IPAらが発表した1～3月の脆弱性届出動向で、Webサイトに関連するもののうち、XSSとDNSキャッシュポイズニング、SQLインジェクションが全体の95％を占めた。 情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は4月21日、2009年1～3月期の脆弱性関連情報の届出状況を発表した。 期間中の届出件数は、ソフトウェア製品関連51件、Webアプリケーション（Webサイトを含む）関連825件の計876件だった。2004年7月8日以降の累計では、ソフトウェア製品関連912件、Webサイト関連4339件の計5251件となった。 Webサイト関連の脆弱性は821件で、このうちDNSキャッシュポイズニングの脆弱性が343件（42％）、クロスサイトスクリプティング（XSS）が334件（41％）、SQLインジェクションが100件（12％）となり、これら3種類の脆弱

米Verizon Businessは4月15日、企業の情報漏えい事件に関する実態調査報告書を公開した。部外者に起因する漏えいが全体の74％を占め、セキュリティ管理の仕組みを見直す必要性があると指摘している。 報告書は、2008年に同社が調査対応した情報漏えい事件の動向を分析したもので、今回で2回目となる。漏えいしたデータの件数は2004～2007年の累計で2億3000万件だったが、2008年は2億8500万件となり、大幅に増加した。 漏えいしたデータのうち、74％は部外者に起因し、特にビジネスパートナーが関係するものが32％を占めた。部内者が起因するものは20％だった。64％は複数の要因が関係して発生し、最も悪質なケースでは企業の過失を悪用して不正アクセスを行い、さらにマルウェアを仕掛けて情報を盗み出していた。 情報漏えい元の大半はサーバやアプリケーションで、漏えいしたデータの99％を占め

3月に観測されたスパムメールの流通量は、2008年秋の大規模対策以前の水準に戻ったことが明らかになった。 シマンテックは4月10日、3月の月例スパムリポートを発表した。2008年11月にスパム配信事業者「McColo」が閉鎖した以前の水準に戻ったことが確認された。 3月の全電子メールに占めるスパムの割合は、前月比5％増の91％だった。米インターネットサービスプロバイダー各社がMcColoとの接続を一斉に遮断した対策によって、同組織が閉鎖し、スパムの流通量は一時的に減少した。しかし、その後は増加傾向にあった。 スパム配信に使われる「ゾンビPC」（ボットマシン）のIPアドレスは、多数が欧州や中東、アフリカ各国を発信元としており、全体の45％を占めていた。国別ではブラジルやスペイン、イタリアで割合が増加し、中国とインドでの活動も目立った。 主要なスパムでは、世界同時不況に便乗して住宅ローンを軽減

Conficker.Cが悪名高いマルウェアのWaledacを呼び込み、スパムメールの大量送信を始めたという。 ロシアのセキュリティ企業Kaspersky Labは4月10日のブログで、Conficker.Cワームに感染したマシンがスパムメールの大量送信を始めたと報告した。 Conficker.Cは4月8日から9日にかけて活動を開始し、Confickerの新たな亜種とともに、各国でスパムメールを撒き散らしているボット型マルウェアのWaledacを呼び込んでいた。 Kasperskyが感染マシンの観察を続けたところ、Waledacはコントロールセンターに繰り返し接続してコマンドを受け取り、スパムの送信を始めた。今のところ、内容はすべて医薬品を宣伝するもので、ボット1台だけで過去12時間に4万2298通のスパムを送信したという。 スパムに記載されたリンクをクリックすると、バイアグラなどの販売サイ

三菱UFJ証券での大規模な顧客情報の流出は、セキュリティ教育などを徹底していたというにも関わらず発生した。「起きないことが前提」とする対策に限界が生じているようだ。 4月8日に三菱UFJ証券が発表した約148万人規模に及ぶ大規模な顧客情報の流出では、顧客情報データへのアクセス権限を持つ元従業員が不正な持ち出しを図った。同社によれば、情報セキュリティ研修を徹底していたが、元従業員の不正行動を防ぐことはできなかった。 顧客情報を持ち出したのは、元システム部部長代理の男性で顧客情報データベースへのアクセス権限を有する8人のうちの1人だった。データベースへアクセスする際にほかの従業員のIDとパスワードを使用し、持ち出す際にはデータのコピー権限を持つ別の従業員へ虚偽の説明を行ってCDにデータを記録させ、自宅に持ち帰ったとされている。 今回のケースについて、情報セキュリティ大学院大学の内田勝也教授は、

オープンソースのIDS（不正侵入検知システム）ソフト「Snort」のアップデート版となる「Snort 2.8.4」がリリースされた。 オープンソースのIDS（不正侵入検知システム）ソフトウェア「Snort」のアップデート版となる「Snort 2.8.4」がリリースされた。 Snortチームによると、2.8.4では新しいターゲットベースのDCE/RPCプリプロセッサである「DCE/RPC2」を導入し、ルール管理が簡素化された。例えば悪名高いConfikerワームが使っている脆弱性（MS08-067）を検出するルールは、以前なら168あったが新しいルールでは2つに減るという。 ただし、今後はDCE/RPC関連の新しいルールが2.8.4向けのみのリリースとなり、それ以前のバージョンではNetBIOSの新たな脅威に対抗するアップデートが受け取れなくなる。このため、Snortチームではユーザーに対し

