「Google Chrome」のセキュリティパッチ、詳細が明らかに
Googleは、ブラウザ「Chrome」に対して3日前に提供開始したセキュリティパッチについて沈黙を守っていたが、米国時間9月8日午後、緊急レベルの脆弱性2件と重要度の低い問題数件が修正されたことを、その詳細とともに明らかにした。 GoogleのChromeプログラムマネージャーMark Larson氏が8日午後、メーリングリストで明らかにしたところによると、緊急レベルのパッチ2件はバッファーオーバーランの脆弱性を改修するもので、この脆弱性を利用されると遠隔地にいる攻撃者によってChromeが動いているコンピュータ上で任意のソフトウェアを実行される恐れがある。1つはSaveAs脆弱性と呼ばれているもので、長いファイル名の扱い方に問題があった。もう1つの脆弱性は、マウスカーソルがリンク上にあるときにステータス領域に表示されるウェブサイトアドレスの扱いに関するもの。 Chrome関連の発表やリ
ミクシィと三菱商事、mixi向け決済システムの合弁会社設立
ミクシィと三菱商事は9月9日、決済システム及びサービスを提供する新会社ネクスパスを共同で設立することに合意した。 ネクスパスは、ミクシィが運営するソーシャルネットワーキングサービス(SNS)「mixi」のユーザーに決済システムを提供する。将来的には、決済システム及びサービスを他のウェブサービス事業者にも提供する計画だ。 資本金及び資本準備金は5億円。設立日は10月1日を予定している。代表取締役兼最高経営責任者(CEO)には、ミクシィ代表取締役社長の笠原健治氏が就任する。また、代表取締役兼最高経営責任者(CO-CEO)として、三菱商事のウェブ決済事業プロジェクトマネージャー石川治孝氏が就任する。
グーグル、「Google Chrome」の脆弱性を修正するセキュリティアップデートを公開
Googleは、いくつかのセキュリティ上の問題を修正するため、大急ぎで用意したブラウザ「Google Chrome」のアップデートを、非公式にリリースした。 新バージョンの0.2.149.29は、Googleが先週、Chromeベータ版を発表した時にリリースされた0.2.149.27に代わるものとなる。Googleは、まず最初に少数のユーザーに向けて、米国時間9月5日にアップデートのリリースを開始したが、変更内容について、多くを公式に発表することはなかった。 Google ChromeプログラムマネージャーであるMark Larson氏は、7日のメーリングリストへの投稿で、「149.29はセキュリティアップデートであり、われわれは可能な限り早くリリースすることに努めた。実のところ、もっと多くの時間をかけて準備を進めたかったのだが、まず問題を修正し、アップデートを提供して、ユーザーを保護する
Chromeの「名前を付けてページを保存」機能に脆弱性
ベトナムの会社がChromeの最新の脆弱性を発見した。InformationWeekがウェブサイトで報じた。Bach Khoa Internet Security(BKIS)は、Chrome 0.2.149.27リリースは重大なバッファオーバーフローの不具合を抱えており、リモートハッカーによってPCがコントロールされる恐れがあると指摘する。BKISはこの脆弱性をGoogleに報告したという。 以下では、この脆弱性と、それを利用した攻撃方法についてのBKISの説明を紹介する。 この脆弱性は、「名前を付けてページを保存」機能を処理する際の境界エラーに起因するものだ。非常に長いタイトル(HTMLのTITLEタグ)の悪意のあるページを保存するとき、プログラムによってスタックオーバーフローが発生し、攻撃者がユーザーのシステムで任意コードを実行することが可能になる。 ハッカーは脆弱性を利用して攻撃を行
グーグル創立10周年--企業幹部が予想する第2の「グーグル的」テクノロジ
企業の創立記念日などすぐに忘れがちだが、Googleはほかの大多数の企業よりもスターとしての力を持っている。Googleは1998年9月7日、共同設立者のLarry Page氏とSergey Brin氏がまだガレージで作業していたときに、正式に会社として設立された。 10周年を祝して、Nature誌は、10年後にGoogleと同じように世界に影響を及ぼす可能性のある新技術を研究者や評論家に尋ねた。結局のところ、Googleは10年間で、数台のサーバを借りて運営している企業から、巨大なデータセンターのネットワークを運営し、地図を地元の小売店に提供するだけでなく、科学者の自然に対する理解に大きな影響を及ぼす可能性のある企業に成長した。 Nature誌によれば、研究者、評論家の予想の共通のテーマは、「物質世界と情報世界」の統合だという。回答の一例は以下の通り。 Googleのエンジニアリング担当
