Lisa Vaas

攻撃者が悪意あるMP4ファイルでWinampの脆弱性を悪用し、バッファオーバーフローを発生させる恐れがある。

カナダのオンラインパスポート申請システムで、申請プロセス中にURLを1文字書き換えると、直前の申請者の個人情報が見えてしまうという問題が起きた。

GoogleとMicrosoftは検索結果からマルウェア配布ドメインを削除したようだが、Yahoo!はまだ問題のあるサイトをクロールしている。

ウイルス混入が起きた中国の受託製造業者の工場では、Seagateの調査が完了する前なのにHDDの出荷を再開している。

CNNなどの合法サイトで、偽セキュリティソフトの広告やポルノ広告が表示される問題が起きた。DoubleClickの広告ネットワークに不正な広告主が入り込んだためだ。

アリシア・キーズのMySpaceページがハッキングされた事件は、Macを標的としたトロイの木馬を配布した組織と関連があるかもしれない。

イスラエルのオンラインマガジンが、アルカイダによるサイバー攻撃を報じているが、当局は懐疑的だ。

Macを狙った本格的なマルウェア攻撃が初めて発見された。「MacユーザーはPCのセキュリティのお粗末さを鼻で笑っていたが、もう少し慎重にならなければならない」と専門家は指摘する。

「インターネットは無防備なCitrixゲートウェイでいっぱいだ」――セキュリティ研究者ペトコ・D・ペトコフ氏はこう主張している。

シンプルなバックアッププランのおかげで、「ca.gov」ドメインがハッキングされた後もカリフォルニア大気資源委員会はサイトの全面閉鎖という事態を免れた。

iPhone上のアプリケーションはすべてルートアクセスを実行している。このため、攻撃者は脆弱性を悪用して同デバイスを完全に制御することが可能になってしまう可能性があるという。

Finjanによると、VistaにプリインストールされたウィジェットやiGoogleに用意されているウィジェットはユーザーを危険にさらす恐れがあるという。

Microsoftからの通告を受けて、無料パッチダウンロードユーティリティ「AutoPatcher」の配布が停止された。

Microsoftは月例Patch Tuesdayで、Vistaと仮想化などに関連した多数のセキュリティ問題に対処した。

Ubuntuホスティングサーバが何者かに乗っ取られ、攻撃に利用された。コミュニティーは復旧作業を進めているが、アプリケーションは破棄しなければならない。

FacebookがWebサーバの設定ミスにより、ソースコードの一部を公開してしまった。

Mozillaは、Black Hatカンファレンスの場でFirefox用のJavaScript Fuzzerをリリースする。

この夏、ビーチでの退屈しのぎにぴったりの読み物がある。FBIの情報収集活動を詳しく記録した1138ページに及ぶ資料だ。善良な市民が権力の濫用をチェックするためには、この文書に目を通す必要がありそうだ。

Infosecselloutを名乗る人物がMac OS Xワームを作成したと宣言、真偽のほどは不明だが、このワームをロードしてばらまく用意ができていると主張している。

MicrosoftはForefrontの販売、サポート強化のために5000万ドルを投入する。パートナーシップの強化も図っていくという。

Microsoftは7月の月例パッチで、緊急レベルの.NET脆弱性などに対処した6件のセキュリティ更新プログラムを公開する。

Googleのプライバシーポリシーをめぐる批判が相次いでいる。その行き着くところは、「Googleに支配されてもいいのか？」という疑問だ。

詐欺スパムの動機は金だ。しかし人々がそれをクリックする動機は千差万別であり、誰もその危険を免れることはできない。

「Appleがすぐに修正した脆弱性はニュースの見出しを飾ったものばかり」とErrataのセキュリティ研究者は批判する。

まだこの問題は収束していないのか？　UAC（ユーザーアカウント制御）機能をめぐり、Vistaのアプリケーション開発者が困惑している。アナリストのマクドナルド氏は、UACの問題点について語った。

中国のハッカーは熟達しており、20分でシステムに入り込んで情報を取得し、離脱することが可能だと専門家は言う。

Windowsに比べ、Macプラットフォームはほとんど攻撃にさらされていない。しかしエクスプロイトコードの登場などを見れば、攻撃者のMacに対する関心が高まっているのは明らかだ。

