News

Qualys acquires SSL Labs

ちょっと前の話ですが、以前Public SSL Server Databaseで紹介したSSL LabsがQualysに買収されたそうです。

IBM、セキュリティ企業Ounce Labsを買収

ZDNet Japanより。IBMがソースコードスキャナーのOunce Labsを買収したようです。

クレジットカード向け新セキュリティ標準が策定へ

大手クレジットカード会社が加盟する標準団体PCI Security Standards Council(PCISSC)が支払いアプリケーション・ソフトのための新たなセキュリティ標準であるPayment Application Data Security Standard(PADSS)を策定しているそうです。 PCIデータ・セ…

アークン、DB脆弱性検査ツールを無償提供へ

@ITより。データベース脆弱性スキャナ Scuba by Impervaが無償で提供されるそうです。 Scuba by Imperva (ahkun)

メールのパスワード暗号破った…APOP規格を解読

Yomiuri Onlineより。APOPの暗号解読方法を電気通信大学の太田和夫教授(暗号理論)の研究グループが発見し、IPAに届けたそうです。 APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について (IPA)

MS、Windows脆弱性のパッチを3日にリリース

ITmediaより。Windowsアニメーションカーソル処理の脆弱性に対処するパッチが日本時間の4月4日に緊急リリースされる予定だそうです。

【詳報】「IT全社統制の不備」の例を変更、J-SOX実施基準“確定版”案

ITProより。昨日内部統制部会が実施され、下記のリンクにJ-SOXの基準案ならびに実施基準案の修正案がでています。ITProの記事によると、内容は事実上確定したとのことです。 企業会計審議会 第16回内部統制部会 議事次第 (金融庁)

Check Point to Acquire NFR Security

先月、PointSecを開発しているProtect Data ABを買収したと思ったら、今度はNFR Securityを買収したそうです。NFRというと、もともとNetwork Flight Recorderという名前で販売されていたIDSとしてはかなり老舗な部類に入る製品だったのですが、最近めっきり…

日本版SOX法「実施基準案」がついに登場、IT統制に関して例示

ITProより。日本版SOX法の実施基準案が一般公開されたのかと思ったら、まだなのか。まあ、いろんなメディアで取り上げられているので、だいぶ中身が明らかになってきましたけど。 実施基準案 (11月6日内部統制部会) (まるちゃんの情報セキュリティ気まぐれ…

オープンソースマガジンも休刊に

Slashdot.jpより。Unix Userのときから結構長い間定期購読していたものとしては残念だな。定期購読はついこの間やめてしまいましたが、気になった記事があったときは読んでいたので寂しいものです。

IBMがInternet Security Systemsを買収

ITmediaより。IBMが買収ですか。びっくりです。 セキュリティ製品が欲しかったのか?、監視サービスが欲しかったのか?とか想像してみたんですが、やっぱりセキュリティに関する監視機能をTivoliに統合したいってのが一番のきっかけだろうなと勝手に思いまし…

マイクロソフト、「Virtual PC for Mac」の開発を中止

以前からVirtual PCのIntel Mac対応予定を明らかにしていませんでしたが、やっぱりこうなりましたか。

「VMware Server」正式版を無償公開

窓の杜より。VMware Server 1.0も正式公開されました。

マイクロソフトが「Virtual PC 2004」を無償配布

Slashdot.jpより。やっぱりMac版は無償配布されないのね。

Mac OS Xに5つの深刻な脆弱性、最新版“Tiger”にも影響あり

0dayですか。Pantherも影響を受けるみたいですね。 Mac OS X Multiple Potential Vulnerabilities (Secunia) >

MS、セキュリティスキャナ「Baseline Security Analyzer 1.2」のサポートを延長

3/31でサポートが終了する予定だったMBSA 1.2のサポートがぎりぎりになって延長されたようですね。ユーザの意見を反映した結果ということですが、Office 2000を使っているところがまだ多いから?

mwcollect & nepenthes Fusion

mwcollectd v3.0.4が出たと思ったら、nepenthes*1とプロジェクトが統合されるんですね。 The mwcollectd and nepenthes teams are proud to announce the end of the independant co-existance of two tools sharing the same aim. mwcollectd will be finis…

UNIX MAGAZINEが季刊誌に移行

Slashdotより。最近UNIX MAGAZINEを買ってないですけど、いつも数ページはすごく興味を惹く記事があったりしたので、残念です。

ヴイエムウェア、「VMware GSX Server」を無料提供へ

CNET Japanより。XenとかVirtuozzoとかと対抗するために無償提供でしょうか。

Windows互換の「ReactOS」、開発一時停止へ --Wineの開発計画にも影響? (MYCOM PCWEB) 2月3日にPC内のファイルを破壊するウイルス「BlackWorm」が拡大〜SANS警告 (Internet Watch) rootkitがBIOSを狙う――セキュリティ専門家が警鐘 (ITmedia)

