ワコールの個人情報漏えい事故

また個人情報の流出事故が発生した。

流出件数は４７５７人分、2005年7月14日～11月9日の間に株式会社ワコールのインターネット・ショッピング・サイトで買い物をした２４，３２２人の内の約５分の１の人たちである。
サイトの運用はＮＥＣネクサソリューションズ株式会社が受託していた。

流出した情報は①注文番号、②クレジットカード番号、③有効期限、④お客様番号、⑤住所、⑥電話番号の６項目で氏名は漏洩しなかったと報告されている。
問題は、漏洩したクレジットカード番号がインターネット・ゲーム・サイトの利用支払いに使用されたということであるが、幸いにも実害は発生していないという。

漏えい原因は、有名な「SQLインジェクション」と呼ばれるシステムのぜい弱性を利用した不正アクセスであった。このぜい弱性は伝統的なものであり、なぜそのぜい弱性が放置されていたかが問題となるであろう。

ワコールは自社のサイトで事故対応の最新情報を逐次公開すると共に、当該ショッピング・サイトは今回の原因究明に基づく安全確認がされるまで閉鎖されることになった。また、損害賠償に関しては実際の金銭的な被害は確認されていないが、それが発生した場合は誠意をもって対応するとしている。

参考資料：
（１）ワコール株式会社の2005年11月19日付「お客様情報の流出に関するお詫びとご説明」ページ＞http://www.wacoal.co.jp/owabi0511/
（２）MSN毎日新聞2005年11月21日付記事「ワコール：顧客情報4800人分流出　サーバーに不正アクセス」＞http://www.mainichi-msn.co.jp/keizai/it/solution/news/20051121org00m300100000c.html

ヤフーオークションの安全対策強化策

ヤフー・オークションの安全対策にデータマイニング技術を応用したシステム的な不正利用検知手法が利用される予定だという。
ヤフー・オークションではさまざまな不正利用を防止することが、オークション・ビジネス拡大の要件と考えているようだ。

参考資料（１）によると、不正利用監視に１５０人からの監視員を配置していることを見ただけで、力の入れようが見て取れる。今回発表し、この１２月から順次利用を開始する新しい対策もそうした流れの一環であろう。

ヤフー・オークションは１９９９年９月に開始し、先月（０５年１０月）末の会員ID数が約５７０万人、１日当り平均の取扱高が１７億円規模になり、関係する不正は以下の３種類になる。
（１）知的財産権を侵害する出品（偽ブランドやコピー商品/コピー・メディアなど）
（２）不正出品（改造エアガン、児童ポルノなど）
（３）詐欺行為（架空出品、オークション振り込め詐欺など）

その対策として、現在実施中のものは次のようなものだという。
・不正ID登録の防止(メールアドレスの認証、郵送での住所確認、クレジットカードや銀行口座での本人確認)
・ID再登録の制限/ID登録数の制限(同一住所や口座/カードでのID登録数を制限)
・人手によるパトロールの強化(24時間365日の監視体制を延べ150人規模で行なっていたが、年度末までに170人規模に増強予定)
・知的財産権侵害出品への対策(上記対策のほかに、関係省庁/団体との連携、知的財産保護プログラムの実施(約120社・団体が参加))
・ほかのオークション企業((株)ディー・エヌ・エーの“DeNA”、楽天(株))とともに自主ガイドラインを策定・運用を開始(関連記事)
・詐欺対策として、出品された商品の発送や代金の振込みを監視する“エスクローサービス”の実施
・詐欺被害者への補償制度(詐欺被害金額の80％を上限とし、年1回まで)

こうした対策の結果、事故の発生確率は次の通りである。
（A)不正出品削除率(削除件数÷新規出品件数)＝1.7～3.3％(2005年1～6月)
（B)事故発生率(被害件数÷落札個数)＝0.009～0.013％(同時期)

参考資料：
（１）ascii24.comニュース2005年11月14日付記事「ヤフー、Yahoo!オークションの安全対策強化としてデータマイニング技術を応用した不正利用検知モデルを構築」＞http://ascii24.com/news/i/topi/article/2005/11/14/659060-000.html

