世界で40種類以上の作戦活動を行う標的型攻撃「IXESHE」の調査レポート(トレンドマイクロ)
ScanNetSecurity 5月31日(木)22時43分配信
トレンドマイクロ株式会社は5月30日、セキュリティリサーチペーパー「『IXESHE』の全貌」を公開した。このリサーチペーパーは、2009年より継続し現在も活動を続ける持続的標的型攻撃「IXESHE」の調査結果をまとめたもの。「IXESHE」は、東アジア圏の政府機関や台湾の電機メーカ、ドイツの電気通信事業会社を標的としているとみられる持続的標的型攻撃。攻撃手法として、組織や企業内の感染コンピュータを乗っ取り、他のコンピュータに指令を出すサーバ(C&Cサーバ)として稼働させる点が大きな特徴。組織外との通信が目立たず攻撃に気づきにくいため、長期化している例が見られる。
これによると、世界で40種類以上の作戦活動、60以上のC&Cサーバを確認しており、組織や企業が情報を抜き取られるなどの脅威にさらされていることが推測される。IXESHEの攻撃の流れは、PDFファイル(不正プログラム)が添付された標的型のメールによって侵入し、Adobe製品の脆弱性を利用して不正プログラムをコンピュータ上に作成し、乗っ取る。そして外部の攻撃者の指令によって、企業ネットワーク内の感染コンピュータの1台を指令サーバ(C&Cサーバ)として、他の感染コンピュータを操作、最終的にデータの外部送信などの不正活動を実行する。
(吉澤亨史)
「期待ギャップ」をどう解消――会計不正で監査基準見直しへ
@IT 5月30日(水)22時55分配信
オリンパスなどの会計不正事件の発生を受けて監査基準を見直す議論が金融庁の企業会計審議会監査部会で始まった。今後、1年程度議論して、基準や監査手続きに反映し、早ければ2014年3月期から適用する方針だ。
金融庁の総務企画局長 森本学氏は5月30日に開催された監査部会であいさつし、「最近の会計不正事案がわが国の市場の公正性や透明性に影を落としているのであれば、憂慮すべきこと。その意味で監査部会における審議は、わが国市場の信頼性向上に向けた取り組みとして重要な意義がある」と話した。監査部会では「会計不正等に対応した監査手続き等の検討を行い、公認会計士の行う監査の規範である監査基準等について所要の見直しを行う」としている。7月までに計3回の審議を行って、秋以降に個別の論点を議論する方針だ。
30日の議論は主に「期待ギャップ」について行われた。オリンパス事件では、長年の会計不正を会計監査がなぜ発見できなかったのかが議論となった。社会では公認会計士はそのような不正発見の役割が期待されている。しかし、現行の監査基準では財務諸表が適正に表示されているかについて意見を表明することが、監査の主な目的とされている。一般社会からの期待と、実際の監査にギャップがあるのが実態だ。
監査部会で発表した格付投資情報センターの格付本部 チーフアナリストの後藤潤氏(公認会計士)は、「オリンパスへの監査は十分だったのか。財務諸表の利用者としては、重要な虚偽記載がないことを証明するのが監査の役割だと考えている。重要な虚偽記載につながるような違法行為は発見してほしい、発見する体制を持ってほしい。重要な虚偽記載を発見できないというのは公認会計士の存立基盤を損ねる。存在意義を問われかねないと思っている」と話した。
また、豆蔵OSホールディングスの代表取締役社長 萩原紀男氏(公認会計士、税理士)は、内部統制報告制度の導入などで企業の財務報告の透明性や社員の意識が変わってきたと説明した上で、「しかし、この枠組みには限界がある」として経営者がかかわる不正には会計監査の限界があると指摘した。萩原氏は「余談だが、自分が監査をしていて不正があると分かったとき、その会社の役員を部屋に缶詰にして絶対に出さないようにし、自白するまで追求したことがあった。また、3晩にわたって倉庫の張り込みを3交代で出して、不正を摘発したこともある」と自らの経験を語った。「開示がどうのこうのという前に、会社が正しいことをしているのか、不正をしているのかが最大の問題。会計士は不正を摘発する気概がないのか。監査基準の問題だけではなく、意識の問題も大きい」と話した。
●監査法人の信頼が揺らぐ
両者は今後の検討課題として、期待ギャップを埋めるために会計不正に対応した監査基準の見直しを提言。後藤氏は監査法人の体制や監査報酬、監査時間の問題なども検討すべきと話した。「格付けを行う際は、その会社の監査法人がどこかを必ずチェックする。期待ギャップと同時に監査に対する信頼性が揺らいでいるのではないか」。
また、萩原氏は「定められた時間の中で書類作成に時間がかかりすぎ、実際の監査時間はむしろ減っているのではないか」と指摘。「金融庁や日本公認会計士協会の監査法人に対するレビューが厳しすぎるのではないか」と話した。北海道大学大学院教授の吉見宏氏も「金融庁のチェックが厳しいことがマイナスになっているのかもしれない。チェックよりもサポートする体制が必要ではないか」と述べた。