Symantecの脅威分析チームが、Mac OS Xには脆弱性が残ったバージョンのSambaが含まれており、たとえパッチを当てていても攻撃可能だと指摘した。

セキュリティ関連のメーリングリストで、IIS 6.0にDoS攻撃の誘発などにつながる脆弱性が存在するとの指摘。Microsoftは調査の結果、これを否定した。

Microsoftは、Web上でユーザーを特定するための技術として、ID管理の4つのプロジェクトを進めている。

ある調査によると、ほとんどのユーザーは「セキュアなOSという評判だから」という理由でVistaに移行しているようだ。しかしVistaがこの評判に値するかどうかについては、専門家の間で意見が分かれている。

この攻撃方法では2段階の攻撃ベクトルを使ってVistaのUACを悪用するが、Microsoftは「ユーザーに特定の操作をさせなければ成功しない」と反論している。

思いもしない場所にマルウェアが潜んでいる現状が、この事件で浮き彫りになった。「今やどんなサイトでも悪質サイトになりかねない」とScanSafeは警告する。

2010年の犯罪者は、データの断片を使って個人情報を盗めるようなツールを使っているだろうと、あるセキュリティ専門家は確信している。

悪意ある攻撃者はJavaScriptをマルウェアの運搬手段として悪用するようになっていると、Arbor Networksの上級セキュリティエンジニアであるホセ・ナザリオ博士ナザリオ氏は指摘する。

P2P技術を取り入れた弾力性のあるボットネット、潜入してきたセキュリティ研究者を暗号化で排除しようとするボットネット――ボットネットは技術的な飛躍を遂げている。

WEP暗号を1分足らずで破れる新手法が公表された。いまだに広く使われているWEPを完全に葬る「とどめの一撃」になるのか。

FirefoxにはIEのような保護モードが存在しないため、Microsoftの修正パッチを緊急に適用する必要性はIEよりも高いという。

この1月に、米小売大手のTJXで大量の顧客データ盗難事件が派生した。事件の経緯を追っていくと、安易な暗号化技術の導入が役立たなかった理由が見えてくる。

セキュリティ研究者が、JavaScript対応ブラウザを攻撃に利用するコードをデモした。クロスサイトスクリプティングの脆弱性を悪用した攻撃は危険度を増している。

「あの会社の株価は絶対上がる」――偽情報で株価をつり上げて利益を得るスパマーに対し、米証券取引委員会が取り締まりに乗り出している。

最近の調査によれば、68％の企業で、1年間に6回もセンシティブなデータが流出したり盗まれたりしているという。

ほとんどの企業では、知的財産の流出防止が優先されており、クレジットカード番号、社会保障番号、各種のユーザー／顧客データといった、個人を特定できる情報を保護することが最優先になっていないという。

2月28日に米バージニア州で開催されたBlack Hatでは、ハードウェアをハッキングする2種類の画期的な方法が紹介された。従来からの「神話」を見事に崩壊させてしまったのだ。

セキュリティ研究者が指摘した通り、Windows VistaのUAC（ユーザーアクセス制御）はソーシャルエンジニアリングを免れないとMicrosoftは認めた。

F-Secure Security Labsが、数年間にわたって進めてきたKernel Rootkitの追跡および分析の結果をまとめた文書を公開した。

米国で開催のセキュリティカンファレンス「Black Hat」では、Oracle製品のセキュリティホールに関する2つのブリーフィングが予定されている。

Oracle Validated ConfigurationsにBrocade、Ciscoなどの新たなパートナーが加わった。

OracleはSIPインフラストラクチャを、HotSipの買収によって手中に収めている。通信業界が抱える急務は統合ネットワークの活用。同社は、あらゆるサービスを統合IPネットワーク上で提供することを目指している。

Linuxが、Oracleが稼働するOSの主役の座を、SolarisやHP-UXなどのUNIXから奪おうとしている。IOUG（Independent Oracle Users Group）の調査によると、回答したOracleユーザー企業の44％が「来年には自社のDBをLinux上で運用するだろう」としている。