情報処理推進機構(IPA)はこのほど、「「情報セキュリティ対策ベンチマーク バージョン4.3」と「診断の基礎データの統計情報」を公開:IPA 独立行政法人 情報処理推進機構」において、情報セキュリティ対策ベンチマークの診断基礎データを最新版へアップデートし「情報セキュリティ対策ベンチマーク バージョン4.3」として公開したと伝えた。「情報セキュリティ対策ベンチマーク」は質問形式の企業情報セキュリティ自己診断システム。いくつかの設問に答えることで、自社のセキュリティレベルが他社と比較してどの程度なのかの指針を得ることができる。「情報セキュリティ対策ベンチマーク バージョン4.3」では2010年4月1日から9月30日までに提出された診断データを整理したものが活用されており、3056件が診断の基礎データとして活用されている。「情報セキュリティ対策ベンチマーク」は何度でも使用でき、また、推奨される取り組みなどの解説にもアクセスできる仕組みになっている。社内で定期的に「情報セキュリティ対策ベンチマーク」を実施して自社のセキュリティ状況の診断と情報セキュリティ強化へ向けた指針としても活用できる。
2014年10月27日カスペルスキーは21日、iOS端末向けのセキュリティブラウザ「Kaspersky Safe Browser for iOS」の提供を開始した。App Storeより無料でタウンロードが可能となっている。「Kaspersky Safe Browser for iOS」は、フィッシングサイトや悪意のあるサイト、ショッピング詐欺サイト、偽サイトといった不正なWebサイトの閲覧をブロックするWebブラウザ。犯罪や暴力、武器、過激な表現、ギャンブルといったカテゴリの中から、閲覧しないカテゴリを選択することができる。クラウドベースのアンチウイルスネットワークである「Kaspersky Security Network」によって、サイトの情報を更新し、新たに出現する危険なサイトにも対応するという。対応端末は、iPhone、iPad、iPod touch。対応OSはiOS 6/7/8。
2014年10月21日カスペルスキーは21日、iOS向けセキュリティブラウザアプリ「Kaspersky Safe Browser for iOS」の提供を開始した。ダウンロードおよび利用料は無料。「Kaspersky Safe Browser for iOS」は、ブラウジング機能を備えつつ、フィッシングサイトや悪意のあるサイト、ショッピング詐欺サイト、偽サイトをブロックしてくれるアプリ。犯罪・暴力、武器、過激な表現、ギャンブルなど14種類の特定のコンテンツを含むサイトをブロックすることも可能。対応端末は、iPhone、iPad、iPod touch。対応OSはiOS 6/7/8。
2014年10月21日シマンテックは10月17日、同社をはじめ多数のセキュリティベンダーが参加した共同作戦「Operation SMN」により、中国に拠点を置くサイバースパイグループ「Hidden Lynx」が利用している「Backdoor.Hikit」や他の多くのマルウェアに打撃を与えたとブログで公開した。作戦によると、Hikitバックドアは、米国や日本、台湾、韓国、その他の地域の幅広い標的に対するサイバースパイ攻撃で利用。Hikitを利用する攻撃者は、政府機関、テクノロジー業界、研究機関、防衛産業、航空産業に関連する組織に対して特に狙いを集中させていた。Hikitは少なくとも、Hidden Lynxおよび Pupa(別名 Deep Panda)という、中国に拠点を置く2つの APTグループによるサイバースパイ攻撃で利用している。Hidden LynxはAuroraとも呼ばれており、高度な技術力と潤沢なリソースを備えた、中国に拠点を置く攻撃グループで、幅広い標的に対して、何度も執拗な攻撃を繰り返している。この業界横断的な作戦では、Microsoftの新しいCoordinated Malware EradicationプログラムのもとでNovettaが調整役となり、共同作戦参加ベンダーは豊富な知見を共有。これにより、Hikitや今回新たに発見されたマルウェアなど、その他多くの関連するマルウェアに対する一層効果的な保護対策が実現した。今回の作戦に参加した企業は、シマンテック、Cisco、FireEye、F-Secure、iSIGHT Partners、Microsoft、ThreatConnect、Tenable、ThreatTrack Security、Novetta、Volexityとなっている。
2014年10月20日NTTソフトウェアは、Webサイトをサイバー攻撃の脅威から守るセキュリティサービス「TrustShelter(トラストシェルター)」の発売を11月4日から開始すると発表した。近年、改ざんやウイルスの埋め込みなど、Webサイトに対する攻撃が増加しており、2014年上半期で2000件を超すWebサイト改ざんの被害届けがJPCERTコーディネーションセンターに提出されている。特に、最近のサイバー攻撃は技術的に複雑化・巧妙化が進み、次々と新しい攻撃が出現し、IT担当者には大きな負担となっている。このような背景から、NTTソフトウェアは「TrustShelter」として、Webサイトのセキュリティ対策に必要なサービスの販売を開始する。このサービスは、Webサイトの「攻撃遮断」と「改ざん検知」「セキュリティ診断」をクラウドサービスとして提供。サービスで用意している3つの対策メニューの中から、セットでの利用または必要なメニューを選択する。
2014年10月17日トレンドマイクロは、BCCが運営するデータセンターの顧客企業に対し、企業を取り巻く様々な脅威から情報資産を包括的に保護するためのセキュリティ対策「TSS トータルセキュリティサービス(TSS)」の提供開始を発表した。同サービスは、10月20日よりBCCより販売を開始、BCCは今後1年間でセキュリティ対策の売上1億円を目指す。TSSはトレンドマイクロ製品による対策を主軸に、「設備による対策」「情報技術による対策」「ルール・人による対策」の3つで構成。「設備による対策」では、BCCから入退室管理や施錠管理など、徹底した物理セキュリティ管理を提供。「情報技術による対策」では、トレンドマイクロのネットワーク監視技術やサーバセキュリティ対策技術を用いて、不正アクセス検知や、ウイルス対策などをトータルで提供。BCCが各セキュリティソリューションの監視、運用なども行い、不正プログラムの感染が確認された際には、その駆除も実施する。「ルール・人による対策」では、トレンドマイクロの知見を活かし、セキュリティポリシーや各種ルール制定のコンサルティングや、顧客企業の社員に対するセキュリティ教育・訓練をBCCから提供。技術的な対策だけでなく、セキュリティに強い体制づくりまで支援することで、企業における包括的なセキュリティ対策を実現する。企業は、TSSのサービスから自社に必要なソリューションを組み合わせて選択したり、月額課金のクラウドサービスとしての利用もできるため、導入の際の初期投資を抑え、必要なソリューションを必要な期間利用可能。なお、価格は「バリューセットS:VS(サーバ保護に特化したセット:ウイルス対策、侵入検知、年2回定期点検サービス、防災訓練サービス)」が6000円/台、「バリューセットC:VC(クライアント保護に特化したセット:ウイルス対策、レポーティングサービス)」が500円/台。特定の保護に特化したセットプランも用意している。
2014年10月16日Googleセキュリティチーム10月14日(米国時間)、「Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback」において、登場してから15年にもなるSSL 3.0の設計に問題があることを発見したと伝えた。この問題を悪用されると、攻撃者によって通信内容を推測される危険性があるとしており注意が必要。Googleでは向こう数ヵ月の間にGoogle ChromeなどのクライアントプロダクトからSSL 3.0の使用を完全に廃止すると説明している。現在でもいくつかのサイトはSSL 3.0を使用しているため、クライアントプロダクトがSSL 3.0の使用を廃止した場合、そうしたサイトにはアクセスできなくなる。Googleでは、互換性を維持したままこのセキュリティ脆弱性の影響を低減する方法として「TLS_FALLBACK_SCSVをサポートすればよいと」説明。Googleでは実際に2月からTLS_FALLBACK_SCSVのサポートを開始しており、互換性を維持したまま影響の低減を実現していると指摘している。こうした取り組みは、他のブラウザベンダーやプロジェクトでも発表されている。Mozillaは「The POODLE Attack and the End of SSL 3.0」において、11月25日に公開が予定されているFirefox 34からはSSL 3.0のサポートをデフォルトで廃止すると説明。Mozillaの観測によれば、FirefoxがSSL 3.0を使った通信をする割合はHTTPS通信の0.3%ほどだと指摘。数字で見ると小さいが、Web全体としてその値を考えると1日当たり何百万トランザクションに相当すると説明している。
2014年10月15日インフラウェアは10月14日、同社のオフィスアプリ「Polaris Office Enterprise」を、セキュリティ対策製品を販売する企業に向けて提供すると発表した。Symantec、Citrix、MobileIron、Mobility Labなどへ提供する。Polaris Office Enterpriseは、Android端末やiOS端末向けに配布するオフィスソフト。マイクロソフトオフィスと互換性があり、モバイル端末上でちょっとした文書の閲覧・編集ができる。近年、BYODの需要拡大により、セキュリティ対策製品を提供する企業は、モバイル向けのオフィスソフトと連動するセキュリティ技術を開発し、法人に向けて販売している。セキュリティ企業は、Polaris Office Enterpriseの提供を受け、新たなモバイルセキュリティソリューションを開発する。