その他、萩原氏は会計監査人交代時の引き継ぎルールの整備や、「インセンティブのねじれ」を解消するために、新たに「財団法人 監査契約協議会」を組織し、監査を受ける企業はその財団法人と契約して監査報酬を支払う、実際の監査は従来と同様に監査法人が行うことなどを提案した。
●監査報告書の記載充実を
青山学院大学大学院教授の八田進二氏は、期待ギャップが会計士や監査人側から見た評価概念と指摘し、財務諸表の利用者から見れば、「期待を果たしていないのならそれは“期待はずれ”ではないか」と述べた。その上で「経済環境が高度化、情報化、国際化してきた。その中で監査基準は当然変更があっていいと思う。私は企業不正、財務報告不正が見抜けない監査だったら不要だと思っている」と話した。
また、八田氏は監査報告書についても言及し、「無限定適正意見が出た場合、利用者側は『何も問題ない』という期待がある。しかし、現実はそうではない無限定適正意見もあるのではないか」と話した。実施できない重要な監査手続きがある場合、現行では「意見不表明」となり、上場廃止に直結するケースが多い。だがこれは監査人にとって「全く意図しないサンクション(制裁)」(八田氏)。上場廃止までは望んでいないが、財務諸表が完全に適正とはいえないケースだ。八田氏は「監査報告書の格付けランキングがあってもいいのではないか」として、「限定付適正意見」の除外項目の説明を充実させることを提案した。
横河電機顧問の八木和則氏も「現在、監査人はレッドカードしか持っていない。しかし、レッドカードを出して仮に間違っていると大変な訴訟リスクを負う。レッドカード以外にサッカーにおけるイエローカードのような、何か警鐘を与えるようなものを検討する必要がある」と話した。
●金商法193条の3
その他の検討項目としては、不正が疑われる場合に監査法人、公認会計士が対象会社に通知する金融商品取引法の193条の3「法令違反等事実発見への対応」が挙がった。日本経済団体連合会の経済基盤本部 副本部長 井上隆氏は、「オリンパス事案は経営層の故意によって起きた悪質で、特殊な事案と思っている。これが全ての企業に起きると一般化して議論すると逆に弊害がある」と述べた上で、「オリンパスの第三者委員会調査報告書を読むと、あずさ監査法人は不正の兆候が分かっていたのではないかと読み取れる」として、なぜ「金融商品取引法193条の3を結果的に生かせなかったのか」と疑問を呈した。
オリンパス事件についての第三者調査委員会報告書では、あずさ監査法人について「無限定適正意見に先だって監査役会に業務監査権限の発動を促したり、金融商品取引法第193条の3の発動を仄(ほの)めかしたりして、適切な経営判断かにつき問題提起をしている」と記述している(報告書のP170)。
また、日本監査役協会専務理事の宮本照雄氏は、「オリンパス事件では金融商品取引法第193条の3の考えで、監査役や監査役会に(監査法人から)話があったのか、なかったのかといわれている。私は協会として日本公認会計士協会などと話をする中で、(監査役・監査役会と監査法人の)どちらに責任があったのかという後ろ向きの議論をしても意味がないと思っている」と発言。さらに「これまでの反省に立って公認会計士という専門的な知識を持つ方と、一定のガバナンスを健全に導いていく監査役や監査役会という機関がいかに実質的に連携をして、ガバナンス体制を良くしていくか、この方向性で日本公認会計士協会などと話をしている」と述べた。
原子力政策大綱、作業一時中断…原案配布問題で
読売新聞 5月29日(火)21時11分配信
内閣府原子力委員会(近藤駿介委員長)の小委員会が電力会社など原発推進側だけを集めた勉強会を開いて公表前の報告書原案を配布していた問題で、原子力委は29日、夏までに見直しする予定の新しい原子力政策(原子力政策大綱)の検討作業を一時中断することを決めた。
委員から勉強会について疑念を示す声が相次ぎ、大綱の議論の前に事実関係の詳細な公表や資料の取り扱いについて見直しを求める意見が出たことを受けた。
この日開かれた新大綱策定会議では、複数の委員から「(原発推進側の)電力会社など当事者が委員にいるのはおかしい」との指摘が出た。このため、近藤委員長は、推進側の関係者を委員から外すかどうかを含めて、次回6月5日に同会議の運営の見直し案を示すことも明らかにした。
同会議は、原子力委員5人のほか23人の有識者で構成。電力会社で作る団体や原子力の研究機関などのメンバーが参加している。
情報漏えいのコストはおいくら? シマンテックが調査
@IT 5月28日(月)21時55分配信
