セキュリティ企業Finjanによる報告として、発見したばかりの脆弱性情報をオークションで競売にかける事例を指摘している（ITmedia　7/13）。

また、ユーザーのPCに悪質なコードをインストールするWebサイトを簡単に作れるDIYツールキットなども出回っているらしい。ロシアのサイトで発見された「Web Attacker Toolkit」という製品は300ドルだという。

こうしたブラックマーケットの存在はかねてから指摘されていたが、それなりの｢初期投資」をして、本気で金儲けをたくらむ者が増えてきているという状況を示していると言える。

スパイウェア対策ソフトウェアベンダとして有名なウェブルート・ソフトウェアから、最新版の「Spy Sweeper 5.0」が発売されたようだ（CNET　7/20）。

キーロガーを検出する「キーロガーシールド」を搭載しており、同報道によるとキーロガー検出機能は業界初だという。Rootkitの検出・駆除も可能とのことで、現段階では最も強力なスパイウェア対策ソフトと言えるかもしれない。

スパイウェアはウイルスと比べて非常に巧妙かつ多数のコンポーネントからなると言われており、駆除も難しい。そのため、対策ソフトも開発ベンダの技術力の差がそのまま製品の機能の差となってしまうが、その点でアドバンテージがあるのがウェブルート社である。

RSAセキュリティは、フィッシングサイトを閉鎖に追い込む対策サービス「RSA FraudAction」を7月24日から開始（6/29）。

フィッシングサイトが海外サーバにある場合、サイトを閉鎖に追い込むのには手間がかかることなどから、顧客に代わって事業者との連絡やシャットダウン要請などを代行するサービスのようだ。

これまで世界65カ国で10,000サイト以上をシャットダウンし、ほとんどのケースで5時間以内にシャットダウンしているという。Webサーバーをホスティングしている国・言語に関わらずシャットダウンするという、国境を越えた対策サービスとなる。このようなサービスは日本では初。

サービス内容には、フォレンジック作業（証拠収集・分析）や対抗措置の実施（大量データの送り込み等）、アクセス阻止などが含まれる。ターゲットは金融機関やオンライン・サービス事業者。

セキュリティ対策のアウトソーシングも進んでいるが、こうした｢手続き系」の代行サービスも今後ますます増えていくのだろう。報道（ITmedia　6/29）によると、サービス料金は年額480万円から、初期導入費は200万円だという。果たしてアウトソーシングするだけの価値があるのかどうか。

国内の金融機関で続々と導入が決定していた「ワンタイムパスワード」は、数あるセキュリティ対策の中でも一番有効であると見られていた。一回のみ有効のパスワードという特性から、なりすましに強いのが特徴である。

しかしこのほど、「中間者攻撃」タイプのフィッシングサイトが確認され、この攻撃にはワンタイムパスワードでも防げないという（ITPro　7/13）。この攻撃はユーザーと正規のサイトの間に割り込む手法らしい。

具体的には、まず偽メールによって偽のログインサイトに誘導されたユーザーが入力したパスワードなどが本物のサイトに送信される。偽サイトは本物のサイトから送信された情報に基づいて本物のサイトになりすますと同時に、本物のサイトに送信した情報に基づいて本物のサイトにログインする。成功すると偽サイトがユーザーになりすまして送金などを行うというもの。プロセスは複雑だが、今回は米シティバンクをターゲットに、脅威が現実のものになったわけである。

弱点を露呈したワンタイムパスワードだが、もとより完璧なセキュリティなどない。だが、なりすましを防ぐためのワンタイムパスワードが、中間者による中継によって結局はなりすまされてしまう、という事実はかなり皮肉だ。

KDDIの運営するDIONの顧客情報約400万人分が流出した事件で、流出したのは2003年12月18日以前のものだと判明したという（INTERNET Watch　6/13）。報道を整理すると、情報が流出したのもこの頃と見られる。顧客情報を管理するPCから内部もしくは委託先企業の何者かによって持ち出された可能性が高いと見られている。

アクセスログの保存期間が1年ということで、当時の記録は残っていないらしい。これはつまり、保存期間が1年では足りないと言うことを意味する。何年なら十分ということはないが、果たしてこうした状況の中流出経路の特定は可能なのか、今後の展開が注目される。