週間情報通信ニュースインデックスno.422 2003/09/13

1.Windowsにまたもや“超特大”のセキュリティ・ホール,すぐにWindows Updateの実施を(9.11 日経BizTech)

マイクロソフトは9月11日,Windows に見つかった新しいセキュリティ・ホールを公開した。 細工が施されたRPC(Remote Procedure Call)メッセージを送信されると,任意のプログラムやコマンドを実行させられる恐れがある。「Blaster」ワームなどが悪用するセキュリティ・ホールと同様に,とても危険なセキュリティ・ホールである。「Windows Update」を実施して,すぐにパッチを適用する必要がある。影響を受けるのは,Windows NT Workstation 4.0/NT Server 4.0/NT Server 4.0, Terminal Server EditionおよびWindows 2000/XP/Server 2003。 いずれも,デフォルトのままで影響を受ける。今回マイクロソフトが公開したのは,Blasterなどが悪用するセキュリティ・ホールと同じように,RPCの実装に関する3種類のセキュリティ・ホールである。 RPCとは,同じマシンあるいは別のマシンで稼働するプログラム同士が通信するために使用するプロトコルである。 今回公開された3種類のセキュリティ・ホールのうち2種類は,細工が施されたRPCメッセージを送信されると,適切に処理できずにバッファ・オーバーフローが発生するセキュリティ・ホールである。その結果,マシン上で任意のコード(プログラムやコマンド)を実行させられる恐れがある。 コードはLocal System権限(OSと同じ権限)と呼ばれる高い権限で実行されるので,攻撃者は対象マシンを自在に操れる。マシン内のファイルを盗めるばかりではなく,ファイルの改変やハード・ディスクのフォーマット,管理者権限を持つアカウントの作成など,あらゆる操作が可能となり,事実上マシンを乗っ取られることになる。 もう1種類は,DoS(サービス妨害)攻撃を受けるセキュリティ・ホールである。細工が施されたRPCメッセージを送信されると,RPCサービスを終了させられる恐れがある。 バッファ・オーバーフローのセキュリティ・ホールは,Windows NT Workstation 4.0/NT Server 4.0/NT Server 4.0, Terminal Server EditionおよびWindows 2000/XP/Server 2003に存在し,深刻度は最悪の「緊急」である。 DoS攻撃を受けるセキュリティ・ホールは,Windows 2000にのみ存在し,深刻度は上から2番目の「重要」。 とにかく,とても危険なセキュリティ・ホールである。 今すぐに対策を施す必要がある。 対策はパッチを適用すること。 Windows NT Server 4.0, Terminal Server Edition用以外は,「Windows Update」から適用可能なので,今すぐWindows Updateを実施してほしい。セキュリティ情報のページからもパッチをダウンロードできる。

2.ICタグには追い風が吹いている---「第5回自動認識総合展」開催 (9.10 日経BizTech)

最近多くの話題を集めている“ICタグ”に関する展示会「第5回 自動認識総合展」が2003年9月10日から12日までの会期で東京ビッグサイトで行われた。 ICタグとして代表的な、無線通信機能を備えたICチップ「RFID」を用いた物流システム/値札/ポイントカードなど、ICタグの今後の可能性を示す展示が多く、来場者が熱心に説明員に耳を傾ける姿が目だった。 市場調査の対象としているのは、「バーコード」、RFIDに代表される「ICタグ」、指紋認証など「バイオメトリクス(生体認証)」。 同協会は、自動認識システムを、人間を介さずにハードやソフトで認識できるものとして定義している。 2002年の自動認識の国内市場は、1740億円(前年比1.2%増)。このうち、90%はバーコード(ハード/ソフト/シールなどを含む)が占めており、市場規模では9%のRFIDを大きく上回っている。

3.UFJ銀がインターネットVPNを支線系ネットに導入(9.9 日経コミュニケーション)

UFJ銀行は9月10日、社内ネットワークの一部にインターネットVPNを導入する。 同銀行のWebサイトの運営に関わるパートナ企業と接続するためのネットワークを、これまでの専用線「DA128」からインターネットVPNへ切り替える。アクセス回線にはNTT東西地域会社が提供する光ファイバ・サービス「Bフレッツ」を利用する。 インターネットVPNは、いわゆる“支線系”と呼ばれるネットワークで採用する。本店と支店をつなぐ“基幹系”と呼ばれる重要度が高いネットワークではないが、銀行大手がインターネットVPNを導入するのは現時点ではまだ珍しい。(武部 健一)

4.ソニー、インターネットを使ったASP型POSサービス(9.11 日経BizTech)

ソニーは2003年9月10日、法人向けブロードバンドネットワークサービス「bit-drive」を通じて、売上管理や分析などPOSレジスターの機能を利用できるASPサービス「インターネットPOS」を12月から開始すると発表した。 本サービスに先立って10月からトライアルサービスを実施する。 初期費用は4万円、月額利用料は1件のIDにつき9000円。 インターネットPOSは、従来のようなPOSレジスター専用機器を必要とせず、普通のパソコンをPOS端末として利用するサービス。9月1日に発表した「インターネットタイムレコーダー」に続く、bit-driveのASPサービス第二弾となる。

5.ドコモがPHS端末の開発中止報道を否定 (9.12 日経コミュニケーション)

NTTドコモは、9月12日朝の「NTTドコモが通話用PHS端末の新規開発を中止した」との一部報道について「具体的にそのような計画を決定した事実はない」と否定した。 端末メーカーに対し製品開発を中止する方針を通告した件は、「メーカーとの守秘義務があり、回答できない」としている。 報道で開発中止とされた通話用PHS端末とは、音声通話やインターネット接続が可能な「パルディオ」シリーズを指す。 64kビット/秒の高速データ通信機能を備え、PHSを使う企業向けコードレス内線電話システム、いわゆる事業所PHSの子機としても利用できる。 ただし同社のPHS契約数は170万加入前後と伸び悩んでおり、赤字体質から抜け出せない状況。
 

 ホームページへ