クレジットカードやデビットカードなどの決済処理を手がける米Heartland Payment Systemsは米国時間2009年1月20日，同社の処理システムが不正侵入の被害に遭い，カード情報が流出したと発表した。米メディアの報道によると，米国で過去最大規模の情報流出となる可能性があるという。 不審なカード決済に関して米Visaおよび米MasterCardから通報を受け，同社が調査を進めたところ，処理システムに不正なソフトウエアが組み込まれていたことが前週判明。同社のネットワークで処理したカード情報が流出していたという。これを受けて同社は，連邦捜査機関とカード会社各社に報告した。世界的に広がるサイバー犯罪による犯行の可能性があるとみて，米財務省検察局や司法省と密接に連携を進めているという。 流出したデータの内容について，同社の公式発表では，「買い物の情報，カード所有者の社会保障番号，暗号化

ユニ・チャームは2009年1月14日、社内で利用するメール・システムを米グーグルが提供するサービス「Google Apps Premier Edition（グーグル・アップス・プレミア・エディション）」に移行させた。保存可能なメールの容量を大幅に拡大するなど社員のメール利用環境を向上させただけでなく、約6800人いる国内外のグループ各社に所属する全社員のメールのドメインを「@unicharm.com」に一本化していく。現時点では国内の約3000人が同サービスを利用している。 Google Apps Premier Editionは、グーグルのウェブメール・サービス「Gmail」にスケジュール共有や会議室予約などの機能を加え、99.9％の稼働率を保証したものだ。電話などによる24時間365日のサポートも受けられる。 ユニ･チャームでは、従来は自社でメール・システムを運用。セキュリティーを考慮

9月末，Internet Explorer（IE），Firefox，Safariなど主要ブラウザやFlashPlayerなどのプラグイン・ソフトに潜む「クリックジャッキング」のぜい弱性が報告された。想定される影響範囲が広いうえ，決定的な防御策がなかったことから情報公開が遅れていたが，10月7日に，いくつかのベンダーによる防御策とともにようやく詳細が公開された。 クリックジャッキングを端的に説明すると，悪意あるWebコンテンツに“見えない”ボタンを埋め込み，それをユーザーにクリックさせる攻撃手法である。ユーザーは目に見えているボタンをクリックしているつもりで，悪意あるコンテンツにアクセスしてしまう。 このぜい弱性の主な特徴は， ・JavaScriptの利用を必要としない ・複数のWebブラウザに影響がある ・何度もクリックさせることが可能 の3点だ。クリックジャッキングのぜい弱性報告者の一人

上田　尊江 TransAction Holdings, LLC. CEO　 Founding Partner 「ほんとに信じられない！」「なんでそんなことするの？」「なぜ日本みたいにしないの？」 2006年、アメリカに引っ越してから、アメリカ人の夫にこんな質問を頻繁にぶつけるようになってしまった。毎日びっくりすることの連続だったからだ。個人的な理由でアメリカに永住することになり、輸入事業を手がける会社を設立した。一人の消費者として日常生活を送り、またスモールビジネスのオーナーとして経営をする中で、日本とアメリカの様々な違いを目の当たりにし心底驚いた。 アメリカ系企業で働いたこともあるし、アメリカと日本の橋渡しをする仕事もしたから、アメリカのことはそれなりに分かっているつもりだった。でも紙の資料やメディアを通して知るアメリカと、実際のアメリカはすごく乖離していた。日本では当たり前だった仕組み

Ruby on Rails開発チームとMerb開発チームは2008年12月23日（現地時間）に，両フレームワークを統合すると発表した。MerbはRailsに次いで有力なRuby上のアプリケーション・フレームワークと見られていた。Railsの次期版であるRuby on Rails3で，MerbとRailsを統合する。2009年5月に行われるRailsConf 2009でのベータ版公開を目指している。 「今日からMerbチームはRailsのコア・チームとともに働いている。Merb2は事実上，Rails3となる」（Merbの中心開発者であるYehuda Katz氏）。「MerbチームはそのキーとなるアイデアをRails3にすべて持ち込むことに彼らの力をつぎ込んでいる」（Ruby on Railsの作者David Heinemeier Hansson氏）。「『MerbはRailsであり，Rails

