NIST：政府機関向けセキュリティ管理ガイドライン及び身分証明書仕様を策定

さすがに米国はしっかりしているようですね。実施可能な具体的なガイドラインっていうのが一番むずかしいような。

NIST：政府機関向けセキュリティ管理ガイドライン及び身分証明書仕様を策定
日本の省庁ではかなり緩やかな指針が示されることが多いが、結果として省庁自治体等で個別実装したシステムの仕様や実装の問題点が後から指摘ことが少なくない。省庁自治体等を通して実用的な基準として使用できる具体的なガイドラインあるいは「べからず集」を検討・提示すべきだろう。

Pandaの無償オンラインウイルス検知サービスがスパイウェアに対応

個人で数台のPCを持っていて、すべてに有償のワクチンソフトをインストールするのは結構費用もかかるので、このようなサービスを利用するのもいいかも。

Pandaの無償オンラインウイルス検知サービスがスパイウェアに対応
Panda Software Japanは、オンラインでウイルスを検知・駆除できる無償サービス「Panda ActiveScan」に、スパイウェアの検知機能を追加した。Windows XP/2000/NT/Me/98/95に対応し、Internet Explorer 4.0以降をサポート。OutlookやOutlook Expressなどのメールソフトもサポートしている。
　Panda ActiveScanは、ActiveXを利用してPCをスキャンするオンラインサービス。通常のファイルのほか、ZIP形式などの圧縮ファイルやメールのスキャンにも対応する。最新版のPanda ActiveScanには、新たにスパイウェアの検知機能を追加した。ただし、ウイルスは検知後に駆除もできるが、スパイウェアは検知のみ可能となっている。

NTT Com、DDoS 攻撃対策提供に向けたトライアルを実施

DDoS攻撃の検出、遮断、復旧が一連で行われる機能の早期提供が望まれています。

Japan.internet.com Webテクノロジー - NTT Com、DDoS 攻撃対策提供に向けたトライアルを実施
同トライアルは、「DDoS 攻撃などの早期検知手法の検証」「DDoS 攻撃などによるトラフィックの遮断技術の検証」「ネットワークを利用しているユーザーとの緊密な連携を実現することによるサービス化の検討、検証」の3つから構成される。
トライアル実施期間は2005年3月7日から4月30日まで。今後は、同トライアルで得た DDoS 攻撃などへの対処技術やユーザーとの連携フレームワークなどの成果から、NTT Com グローバル IP ネットワークサービスにおけるセキュリティネットワーク基盤を強化すると共に、2005年夏に向けて次世代型セキュリティサービスの提供を目指す。

国内のWebサーバーがフィッシングに悪用される，関係者は「全く気付かなかった」

Webサーバを運用している場合は、この対策をしなければならないですが、TripWireとかのソフトを使っていなければまずわからないでしょうね。

国内のWebサーバーがフィッシングに悪用される，関係者は「全く気付かなかった」 : IT Pro ニュース
知らないうちに不正侵入されてフィッシングに悪用されているサーバーは少なくないと考えられる。また，今回のケースで明らかになったように，既存ページを改ざんされた場合とは異なり，通常のページからはリンクが張られていない偽ページを仕掛けられた場合には，まず気が付かないのが実情だろう。
　偽ページを検出できるツールや監視体制を備えることが望ましいが，まずは侵入されないことが第一。インターネットからアクセス可能なサーバーの管理者は，セキュリティ対策を改めて確認したい。具体的な対策方法については，JPCERT/CCの情報などが参考になる。

暗証番号の４割が生年月日 偽造カードの実態調査 - asahi.com : 経済

本人から類推できる暗証番号は使わないようにと言われ続けていてもやはり使う人が多いということでしょうか。ここまでくると啓発活動の問題ではないような気もしてきます。

暗証番号の４割が生年月日　偽造カードの実態調査 - asahi.com : 経済
金融庁は２２日、偽造キャッシュカードによる預金の不正な引き出しの被害調査の結果をまとめた。被害にあったカードの暗証番号の４１％が生年月日やそこから類推できる番号を使用。１００万円超の被害が６０％に達し、大半が３日以内に引き出されていた。金融機関が被害者に補償しているケースは９％しかなかった。

「Webサーバーへの侵入相次ぐ，目的はフィッシングへの悪用」――JPCERT/CCが警告

フィッシングへの悪用を目的としたWebサーバーへの侵入が多数報告されているようです。対処法はずっと前から掲げられている対策ですが、なかなか実施されないようですね。

