「www.homepage3-nifty.com」という、niftyに偽装したサイトが登場した。このサイト、一見niftyのサイトに見えるのだが、よく見ると分かるとおり実はniftyとまったく関連はない。

AppleやMac OS Xのソフトウェアに関する脆弱性を1月中の毎日公表するというMonth of Apple Bugsが開始された。

2006年、Web2.0の旗手として名を馳せたGoogleだが、本家/.の記事によると新年早々、悪意のあるサイトによってGmailのコンタクトリストが入手される可能性のある脆弱性が指摘されたそうだ

ITproより。Windows2000以降に「ユーザー権限を引き上げることが可能に」なる脆弱性に対する反響が手短な記事になっています。

Doom9のforumのスレッド BackupHDDVD, a tool to decrypt AACS protected movies に、AACSで保護されたHD-DVDの映画をdecryptした話が書き込まれている。

tDiaryに任意のRubyスクリプトを実行される脆弱性が、Joomla！にクロスサイトスクリプティングの脆弱性が見つかった。

○第1章：美咲ちゃんの幻の14章はどうして本当に幻になってしまったのか やねうらお 著
○第2章：TRUMAN解説 tessy 著
○第3章：死のダイアログ 金床 著
○第4章：PEditorの改造 Will 著
○第5章：見えないファイル、消せないファイル？ 〜代替データストリーム〜 PSY 著
○第6章：Internet Explorer 6.0の表示URLを取得する方法 〜グローバルフック〜 沢木正人 著
○第7章：はじめてのハッキング　〜Linuxの概要〜 Defolos 著
○第8章：PHPでソケットを使ってサーバ負荷軽減 Zキチガイ 著
○第9章：Rapid Development of Packer Vol.2 Suma 著
○第10章：ハニーポットを作ろう（連載第10回） Narusase 著
○第11章：SQL Injection えいる 著
○第12章：暗号プログラミング　〜後編〜 Kenji Aiko 著
○第13章：スーパーホームレス入門［住居基礎編］ MaD 著
○第14章：基礎暗号学講座 〜 第6回 〜 IPUSIRON 著
○第15章：お知らせ
○第16章：著者プロフィール

【1】Mozilla 製品に複数の脆弱性
【2】Java Runtime Environment (JRE) に権限昇格の脆弱性
【3】GNU tar にディレクトリトラバーサルの脆弱性
【4】Novell Client for Windows にバッファオーバーフローの脆弱性
【5】NeoScale Systems CryptoStor Tape 700 シリーズの認証機能に脆弱性
【6】SugarCRM にクロスサイトスクリプティングの脆弱性
【7】a-blog にクロスサイトスクリプティングの脆弱性
【今週の一口メモ】担当者が選ぶ2006年のセキュリティ重大ニュース

トレンドマイクロ株式会社（本社：東京都渋谷区 代表取締役社長 兼 CEO：エバ・チェン、東証一部：4704、NASDAQ：TMIC）は、2006年度のウイルス感染被害年間レポート（2006年1月1日〜12月15日までのデータを集計した速報、日本国内）をお知らせするとともに、この1年のウイルスの状況を総括いたします。

米McAfeeの研究機関であるMcAfee Avert Labsは22日、インスタントメッセージングソフト（IM）に装備されたVoIP機能を使う「音声スパム」の台頭が現実のものになると予測した。

情報処理通信機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）が運営する脆弱性の情報サイト「JVN（JP Vendor Status Notes）」は25日、全文検索システム「Namazu」のperl版プログラムである「pnamazu」に、クロスサイトスクリプティングの脆弱性が存在することを公表した。

JPCERT/CC では、TCP 2967番ポートへのスキャンが 2006年12月中旬より増加していることを、インターネット定点観測システム (以下、ISDAS) において確認しております。

