セキュリティ企業の英ソフォスなどは2009年10月12日、新たなタイプの悪質メールを確認したとして注意を呼びかけた。SSL証明書（サーバー証明書）の更新プログラムに見せかけて、ウイルス（悪質なプログラム）をダウンロードおよびインストールさせようとするものだ。

　今回確認されたメールは英語で記述されている。Webサービス提供企業をかたり、「2009年10月16日にサーバーをアップグレードするので、サーバーを30分ほど停止する」といった内容が書かれている。

　加えて今回のアップグレードに伴い、ユーザーのパソコンにインストールされている、そのサーバー用の証明書も更新する必要があるとして、更新用プログラムを提供するサイトのURLを記載している。

　ところが、記載されているのはウイルス配布サイトのURLである。そのURLにアクセスすると、更新用プログラムに見せかけたウイルスがダウンロードされる。ファイル名は「patch.exe」。インストールするとパソコンを乗っ取られるとともに、セキュリティ対策ソフトなどが無効にされるということだ。

　セキュリティ組織の米サンズ・インスティチュートでは、今回の悪質メールの文面は、証明書の更新を促すために送られる正規のメールと体裁がよく似ているので、だまされる危険性が高いとして警告している。

みなさん、ご注意下さい。

KDDIは、シャープ製の「W62SH」「E05SH」の2機種に不具合があるとして、ソフトウェア更新サービス「ケータイアップデート」の提供を開始した。

　2008年夏モデルの「W62SH」で発生する不具合は、SSL対応サイトで、大きなファイルサイズのデータをアップロードする際、ときどき接続が切断されるというもの。事象が発生してもデータが壊れたり、消えたりすることはない。更新所要時間は最大35分程度とのことである。

　また法人向けモデルの「E05SH」では、音声通話時、相手側で音声が聞き取りづらいことがある。更新所要時間は最大60分程度とのことである。

　どちらも更新中は他の機能が利用できない。また、ケータイアップデートでは予約できるようになっており、KDDIでは深夜などユーザーの都合のよい時間帯に予約するよう案内している。

情報処理推進機構（IPA）は9月8日、脆弱性が存在する古いバージョンのOpenSSLを使い続けているWebサイトが多数に上るとして、早期の更新を求める注意喚起を行った。
　IPAによると、OpenSSLはオープンソースのSSL／TLS実装ツールキットで、まだかなりの数のサイトが2005年10月に見つかったバージョンロールバックの脆弱性を抱えたままだという。

　古いバージョンのOpenSSLには、これ以外にもサービス妨害（DoS）につながる脆弱性や、署名が不適切に扱われてしまう脆弱性などが見つかっている。OpenSSLプロジェクトは2009年3月25日にリリースしたバージョン0.9.8kでこれらの問題を解消済みである。

　IPAはOpenSSLを利用するすべてのユーザーに最新版の利用を求めている。
自社のサイトのOpenSSLのバージョンを確認し、古いバージョンを利用しているならば最新版に更新すべきである。

ベリサイン社では2010年に開始する新サービスは、ノンSSLサイトを対象に、そのWebサイトが安全だという証しとして「ベリサインのシール」(VeriSign Certified)を提供するというものだ。

ベリサイン社にはノンSSLサイトでも安全を示すシールを張りたい」という要望が以前から多くあった。そこで「SSL証明書導入の証し」の代わりに、「VeriSignが安全性を評価して、それをパスした証し」として「VeriSign Certified」シールを提供するのだという。

　安全性評価としては、まず「Webサイトでのサービスがどういったものなのか」、それに応じて「どういったことが重要なのか」を調査するほか、最低限、「企業のドメインが適切なものか」「Webサイト上にマルウェアが潜んでいないか」をチェックする。これが第一フェーズで、将来的には、パートナーなどと連携して、ネットワーク・アプリケーションの脆弱性スキャンやWebサイトのプライバシーポリシーもチェックする予定らしい。

　VeriSign Securedシールと同様に偽造防止の仕組みを採用。マルウェアのチェックは1日1回行う予定で、問題が検出されれば、ベリサイン社側で即座にシールを非表示にする仕組みも用意するということだ。

非常にノンSSLユーザーのニーズにあった新サービスで、詳細な仕様、価格などがわかり次第続報を伝えたい。