スパイウエア対策：安全なソフトの認定プログラム

米国では安全なソフトを認定する制度が発足すると言う。まことにうれしいニュースである。日本でも同様の取り組みが行われることを期待したい。

＜うれしいニュース＞

「非営利団体の「トラストe」（本部・米カリフォルニア州）と米ヤフーなどスポンサー企業各社は16日（米国時間）、消費者が安心してダウンロードできるソフトを認定する「トラステッド・ダウンロード・プログラム」を発表した。悪質なスパイウエアやアドウエアを締め出すための取り組みで、来年前半にベータ版を開始する。」

参考資料：
（１）ＭＳＮ毎日新聞2005年11月17日付記事「スパイウエア対策：安全なソフトの認定プログラム」＞http://www.mainichi-msn.co.jp/keizai/it/solution/news/20051117org00m300169000c.html
（２）トラステッド・ダウンロード・プログラム＞http://www.truste.org/trusteddownload.php

スパイウェアの一種キーロガーが急増

参考資料によると、米国ではスパイウェアの一種である「キーロガー」が急増（０５年は６５％増）しているという。銀行などがフィッシング対策を強化したため、新しい手口としてキーロガーが増えていると見られている。フィッシング対策と合わせてキーロガーなどのスパイウェア対策を行う必要性が高まってきた。

キーロガーは、キーボードの動きを記録し、そのデータを犯人に転送するため、インターネットバンキングを利用した場合は口座番号やパスワードなどを知られてしまう可能性がある。

急増ということだが、キーロガーの発見件数の推移は次の通りである。
（１）０２年＝４４４件、０３年＝１２３０件、０４年＝３７５３件、０５年＝６１９１件（推計）
（２）キーロガーを仕掛けられた人の内１６％が金銭被害を被り、平均損失額は３９６８ドルに達するという。

参考資料：
（１）ＭＳＮ毎日新聞2005年11月16日付記事「キーロガー：05年は65％増、フィッシングに代わって台頭」＞http://www.mainichi-msn.co.jp/keizai/it/network/news/20051116org00m300079000c.html

スパイウエア組込手口の事例

参考資料（１）の記事にスパイウエアを組み込む手口の事例を見ることができる。

記事は、米カリフォルニア州ロサンゼルスの連邦地裁が、スパイウエアをばらまいていたインターネット企業3社に対し、業務の一時停止命令を下したというものであるが、無料ソフトなどでネットユーザーを誘い込み、悪意あるコードをダウンロードさせていたという。

事例としては、以下のとおりである。無料コンテンツのダウンロードは信用できるサイトに限定することである。

＜事例Ａ＞
これらの企業のサイトにアクセスすると、パソコン画面に「インストール・ボックス」がポップアップ表示され、無料の音楽ファイルや歌詞、携帯電話向け着信音や待ち受け画面、ブラウザーのぜい弱性に対処するアップグレードソフトやセキュリティーパッチを提供すると呼びかける。ダウンロードすると、スパイウエアがパソコンにインストールされるという。

＜事例Ｂ＞
あるサイトでは、ブログサイト向けにBGMを流すプログラムを無料でダウンロード提供し、悪意あるコードを広めようとしていた。BGMプログラムを組み込んだブログに読者がアクセスすると、パソコン画面にセキュリティー警告が表示され、「システムのアップグレード」を促す。これをクリックするとスパイウエアがダウンロードされるという。

参考資料：MSN毎日新聞2005年11月14日付記事「スパイウエア：米連邦地裁、スパイウエア配布企業に業務一時停止命令」＞http://www.mainichi-msn.co.jp/keizai/it/solution/news/20051114org00m300073000c.html

スパイウエア被害八千代銀も280万円

千葉県千葉市に住む男性平山容疑者（３４）がインターネットバンキングを利用する他人のIDとパスワードを不正に入手して預金をだまし取ったとして、不正アクセス禁止法違反と電子計算機使用詐欺容疑で葛西署に逮捕されたのは05年11月10日であった。

今回新たに、八千代銀行は、同行の法人顧客の口座から280万円が不正に引き出されていたと11月11日に発表し、警視庁に被害を届け出た。参考資料（１）を見る限り、犯人は上記の千葉市の男性なのか、別な犯人がいるのかまだ発表されていない。