Panda Software傘下の研究機関であるPandaLabsは20日、2006年第3四半期のマルウェアに関する報告書を発表した。

FeliCaの暗号が破られたかもしれないとする件の続報だが、 ITmediaの記事によれば、おそらく今回の騒動の出所である雑誌のFACTAの記事内容をソニーが全面的に否定しているとのことである。

セキュリティホールmemoで気がついたのだが、切込隊長BLOGにてFeliCa＠ソニーの暗号が破られる？というエントリが出ている。

ふらっとMozilla Japanを訪ねて気がついたのだが、Firefox2.0.0.1が12/19付で出ている（リリースノート)。今回のアップデートでWindows Vistaが制限つきながらも概ねサポートされたそうだ。

【1】Microsoft 製品に複数の脆弱性
【2】Symantec VERITAS NetBackup の bpcd デーモンに複数の脆弱性
【3】Cisco Security Agent Management Center に認証が回避される脆弱性
【4】Solaris の ld.so.1 に複数の脆弱性
【5】IBM Tivoli Storage Manager にバッファオーバーフローの脆弱性
【6】BrightStor ARCserve Backup にバッファオーバーフローの脆弱性
【今週の一口メモ】脆弱性番号の付与規則

Appleが日本時間今朝、Mac OS X 10.4.8向けにSecurity Update 2006-008を公開した(PPC用、Intel用)。

毎日新聞の記事によれば、防衛庁（1月から防衛省）は内部文書を暗号化する独自のソフトを来年4月から15万台の業務用PCに全面的に導入するという。

セキュアVMの狙いは「ユーザー任せのセキュリティにしたくない」ことだと山口英氏は述べる。

米Websenseは13日（米国時間）、2007年のセキュリティ脅威予測を発表した。2007年では水面下のサイバー犯罪が組織化されて強力な犯罪機構が成立することで、未発見の脆弱性を悪用する「ゼロデイ攻撃」を行なうためのコードを売買する市場が活発化するという。

仏FrSIRTは14日、Wordに新たな脆弱性が見つかったとして警告した。特別に細工されたWord文書を開くことで、攻撃者に任意のコードを実行される恐れがあるという。FrSIRTでは、危険度を4段階中で最も高い“Critical”とレーティンしている。

ファイル交換ソフト「Winny」の開発者である金子勇氏に著作権法違反幇助の有罪判決が下されたことに関して、日本音楽著作権協会（JASRAC）が15日、本誌にコメントを寄せた。

ネットエージェントは15日、ファイル交換ソフト「Winny」のノード数（12月1日〜14日）を発表した。

ラックは14日、記者説明会を開催。同社SNS事業本部 セキュリティプランニングサービス部・新井悠担当部長が2007年のネットセキュリティの展望を説明した。

Websenseが2007年の動向予想を発表。組織化が進むサイバー犯罪やWeb 2.0のセキュリティ問題に警鐘を鳴らしている。

大量爆撃型の攻撃は過去のもの。今やブラックハットは少数の標的を狙う悪党にゼロデイを売っている。

マイクロソフトは13日、Microsoft Updateによる月例セキュリティ更新プログラム（修正パッチ）とセキュリティ情報の公開を行なった。

日本銀行は、12月13日に日本銀行のサイトに対してDDoS攻撃が行なわれ、ページの閲覧が困難となる状況が発生したと発表した。

ファイル交換ソフト「Winny」の開発者で、著作権法違反幇助の罪に問われていた金子勇氏が、罰金150万円（求刑懲役1年）の有罪判決を言い渡された。今回の判決に対する評価や影響について、関係団体・企業に聞いた。

ソフォスは、企業向けウイルス対策ソフト「Sophos Anti-Virus for Windows」の「Application Control」機能を強化し、ゲームの使用を管理、阻止する機能を追加する。

オープンソースセキュリティに関しては、少なくとも2つの陣営がある。1つはAppArmorの使いやすさを支持するグループで、もう1つはより包括的なSELinuxを支持するグループである。

