米国連邦取引委員会、カリフォルニア州司法長官はスパム犯の活動を恒久的に阻止

　Last Updated: Febuary 21,2022

　去る4月12日付で経済産業省は、電話勧誘販売業者に対し、特定商取引法違反を理由として、4か月間の業務の一部停止を命じた。この行政処分についての詳しい内容は、同省のサイト（過去の新着情報）で確認されたいが、その違法性の内容は、①不実告知、②再勧誘、③迷惑勧誘、④重要事項の不告知、⑤氏名等の不明示である。これで４か月の一部業務停止とはいかがかと考えるが、いずれにしてもわが国のスパム（「迷惑メール」と訳されている）規制は「特定商取引に関する法律」(昭和51年6月4日法律第57号）（経済産業省所管）および「特定電子メールの送信の適正化等に関する法律」(平成14年4月17日法律第26号)（総務省所管）の2法によって行われている。（筆者注1）

　一方、米国のスパム規制の現状は、4月6日に連邦取引委員会（FTC）とカリフォルニア州司法長官（Attorney General）は 連邦法および州法に違反して数百万件のスパムメールを送った企業4社（Optin Global, Inc., Vision Media Limited Corp., Qing Kuang “Rick” Yang, and Peonie Pui Ting Chen)に対し最終判決及び恒久差止命令（STIPULATION FOR ENTRY OF　FINAL JUDGMENT AND　PERMANENT INJUNCTION ）を下した。

　また、今回の裁定(筆者注2)は、政府機関が一定の簿記内容や記録管理の法令遵守状況のモニタリングを認める内容となっている。

　一方、カリフォルニア北部地区連邦地裁はFTCと司法長官の要請に応じて今後のスパム行為の停止と被告の資産の凍結を命じるとともに、240万ドル（約2億8千万円）の支払命令を下した（実際は、現金38万5千ドルと不動産の売却資金9万ドルの支払いで一時的に支払いは中断延期される。ただし、裁判所は仮に被告の財務状態に虚偽があれば直ちに240万ドルの支払いを強制することになる）。

　スパムメールの内容は、住宅ローン、その他の製品やサービスであり、同社は180万通のスパムメールを発信していたもので、連邦取締法である「CAN-SPAM Act」に関し以下の通りの違反行為があった旨FTCは説明している。
①虚偽または偽造のヘッダー情報
②サブジェクトのヘッディング内容がいい加減
③一見して広告や勧誘(solicitations)と判断できないメール内容
④さらに多くの広告メールを受信しないための「オプト・アウト」権の告知を行っていない（オプト・アウトの仕組みそのものを提供していない）。
⑤有効な住所表示を行っていない。

********************************************************************:

(筆者注1）監督機関のWatchdogとしての姿勢にも差が見られる。例えば、経済産業省は「消費者政策」のサイトで消費者への警告を積極的に出すとともに、「処分状況」についても一覧できとなっている。また処分件数の急増の推移（平成17年度の 業務停止命令の件数は80件と13年度の4倍に増加）や事業社名の公表を行うなど、ある意味では欧米式の活動を行っている。
http://www.meti.go.jp/policy/consumer/index.html　　なお、このデータはMETIｻｲﾄ手では閲覧できない。国立国会図書館サイトでも見ることができない。
　一方、総務省は平成14年から同17年9月の間の処分件数は4件で、いずれも「表示義務違反」ということで、罰金刑の例はない。また、同省のホームページではこれらの問題の相談窓口は外部団体である「(財)日本データ通信協会」にリンクするのみで、統計もないし、同省が独自に対策に汗をかいているようには思えない。

(筆者注2) FTCの命令の基づく裁定は、裁定目的のみのものであり、法律違反に対する被告の事実の承認行為（admission ）をなすものではない。法律に定める裁判所の判決が下され、裁判官による署名行為があって法的拘束力を持つ。

〔参考URL〕
http://www.ftc.gov/opa/2006/04/optin.htm：”FTC, California Attorney General Halt Illegal Spam Operation”

16年前のデータが即閲覧可である。我が国の行政機関と米国この差はいかなる理由か？

********************************************************************

Copyright ＠ 2006 芦田勝(Masaru Ashida).　All rights reserved.No reduction or republication without permission.

