「情報セキュリティ読本 三訂版 IT時代の危機管理入門」（編著：情報処理推進機構）、A5判／144ページ、ISBN：ISBN978-4-407-31800-5、定価500円、実教出版 情報処理推進機構（IPA）は、コンピュータユーザー向けの情報セキュリティ教本「情報セキュリティ読本 三訂版」（実教出版）を刊行した。8月10日ごろから全国の書店で販売されている。 同書は、2006年11月に刊行した前回の内容を最新のセキュリティ環境の変化に合わせて改訂したもの。ボットを使用した攻撃や標的型攻撃、フィッシング詐欺など、近年の攻撃手法と被害事例を解説するとともに、企業などの組織に求められるリテラシーや倫理などの項が加わった。 特に攻撃手法の解説では、脆弱性を悪用する攻撃としてDNSキャッシュポイズニングやSQLインジェクション攻撃を追加。用語集では新しい用語を追加し、解説ページの番号を付記するなど

バージョンアップを果たしたSunbird＆Lightning。Googleカレンダーの内容を表示して、Sunbird＆Lightning側で読み書き修正することが可能になっている。 カレンダーソフト「Sunbird」と「Lightning」（メールソフトThunderbirdに組み込んで使う）に新バージョンが登場した。この2つのソフトの魅力の1つは、Googleカレンダーと同期できる点にある（もう1つの大きな魅力は、メールソフトであるThunderbirdにカレンダーを組み込んで同時に使えることだ）。 Googleカレンダーを読み込める──というアプリケーションはしばしばあるが、Sunbird／Lightning側で行った変更がGoogleカレンダーに反映されるのは大きな利点だ。 ではどのように操作したらいいか見ていこう 最初に拡張機能「provider for google calend

「Snow Leopard」のセキュリティは企業にとって十分か？：Windows 7と渡り合えるのか（1/2 ページ） Appleは9月にMicrosoftは10月にそれぞれOSの新バージョンを発売する予定だ。Appleは新OS「Snow Leopard」をWindowsよりセキュアだとうたっているが、本当だろうか。 企業ユーザーにとって、セキュリティは常に大きな関心事だ。多くの企業では、毎日のように社外に出歩く従業員のノートPCにも重要な業務データが保存されている。また、悪質なハッカーは企業の機密データにアクセスしたり、情報を盗んだり、あるいは単に混乱を引き起こしたりするために、社内ネットワークに侵入する策略を絶えず練っている。ITマネジャーはこのことを念頭に置き、優れたセキュリティソフトウェアを採用するとともに、従業員の安全とセキュリティについて常に心配しなければならない。これは大変な

処分だけでは済まされない さて、N氏の今後の処遇については、人事部や上司である支店長などが検討しました。N氏本人が流出させたわけではないものの、無罪放免では済みません。社会が納得するであろうとして、依願退職という形になりました。しかし、N氏は50代です。この状況下では、簡単には就職口が見つかりません。退職金が支払われましたが、定年退職を目前にしていたN氏にとっては本当に辛いことでした。 事件はあまりも社会的影響が大きく、通常なら人事部が再就職先の仲介をするのですが、それも全くありませんでした。たまに面接までに至っても、事件のことを明らかにするとほぼ100％「不採用」の返信が来るという状況でした。やっとのことで銀行時代に懇意にしていた企業の経営者からの紹介で、警備会社に就職できましたが、収入は銀行員時代の3割に届くかどうかというほどに減ってしまったのです。 それでも就職口があるだけましと考え

2005年の個人情報保護法の施行以後、企業や公共団体における個人情報の取り扱いは繊細な課題となった。同法の立案にも関わった一橋大学名誉教授の堀部政男氏は、日本における個人情報保護での課題を指摘した。 個人情報保護法が施行された2005年4月以降、企業や公共団体などにおける個人情報の管理が繊細な課題となった。同法の立案にも関わった一橋大学名誉教授の堀部政男氏は、海外とは異なる日本の個人情報に対する意識がさまざまな問題を生んでいると指摘した。 堀部氏は、東京都情報公開・個人情報保護審議会の座長を務めるなど、長年同分野の研究に取り組み、政策や法規制などの立案、提言などに取り組んでいる。 個人情報を取り巻く最近の問題では、グーグルのストリートビューが代表的。同社がインターネットで公開した画像に対するプライバシー保護が十分ではないとして消費者らが問題提起し、都情報公開・個人情報保護審議会の場で議論が