連鎖型攻撃によるウイルス感染が流行している。ユーザーが，悪意あるコードを含んだWebページにアクセスすることで，連鎖的に攻撃を受ける。さらに複数のウイルスがインストールされてしまう。 その感染経路の多くはSQLインジェクションによってコンテンツを改ざんされた“正当な”Webサイトである。今年3月に続き，7月にも国内で多くのWebサイトが改ざんされ，連鎖型攻撃の踏み台にされた。 この攻撃がやっかいなのは，踏み台を介して誘導される悪質なサイトへのアクセス遮断が難しい点，そして攻撃でインストールされる一連のウイルス群が，ウイルス対策ソフトでは駆除が難しい点である。 「隠れ蓑」で延命する攻撃サーバー 連鎖型攻撃はウイルス感染までに複数のステップを踏む。最近，よく見かけるパターンを端的に説明すると，次のようなステップになる（図1）。 ・踏み台サイトに埋め込まれたスクリプトで攻撃サイトに誘導（図1 1

オープンソースWebアプリケーション・フレームワーク「Ruby on Rails」の作者であるDavid Heinemeier Hansson氏は現地時間2008年11月21日，最新版「Ruby on Rails 2.2」の提供を開始した。開発プロジェクトのWebサイトから無償でダウンロードできる。 最新版は国際化を進め，初期設定の状態でさまざまな言語を処理できるようにした。HTTPのETag／Last-Modified対応を改善し，Webページが更新されたかどうか判定する処理の負荷を軽減する。またスレッドの独立性を高め，各スレッドがほかのスレッドに影響を及ぼさず個別に動くよう改良した。 さらに「Ruby 1.9」およびRubyアプリケーションをJava仮想マシン上で実行するための環境「JRuby」との互換性を改善している。API用ドキュメントも見直した。 Ruby on Railsは，H

「組み込み開発に押し寄せるオープンソースの波は日本の産業に何をもたらすのか」---2008年11月21日，組み込み技術展「Embedded Technology（ET） 2008」で「オープンソース・イノベーション：ソフト開発のエコシステムを求めて」と題するパネルディスカッションが行われた。 パネリストはオープンソースのプログラミング言語Rubyの作者 まつもとゆきひろ氏，アプリックス 代表取締役社長 郡山龍氏，CE(Consumer Electronics) Linux Forumマーケティング・チェアでソニー テクニカルマーケティングマネージャ の上田理氏。モデレータは日経BP社 執行役員 日経エレクトロニクスの浅見直樹発行人が務めた。 自前主義から部門・企業のカベを越えた統一へ モデレータの浅見氏は日経エレクトロニクスの記事を示しながら「開発コストに占めるソフトウエアの割合はDVDレ

「攻撃元コンピュータやマルウエア配布サイトのドメイン名やIPアドレスなどが分かれば，ブラックリストを作成して不正アクセスを拒否したり，犯人を捕まえたりできるのではないか？」と思う方もいるかもしれない。しかし，最近のSQLインジェクション攻撃では，攻撃者の足跡がつかめない仕掛けが施されている。 例えば，攻撃元となるコンピュータにはボットネットが使われるケースが増えている。攻撃は，ボットネットを構成する任意のパソコンから送り出される。つまり攻撃元コンピュータのIPアドレスは動的に変わるうえ，攻撃者が直接攻撃を仕掛けるわけではないので，足が付きにくい。 マルウエアは改ざんされたWebサイト上に仕込まれるのではなく，全く別のサーバー上にある。改ざんされたWebサイト上には，アクセスしてきたユーザーをマルウエアの配布サイトに誘導する悪意あるスクリプト・タグだけが存在するケースが一般的だ。悪意あるスク

通信事業大手の米Verizon Communicationsの事業部門であるVerizon Businessは，企業のデータ侵害に関する調査結果を米国時間2008年10月2日に発表した。それによると，業種によってデータ侵害のリスク要因が異なる。企業はその点を念頭にセキュリティ戦略を評価すべきだという。 今回の報告は，同社が同年6月に発表した調査結果を元に，金融サービス，ハイテク，小売，食品／飲料の4業種におけるデータ侵害を分析したもの。この調査結果によれば，データ侵害のうち，外的要因によるものは73％で，内的要因によるものは18％だけだった。 この点を業種別に分析したところ，金融サービス業では内的要因によるリスクが高く，詐欺のような手口を使った攻撃が多かった。平均的に攻撃時間が長く，高度な攻撃が多い。他の業種よりもデータ侵害を早く見つける傾向にあるが，発見までに数週間かかる場合も多いという