インターネットがらみの事件・事故が、愉快犯から金銭目的の犯罪に性格が変わりつつある事例の一つである。

情報セキュリティは交通事故同様、現代人が常識として気を付けるべき事件・事故の範疇に入ってきたことを知るべきである。車の運転を覚えるとき、事故を予防する運転方法を学ぶが、インターネットの利用方法を覚えるときは、同じく情報セキュリティ事件・事故を予防する方法を身に付ける必要がある。

参考資料：
（１）MSN毎日新聞2005年11月11日付記事「スパイウエア感染被害：八千代銀も280万円引き出される」＞http://www.mainichi-msn.co.jp/keizai/it/computing/news/20051111org00m300104000c.html
（２）MSN毎日新聞2005年11月11日付記事「不正送金：スパイウエアで、ネット銀行のパスワード盗み　千葉の男逮捕」＞http://www.mainichi-msn.co.jp/keizai/it/coverstory/news/20051111org00m300087000c.html

ＶＩＳＡ・マスターカードのカード詐欺との戦い

クレジットカード詐欺と戦うため、VISAとマスターカードは共同で次の３つのツールを準備し、関係者に提供を始めたという。

（１） 取引の安全のための基準（Payment Card Industry (PCI) Data Security Standardと呼ばれる）
（２） システムに問題がないかどうかを確かめるためのチェックリスト
（３） 米スキャンアラート（カリフォルニア州ナパ）が提供している無償のセキュリティ査定ツール

Payment Card Industry (PCI) Data Security Standardは、VISAの「Account Information Security (AIS)」プログラムと、マスターカードの「Site Data Protection (SDP)」プログラムの基準を整合化させたものだ。

カード加盟店は取引額の規模に応じて次のような対策が必要とされている。

（Ａ）取引額の少ない加盟店では75のセキュリティおよびプロセス関連の質問に答えるアンケートによる自己査定
（Ｂ）取引額が中規模の加盟店では自己査定とスキャンアラート利用による四半期ごとの脆弱性スキャン
（Ｃ）取引額が多い加盟店では自己査定、四半期ごとの脆弱性スキャンに加えて、業務の現場査察

日本では楽天市場等のカード情報漏えい事件はまだ記憶に新しいが、そこまでのセキュリティ対策は実施されていない。
経済産業省がこれから業界の規制強化の検討を開始する段階である（参考資料＃２）。

参考資料：
（１） ＩＤＧ Global HEADLINEニュース０５年１０月２５日付記事「ＶＩＳＡとマスターカードがセキュリティ基準を統合化」＞http://www.idg.co.jp/ghl/scr/24124.html?iclips
（２）ＭＳＮ毎日新聞０５年１１月１３日付記事「経産省：カードや電子取引の情報管理、関連業者全体を規制」＞http://www.mainichi-msn.co.jp/keizai/wadai/news/20051113k0000m020123000c.html

日本初のスパイウェア犯罪の摘発

参考資料（１）によると、日本で初めてスパイウェア犯罪が摘発されたという。

記事によると、警視庁ハイテク犯罪対策センターは、「スパイウェア」を使って他人のインターネットバンキング用のＩＤとパスワードなどを不正に入手して企業の銀行口座から自分の口座にお金を送金した容疑で千葉市の男（３４）を逮捕したという。

容疑は「不正アクセス禁止法違反」と「電子計算機使用詐欺」などである。

容疑者は、ジャパンネット銀行、みずほ銀行、イーバンク銀行および福岡県の大川信用金庫から１０件、総額約１１４０万円を詐取していたらしい。
千葉銀行と北陸銀行の名前をかたった偽装ＣＤ－ＲＯＭ郵送事件との関連も調べているという。

今後、この種の犯罪は増える可能性が高く、情報セキュリティの防御対策を行う必要がある。

参考資料：
（１）Ｙａｈｏｏニュース時事通信社０５年１１月１０日付記事「スパイウエア初摘発」＞http://headlines.yahoo.co.jp/hl?a=20051110-00000084-jij-soci
（２）マイクロソフトのセキュリティ対策ＨＰ＞http://www.microsoft.com/japan/athome/security/spyware/default.mspx

米国Eコマース詐欺の被害額増

ＩＴｍｅｄｉａニュースによると、米国での電子商取引での詐欺による被害額が対前年比８％増で、日本円で約３０００億円になるという。この傾向はいずれ日本にも現れるものと思われる。