「Google Chrome」に初のセキュリティ上の脆弱性
複数の研究者は、Googleが公開したウェブブラウザ「Google Chrome」には、未定義のハンドラの影響を受ける脆弱性があると、米国時間9月3日に発表した。デモンストレーションとして提供された、ある脆弱性の問題では、Chromeがクラッシュしてしまう現象も見られる。 Securiteamの公式サイト上に公開された記事では、EvilfingersのRishi Narang氏が、特殊な文字が入った未定義のハンドラを含む悪意のあるリンクにアクセスすると、ユーザーの操作がなくてもChromeがクラッシュすると指摘している。 Googleによれば、Chromeの画面には、「Whoa, Google Chrome has crashed. Restart now?(Google Chromeがクラッシュしてしまいました。ここで再起動しますか?)」というメッセージが表示されるという。 Narang
グーグル、「Google Chrome」のサービス利用規約を変更
Googleは米国時間9月3日、同社の新ブラウザ「Google Chrome」に入力された情報すべてに関して幅広い権利を自社に与えるとしているサービス利用規約条項を変更する予定であると述べた。 GoogleはCNET Newsに対する声明で、「われわれはユーザーのことを考え、ものごとをシンプルにしておくという目的で、自社製品の多くに同じサービス利用規約(Universal Terms of Service)を使用している」と述べるとともに、「このことは、今回のGoogle Chromeの一件のように、特定の製品に対する規約にその製品の利用に適さない条項が含まれる場合が出てくるということを意味している。われわれはGoogle Chromeの現行のサービス利用規約の第11条から該当の表現を早急に削除しようとしている」と述べている。 2日の段階でCNET Newsが報じた通り、Chromeのサー
EFF、Google Chromeの「Omnibox」に対する懸念を表明
プライバシーの問題に取り組む団体である電子フロンティア財団(EFF)は、Googleの新ブラウザ「Google Chrome」の「Omnibox」における、入力されたデータを同社に送信するという機能に関して懸念を表明している。 Gooleが米国時間9月3日にCNET Newsに対して語ったところによると、同社はOmniboxに入力されたデータの約2%を、そのデータが入力されたコンピュータのIPアドレスとともに保存する予定だという。Googleは、ユーザーがオートサジェスト機能を無効にするか、デフォルトの検索サービスにGoogle以外のサービスを指定するか、Chromeの「Incognito」モードを使用している場合、そういった情報の受信や保存を行わないと述べている。 とは言うものの、EFFのテクノロジストであるPeter Eckersley氏はインタビューで、世界中の人々が閲覧しているもの
JEITAなど電気通信関連団体がフィルタリングの普及活動の成果と方針を発表
電気通信事業者協会(JEITA)など電気通信関連の6業界団体は8月27日、有害サイトの閲覧を制限するフィルタリング普及啓発活動に対して、これまでの成果と今後の取り組みについて発表した。 6団体は、2006年から毎年「フィルタリングの普及啓発アクションプラン」を策定し、青少年のインターネット利用における安心、安全な環境を実現するための活動を行ってきた。その結果、2008年3月までにフィルタリングソフトの認知率は85.8%、携帯電話のフィルタリングサービスの認知率も76.8%にまで上昇し、2007年に策定したアクションプランにおける目標値にいずれも到達した。 これからの取り組みについては、各団体ともに、政府、地方自治体、学校などが主催する講演会やセミナーなどへの講師派遣を通じてフィルタリングの啓発普及活動にいっそう力を入れていくという。 一方、携帯電話/PHS事業者では、今年度内をめどに、18
教育現場のICT度、都道府県で格差--文科省が整備状況と指導力を調査
文部科学省がこのほど行った調査で、全国の学校におけるICT環境の整備状況と、教員のICT活用指導力が明らかになった。 調査は、全国の公立小学校、中学校、高等学校、中等教育学校および特別支援学校全校を対象に行われた。 調査の結果、学校内の教育用コンピューターの整備状況は児童7人あたり1台。普通教室における構内LAN整備率は62.5%、ブロードバンド接続率は51.8%となった。 政府が2006年1月に掲げた「新改革戦略」では、2010年度末までのコンピューター1台あたりの児童数は1台につき3.6人、普通教室における校内LAN整備率、ブロードバンド接続率は100%を達成目標値として設定。今回の調査では、いずれも目標値には到達していないものの、前年度並みの伸び率を示しており、2010年度における目標達成に向けて順調に推移している状況が伺える結果となった。 一方、教員のICT活用指導力では、文部科学
