不正アクセスでサービス中止

三重県が運営する電子会議室用サーバ「ｅ－デモ会議室」が不正アクセスの影響で７月２８日からサービス中止になっている。

同じく８月６日から「ｅ－デモ・ジュニア会議室」サービスも中止にした。セキュリティ診断を受けるためである。

診断の結果、所要の対策を実施するためにさらに３週間程度停止期間を延期すると発表した。

不正アクセスに気づいた７月２０日から１ヶ月以上経過してから対策を実施することになった。

参考：
（１）三重県2005年07月28日付報道発表資料「三重県「ｅ－デモ会議室」におけるサーバへの不正アクセスについて」＞http://www.pref.mie.jp/TOPICS/2005070370.htm
（２）三重県2005年08月06日付報道発表資料「三重県「ｅ－デモ・ジュニア」会議室のサービス停止について」＞http://www.pref.mie.jp/TOPICS/2005080087.htm
（３）三重県2005年08月25日付報道発表資料「三重県「ｅ－デモ・ジュニア会議室」のサービス停止期間の延長について」＞http://www.pref.mie.jp/TOPICS/2005080265.htm

フォレンジックス

参考：IT Pro Special「フォレンジックス製品特集」＞http://itpro.nikkeibp.co.jp/as/forensics/foren/

参考の特集は以下の文章で始まって入る。
「今，セキュリティの世界では，「フォレンジックス」(Forensics)なる新しい概念が注目されている。これは不正アクセスや情報漏洩などの痕跡をつかみ，社内におけるセキュリティ上の問題点はどこにあるか？　をさぐるための手法である。」

これによると、「フォレンジックス」とは、セキュリティの世界での新しい概念であり、セキュリティ上の問題点をさぐるための手法とされている。専用の製品も続々と登場しているという。

セキュリティの世界では，Ｆ／ＷやＩＤＳなどの対策を講じたとしても「100％の安全」などというものはありえない。

「とすればリスクを少しでも減らし，被害を最小限に抑える。あるいは受けた攻撃を分析して「次につなげる努力」が大切だ。そのためにはまず現状を把握し，問題点はどこにあるのかを究明すること。次に，それを修正するためには何をすべきか？　を考える必要がある。フォレンジックス製品はまさに，こうした情報収集や解析をするためのソリューションなのである。」

フォレンジックスの意味：Forensics分析
・内部者によるITポリシーの不正使用を検証する
・外部者あるいは内部者による不当かつ不法な行為を検証する
・ビジネスに悪影響をもたらすであろうネットワーク使用の動向を監視
・問題が大きくなる前に是正できる問題を特定する

フォレンジックス製品は，ネットワーク上に流れるすべてのパケットをキャプチャし，内蔵するハードディスクに記録・保存する。

その価格も約100万円から1000万円以上と幅広い。自社のネットワーク環境や予算に応じて選ぶことになるだろう。
ちなみにアメリカではすでに数年前から政府や通信事業者などで導入が進んでいる。
日本でも特に金融機関や官公庁，データセンター等が採用するようになってきた。

情報を集めて解析し，セキュリティ対策の問題点を教えてくれるフォレンジックス製品は，そんなリスクに立ち向かう処方箋をくれる。

ネットショップのカード決済

ネット犯罪で狙われるカード決済の実施状況を知っておくと良い。

ＥＣサイトが消費者のネットショッピングのカード決済を行う際、当決済を支援するサービス会社が存在する。

例えば、ＳＢＩベリトランスもそうしたサービス提供会社の一つである。
ＳＢＩベリトランスは消費者とＥＣサイトとカード会社の三社間の取引が容易に行われるよう次のようなサービスを提供する。

カード決済関連機能
（１）クレジットカード決済
（２）クレジットカード本人確認
（３）コンビニ決済
（４）課金決済業務代行
（５）ＳＳＬ証明書発行

ＥＣサイトは自力で当該機能を実現しても良いが、カード会社毎に仕組みが異なるため専門のサービス会社を利用した方が効率的なのである。

参考：
（１）SBIベリトランス株式会社ホームページＵＲＬ＞http://www.veritrans.co.jp/index.html
（２）ＶＩＳＡ認証サービスＨＰのＵＲＬ＞http://www.visa.co.jp/verified/index.jsp
（３）日本ベリサインＳＳＬサーバー証明書発行サービスＨＰのＵＲＬ＞http://www.verisign.co.jp/server/index.html

日本エフ・セキュア株式会社

日本エフ・セキュア株式会社
http://www.f-secure.co.jp/

設立 ：　平成11年5月
資本金 ：　1,000万円

事業内容 ：　日本国内におけるインタネット・セキュリティ製品の提供、製品・サービスのマーケティングおよび製品の日本語対応

特徴　：
（１）F-Secureは、IT先進国フィンランドから全世界にインターネット・セキュリティ製品を提供している。
（２）F-Secureアンチウィルスは法人顧客を中心に国内で２00万以上のユーザーに利用されている。
（３）F-Secureのソリューションは、コンピュータをウィルス、ワーム、有害なコンテンツ、ハッカー、情報漏洩、スパイ行為から保護。

