先週報告されたPerlの脆弱性はあまり注目されていないが、この脆弱性を抱えたまま忘れられているPerlスクリプトはたくさんあるに違いない。 先週、深刻な脆弱性が公表されたが、マスコミ、さらにはセキュリティ業界さえもこれにはあまり関心を寄せなかった。わたしとしては、これは本当に厄介な脆弱性だと思っている――特に、パッチを当てられないまま広範囲にわたって放置されると見られるからだ。 問題となっているプログラムは、至る所で使われているプログラミング言語「Perl」だ。Perlはスクリプト言語だ。スクリプト言語というと人によってとらえ方が違うが、ある種の仮想マシン（VM）でソースの形で解釈されることが主な特徴だとわたしは考えている。Perlはサーバ側のWebサイトプログラミングだけでなく、システム管理スクリプトにも幅広く使われているが、ここ近年はPHP、ASPなどのサーバ側スクリプト言語にかなり取

ISSのCTOに就任した高橋正和氏は、「個人情報保護法が全面施行されたからといって急に情報漏えい事故が減ったわけでもない」と指摘する。 2005年4月より全面施行となった個人情報保護法を機に、セキュリティ関連ビジネスが盛り上がり一種の「バブル」の様相を示した。しかし実際のところ、同法が施行されたからといって「急に情報漏えい事故が減ったというわけでもない」と、インターネット セキュリティ システムズのCTO（最高技術責任者）兼エグゼクティブ・セキュリティ・アナリストの高橋正和氏は指摘する。 同氏は11月24日に行った報道関係者向けのセミナーにおいて、個人情報保護法の建前と実態の間にギャップが存在すると述べた。 そのことを端的に示すのが、P2P型ファイル共有ソフト「Winny」を通じた一連の情報漏えい事故だ。原子力発電所関連の資料流出が相次いで発生したことを考えると、政府が取り組む「重要インフ

Eメールから，真正なサイトになりすましたWebサイトに誘導し，IDやパスワードなどの情報を盗み取るのがフィッシングだ。フィッシングによる金銭的な被害は，国内でも2004年9月には発生している（関連記事）。それから1年以上が経つ。Webサイトにとって基本的なフィッシング対策の一つは，SSLをログイン画面から使うこと。しかし，この基本対策をなおざりにしているWebサイトがまだ多い。 SSLならアクセス先を確認できる 一見，暗号化のためのSSLとフィッシング対策とは，関係ないようにも思える。でも実は，SSLには暗号化のほかに，電子証明書で身元を証明するという機能も備わっている。Internet ExplorerなどのWebブラウザで，SSLを使用していることを示す鍵（かぎ）マークをクリックすると，電子証明書が表示される。利用者が意識してこの証明書を確認すれば，アクセス先がどこであるかが判別できる

セキュリティ専門家のブルース・シュナイアー氏は、SONY BMGのrootkitがSysinternalsのマーク・ルシノビッチ氏によって発見されるまで何カ月もの間、セキュリティ業界がこのrootkitの存在を見逃してきたことを非難しているが、私は同氏の批判には部分的にしか賛成しない。 シュナイアー氏の批判の大半は実際のところ、この脅威について明らかになってからセキュリティ企業がなかなか探知機能を追加しなかったこと、またセキュリティ企業が不安定なデジタル著作権管理（DRM）コンポーネント全般ではなく、このrootkitだけを削除しようとしたという事実に対するものだ。 今回の件には、難しい問題が幾つもかかわっている。ユーザーにプラスになる行動を取っていないという理由で各種の業界に難癖をつけるのは簡単なことだが、シュナイアー氏や同氏のブログへのコメント投稿者が騒ぎ立てていることの多くは、仕方の