2014年10月14日日本マイクロソフトは10月10日、10月のセキュリティリリースの事前通知を公開した。月例セキュリティは情報は、緊急3件、重要5件、警告1件の計9件。通常どおり第3水曜日の15日にセキュリティパッチを公開する予定だ。緊急の3件はすべてリモードコードの実行を防ぐパッチとなる。影響を受けるソフトウェアは「セキュリティ情報1」がWindowsとInternet Explorer。「セキュリティ情報2」が.NET Framework 2.0 Service Pack 2、.NET Framework 3.5、.NET Framework 3.5.1、.NET Framework 4、.NET Framework 4.5/4.5.1/4.5.2。「セキュリティ情報3」がWindowsとなっている。「重要」に設定されている5件の内訳は、リモートコードの実行が2件、特権の昇格が2件、セキュリティ機能のバイパスが1件。警告は特権の昇格が1件だ。セキュリティパッチの配布と合わせて、悪意のあるソフトウェアの削除ツールの更新バージョンを配布する。
2014年10月13日米Symantecは10月9日(米国時間)、セキュリティと情報マネジメント(IM)の2つの事業をそれぞれ独立した企業として分割する計画を取締役会が承認したと発表した。これは「両分野で成功するために個別に戦略を立てて進めていくことが必要」という判断に基づくものとなる。同社は、戦略と組織構造のレビューの結果、セキュリティとIMについて、独立した企業として戦略を立てて実行していくことに決定したという。これにより、成長の機会、研究開発への投資、製品化にフォーカスし、独自の提携などの戦略を柔軟に進めることができ、コスト削減も見込めるとしている。セキュリティ事業には、コンシューマーおよびエンタープライズ向けエンドポイントセキュリティ、エンドポイントマネジメント、暗号化、モバイル、SSL証明書、ユーザー認証、メール/Web/データセンターセキュリティ、データ損失予防、マネージドサービスなどが含まれる。これらは同社が元々強みとする分野であり、会計年度2014年は42億ドルの売上高を計上している。同事業は分社化により、「SymantecとNortonの脅威情報を統合したセキュリティプラットフォームの提供」「マネージドサービスなどサイバーセキュリティ対応サービスの強化」「Norton製品の統合を通じてのポートフォリオ簡素化」の3点にフォーカスすると説明している。IM事業はバックアップとリカバリ、アーカイブ、ストレージ管理などの技術を持ち、会計年度2014年度の売上高は25億ドルだった。IM事業の製品はFortune500にランクインしている企業の75%に導入されているという。今後は、データの保存・管理に要するTCOを削減して情報からの洞察を得るソリューションの提供、自社およびサードパーティのエコシステムを統合し、企業全体の情報の可視化・管理・制御を可能にするインテリジェントな情報レイヤの開発などに注力していく。IM事業のゼネラルマネージャにJohn Gannon氏が、CFO代理にDon Rath氏が就任することも発表された。Gannon氏はQuantumの社長兼COOを務めていた人物。Symantecの社長兼CEOは、2014年3月に暫定CEOに就任し、9月に正式な就任が決定したMichael A.Brown氏が続投する。Symantecは今後、分社化に向けて作業を進め、2015年12月に完了を見込むとしている。
2014年10月10日サイオステクノロジーは10月9日、オープンソースソフトウェア(以下、OSS)のセキュリティ問題に対応する「サイオスOSSよろず相談室 セキュリティ診断サービス」を同日より国内で提供開始すると発表した。昨今、「ShellShock」や「Heartbleed」など、OSSに存在する脆弱性問題についての問い合わせや個別のサポート依頼が急増しており、同社ではこのような顧客からの要望に応えるため、「サイオスOSSよろず相談室 セキュリティ診断サービス」を提供開始する。このサービスでは、Bashで発生した脆弱性問題「ShellShock」、OpenSSLで発生した脆弱性問題「Heartbleed」など、OSSで発生したクリティカルな脆弱性問題の調査、解析、対応方法の提示を行い、よりセキュアな企業システムの構築・運用を支援する。基本メニューとしては、脆弱性診断サービス(デスクトップや開発パッケージは除く)、環境調査、セキュリティ診断レポート、セキュリティ診断レポートについての説明会実施、説明会後、診断レポートに対するQAサービス 3インシデント/1カ月がある。「サイオス OSSよろず相談室 セキュリティ診断サービス」は30万円(税別)/1システムからの提供となり、オプションメニューでオンサイトサービスやパッチ作成サービスも提供する。
2014年10月10日キヤノンITソリューションズは9日、個人向け総合セキュリティソフトウェア「ESET ファミリー セキュリティ」などに含まれる、Windows用プログラム「ESET Smart Security」新バージョンのモニター版プログラムを提供開始した。同社ホームページより申し込み後、無償で利用できる。「ESET Smart Security」は、ウイルス・スパイウェア対策、フィッシング対策、有害サイトアクセス機能などを備える総合セキュリティソフトウェア。新バージョンでは、botを通信解析で検出する「ボットネット プロテクション」機能を追加した。また、アプリケーションの脆弱性を突く攻撃を防御する「エクスプロイト ブロッカー」機能を強化し、新たにJavaに対応した。試用提供されるモニター版プログラム名は、「ESET Smart Security V8.0」。提供期間は2014年10月9日~2014年11月6日。利用期限は2014年12月24日。評価レポート/バグ報告の受付期間は2014年10月9日~2014年11月16日。なお、モニター版プログラムには、モニター版用のユーザー名・パスワードがあらかじめ設定されているため、すでに製品版を利用している場合はユーザー名・パスワードが上書きされ有効期限が変わるので注意したい。製品版ライセンスを持つユーザーは、製品版プログラムへ入れ替え後、製品版のユーザー名・パスワードに入れ替えることで、継続利用できる。また、モニター版プログラムはサポートの対象外となる。対応OSは、Windows XP / Vista / 7 / 8.1。合わせて、モニター版プログラムを利用し受付期限内に評価レポートを提出したユーザーの中から抽選で100名に、「ESET ファミリー セキュリティ」製品版の1年間使用権がプレゼントされるキャンペーンも実施する。
2014年10月09日Wind Riverは10月7日(現地時間)、リアルタイムOS(RTOS)「VxWorks」の次世代版向けセキュリティプロファイル「Security Profile for VxWorks」を発表した。同プロファイルにより、モノのインターネット(IoT:Internet of Things)のデバイス、データ、IPを保護する高度なセキュリティ機能が「VxWorks 7」に追加される。具体的には、ブートアップ、運用、データ伝送、電源切断時など、すべての段階でネットワーク対応デバイスを保護できる。また、IPの盗用やコードのリバースエンジニアリングも効果的に防止する。さらに、ブートアッププロセスの各段階でバイナリを検証するセキュアブート、不正な実行やコードの改ざんを防止するセキュアなランタイムローダ、不正アクセスからのデバイスの保護やユーザによるポリシーとパーミッションの定義・適用が可能な高度なユーザ管理、および同社の最新のセキュリティプロトコルであるWind River SSL、SSH、IPsecなどを搭載してネットワーク通信を確実に保護するネットワークセキュリティ、TrueCryptに対応したAES暗号化でファイルコンテナをサポートする暗号化コンテナなど、ソフトウェアベースの包括的なセキュリティ機能が提供される。この他、セキュリティクリティカルなアプリケーションについては、相互運用性をテスト・検証済みのWibu-Systems製ハード/ソフトウェアベースソリューション「CodeMeter」とのシームレスな統合により、プロファイルを強化できるとしている。
