サイバーエージェントは1月7日、ブログサービス「Ameba」のセキュリティ啓発キャンペーン「ノートン警察」で配布していたブログパーツ「Norton Police City in Ameba」が不正アクセスで改ざんされ、閲覧したユーザーがトロイの木馬型ウイルスに感染した恐れがあると発表した。 感染の恐れがあるのは、2009年12月26日～10年1月6日に同ブログパーツを閲覧したユーザー。設置されていたブログ数やブログパーツの閲覧数、ウイルスの挙動などは「調査中」としている。 12月26日午後11時15分、委託先の制作会社が運営管理するブログパーツのサーバが不正アクセスを受け、プログラムを改ざんされたという。ユーザーからの情報と委託先からの報告で改ざんが発覚。1月6日にブログパーツをすべて削除した。 ノートン警察は、シマンテックと共同で昨年9月17日～12月9日に行った広告キャンペーン。中川翔

フィッシング対策協議会は12月25日、大手SNSサイトのmixiとGREEをかたるフィッシング詐欺サイトが相次いで見つかったとして注意を呼び掛けた。 mixiをかたる偽サイトは「招待制度廃止実験開始！」と称し、指定されたメールアドレスへ空メール（本文のないメール）を送信すると、個人情報などの入力を求めるサイトに誘導される仕組みとみられる。

この冬、携帯電話を新しく買いました。今まではauのExilimケータイとiPhone 3Gを2台持ちしていたのですが、仕事用と私用を1台にまとめようと思い、メイン回線のiPhone 3Gを解約してNTTドコモへMNP（番号ポータビリティ）することに。 事前にソフトバンクでMNPの予約番号を取っておいてから、ドコモのカウンターへ。ドコモの説明員は「え、iPhone解約するんですか」とちょっと驚いていたようでした。その後私を見る目に「このお姉ちゃん、iPhoneを使いこなせなかったんだろうなあ、きっと」という哀れみが浮かんでいたように見えたのは、私の被害妄想でしょうか……。 左が2009年6月に発売された「iPhone 3GS」。筆者が使っていたのは写真右側の「iPhone 3G」。使い始めたころはiPhone OS 3.0のリリース前で、コピー＆ペーストができないなど制限も多かった iPho

JR東日本のWebサイトトップページにあるサイト内検索窓の挙動が、不正アクセスを受けて改ざんされていたことが分かった。12月23日未明から一部機能を停止し、調査を続けている。 21日夕方、一般ユーザーから「トップページに改ざんがある」と報告を受けて調査を開始。検索窓の挙動が改ざんされていることが判明し、「影響度合いが深刻と判明したため」23日午前1時40分、サイトの機能を一時停止した。 検索時の挙動など詳細は調査中。検索窓を利用したユーザーを不正なサイトにアクセスさせ、ウイルスに感染させるといった動きをしていた恐れもあるとみて調査を進めている。 トップページや会社案内などの機能は停止しているが、チケット予約や運行情報などは利用できる。

SophosはFacebookで試験的に、「Freddi Staur」（詐欺師のFraudsterをもじった名前）という緑のカエルのキャラクターのプロフィールを作成し、自分についての情報は最低限しか公開しないまま、200人に友達登録のリクエストを送って反応を調べた。 その結果、200人中87人から返事があり、41％に当たる82人の個人情報を簡単に入手できてしまったという。個人情報の内容は、学歴や仕事に関する情報（87％）、誕生日（84％）、電子メールアドレス（72％）、現住所／居住地（78％）などが多く、ほぼ4人に1人が電話番号やインスタントメッセージング（IM）のスクリーンネームまで公開していた。また、家族や友人の写真を掲載したり、配偶者の名前を明かしているユーザーも多かったという。 これだけの情報があれば、特定の個人や企業を標的としたフィッシング詐欺メールやマルウェアの送信、パスワード