ソフトウエア等の脆弱性関連情報に関する届出状況[2005年第4四半期(10月〜12月)]

IPAより2005 年第 4 四半期(10月〜12月)の脆弱性関連情報に関する届出状況 Webシステム関連の脆弱性が多数届出、SQLインジェクションも増加――IPA/ISEC (ITmedia)

Macworld Conference&Expo開幕速報

PC Watchより。Intel Macが発表されたようですね。新しいiMacとMacBook Pro*1が受注開始となっていますが、Universalアプリケーションがそろってくるのにはまだ時間がかかりそうなのでしばらく様子見ですね。ちょっと高いし。 *1:PowerとついているからPower…

セキュリティフライデー、パスワードの強度を診断する教育ソフトを無償提供

認術大会 ver1.0 (SecurityFriday)

【続々報】サイボウズのWebサイト停止はツールの誤検知が原因

ITProより。昨日下記のニュースを見たときrootkit検出ツールは何を使っていたのかな。と気になっていたのですが、やはりchkrootkitだったんですね。 rootkitはツールの誤検知、サイボウズ「不正アクセスの事実はなかった」 (Internet Watch) 弊社サイトへの…

CMP Media Acquires Black Hat

id:tessyさんのところから。買収話がでると勝手にネガティブな予測をしがちですが、いい方向に動くといいですね。 CMP Buys Black Hat (Light Reading) 買収といえば、CitrixがTerosを買収っていう発表もされていました。 CitrixがアプリファイアウォールのT…

VS 2005のExpress Editionは事実上,無償提供へ (ITPro) ソフテック、RSSによるセキュリティ情報の提供を開始 (softek)

Microsoftの新ライセンスは、果たしてオープンソースか (japan.linux.com) Nessusの分派 (japan.linux.com) 5分で絶対に分かるフィッシング詐欺 (@IT) 「OpenOffice.org」v2.0の日本語正式版が20日公開の英語版に引き続き公開 (窓の杜) 重要インフラの運営企…

情報セキュリティ事故における査証追跡を支援するフォレンジクス・ソリューション開始 (CTC) チェコのウイルス対策ソフト「AVG」が日本に進出--個人向けは無料 (CNET Japan)

GPLなNessus

Nessus 3.0でGPLが適用されない発表があってから、いくつもNessus分派ができているようです。GNessUsを含めて4つほど分派があるようですね。 次期版ではGPLが適用されない「Nessus」に“分派”が続々 (ITPro) GPL Nessus Forks (ISC Hander's Diary) GPLライセ…

Check Point to Acquire Sourcefire

えー。結構びっくり!侵入検知技術の強化とプロダクトラインナップの強化が買収の目的なんですかね。 Check Point Software Technologies to Acquire Sourcefire (Check Point)

シマンテックの「インターネットセキュリティ脅威レポート」、デスクトップを狙う攻撃への移行を特定

Symantecからインターネットセキュリティ脅威レポートの第8号が発行されたようです。英語のみで日本語のレポートはまだでていません。 Symantec Internet Security Threat Report (Symantec) シマンテックインターネットセキュリティ脅威レポート (Symantec)…

OSよりもセキュリティソフトに脆弱性報告が相次ぐ〜米Yankee Group

Internet Watchより。 特に直近の12カ月に絞ると、セキュリティ製品に発見される脆弱性は著しく増加しており、その割合はMicrosoft製品に発見される脆弱性の割合よりもはるかに大きかったという。 Yankee Group Uncovers New Frontier for Security Vulnerab…

期待と不安が交錯するオープンソースコンパイラの新バージョン開発

CNET Japanより。近日中に登場するといわれるGCC 4.0でより最適化されたコードが生成出来るようになるけど互換性が問題という話。 この手の話って、gcc 2.8あたりの最適化に力を入れてきた時から頻繁に起こっている問題だと思うんですけど。そのときはegcs-1…

帰ってきたLANDバグ――ターゲットは最新のWindows

ITmediaより。Auditorに入っていたIP Sorceryを使ったところ、Windows XP SP2とWindows Server 2003にLAND攻撃が有効だということを偶然発見したらしい。 LAND攻撃が有効なのはWindows 95やNT 4.0あたりだった覚えがありますが、復活ですか。 Windows Server…

フィッシング詐欺、顧客8人に被害 UFJカードが発表

asahi.comより。顧客8人が計約150万円の現金を不正に引き出されたというもので、今日のクローズアップ現代でも紹介されていました。 引っかからないように気をつけるのがまず第一歩ですが、番組を見てオンラインショッピング専用にクレジットカード作って少…