2014年10月09日Googleは先日、HTTPSサイトの検索順位を優遇する方針を発表しました。これによって、インターネット全体のセキュリティ向上が期待されており、たとえば、人気サイトでは平文のパスワードを送信できなくなります。ご存知の通り、HTTPSは中間者(MITM)攻撃への有効な対策です。例えて言うと、HTTPSは武装車両のようなものであり、A地点からB地点まで乗客を安全に輸送します。また、乗客を正しい目的地へと確実に送り届けることもできます。ただし、車両の積み荷が何かという点については保証がありません。つまり、積み荷が実爆弾や変装した敵である可能性もあるわけです。敵は、この点を悪用して攻撃を仕掛けてきます。○従来型の境界セキュリティの弱点を突くHTTPS映画『イングロリアス・バスターズ』では、重装備のドイツ軍基地を突破するために、ブラッド・ピットと彼が率いる部隊はドイツ兵に変装します。敵の正体を見破ることができなければ、セキュリティ対策は役に立ちません。HTTPSも、境界セキュリティにおいてこれと同様の難問に直面しているといえます。データが完全に暗号化されていると、ファイアウォールやIDS/IPSといった従来型の境界セキュリティソリューションでは不正を見破ることができません。その結果、敵(攻撃者)は、サーバやアプリケーションを標的とした攻撃をHTTPS内に簡単に紛れ込ませることができます。これは、両方向の攻撃に悪用されます。つまり、データセンター内のサーバからの応答にデータ流出を引き起こす攻撃を仕掛け、さらには、ユーザや境界セキュリティを標的にした攻撃を外部から気付かれないように実行できるわけです。HTTPSを使用するとブラウザのアドレスバーに鍵マークが表示されますが、これはサーバのID認証の確認に過ぎず、水飲み場型攻撃を防御することはできません。しかしこの鍵マークは、エンドポイント、Webサーバ、サイトにアクセスするユーザに誤った認識を与えてしまうことがあります。WebマスターがHTTPからHTTPSに移行する場合に非プロキシ型のソリューションを導入すると、セキュリティの保護レベルが低下してしまう可能性があります。○HTTPSのセキュリティ強化と拡張に役立つアプリケーションプロキシ上記はチェックポイントセキュリティの例ですが、チェックポイントセキュリティにブラックリスト(アクセスを拒否する対象)と、可能であればホワイトリスト(写真付きの従業員リストなど)を設定する必要があります。この方法は、Barracuda Web Application Firewallのようなアプリケーションプロキシが実行する操作と類似しています。Webアプリケーションのセキュリティを確保したいのであれば、HTTPSの内部をチェックして悪意のあるデータの侵入を防ぐ必要があり、この機能を備えたアプリケーションプロキシベースのソリューションが必要になります。これを可能にするのがSSLオフロードです。プロキシがHTTPSトラフィックの復号化と検査を行い、保護サーバとHTTPを介して通信します(必要に応じて、データストリームの再暗号化が可能です)。これにより、暗号化されたトラフィックに悪意のある攻撃やデータ流出が含まれていないか、完全にチェックすることができます。Barracuda Web Application Firewallのように、アプリケーションプロキシを使用してSSLオフロードを行うソリューションは、他にも多数あります。コンテンツの再書き込み:最新のアプリケーションセキュリティは、レガシーのWebアプリケーションの再書き込みをその場で要求するものが数多く存在します。たとえば、HTTP Strict Transport Security(HSTS)ポリシーとクリックジャック攻撃回避に使用する応答ヘッダのインジェクション、CSRF攻撃向けのランダムトークンのインジェクション、Cookieの暗号化などがあります。脆弱なSSLスタックのセキュリティ強化:往々にして、古いWebサーバは最新のSSL拡張機能をサポートしません。また、古いSSLスタックには脆弱性が無数に存在する可能性があります。マルチベンダサーバでSSLをアップグレードする作業は時間がかかり、それだけ脅威にさらされる危険性も高くなります。詳細については、こちらをご覧ください。アプリケーションデリバリにかかる時間を短縮:セキュリティだけでなく、アプリケーションデリバリ機能でもアプリケーションプロキシのSSLオフロードが効果を発揮します。たとえば、コンテンツのキャッシングと圧縮では、キャッシングや圧縮の前にプロキシがHTTPS内部をチェックする必要があります。保護サーバの負荷軽減:HTTPSでは、特に2048ビット鍵を使用する場合、これまでよりも高い処理能力が必要とされます。ハードウェア仕様が不十分な古いサーバの場合、HTTPでは問題がなくても、HTTPSの負荷に対応しきれないケースがあります。アプリケーションプロキシへのSSLオフロードは、すべての演算処理をプロキシ自体にオフロードすることが可能になります。将来もセキュリティを実現できるHTTPS:PFS(Perfect Forward Secrecy)暗号化に対応していない環境では、もしも鍵が盗まれた場合、今日キャプチャされたHTTPSトラフィックスが、将来復号化されてしまう危険があります。PFSはこのような問題を未然に防ぐことができます。ただし、PFSを使用する環境では、IPS/IDSのようなスニッファデバイスをベースにしたセキュリティやスパンポートをベースにしたアプリケーションプロキシは、PFS通信を復号化できないので役に立ちません。このように、サーバでセキュリティ侵害のスニッフィングを行う場合、HTTPはその効果を発揮できなくなります。検索順位の下落(「このサイトはマルウェアに感染しています」という警告メッセージ)は、ビジネスに壊滅的な影響を与えるおそれがあるので、十分な注意が必要です。※本内容はBarracuda Product Blog 2014年9月3日What does Google’s “HTTPS Everywhere” mean for Web Application Securityを翻訳したものですNeeraj Khandelwal本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』10月7日付の記事の転載です。
2014年10月09日国内のグループウェアにおいてシェアNo.1を誇るサイボウズ株式会社。同社主催によるプライベートイベント「cybozu.comカンファレンス 2014」が、2014年11月28日(金)に東京「ホテルニューオータニ」、12月10日(水)に大阪「ウェスティンホテル大阪」にて開催される。業界著名人による特別講演やトークセッション、そして多彩な事例紹介や展示によって構成される同イベント。9月より事前申し込みが開始されているが、既にいくつものセッションで満席となるなど、業界からの注目度も高い。本記事では、サイボウズ 代表取締役社長 青野慶久氏に話を伺い、同カンファレンスの見所について解説いただいた。○新たなフェーズに移行する「cybozu.comカンファレンス」2011年11月、サイボウズは企業向けのクラウドサービスである「cybozu.com」の提供を開始した。だが当時は、サイボウズと言えばグループウェアであって、クラウドサービスのイメージはそれほどなかった。そこで、まずは多くの人に知ってもらうため、2012年3月に第1回目の「cybozu.comカンファレンス」が開催された。当初は、年1回の開催予定だったが、予想の3倍近い申し込みがあったため、急遽同年の9月に2回目が開催されるほどの人気だった。「とにかく私達の勢いと意気込みを伝えたかったんです。ただ、クラウドベンダーとしての認知度もある程度は得られた今回のカンファレンスからは、将来に向けたメッセージを発信するフェーズに移行しようと考えています」(青野氏)そして市場の動向に合わせて、第3回開催からは大企業向けへとカンファレンスの方向性をシフト。大好評を博した。「第4回目となる今回は、大企業から更に視野を広げ、ITだけではなく日本を取り巻く社会環境も含めて、独自の視点からのメッセージをお伝えします。それに合わせて、幅広い分野にわたる事例の紹介もご用意しております」(青野氏)○疲労感や閉塞感が漂う今が変わるチャンスビジネスの現場は、日々刻々と状況が変化する。だが、現在のIT業界は構造的にアジャイルな開発に向いておらず、現場の変化にITが追い付いていっていない。その結果、効率の悪い開発方法で徹夜と休日出勤が続き、疲れきった社員達は会社を去ってしまう。このような問題を抱えているIT企業は、日本中に数多く存在することだろう。「長時間労働から生まれる疲労感、出口の見えない閉塞感。そんな雰囲気が漂う今だからこそ、変わることでチャンスが生まれるのです」と青野氏は語る。「お恥ずかしい話、サイボウズも以前は残業が多く離職率も28%と高い会社でした。ですが、クラウドを活用した在宅勤務や裁量労働などの様々なワークスタイルへの対応を可能とした結果、今では離職率は4%以下にまで減少しています。気付きさえすれば、変わる為の手段は必ずあります。今回のカンファレンスで、より多くの人にそのヒントを見付けて欲しい、そう願っています」(青野氏)「cybozu.comカンファレンス 2014」におけるテーマは「この変化はリスクか、チャンスか」となっている。当日予定されているセッションでは、様々な変化にチャレンジした企業による具体的な事例紹介も行われる予定だ。「変化をチャンスに変えることは簡単ではありません。私達も、いくつもの失敗を経験しています。ですが、リスクに怯えてチャレンジを怠ると、いつかは取り残されてしまいます。変化には苦労がつきものですが、新しい未来を生み出すという楽しさやワクワク感もあります。現在の日本に蔓延する閉塞感を打破し、明るい日本の未来を取り戻すこと。それを多くの皆さんと実践していきたいと本気で願っています。是非この輪の中に加わってください」(青野氏)○好評につき定員を増員予定。初開催となる大阪会場にも注目今年の「cybozu.comカンファレンス」は昨年を遥かに超えるペースで事前申し込みが集まっており、冒頭でも述べたが、いくつかのセッションではすでに満席となっている。あまりにも早く埋まってしまったこともあり、会場変更などの対策が予定されているとのことだ。また、「cybozu.comカンファレンス2014」では、4回目にして初めてとなる大阪開催が実現。「決して東京会場には引けを取らない内容を用意しましたので期待してください」と青野氏は強調した。なお、事前申し込みのみ無料。当日参加の場合は有料(3,000円)となっているので、興味のある方は早めに申し込むことをお勧めする。また、公式ホームページには、特別講演にて登壇予定の大前研一氏(東京会場)、および前刀禎明氏(大阪会場)による、青野氏との対談記事が掲載されている。これから先の変化を予見させる、非常に興味深い内容となっているので、一度目を通してみてはいかがだろうか。追加情報:東京会場にて多くの申し込みがあった国際ジャーナリスト蟹瀬誠一氏による講演が、大阪会場においても開催されることが決定!
