日本IBMは、大企業向けのWebサイト脆弱性検査ツール「AppScan Enterprise」と、個人情報の管理不備などのルール違反を検査する「Rational Policy Tester」を発売した。 日本IBMは3月11日、大規模企業向けのWebサイトの脆弱性検査ソフトウェア「IBM Rational AppScan Enterprise Edition V5.5」とコンプライアンス管理を行う「IBM Rational Policy Tester V5.5」の日本語版を発売した。 IBM Rational AppScan Enterprise Edition V5.5は、数万ページもの大規模なWebサイトやアプリケーションを開発・運用する企業向けの脆弱性検査ツール。社内の開発者や管理者、一般の従業員と社外の関係者を対象に、各ユーザーのアクセス権限に応じた脆弱性検査ができるのが特徴。複数

セキュリティソフトメーカーの米McAfeeは3月9日、月例スパム動向報告書をまとめ、スパムメールによる労働生産性の喪失額の試算を公表した。 それによると、スパムによる生産性の喪失額は従業員1人当たり1日50セント、年間では182.50ドルに上ると。1時間に30ドルを稼ぐ従業員が1000人いる会社では、年間で18万2500ドルの喪失になるとしている。 さらに、例年3月は2月に比べてスパムの量が平均10～20％程度増加しており、スパム関連コストはさらに増すと予想している。 スパムメールの内容を見ると、2月までのホリデースパムに代わり、Rolexなどの偽ブランド時計を売り込むスパムが首位に浮上した。ピーク時では全スパムの20％以上をこの手のスパムが占めていたという。 過去のセキュリティニュース一覧はこちら 関連記事 バレンタインスパムは1日70億通が飛び交う、メッセージラボ調べ 2月に観測された

米IT PCGの調査で、情報セキュリティ対策を効果的に実施している企業としていない企業では事故後の対応コストに150倍の差が生じることが判明した。 北米の情報セキュリティ対策を効果的に実施している企業としていない企業では、セキュリティ事故後の対応コストに149倍の差が生じることが研究団体の調べで判明した。対策を効果的に実施している企業は、全体の1割強だった。 企業のコンプライアンス研究などを行うIT PCGなどが2008年12月に実施した調査によれば、19％の企業が年間に15回以上の情報漏えい事故やPCの盗難、システム障害などを経験し、事業のダウンタイムも80時間以上の及んでいた。68％の企業は情報漏えい事故やPCの盗難、システム障害などが年間に3～15回程度あり、事業のダウンタイムは7～79時間だった。 情報漏えい事故やPCの盗難、システム障害などが年間に3回未満、事業のダウンタイムが7

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。 過去の連載記事はこちらで読めます！ 今回は企業における情報漏えい事件を発生させないためには、対処方法をどうすべきかについてみていきましょう。 以前から情報漏えい事件の原因は、組織の「内部」と「外部」のどちらが多いか、という質問を受けることがあります。さらに「盗難」だった場合は、それが外部の人間が盗んだのか、内部の職員が盗んだのかという点を厳密に分ける必要があり、不明の場合も数多く見受けられます。原因がどのような現状かというデータは数多く存在し、あるデータでは6割が内部だったり、また、ある調査では7割が内部だったりとさまざまです。 実際には測定する条件が異なるので、数字の多少の違いはあまり重要ではありません。わたしは10年以

データベース・セキュリティ・コンソーシアムはセキュリティガイドラインの第2版を公開。情報資産の重要性の基いた対策方法やシステム管理基準などの各種基準との関係を紹介している。 データベース・セキュリティ・コンソーシアム（DBSC）は2月17日、「データベースセキュリティガイドライン」の第2版を発表した。情報資産の重要性を分類し、システム管理基準などの各種基準との関係を基にした対策方法などを追加した。 データベースセキュリティガイドラインは、企業の基幹となるデータベースに対するセキュリティ対策強化に向けた指針や考え方を取りまとめたもの。第1版は2006年11月に公開されている。 第2版では第1版に対するユーザーからの意見のほか、新会社法や金融商品取引法といった各種法規制の変化など考慮した内容を取り入れた。また、DBSCのセキュリティの実装ワーキンググループで検討した成果も反映したという。 新た