米国時間12月12日にリリースされたMac版「Microsoft Office」のセキュリティアップデートは、間違って提供されたものだったとMicrosoftが発表した。

キヤノンシステムソリューションズ（株）は12日、「NOD32アンチウイルス」の最新版であるv2.7のベータ版を2007年1月12日までの期間限定で無償公開した。

キヤノンシステムソリューションズは、ウイルス対策ソフト「NOD32アンチウイルス V2.7」を2007年1月より販売開始する。対応OSは、Windows Vista/XP/2000/Me/98SE/98/NT 4.0、およびWindows Server 2003。価格等は追って告知される。

プログラマの支援団体「ソフトウェア技術者連盟」は13日，Winnyを開発した金子勇氏に有罪判決が下ったことを受け，京都弁護士会館で報告会を開催した。

ファイル交換ソフト「Winny」の作者である金子勇氏に対して、著作権法違反の幇助にあたるとして罰金150万円の有罪判決が出されたことを受け、NPO法人ソフトウェア技術者連盟（LSE）は13日、裁判が行なわれた京都で報告会を開催した。

京都地方裁判所は13日、ファイル交換ソフト「Winny」を開発し、著作権法違反幇助の罪に問われていた金子勇氏に対して、罰金150万円（求刑懲役1年）の有罪判決を言い渡した。

ネットワークリスクマネジメント協会（NRA）は、「2006セキュリティ十大ニュース」を発表した。

2006年春、マイクロソフトは新しいセキュリティソリューションのブランドであるMicrosoft Forefront（以下、Forefront）を発表しました。

マイクロソフトは13日、12月のセキュリティ更新プログラム（修正パッチ）7件を公開した。

マイクロソフト（株）は13日、毎月公開されるセキュリティ更新プログラムの12月版として、脆弱性情報と修正プログラムを公開した。

マイクロソフトは12月13日，WindowsやInternet Explorer（IE），Visual Studioなどに関するセキュリティ情報と修正パッチ（セキュリティ更新プログラム）を計7件公開した。

Microsoft から 2006年12月のセキュリティ情報が公開されました。本情報には、深刻度が「緊急」のセキュリティ更新プログラムが 3件、「重要」のセキュリティ更新プログラムが 4件含まれています。

新たに発見された新しい脆弱性の情報です。深刻度毎の詳しい情報は以下をご覧ください。
緊急 (3)
重要 (4)

米McAfeeは米国時間12月11日，検索エンジンの利用に関する危険性についての調査結果を発表した。

総務省と経済産業省は12日、2006年度から両省が取り組んでいる「ボット対策プロジェクト」の一環として、ボット対策を推進するためのポータルサイト「サイバークリーンセンター」を開設した。

書類などの作成中にPCから一時的に離れる場合、画面を誰かに覗き見られることがないよう、適切なセキュリティ対策を施そう。

Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク（および同様のもの）がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。

問題はQuickTimeの脆弱性にあり、MySpaceだけでなくほかのサイトも影響を受ける可能性があると、F-Secureは警告している。

NHKのニュース経由。総務省、経済産業省、テレコムアイザックなどは共同して、ボットとなったPCへの対策を啓蒙するサイトサイバークリーンセンターを開設した。

ソースネクストは11日、セキュリティ対策ソフト「ウイルスセキュリティZERO」を含むウイルスセキュリティシリーズの無償バージョンアップを発表した。各製品のアップデータは12月11日から12月末までに順次配布される。

フランスFrSIRTは12月9日，英Sophosのウイルス対策ソフト「Sophos Anti-Virus」に複数のセキュリティ・ホールが見つかったことを明らかにした。

日立システムアンドサービスは11日、情報セキュリティをテーマとした「セキュリティかるた」を14日に発売すると発表した。価格は1,800円で、翔泳社のオンラインショップ「SEShop.com」で販売される。

