シマンテックの「インターネットセキュリティ脅威レポート」

シマンテックの「インターネットセキュリティ脅威レポート」

最近の傾向としては
  1. 秘密情報に対する脅威の増大
  2. フィッシング攻撃の着実な増加
  3. Web アプリケーションに対する攻撃の増加
  4. Windows を狙うウイルス/ワーム亜種の急増
  5. 深刻度が高く、悪用が容易な上、リモートから悪用できる脆弱性の増大

といったところで、今後の傾向としては;

・金銭目的でのボットやボットネットワークの使用が増加していくと見ています。新たなボットを獲得し、ボットネットワークを作る手法が多様化してきています。

・モバイル機器を狙った悪意のあるコードが、件数、深刻度とも高まっていくと見ています。Bluetooth 対応機器の脆弱性を研究するグループが多数存在しています。これら脆弱性を悪用して拡大する悪意のあるコード(ワームなど)が出現するおそれが高まっています。

・シマンテックでは、ワームやウイルスを拡散手段としたクライアントサイドへの攻撃が増えていくだろうと考えています。

・音声やビデオ画像のコンテンツに埋め込まれて隠れた形の攻撃が増えていくだろうと予測しています。これは、厄介な問題です。画像ファイルは今やありふれたものであり、ほとんど誰もが疑いを抱かない上、現代のコンピュータ利用に不可欠な存在だからです。

・シマンテックでは、アドウェア、スパイウェアに関連したセキュリティリスクが増大すると予測しています。これらのリスクを抑える各種法律だけでは効果的かつ十分な抑止力とはならないと考えています。


 ちなみに俺も最近、場合によってはあえて「物理的にネットワークに繋がないマシン」や「隔離LAN」で作業をするということがある。数年前には「時代に逆行してるよな」とメンドくさがったものだが、最近では慣れた(笑)

 そんな人、けっこう多いのではないかしら。ボットやトロイの木馬の類で情報流出なんてことになりゃあ、おマンマの食い上げだからねぇ。
恥ずかしいし

 まぁ、幸い今まで直接ひどい目にあった経験は無いのだが、「セキュリティパッチってなんですか」「ウィルスチェックってなんですか」な人のとばっちりを食ったことは多数。
 上のレポートなどを読むと、状況はますます悪化すること疑いないなぁ。

だからコンピュータは免許制にしろ、というのだ(笑)
[PR]
# by SIGNAL-9 | 2005-03-30 19:02 | 情報保護・セキュリティ

みずほ銀行、約27万人分の顧客情報紛失

みずほ銀行のホームページニュースリリース(PDF)より。

今般、個人情報保護法の全面施行を控え、当行全店においてお客さま情報(※)が記載されたCOM、還元資料等の保管状況の調査を実施した結果、167か店において調査した資料の一部について紛失していることが判明致しました。このような事態を招きましたことは、誠に申し訳なく、深くお詫び申し上げます。

紛失の概要は、以下のとおりです。

○ 該当支店数:167か店

○ お客さま数:約27万名

○ 対象となった主なお客さま情報:
お取引日、お客さま氏名、口座番号、入払・振込明細、預金残高
口座開設日(預入日)、満期日

※詳細は別添資料をご参照下さい。
現時点で、紛失物は発見されておりませんが、内部調査の結果、不正持出の可能性は極めて低いものと判断され、また、これまでにお客さまからの照会や当行に対する不正要求等、問題となる事象は生じていないことから、誤って廃棄した可能性が高く、外部への情報の漏洩懸念は極めて低いものと考えております。


 幸い俺の使ってる支店ははいっていないようだが…しっかしねぇ。

 167支店で見当たらないものが全部「誤って廃棄した可能性が高く、外部への情報の漏洩懸念は極めて低いものと」考えてしまっていいものなのだろうか。

 古くなって廃棄した…みたいな話なのかどうかも、肝心の「いつのデータ」なのかが発表資料には記載がないようだし。
 「カードローン申込書類」とか「投資信託総合取引申込書」なんて、名前から住所から生年月日から年収まで載ってるわけで、こりゃあ「個人情報流出」事件としては最大級かも。

 しかし、個人情報保護法施行の直前に発表というのは、タイミング的にうさんくささを感じるなぁ(笑…って笑い事ではないな)。
[PR]
# by SIGNAL-9 | 2005-03-30 13:12 | 情報保護・セキュリティ

朝日記者、海賊版DVD購入を告知(Googleに証拠残存)

 朝日新聞の上海支局の記者が、自社HPの自分のプロフィール欄に「暇があれば、街角の屋台で買った海賊版のDVD(1枚約100円)で映画鑑賞」と書いてしまい、各方面で突っ込まれている。

 いくらなんでもマズイでしょう、これは。

 買うこと自体は違法でないとしても、国際社会的にも大きな問題になっている「海賊版」であるという認識があって購入し、それを自分の会社のHPでおおっぴらに告知するというのは道義的にアウトだと思う。

