「百度(バイドゥ)」製の日本語入力ソフトBaidu IME、Simejiがユーザーの入力した内容を無断で同社のサーバーに送信していたことが判明したんだにゃー。
一田 「今後の技術として注目しているものはありますか?」 村上 「数理的なアプローチです。機械学習を含め、数理的なアプローチでマルウエアを検知する方法に注目しています」
しかし、クロスルート証明書を提供しない2048bit証明書に切り替えてしまうと、SSLが使用できない端末が発生してしまう。情報システム部門が危険性を認識していても、ユーザークレームにさらされる営業・ビジネスサイドからの不満が発生する。
企業や政府への提言としては、アプリケーション開発上の問題に触れておく必要があります。近年、短納期や低コスト化への要求がこれまで以上に厳しくなっています。しかし、脆弱性や何らかの不具合に対して、後追いで修正してばかりのフローは好ましくありません。
2020年までには、常識を覆す革新的なテクノロジーが生み出され、スマートフォンがもたらしたレベルの大きな変化や、脅威の増加が起こる可能性もあります。だからこそ、将来的な脅威への対策を常に先回りして行う必要があるのです。
カナダ在住のサイバーミステリ小説作家 一田和樹氏が11月に来日した際、次回作構想のために面会した国内のセキュリティ専門家との対談の模様の、一田氏本人によるレポートを6回連載でお届けします。
総務省から2013年流行したリスト型攻撃の対策方法を示した「リスト型アカウントハッキングによる不正ログインへの対応方策について」が公表されたんだにゃー。
一田和樹 「なるほど、インテル社のチップに御社のセキュリティ機能が搭載して、インテルのチップの搭載されているデバイス全てで弊社の認証機能を提供できるようになるわけですね」
Googleは12月7日、同社が保有する複数のドメイン向けにフランスの認証局ANSSI傘下の証明機関から不正なデジタル証明書が発行されおり、誰でもなりすまし可能だったことを発表したんだにゃー。問題の証明書はすでに失効させる措置を取ったということなんだにゃー。
昨今のサイバー空間の変化には目を見張るものがある。それは従来の延長線上にある変化ではなく、政治、社会、経済の根本を揺るがす変化といえる。
毎年恒例のように開催されていたセキュリティイベント「AVTokyo」が今年は開催されなかったけど、「AVTokyo2013.5」として来年の2月16日に開催されることが発表されたんだにゃー。
「日本ではセキュリティ診断というとWebアプリケーションが主だと思われがちですが、リスクを考えるとフレームワーク等の低いレイヤの診断も重要なのです。低いレイヤのセキュリティ診断を実施しているケースは残念ながらとても少ないというのが現状です。」
Windowsのカーネルにローカルでの権限昇格が可能となる脆弱性が見つかったんだって。この脆弱性はWindows XPとWindows Server 2003に影響があるみたいなんだにゃー。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)