2014年10月09日アバー・インフォメーションは10月7日、同社のテレビ会議システムEVC300/EVC900」との連携使用のために専用にデザインされたWindows用およびiOS/Android端末用アプリ「EZMeetup」を発表した。iOS/Android端末用アプリは無償ダウンロードすることができるので、iPhone、iPad、Androidプラットフォームのスマートフォンとタブレットにインストールすることにより、どこでも、テレビ会議システムと相互接続することができる。VGA(640×480)またはCIF(352×288)の解像度に対応。Windowsバージョンは64/128/256/384/512/768/1024kbpsの帯域に対応し、iOSバージョン、Android バージョンは64/128/256/512kbps の帯域に対応する。
2014年10月08日●カスペルスキー 2015の新機能・機能強化カスペルスキーは、新バージョンとなる「カスペルスキー 2015 マルチプラットフォーム セキュリティ」を発表した。本稿では、都内で開かれた記者発表会における製品説明の内容をレポートする。○IT上の脅威から世界を守る最初に登壇したのは、代表取締役社長の川合林太郎氏である。「Save the World」の実現のために、カスペルスキーが取り組む項目などを紹介した。単に製品の品質だけでなく、取締機関との協力により、サイバー犯罪を撲滅する活動なども紹介した。かねてより、カスペルスキー製品は、高度な検知力などで定評が高かった。最近、国内では、オンラインの不正送金が猛威をふるっている。それに対し、カスペルスキーは、Effitasのオンライン取引の安全認定などでも好成績であったことが報告された。また、今後のコンシューマ製品のロードマップとして、図4を披露した。年内に、iOS向けのセキュリティブラウザ、来年にはパスワード管理ツールが予定されている。アカウントリスト攻撃などのように、ID・パスワードの使い回しによる被害も急増している。その意味では、順当ともいえる製品のリリースとなるだろう。○カスペルスキー 2015の新機能・機能強化次いで、製品本部プロダクトマーケティング部コンシューマープロダクトマーケティングマネージャーの井手さとみ氏が新機能などを紹介した(図5)。まずは、Webカメラののぞき見防止機能である。いずれかのプログラムがWebカメラにアクセスを行うと、ポップアップ通知が行われる(図6)。米国では、Webカメラを悪用した、私生活の暴露などが行われている。こういった危険を防ぐことができる。もう1つの新機能は、無線LAN安全診断である(図7)。公共施設などでは、無料で利用可能は無線LANのアクセスポイントが用意されていることが多くなった。その一方で、暗号化が十分でなかったりすることもある。具体的には、パスワードが平文で送られてしまうといったこともある。便利かもしれないが、実際に使用して大丈夫かは、外見からは判断できない。そんなときに自動的に判定してくれる機能である。その他の強化機能として、以下がある。システムウォッチャー(クリプトマルウェア対策)未知のフィッシングサイトをコンテンツベースで検知ネット決済保護(クリップボード内ののぞき見防止)Mac/Androidに強固なプロテクションユーザービリティの向上(新ユーザーインターフェイス、図8)さらなる高速化・最適化また、販売形態も一新した。パッケージ版では、以下が提供される(価格はいずれも税込)。1年1台4,860円3年1台9,720円1年5台6,080円3年5台12,960円ラインナップが、すっきりしたという印象である。また、従来あったファミリー版がなくなり、プレミアムライセンス版となった(ダウンロード販売のみ)。こちらは、同一世帯のメンバーの端末を台数問わず保護する。1年プレミアライセンス6,980円2年プレミアライセンス10,800円3年プレミアライセンス13,800円●クリプトマルウェアへの対策デモ○クリプトマルウェアへの対策デモ次いで、製品管理本部プロダクトマネージャーの保科貴大氏が、デモを行った。身代金を要求するランサムウェアには、大きく分けて2種類ある。デスクトップロッカー:画面などをロックし、PCを使用不能にするクリプトマルウェア:ファイルを暗号化し、使用不能にする従来は、デスクトップロッカータイプが多かった。最近は、クリプトマルウェアが増えつつある。そして、クリプトマルウェアはこれまで以上にタチが悪い。デスクトップロッカーならば、駆除を行うことで、PCを元の状態に戻すことができた。しかし、クリプトマルウェアは、マルウェアを削除しても、暗号化されたファイルはそのままで使用不能な状態はそのまま残ってしまうからである。デモは、このクリプトマルウェアの対策であった。暗号化されたファイルを元に戻すことは、暗号レベルも上がりほぼ不可能なレベルとなった。そこで、カスペルスキーでは、システムウォッチャーを使い、ファイルの変更を監視する。もし、ユーザーファイルの暗号化(つまり変更)が行われると、バックアップを行う。その機能は、システムウォッチャーで確認できる。[悪意あるソフトウェアによる変更のロールバック]が自動実行になっている。実際に、クリプトマルウェアによる暗号化は、図11のようになる。ファイルタイプが「DONE」となり、開くことができなくなる。さらに、同じフォルダにはhow to repear.txtというテキストファイルが作成される。その中には、ファイルを元に戻したければ、送金せよといった内容が書かれている。しかし、多くの場合、送金しても意味はない。それどころか返信メールに新たなマルウェアが仕込まれている可能性すらある。システムウォッチャーが動作していると、このような変更があった場合、バックアップを作成する。そして、そのアプリケーションが、マルウェアと判定された場合、自動的にロールバックする。ユーザーには、次のように保護プロセスの進捗が表示される。このタイミングで、バックアップが作成される。さらにアプリケーションの分析が行われる。まずは、クリプトマルウェアが削除される。最終的に、このようにロールバックを行い、元の状態に戻すのである。当然であるが、カスペルスキーをインストール前に暗号化された場合には、元に戻すことはできない。また、多くの場合、クリプトマルウェアをダウンロードした時点で、マルウェアとして駆除される可能性が高いだろう。もし、ゼロディ脆弱性などを悪用し、未知のクリプトマルウェアがカスペルスキーの防御を潜り抜けたとしても、暗号化されたファイルを元に戻すことが可能となる。●最新の脅威動向と事例○最新の脅威動向と事例第2部として、国内の脅威動向などを情報セキュリティラボセキュリティリサーチャーの石丸傑氏が紹介した。マルウェアの感染経路として、Web閲覧からが多いことを指摘した。一度の感染で、3から10のマルウェアがダウンロードされる。この中には、FlashやPDF Reader、Javaなどの脆弱性を悪用するものが含まれていることが多い。こうして脆弱性を悪用し、さらにダウンロードを行う。ダウンロードされるのは、金銭を狙うトロイの木馬であったり、ランサムウェアである。最近の特徴の1つとして、1つのIPからは1回しかダウンロードできないような仕組みになっているもが多いとのことである。これはセキュリティ対策ベンダー対策と予想されるとのことだ。悪意を持った攻撃者も、虎の子のマルウェアを必死になって守っているのだろう。さらに、同じWebサイトでも、時間によってダウンロードするファイルが変化することがある。これは、従来のパターンファイルでの検知を難しくしている。トロイの木馬やランサムウェア以外にも、ダウンロードされるものにパスワードスティーラがある。これは、その名の通り、FTPなどのIDやパスワードを狙うものである。その目的は、Webの改ざんである。上述のように、マルウェアをダウンロードさせるためには、所有者の目を盗み、仕掛けを仕込む必要がある。それには、FTPなどができなくてはいけない。そこで、ID・パスワードを狙うのである。最近あった事例では、ブログ作成ツールの脆弱性を狙ったものがある。これは、検索サイトで特定の文字列を検索するだけで、ハッシュ化されたパスワードを表示してしまうものである。一般的には、ハッシュ化されたパスワードは、そのままでは不正アクセスには使えない。しかし、解析ツールなどを使うと、復号できてしまうこともある。こうして復号したパスワードには、「1234」や「8888」といった安易なパスワードが数多くあった。このような状況も、いまだに脅威が減らない原因の1つであろう。こうして、パスワードを入手した攻撃者は、Webの改ざんを行い、マルウェアをダウンロードさせるサイトに変えてしまう。カスペルスキーでは、こういった方法で、3138のWebサイトが改ざんされたことを報告したとのことである。しかし、220ほどのWebサイトが現在でも、マルウェアの強制ダウンロードなどの活動を続けているとのことである。石丸氏は、感染から、IDやパスワードなどの詐取、そしてWeb改ざんと、負の連鎖が継続していると指摘する。この連鎖が、2014年上半期だけで、18億5000万円もの不正送金被害をもたらしているのである。