米国の小学校で「オバマワーム」という名称のマルウェアが見つかり、ちょっとした騒ぎになっている。セキュリティ企業のTrend MicroやThompson Securityがブログで伝えた。 それによると、この「ワーム」はオバマ米大統領の出身地であるイリノイ州の小学校のネットワークで出回った。校内のPC約100台のすべてに、オバマ氏の顔のアイコンが表示されたという。 この「攻撃」は学校の児童が仕掛けたとの見方が強まっているという。マルウェアキットで遊んでいて作成してしまったとみられる。ただし、オバマアイコンの表示以外に不正な機能はなく、悪質なファイルと言えるほどのものではないと研究者らは指摘する。 Trend Microはこの騒ぎについて、初歩的なマルウェア作成のツールが簡単に入手でき、小学生でもこのような「攻撃」を実行できてしまうというのは恐ろしいことだと述べている。 過去のセキュリティニ

駐車場に停めておいた車に「駐車違反」のカード。そこに記されたWebサイトではマルウェアを配布していた。 駐車違反チケットに見せかけたチラシを駐車中の車に置き、マルウェアの配布サイトを閲覧させるという新手の方法が米国で報告された。 SANS Internet Storm Centerや米McAfeeによると、問題のチラシはノースダコタ州グランドフォークスで配られた。「駐車違反」と記した黄色い用紙がフロントガラスに置かれ、「この車両は駐車規制に違反しています。以下のWebサイトであなたの駐車方法に関する画像と情報を参照してください」と書かれていたという。 用紙に記載されたWebサイトを閲覧すると、駐車場に停められた車の写真が表示され、自分の車の写真をもっと探すためと称して「PictureSearchToolbar.exe」というツールバーのダウンロードを促される。 しかし、このツールバーの実態

個人情報流出で企業が事後対策などに費やすコストは年々増大し、特に顧客離れなどに伴う損失額が増えていることが、このほど発表された2008年の情報流出コストに関する調査で分かった。 それによると、2008年に起きた情報流出での対応コストは1件あたり平均665万ドルとなり、前年の同630万ドルから上昇した。顧客情報1件あたりの平均金額で見ると、2007年の197ドルから2008年は202ドルに増えている。 特に顧客離れに伴う契約や売り上げの減少といったコストの増大が大きく、2005年の調査開始以来、この部分のコストは情報流出1件あたり64ドル（約40％）以上増加している。原因を見ると、全体の88％以上は内部関係者の過失や不注意が絡み、協力会社などサードパーティー組織の関与による情報流出も44％以上を占めていた。 調査は企業のデータ保護を手掛けるPGPがスポンサーとなり、調査会社のPonemon

Ponemon Instituteの調査によると、情報漏えいに起因する平均コスト（検出、通知、事業機会の損失などにかかわるコスト）は増加しつつあるようだ。企業にとって最大のコストは事業機会の喪失で、情報流出コスト全体の69％を占めている。 情報流出、特に外部の人間による情報流出はコストを発生させ、その金額は増加傾向にあるようだ。 情報流出に伴うコストに含まれるのは、関係者への通知に関連した費用だけではない。事業機会の喪失というコストも発生するのだ。そしてPonemon Instituteの調査によると、このコストは情報流出に起因するコストで最大の部分を占めている。 PGPがスポンサーとなって実施されたこの調査によると、2008年の情報漏えいに伴う対応作業（調査、通知、事後対策など）の平均コストは、情報1件当たり202ドルで、2007年の1件当たり197ドルと比べて増加した。 この調査では、

今回紹介するアプリはFlickup。価格は350円だ。このアプリは、オンラインフォトコミュニティ「Flickr」専用の写真アップローダーで、アプリで写真を撮る、フォトアルバムからFlickrに写真をアップロードする、といった機能を備える。 僕はFlickr愛用者を通り越して、Flickr中毒者と言えるかもしれない。米Yahoo！に買収される前からFlickrを有料ユーザーとして使っていて、ひとまず撮影した写真のすべてを、プライバシーの調整をした上でFlickrにアップロードしている。最近ではMacのKeynoteやPowerPointで作った図版までFlickrにアップロードしてタグを活用して管理するほどだ。 Flickrに写真をアップロードすると、自動的に5種類のサムネイル画像を生成してくれる。つまり一眼レフデジカメで撮影した解像度の高い写真も、アップロードするだけで小さい写真にしてくれ