日本語版Facebook、mixiの足元にも及ばず--コムスコア調べ
コムスコア・ジャパンは8月7日、日本のソーシャルネットワーキングサービス(SNS)に関する2008年6月の利用動向調査の結果を発表した。5月に日本語化したばかりのFacebookが前年比3倍のユニークビジターを集めるなど健闘したが、日本市場での圧倒的1位はユニークビジター数1270万人を記録したmixiだった。 Facebookの6月の日本のユニークビジター数は53万8000人で、2007年6月の17万2000人から大幅増。Myspace.comのユニークビジター数は120万人で、前年同期比10%増だった。また、Orkutは63万8000人、GREEは45万5000人(前年同期比14%減)だった。 Orkutはユニークビジター数こそ少ないが、1人当たりの利用日数は他のSNSを大きく上回っている。6月のOrkutのビジター1人当たりの利用日数は11.5日、1人当たりの利用時間は454時間、閲
Twitterにセキュリティ懸念--トロイの木馬へのリンクや、自動追跡の脆弱性
「Twitter」の時代がついにやってきた。 かつてはWeb 2.0世代のデジタルエリートの遊び場だったマイクロブログサービスのTwitterは、今やオンライン犯罪の標的になるほど主流になっている。 Kaspersky Labは、一般ユーザーのコンピュータに感染することを唯一の目的として作成された、偽のTwitterプロフィールを発見した。 Kaspersky Labのブログ「Viruslist.com」によると、「かわいいウサギ」を意味するポルトガル語の偽名で作成されたこのプロフィールは、ポルノビデオを思わせるリンクを掲載しているが、このリンク先の正体は、MP3ファイルを装ってマシンからデータを盗むトロイの木馬ソフトウェアだという。 「リンクをクリックすると、ビデオを視聴するのに必要であるとして、『新バージョンのAdobe Flash』と称するものの自動ダウンロードの進捗を示すウィンドウ
mixi、Twitterライクな新サービス「エコー」を公開
ミクシィは8月4日、ソーシャルネットワーキングサービス(SNS)「mixi」に新たなコミュニケーション機能「エコー」を追加した。 エコーは、ユーザーの「ホーム」から直接、「ひとことコメント」を書き込め、マイミクシィ同士がお互いの状況や考えていることを伝え合うことができるもの。PC版、モバイル版の両方に対応している。 例えば、「虹がきれい!」「暑くて溶けそう」などと、今の状況を書き込んで自分の気持ちを共有したり、「お腹すいた」と書き込んだマイミクシィがいたときに、「ご飯食べに行く?」などと返信して、コミュニケーションを続けたりといった利用が可能だ。 ミクシィは、日記やメッセージなど既存のツールにエコーが加わることで、コミュニケーションの幅が広がるとみている。 エコーは試験的サービス「インディーズ機能」の1つとして公開された。8月4日15時から9月1日11時までの期間限定で提供される。今後はユ
セキュリティ診断、安全なサイトは29%--NRIセキュアテクノロジーズ
NRIセキュアテクノロジーズは7月28日、ウェブサイトのセキュリティ診断の結果を発表した。 調査によると、「危険度の高い問題は発見されなかった」サイトは2007年度より6ポイント高い29%だった。一方、「情報漏えいにつながる可能性がある」サイト(30%)や「重要情報に不正アクセスできた」サイト(41%)は前年より微減した。 一方、2007年度に初めてセキュリティ診断を受信した初診企業に限ってみると、「危険度の高い問題は発見されなかった」サイトはわずか7%で、「重要情報に不正アクセスできた」サイトは5割以上だった。 重要情報に不正アクセスできたケースとしては、「クロスサイト・スクリプティング」(60%)が最も多く、次いで「SQLインジェクションによるデータベースの不正操作」(22%)、「関連チェック不足によるなりすまし」(20%)などが挙げられた。さらに、SQLインジェクションが存在した場合
30日間、完全無防備でインターネットを利用したらどうなる?--マカフィーが実験