2014年10月07日ウォッチガード・テクノロジー・ジャパンは10月6日、ネットワークセキュリティの無償評価サービス「WatchGuard WatchMode」を提供開始すると発表した。WatchGuard WatchModeは、顧客のネットワークに専用アプライアンスにおけるネットワークセキュリティの状況を把握し、セキュリティ対策の導入効果を測定するツール。ゲートウェイアンチウイルス、アプリケーション制御、IPS(不正侵入検知・防御)、Webフィルタリングなどに対応する。セキュリティ可視化ツール「WatchGuard Dimension」を実装し、ネットワークセキュリティの状況をリアルタイムに表示できる。また、利用者の目的に合わせたさまざまな表示方法が可能だ。具体的には、通信量の多いクライアント、アクセスしたWebドメイン、URLカテゴリ、通信先IPアドレス、利用アプリケーション、利用アプリケーションのカテゴリ、プロトコルなどの主要項目についてレポートを表示できる。また、拒否された通信の送信元IPアドレス、拒否されたプロトコル、禁止カテゴリのブロック状況、禁止アプリケーションのブロック状況、GAV(ゲートウェイアンチウイルス)検知シグネチャなど、セキュリティに関する項目についてTOP10を表示できる。さらに、ブロックされたIPアドレス、IPSによる防御状況、アプリケーションの接続先など、地域別にマップで表示し、危険な地域との通信状況の把握に役立てられる。そのほか、送信元IPアドレス、宛先IPアドレス、ドメイン、カテゴリ別のアクセスコンテンツ、プロトコルなどの通信量を面積分布での表示できるほか、ポリシー別アクセス、インタフェース別送信/送出、セキュリティ機能(UTM)、アプリケーション別アクセス、ポリシー別アクセス許可/拒否、GAV別利用、といった各種の状況をイメージで表示できる。
2014年10月07日カスペルスキーは6日、WindowsとMac、Androidに対応する個人向けの統合セキュリティソフトの最新版「カスペルスキー 2015 マルチプラットフォーム セキュリティ」を発表した。9日より販売を開始し、標準価格はパッケージ版の1年1台版が4,860円、ダウンロード版の1年1台版が3,980円。台数制限がないプレミアライセンスの1年版が6,980円。カスペルスキー 2015 マルチプラットフォーム セキュリティには、カスペルスキー インターネット セキュリティ(Windows版)、カスペルスキー インターネット セキュリティ for Mac(Mac版)、カスペルスキー インターネット セキュリティ for Android(Android版)が含まれ、ライセンスに応じて複数のデバイスや年数で利用が可能となっている。Windows版はWindows 8、Windows 8.1に対応するほか、Mac OSに関してもMac OS X 10.10、つまりYosemiteへの対応も予定している。Windows版では新たに「Web カメラのぞき見防止」機能を搭載。プログラムがWebカメラを利用する際に、ポップアップウィンドウによりユーザーの確認を求め、Webカメラが遠隔操作で悪用されることを防ぐ。また、公衆Wi-Fiスポットなどの無線LANネットワークに接続する際に、そのネットワークの暗号化の強度を診断し、セキュリティに問題があった場合は警告メッセージを表示する「無線 LAN 安全診断」や、テザリング利用時にカスペルスキー インターネット セキュリティのデータ通信を抑制する「データ通信量の自動節約」といった機能を備える。このほか、従来から搭載する「システムウォッチャー」「ネット決済保護」「危険サイトの検知」などの機能も強化されている。パッケージ版とダウンロード版のラインナップと価格は以下の通り。
2014年10月06日さて、前回は企業がセキュアICを用いて自社製品のセキュリティを向上させるメリットについて説明をさせていただいたが、後編となる今回は、なぜMaximのセキュアICを使うと、低コストで高いレベルのセキュリティが実現できるのか、という点を具体的に説明したいと思う。まず同社のセキュアICが採用している暗号方式から。これは米国国立標準技術研究所(NIST)によって、米国政府標準のハッシュ関数として採用している「SHA(Secure Hash Algorithm)」の最新世代となる「SHA-2」の1つである「SHA-256」が用いられている。ちなみにこの「SHA-2」、インターネット業界でも今、ホットな話題となっている。というのも、これまでインターネット上で情報を暗号化して送受信するためのプロトコル「SSL(Secure Sockets Layer)」に用いられてきたのは、前世代の「SHA-1(Secure Hash Algorithm 1)」であったのだが、米国政府はNIST経由でSHA-1の使用を2013年末までに停止する勧告を出していた(日本では2019年までに使用停止する方針が政府より出されている)が、2014年の現在も、米国においてもSHA-1からSHA-2への移行は進んでいないのが現状だ。しかし、ここに来てマイクロソフトが、Windows OSにおけるSSLサーバ証明書プログラムでのSHA-1利用を廃止し、同社サービスでのSHA-1サーバ証明書の受け入れを2016年12月31日をもって停止すると宣言したことから、一気にWeb管理者などがSHA-2への対応を進める必要性が生じてきているのである。逆に言えば、現時点でそこまで安全性が信頼されている暗号方式、という見方をすることができ、それがたった1つの半導体チップで実現できることになるともいえる。認証ソリューションとして活用する場合、ホスト機器とスレーブ機器(クライアント)のそれぞれにSHA-256エンジンを搭載したセキュアICを搭載。ホスト機器側からスレーブ側にランダム変数を投げ、スレーブ側のセキュアICが持つ固有秘密鍵を用いて、認証コードを生成、それをホスト側に返信し、ホスト側もハードウェアとして保有する秘密鍵からスレーブ側の固有秘密鍵を生成し、認証コードを生成して、両者が合致して初めて認証となる。ホスト側のマスターとなる秘密鍵がもし盗まれたとしても、スレーブ側の秘密鍵は別の固有秘密鍵であり、スレーブの製品ごとに違う秘密鍵をハードにもつので、手軽に高いセキュリティレベルを実現することができるのだ。また、ホスト側のマスター秘密鍵が盗まれても大丈夫、ということで、ホスト側に演算処理をサポートするチップがなくても、プロセッサさえ搭載されていればより安価な認証ソリューションとして機能させることも可能だ。ただし、ソフトウェアで処理することになるため、そこをアタックされる危険性があるために、コプロセッサを使用しない場合はセキュアマイコンの使用を推奨する。コストとの兼ね合いでハードによる演算処理をするか、ソフトによる処理をするかを選択することも選択肢としては可能である。といっても、ロットにもよるがその差額は1ドル以下とのことであり、単価も暗号処理用のコプロセッサと512ビットのEEPROMを搭載した最上位品であっても、1万個ロットで単価は50セント程度とのことなので、リスクを冒してさらなる低コスト化、というよりも、後々の補償リスクも含めれば、コプロセッサなどが搭載されているチップソリューションを活用した方が賢明だろう(ソフト処理を選択した場合、タイミング処理のインプリメントや、秘密鍵の保管場所、作業フローの検討なども生じるため、イニシャルコストを抑えられても、ランニングコストが上回る可能性もある)。ちなみに同社、独自セキュアソリューションとして「1-Wire」というシリアルインタフェースも提供している。これは何かというと、1本のケーブルで電源、データの送信ができ、かつ1本だけなので高いノイズ耐性も達成している。通信プロトコルも1本だけなので、1ビットずつの転送で、送信後、レジスタに書き込み、その後、CRCチェッカを持つハードウェアが実際にエラーチェックを行い、CRC値があっていたら、それをメモリに書き込むという手順となっている。こう書くと複雑な処理で、処理時間もそれなりにかかりそうなイメージだが、現在の製品はオーバードライブを搭載することで、140kbpsのデータ転送が可能であり100kHzのI2C通信と同程度の性能となっている。実際のリード/ライト速度は512ビットのメモリリードで8ms、SHA-2の認証でも13ms、そして認証有りのライトで192msとかなり高速であり、実際にシステムを使用する際の動作において緩慢さを感じることはないだろう。このほか、評価ボードも複数種類用意されており、中でも「Authentication Demo Stick Using the DS28E15 Authenticator and DS2465 Coprocessor」は、1-Wireを使ったホスト-スレーブの通信を評価することができる基板で、価格も85ドルと比較的安価なため、初めて試してみるという人に向いている一枚だ。また、1-Wireを活用すると、CPUに電源が入らない状況でも、基板に通電さえしていれば、プローブをあてることで、どこで製造されたいつのロットか、ソフトのリビジョンがいくつか、といったステータスデータを読み出すことも可能であり、製品の不具合対応などにも活用することが可能だという。あらゆるものがネットワークに接続される時代に突入しようとしている現在、セキュリティをおろそかにすれば、ハッカーなど悪意のある者達はそこを狙ってくることは必然だ。特に、これまでインテリジェント性を持たなかった機器にプロセッサが搭載され、それなりの処理を行えるようになっても、それを扱う人間側にそうした意識がない可能性があり、システム側としてセキュリティを担保する必要性が生じている。それを理由に製品コストを簡単には上げるわけにはいかないが、セキュリティをおろそかにするわけにもいかない。そうした企業のセキュリティに対するニーズは今後、さらに幅広い分野で増していくことになるだろう。同社のソリューションは、必ずやこれらの課題に対する答えの1つとなるだろう。