IPAがWebサイト運営者に行ったアンケートから、Webサイトに対するセキュリティ意識が十分に浸透していない状況が分かった。 Webサイト開発時にセキュリティを意識した運営者は50％――情報処理推進機構（IPA）とJPCERT コーディネーションセンター（JPCERT/CC）が1月26日に発表した2008年10～12月期の「脆弱性関連情報に関する届出状況」で、Webサイト運営者のセキュリティ意識が十分に浸透していない状況が明るみになった。 IPAでは、脆弱性対策を実施したWebサイト運営者にセキュリティ意識などをアンケートし、2008年7月から210件の回答を得た。その結果、Webサイトの開発段階でセキュリティを意識したという回答は50％だった。2006年の30％程度に比べて増加したものの、半数近くが意識していないことが判明した。 Webサイト開発時にセキュリティ対策を実施した割合は、上場

Microsoftが臨時パッチ「MS08-067」で対処した脆弱性を悪用するワームが、企業ネットワークで感染を広げている。 米Microsoftが10月の臨時パッチ「MS08-067」で対処した脆弱性を悪用するワームが依然猛威を振るっている。 SANS Internet Storm Centerやセキュリティ企業の米Symantecによると、MS08-067ワームは最初に出回った「Downadup.A」に続き、12月下旬に亜種の「Downadup.B」が出現した。同じワームはセキュリティ企業によって「Conficker」などの別名で呼ばれている。 ワームに感染すると、ユーザーが設定したシステム復元ポイントを削除し、Windows Update Serviceを無効化。辞書攻撃を使ってローカルネットワークの共有パスワードを破ろうとする。Downadup.Bは2009年1月以降、外部のWebサ

企業システム対する不正アクセスや内部関係者による情報漏えいなど、企業を取り巻くセキュリティのリスクが経営課題となり始めている。経済情勢の悪化など経営環境が厳しさを増す中で、セキュリティ対策の不備はビジネスに大きな影響を与えるといっても過言ではない。企業が2009年に取り組むべきセキュリティ課題について、ガートナージャパンでセキュリティ調査を担当するリサーチディレクターの石橋正彦氏に聞いた。 ITmedia　2008年は企業の情報漏えい問題が以前にも増して注目されました。現状の情報セキュリティ対策はどこまで進んでいるのでしょうか。 石橋　情報漏えい対策は、海外では「Data Loss Prevention」（DLP）とも言われ、企業における重要なテーマになっています。企業が抱える顧客情報や経営情報の流出事件など受けて、クライアント上ではHDDの暗号化、サーバ側ではWebサイト経由の不正アクセ

社外に持ち出したデータの紛失やうっかりミスによる流出が35.2％を占めている。内部関係者による窃盗は15.7％に増えた。 2008年に起きた企業や公的機関からの情報流出件数は前年に比べて大幅に増えたことが、非営利組織の米Identity Theft Resource Center（ITRC）がまとめた統計で分かった。 それによると、2008年に報告された情報流出の件数は656件で、前年の446件に比べて47％増加した。組織別に見ると、最多は一般企業の240件。次いで教育機関131件、政府・軍機関が110件、健康・医療機関が97件、金融機関が78件となっている。 流出した情報を暗号などの強力な手段で保護していたのはわずか2.4％のみ。パスワードを設定していたのは8.5％のみだった。 流出の原因は、マルウェア攻撃／ハッキング／社内関係者による窃盗が合計で29.6％を占めている。特に内部関係者が

手紙が不定型なのに対し、ハガキは基本的に定型サイズなので、別のルールで保管している。最近は保管後が面白い。ScanSnapやiPod touchを使って“遊べる”のである。 前回手紙の標本化について書いたが、今回はハガキの話。 15年以上の試行錯誤に末に…… 手紙が不定型なのに対し、ハガキは基本的に定型サイズなので、別のルールで保管している。ここでいうハガキというのは、基本的に100×148ミリの官製ハガキ（今はなんと呼べばいいのか？）サイズか、それに限りなく近い物だけを指す。例えば海外からの絵ハガキなどで、縦長だったり、ちょっと大きかったりするものは手紙と同じ扱いとし、前回の手紙ファイルに綴じる（ハガキは基本的に両面が重要なので、一辺だけをテープやステープラで留めたり、透明ポケットのリフィルを使用したりしているが、……これには困っている）。 要するに筆者が持っているハガキ収納用の箱（筆者