マカフィーは7月11日、米McAfeeが行った「S.P.A.M(Spammed Persistently All Month)」実験の結果を発表した。この実験は、世界中の50人のインターネットユーザーが30日間、無防備な状態でインターネットを利用するというもの。 どの程度のスパムが集まるか、どんな影響が出るのかなどを調べることを目的とした実験のため、実験の参加者は、ほとんどのインターネットユーザーが躊躇するサイトにもアクセスした。McAfeeの研究者は参加者の日々のブログを調べ、スパムを分析した結果、スパマーが依然として活発に活動していることを確認したという。 10カ国の参加者は実験期間中に10万4000通以上のスパムメールを受信した。これは1人あたり2096通、1日あたり約70通のメッセージを受け取った計算になる。受信されたスパムメールの多くは、信頼できる発信元を装い、ユーザー名やパスワ
2007年度ネットバンキングの不正被害件数、前年度の2.3倍に増加
金融庁がこのほどまとめた調査で、2007年度のインターネットバンキングによる被害状況が明らかになった。 調査によると、2007年度のインターネットバンキングによる不正引き出しの被害発生件数は231件で、前年度100件の約2.3倍となり大幅に増加。一方、平均被害額では82万円となり、2005年度の214万円、2006年度の109万円と減少傾向にあることがわかった。 また、このうち金融機関が補償した件数は88件。金融機関がすでに処理した被害のうち、85.4%が補償されたことになり、前年の73.1%から大幅に増加した。
中堅中小企業のセキュリティ対策は進んでいるが、J-SOXへの対策に遅れ--IDC Japan
IDC Japanは7月10日、2008年2月に実施した国内中堅中小企業ユーザー調査のうち、セキュリティ・コンプライアンス分野のユーザー動向調査の結果を発表した。 発表によると、2008年度における情報セキュリティ関連のIT投資予算について、中堅中小企業の約30%が「増加させる」という回答をした。「横ばい」を含めると約90%となり、引き続き投資に積極的な姿勢が浮き彫りになったとのこと。投資対象としては、ウイルス対策やスパムメール対策、ファイアウォール、VPNなどの利用が比較的進んでおり、特にウイルス対策では中堅中小企業の約70%以上で導入されていることがわかった。 その一方で、投資対効果が分かりにくいIDS、IPS、アイデンティティアクセス管理の導入は進んでいない。しかし、中堅中小企業での情報漏洩の被害が多いことから、徐々にこれらのソリューションも中堅中小企業に拡大するとIDCではみている
DNS脆弱性の修正パッチ、複数ベンダーから同時リリース
セキュリティ研究者が、Domain Name System(DNS)に存在する重大な脆弱性を明らかにしていた。DNSはインターネット上で使用されるホスト名とIPアドレスを対応させるためのシステム。 IO Activeの侵入テストサービス担当ディレクターであるDan Kaminsky氏は、2008年に入ってからこの脆弱性を発見した。Kaminsky氏は、一部の研究者のように脆弱性の情報を売るのではなく、まず影響を受ける企業や団体を集めて、その脆弱性について議論することにした。 Kaminsky氏は、詳細が明らかになってしまうとの理由で同脆弱性の名前は伏せた。 Kaminsky氏は、16人の研究者が3月31日にMicrosoftに集まり、彼らが現在の状況を把握しているか否か、どのような修正であれば世界中のなるべく多くの人々に影響を与えられるか、そしてこの修正をいつ発表するかを確認したと語った。
ネット上の違法・有害情報を共有--官民ネットワーク機関が創設へ
インターネット上の違法、有害情報について、官民で横断的に情報連絡と共有を行う体制が今秋にも設置される方針が明らかになった。政府のIT戦略本部の下に置かれた「IT安心会議」でこのほど報告された。 新たに設置が計画されているのは、「インターネット上の違法・有害情報対策官民実務家ラウンドテーブル(仮称)」。関係府省、当該民間団体などで構成され、官民が連携し、国内外のインターネット上の違法・有害情報やITに関連した社会問題の実態把握や対処方法などの情報を共有し、迅速な対応を図るのが狙いだ。 同組織には、内閣官房が事務局となり、内閣府をはじめ、警察庁、文部科学省、法務省、総務省、経済産業省などが参加。その他、自治体関係団体や、教育関係団体、通信事業者団体、消費者団体、通信コンテンツ事業者など複数の民間組織の参加を呼びかける。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報漏洩の損害規模は、ファーストフードの売上げに匹敵:独断と偏見の気になる情報セキュリティ - CNET Japan