SPI Dynamicsの研究者によると、未熟なプログラマによるAjaxの実装が深刻な脆弱性を作り出す可能性がある。Black Hatからのレポート。 ラスベガス発――オンライン企業間におけるAjax（Asynchronous JavaScript and XML）技術の普及が急速に進み、Webサイトのインタラクティブ性の向上に一役買うようになった。一方で、経験の浅いプログラマが製作したサイトに潜む数多くの脆弱性が、Web 2.0技術の今後のセキュリティに影を落としているという。 7月31日から8月3日にかけて開催されたセキュリティカンファレンス「Black Hat」で講演を行ったビリー・ホフマン氏は、アトランタに拠点を置くセキュリティソフトウェアメーカー、SPI Dynamicsの研究施設で、主任リサーチエンジニアを務めている人物である。同氏は講演の中で、ごく一般的なAjaxアプリケーシ

ソーシャルネットワーキングサービス（SNS）で知らない相手から届いた友達リクエストに応えてしまうユーザーがあまりに多いと、セキュリティ企業の英Sophosが警鐘を鳴らしている。 Sophosではユーザーの反応を調べる目的で、米大手SNSのFacebookに架空のユーザーアカウントを作成。「デイジー・フェレティン・21歳」にはアヒルの玩具の写真を、「ディネッティ・ストーニリー・56歳」には2匹の猫の写真を添えて登録し、Facebookユーザーの中からそれぞれ同じ年齢層の100人ずつを無作為に選んで友達になりたいとリクエストを送った。 その結果、2週間で合計95人の友達ができてしまい、頼んでもいないのに友達になった相手も8人いたという。Sophosでは2年前にも同様の実験を行ったが、今回の方が成功率は高かったとしている。 友達になったユーザーのうち、20代の89％、50代の57％が生年月日を公

Windows 7などに搭載されたディスク暗号化機能「BitLocker」が「メイド攻撃」によって破られる恐れがあると、セキュリティ企業が指摘した。 MicrosoftがWindows 7やVistaなどで提供しているディスク暗号化機能「BitLocker」に弱点があるのではないかとの論議が浮上している。セキュリティ企業がこの弱点を突いた「メイド攻撃」の可能性を指摘したのに対し、Microsoftは「リスクは低い」と反論した。 「メイド攻撃」は、例えばホテルの部屋などに宿泊客が置いて行ったノートPCを、悪意を持った客室係が不正に操作してしまう攻撃形態のこと（内部者の行為）。ドイツのセキュリティ企業Fraunhoferは、BitLockerの保護がかけられているPCでも、この方法を使えば保護されたデータにアクセスすることができてしまう可能性があるとして、想定される攻撃手法を紹介した。 これに

Microsoftは12月9日、Windows 7入りUSBメモリを作成できるツール「Windows 7 USB/DVD Download Tool（WUDT）」の提供を再開し、ソースコードをオープンソースとして公開した。 同ツールはMicrosoft Storeからダウンロードでき、ソースコードはCodePlex.comで入手できる。ライセンスはGPLv2が適用される。 WUDTは、Windows 7のISOイメージからブータブルUSBメモリやブータブルDVDを作成するためのツール。Microsoftは10月にWUDTを公開したが、同ツールにGPLコードが含まれていることが判明して提供を一時中止した。このとき同社は、同ツールをオープンソース化すると約束した。 オープンソース化に伴う変更で、これまでWUDTに含まれていた幾つかのプログラムを別途ダウンロードしなければならなくなったと同社は説

ミクシィは来年1月6日から、SNS「mixi」のPCサイトのデザインをリニューアルする。ここ半年で増えた新機能を整理し、使いやすくする狙い。mixiのロゴとコーポレートロゴも刷新する。 マイミクシィの更新情報は、「日記」や「アプリ」といったコンテンツ別に加え、新着順やマイミク別でコンテンツを横断して見られるようにする。 自分がコメントした履歴は画面左列にまとめて表示。プロフィール情報を変更したマイミクのプロフィール画面に「UP」アイコンを表示し、更新が分かるようにした。誕生日のマイミクにはバースデーアイコンを表示する。画面上部のナビゲーションメニューも変更する。 モバイルサイトも1月6日から一部のユーザーインタフェースを変える。 mixiのロゴとコーポレートロゴも刷新。ロゴ内のオレンジ色の吹き出しから「ミクシィ」の片仮名文字を取り払い、アルファベットの「m」の文字を入れた。

