サイバー犯罪急増「２００６年警察白書」

警察白書がネット関連を特集したのは９８年版「ハイテク犯罪」に次いで２回目だというが、名称が「ハイテク犯罪」から「サイバー犯罪」に変更になっているのが印象的だ。

概要は以下の通り。
１）３大サイバー犯罪は、ネットオークション詐欺、児童ポルノ、不正アクセス禁止法違反。
２）昨年１年間に摘発されたサイバー犯罪は３１６１件に上り、４年間で倍以上になった。
３）交通や医療、水道など社会資本の基幹システムに機能障害を起こすサイバーテロが起きる危険性もある。

ネット社会は確実に拡大している。テレビを見る時間よりネットを使う時間のほうが長くなり、生活の中に確実に定着している。自分にとってもサイバー犯罪は現実的な懸念材料の一つになった。

米国国防省へのサイバーテロのニュースも聞こえるこの頃であるが、何とか安全で安心できるネット社会になってほしいと祈るばかりである。

＜参考＞
（１）朝日．ｃｏｍニュース０６年７月２１日付記事「ネット社会に警鐘、サイバー犯罪急増　警察白書」＞http://www.asahi.com/digital/internet/TKY200607210371.html
（２）警察庁の警察白書ＨＰ＞http://www.npa.go.jp/hakusyo/index.htm

個人情報漏えい事件が増えた訳

参考（１）では、昨年（2005年）４月に個人情報保護法が全面施行されてから個人情報の漏えい事件が増えている理由を次の様に述べていた。

１．世間の関心が高まったことで従来表ざたにならなかった事故も報道されるようになった

２．多くの人に次のことを認識させてしまった。
　（１）闇の世界で個人情報が売買できる
　（２）個人情報を使って企業を脅迫できる
　（３）個人情報を漏洩させることにより企業を困らせることができる

上記２．の場合で、（１）と（３）は確かにあるであろうが、（２）のケースは、今まで脅迫して成功した例は無いのだから当らないと思う。ただ、脅迫できると勘違いした人が何人かいたことは事実である。

＜参考＞
（１）日経ネット・ニュース06年7月10日付記事「保護法施行で個人情報流出が増えた理由――外注管理の徹底を【コラム】」＞http://it.nikkei.co.jp/business/news/index.aspx?n=MMIT03000010072006&cp=1

米大手１２社、プライバシー関連フォーラム設立

米マイクロソフトや米グーグルなど１２社が、オンライン・セキュリティおよびプライバシーの保護を推進するフォーラム「Consumer Privacy Legislative Forum(CPL Forum)」を設立した。

＜参考（１）＞の記事を読む限り同フォーラムの目的は、日本で２００５年４月に施行された個人情報保護法のようなものを米国でも作るよう議会に働きかけることであるらしい。日本のそれは、基本になる法律の下に各省庁毎や業界毎にガイドラインが制定され簡単な法体系では無い。米国では基本法がなく、業界毎に州法が制定されているようで、大変複雑のようである。

個人情報保護の効果の観点からも、こうした複雑な法体系は問題があると思われ、今回の動きは必然のような気がする。

参加１２社は次の通り。
『参加企業はMicrosoft社とIntel社のほか，米Google，米Hewlett-Packard（HP），米Sun Microsystems，米Symantec，米Oracle， 米eBay，米Eastman Kodak，米Eli Lilly and Company，米Hewitt and Associates，米Procter ＆ Gamble。』＜参考（１）＞

＜参考＞
（１）日経ｂｐニュース06年6月22日付記事「米Microsoftなど大手12社、プライバシ保護推進する団体設立」＞http://www.nikkeibp.co.jp/news/it06q3/506764/
（２）日経ＩＴＰｒｏＳｅｃｕｒｉｔｙニュース06年6月22日付記事「米Microsoftなど大手12社，プライバシ保護法制定を推進する団体設立」＞http://itpro.nikkeibp.co.jp/article/USNEWS/20060621/241483/
（３）米メディア（TechWeb)の当ニュース関連記事＞http://www.techweb.com/wire/security/189500946

偽セキュリティ・ソフトの騙しに用心

日経BPのセキュリティ関連ニュースを見て、改めてネット社会での無料ソフト利用の恐ろしさを感じた。
悪意のセキュリティ・ソフトは次のようなメッセージを送り、ユーザーを騙そうとするようである。