2014年10月06日「リーバイス® メイド アンド クラフテッド™」は、現在ウィメンズウエアのポップアップコーナーを伊勢丹新宿店2階のグローバルクローゼットにてオープン中だ。「リーバイス® メイド アンド クラフテッド™」は、1973年にリーバイ・ストラウスによって誕生したブルージーンズからはじまるリーバイス®の歴史とブランド精神を元に、高い縫製技術と上質なファブリックによって生み出される、革新的でハイクオリティな仕上がりを実現したエクスクルーシブライン。今回のコーナーでは、ブランドの世界観を体現した「ニュー・ウェスト:アウトドア」がテーマの2014年秋冬コレクションをラインアップ。限定商品の販売を行うほか、先着でノベルティとしてオリジナルバッグがもらえる。ポップアップコーナーは、10月14日(火)までの開催となる。ぜひこの機会をお見逃しなく。(text:Miwa Ogata)
2014年10月02日東京都・神田の旧東京電機大学跡地にて10月4日・5日、皇居ランやウインタースポーツなどのスポーツとレトルトカレーが融合したイベント「神田スポーツ&カレー エキスポ」が開催される。○名店の味も1プレート500円イベントでは老舗から本格レトロカレーに至るまで、様々なレトルトカレーの食べ比べプレートを、1プレート500円で販売。中には沖縄でしか発売されていないボンカレーのほか、神田カレーグランプリで受賞歴のなる「日乃屋カレー」や「エチオピア」「mandara」など、100店以上のカレーが集まる"カレー激戦区"の神田・神保町の名店のレトルトカレーも登場する。また、カレー専門家たちを招いたトークショーやワークショップも予定しており、カレーの新たな楽しみ方やスポーツとカレーの関係性なども紹介するという。さらに、雪山を設置した「スノーパーク」にて雪合戦や雪だるま作りが楽しめるほか、インラインスケートやパターゴルフ、ノルディックウォーキングなど、子供から大人まで遊べるスポーツエリアも登場。インラインスケートは子供一緒に楽しめるよう、講習も行われる。開催日時は10月4日・5日の11:00~17:00(荒天中止)で、旧東京電機大学跡地は千代田区神田錦町2-2で新宿線「小川町駅」・東京メトロ「新御茶ノ水駅」B7出口より徒歩4分。
2014年10月02日マカフィーは9月30日に個人向けセキュリティ製品の「マカフィー リブセーフ 2015」を発表した。リブセーフは、2013年10月に投入されたマルチデバイスの保護が目的の統合型セキュリティ製品で、従来のWindows PCやMacだけではなく、AndroidやiOSも統合的に管理する。今回の新製品投入で強化された点は、「簡単インストール」と「iOSセキュリティ強化」「Android端末におけるWi-Fiセキュリティ対策」の3点。簡単インストールでは、製品利用登録後にマカフィーから送られてきたメールを開封し、張られているリンクを踏むことで、その端末にあったソフトウェアのインストール画面に誘導するというもの。WindowsであればWindowsソフトウェア、AndroidであればAndroidアプリ、iOS端末であればiOSアプリが、同じリンクを踏むだけでインストールされる。マルチデバイスでセキュリティ環境を提供する上で「いかに気軽にインストールできるかを念頭に開発した」(マカフィー・小川氏)とのことで、より簡単にインストールできるスキームを提供することで、インストール数の拡充を図る狙いだ。また、iOSセキュリティ強化の項目では、紛失や盗難の対策を強化。最後に端末が利用された位置を特定する機能や、端末をアンロックしようとして失敗した人の顔を自動的に撮影する「Capture Cam」機能を搭載した。最後に端末が利用された位置を特定する機能はAppleがOSの機能として提供している「Find iPhone」があるが、「様々なデバイスが存在する中で、特定のプラットフォームに限らず、同じように検索できるようにするメリットがある」(小川氏)としていた。また、Android端末のWi-Fiセキュリティ対策では、パスワードが設定されていないWi-Fiに接続しようとした場合に警告を出す機能を提供。パスワードが設定されていないWi-Fiは、暗号化処理が行なわれておらず、盗聴(パケット監視)などをされる恐れがある。こうしたWi-Fiスポットに繋ぐことを未然に防ぐことで、セキュリティレベルを上げる試みだ。ほかにも、従来の製品より提供しているパスワード管理機能や脆弱性対策機能、ウイルス対策、フィッシング対策機能などは、継続して提供される。○IoT時代を見据えるマカフィー都内で行なわれた新製品の記者会見には、マカフィー コンシューマ事業統括 取締役 専務執行役員 田中 辰夫氏と、米McAfee チーフ コンシューマ セキュリティ エヴァンジェリストであるギャリー・デイビス氏も登壇した。田中氏は初めに、マカフィーのセールス状況を語り「セキュリティに対する需要が順調に伸びており、我々の製品も日本ではヒューレット・パッカードやNECといったPCベンダーに(プリインストールという形で)採用してもらっている。事業的にも、今年度は2桁成長を記録しており、好調にビジネスが推移している中で、2015年版を非常に重要視している」と、新バージョンに対する意気込みを口にした。今年は、これまでのマカフィーブランドから、インテル傘下に入ったことで「インテルセキュリティ」ブランドとしての展開が始まり、好調なセールスだけではなく、ブランドの転換期としても重要な局面に差し掛かっている。「デザインパッケージの中にインテルセキュリティを入れた。我々の"チャレンジ"を、コンシューマー市場でも展開していきたい」(田中氏)続いて、米国本社のセキュリティ エヴァンジェリストであるデイビス氏が登壇し、現在のセキュリティ概況を語った。ここのところ、モバイルデバイスの飛躍的な市場成長率、利用者の増加にはめざましいものがあるが、それはすなわち、ハッカーにとって格好の餌食でもある。特に、オープンソースのAndroidは標的にされやすく「Androidを狙ったマルウェアが急増している」(デイビス氏)という。例えば、Flappy Birdという人気ゲームアプリが登場した後、後追いの偽アプリがGoogle Playストアなど、あらゆるところで散見されるようになった。これらのアプリのうち、実に80%の実態が「マルウェア」で、ユーザーが見えないバックグラウンドでSMSを送信したり、酷いものではルート権限(端末のシステムアプリなどを改変できる権限)を取得するアプリもあったという。モバイル端末は、よりパーソナルな個人情報を端末に保存しているため、一つの流出が致命的な問題に至る可能性がある。それに加えて、モバイル端末をしのぐと言われるデバイスの存在がある。それがIoT、モノのインターネット時代のセンサー機器類だ。これらは、一人1台のモバイルデバイスとは異なり、センサーをあらゆる場所に配置することで、生活のありとあらゆる情報を数値化して改善に役立てていこうという取り組みだ。2020年には260億台のセンサーが世界中にあると言われており、これまでの業務上の聞き計測だけではなく、各家庭に存在するカメラや洗濯機、冷蔵庫にまでネットと接続する時代が来るとみられる。もちろん、こうした環境は、人の生活をより豊かにする可能性を大きく秘めているが、その一方で気になるのは、やはり「セキュリティ」だ。「HP Fortifyの予測では、IoTで活用されている上位10個のデバイスの脆弱性を調べたところ、平均して25件の脆弱性が見つかった。デバイス間の通信が暗号化されていないといった初歩的なものもある。例えば、とある企業が提供する赤ちゃんを見守るネットワークカメラでは、簡単にハッキングできる状態にあり、子供の顔を第三者がのぞき込むことができていた」(デイビス氏)ほかにも、Amazonがこの夏に販売を開始した「Fire Phone」は、カメラを起動すると位置情報やマイクから収集した音声などを、統合してAmazonのクラウド上に送信する。よりパーソナルなプライバシー情報を収集してクラウドに"勝手に"送るため、よりセンシティブな問題をはらんでいる。「これらの情報から、Amazonでは個人に最適化した製品を案内する広告を表示するでしょう。もちろん、喜ぶ人もいるとは思いますが、反対する人もとても多い」(デイビス氏)広告表示だけではなく、Amazonのクラウドサーバーが万が一破られた場合などのリスクを考えると、全面的に歓迎できるわけではないことも確かだろう。こうしたIoT時代に対して、マカフィーはどのような考えを持っているのだろうか。「ユーザーが安心してサービスを利用できるよう、我々としてはインテルと共同で対応していく。チップからセキュリティを担保することで、より良い体験を、セキュリティが最低限のリソースを使うだけで楽しめるようにしていく」(デイビス氏)
