小野寺です。 3月頃からSQLインジェクションが原因となるWebサイトの改ざんが報告されているのは皆さまご存じの通りです。 4月に入って被害がさらに広がっているように感じています。まず、SQLインジェクションに対して殆ど認知されていないですし、その対策方法も知られていないのではないでしょうか。各方面ですでに啓発告知がなされてはいますが、その様な告知を受けている人は、ある程度セキュリティに興味があるか詳しい人である可能性が高く既に対策済みという場合が多いのではないかと思っています。 この点は...

小野寺です。 本日、Security Development Lifecycle (SDL) Guidance が公開されました。 http://www.microsoft.com/downloads/details.aspx?FamilyID=2412C443-27F6-4AAC-9883-F55BA5B01814&displaylang=en 思い起こせば、2001年の頃に始まった SD3+C (Secure by Design, by Default and in Deployment...

小野寺です。 4月のワンポイントセキュリティを公開しました。 Video: Security Updates This Month - April 2008 soapbox 版ではない、フルサイズ版は、以下のサイトからご覧いただけます。: http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx また、音声のみ版も提供しております。 WMA と MP3 の2種類を提供していますので、お使いのプレーヤーに併せてご利用ください...

小野寺です 今月は、 事前通知でお伝えしていたとおり 計 8 件 (緊急5件, 重要3件)を公開しました。 今月は、基本的に悪用方法を事前に公開することなく事前に連絡いただき脆弱性に対処することができました。しかし、例月同様に比較的早く検証コードが公開されることも容易に想像できますので、早めの対処を心掛けたいところです。 特に、 MS08-021 , MS08-022 , MS08-024 は、Web を参照することで悪用される可能性がある脆弱性になりますので、国内で多発しているWebサイトの改ざんに悪用される前に更新プログラムの適用を完了しておきたいですね...

小野寺です。 イギリスの Virus Bulletin Ltd で定期的に VB100 と呼ばれるマルウェア対策ソフトの検出能力テストが行われています。 このテストでは、Wild List (広く出回っているもの), Worm & Bot, 誤検出 (FP) の有無などの幾つかの項目について、どの程度の精度があるかをテストします。 2008年3月に行われた試験では、個人向け・企業向け製品の両方で100%検出、FP 0%の結果となり、VB100% Awardを受賞することができました...