7月のWinnyノード数調査の失敗の後、プログラムを直し、集計方法を変更して、8月下旬からノード数調査を続けていた。

メール用ウイルス対策ソフトによっては，メールに添付されたウイルス・ファイルを適切に検出できない場合があることが，セキュリティ関連のWebサイトで12月6日に明らかにされた。

Microsoftは米国時間12月5日、複数バージョンの「Word」にパッチ未公開の脆弱性が存在し、それがサイバー攻撃に悪用されているという警告を発した。

もしあなたがActive Directoryを利用しているなら，グループ・ポリシーを使ってWindowsの自動更新機能の設定を一元管理できる。

月例のセキュリティ情報のリリース サイクルの一環として、マイクロソフトはお客様に、リリースするセキュリティ更新プログラム数、影響を受ける製品、最大深刻度総計、および更新プログラムに関連した検出ツールの情報に関して事前通知を行います。

第3回：米国CERT/CCがPodcastingでセキュリティ講座　ほか

トレンドマイクロは7日、セキュリティ対策ソフト「ウイルスバスター2007 トレンドフレックス セキュリティ」（以下、ウイルスバスター2007）のWindows Vista対応ベータ版を公開した。

トレンドマイクロ（株）は7日、統合セキュリティソフト「ウイルスバスター2007 トレンド フレックス セキュリティ」のWindows Vista対応ベータ版を、26日までの期間限定で無償公開した。

ウイルス対策だけでなく、パーソナルファイアウォール機能、スパイウェア検出/駆除機能、迷惑メール対策が統合されているのが、「ウイルスバスター2006 インターネットセキュリティ」です。

セキュリティ企業のeEye Digital Securityは、ゼロデイの脆弱性情報を集めたアーカイブサイト「Zero-Day Tracker」を開設した。

11月に開催された「Email Security Conference 2006」において、Telecom-ISAC Japanの企画調整部副部長小山覚氏が、2006年版のボットの動向について語った。

携帯電話に感染するマルウェアに、初めてスパイウェアが組み込まれた。攻撃側の狙いがシフトしていることを示すものだとMcAfeeは解説する。

Adobe ReaderとAcrobatおよびDownload Managerで発見された深刻な脆弱性について、Adobeがアドバイザリーを公開して対処を呼び掛けた。

【1】Apple 社の Mac 製品に複数の脆弱性
【2】Adobe AcroPDF ActiveX コントロールに脆弱性
【3】proftpd に複数の脆弱性
【4】gv のバッファオーバフローの脆弱性に関する追加情報
【5】tDiary におけるクロスサイトスクリプティングの脆弱性
【6】Blogn (ぶろぐん) におけるクロスサイトスクリプティングの脆弱性
【7】Chama Cargo におけるクロスサイトスクリプティングの脆弱性

被害を受けたことがない　35.77%（Watch読者調べ）あなたのセキュリティ対策、大丈夫？

米Microsoftは現地時間12月5日，Microsoft Wordに修正パッチ未公開のセキュリティ・ホールが見つかったことを明らかにした。

JVN#47272891経由、ジャストシステムの告知文によると、一太郎2005、一太郎2004、一太郎 文藝、一太郎ビューア 4.0、花子2006、花子2005、花子2004、花子ビューア 1.0、三四郎2005、一太郎Lite2 /R.2 にバッファオーバーフロー脆弱性があり、パッチがリリースされたようだ。未パッチの製品を使用している場合に悪意ある一太郎、花子、三四郎文書等を開くと、任意コードを実行される可能性がある。

米McAfeeは11月4日，同社スタッフによる公式ブログにおいて，ボットなどの悪質なプログラム（マルウエア）は，Windows以外のメジャーなアプリケーションもターゲットにしているとして注意を呼びかけた。

独立行政法人情報処理推進機構（IPA）は12月4日、11月のコンピュータウイルス・不正アクセスの届出状況を発表した。

独立行政法人情報処理推進機構のセキュリティセンター（IPA/ISEC）は12月4日、スクリプト言語「Ruby」とWikiクローンである「Tikiwiki」の脆弱性情報を公開した。