4月1日に予想されたConfickerワーム騒動は平穏な結果に終わったが、これをきっかけにセキュリティ対策を見直す必要がありそうだ。 4月1日に予想されたワーム「Conficker.C」（別名Downadup）の新たな行動は、結局ことなきを得たが、ワーム感染を防ぐための対策を考え直すきっかけにはなったようだ。 Windowsの脆弱性を突くConfickerの被害は昨年後半から増加し始め、フィンランドのセキュリティ企業F-Secureによれば最盛期には世界で1000万台以上が感染した。特に亜種のConficker.Cは、4月1日に5万以上のIPアドレスの中から任意のアドレスにアクセスするよう設定され、この日に機能追加などの新たな行動に出ることが予想された。 米国ではCNNニュースが特集を組むなど、個人や企業を問わず多数のPC利用者を巻き込む騒ぎとなったが、F-SecureやMcAfeeの解析

4月1日の「一斉起動」が目前、Confickerワームのチェック手法確立：大手のセキュリティサイトで入手 Confickerに感染したマシンを簡単に見つけ出せる方法が確立され、自分のマシンが感染していないかどうかをユーザーがチェックできるツールが提供された。 世界中で猛威を振るっているConficker（別名Downadup）ワームが一斉起動するとされる4月1日を前に、感染マシンを簡単に見つけ出せる方法をセキュリティ研究者が確立し、自分のコンピュータやネットワークが感染していないかどうかをユーザーがチェックできるツールが提供された。 Confickerは、Windowsの脆弱性（2008年10月にMicrosoftが修正パッチを公開済み）を突いて感染するワーム。現在出回っている亜種は、4月1日になると起動してコマンド＆コントロールに接続する設定になっており、この日に何が起きるのかセキュリテ

インターネットから業務アプリケーションに至るまでWebの活用シーンが広がっている。その土台となるWebサーバには堅牢なセキュリティが求められる。代表的なWebサーバ製品の脆弱性と対応からセキュリティの現状をみていこう。 従来、Webサーバの主な用途はインターネットが主流だったが、近年では企業での業務アプリケーション用途も含めて幅広いシーンで使用されるようになった。Webサーバ自体がミッションクリティカルな存在となりつつある今、特にセキュリティ面では脆弱性が少ないこと、脆弱性へ迅速に対処することが求められる。 今回はWebサーバ製品として代表的な、Microsoft Windows ServerのInternet Infotmation Service（IIS）とオープンソースのApache、Apache Tomcat、またApacheの技術を活用しているOracle Application

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、2008年にIPAに届けられた情報や一般に公開された情報を基に、「10大脅威 攻撃手法の『多様化』が進む」を編纂し、2009年3月24日（火）よりIPAのウェブサイトで公開しました。また、2009年6月25日（木）より英語版を公開しました。 本資料は、IPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など111名から構成される「情報セキュリティ検討会（本資料のP.25参照）」でまとめたものです。2005年より毎年公開しており、今年で5回目となります。 安全なインターネットの利用における脅威を、2008年に「印象が強かったもの」「社会的影響が大きいもの」などの

情報処理推進機構（IPA）は8月30日、情報漏えい事件（インシデント）が発生した際の対応策のベストプラクティスをまとめた対応ポイント集を公開した。セキュリティの専門家がいない中小企業などを対象に、インシデント発生時の迅速な対応をするための「参考書」として提供する。 IPAが公開した「情報漏えい発生時の対応ポイント集」は、過去5年間に報じられた情報漏えい事件を基に調査／分析を行い、専門家が情報漏えいのタイプ別の対応マニュアルを小冊子として分かりやすくまとめたもの。内容は、インシデント対応における作業ステップや発表などに関するノウハウや、紛失・盗難、内部犯行、Winnyへの漏えい、ウイルス感染、風評・ブログ掲載といった情報漏えいタイプ別の対応作業や留意点が記されている。 IPAでは「インシデントが発生した場合に、対応チームが短時間に理解し、適切で速やかな対応ができるように参考書として役立ててほ

ラックは、2008年通期のインターネットの脅威傾向リポートを公開。Webサイト改ざんなどを狙うSQLインジェクション攻撃が前年比61倍増となった。 セキュリティ企業のラックは3月18日、2008年通期のインターネットの脅威傾向を取りまとめた「JSOC侵入傾向分析レポートVol.12」を公開した。Webサイトの改ざん被害が日中韓で多発した。 2008年は、Webサイトの脆弱性を悪用するSQLインジェクション攻撃が猛威を振るった。攻撃によって企業などのWebサイトが不正改ざんされ、閲覧者がマルウェアに感染する被害が多発した。同社での検出件数は前年比61倍増になり、特に12月はMicrosoft Internet Explorerの脆弱性を標的にしたとみられる攻撃が1500万件以上確認されたという。