記事の要約は以下の通り。

（１）２００５年、電子商取引詐欺での被害額は前年から８％増え、２８億ドル（約３０００億円）に上った

（２）年間売上500万～2500万ドルの中規模オンライン企業では、売上高に対する被害額の割合は前年の1.5％から1.8％に拡大し、被害件数は注文の1.3％から1.7％に増加した。

（３）売上2500万ドル以上の大規模企業では、被害額が売上高の1.1％から1.2％へとわずかに上昇した。

（４）年間売上500万ドル未満の小規模企業は、詐欺の被害額が売上高の2.1％から1.6％に、被害件数が注文の1.4％から0.9％に減少した。

参考資料：
（１）ITmediaニュース2005年11月11日付記事「Eコマース詐欺の被害額、28億ドルに増加」＞http://www.itmedia.co.jp/enterprise/articles/0511/11/news023.html

銀行を装ったCD－ROM詐欺対策

０５年１１月１１日金融庁から「金融機関を装ったＣＤ－ＲＯＭの配布事例について」という、注意喚起の発表があった。千葉銀行等の名前で送られたＣＤ－ＲＯＭによって実被害が発生したためである。

この発表には、被害に遭わないようにするための対策が具体的に書かれていた。

＜送付元が銀行名のＣＤ－ＲＯＭを受け取った時の対応方法＞

（１）金融機関名が入ったＣＤ－ＲＯＭ等の記録媒体が送られた場合には、これを安易に使用せず、まず金融機関に確認して下さい。

（２）金融機関に確認する場合、ＣＤ－ＲＯＭ等に記載された電話番号は偽の窓口の可能性があるため、金融機関のホームページ等を利用して正しい電話番号を確認して下さい。

（３）ＣＤ－ＲＯＭ等が偽物と判明した場合には、都道府県警察サイバー犯罪相談窓口又は最寄りの警察署に相談して下さい。

（４）不審なＣＤ－ＲＯＭ等を誤って使用した場合には、直ちに金融機関に連絡し、被害防止のための措置を相談して下さい。

参考：
（１） 金融庁０５年１１月１１日（金）発表「金融機関を装ったＣＤ－ＲＯＭの配布事例について」＞http://www.fsa.go.jp/news/newsj/17/ginkou/f-20051111-2.html
（２） 当ブログの記事「銀行はＣＤを送らない」＞http://blog.goo.ne.jp/tak77san/e/e65c02f20739d01980e3156aa4aa2164

個人情報保護法の運用見直し開始

個人情報保護法の全面施行が０５年４月から始まり７ヶ月が経過した。当初からその運用は難しいと言われていた法律であるが、色々なところで法律の解釈や運用に関わるひずみが目立ってきているようだ。
こうした状況を受けて内閣府もこの法律の運用に関する見直しを０５年１１月末から開始することになった。
当局の見直しの観点は以下の２つであるようだ。

＜見直しの観点＞

（１）過剰反応が相次いでいること
　例）医療機関が警察の捜査照会にもけが人の容体を教えない。

（２）悪質業者の電話勧誘が同法の規定ではとめられないこと
　例）個人情報の目的外利用や不正取得の事実がなければ、本人の希望でも個人情報の利用停止を強制できない。

＜見直しの具体的手続き＞

　・首相の諮問機関である国民生活審議会の個人情報保護部会を再開する。
　・国民生活センターから保護法施行後半年の状況を報告する。
　・保護法の解釈・運用にあたっての基本方針、省庁ごとの運用指針の見直しなど改善策を協議する。

参考：
（１）Ｇｏｏニュース０５年１１月５日（土）付読売オンライン記事「個人情報保護法、運用見直しを協議へ…過剰反応に対応」＞http://news.goo.ne.jp/news/yomiuri/shakai/20051105/20051105i101-yol.html（２）Ｇｏｏニュース０５年１１月６日（日）付産経新聞記事「重大事故の被害者情報、軒並み「公表せず」　保護法施行でより慎重に」＞http://news.goo.ne.jp/news/sankei/shakai/20051106/m20051106002.html

