オレンジピールの情報集積

海外ホテルの浴槽はクングンヨ

よく海外旅行にいくことはないが、海外ホテルのバスタブ、大きなことに常に驚いている。特に、北欧諸国は大きなものではないでしょうか。足をしながら、ゆったりと浸かってしたいと思います、少し緊張しながらお風呂に入ります。も海外のホテルはシャワーのみの場合もあるので、バスタブが本当に嬉しいです。
海外ホテルのタイプを分類してみると色々わかってくるものです。実際のレビューなどもきちんと把握することが重要です。海外ホテルのレベルも年々良くなっているようです。観光向けての準備もしっかりしていくことです。観光化は非常に意味のあることでしょう。海外ホテルの良さをアピールしていきましょう。
1ヶ月ほど前から、中国貴州省在住と思われる、「D.W」または「此人以死」と名乗るハッカーが日本やアメリカ合衆国の重要Webサイトに対し、攻撃の前段階と思われる調査行動を断続的に続けている。

中国からの攻撃試行はいまや半ば常態化している感があるものの、同人はいわゆる「スキャナー等を用いた、脆弱性のあるWebサイトの総ざらい調査」ではなく、明らかに特定Webサイトをターゲットにしている。

同ハッカーが標的にしているのはおもにアメリカと日本のWebサイトだ。米国はホワイトハウスや国防総省、米沿岸警備隊など政府機関が多いが、日本のサイトの場合、なぜか東京三菱UFJ銀行（www．bk.mufg.jp）に執拗にこだわっている。

なお実際に脆弱性を発見し攻撃を実行している様子はなく、むしろ攻撃の前段階の調査を繰り返し行っている。具体的にいえば、トップページからは見えない管理者ログイン用ページや、ユーザー登録及びログインページの洗い出しに始まり、SQLインジェクションやクロスサイトスクリプティング攻撃の可能性を探っている。

また奇妙なことにこのハッカーは、ときどき夕方（中国現地時間で17時〜18時頃）になると「そろそろ帰宅する」などと発言している。まるで勤務先の業務として、日本やアメリカの重要Webサイトの脆弱性を探し出そうとしているようにも思えてしまう。

「D.W」または「此人以死」に関する情報は以下の通り。ただし本人の自己申告であるため真偽のほどは未詳である。

ハンドル名：「D.W」 / 「此人以死」
居住地：貴州省安順市
年齢：34歳
性別：未詳
職業：IT・計算機関係

同ハッカーについては鋭意注視し、新たな情報が判明次第報告する。

（Vladimir）
筆者略歴：infovlad.net主宰。中国・北朝鮮・ロシアのセキュリティ及びインテリジェンス動向に詳しい

【関連記事】
美しすぎる女性ハッカー「失色」の野心（Far East Research）
中国ハッカー、日本原子力研究開発機構を騙りアメリカ核関連団体を攻撃（Far East Research）
中国政府が警戒する「ネット水軍」、組織化された影響力を懸念（Far East Research）
インドの5つ星ホテルでパスポートデータが閲覧可能に（Far East Research）
中国藍客聯盟、初心者向け「日本攻撃専用DOSツール」を配布（Far East Research）


株式会社HDEは7月19日、メール誤送信対策（情報漏えい）に関する総合情報ポータルサイト「メール誤送信対策.com」をオープンしたと発表した。本サイトは、国内の企業セキュリティ担当者に向けてメール誤送信対策に特化した情報発信を行う専門サイト。メール誤送信をなくすことを目標とし「STOP誤送信」をテーマとしたコンテンツを提供していく。

サイトでは、ユーザの誤送信への理解度に合わせて「誤送信とは」「具体策」「ケーススタディ」と大きく3つの構成からなるコンテンツ群、および「止める」「見る」「守る」（メール誤送信対策3原則）を格言とした具体策を想起しやすいコンテンツ群誤送信を理解しやすい3ステップコンテンツを公開、今後も啓発活動に注力していくという。
（吉澤亨史）

【関連記事】
企業のためのセキュリティ情報サイト メール誤送信対策.com
メール誤送信対策（情報漏えい）に関する国内初となる総合情報ポータルサイト「メール誤送信対策.com」オープン


アップルジャパン株式会社は7月18日（米国時間）、iOS 4.3.4、4.2.9、およびセキュリティアップデートを公開した。ともに3件の脆弱性（CVE-2011-0227、CVE-2011-0226、CVE-2010-3855）に対応している。このアップデートによって、PDFファイル閲覧の際の脆弱性が修正される。なお、本脆弱性は「JailbreakMe 3.0」が「脱獄」用に利用している。
（吉澤亨史）

【関連記事】
About the security content of iOS 4.2.9 Software Update for iPhone
About the security content of iOS 4.3.4 Software Update
Java for Mac OS Xのセキュリティアップデートを公開（アップル）
Mac OS X 10.6.8およびセキュリティアップデート（2011-004）を公開（アップル）
Mac OS X向けセキュリティアップデート（2011-003）を公開（アップル）


この数ヶ月、企業を狙った大規模な個人情報漏えい事件が頻発している。記憶に新しいソニー関連子会社、Google、シティバンク等々、サイバー攻撃による事件は収束する気配がなく、グローバルに広がり、とどまるところを知らない。

この状況に戦慄を覚える企業は少なくないだろう。これを機にサイバー攻撃対策を改めて検討する企業・団体が増えている。

こうした状況を背景に、企業システムの中の、Webアプリケーションのセキュリティ対策はその重要度を増している。

その対策は、Webアプリケーションの開発段階からのセキュアプログラミング、Webアプリケーションファイアウォール（WAF）の導入、Webアプリケーションへの「脆弱性診断」「ペネトレーションテスト」等と呼ばれるシステムへのセキュリティ検査実施等が代表的だ。

セキュリティ検査は、最も古くから実施されている標準的な対策であり、検査対象となるWebアプリケーションにツールを用いてスキャンを実施したり、検査技術者が模擬攻撃を仕掛けることで、システムの脆弱点を洗い出す。ほとんどの企業・団体では、外部のセキュリティ専門企業へセキュリティ検査を委託するケースが多いだろう。

セキュリティ検査は、システム改修や、新規Webアプリケーションのカットオーバー、新しいセキュリティホールの発見、新たな攻撃手法の台頭などに応じ、網羅的かつ都度実施する必要がある。しかし、外部の専門企業へアウトソースしている場合、時間と費用両面のコスト増加が避けられず、その結果、一部のシステムだけに検査が限定されたり、必要なタイミングで検査が実施されていないのが多くの企業・団体の現状である。

こうした問題を解決する方法のひとつが、セキュリティ診断を社内で内製化し、定期的に診断を実施し、脆弱性を把握し潰しこんでいくという方法だ。

近年、サービス規模の巨大な企業等で、セキュリティ検査のためのツールやノウハウを自社で保有し、そのためのスタッフを社内で育成するケースも現れ始めている。

地道に確実に予防線を張ることができ、同時に、内製化による外部委託の頻度を減らしたスケジュールに切り替えていくことで、コスト削減を実現していくことが可能となる。

（グローバルセキュリティエキスパート株式会社 事業開発部 マネージャ 高橋 広志）

【関連記事】
企業システムのセキュリティ検査の内製化を支援（GSX）
スマートフォンのセキュリティを技術的観点から実施する2つの検査を開始（GSX）
モバイルサイト専用の検査項目を追加したセキュリティ診断サービスを開始（GSX）
「クラウドセキュリティ監査サービス」の提供を開始（GSX）