「Webサーバーへの侵入相次ぐ，目的はフィッシングへの悪用」――JPCERT/CCが警告 : IT Pro ニュース
JPCERT/CCが「予防方法」として挙げているセキュリティ対策は以下の5つ。いずれも，セキュリティのセオリーである。
（1）不要なサービスを停止する
（2）サービスを提供する範囲を制限する（アクセス制御を正しく施す）
（3）システムの運用状態を監視する
（4）ソフトウエア管理を行う（例えば，利用ソフトのセキュリティ・ホールをふさぐ）
（5）ユーザー・アカウント管理を行う（例えば，推測可能なパスワードを設定させない）
　JPCERT/CCでは，情報処理推進機構（IPA）が公開する「小規模サイト管理者向け セキュリティ対策マニュアル」などを参照するよう勧めている。これ以外にもいくつか参考資料が挙げられているので，管理者はぜひ目を通しておきたい。
　なお，IPAでも国内のWebサイトが侵入されて，フィッシングに悪用されたケースを確認しているという（関連記事）。インターネットに常時接続しているマシンの管理者は十分注意したい。

「ホーム・ユーザーがネットの“weakest link”」――英MessageLabs

セキュリティ対策は、まだまだ、個人ユーザにまで浸透していないということですね。

「ホーム・ユーザーがネットの“weakest link”」――英MessageLabs : IT Pro ニュース
同氏は，ホーム・ユーザーの多くはセキュリティ対策を施さないため，ウイルス・メールを送信するようなウイルスにすぐ感染してしまう，と指摘。そして一度感染すると，気づくことなくウイルスを稼働させ続け，ウイルス・メールをまき散らし続けるという。
　また，ホーム・ユーザーはスパムの踏み台にもなっているという。原因は「ボット(bot：関連記事)」である。知らないうちにボットを仕込まれて，「ボット・ネット」の一部にさせられる。「今までは，インターネット上のオープン・プロキシ（誰でも利用可能なプロキシ・サーバー）が踏み台にされていた。現在では，ボットを仕込まれたホーム・ユーザーのパソコンが，オープン・プロキシとして使われている」（Sunner氏）
　ウイルスやスパムだけではなく，フィッシング目的のメールも多数出回っている。「メールの悪用は増加する一方」（同氏）。このため各国では悪質なメールに関する法規制が始まっている。これについてSunner氏は「もちろん法規制は必要だが，根本的な解決策にはなりえない。ユーザーへの啓蒙と，できる限りの技術的対策を施すことが重要だ」と強調する。

ドコモとauが発信者番号偽装の防止策を3月から実施

このような発信者番号偽装の防止策は、一般の電話でもできないのでしょうか？

ドコモとauが発信者番号偽装の防止策を3月から実施
NTTドコモは2月18日、携帯電話への通話の発信者番号偽装を防止する対策を実施することを発表した。発信者番号の偽装し金銭を要求する詐欺事件が報告されていることを受けたもの。一定の条件により発信者電話番号が偽装された疑いのある通話を識別し、その通話の発信者電話番号を非表示にする。3月1日から4日にかけて順次開始する。

ノートPCのOS起動前認証とHDD全体の暗号化を行なうツール「CompuSec Pro」

この記事に書かれたとおりの機能が実用に耐えられるものであれば、PCの盗難などでのセキュリティ対策の一つとしてとても有効と思われる。

ノートPCのOS起動前認証とHDD全体の暗号化を行なうツール「CompuSec Pro」
CompuSec Proには、USBトークンまたはSmartCardと同リーダーが標準付属しており、これらの認証デバイスとパスワードを併用してOS起動前のプリブート個人認証やシングルサインオン機能を提供する。認証デバイスを抜くと、PCが自動的にロックされる。認証デバイスとしてはこのほか、指紋認証にも対応予定だ。
　さらに、128ビットまたは256ビットのAESにより、OSを含むHDD全体の暗号化が可能。リムーバブルメディアやネットワーク上の共有フォルダ、メール（S/MIME互換）の暗号化も行なえる。

TCA、振り込め詐欺など発信者番号偽装問題の検討部会を設置

ナンバーディスプレイでネームディスプレイで、信頼できる表示がされても、発信者番号の偽装があるから気をつけるようにということは、もっと大々的に宣伝してもらわないと。非通知や、知らない電話番号の場合も出なくても、知ってる表示がされれば、安心して通話します。