日本IBMと八十二銀行（長野市）は3月17日、人為ミスにより590人分のカードローンに関する帳票を誤って郵送したと発表した。 八十二銀行によれば、誤郵送は3月12日に帳票を受取った複数の顧客からの問い合わせで確認した。帳票の印刷や郵送業務は日本IBMが受託。日本IBMは帳票サービスの小林クリエイトへ同業務を再委託をしていたが、小林クリエイトの担当者が封入機の設定を誤ったことが原因だった。 誤って送付した帳票には氏名や住所、カードローン口座番号、ローン取引履歴などが記載されていた。八十二銀行は3月16日までに499通を回収した。590人のうち、210人については受取人が開封する前に回収しており、実際に受取人に漏えいしたのは380人分となる。現時点で悪用などの被害は確認されていないという。 八十二銀行では、事故に対する問い合わせ窓口を開設するとともに、担当者が該当者や受取人へ説明対応を行ってい

日本IBMは、大企業向けのWebサイト脆弱性検査ツール「AppScan Enterprise」と、個人情報の管理不備などのルール違反を検査する「Rational Policy Tester」を発売した。 日本IBMは3月11日、大規模企業向けのWebサイトの脆弱性検査ソフトウェア「IBM Rational AppScan Enterprise Edition V5.5」とコンプライアンス管理を行う「IBM Rational Policy Tester V5.5」の日本語版を発売した。 IBM Rational AppScan Enterprise Edition V5.5は、数万ページもの大規模なWebサイトやアプリケーションを開発・運用する企業向けの脆弱性検査ツール。社内の開発者や管理者、一般の従業員と社外の関係者を対象に、各ユーザーのアクセス権限に応じた脆弱性検査ができるのが特徴。複数

セキュリティソフトメーカーの米McAfeeは3月9日、月例スパム動向報告書をまとめ、スパムメールによる労働生産性の喪失額の試算を公表した。 それによると、スパムによる生産性の喪失額は従業員1人当たり1日50セント、年間では182.50ドルに上ると。1時間に30ドルを稼ぐ従業員が1000人いる会社では、年間で18万2500ドルの喪失になるとしている。 さらに、例年3月は2月に比べてスパムの量が平均10～20％程度増加しており、スパム関連コストはさらに増すと予想している。 スパムメールの内容を見ると、2月までのホリデースパムに代わり、Rolexなどの偽ブランド時計を売り込むスパムが首位に浮上した。ピーク時では全スパムの20％以上をこの手のスパムが占めていたという。 過去のセキュリティニュース一覧はこちら 関連記事 バレンタインスパムは1日70億通が飛び交う、メッセージラボ調べ 2月に観測された

米IT PCGの調査で、情報セキュリティ対策を効果的に実施している企業としていない企業では事故後の対応コストに150倍の差が生じることが判明した。 北米の情報セキュリティ対策を効果的に実施している企業としていない企業では、セキュリティ事故後の対応コストに149倍の差が生じることが研究団体の調べで判明した。対策を効果的に実施している企業は、全体の1割強だった。 企業のコンプライアンス研究などを行うIT PCGなどが2008年12月に実施した調査によれば、19％の企業が年間に15回以上の情報漏えい事故やPCの盗難、システム障害などを経験し、事業のダウンタイムも80時間以上の及んでいた。68％の企業は情報漏えい事故やPCの盗難、システム障害などが年間に3～15回程度あり、事業のダウンタイムは7～79時間だった。 情報漏えい事故やPCの盗難、システム障害などが年間に3回未満、事業のダウンタイムが7

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。 過去の連載記事はこちらで読めます！ 今回は企業における情報漏えい事件を発生させないためには、対処方法をどうすべきかについてみていきましょう。 以前から情報漏えい事件の原因は、組織の「内部」と「外部」のどちらが多いか、という質問を受けることがあります。さらに「盗難」だった場合は、それが外部の人間が盗んだのか、内部の職員が盗んだのかという点を厳密に分ける必要があり、不明の場合も数多く見受けられます。原因がどのような現状かというデータは数多く存在し、あるデータでは6割が内部だったり、また、ある調査では7割が内部だったりとさまざまです。 実際には測定する条件が異なるので、数字の多少の違いはあまり重要ではありません。わたしは10年以

データベース・セキュリティ・コンソーシアムはセキュリティガイドラインの第2版を公開。情報資産の重要性の基いた対策方法やシステム管理基準などの各種基準との関係を紹介している。 データベース・セキュリティ・コンソーシアム（DBSC）は2月17日、「データベースセキュリティガイドライン」の第2版を発表した。情報資産の重要性を分類し、システム管理基準などの各種基準との関係を基にした対策方法などを追加した。 データベースセキュリティガイドラインは、企業の基幹となるデータベースに対するセキュリティ対策強化に向けた指針や考え方を取りまとめたもの。第1版は2006年11月に公開されている。 第2版では第1版に対するユーザーからの意見のほか、新会社法や金融商品取引法といった各種法規制の変化など考慮した内容を取り入れた。また、DBSCのセキュリティの実装ワーキンググループで検討した成果も反映したという。 新た