裁判所から本物の督促状 振り込め詐欺、さらに巧妙化

asahi.comより。裁判所から本物の督促状が届くケースがあって、無視していると財産差し押さえされる可能性があるらしい。督促状が来た場合、今までの「とりあえず無視しておけ」という対策が使えないわけですな。 昨年末のくそ忙しい時に、実家のほうに自分…

米大学院生らが、授業の一環でUnixの脆弱性を発見

id:tessyさんとこ経由、CNET Japanより。DJBさんが授業の一環として脆弱性を発見させる課題を出したようですね。授業の概要はこれかな。 http://tigger.uic.edu/~jlongs2/holes/ MCS 494, UNIX Security Holes, Fall 2004 (cr.yp.to)

シマンテック、総額130億ドル超でベリタス買収へ・米紙

NIKKEI NETより。Oracleがピープルソフト買収したときも額の大きさに驚いたけど、それ以上になりそうとのこと。しかし、買収目的があんまりわからないな。

Windows XP SP2を収録した無償CD-ROM、全国の郵便局で配布開始

Internet Watchより。そういえばCD-ROMまだもらいに行ってなかった。まだSP2当てたマシンもほとんどいじれていないし…。

シマンテック、セキュリティ会社@stakeの買収に合意

CNET Japanより。McAfeeが8月にFoundstoneを買収した動きに対抗したものらしい。 Symantec、セキュリティ企業の@stakeを買収 (ITmedia)

IPAへのぜい弱性情報の届け出,開始から2カ月弱で67件に

ITProより。届けられた67件の脆弱性のうち、ソフトウェア製品の脆弱性が14件、Webアプリケーションの脆弱性が53件ですか。Webアプリの脆弱性ってサイト固有の問題だからMLとかBlogとかであまり話題にならないですが、山ほどあるんでしょうね。

DCカード、48万人分の個人情報流出か

asahi.comより情報漏えい系メモ。約48万人分の氏名や電話番号、カード番号、利用金額などの情報が流出した恐れがあるそうです。カード番号とか利用金額が漏れていたとしたら、カードを再発行をするとしても500円分の金券じゃ少なすぎると思いますけど。 今後…

サン、Solaris 10はLinuxアプリも動作可能に--レッドハットを狙い撃ち

CNET Japanより。Sunがx86 Solarisを止めるとかの話があった関係でx86 Solarisで動作するアプリケーションってかなり少なくなってますから、Linuxエミュレーションで盛り返そうという作戦みたいですね。

セキュリティ専門家:「グーグルはハッカーにも人気」--欠陥サイト探しに利用

CNET Japanより。これもBlack Hatネタですね。昔から○×で検索すると、ほげほげが出てくるとか(謎)、検索の仕方一つでいろんなもの見つけられますからね。

ツール利用でハッカーの作業時間が短縮傾向に--セキュリティ専門家らが指摘

CNET Japanより。Black Hatで、パッチをリバースエンジニアリングするツールが出回っていてそれを利用する攻撃者が増えているというプレゼンがあったそうです。確かに最近パッチが出てから1日でExploitがでてきますから、システム管理者がセキュリティを維持…

IEEE、WEP後継無線LANセキュリティ規格の802.11iを承認

ITmedia Enterpriseより。ようやく802.11iが承認されたようで。

AOLの顧客情報9200万件がspam業者に流出

Slashdotより。しかし、すごい数だな。こんな風に流出すると、自分でせっせとメールアドレスが漏れないようにしていても無駄になっちゃいますね。

約1万人の情報流出 ビーエス・アイとP&G

個人情報を記録したCD-ROMが外部に流出したとか。こういうのを防止するには内容の暗号化して自動消滅するようなしくみが必要なんだろうなぁ。個人情報漏洩が多いのでこの手の商品も最近結構出ていますね。 ファイルを暗号化し、自動消滅させる「Essential Se…

Transmeta、Efficeonに「No eXecute」機能を搭載 〜Windows XP SP2のセキュリティ機能に対応

PC Watchより。これって Solaris でいうところの /etc/system に set noexec_user_stack = 1 と書くようなもの? NX機能は、Windows XP SP2で搭載される「Execution Protection(実行保護)」 機能と連動し、データ用のメモリ領域から悪意を持ったコードの実行…

未納・未加入問題で社会保険庁が「情報管理」に危機感

asahi.comより。「政治家の未納などの個人情報が内部から漏洩(ろうえい)しているのではないか、と思わせるケースが相次いで起きている」とのことですが、知人によると簡単に調べられるらしいですよ。 氏名と誕生日さえわかれば、対象が誰でも調べられるら…