Windowsの基本処理で脆弱性が発覚――セキュリティ対策ベンダーは警戒レベルを引き上げ
米国Microsoftは3月29日、Vistaを含むWindows OSに脆弱性があることを公表した。この脆弱性はアニメーション・カーソル処理と関連しており、これが悪用されれば、PCの操作を攻撃者に乗っ取られる可能性もあるという。
セキュリティ
ID盗難の脅威、昨年より200%も増加――より単純に、しかもより効率的になる詐取・窃盗の手口
米国Cyveillanceは3月28日、2007年の最初の2カ月間におけるID盗難の脅威が、昨年末に比べて200%増加したと発表した。ID詐欺・窃盗犯の手口は、以前よりも単純でありながら、より効率的なものになっているという。
SSHへのブルートフォースアタックにpam_ablを用いて対策する
UnixおよびLinux系サーバの特長の1つは、SSHサービスを実行することでシステム管理者が安全にリモート接続をできるようにしてあることだ。もっともセキュリティ管理者に言わせれば、こうしたSSHサービス自体に対する攻撃も現在では当たり前の手口となってしまっている、ということになるだろう。そこで本稿では、SSHサービスを実行するマシンをブルートフォースアタック(総当たり攻撃)から防護する手段を解説することにする。そのために利用するのは、pam_ablプラグインというSSH用のプラグイン可能認証モジュール(PAM:pluggable authentication module)である。
AOSテクノロジーズ、Vista対応のデータ抹消ソフトなど3タイトル
AOSテクノロジーズ(佐々木隆仁社長)は、Windows Vistaに対応するデータ抹消ソフト「ターミネータ2007 データ完全抹消」「ターミネータ2007 特別抹消セット版」と、データ復元ソフト「ファイナルデータ2007 特別復元+Mac対応版」の3タイトルを4月6日に発売する。
日本ベリサイン、より信頼性の高いEV SSLサーバー証明書の発行を開始
日本ベリサイン(橋本晃秀社長兼CEO)は3月28日、Extended Validation(EV)SSLサーバー証明書「セキュア・サーバID EV」「グローバル・サーバID EV」を発行するサービスを開始したと発表した。日本国内の企業・組織向けにEV SSLサーバー証明書を発行するのは初めて。
NECとトレンドマイクロ、協業による検疫システム
NEC(矢野薫社長)とトレンドマイクロ(エバ・チェン社長兼CEO)は3月27日、NECが07年1月に開始した新パートナー制度「InfoCage WORKS」の成果第1弾として、両社の協業による検疫システムを4月2日から利用可能になると発表した。
悪意あるプログラムをばらまくサーバ、大多数は米国に――無料ホスティング・サーバの多さが要因
悪意あるプログラムをばらまいているのは、中国やロシア、東ヨーロッパよりも米国のサーバが圧倒的に多い──セキュリティ・ベンダーの米国フィンジャン・ソフトウェアは3月26日、こうした調査リポートを発表した。
EMCジャパン、ハイエンド・ストレージのセキュリティを強化--アセスメント・サービスも提供し「情報中心型セキュリティ」を推進
EMCジャパンは3月26日、同社のハイエンド・ストレージ製品「Symmetrix DMX-3」シリーズに、米国EMCのセキュリティ部門であるRSAの技術を活用したアクセス認証機能など、新たなセキュリティ機能群を追加すると発表した。
Vista付属の「Windows Mail」に脆弱性――リモート・コード実行を許すおそれ、発見した専門家は脆弱性の実証コードを販売
3月23日、Windows Vistaに付属する電子メール・プログラム「Windows Mail」で脆弱性が見つかった。あるセキュリティ専門家は、悪意あるコードの実行に利用されるおそれがあると指摘している。ただし、この専門家は2週間前に、脆弱性実証コードの販売サービスを宣伝していた人物だった。
ヤフーと産総研、フィッシング詐欺を防止するプロトコル、パスワード認証で
ヤフー(井上雅博社長)は3月23日、独立行政法人産業技術総合研究所(産総研、吉川弘之理事長)の情報セキュリティ研究センターとの共同研究の成果として、フィッシング詐欺防止のプロトコルを開発したと発表した。
「企業はWebアプリケーションの脆弱性を認識していない」――ネットワーク・ファイアウォールだけでは攻撃は防御できない
米国Forrester Researchは、ほとんどの企業が自社のネットワークにアプリケーション・レイヤの攻撃をはね返す防御手段が十分でないという認識を持っておらず、知らず知らずのうちに攻撃を受けている可能性がある、とするリポートをこのほどまとめた。
ソニー、最先端暗号設計理論に基づく新共通鍵ブロック暗号アルゴリズム
ソニー(中鉢良治社長)は3月22日、音楽や映像などのデジタルデータの流通する環境下で、著作権保護や認証を行うための要素技術として、安全性・実装性能が高い共通鍵ブロック暗号アルゴリズム「CLEFIA」を開発したと発表した。
Firefox用セキュリティアップデートのリリース
Firefox 2.0.xおよび同1.5.x用の“セキュリティおよび安定性”に関するアップデートがMozilla Corp.からリリースされた。
Microsoftの研究者ら、「検索スパム」の仕組みを解明――スパム業者の巧妙な手口が明らかに
勇気のある人は、検索サイトのフィールドに「cheap tickets」と入力してみてほしい。ユーザーをほかのサイトへ誘導し、広告クリック収入を稼ぐために作られたリンクが山ほどヒットするはずだ。
NEC、シンクライアントのサーバーを効率的に運用管理するサービス
NEC(矢野薫社長)は3月20日、シンクライアントシステムでサーバーの運用やOS・アプリケーション・データなどの管理をNECが一括して行うマネージドサービス「セキュアシンクライアントサービス」を開始したと発表した。今後3年間で120億円の売り上げを目指す。
スワットブレインズ、対Webアプリケーション攻撃用の防御アプライアンス
スワットブレインズ(本社:京都市)は2007年3月20日、Webアプリケーションに対する攻撃からWebサイトを防御するLinuxアプライアンス「SiteGuard アプライアンス」の販売を開始した。従来のファイアウォールやIDS、IPSでは対応できなかった高度な攻撃からもWebサイトを守れるという。価格は312万9000円。
個人情報流出:最も多いのは政府機関 米Symantec集計
米Symantecは3月19日(米国時間)、個人情報の流出が最も多いのは政府機関で、全体の25%を占めると発表した。その次に多いのは教育機関(20%)。公的機関は個人情報が多いだけに流出も多い。
Vistaの脆弱性評価に関するMicrosoft幹部の見解に社内外から批判が集中――「深刻度をXPより低めに評価すべき」発言が問題に
米国Microsoftでセキュリティ開発ライフサイクル(SDL)を担当する有名幹部が先週、Vistaの脆弱性の深刻度に関して、Windows XPとは異なる基準で低めに評価すべきとの見解を示した。Vistaには新しい安全対策機能が組み込まれているというのがその根拠だが、この発言に社内外から批判が集中している。
コマンドライン版パスワード・ロッカーの作り方
ファイルシステムごと暗号化する方法
単純なファイル単位での暗号化も便利ではあるものの、大量のファイルを保護する必要がある場合などには、ファイルシステム全体やディスク全体をまるごと暗号化してしまう方がより便利なこともある。またファイルの中身の保護に留まらず、秘密を探り出そうとする目から機密情報の存在自体を完全に隠すことが必要になることもあるかもしれない。そのような場合にシステムのセキュリティを高めるための方法をいくつか紹介しよう。