＜偽セキュリティ・ソフトが表示すると言われる文章＞
（１）「あなたのパソコンはスパイウエアに感染しています」
（２）「駆除したければ，リンク先のセキュリティ・ソフトをダウンロードしてインストールしてください」
（３）「スパイウエアに感染しているかどうか無料で調べられます」

ネット・サーフィング中に万が一上記のようなネッセージに出会ったとしても無視し、そのサイトから即刻退場するように心掛けよう。
そもそも、セキュリティ・ソフトは正規の信頼できる会社のものを使うようにしよう。

＜参考＞
（１）日経BP　ITProニュース06年6月21日付記事「「“偽セキュリティ・ソフト”に日本語版，国内ユーザーを標的に」，ウェブルート」＞http://itpro.nikkeibp.co.jp/article/NEWS/20060620/241334/

実害発生が増える情報セキュリティ問題

コンピューターの不正アクセスによって、電子マネー・サービス「ネットキャッシュ」で327万円の実害発生が確認されたと言う。

このサービスの提供者はＮＴＴカードソリューションで、「ネットキャッシュ」サービスは2002年3月から開始されていた。英数字16桁のＩＤを利用してプリペード式のカード決済サービスだというが、6月9日の顧客からの通知で事件が発覚した。

盗まれた可能性があるＩＤの数は8万個で、販売前が5万個、販売済みが3万個だという。販売済みの3万個を買った人に被害が発生している可能性が高い。気がつかない人はそのまま損をすることになる。気がついた人はＮＴＴカードソリューションに苦情を申し込めばＩＤを交換してくれる可能性がある。

ウェブサーバーへの不正アクセスを防止できなかったＮＴＴカードソリューションの責任が大きい。

＜経過＞
2006年6月9日（金）：利用者からの利用不可の連絡
2006年6月13日（火）：ＮＴＴカードがアクセスログの解析を行い外部からの不正アクセスがあったことを確認
2006年6月16日（金）：更にログの詳細確認を行った結果、「ネットキャッシュ」ＩＤが不正にダウンロードされたことを特定
2006年6月20日（火）：ホームページにお知らせニュース掲載

＜参考＞
（１）日経ＢＰのＩＴＰｒｏニュース06年6月20日付記事「NTTカードが電子マネーIDを8万個流出、不正利用の被害も」＞http://itpro.nikkeibp.co.jp/article/NEWS/20060620/241349/
（２）ＮＴＴカードソリューションの06年6月20日付お知らせニュース「不正アクセスによる「ネットキャッシュ」ＩＤの流出に関するお詫びについて」＞http://www.ntt-card.co.jp/news/details/39.html
（３）「ネットキャッシュ」ホームページ＞http://net-cash.jp/

ＫＤＤＩの個人情報流出事件

ＫＤＤＩのインターネット接続サービス「ＤＩＯＮ」のユーザー約４００万人分の顧客情報（氏名、住所、連絡先電話番号等）が流出し、恐喝未遂容疑で２名の逮捕者が出たという。

ネットサービスの個人情報流出事件としては、2004年2月に発生した「Yahoo！BB」の451万人に次ぐ規模で、昨年2005年4月の個人情報保護法全面施工後最大規模の流出事件である。

事件の発端は5月30日のようだが、流出した個人データは2003年12月18日時点のもので、流出はその時期に発生したようだ。ＫＤＤＩ自身はそれなりの安全管理対策を実施していたようだが、アクセスログの保管が1年であったために調査は困難なようである。

逮捕者がいるため情報の流出経緯はいずれ明らかになるであろうが、いずれにしても残念なことである。

＜参考＞
（１）ＩＴＭｅｄｉａニュース06年6月13日付記事「ニュース「DION」400万人分のユーザー情報流出　KDDI小野寺社長が謝罪」＞http://www.itmedia.co.jp/news/articles/0606/13/news065.html
（２）ＫＤＤＩの06年6月13日付発表「お客様情報の流出に関するお知らせ」＞http://www.kddi.com/corporate/news_release/2006/0613/index.html
（３）当ブログの06年6月15日付記事「2005年の個人情報漏えい事件の数」＞http://blog.goo.ne.jp/tak77san/e/75c732eee014a75f7610949946df39b2

2005年の個人情報漏えい事件の数

「2005年度個人情報漏えいインシデント調査結果（速報）」が、2006年6月1日にＮＰＯ日本ネットワークセキュリティ協会から発表された。

2005年1月1日から2005年12月31日までの間に発生した個人情報の漏えい事件・事故の内、新聞等に公表された数字を集計している。今年で4回目の調査分析だという。