電子メールの厄介者だったスパムが、ブログの世界向けに生まれ変わった。そして「スプログ（splog）」と専門家が名付けたこの問題に関して、Googleが非難の矢面に立たされている。 Googleの提供するブログサービス「Blogger」と「BlogSpot」ホスティングサービスの組み合わせは、ウェブで最も人気の高いブログ関連のサービスだが、先週末に両サービスは過去最大のスプログ攻撃に遭い、RSSの購読が不可能になったり、メールの受信フォルダがいっぱいになったほか、検索エンジンのランキングが不正操作された可能性も出ている。 Sun Microsystemsのウェブ技術ディレクターTim Brayは、これを「スプログの大爆発（"splogsplosion"）」と呼び、「ブログの世界（"blogosphere"）のみなさん、緊急事態が生じていると思われます」と自身のブログに書き込んでいる。 攻撃者

PHP Everywhere に Web Application Security Reviews という、投稿がありました。 非常に興味深かったので、訳してみました。金融機関で受けた Web アプリケーションのセキュリティチェック項目をまとめたものだそうですが、結構厳しいです。 誤訳などがありましたら指摘していただけますと幸いです。 全ての重要な作業過程において、開発側と検査側を含めなければならない。言い換えると、もし私(開発側)が重要な案件を作成する場合、他の誰か(検査側)の検査と承認を受けなければならない。 取引の活発な団体の全ての取引において、ユニーク ID と(前後の)変更データ、タイムスタンプを保存しなければならない。 PHP または ASP で使用される全てのデータベースのパスワードは暗号化されていなければならない。 もし、Web アプリケーションがインターネットに公開される

米Microsoftは10月4日、Windows XPの3番目のサービスパックが登場予定であることを公式に認めた。 同社はそれ以上の詳細は明らかにしていないが、Windows XP Service Pack 3（SP3）は、クライアントOSの次期バージョンWindows Vistaの出荷後に提供開始予定だという。Windows Vistaは2006年末をめどにリリース予定。 「現時点ではVistaが優先だ。Vistaの出荷後に詳しい情報を公開する」。Windows Vista担当プロダクトマネジャー、マイケル・バーク氏はこう語った。 先週の報道で、Microsoftフランス支社技術・セキュリティディレクターのベルナルド・オルハンリアン氏が、Windows Vistaの後にSP3が登場することを認めたと伝えられたことを受け、Windows XPの3番目のサービスパックが登場するというニュース

個人情報保護法本格施行から約5カ月。多くの企業が昨年から、規約の策定や社員教育の強化、情報システムの見直しなどの保護法対策に取り組んできた。企業の個人情報管理はより徹底されているはずである。しかし、4月1日以降も多くの情報漏洩事件が毎日のように報道されている。 そこに見え隠れするのは、「まさか自分が個人情報を漏らすことはないだろう」という油断だ。読者の中にも、そう思われている方は少なくないだろう。 筆者は8月上旬、情報漏洩に関する特集記事を執筆するため、4月1日以降に起きた情報漏洩・紛失事件を洗い出した。するとその数は、報道されているだけでも250件を超えた。この件数には、金融庁の指示による一斉点検で判明した、銀行や信用金庫など287金融機関の顧客情報紛失は含めていない。判明したのは6月末以降だが、実際に紛失したのは数年前のことだと考えられるからだ。 個人情報保護法が本格施行されたからとい

7月の上旬に、筆者は「デジタル放送にまつわる、いくつかの裏事情」というコラムをアップした。その結びの言葉として、「テレビが映るだけで良かったのんきな時代は、もはや終わろうとしている。」と書いたのだが、その約1カ月後、まさにその言葉を体現するような出来事に遭遇した。今回はデジタルテレビに潜在する危険とその脆弱性について、もう少し考えを深めてみたい。 個人的な話で恐縮だが、筆者はちょうどそのコラムを書く前の週に、シャープ AQUOS「LC-26AD5」というデジタル放送対応テレビを購入した。レコーダーでも最近はHDMIで接続しないと評価できない機能が増えてきたため、その接続テスト用というわけである。もちろん普段は筆者の仕事場で、通常のテレビとして使用している。 このテレビが、8月1日の朝に突然映らなくなった。電源を入れても真っ暗なままで、10秒ほどすると勝手にスタンバイ状態に落ちてしまう。主電