日本における情報漏えいの主な原因は「従業員の不注意」であり、漏えい/盗難の1件当たりのコストは1万1011円に上る――シマンテックとPonemon Instituteは5月28日、日本を本拠とする企業の情報漏えい事件のコストに関する調査結果をまとめた「2011 年情報漏えいのコストに関する調査:日本版」を公表した。
この調査は、日本の9業種、15社に対するインタビューを通して、情報漏えい事件への対応に伴う経費やビジネスコスト、顧客の信頼や信用喪失が経済的に与える影響を分析したものだ。
調査によると、情報漏えいが発生した場合に企業が負うコストは、平均で2億71万9847円に上る。これには、情報漏えいの検出/エスカレーション(原因究明)と顧客への通知、事後対応、ならびに顧客離れに伴う事業面での損失が含まれる。中でも事業損失の額は最も多く、平均で7505万7636円に上った。また、情報漏えい発生後の顧客離れ率は平均して3.5%という。
一方で、「通知」に要するコストは最も少なく、737万8401円。しかも、情報漏えいが発生してから30日以内に被害者への通知を行う場合、1件当たり3999円のコストを削減できる可能性があるという。また、企業が情報セキュリティに関する責任者(CISO)を置いている場合も、1件当たり2185円のコストを軽減できる可能性があり、財務面から見て有効な対策といえる。
情報漏えいの原因は、従業員の不注意(40%)、悪質な内部関係者/内部の犯罪者による攻撃(33%)、システム/ビジネスプロセス上の問題(27%)だった。
シマンテックはこの調査結果を踏まえ、機密情報の分類によるリスク評価や情報保護のためのポリシー/手順に関する従業員教育といった対策を推奨。同時に、エンドポイントからマルウェアを排除するセキュリティ製品群や情報漏えい防止技術、暗号化、二要素認証といった技術の導入も推奨している。
フェイスブックがスマホ市場に再参入? 元Appleエンジニアを一本釣り
Computerworld 5月28日(月)16時50分配信
New York Timesは5月27日、米国Facebookがスマートフォン開発の取り組みを強化すべく、モバイル・デバイス開発に携わった経験を持つエンジニアを積極的に採用していると報じた。
New York Timesの記事によると、Facebookはスマートフォン開発の取り組みをひそかに進めており、パブリック・サイトには求人広告を掲載していないという。この記事では、Facebook社内の匿名の情報筋の話が引用されている。
記事によると、Facebookは、来年までにスマートフォンをリリースしたいと考えており、Appleで「iPhone」や「iPad」を担当したエンジニアを採用しているとされる。
Facebookがスマートフォン開発に取り組むのは、今回が初めてではない。同社は数年前にスマートフォン開発に着手し、このときはTechCrunchが最初に報じたが、New York Timesの記事によると、この取り組みは、独自のスマートフォン開発に必要なノウハウがFacebookにはないことが判明したために頓挫したという。
その後、Facebookは台湾メーカーのHTCと組み、「Buffy」というコード名のプロジェクトを進めていると、New York Timesは報じている。現在行われている人材採用により、このプロジェクトが拡大されるという。Buffyプロジェクトについては、All Things Dが2011年に初めて報じている。
Facebookは、上場企業として収益向上策を推進している。5月18日に行われた同社のIPO(新規株式公開)は、Nasdaqの技術的トラブルと、引受主幹事会社による財務情報開示ルール違反の疑惑で台なしとなり、Facebookの今後の業績と、同社が巨大なユーザー基盤をいかに収益に結びつけるかに注目が集まっている。
Facebookは5月24日、モバイル写真アプリ「Camera」をリリースしたが、これはモバイル・エクスペリエンスの向上策の一環だ。同社は4月9日、モバイル・デバイス向け写真共有アプリ「Instagram」を約10億ドルで買収すると発表しているが、Cameraでは、Instagramの技術は使用されていないという。
モバイル分野では、米国Googleによる米国Motorola Mobilityの買収完了という大きなニュースが5月22日に発表されたばかり。Googleはこの買収により、モバイルOS「Android」開発で密接に協力できるハードウェア製造部門を擁することになった。またGoogleは、Motorolaの膨大な特許ポートフォリオも手中に収めた。Motorola Mobilityは、同社が保有する特許と出願中の特許は2万4,000件以上だとしている。
(Marc Ferranti/IDG News Serviceニューヨーク支局)