TCA、振り込め詐欺など発信者番号偽装問題の検討部会を設置
同協会では、偽装表示対策として、自宅や警察の電話番号からの発信であっても、不審な内容であれば一旦通話を終了し、折り返しかけ直すよう勧めている。

マカフィー、ウイルス定義ファイルの配信頻度を週1回から毎日へ

今まで毎日配信されていなかったのが不思議です。

マカフィー、ウイルス定義ファイルの配信頻度を週1回から毎日へ
マカフィーは25日から、ウイルス定義ファイルの配信を土日、祝祭日を除く毎日実施すると発表した。現在の配信頻度は週1回となっている。
　危険度が“中”以上の緊急ウイルス発生時は、従来と同様にウイルス定義ファイルを作成しだい、Webサイトおよびメールによる通知を行なう。ユーザーは、現在と同じ方法でアップデート通知を受けられるほか、製品に搭載されている自動アップデート機能を利用することも可能だ。

ウイルス除去ソフトも更新、2月のWindows Updateはぜひ実行を

今回から、「Windows 悪意あるソフトウエアの削除ツール」がWindowsUpdateで更新できるようになったようです。できれば、WindowsUpdateの実行は自動にしておいたほうがいいと思いますが。

ウイルス除去ソフトも更新、2月のWindows Updateはぜひ実行を
2005年からWindows Updateでは、Blaster、Sasser、Mydoomなど、過去に流行したウイルスプログラムをシステムの中から発見し、除去するプログラム「Windows 悪意あるソフトウエアの削除ツール」が含まれている。今回の更新ではKorgo、Netsky、Randex、Zafiといったウイルスの駆除にも対応した。なお、Windows Server 2003やWindows 2000では、マイクロソフトの「Microsoftダウンロードセンター」でダウンロードするか、米Microsoftのオンライン版が利用できる。

IPA/ISEC情報セキュリティ読本 教育用プレゼン資料

IPAセキュリティセンターのサイトで、情報セキュリティ読本の教育用プレゼン資料のPPTファイルとPDFファイルが公開されました。活用したいと思います。

情報処理推進機構：セキュリティセンター：情報セキュリティ読本 教育用プレゼン資料
企業内での社員教育、学校での授業、各種セミナーや研修などで利用できるように、テキストに準拠したPowerPointのファイルを作成しました。
　 1章から6章まで、各節の各項目ごとに、PowerPointのスライドに要点をまとめています。

OSのhostsファイルを書き換えてしまう新手のフィッシング詐欺に注意

URLが正しく見えても実際には違うIPアドレスのフィッシングサイトへ行ってしまう脅威です。これは、DNSに登録されていないWSは、/etc/hotsに記述することはごく自然の方法で、それを悪用されてしまうことは容易に想像されることです。hostsファイルの書き換えを監視することは大変なことですが、実際問題としてどのような方法で自衛するべきなんでしょうか？

OSのhostsファイルを書き換えてしまう新手のフィッシング詐欺に注意
ホストファイルフィッシングでは、OSの中に含まれているhostsファイルを書き換えることで偽サイトに誘導する。例えば「www.citibank.com」に対応する偽サイトのIPアドレスを書き込むといった具合だ。hostsファイルが書き換えられると、DNSを経由することなくhostsファイルに書き込まれたIPアドレスが参照・表示されてしまうため、ユーザーがブラウザのアドレスバーに手動で「www.citibank.com」と入力しても偽サイトにつながるわけだ。アドレスバーに表示されているURLも「www.citibank.com」であり、ユーザーが自分でURLを打ち込んだという安心感があることから、偽サイトがうまく作り込まれていれば、まったく疑うことなく個人情報を入力してしまう可能性が極めて高い。

政策の専門家達は問題の本質「欠陥の排除」からなぜ目を背けるのか

いつもながら鋭い指摘です。情報セキュリティに関わっている人は全文を読んで、この状況を自分なりに考察してみる価値があると思います。

政策の専門家達は問題の本質「欠陥の排除」からなぜ目を背けるのか
暗証番号忘れに対応するには、マスターキーで指定の箱を開錠できるようになってさえいればよい。暗証番号を印刷したり表示する必要性は全くないはずである。
「ユーザのパスワードは管理者でさえ見られないようにしておく」というのは、システム設計の基本的な鉄則であり*1、それは現に実践されているところだ。RSA Conferenceの講演者などにとっては間違いなく常識的なことだろう。