年々巧妙化する不正アクセス事件。既存の対策技術を回避する手法も登場する中で、企業はどのような策を講じたらいいか。米Verizon Businessの事件調査官にポイントを聞いた。 企業の重要情報を狙った不正アクセス攻撃が年々巧妙化している。前回は、不正アクセスによる情報漏えいの原因や攻撃者が用いる手法を紹介した。米Verizon Businessで事件調査を担当するブライアン・サーティン氏は、攻撃者の行動や対策のポイントを解説してくれた。 2000年ごろからの攻撃パターンをみると、2002年ごろまでは特定の企業だけ標的にする攻撃が目立ったが、2001年ごろからは無作為に攻撃する傾向が強まっている。また、2006年ごろからある程度対象を絞った攻撃も増えつつある。2008年は特定企業を狙う攻撃が復活し、3つのタイプの目的が混在する状況になった。 ある程度対象を絞った攻撃では、一定期間に特定の業

Windowsの脆弱性を突き、USBメモリなどを通じて感染するワーム「Conficker」（別名Downadup）が依然として活動を続けている。4月に一斉攻撃開始の可能性が取り沙汰され、メディアでも騒がれたが、この騒ぎが収まった今でもワームの勢力はまったく衰えていないと、セキュリティ企業の米Symantecが指摘した。 Symantecによれば、直近の亜種である「Downadup.E」は、2009年5月3日になると自らを消去する機能を備えていた。しかしこの日を過ぎても、感染数は予想されたほどには減っていない。 Symantecが検出したDownadupの新規感染数は、5月3日以降下旬までの1カ月間で、わずかに減りはしたが、ほぼ一定数を保っているという。 こうした状況を受けてSymantecは、Downadupの動向や仕組みについてまとめた報告書「Downadup Codex」を公表。Dow

脆弱性修正パッチを適用していないものや、セキュリティ対策ソフトを適切に使っていないPCが多数を占めることが判明した。 セキュリティ企業の英Sophosは、企業で使用されるPCの90％が基本的なセキュリティ対策を講じられておらず、リスクにさらされていることが分かったと発表した。 Sophosは、企業のWindows PCをスキャンしてセキュリティ状態をチェックする無料サービス「Endpoint Assessment Test」を通じ、昨年数千社から収集した情報を分析した。 その結果、ソフトウェアの脆弱性を修正するパッチがリリースされているにもかかわらず、適用していないPCが多数あることが判明。その筆頭はWindows OSの59.1％で、以下Office（36.3％）、Internet Explorer（19.7％）、Media Player（12.7％）、Flash Player（7.1％

トレンドマイクロは、5月の脅威動向をまとめたリポートで、改ざんされたWebサイトで感染する通称「Genoウイルス」の検知数が急増していると報告した。 トレンドマイクロは6月3日、5月の脅威動向をまとめた月例リポートを発表し、Webサイトで感染するトロイの木馬「TROJ_SEEKWEL」の検知数が急増していると報告した。 TROJ_SEEKWELは、不正に改ざんされたWebサイトを閲覧すると感染し、ユーザーのFTPアカウント情報を盗み出す。攻撃者は、脆弱性を抱えたWebサイトに何らかの方法で侵入して、閲覧者を悪質サイトへ誘導する「JS_AGENT」などの不正スクリプトを埋め込み、改ざんする。 国内では通称「Genoウイルス」、海外では「JSRedir-R」などとも呼ばれ、多数の正規サイトが改ざん被害に遭ったとみられる。攻撃者は、盗んだアカウントで異なるサイトを次々を改ざんする狙いがあるのでは

KDDIは6月3日、同社が2日に顧客へ送信した広告メールで他人のメールアドレスが見られる状態になっていたと発表した。合計4464件のメールアドレスが流出した。 同社は、2009年2月1日～5月28日に国際電話Webサイトで「001国際モバイルトーク」を申し込んだ顧客に対して、2日午後1時4～18分に5回の広告メールを送信した。その際、操作ミスが原因でメールアドレスがあて先欄に表示される状態になったまま、メールが送信された。 同社によれば、1回当たりの送信を1000件のメールアドレスに制限していたため、受信者が知り得る他人のアドレスは最大で999件となっている。メールアドレス以外に流出した情報はなく、不正利用も確認されていないという。 同社は、2日午後3時15分にメールアドレス流出の事実を対象顧客へ通知するとともに、削除を求めるメールを送信。3日午前11時にも経過報告と謝罪のメールを改めて送