０５年上半期サイバー犯罪状況

警察庁から８月１８日付けで「平成１７年上半期のサイバー犯罪の検挙及び相談受理状況等について」と、「同　不正アクセス行為の発生状況等につて」いう報告書が公表された。

両報告書を見てまず感じることは、サイバー犯罪の件数が大幅に伸びていることと、犯罪の質がお金目当てに移っていることである。

まず、サイバー犯罪の検挙件数であるが、１６１２件で対前年比１．５倍になっている。特に、ネット・オークションなどを利用した詐欺犯罪が６７２件と２．７倍に増加している。また、児童ポルノ事案が６８件で約２倍になっているのも目立っている。

ネット・オークション詐欺の具体例として、現物を用意せずに全国１２００名余りの落札者から約１億６７００万円を騙し取った事案があった。

サイバー犯罪の相談件数も約２万９千件で対前年比約２倍となっている。

不正アクセス行為に付いても発生認知件数が３１７件で対前年比約２倍強である。特に、ＩＳＰに対する不正アクセスが１６６件と対前年比２倍強ともっとも伸び率が高い。不正アクセスの目的で圧倒的に多いのがＩＤとパスワードの窃盗であるが、盗んだり不正購入したＩＤ・パスワーヂはネット・オークションに悪用されたのが１２０件とこれは対前年比１２倍であった。

犯行の動機に関しては「不正にお金を得るため」が１３７件ともっとも多かった。

ほとんどの数値が物語っているのは、「不正にお金を得るため」、「狙いがお金」であることがはっきりしてきた。

参考：
（１）「平成17年上半期のサイバー犯罪の検挙及び相談受理状況等について」＞http://www.npa.go.jp/cyber/statics/h17/image/pdf25.pdf
（２）「平成17年上半期の不正アクセス行為の発生状況等について」＞http://www.npa.go.jp/cyber/statics/h17/image/pdf26.pdf

フィッシングメールの増加傾向

０４年末、電子メール250通のうち１通はフィッシングメール

シマンテック社が年２回発行する「インターネットセキュリティ脅威レポート」を元に日経IT Plusのまとめによると、全世界におけるフィッシングメールは2004年の下半期で、１日平均100万通から450万通に伸びているという。

これはメール全体に対する比率としては0.1パーセントから0.6パーセントにあたる。ピーク時の週900万通で換算するとメール全体の0.4パーセント、250通のうち１通はフィッシングメールになるという。　

　フィッシングのホスト元の国で一番多いのは米国（全体の26.3パーセント）、中国（同22パーセント）、韓国（同10パーセント）で、日本は４位（同2.87パーセント）。

フィッシングメールがどんどん増えているので気をつけよう。

参考：2005年8月11日付IT PLUSニュース＞http://it.nikkei.co.jp/security/news/index.aspx?i=20050811ca000ca

フィッシングの新手口

個人情報をFAXで返信させる新手のフィッシング手口がイギリスで出現した。

個人情報をファックスで送るよう仕向ける手口だ。

フィッシングは、偽ウェブサイトで暗証番号などを入力させるのが一般的なので、ファクスならば油断すると考えたとみられる。

参考：ＭＳＮ毎日2005年8月12日付けニュース「フィッシング：個人情報をFAXで返信させる新手口」＞http://www.mainichi-msn.co.jp/keizai/it/network/news/20050812org00m300097000c.html

楽天の個人情報漏えい事件（１０）

楽天の個人情報漏えい事件の悪用事例が発生した可能性がある

５０００円分の携帯電話料金の支払いに漏えいしたカード情報が利用されたと報じられてた。

この件に関する楽天からのコメントはない。

参考：ＭＳＮ毎日ニュース０５年８月１４日付け記事「楽天市場：流出の顧客情報、悪用か　携帯料金引き落としに」＞http://www.mainichi-msn.co.jp/today/news/20050814k0000m040115000c.html

量子暗号通信の実用化目処

NTTと米スタンフォード大学が盗聴を完全に防げる次世代の光通信技術「量子暗号通信」の実用化にメドを付けたという。

課題は通信速度であったのが、今回それを１０万倍（毎秒数ビットであったのが５００キロビットで送信）に高めることに成功したと言う。

一般的にはネットユーザーには関係が薄いと思われるが、金融機関や政府などの機密情報の取扱いがより安全になるということは、社会の情報インフラの安全性が高まることを意味し、間接的に一般ネットユーザーの利益にもなると考えられる。