McAfeeは米国時間12月4日、同社の企業ユーザー向けセキュリティ製品の最新版「Total Protection for Enterprise 2.0」を発表した。

McAfeeが企業向けのセキュリティソフトウェア最新版をリリースした。新バージョンでは、新しい挙動監視ツール、rootkit防御機能、NAC（ネットワークアクセス制御）のサポートなどが追加されている。

ウェブルート・ソフトウェアは5日、11月に日本で最も多く検出されたスパイウェアのランキングを発表した。

Print Spoolerサービスの脆弱性を突かれると、DoS攻撃を誘発される可能性がある。深刻度は比較的低レベル。

スタンバイモード中ってのもあるかもしれないが、余計なポートが開いていないのは素晴らしい。

JPCERT/CC理事の真鍋敬士氏が、11月に開催された「Network Security Forum 2006」において講演。ボットを用いたオンライン犯罪がビジネスとして確立しつつある現状に警鐘を鳴らした。

MessageLabsによると、年末商戦に付け込んでショッピングユーザーを騙そうとするスパムやフィッシングの攻勢が強まっている。

サーバエラーの表示に見せかけて偽の対策ソフトウェアをインストールさせようとするスパイウェア／アドウェアが登場した。

Internet Explorerで、認証パスワードの記憶やオートコンプリートを有効にしていると、それぞれのデータがコンピュータに保存されますが、通常これらのデータを表示・操作することはできません。本稿では、これらのデータを一覧するサンプルを作成し、その操作方法を解説します。

このワームは不正なQuickTime MOVファイルを利用して感染を広げ、MySpaceのページを書き換える。

JVN（JP Vendor Status Notes）は4日、スクリプト言語「Ruby」のCGIライブラリにサービス運用妨害（DoS）の脆弱性が存在すると公表した。

トレンドマイクロは4日、11月度の「ウイルス感染被害マンスリーレポート」を発表した。国内のウイルス感染被害の報告総数は7,477件で、10月の8,806件から減少した。

ITUは「ユーザーが同じパスワードを繰り返して使うことがほぼ避けられない」現状を指摘し、企業や当局に解決策を見出すよう求めている。（ロイター）

INTERNET Watchによると、Webサイトに直接アクセスしないでそのサイトの情報を得るサービス「aguse.BETA」が公開されたという。

セキュリティ強化をうたったWindows Vistaでrootkit、トロイの木馬などのマルウェアが実行できるかどうかをSymantecが調べた。

Symantec、Trend Micro、CAのセキュリティベンダー3社は、依然としてVista対応製品の開発に取り組んでいることを各社の関係者が30日に明らかにした。大手セキュリティソフトウェアメーカーの中で、現時点ではMcAfeeだけがVista対応の製品を発売している。

ビットディフェンダー・アンチウイルススキャナ for Unicesは，LinuxやFreeBSDのコマンド・ラインから実行させるウイルス対策ソフト。コマンド名は「bdscan」。指定したファイル，または指定したディレクトリ配下にある全ファイルをスキャンする。

Nike+iPodのSport Kitは、あなたの行動をトレースすることに使うこともできるというレポートがワシントン大学の大学院生によって発表された、という記事がEngadgetに掲載された。

ソフォスは1日、同社が11月に全世界で検知したマルウェアを集計した「月間トップ10ウイルス」を発表した。

ソフトイーサは1日、同社が提供するVPN環境構築ソフト「PacketiX VPN 2.0」が「Windows Vista」に対応したと発表した。

現在流行しているマルウェアのワースト10のうち、3種はVistaのセキュリティをかいくぐり、感染することが判明した。

Microsoft製品の脆弱性、Symantec製品の脆弱性を突いたスパイボットが登場。Symantecはパッチの適用を呼び掛けている。