同社によると、不正アクセスを受けたのは11月12日。「イベントチケット情報」「列車運行情報」「特急列車空席案内」の3つのWebページが改ざんされたという。これを受け、11月28日の13時21分にホームページの運用を停止したが、11月12～27日までに同Webページを閲覧したユーザーは、ウイルスに感染している恐れがあるという。 埋め込まれていた不正プログラムは「JS_AGENT.IMK」。トレンドマイクロによると、このプログラムはWebページ内に含まれており、ユーザーが閲覧した時に実行される。不正プログラムが実行されると、コンピュータに「Adobe Flash Player」がインストールされているかを確認し、バージョンごとに「.SWF」ファイルをダウンロードするという。 JR北海道は、トレンドマイクロのウイルスバスターや無料のオンラインスキャンツールを使って、検索エンジンとパターンファイル

トレンドマイクロの月例ウイルス調査で、USBメモリに感染する「MAL_OTORUN」が4カ月連続でトップとなった。 トレンドマイクロは12月3日、11月の「インターネット脅威マンスリーレポート」を発表。USBメモリなどで感染を広げる「MAL_OTORUN」の検出数が4カ月連続でトップになり、警戒を呼びかけている。 11月の不正プログラムの感染被害報告数は5207件で、10月の5744件から減少した。しかし、「MAL_OTORUN（オートラン）」の感染報告数は611件で10月の471件から増加し、報告数全体に占める割合は約11％だった。 同社は、USBメモリなどの可搬型記録媒体をウイルスの感染経路に利用する手口が定番化していると指摘。記録媒体内でコピーを繰り返す機能を持つタイプも出現し、報告数増加の一因になっているという。 このほか、不正サイトへユーザーを誘導する「MAL_HIFRM」や「J

脆弱性攻撃ツールの価格は5ドルから、闇市場での相場が明らかに：Symantecのアンダーグラウンド報告書 脆弱性検出ツールの価格帯は5～150ドルまでとさまざま――米Symantecが11月24日に公表した調査報告書では、個人情報などを搾取するために悪用する攻撃ツールの市場価格が明らかになった。 Symantecでは、フィッシング詐欺やシステムへの不正アクセスなどで盗み出したクレジットカード番号や銀行口座情報、電子メールアドレスなどの個人情報がアンダーグラウンド市場で大量に売買されていると指摘。これら情報を入手するための攻撃ツールが数多く存在するとともに頻繁に売買されており、開発者と悪用する攻撃者の需給関係に基づいた市場が形成されていると報告している。 攻撃ツールの市場規模は、盗難情報を売買する市場ほど大きなものではないという。しかし、近年はインターネットを利用したサービスの多様化でWeb

クロスサイトスクリプティング（XSS）情報サイトの米XSSed.comは11月12日、Googleのアカウントログインページに深刻なXSSの脆弱性が見つかったと伝えた。 GoogleのログインページにはSSLが使われているが、このXSSの脆弱性を悪用された場合、攻撃者がマルウェアやスパイウェア、アドウェア配布に利用するほか、ユーザーのログイン情報を盗むことが可能だった。 なお、脆弱性情報が公開された数時間後に、この問題は修正されたという。 過去のセキュリティニュース一覧はこちら 関連記事 Flash Player 9でもアップデート公開、XSSの脆弱性に対処 AdobeはFlash Player 10へのアップグレードを望ましいとしているが、一部ユーザー向けにFlash Player 9の更新版を公開した。 米Yahoo!の転職サイトにXSSの脆弱性、不正コードでcookie盗む Netc

ケーブル類を引き出しやカバンに無造作に入れると、必ずと断言してもいいほど互いに深く絡み合っている。きっとこれは現世で結ばれなかったロミオとジュリエットの怨念に違いない。今回はそんな状況をなんとかするアイテムのご紹介。 ヘッドフォンの回にも触れたが、私は、ケーブル類が大嫌いだ。扱いが下手だというのもあるが、やはりどう考えても不便だ。引き出しやカバンに無造作に入れると、必ずと断言してもいいほど互いに絡み合っている。「ケーブルには、現世で結ばれなかったロミオとジュリエットの怨念がとりついている」と勝手に思っている。 冗談はさておき、機能的になんとかなるなら、ケーブルなんかないに越したことはない。自宅内無線LANなど、1度試せばもう絶対後戻りしたくない。いまや、私の自宅はスピーカーもプリンタも、自動バックアップのHDDまでワイヤレスである。それでも電源は依然としてケーブルを介して供給されるわけで、