2014年10月02日●コンシューマ事業は2桁レベルで成長マカフィーは、2015年版の個人向けのセキュリティ製品を発表した。その折に、さまざまな脅威分析や調査結果なども発表された。その内容の一部を紹介したい。まず、登壇したのは、コンシューマ事業統括取締役専務執行役員の田中辰夫氏である(図3)。挨拶とともに、今回の発表会の概要を紹介した。また、コンシューマ事業が2桁レベルで成長を続けているとのことである。また、新しいブランド戦略として、コンシューマ事業の大きな柱となるのが、インテルセキュリティである。この1年は、非常に重要な1年になるだろうと抱負を語っていた。次いで登壇したのは、米国McAfee Inc.チーフコンシューマセキュリティエバンジェリストのギャリー・デイビス氏である。まず指摘したのは、モバイルデバイスの急増である。それに伴い、それらを標的とした攻撃も急増している。なかでもAndroidを標的としたもが多い。図5は、その一例であるが、Flappy Birdという人気のアプリである。人気が高まると登場するのが、模倣品である。調査によれば、この79%にマルウェアが仕込まれていた。その活動であるが、ユーザーの許可なくSMSの送受信、さらには、ルート権限を奪取し、デバイスをコントロールするといったものである。ラボの分析によれば、不正な動作として、以下があるとのことだ。デバイスIDから通信事業者を取得位置情報を取得カレンダーにアクセスメールなどの連絡先にアクセスこれらは、アプリの脆弱性を悪用することが多い。また、日本を狙った攻撃として、トロイの木馬であるゼウスを紹介した。これは、金融機関を対象とし、ユーザーのID・パスワードを盗み出し、送金してしまうというものだ。日本での感染数がもっとも多い。また他にも、人気アプリであるLINEのクレデンシャルの脆弱性をつき、知人を装い、タップをさせてマルウェアを感染させた例もあった。次は、IoT(Internet of Things)についてである。一言でいえば、ネットに繋がるデバイスのすべてである。ガートナーの予測によれば、2020年までに260億台がネットに接続するようになる(現時点のモバイルデバイスは73億台)。比較にならないほどの脅威となるだろうと指摘する。これらのデバイスもまた、脆弱性の危険性を伴うからである。すでに子供の監視のためのネットワークカメラなども、被害に遭っている。個人情報の漏えいも大きな問題となっている。2014年第1四半期だけでも、1億7,600万件もの個人情報が漏えいしている。デイビス氏は、2014年は情報漏えいがもっとも多かった年になるだろうと断言する。そして、信頼の問題が発生している。図6は、オンラインの個人情報の保護に信頼できるかの調査を行ったものである。銀行がトップになったが、45%でしかない。モバイルアプリやウェブサイトなどは、もはや信頼たるものではない。こういった企業などが信頼されるどうかは、IoTの普及に大きな影響を与えるだろうと指摘する。次に興味深い調査結果が報告された。2025年のテクノロジーとセキュリティに関するアンケート調査である。まずは、テクノロジーであるが、図7の結果となった。いずれも、日本では低い結果となった。ウェアラブル端末は、AppleのiWatchなどの普及も予想され、また意識も変わってくる可能性もある。その一方で、セキュリティに対しては、図8のようになった。指紋認証による支払いは日本が低い結果となったが、それ以外は同じような結果となった。日本でも、そのような方向に進むと考えているユーザーが多い。モバイル、IoT、そして個人情報やプライバシー、セキュリティに求められるニーズは多岐にわたる。それに応えるのが、インテルセキュリティであると、デイビス氏は語る。実際にすでに実装されている技術を紹介しよう。まず、アイデンティティーを守るのが、Personal Lockerである。声や顔の認証を使い、クラウドの安全な場所にアクセスする。生体認証で安全なアイデンティティーを担保する。IoTに関しては、北米最大のホームセキュリティ会社ADTと協業関係を結んだ。これにより、物理的なデジタルセキュリティを提供可能になる。また、IntelからはIntel Device Protection Technologyが発表された。このセキュリティ機能は、Intelチップに内蔵されるもので、最低限のリソースでセキュリティが実現できる。今後も、幅広い領域に対応可能な統合セキュリティを提供していくとのことである。●2015年版のセキュリティ製品○2015年版のセキュリティ製品最後に登壇したのは、マカフィーCMSB事業本部コンシューママーケティング本部PMマネジャーの小川禎紹氏である。今回の製品ラインナップなどが紹介された(詳しくは、こちらの発表記事を参照していただきたい)。やはり気になるのは、新機能・強化点であろう。今後、主力製品となるマカフィーリブセーフでは、図11のようになる。注目したいのは、次の3点であろう。メールから簡単にインストールiOS向けセキュリティの強化(紛失・盗難対策)Android向けWi-Fiセキュリティ対策(パスワードのないWi-Fiネットワークへの接続を警告)また、Windows向けの製品では、マルウェア検出エンジンの強化も行われた。どのくらい高速になったかというと、図12のようになる。「大幅に改善」は10%以上、「改善」は10%未満の高速化とのことである。以上、発表会から、いくつかのトピックを取り上げてみた。製品の発売は10月17日である。
2014年10月01日ニューヨークブランド「エリザベス アンド ジェームス(ELIZABETH AND JAMES)」が、玉川高島屋のインターナショナルクローゼットにコーナーショップをオープンした。同ブランドは、アシュリー・オルセン(Ashley Olsen)とメアリーケイト・オルセン(Mary-Kate Olsen)が07年にスタートしたファッションブランド。その特徴はアップタウンの洗練されたフェミニンさと、ダウンタウンのカジュアルなエッジさを巧みに融合させたバランス感覚。トレンド感のある洋服やシューズ、アクセサリーなどをフルラインアップしており、デイリーユースに取り入れやすいスタイルを提案している。「エリザベス アンド ジェームス」高島屋玉川店では、ショップの限定アイテムとなるシャツとワンピースを販売。その他、秋冬のウィメンズウエアやバッグ、アクセサリーを豊富にラインアップする。
2014年09月26日コルドゥリエ修道院跡のパリ医大ホールにて15SSメンズコレクションショーを開催した「アン ドゥムルメステール(ANN DEMEULEMEESTER)」。創設者のアン・ドゥムルメステールがメゾンを去り、14-15AWウィメンズコレクションよりデザインチームへ引き継がれた同ブランド。現在チーフデザイナーを務めるセバスチャン・ムニエ(Sebastien Meunuer)が、フィナーレにて挨拶のために姿を現した。1974年生まれのムニエは、エスモードでファッションを学び、98年にイエールのコンクールでメンズ賞を受賞。以後、ボンデージからインスパイアされたフェティッシュなメンズコレクションを毎シーズン発表していたが自身のブランドを閉鎖し、2010年よりアン・ドゥムルメステールのアシスタントに就いていた。今シーズンは、アール・ヌーボーに繋がるウィリアム・モリス(William Morris)が提唱したアーツ&クラフツ運動や、美術家ロバート・ラウシェンバーグ(Robert Milton Ernest Rauschenberg)と、彫刻家ルイーズ・ブルジョワ(Louise Bourgeois)の作品がイメージソース。アーツ&クラフツ運動はジャケットなどの刺繍に意匠となり、ロバート・ラウシェンバーグ作品はレイヤードのアイデアに直結し、ルイーズ・ブルジョワは、作品に登場する花と麦のモチーフがアクセサリーなどに引用されている。ムニエは、アン・ドゥムルメステールのDNAを引き継ぎながら、見事メゾンに新風を吹き込むことに成功していた。
2014年08月19日BBソフトサービスは31日、コンシューマ向けのセキュリティソフトウェア販売サイト「SecurityBank」を開設した。「SecurityBank」は、国内で販売される主要セキュリティベンダのソフトウェアを、月額・年額のサブスクリプション形式でダウンロード提供する。合わせて、日本市場を標的にしたインターネット詐欺に対応する自社ソフト「Internet SagiWall」も提供する。取り扱いラインナップは、1ライセンスでWindowsやMac OS、Androidなどマルチプラットフォームに対応した製品を揃えることが特徴。31日時点では「ノートン360 オンライン マルチデバイス」「ノートン インターネットセキュリティ オンライン マルチデバイス」「ウイルスバスター マルチデバイス月額版」「ウイルスバスター モバイル月額版」「Internet SagiWall for マルチデバイス月額版」「Internet SagiWall for Android月額版」「あんしんWeb by Internet SagiWall for Windows ストア」「Internet SagiWall for iOS」の計8製品を揃える。価格帯は月額100円から615円。サービス開始時点での決済方法はクレジットカードで、年額支払いが可能なのは「あんしんWeb by Internet SagiWall for Windows ストア」のみ。取り扱い製品および決済方法などは今後拡充していくという。
2014年07月31日三井不動産は、大阪府吹田市の「(仮称)エキスポランド跡地複合施設開発事業」開発に7月17日着工した。開業は2015年秋を予定。エンターテインメントとショッピングを融合させた大型複合施設で、大阪の新たなランドマークの創設が目標。延床面積約22万3,000平方メートル、店舗面積約8万8,000平方メートルで、約300のエンターテインメント施設や店舗が入居予定。地域コミュニティーの拠点となるだけでなく、関西全域からの集客、国内外の観光客の誘致にも取り組む。エンターテインメントゾーンには、大阪天保山にある世界最大級の水族館・海遊館が手掛ける新たなタイプの水族館がオープン。日本最大級の観覧車、英語を学びながら楽しめる施設や人気キャラクターをテーマにした体験型の日本初「エデュテイメント(教育と娯楽の合成語)」施設、大自然を五感で体感する映像施設、超大型スクリーンを備えたシネコンも登場。ショッピングゾーンにはファッションや雑貨、世界各国や地元のグルメなど、日本・関西初出店の店舗が多数そろい、あらゆる年代層が一日楽しめる時間消費型の施設を目指す。当施設は、1970年にアジアで初となる万国博覧会が開催された後は遊園地として親しまれてきた。大阪モノレール「万博記念公園」駅前に位置し中国自動車道「中国吹田IC」や大阪府道2号大阪中央環状線などの主要幹線道路に近隣するアクセス良好な立地。