ヤフーは、シングルサインオン技術「OpenID」の発行サービスを近日中に開始する方針を固めた。2008年1月21日、日経パソコンの取材で明らかになった。すでに、OpenID発行サービスを1月末に試験提供することを米ヤフーは1月17日に発表済み。日本のヤフーも追従する。ただし、日米では別々のIDを発行することになる。 国内では、当面はヤフーIDを取得済みのユーザーが希望した場合にOpenIDを発行するが、将来はヤフーIDの取得と同時にOpenIDも発行したい考え。正式発表とサービス開始は、2～3週間後になる見通し。 OpenIDは、同じユーザーIDを複数のWebサービスで使えるようにする仕組みの一つで、米オープンアイディーファウンデーションが標準化している。同技術に基づいて構築された発行サービス上でIDを一つ取得すれば、OpenID対応のさまざまなWebサービスを、新規にユーザー登録すること

ネットエージェントは2008年1月23日、世界各国におけるファイル共有ソフトの利用状況を発表した。それによると、「Winny（ウィニー）」および「Share（シェア）」については日本を含む東アジア地域での利用割合が高かったが、それ以外の地域でも利用されていることが確認されたという。このことから、Winny／Share経由で流出した情報は世界中に拡散する可能性があるとして、同社では改めて注意を呼びかけている。 ネットエージェントでは、WinnyやShare、「Gnutella（グヌーテラ）」互換ソフトといったファイル共有ソフトを稼働させているパソコンを検知するシステムを開発。今回公表した情報は、同システムによる調査結果に基づくもの。調査日は2008年1月13日。 なお、Gnutella互換ソフト（Gnutellaのネットワークを使ってファイルを共有できるソフト）には、さまざまな種類が存在する

知的財産権法に関する研究の第一人者として知られ、知的財産戦略会議や文化審議会などの委員も務める東京大学の中山信弘教授が、2008年3月末で東京大学を退職する。同氏の最終講義が1月22日に行われ、同氏が教鞭を振るった約40年間における知財をめぐる環境の変化、知財法制や人材育成などに関する今後の課題などを説いた。中山氏は4月以降、西村あさひ法律事務所顧問として引き続き知財関連の業務に携わっていく予定。 40年前の知財法は「諸法」の1つだった 中山氏は東京大学法学部を卒業後、1969年に助手として東京大学に就職。学生時代に師事した教授の下で著作権法の書籍の編集作業を手伝ったことがきっかけで、知財法に興味を持ったという。以来、一貫して知財法を専門としてきた。「当時は、知財法がドイツ語の直訳で『無形財産権法』と呼ばれていた時代。独占禁止法などと共に『諸法』と位置付けられていた。1973年に無形財産権

米シマンテックは2008年1月22日（米国時間）、ブロードバンドルーターの設定を勝手に変更する悪質なメールが確認されたとして注意を呼びかけた。メールを開くだけでルーターのDNS設定が変更され、ある銀行のWebサイトにアクセスしようとすると、偽サイトへ誘導される恐れがある。その結果、個人情報などを盗まれる危険性がある。 WebページやHTMLメールに悪質なHTMLとJavaScriptを仕込んで、それらを閲覧したユーザーのブロードバンドルーターの設定を変更する攻撃は「ドライブバイ・ファーミング（Drive-by Pharming）」と呼ばれる。 この攻撃では、ブロードバンドルーターのDNS設定を変更し、攻撃者のDNSサーバーなどを参照させるようにする。これにより、ファーミング詐欺を可能にする。具体的には、ユーザーが本物のWebサイトのURLをWebブラウザーに入力しても、攻撃者が意図した偽サ