米国オンライン・バンキングは相互認証対策が不十分とのセキュリティ専門家の指摘

　Last Updated :Febuary 21，2022

　4月20日に SANS 研究所(sans institute)(筆者注1)のヨハネス・ウーリッヒ(Johannes Ullrich)は、顧客がオンラインバンキングのログイン時に、ブラウザのセキュリティ(HTTPSページの使用の徹底)のもっと関心を持たせるべきであり、そのような銀行の工夫例を紹介している。

Johannes Ullrich氏

　なお、わが国の大手銀行等のインターネット・バンキングのログイン画面を見る限り、HTTPS化されているが、ウェブブラウザで怪しいと感じたときはロックアイコンのクリックを顧客に求めている例も一部あり、後者につきさらに徹底して欲しいものである。

１．オンライン・バンキングで「ログイン」や「サインイン」時に顧客は本当に銀行のセンターに接続されているか否かにつき、疑いをもつであろうか。確かにそれらの入力情報はDNS (筆者注2)において暗号化されるであろうが、ウェブ自体が真正なものであるかの判断は顧客がリスクを負うのである。

　　ハッカーは、HTTPSを使用していない銀行のウェブの接続上の脆弱性を狙って、「DNSなりすまし詐欺(DNS spoofing)」と言う手口を使ってウェブブラウザへの入力情報を偽のウェブサイトにリンクさせるのである（最終的には機微情報の入手によるなりすまし詐欺に悪用する）。この手口は技術的に高度なレベルのハッカーにとっては、phishingよりも容易であるともいえる。

２．ウーリッヒ氏は、米国の銀行がなぜログイン時にSSL認証を利用しないのかを調べるため、多くの銀行のサイトを実際調べた結果、大手銀行ではSSL認証を導入しているが、一方でSSL認証をオプションにしている銀行もある。（筆者注3）

３．オンライン上での顧客情報保護に関して、独自のセキュリティ対策を採っているのが、Bank of America である。同行のホームページでのログイン時にまず「オンラインID」のみ入力する。次画面で「SiteKey」が表示され、顧客はその確認後「Passcode」を入力するのである。(筆者注4)

*******************************************************************************:
(筆者注1) SANS Instituteは、政府や企業・団体間における研究およびそれらに所属する人のITセキュリティ教育を目的として1989年に設立された組織（本部：米国ワシントンDC）。日本の窓口としてSANS Japanがある。

(筆者注2) DNS（ディー・エヌ・エス）とは、Domain Name System（ドメイン・ネーム・システム）の略。“soumu.go.jp.”などのドメイン名をIPアドレスに変換する仕組みのこと。インターネットでは、数字で構成されるIPアドレスのみでも通信することができるが、ドメイン名はIPアドレスとは異なり、“soumu.go.jp”のような文字列で記述できるため、人間にとって扱いやすいことから、DNSという仕組みが作り出された。（総務省「国民の情報セキュリティサイト」の説明より。アニメもあって家族での勉強に最適）。

（筆者注3）筆者が独自に米国の中小銀行のサイトでサンプル調査したが、ウーリッヒ氏が指摘している通り、ログイン画面時「http」で意図的に誤ったパスワードを入力すると「https」に変わる銀行の例（BANK of DUDLEY）がある。

(筆者注4) この具体的説明が、下記のURLのログイン画面下の注書をクリックすると見れる。
http://www.bankofamerica.com/

〔参考URL〕http://www.computerworld.com/securitytopics/security/story/0,10801,110738,00.html?source=NLT_AM&nid=110738

*******************************************************************

Copyright @ 2006 芦田勝(Masaru Ashida ).　All rights reserved.No reduction or republication without permission.