2014年07月18日LINEのセキュリティチームは6月27日、スマートフォンで人気を集める無料通話・メールサービス「LINE」で利用されている暗号化技術をエンジニアブログで公開した。セキュリティチームはLINEのセキュリティにおいて、一般に互換されている点があると指摘。「暗号化方式が弱いため外部に情報が流出する可能性が存在する」「Wi-Fi通信の中ではデータが暗号化されているがモバイルネットワーク(3G、LTE)を使用する場合は暗号化されていない」の2点を挙げた。そこで、暗号化が実行されているかどうかをLTE環境でスマートフォンにテストメッセージを送信し、送信後のネットワークデータをキャプチャーする方法で紹介した。結果によると「メッセージを探そうとしてもすべてのデータは人が読めないように暗号化されており、多くのデータが解読できない状態であることがわかる」と暗号化されていることを説明している。○「RSA-2048」の暗号化技術が破られることはない!?セキュリティチームは、「外部からデータを安全に守るためには、単純に暗号を使用するだけでなく安全な暗号を使用しなければならない」と指摘。そこで、一般的なPCとES2というスーパーコンピュータを利用し、RSA-1024という暗号化方式を解読する外部の実験結果を紹介した。これによると、スーパーコンピュータのすべてのリソースを使用した場合でも、RSA-1024の暗号に使用されたキーデータを見つけるのにおよそ10年ほどかかることがわかる(スーパーコンピュータに存在する640個のノードをすべて使用した場合)。実際、LINEではRSA-1024よりさらに強化された暗号であるRSA-2048を使用しているため、暗号を強制的に解除するのはさらに難しいという。しかし、PCの演算能力が向上することで、既存の暗号方式は将来的に破られる可能性が高いことを指摘。そのため、RSA-1024は2019年までの使用が推奨されている。
2014年06月27日Mozillaから、Thunderbird 24.6.0がリリースされた。Thunderbird 24.6.0で行われたセキュリティアップデートを紹介し、ヘッダの形式をカスタマイズするSmartTemplate4アドオンを紹介しよう。○Thunderbird 24.6.0のアップデート今回も、この6週間にアップデートはなく、24.5.0からのアップデートとなる。[ヘルプ]メニューの[Thunderbirdについて]から[再起動して更新を完了]をクリックする。新規にインストールするならば、Thunderbirdの公式ページから[Thunderbird無料ダウンロード]をクリックし、インストーラをダウンロードする。アップデートしたThunderbird 24.6.0起動したところが、図3である今回は、セキュリティアップデートのみである。修正は、以下の通りである。SMIL Animation Controllerにおける解放後使用[最高]Address Sanitizerを使って発見された解放後使用と境界外問題[最高]さまざまなメモリ安全性の問題(rv:30.0/rv:24.6)[最高]最高レベルが3つである。速やかにアップデートしておきたい。●ヘッダを自分好みにカスタマイズするSmartTemplate4アドオン○ヘッダを自分好みにカスタマイズするSmartTemplate4アドオン前回、Thuderbirdの設定エディタを使い、リプライヘッダを変更した。ある程度の変更は可能であるが、やはり自由にカスタマイズを行うには、専用のアドオンを使ったほうが効果的である。たとえば、Outlookの返信メッセージ付加される次のような定型フォーマットを入れたいということもあるだろう。-----Original Message-----From: User Name [mailto:user01@example.com]Sent: Monday, May 12, 2014 10:00 AMTo: user02@example.comSubject: message titleこれを実現するのが、SmartTemplate4アドオンである。アドオンのインストールから始めよう。アドオンマネージャで「SmartTemplate4」で検索する。この例では最初にみつかった。[インストール]をクリックして、インストールを行う。再起動後に、有効となる。早速設定を行ってみよう。アドオンマネージャから[設定]をクリックする。SmartTemplate4アドオンの設定画面が表示される。まず、この設定をどのアカウントに対して行うかを設定する(画面上では差出人)。多くの場合は、デフォルトの[共通設定]で問題ないだろう。次いで、対象となるメッセージごとに設定を行う。新規、返信、転送の3つで設定を行う。設定を行う前に、右上にある[詳細設定]をクリックしてみよう。図6のようになる。[変数]タブでは、SmartTemplate4アドオンで使える変数などが解説されている。特に難しいものはないが、わからなくなったら参照するとよいであろう。最後に、変数の使用があり、新規、返信、転送のそれぞれ使える変数と使えない変数の一覧が表示される(図7)。こちらも必要に応じて、参照すればよいだろう。次の[グローバル設定]タブでは、文字コードや署名などの設定が可能である(図8)。次の[詳細設定]タブでは名前のルールなどを設定する(図9)。そして、ぜひ覚えておきたいのは、[テンプレート例(オンラインのみ)]タブだ(図10)。ここに、基本的なメーラなどで使われているヘッダのテンプレートが集められている。これを使うことで、簡単にヘッダを作成できる。早速であるが、Outlookのテンプレートを使ってみよう。[Microsoft Outlook Reply/Forword template]をクリックすると、テンプレートが表示される(図11)。HTML形式で記述されている。これを、引用ヘッダ部分にコピーするだけである。設定には、もう1つテンプレートと名前のついたテキストボックスがある。これは、マウスカーソルを移動するとわかるが、メッセージのテンプレートを記述する。たとえば、以下のような文例である。こんにちは、%from(name)%さん。<br>メッセージありがとうございました。<br>よろしくお願いします。%ownname%こちらも、ヘッダ同様に設定すると、手間を減らすことができるであろう。まず、[返信メッセージに以下のテンプレートを適用する]にチェックを入れる。そして[規定の返信ヘッダの代わりに使用する]にもチェックを入れよう。このチェックがないと「****** wrote:」というThuderbirdのリプライヘッダも入ってしまう。普段、HTML形式のメール作成しているのであれば、[HTMLとして挿入する(<b>bold</b>)]にもチェックを入れておけばよいだろう。さらに、1行目に「-----Original Message-----」も追加した(図12)。以上の設定を行い、返信メッセージを作成すると、図13のようになる。「皐月」と表示されているあたりがなんともである。空行などもバランスがよくない。このテンプレートをベースに調整をしていくのがよいだろう。で、以下のようにしてみた。<br>-----Original Message-----<br><hr><b>From:</b> %from% [mailto:%from(mail)%]<b>Sent:</b> %X:=sent% %datelocal%<b>To:</b> %to%[[ <br><b>Cc:</b> %cc(name)%]]<b>Subject:</b> %subject%<br>返信メール作成ウィンドウは、図14のようになる。かなりOutlook風になり、この後のメール作成もやりやすくなった。それと「From:」の苗字と名前が入れ替わっている。これを入れ替えるには、図9で[アドレス帳から名前を取得する]のチェックを外せばよい。ここまでは、HTML形式で、メールを編集する設定で行ってきた。アカウント設定の編集とアドレス入力で、[HTML形式でメッセージを編集する]のチェックを外している場合、引用ヘッダテキストボックスのHTMLタグを削除する。具体的には、図15のようにすればよい。このように設定して、返信メールを作成すると、図16のようになる(あわせて、From:の名前も変更した)。「山田太郎」と姓名の順になったが、メールアドレスが二重に表示されてしまった。そこで、「%from%」を「%fromname%」に変更する。こうすることで、名前のみでメールアドレスを表示しないようにする。その結果が、図17である。かなり、Outlookの定型フォーマットに近づいた。SmartTemplate4アドオンは、そのままで使うのではなく、自分好みにカスタマイズを行うことで、より便利になる。ぜひ、チャレンジしてみてほしい。
2014年06月11日