セキュリティベンダーの米ウェブセンスは2008年1月22日（米国時間）、2007年後半のセキュリティ動向を発表した。それによると、Webを悪用した攻撃（ウイルス感染など）の過半数が、有名企業などが運営する正規のWebサイトを踏み台にしたものだったという。 従来は「Web経由の攻撃」というと、攻撃者が自前で「わなサイト」を開設するケースが多かった。攻撃者は、自分のWebサイトに、ウイルスを感染させる仕掛けなどを用意。偽のメールなどでユーザーをわなサイトに誘導して、ウイルスなどを感染させる。 ところがここ数年、正規のWebサイトに「わな」を仕掛けるケースが増えてきた。攻撃者は、何らかの手段で正規サイトに不正侵入してWebページを改ざん。Windowsなどの脆弱（ぜいじゃく）性を突いてウイルス感染させるようなコードを、Webページ中に挿入する。脆弱性のあるパソコンでは、そのサイトにアクセスしただ

セキュリティ企業Symantecは，ルータの破壊を含む攻撃について警告を発している。 Symantecのブログによると，この攻撃は，同社研究者らが1年前からその概念について議論していたが，実際に出現したのは初めてだという。 攻撃は，あるメキシコ系銀行の利用者を標的としている。犠牲者らはまず，電子カードが届いたことを知らせるスパムメールを受信する。そのメールは，スペイン語電子カードサイトgusanto.comへと誘導するようになっている。しかし，その電子メールには，ルータにDNS設定を変更するよう指示するHTTP GETリクエストを含んだHTML画像タグが埋め込まれている，とSymantec品質保証部門の英国マネージャーを務めるThomas Parsons氏は述べる。 このHTTP GETリクエストは，ユーザーが銀行に関連した6つのドメイン名にアクセスしようと試みた場合，ルータ上のトラフィッ

スイスのWabiSabiLabi（WSLabi）は，セキュリティ・ホール情報の売買を目的としたオンライン・マーケットプレイスを開設した。「研究者やセキュリティ・ベンダー，ソフトウエア企業がオープンな市場でやり取りし，発見した成果をしかるべき対価に変えられる」（WSLabi）。6カ月間は無料で利用可能とする。 セキュリティ・ホールを発見した人は，まずWSLabiに情報を提出する。WSLabiは分析して最終的に実証コードの形態にした後，同マーケットプレイスに概要を掲載して“出品”する。オークション方式で買い手の入札を待つほか，価格を固定して買い手を募ることや，特定の買い手だけに販売することもある。 WSLabiによると，特定の1社にセキュリティ・ホール情報を売ると，価格は1件当たり300～1000ドルになるという。「当マーケットプレイスを利用すれば，同じ情報を10～20倍高く販売できる」（同社

筆者は1カ月ほど前に，ぜい弱性研究の世界における新しい潮流を紹介した。Intellectual Weaponsと呼ばれる会社が，研究者と共同でセキュリティぜい弱性の修正方法を開発し，それの特許権をとると主張している動きだ。彼らの狙いは，特許権の販売や特許権損害訴訟の和解を通じて利益を得ることだった（関連記事：セキュリティ修正が特許の対象に）。 その後，3ComやiDefenseといった他の企業も，ぜい弱性情報の対価として研究者に報酬を支払うプログラムを開始したことは，おそらく読者の皆様もご存知だろう。それら2社のプログラムでは，ぜい弱性の発見者は自らの努力の対価として現金を受け取り，3ComやiDefenseも仕入れた情報を何らかの方法で自らの顧客ネットワークに売ることによって，利益を得る仕組みになっている。 今月，スイスに拠点を置くWabiSabiLabiという別の会社が，ぜい弱性を対象

McAfee Avert Labs Blog 「From Fast-Flux to RockPhish - Part 2」より January 9, 2008　Posted by Francois Paget インターネット上の詐欺の大部分をとりしきる犯罪グループは，巨大でかつ組織化されている。この事実は，もはや秘密でも何でもない。2007年第4四半期に，最も有名な犯罪組織の一つであるロシアのRussian Business Network（RBN）について2件の調査結果が発表された。筆者はその年，これらに興味深く目を通した。一つ目の調査は「Uncovering Online Fraud Rings：The Russian Business Network」（オンライン詐欺の輪をあばく：RBN）というもので，米ベリサインがWebキャストで配信している（同社のWebサイト）。二つ目は，Dav