 というような追求は2ちゃんや保守系反朝日Blogにお任せするとして、怖いなぁと思うのはGoogleのキャッシュだ。

 朝日新聞は既に問題のページを証拠隠滅「訂正」しているが(つまり「マズい」という認識はあるわけだな)、Googleのキャッシュには本日時点ではしっかり残っている

 公器を自認しておられる大新聞社だから、めったな対応はしないだろう。そのうち謝罪文なりなんなり出てくるのだろうと思う。

 天下の朝日新聞がまさか、証拠隠滅訂正するだけでOKだなんて考えているはずが無い。

 朝日新聞社のWebマスター様、ご存知とは思いますが、Googleのキャッシュの削除はこうなってます
 まあ、自動URL削除システムは既にご承知・御対策済みとは思いますが、過去の例だと、「Googleキャッシュで鳥取県個人情報流出の2次被害」のように、クロールしてくるのに数日かかる場合があるようですよ。

 おまけにプロクシやらキャッシュサーバやら、ネットワークのあちこちに立ってますし、PCのローカルキャッシュもあるでしょうし、俺みたいに個人でキャッシュサーバ立ててるようなヤツも珍しくはないですから、御社みたいな人気HPの場合、「無かったことにする」のは無理だと思いますよ。

 てーか、フツーの会社なら、自社のホームページで社員が違法社会的に不当な行為を堂々と告知したらタダじゃあすまんでしょう。
 フツーの会社員の俺だったら、原文に訂正線を施した上で謝罪文を同時に掲示的な対応をすると思いますが。だって誤魔化しようがないもの

いやはや。インターネットってのは怖いねぇ(笑)
[PR]
# by SIGNAL-9 | 2005-03-29 12:49 | 奇妙な論理

VBってなくなっちゃうの?

「マイクロソフトのVisual Basicをめぐる綱渡り」
Martin LaMonica(CNET News.com) 2005/03/28 21:29

 MicrosoftのS. "Soma" Somasegar(開発ツール部門コーポレートバイスプレジデント)は、CNET News.comに対し、Visual Basic 6(VB6)の無償サポートを今月末で終了する計画は「絶対に」撤回しない、と語った。

 Microsoftが、1998年に投入したVB6の無償サポートを打ち切るとの判断を下したことを受け、同ツールを利用する開発者の一部から抗議の声が上がっている。そのなかには、同社と緊密な提携関係にある顧客も含まれている。


俺自身はVBというのはアウトオブ眼中な人間で、実装経験も稀少のため何か語る資格はない。素養程度しか知らないので、そのレベルの感想だが;

上記記事によると、大きく二つの意見がある。

「ふざけんな、なくなったら困るから今のままにしとけ!」

「どーせいつか作り直しになるんだから、移植とか無茶なこと考えないでVB.NETで作り直せばいいじゃん」

 俺は後者に近い意見なのである。

 レガシーはレガシーとして使い続けて、必要に応じてまるっきり作り直す。この方が得策のような気がするのである。

 VB6とVB.NETの言語仕様、というかそもそもの「考え方」の違いを考えると、いわゆる「移植」作業は、一般論としてはかなり困難な-技術的にというより工数的に-無理がある選択だと思うのだ。
 似たコーディング・似た開発手法の採用は不可能ではないが、それだと.NET的メリットよりもデメリットの方がでかいような気がするためだ(実装の裏づけが無いので単に気がするだけだが)。

 いわゆるVBとVB.NETを、「同じ言語のバージョン違い」と考えるのがそもそも無理な話で、まったく別物-つまるところ「MSの製品からVBという言語はなくなる」-という理解をした方が、少なくとも精神衛生上はよいのではないか。

 VBのような、かなり実績のある汎用言語が大幅な仕様変更でまったく別物に変わってしまうという例は過去にあまり例は無いとは思う。
 特にコスト意識の高い事務系プログラム/システムは保守的にならざるを得ない場合が多い。
 COBOLみたいに、古いのクソのと言われ続けて45年、根本的には変わらずに(変えられずに)、未だに事務系システムでは大きな位置を占めているような例がある。

 ちょっと思うのは、MSが見切りをつけるのなら、VB6上位互換の開発環境を提供する第三のベンダは出てこないのだろうか?ということだ。
 現状、構文上一部互換のものなら他社から出ているようだが、VB6上位互換の開発環境というのは、開発途上の一部のオープンソース系プロジェクト以外では寡聞にして知らない(しかもLinux向けとか言われても困るヤツも多かろうし)。
 ビジネスアプリでいえば、dBase上位互換としてのxBaseのような例はある。アシュトンテイト亡き後も、xBase言語自体は未だ現役である。

 例えばMSが他社にVB6をライセンスし、レガシーVBのサポートと改修を残存させるような選択はないのだろうか?
 ノウハウは全世界にあるは、ある程度の顧客は見込めるはで、大儲けは無理にしてもこれは意外とおいしいかもしれない。
 少なくとも俺は、VB6コンパチで、DelphiなみにWin32ネイティブコードが生成できるなら買っちゃうような気がする。
#VS.NETやDelphi2005みたいなIDEの馬鹿でかさとクソトロさに嫌気がさしているのもあるが(爆)

 俺に金と行動力があれば、今すぐにでもチャータ機でレドモンドに突撃したいところだが(笑)
[PR]
# by SIGNAL-9 | 2005-03-29 11:19 | 電算機関係の話題