IPAは、新型インフルエンザに便乗したスパムメールや、スパムに添付された不正プログラムに注意するよう呼び掛けている。 情報処理推進機構（IPA）セキュリティセンターは6月3日、5月の「コンピュータウイルス・不正アクセスの届出状況」を発表した。新型インフルエンザに便乗するスパムやマルウェアに対する警戒を呼び掛け、特徴を解説している。 見つかった手口では、「新型インフルエンザへの対策」などの件名でスパムを送りつけたり、検索結果に悪質サイトへのリンクを表示させるSEOポイズニングなどを利用したりするものがあった。スパムには、「詳細ガイド」とうたった不審なPDFファイルが添付され、国内では国立感染症研究所をかたった偽メールも見つかっている。 添付ファイルは、Adobe PDFの既知の脆弱性を悪用するマルウェア「Trojan.Pidief.C」が仕掛けられており、脆弱性が解消されていない状態で添付フ

約2000の正規サイトに悪質なJavascriptが仕込まれ、不正サイトへユーザーをおびき寄せているという。 世界各国で正規サイトが改ざんされる被害が続出し、約2000のサイトに悪質なJavascriptが仕込まれているのが見つかったと、セキュリティ企業の米Websenseが伝えた。 問題のJavaScriptは難読化して判別しにくくしており、不正サイトへユーザーをおびき寄せる仕掛けになっている。この不正サイトはGoogleのアクセス解析サービス「Google Analytics」を思わせるドメインを利用。ソフトウェアの脆弱性を突き、ユーザーのコンピュータに悪質ファイルをインストールして実行してしまう。 5月29日現在で、ウイルス対策ソフトによるこの悪質ファイルの検出率は極めて低いという。 Webサイト改ざんでは、通称「GENOウイルス」（別名Gumblar、JSRedir-R）というマル

マイクロソフトは、IT技術者やCIO向けに情報セキュリティ対策を解説するWebサイト「あんしん処 セキュリ亭（せきゅりてい）」を開設した。 同サイトは、CIOやIT管理者、ソフトウェア開発者などを対象に、情報セキュリティ対策のポイントを架空のスト－リー形式で紹介。映像などを交え、同社のセキュリティレスポンスチームが3分程度で解説している。 内容は休憩時におけるセキュリティの盲点や、無料ツールで実現するセキュリティ対策、リムーバブルメディアの適切な使い方や、ノートPCの紛失による情報漏えいへの対処、安全なWebサイト構築方法などを予定。 1カ月ごとの定期更新のほか、ウイルス騒動などが発生した場合に臨時情報も提供する。 過去のセキュリティニュース一覧はこちら

米GoogleのWebブラウザの最新版「Google Chrome 2.0」には、新機能が幾つか追加され、動作速度の向上が図られている。では、セキュリティについてはどうなのだろう？ Webセキュリティの脅威の高まりを受けて、ブラウザベンダー各社は後れを取るまいと懸命に対策に取り組んでいる。実際、MicrosoftのInternet Explorer 8（IE8）にも、多数のセキュリティ機能が追加されている。GoogleもChrome 2.0に幾つか新しいセキュリティ機能を追加した。例えば、クロスサイトリクエストフォージェリ（CSRF）やクリックジャック攻撃に対する対策などだ。CSRFとは、Webアプリケーションにログイン済みのユーザーに不要なアクションの実行を強要するという攻撃手法。CSRF攻撃への対策として、Chrome 2.0では、サーバがステートを変更する可能性のあるPOSTリクエス

セキュリティ企業の調査によると、無線LANの57％はオープンな状態になっているか、脆弱なWEP暗号が使われているかのいずれかだった。 無線LANセキュリティを手がける米AirTight Networksは、英米7都市の金融街で無線LANセキュリティの現状について調べた結果、いまだに無線LANの多くが無防備な状態で使われていることが分かったと発表した。 AirTightは米ニューヨーク、シカゴ、ボストン、ウィルミントン（デラウェア州）、フィラデルフィアと英ロンドンで2～4月にかけて調査を実施。その結果、無線LANの57％がオープンな状態になっているか、脆弱なWEP暗号が使われているかのいずれかだった。 これら無防備な無線LANの61％は、コンシューマーとSOHOのアクセスポイントが占め、デフォルトのまま使われているものも多かった。 こうしたアクセスポイントでは、データが流出して外部から傍受で