その集計結果によると、事件・事故の公表件数が2004年度比２．８倍になっているが、被害者の総数が約120万人減少している。

公表件数増は今まで公表されなかった部分が公表されるようになった効果である。
漏えいデータ件数減は法律の効果が出ているようにも思えるが、依然として年間約880万人分の個人情報が漏えいしているのは問題である。

インターネット・オークション等のネット犯罪が増加しており、そうした事件の元になる個人情報の漏えい事件・事故は是非減らしてほしい。

＜参考＞
ＮＴＯ日本ネットワークセキュリティ協会＝http://www.jnsa.org/

個人情報管理のプロジェクト・ヒギンスとは何か

個人情報管理ソフトウェアを開発するためのオープンソース・プロジェクト、「Ｐｒｏｊｅｃｔ　Ｈｉｇｇｉｎｓ」が推進されているという。どの様なプロジェクトであろうか。

Ｐｒｏｊｅｃｔ　Ｈｉｇｇｉｎｓは、個人情報に関してハーバード大学法科大学院バークマン・センターが開発した概念を基に、個人情報管理において本人のコントロール権限を強化するソフトウェアを開発するという。
プロジェクトの運営は、オープン・ソース団体であるＥｃｌｉｐｓｅ　Ｆｏｕｎｄａｔｉｏｎ。

この分野では、マイクロソフト（ＭＳ）の「ＩｎｆｏＣａｒｄ」や、ベリサインの「ＶｅｒｉＳｉｇｎ　Ｉｄｅｎｔｉｔｙ　Ｐｒｏｔｅｃｔｉｏｎ（ＶＩＰ）」などの新しい技術が次々に登場している。Ｐｒｏｊｅｃｔ　Ｈｉｇｇｉｎｓはオープンソースという開発手法をとっていることでも注目されており、ＭＳのＩｎｆｏＣａｒｄと対比される。

なお、ＩｎｆｏＣａｒｄはＭＳの次期ＯＳ「Windows　Ｖｉｓｔａ］や「ＩＥ　７．０」などの製品で採用される予定だという。

＜参考＞
（１）エンタープライズ・ウォッチ06年3月20日付記事「個人情報管理に初のオープンソースフレームワーク 「Project Higgins」開始 」＞http://enterprise.watch.impress.co.jp/cda/infostand/2006/03/20/7442.html
（２）ｊａｐａｎ．ｉｎｔｅｒｎｅｔ．ｃｏｍ06年3月2日付記事「ID 管理「Project Higgins」に IBM などがソースコードを寄贈」＞http://japan.internet.com/wmnews/20060302/2.html
（３）ＣＮＥＴ　Ｊａｐａｎ05年5月20日付記事「マイクロソフト、「InfoCard」を発表へ--デジタルID分野で再挑戦」＞http://japan.cnet.com/news/sec/story/0,2000056024,20083711,00.htm

ネットオークションの「次点落札詐欺」とは何か

インターネット・オークションの世界に「次点落札詐欺」なるものが急増していると言う。「次点落札詐欺」とはどういうことであろうか。

＜参考（１）＞によると、新潟県警からの情報として『今年4月末までの被害件数は18件で、昨年1年間の41件の半数近くに上った。インターネット・オークションを利用した詐欺被害全体に占める割合も、昨年の12％から32％と急増』しているという。

問題の「次点落札詐欺」とは、同記事によると

『出品者になりすまし、「落札者が事情で商品を購入できなくなった。代わりに、入札した金額でよいので取引したい」などとするメールを送り、現金をだまし取る手口。』

被害に遭わないための方策として、次の２点が紹介されていた。
（１）落札者の繰上げがあった場合は正規のオークション画面で確認すること。
（２）オークションのＩＤとメールのアカウントが同じ参加者を狙ってメールが送られるケースが目立つそうで、オークションＩＤとメール・アカウントは別にすること。

＜参考＞
（１）ＭＳＮ毎日新聞ニュース06年6月9日付記事「ネット詐欺「落札者がキャンセル…」偽メールに注意」＞http://www.mainichi-msn.co.jp/keizai/it/coverstory/news/20060609org00m300138000c.html