米Googleは12月7日、Google検索の結果にリアルタイムの動的ストリームを追加したと発表した。検索結果のページに、従来の検索結果とともに「Latest results for ～」として数秒前に投稿されたツイートやニュース、ブログなどがスクロール表示される。 Latest resultsの部分をクリックするか、検索オプションの「Latest」（従来は「Recent Result」だった）を選択すると、リアルタイムな検索結果のみを表示できる。検索結果にはニュースやブログの記事のほか、Twitter、FriendFeed、Jaikuなどへの投稿が含まれる。ユーザーは検索結果をフィルタリングすることで、マイクロブログのアップデートだけを表示させることもできる。 この機能は、米AppleのiPhoneおよびAndroid搭載スマートフォンでも利用できる。 新機能追加にともない、検索キーワー

米Microsoftは11月27日のブログで、自動化された攻撃の標的となりやすい安易なユーザー名とパスワードのワースト10を発表した。 Microsoftはおとり用のFTPサーバを通じ、ありがちなユーザー名とパスワードの組み合わせを順番に試してパスワードを破ろうとする攻撃について情報を収集した。その結果、過去数カ月の攻撃で狙われたユーザー名は「Administrator」と「Administrateur」を筆頭に、「admin」「andrew」「dave」「steve」などの人名をそのまま使ったものが多いことが分かった。 パスワード攻撃では「password」「123456」という安易なパスワードが標的となるケースが圧倒的に多く、次いで「#!comment:」「changeme」「F**kyou（英語の悪態表現）」「abc123」などが上位を占めた。 順位 ユーザー名 攻撃回数 パスワード

Mozilla Foundationは11月26日、Firefox 3.6のβ4をリリースした。 100件を超えるバグフィックスを盛り込んだほか、HTML5のFile APIをサポートしている。このAPIにより、Webアプリがユーザーの選んだローカルファイルにアクセスできるようになる。例えばオンライン写真共有アプリで、ローカルにある画像ファイルをブラウザでサムネイル表示し、その中から選んだ画像をWebにアップロードするといったような機能が実装可能になる。 β4はWindows、Mac OS X、Linux向けに英語、日本語など各言語版が公開されている。Mozillaのサイトから無料でダウンロードできる。

ニワンゴは11月28日、「ニコニコ動画」のユーザーインタフェースを活用し、同じテレビ番組を見ている視聴者同士でリアルタイムにコメントを共有できる「ニコニコ実況」の正式サービスを始めた。 真っ暗な画面上で実況コメントを共有できるほか、テレビチューナー付きPCならテレビ番組画面にコメントを重ねることも可能。コメントを表示できるネットテレビも年内に登場する予定だ。「実況というカテゴリーで2ちゃんねるを超えるのが目標」と、開発したドワンゴの永野想さんは話す。 関東キー局とTOKYO MXの8チャンネルに対応した。チャンネルを選ぶと、ニコ動再生画面の映像部分を真っ黒にした画面が現れ、そのチャンネルを視聴中のユーザーが入力したコメントがリアルタイムで流れる。携帯電話にも対応。縦長の端末でも見やすいよう横書きのコメントが上から下に流れる仕様だ。 画面の部分を透明にしたPC用アプリケーションも提供する。テ

ルーマニアのハッカーがアクセスしたと公言しているSymantecのサーバは、日本での技術サポート用サーバのようだという。 米SymantecのWebサイトがSQLインジェクション攻撃を仕掛けられてハッキングされた模様だと、競合するセキュリティ企業のTrend Microがブログで伝えた。 Symantecのサイト攻撃は「Unu」を名乗るルーマニアのハッカーがブログで公言したもので、Trend Microによれば、ハッキングされたのはPC-Doctor社の「Norton PC Expert」を通じた日本での技術サポートに使われているサーバのようだという。 Unuはブログの中で、Symantecストアのデータベースに記録された個人情報やプロダクトキーなどの情報にアクセスすることができたと主張。しかもそこに保存されたユーザーや従業員のパスワードは暗号化されておらず、プレーンテキストのままだったと