銀行はＣＤを送らない

インターネット・バンキング・サービスを利用している人は、銀行からＣＤが送られてきたら気を付けよう。

参照記事によると、千葉銀行の名前で送られてきたＣＤをＰＣに挿入したところ、知らないうちに自分の口座から他者の口座に数百万円の振込みがされてしまったと言う。

銀行はＣＤを送ることはないと言っている。

今後、この種の詐欺が増える可能性が高いと思われる。ＣＤだけでなく、フリー・ソフトウエアの利用に関しても同様のことが言える。

インターネット・ユーザーは本当に情報セキュリティに注意する必要がある。

参照：NIKKEI_NET０５年１１月２日（水）付記事「知らぬ間に預金移動、偽装ＣＤ使いだまし取り」＞http://it.nikkei.co.jp/security/news/index.aspx?i=20051102ca000ca

米国でのスパイウエア定義の最終版

ＭＳＮ毎日新聞０５年１０月３１日の記事によると、米国には「スパイウェア対策連合（ASC）」という団体があって、そのＡＳＣが０５年１０月27日（米国時間）、スパイウエアの定義の最終版を発表したという。

やや冗長な定義であるが、同記事によると、ASCのスパイウエア定義は次の通りである。

「ユーザーのしかるべき同意を得ずに導入され、コントロールしようとするソフトウエアで、
①操作感、プライバシー、システムセキュリティーに影響するような重要な変更を加える、
②コンピューターにインストールされたプログラムなどのシステムリソースを使用する、
③個人情報や他の重要な情報を収集、使用、配布する
ものをいう。」

参考：
（１）ＭＳＮ毎日新聞０５年１０月３１日付記事「スパイウエア：対策団体がスパイウエア定義の最終版発表」＞http://www.mainichi-msn.co.jp/keizai/it/solution/news/20051031org00m300125000c.html
（２）ASCのホームページ＞http://www.antispywarecoalition.org/

ＩＴセキュリティが新たなステージに

東京ビックサイトで０５年１０月２６日から２８日まで開催された「Security Solution 2005」で総務省ＣＩＯ補佐官の大塚氏が「相次ぐ情報漏洩事件で「情報セキュリティは新たな段階に」というタイトルで講演を行った。

趣旨としては、情報セキュリティが２０００年から２００４年の間を境に、ハッカーなどによる「牧歌的イタズラ」から、「悪い人や組織的犯罪者集団による確信的犯罪」に移行したと言う。
事態はイタズラから犯罪に一変した。

米国の４０００万件のクレジットカード情報の流出や、楽天市場の個人情報漏えい事件などをみても、肯定せざるを得ない話である。

企業の担当者も、インターネットを利用する個人も情報セキュリティの知識を一層高める必要がある。

参考：
（１）ＩＮＴＥＲＮＥＴ　Ｗａｔｃｈ０５年１０月２６日付記事「相次ぐ情報漏洩事件で「情報セキュリティは新たな段階に」総務省補佐官」＞http://internet.watch.impress.co.jp/cda/event/2005/10/26/9635.html

楽天の個人情報漏えい事件（１１）

楽天市場からの個人情報漏えい事件がようやく解決した。

新聞によると、警視庁ハイテク犯罪対策総合センターが０５年１０月２７日（木）、楽天市場に出店していた輸入雑貨販売会社「センターロード」の元社員（３３歳）を不正アクセス禁止法違反容疑で逮捕したと発表した。

楽天のＨＰ上に、事件が始めて報告されたのが０５年７月２３日であるから、３ヶ月のスピード解決と言えるであろう。

容疑者は１０００万円の借金があり、盗んだ個人情報を名簿屋に売り渡していたと言う。個人情報がお金になる限りこの種の犯罪はなくならないと思われる。

参考：
（１）毎日新聞Ｙａｈｏｏニュース０５年１０月７日付け記事「＜顧客情報流出事件＞「楽天市場」出店会社の元社員逮捕」＞http://headlines.yahoo.co.jp/hl?a=20051027-00000015-mai-soci
（２）楽天の０５年１０月２７日付け発表記事＞http://www.rakuten.co.jp/com/faq/information/20050723.html
（３）当ブログの最初の楽天個人情報漏えい投稿記事＞http://blog.goo.ne.jp/tak77san/e/7eccfd27e9cc436f4ec3ab4369e9aa29