日本でもネット犯罪本格化？

2006年5月30日付のMSN毎日新聞ニュースに日本でのITセキュリティに関する記事が4本まとめて掲載されていた。

米国に比べて日本ではネット犯罪実行者の数はまだ少ないと思うのだが、こうした記事を読むとそうも言っていられないような気持ちになってくる。

特に＜参考（２）＞の事件は、インターネット・オークションに偽装出品し、落札者などから料金を騙し取る手口だが、日本各地に犯行メンバーを配置するという組織化が行われているという点で、ネット犯罪が進化していることを伺わせる。

こうした犯罪が増えることは残念なことだが、ネット社会の住民一人一人が気をつけると共に、警察の取り締まりも強化してもらいたいものである。

＜参考＞
MSN毎日ニュース06年5月30日付記事4件
（１）「フィッシング行為　名古屋の中3男子書類送検　警視庁
」＞http://www.mainichi-msn.co.jp/keizai/it/computing/news/20060530org00m300102000c.html
（２）「フィッシング詐欺　東京の組織メンバー逮捕　ネットで騙す」＞http://www.mainichi-msn.co.jp/keizai/it/computing/news/20060530org00m300101000c.html
（３）「ネット詐欺　群馬県警が情報流出防止へ手口実演し講義」＞http://www.mainichi-msn.co.jp/keizai/it/solution/news/20060530org00m300105000c.html
（４）「個人情報流出　オンラインゲーム利用の6万人分」＞http://www.mainichi-msn.co.jp/keizai/it/solution/news/20060530org00m300103000c.html

流出個人情報の悪用事例

「弊社元販売代理店社員による詐欺事件に伴うお客様情報の流出に関するお詫びとお知らせ」がNTT東日本ホームページの報道発表資料に掲載されている。

不正入手した個人情報を悪用してNTT東日本から販売手数料を詐取したと言う。

もしこのことが判明しなかった場合、漏洩した個人情報の本人に対してある日、突然にNTTからサービス利用の請求がされるのであろうか。

オプションがたくさんサービスの場合、気を付けていないと購入した覚えのないオプション・サービスの料金が払わされている可能性があるので気を付けたいものである。

＜参考＞
（１）NTT東日本平成１８年４月１２日発表の報道発表資料＞http://www.ntt-east.co.jp/tokyo/release/2006/060412a.html

ウィニーの次はシャレ

参考資料（１）によると、個人情報保護法全面施行された2005年4月1日から2006年3月31日までの間に、ウィニーによる情報流出が新聞で報じられたのは全体で106件だったという。

しかし、参考資料（２）によると最近2年間でウィニーの暴露ウィルスによって情報が流出した被害は10万件を超えている可能性があるという。そうすると、新聞報道されたウィニー情報流出事件は氷山の一角であったことになる。

こうしたウィニー・ウィルスの脅威に加えて新たな脅威が浮上して来た。

ウイルス対策ソフト会社「トレンドマイクロ」（本社・東京都）が４月24日にＳｈａｒｅ暴露ウイルスの存在を公表し、「ウィニーを使っていなければ大丈夫というのは間違い」と呼び掛けている。Ｓｈａｒｅとは関係者の間では「シャレ」と呼ばれているらしい。

＜参考＞
（１）ＭＳＮ毎日新聞ニュース06年5月1日付記事「ウィニー：情報流出のHP公表　民間8割、官は2割」＞http://www.mainichi-msn.co.jp/keizai/it/coverstory/news/20060501org00m300102000c.html
（２）ＭＳＮ毎日新聞06年5月8日付記事「情報流出：「Share」で暴露ウイルス猛威、被害1000件超す」＞http://www.mainichi-msn.co.jp/keizai/it/coverstory/news/20060508org00m300121000c.html

米国金融機関のユーザー認証方式

RSAの発行しているセキュリティ・ニュース・メールに面白い記事が出ていたので、ここにメモする。

インターネット・バンキングを利用するときのユーザーの認証方式に関する米国の公的機関から金融機関に対するガイドである。

ユーザーID＋パスワードのみによるユーザー認証方式を退け、複数要素による認証方式の導入を2006年12月31日までに導入することを推奨しており、主要な金融機関はすでにガイドラインの遵守に向けて動き出しているという。

日本ではどうなのであろうか。

＜参考１の概要＞
１）2005年10月12日、アメリカ合衆国の連邦金融機関調査評議会 (Federal Financial Institutions Examination Council - FFIEC) は合同ガイダンスとして「インターネット・バンキング環境における認証」 を発表しました。

