IPA、5月のウイルス・不正アクセスの届出状況、SQLインジェクション攻撃に注意
情報処理推進機構(IPA、西垣浩司理事長)は6月3日、08年5月のコンピュータウイルス・不正アクセスの届出状況を発表した。SQL(Structured Query Language)インジェクションと呼ばれる不正アクセスの被害が多発しており、情報漏えい、ウェブサイトが改ざんの危険性があると注意を促した。
脆弱性
日本ベリサイン、Debian系Linuxの脆弱性対策で電子証明書再発行
日本ベリサインは2008年5月20日、Debian系Linuxディストリビューションで発見された脆弱性への対応策として、電子証明書を再発行すると発表した。対象ディストリビューション上で暗号鍵ペアを作成して、使用している顧客が対象。
セキュリティ警報:多数のシステムに影響を及ぼすDebian OpenSSLの不具合が発覚
高名なセキュリティ研究者であり、MetaSploit Projectの創設者でもあるH. D. Moore氏は、DebianパッケージのOpenSSLに隠されていたバグという同氏の発見した最新の研究結果を報告した。Moore氏は今回のバグの発生源を説明すると共に、OpenSSLの生成する鍵に付けられた値がこの不備を悪用することで簡単に予測できてしまう点に注意を喚起している。
米Google、オープンソースのセキュリティを推進するoCERTに出資
米Googleは5月5日、オープンソース版CERTである「oCERT(Open Source Computer Emergency Response Team)」に出資することを発表した。オープンソースソフトウェアの脆弱性報告、パッチの配信の中央機関として機能させることで、オープンソースソフトの安全性を強化するという。
米IBM、中規模企業向けセキュリティサービスを発表
米IBMは4月22日(英国時間)、中規模企業をターゲットにしたセキュリティサービス5種を発表した。同社が買収したInternet Security Systems(ISS)の技術をベースとしたもので、パートナー支援プログラム「Express Managed Services」を通して提供される。
IPA、Webサイト改ざん被害を防げ! 攻撃発見ツールを無料公開
情報処理推進機構(IPA、西垣浩司理事長)は4月18日、Webサイトの脆弱性対策を促進するため、Webサイトへの攻撃を解析し、WebサイトのSQLインジェクションの脆弱性を検出するツール「iLogScanner」を同日公開したと発表した。
産総研、メモリ安全性を確保したC言語コンパイラを開発
独立行政法人 産業技術総合研究所(産総研)は、JISやANSI C規格と互換性を持ち、メモリ安全性を確保したC言語コンパイラ「Fail-Safe C – release 1」を開発、2008年4月11日に一般公開した。ライセンスはQPL(Q Public License )を採用した。
Webに移行するセキュリティ脅威~米Symantec調査
コンピュータセキュリティの脅威は、ネットワークベースの攻撃からWebの脆弱性を狙う手法に移行しつつあるという。米Symantecが4月8日(現地時間)に発表したレポートによる。Symantecでは、SNSなどの信頼されているWebサイトに対し、固有の脆弱性を狙った攻撃が急増していると警告している。
IPA、「情報セキュリティ早期警戒パートナーシップガイドライン」新版公開
情報処理推進機構(IPA、西垣浩司理事長)、JPCERTコーディネーションセンター(JPCERT/CC、歌代和正代表理事)は4月4日、「情報セキュリティ早期警戒パートナーシップガイドライン」の08年版を公開したと発表した。
Ubuntuだけが生き残ったPwn to Ownコンテスト
今年も、自称クラッカーたちがCanSecWestカンファレンスで3台のノートPC(それぞれOS X、Ubuntu、Vistaが稼働)を標的として技を競い合った。先週、カナダのバンクーバーで3日間にわたって開かれたこのセキュリティ・カンファレンスは、Mac OS X LeopardとVistaの両マシンのセキュリティが破られるのを尻目に、Ubuntuマシンだけがクラッキングされずに残るという形で幕切れを迎えた。