参考：NIKKEI_NET05-08-19付けニュース「ＮＴＴなど、「量子暗号」実用化へ・盗聴完全防止」＞http://it.nikkei.co.jp/security/news/index.aspx?i=2005081810702ca

ネットユーザーのセキュリティ対策

ネットユーザーのためのセキュリティ対策がいくつかある。

管理者用のアカウントを利用せず、ユーザー・アカウントを利用するということも、その一つである。

セキュリティ対策には色々な対策があり、どれか一つを実施すれば良いという問題ではない。アンチウィルスソフトを入れているから対策として十分と考えるのは間違いである。

ユーザー・アカウントでWeb検索、メール・ソフトやWordを利用すると、ウィルスにやられても被害を限定的にできる効果がある。

ネットユーザーのセキュリティ対策として心掛けたいことである。

参考：日経IT Proの記事「Windowsに管理者アカウントでログオンするのはもうやめよう 」＞http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050811/166296/index.shtml

ITセキュリティー市場の拡大傾向

参考ニュースによると、セキュリティー市場の規模が６年後の２０１０年には昨年（０４年度）の２．７倍（７３９０億円）の規模になるという。

セキュリティー市場は２つに分類されている。

最初のセキュリティ・サービス分野（認証取得支援、社員教育など）は０４年比で約５倍（３７６５億円）。

２つ目の製品市場（本人認証システムなど）では、同約１．８倍（３６２５億円）に増える見通しという。

参考：2005年8月16日付けNIKKEI_NET　ＩＴ　Ｐｌｕｓニュース＞http://it.nikkei.co.jp/security/news/index.aspx?i=2005081606889ca

楽天の個人情報漏えい事件（その９）

楽天の個人情報漏えいに関連して別な事件のニュースが出ていた。

そのニュースでは「この６，７月の２ヶ月だけで３８件もの不正アクセスを受けていた可能性がある」としている。

楽天はこの件に関してはコメントしていないので事実はこれだけでは分からない。
ニュースの発信元は「ＩＴ　Ｐｒｏ」であることと、８月２２日号の日経コンピュータで詳細を報道するといっているので、同誌発売の頃には進展が期待される。

７月の個人情報漏えい事件との関係だけははっきりしてもらいたい。

参考）ＩＴ　Ｐｒｏセキュリティ　2005/08/08付け記事「【特報】楽天に不正アクセスの痕跡--3000件超える顧客データが奪われる」＞http://itpro.nikkeibp.co.jp/free/NPC/NEWS/20050808/166035/

カード決済ガイドイライン

全国イーコマース協議会が０５年８月９日付けで「ネットショップにおけるカード決済のガイドラインを策定」という楽天の個人情報漏えい等の一連の事件を踏まえた対策を発表した。

８月中にガイドを策定し、９月に審査を行い、１０月１日から「安全カード決済導入店」バナーを配布するとしている。

期間があまりにも短期間なため本当に利用者が安心して利用できるようになるのか不安が残るが、まずは結果を見てみたい。

参考：全国イーコマース協議会０５年８月９日付けで発表のニュース＞http://www.ec-conference.com/con_press-179.html

楽天の個人情報漏えい事件（その８）

０５年８月１０日付の日経朝刊３５頁によると、楽天の個人情報漏えい事件に関連して、大手ＥＣサイト「ビッター」を運営するディー・エヌ・エー社が８４５６人分の個人情報の流出を確認したと発表した。

流出した個人情報は楽天の場合と同様、輸入雑貨販売会社「センターロード」の店舗ＡＭＣにおける取引情報であった。

これによってＡＭＣ経由の漏洩である可能性が高まった。

参考：
（１）NIKKEI_NET 2005年8月10日付けITニュース「「ビッダーズ」のディー・エヌ・エーも顧客情報8400人分流出」＞
http://it.nikkei.co.jp/security/news/index.aspx?i=2005080909226ca
（２）株式会社ディー・エヌ・エーの2005年8月9日付けプレスリリース「ビッダーズの店舗における取引に係る個人情報の流出について」＞http://www.dena.ne.jp/press/release_2005/20050809.html
（３）株式会社センターロードのＡＭＣサイトに掲示されている当件のお知らせ＞http://www.amcamc.co.jp/rakuten.htm

ネット犯罪と生活

インターネットが生活の隅々に入ってきた。
それは良いことと、厭なことを同時にもたらした。

ネット犯罪として具体的にどんなことが起こっているのか。
どうしたらそれを予防できるのか。
どんなことに注意する必要があるのかを知っておくことが大切だ。

ネット社会は非常に便利に出来ているが、そのことは犯罪を犯す側にも当てはまるのである。

ネット社会は出来たばかりの世界で、今まで存在しなかった犯罪が次から次へと発生している。
ボーツとしているといつの間にかお金をすられてしまうのである。

ネット生活者は、みんな情報セキュリティを勉強して、自分で自分の身を守ることが大切である。