２）FFIECは「単一要素による認証を唯一のコントロール・メカニズムとすることは、オンライン・バンキングにとって不適切だ」と述べています。つまり、旧来のIDとパスワードによる認証やクッキーなどによるパッシブ認証だけでは、利用者の資産を保護することは難しいということです。

３）米国では、FFIEC以外にもNIST(National Institute of Standards and Technology- 米国標準技術局)が認証に対するガイドラインを策定しています。いずれの定義においても、多要素認証の必要性に大きな違いはありません。

＜参考＞
（１）RSAセキュリティ・ニュースVol.103（2006/3/16の「セキュリティトピック」記事（1）オンライン・サービスにおける顧客認証強化～ FFIECのガイダンス考察 ～ （連載 その1）

北海道武蔵女子短大の個人情報漏えい事件

北海道武蔵女子短大の個人情報漏えい事件もＷｉｎｎｙウィルスのためであった。
こうした事件が発生したときの当事者の対応には差異がある。今回の北海道武蔵女子短大の対応は妥当なものなのではないだろうか。勿論、漏洩を起こさないことが当たり前なのだが、こうした事件はゼロにすることは困難であると言われている。

となると事件が発生したときの当事者の対応の仕方によって、社会の評価に大きな差が出てしまう。こうした観点で、今回のケースを妥当と感じた原因はどのあたりにあるのか考えてみた。

一つは、事件が発覚したのは２００６年４月３日夕方であったというが、同大学がこのことをＨＰ上で発表したのは４月５日であった。わずか１日の確認・調査期間で発表されたのは早すぎるのではないかと思ってしまうほどである。

第二は、同大学の対応を小刻みに公表していることであろうか。５日に最初の発表があってから、６日に４回の発表がされている。１日置いて８日にも発表されており、当事者のこの問題に対する取り組み姿勢が伝わって来る。

第三は、第２次被害に対する損害賠償を行うとした発表であろう。細かい条件は示さずに、損害賠償に応ずるという基本的な考え方を提示しており、被害者に安心感を与えるものでなないだろうか。

＜参考＞
（１）ＭＳＮ毎日新聞ネットニュース０６年４月４日付記事「情報流出：北海道武蔵女子短大、合否情報が流出　ウィニーで1000人分」＞http://www.mainichi-msn.co.jp/keizai/it/computing/news/20060404org00m300077000c.html
（２）ＭＳＮ毎日新聞ネットニュース０６年４月７日付記事「ウィニー：北海道武蔵女子短大、個人情報流出1072人分」＞http://www.mainichi-msn.co.jp/keizai/it/network/news/20060407org00m300113000c.html
（３）北海道武蔵女子短大ＨＰ＞http://www.musashi-jc.ac.jp/

個人信用情報の盗難防止サービス

米国の一部の州では、個人信用情報の盗難を防止したり、盗難被害の拡大を防止するサービスが提供され始めている。

日米間の法律体系や、クレジットカード情報の悪用犯罪状況の差異もあり、サービスの有効性がどの程度かはわからないが、個人情報犯罪先進国の対策事例として頭のすみに置いておいても良いのではないだろうか。

参考記事の要約は次のとおり。

１）TrustedIDという新興会社は０６年３月１３日、犯罪者たちによる消費者の個人情報窃盗を防ぐサービス『IDfreeze』を発表。
２）同サービスを使うと、消費者が自分に関する信用報告書や信用情報へのアクセスを、自ら管理できる。
３）IDfreeze サービスの特徴は、ID 盗難被害を消費者が事前に防止できること（事後に信用情報を監視するサービスは既存）。
４）IDfreeze は、「Lender DoubleCheck」および「CreditLock」という、2つのサービスからなる。
５）「Lender DoubleCheck」 サービスは、クレジットカード支払い決済時に名義人本人に再確認するよう，クレジットカード会社に求めるもの。
６）「CreditLock」サービスは、米国の3大信用情報会社 (Equifax、Experian、TransUnion) にあるユーザーの信用情報を、ユーザー本人の許可無しにはそれら情報をチェックしたり、クレジットカードを使えないようにするもの。
７）「CreditLock」サービスは現在、信用情報の「凍結」を法律で認めている12州でのみ利用できる。
８）CreditLock のようなサービスを米国全土で利用可能にする新たな連邦法が、年内に制定される見通しだという。

＜参考＞
Japan Internet comニュース０６年３月１５日付記事「ID 窃盗被害予防の特効薬は、信用情報の「凍結」」＞http://japan.internet.com/ecnews/20060315/12.html