Google Toolbarで脆弱性発覚、データ盗難に遭うおそれも
米国Googleの「Google Toolbar」で新たな脆弱性が見つかった。セキュリティ研究者のアビブ・ラフ(Aviv Raff)氏は12月18日、悪意のあるユーザーが同脆弱性を利用すれば、攻撃対象者のデータを盗み出したり、悪意のあるマルウェアをインストールさせたりすることができると警告した。
FOSSセキュリティ弱点トップリスト
企業がオープンソースソフトウェアの監査をするのを手助けする、サンフランシスコを拠点とする企業Palamidaが、『もっとも見逃されがちなオープンソースのセキュリティ弱点トップ5』と名付けたリストを公開した。また今回Linux.comのために、さらに5個のセキュリティ弱点を公開した。
KCCS、脆弱性診断・管理のASPサービスを月額3780円で
京セラコミュニケーションシステム(KCCS、森田直行社長)は、脆弱性管理のASPサービス「SecureOWL(セキュアオウル)」を08年2月末に発売する。
OSJとKDL、低価格なWebサイト脆弱性診断サービス
オープンソース・ジャパン(OSJ、本社:東京都千代田区)と神戸デジタル・ラボ(KDL、本社:神戸市)は2007年12月11日、Webサイトのセキュリティ対応状況を調査・報告する「Webサイトセキュリティ診断サービス」の提供を開始した。価格は1サイト35万円から。
IT minute: この週末に見落としたかもしれない3つの新しい話題
幸運にも先週末にオフィスやサーバールームにいなくて済んだ皆さんに、気づかなかったかもしれない3つの話題をお届けしよう。
キヤノンシステムソリューションズ、クリストン社の「Precision」を販売
キヤノンシステムソリューションズ(武井尭社長)は、フランスのCriston Softwareの日本法人クリストン(天戸健社長)が販売するクライアントPCのパッチ管理・ぜい弱性管理ソフト「Precision」シリーズを12月13日に発売する。
QuickTimeにまたも脆弱性、Vista/XPへの攻撃に悪用されるおそれ――攻撃の実証コードも公開
3週間前にセキュリティ・アップデートを行ったばかりのQuickTimeで新たな脆弱性が見つかった。未パッチ個所をターゲットにした攻撃用コードも公開され、Windows XPやVistaが稼働するシステムへの攻撃が近々始まるのではないかという懸念が強まっている。
定期的なアップデートでネット攻撃から身を守る
オペレーティングシステムについては、パッチを適用して最新の状態を維持することの重要性を誰もが知っている。しかし、アップデートが必要なのはアプリケーションソフトウェアも同じだ。企業がWebの存在価値を高く認め、その背後でコンテンツ管理システム(CMS)のような効果的なツールを使って諸々の管理を行うようになってから、アプリケーションのアップデートはますます重要になっている。残念なことだが、CMSが普及するにつれ、Webサーバ上の機密データを狙う攻撃者がCMSを標的にするようになったからだ。
Windows URI処理の脆弱性問題、セキュリティ研究家が非公式パッチを公開
Windows URI(Universal Resource Identifier)処理の脆弱性が先週明らかになったのを受け、これに対するパッチを、当のMicrosoftよりも先に、イタリア在住のセキュリティ研究家が公開した。ただし同氏は、検証が十分ではないとして、パッチ適用には十分注意してほしいと語っている。
「Gmail」にゼロデイ攻撃の危険性――メールが盗まれ、攻撃者に転送されるおそれも
英国のセキュリティ研究団体「GNUCITIZEN」は9月25日、米国Googleが提供するWebメール・サービス「Gmail」に、深刻な脆弱性があると発表した。同脆弱性を悪用すれば、Gmailのハッキングはもちろん、過去に受信した電子メールや、これから受信する電子メールを、攻撃者の受信箱に転送させることも可能だという。