NECやNICT、奈良先端大などがサイバー攻撃の発生源を逆探知するシステムを開発した。複数のISPをまたいだ追跡実験に成功した。 NECと奈良先端科学技術大学大学院、パナソニック電工、クルウィット、日本データ通信協会、KDDI研究所、情報通信研究機構は11月26日、サイバー攻撃の発生源を逆探知するシステムを開発したと発表した。複数のISPをまたいだ追跡実験に世界で初めて成功したという。 開発した技術は、サイバー攻撃に利用されるパケットに残された膨大な痕跡を効率的に解析することで、マルウェア拡散やDoS（サービス妨害）などの発生源を追求する。こうした攻撃では、IPアドレスが詐称されていたり、幾重ものネットワークを経由させたりするため、攻撃者を追及するのが難しい。 各機関では、対象となるパケットのハッシュから追加したISPの接続ポイントを確認するシステムや、収集パケットを攻撃と関連付けるシステ

学生生活の悩み、時間、お金――保田隆明が大学院に行く理由（後編）：社会人大学院特集（1/5 ページ） 保田隆明（ほうだたかあき） 財務戦略アドバイザー。外資系投資銀行2社で企業のM＆A、企業財務戦略アドバイザリーを経たのち、起業し日本で3番目のSNSサイト「トモモト」を運営（現在は閉鎖）。その後ベンチャーキャピタル業を経て、現在はワクワク経済研究所代表として、日本のビジネスパーソンのビジネスリテラシー向上を目指し、経済、金融について柔らかく解説している。 主な著書は『実況LIVE 企業ファイナンス入門講座―ビジネスの意思決定に役立つ財務戦略の基本（ダイヤモンド社）』『いちばんやさしい ファイナンスの本 (実務入門) （日本能率協会マネジメントセンター）』『投資銀行青春白書（ダイヤモンド社）』など。 日本テレビやラジオNikkeiではビジネストレンドの番組を担当。2007年4月～2008年8

チェック・ポイント・ソフトウェア・テクノロジーズは、FaceTime Communicationsが持つ5万種以上のアプリケーションデータベースを利用したセキュリティ制御機能を2010年に提供する。 チェック・ポイント・ソフトウェア・テクノロジーズは11月25日、アプリケーションの利用を制御するセキュリティ対策機能を2010年中に提供すると発表した。このほど買収したFaceTime Communicationsのアプリケーションデータベースを活用する。 FaceTime Communicationsは、5万種以上のアプリケーションデータベースを保有していた。チェック・ポイントはアプリケーションの使用状況を詳細に把握する制御機能を新たに開発し、FaceTime Communicationsのデータベースと統合することで、管理者が不正なアプリケーションの利用を効率的に制限できるようにする。 同

マルウェアで騒ぎを起こすという攻撃は過去のものになり、現在は情報窃盗と詐欺が主流になった。2009年はユーザーの心理に付け入り、こうした攻撃を仕掛けるケースが目立ったようだ。 近年のサイバー攻撃は、ユーザーの心理に付け入って重要な情報を盗み出したり、詐欺を働いたりするタイプが主流になった。シマンテックとメッセージラボジャパンが2009年の脅威動向を振り返り、2010年の脅威を予想している。 米Symantecでセキュリティ問題に対処するシニアディレクターのケビン・ホーガン氏によれば、従来のサイバー攻撃は、ウイルスやワームといった不正プログラムを多数のコンピュータに感染させて騒動に発展させる愉快犯的なものが多かった。しかし、現在ではサイバー攻撃に強い犯罪組織が暗躍し、人海戦術も用いて金銭を狙うようになったという。 同社が10月に集計したユーザーからの不正プログラム情報では、個人から寄せられた