「この仕組みがないと困る」――楽天が採用しているMBSDのセキュリティ教育は、実効性を重視した教育プログラムになっていることが採用のポイントという。 「この仕組みがないと、本当に困ります。セキュアプログラミングの勉強なしでプログラムを書き始められたらと思うと恐い」 楽天のエンジニア・武政央高さん（開発部 コンテンツメディアサービスプロデュースグループ）は、こう明かす。 “この仕組み”とは、楽天が導入している、三井物産セキュアディレクション（MBSD）のセキュリティ教育プログラム「セキュアWebアプリケーション開発セミナー」だ。エンジニアは、入社時に必ずセキュリティセミナーと試験を受験し、年1回、更新試験も受ける。不合格者にはペナルティがあり、自分の書いたソースプログラムが安全かどうかを、試験の合格者にセキュリティレビューをしてもらわなければならない。 Webアプリケーションは、セキュリティ

JPCERT/CCは、ソフトウェアの設計段階で脆弱性の発生や要因を減らすことを目的とした技術資料を公開した。 JPCERTコーディネーションセンター（JPCERT/CC）は5月19日、ソフトウェアの脆弱性発生を設計段階で低減することを目的とした技術資料「セキュアデザインパターン英語版」を公開した。 資料では、ソフトウェアの設計工程において脆弱性につながる要因の数と脆弱性の被害を最小限にするためデザインパターン（設計のひな形）を取りまとめた。認証や認可など特定のセキュリティ機能要件を満たすものではなく、ソフトウェアやシステムに対するセキュリティ品質の向上を目的にしている。 適用範囲や開発環境などに依存しないことから、さまざまなソフトウェア開発案件に適用できるといい、プログラミング段階でのセキュアコーディングと併用することで脆弱性対応関連のコスト削減にもつながるとしている。 日本語版の資料は6

トレンドマイクロは、不正サイトへの接続を遮断するWebセキュリティツールを無償公開した。90日間限定で使用できる。 トレンドマイクロは5月14日、不正サイトへの接続を遮断するWebセキュリティツール「Trend Micro Web Protection Add-On」を無償公開した。90日間限定で使用できる。 同ツールは、PCからWebサイトへ接続する際に同社のWebサイト評価データベースを参照して、不正サイトへの接続を遮断する。不正サイトからマルウェアが自動的にインストールするのを防止するほか、スパイウェアがユーザー情報など送信した場合に警告メッセージを発する。

トレンドマイクロによれば、4月も「MAL_OTORUN」や「WORM_DOWNAD（別名Conficker）」による被害報告が目立っている。 トレンドマイクロは5月8日、4月のインターネット脅威リポートを発表した。Windowsの脆弱性（MS08-067）を悪用する「WORM_DOWNAD（別名Conficker）」ワームの報告数が増加した。 総報告数は前月比416件減の4125件で、リムーバブルメディアで感染を広げる「MAL_OTORUN」が9カ月連続のトップとなった。WORM_DOWNADは前月比55件増の184件となり、3カ月連続で2位だった。 WORM_DOWNADによる攻撃では、偽セキュリティソフトウェアをダウンロードする亜種が見つかり、目的がこれまでの感染拡大から金銭搾取に変わったと同社は分析。WORM_DOWNADのソースコードが流通し、攻撃者が狙いに応じて容易に亜種を作成で

IPAはリムーバブルメディアの自動実行機能を悪用するマルウェア被害が続いているとして、MSが公開している無効化機能などの導入を呼び掛けている。 情報処理推進機構（IPA）セキュリティセンターは5月7日、4月の「コンピュータウイルス・不正アクセスの届出状況」を発表した。リムーバブルメディアの自動実行機能を悪用するマルウェア被害が続いているとして、対策の導入を呼び掛けた。 2008年後半から猛威を振るっている「Conficker（別名Downad）」ワームのように、近年はUSBメモリなどのリムーバブルメディアで感染を広げるマルウェアが増加している。これらのマルウェアは、OSの自動実行機能を悪用してユーザーがマルウェアに気付く前に感染してしまうケースが多い。リムーバブルメディアは、容易にデータを持ち運べる利便性から急速に普及し、攻撃者が感染を効率的に広げる手段として注目しているとみられる。 国内