« 2007年01月 | メイン | 2007年09月 »

2007年03月29日

IE7 自動配布の準備はできていますか?

まもなくIE 7の自動配信が始まります。Microsoft Update や Windows Updateで自動配布が始まり、意図せずにアップデートが実行されると、さまざまなトラブルが起こる可能性があります。

Windows XP SP2 がリリースされた時のように、予期しないアップデートは大きなトラブルを招きます。管理者としては、アップデートの時期や方法について、事前の取り決めておかなければなりません。

ユーザーが管理者権限を持ってコンピュータを使っているケースでは、IE7は自動更新の対象になります。ただし、Windows Server Update Services(WSUS)が導入されていれば、管理者がを配布を承諾しない限りは更新されません。

自動配信は2007年第2四半期に予定されています。11月2日のリリース後6カ月とすれば5月1日前後になると予想されます。

基幹業務にWebアプリケーションが使われていて、IE7での評価がまだ済んでいなければ、アップデートを抑止しなければならないでしょう。

更新を先延ばしにしたければ、レジストリをいじる必要があります。自動配布の無効化ツールキット(Blocker Toolkit)を使うか、Active Directory 環境であればグループ・ポリシー・テンプレートを用いてレジストリを変更することが可能です。

IE 7自動配布の基礎知識 ? @IT

1.IE 7のインストールが開始されたときに表示されるダイアログで、[インストールしない]ボタンをクリックするようにユーザーに指示する
2.Blockerツールを利用してレジストリ値を設定する
3.ユーザーからローカル・コンピュータの管理者権限を奪う
4.WSUSなどの修正プログラム管理を導入する

2007年03月22日

米国ではクレジットカード番号の密売価格が最低1ドル?!

FujiSankei Business i. 国際/カード番号なら1ドル? 個人情報の密売価格低下

米シマンテック社が19日発表した2006年下半期の「インターネットセキュリティー脅威報告」によると、ハッカー組織間の競争激化で個人情報の密売価格が低下し、米国ではクレジットカード番号が最低1ドル(約118円)で入手できることが分かった。生年月日などの情報も14?18ドルで密売されていたという。(フジサンケイ ビジネスアイ)

最近では、大日本印刷が取引先から預かった863万件の個人情報を流出させています。
その中にはディーシーカードやUFJニコスのクレジットカード番号が含まれています。

2005年に起きた MasterCard のクレジットカード情報流出事件にいたっては、4000万枚以上です。

このようにクレジットカード番号は、大量の情報漏えい事件が相次ぎ、情報の価値が、どんどん低下しているという望ましくない傾向にあります。

エステティックサロン「TBC」の個人情報漏洩事件で、一人あたりの損害賠償額が3万円という判決が出ましたが、それは基本4情報(氏名、住所、性別、生年月日)以外のセンシティブ情報(機微情報)を含んでいたからです。

クレジットカード番号だけであればまだしも、クレジットカード会社が保持する年収・年収区分,資産,建物,土地,残高,借金,所得,借り入れ記録などのセンシティブな情報は、流出しないよう万全な対策を怠らないようにして欲しいものです。

一度流出した情報は帰ってきません。

2007年03月13日

情報セキュリティ脅威の“見えない化”が加速する!

IPAセキュリティセンターが公開した「情報セキュリティ白書 2007年版」では、2006年にIPAに届けられたコンピュータウイルス・不正アクセス・脆弱性に関する情報や一般に公開された情報を基に、社会的影響の大きさからセキュリティ上の10大脅威を選び、今後の対策をまとめています。

「情報セキュリティ白書 2007年版」によると、2006年の10大脅威は以下のランキングとなりました。

第1位
漏えい情報のWinnyによる止まらない流通

第2位
表面化しづらい標的型(スピア型)攻撃

第3位
悪質化・潜在化するボット

第4位
深刻化するゼロデイ攻撃

第5位
ますます多様化するフィッシング詐欺

第6位
増え続けるスパムメール

第7位
減らない情報漏えい

第8位
狙われ続ける安易なパスワード

第9位
攻撃が急増するSQLインジェクション

第10位
不適切な設定のDNSサーバを狙う攻撃の発生

これらの10大脅威は複合的に絡み合い、セキュリティ事故につながります。

例えば、SQLインジェクションや安易なパスワードが情報漏えいにつながり、
スパムメールがフィッシング詐欺のきっかけになり、
また、ゼロデイ攻撃がボット拡散の手段になるわけです。

一つ一つの脅威は見えたとしても、本当の真意は見えていないわけです。
それが「脅威の“見えない化”」です。

不正侵入一つとっても、直接的に情報の搾取を狙ったものなのか、
それともスパムメールの踏み台を作りたいのか、
ボットの設置を狙ったものなのか、真の目的はすぐにはわからないものです。

利用者は、危ない徴候を見逃さない、信頼できないソフトウェアやデータは使わない、スパイウェアに注意するなど、情報セキュリティ確保のための基本的な対策を講じる必要があります。

管理者は、総合的なセキュリティレベルを保つ、品質管理や保守作業と同様にセキュリティの体制を確保するなど、セキュリティを考慮した日々の運用を行う必要があります。

利用者と管理者が一丸となって、より一層総合的なセキュリティレベルを保つ対策が求められます。

情報セキュリティ白書 2007年版