC/C++のセキュアプログラミングに関するセミナー資料を公開した。 JPCERT コーディネーションセンター（JPCERT/CC）は4月28日、C/C++のセキュアプログラミングに関する資料をWebサイトで公開した。 資料は、JPCERT/CCが3月まで実施したセキュアプログラミングセミナーでの講演に使用されたもの。開発段階で脆弱性が発生する根本的な原因を解説し、回避するために参考となる技術などを紹介している。セミナーには累計で約2200人が参加した。 JPCERT/CCでは、セミナー参加者などの意見を参考にソフトウェアのセキュリティ品質の向上を支援していくという。 過去のセキュリティニュース一覧はこちら 関連記事 「最も危険なプログラミングエラー」25種類のリスト発表 サイバースパイやサイバー犯罪につながる「危険な

従来の情報セキュリティ対策は外部からの攻撃への対処が中心だったが、近年は身内の不正や過失による情報の漏えいの増加が深刻さを増している。そこで新たな対策として盛り上がりを見せ始めているのがDLPという手法だ。 情報漏えいはなぜ止まらないのか？ 企業の情報流出は、企業価値を著しく毀損する。経営情報や顧客情報、特許情報、研究データなど企業の情報資産は金額に代えることできない価値であり、その保護は重要な経営課題の1つといえるのだが、現実はどうだろうか。 個人情報保護法やJ-SOX法などの法制度が整備される一方で、ISMS（情報セキュリティマネジメントシステム）認証やプライバシーマーク（Pマーク）の取得、各種ネットワークセキュリティ製品の導入を進めてはいるものの、情報漏えい事故は減少しておらず、むしろ増えているのが実情だ。 日本ネットワークセキュリティ協会が発表した「2008年上半期情報セキュリティ

TwitterでXSSワームが出回ったのに続き、ニュージーランドではSQLインジェクション攻撃が発生し、大手サイトのDNS記録が書き換えられたもようだ。 Webアプリケーションの脆弱性を突いた攻撃が相次いでいる。SANS Internet Storm Centerによると、マイクロブログのTwitterでXSS（クロスサイトスクリプティング）ワームが出回ったのに続き、今度はニュージーランドのドメイン登録業者「Domainz.net」が攻撃された。 SANSによれば、ニュージーランドの攻撃ではソニーやMicrosoftといった大手の同国向けサイトが被害に遭い、DNS記録が書き換えられた。詳細は不明だが、報道によればSQLインジェクション攻撃が仕掛けられたもようだ。 相次ぐ攻撃からは、Webアプリケーションのセキュリティがまだあるべき姿から程遠い現実が見えてくるとSANSは言う。 Webアプリ

感染マシンにはさらなるマルウェアが送り込まれ、攻撃側がリモートからあらゆる行為を実行できる状態になっていた。 セキュリティ企業の米Finjanは、マルウェアに感染した190万台のコンピュータで構成されるボットネットを発見したと伝えた。1つの犯罪組織が制御しているボットネットとしては、今年同社が見つけたものの中で最大級だとしている。 Finjanは、ウクライナにあるボットネットのコマンド＆コントロールサーバを調査した。その間にも、感染マシンの台数は増え続けていたという。 攻撃側は、金銭狙いからこのボットネットを使い、感染マシンにさらなるマルウェアを送り込んでいた。管理用コンソールから感染マシンに対して、設定ファイルのダウンロード、更新ファイルの適用といった命令を出し、ロシアのハッカーフォーラムには、感染コンピュータの交換を持ちかける投稿を送っていたという。 感染マシンにダウンロードさせていた

IPAは、企業のシステム管理者やPC利用者を対象に、ゴールデンウィークの長期休暇を控えたセキュリティ対策の徹底を呼び掛けている。 情報処理推進機構（IPA）は4月23日、ゴールデンウィークを控えてのセキュリティ対策に関する注意喚起を行った。企業のシステム管理者やPC利用者が確認すべき項目を紹介している。 システム管理者向けには、ファイアウォールや侵入検知システム（IDS）などの設定、該当する修正プログラムの適用、データのバックアップなどの基本的なセキュリティ対策内容を再確認するよう呼び掛けている。 具体的には、不測の事態が発生した場合の緊急連絡体制の整備、サーバでの不必要なサービスの停止、使用しないサーバやPCの停止、業務用PCやデータを組織外に持ち出す場合の管理を明確にすべきという。 PC利用者には、ゴールデンウィーク期間中にシステム管理者が不在になる場合もあり、ウイルス被害やWebの改

企業の重要情報を狙う攻撃者は、システムの脆弱性を徹底して狙う。仮に成功率が低いとしても、大金を獲得できる可能性があれば容赦なく攻撃しているという。 米Verizon Businessがこのほど発表した企業の情報漏えい事件に関する実態調査報告書では、2008年だけで侵害を受けた企業の重要データの件数が過去最高になることが分かった。同社の日本法人が4月23日、報告書の解説を記者向けに行い、攻撃者が金銭つながる重要データを標的にする実態を紹介した。 報告書では、同社が2008年に調査を担当した90件のデータ侵害事件の傾向をまとめた。侵害を受けたデータ件数は2億8500万件で、2004～2007年の累計2億3000万件を大幅に上回っている。 侵害理由のトップは、システムへのハッキングで事件全体の64％、侵害されたデータの94％を占めた。2位はマルウェアで、それぞれ38％と90％を占めており、この2

米Intelは4月22日、ノートPCのセキュリティに関する調査結果を発表した。盗難や紛失によって企業が被る被害額は平均4万9246ドルに上るとしている。 調査はIntelがPonemon Instituteに委託して実施。世界各地の空港やタクシーの中、ホテルといった場所でノートPCがなくなったり盗まれたりした138件のケースについて分析し、平均被害額4万9246ドルという数字を算出した。 この金額の中にはノートPCの買い替え、調査、情報流出、知的財産の損失、生産性喪失、法的対応などの経費が含まれる。中でも情報流出に関する経費が80％を占め、ノートPC本体よりも、保存されている情報のために被害額が膨らんでいた。 紛失にどれだけ早く気付くかによっても被害額は変わってくるといい、ノートPCを無くした当日のうちに見つけた場合は被害額は8950ドルで済むが、1週間以上経過すると11万5849ドルに膨

1回の充電で東京―大阪間に相当する500キロメートルを走れるリチウムイオン電池技術の開発が活発だ。積水化学工業の技術は突破のメドがたち、旭化成も近づいた。いずれも既存の電極を使うこ…続き 再エネ効率的に貯蔵、「ナトリウムイオン電池」寿命・容量が増大 ［有料会員限定］ トヨタの全固体電池　2025～30年ＥＶが化ける ［有料会員限定］

三菱UFJ証券は4月17日、顧客情報の漏えいに関する調査の経過報告を行い、顧客情報を入手した名簿業者が80社程度に上ることを明らかにした。同事件では警察が不正アクセス禁止法違反の疑いで捜査を継続している。 事件は同社システム部の部長代理（すでに解雇処分）の男性が不正に顧客情報データベースから約148万人の顧客情報を持ち出し、このうち4万9159人分の氏名と住所、電話番号、性別、生年月日、職業、年収区分、役職、勤務先の情報を3社の名簿業者に売り込んでいた。 当初、顧客情報は男性が売り込んだ名簿業者が転売した先を含め13社の名簿業者に上るとしていた。しかし、その後の調査でサンプルだけを入手した業者を含めて29社に上ることが確認された。同社顧客からは50社程度のほかの名簿事業者に関する情報も提供され、合計では80社程度に流通している可能性があるという。 同社では、名簿業者に対して顧客情報の利用停