フラッディング（Flooding）

フィッシング（phishing）やファーミング（pharming）に続き、今度はフラッディング（Flooding）ということばが出てきた。

フラッディング（Flooding：洪水、はんらん）という名前が示すとおり、この場合はパケットの数およびその通信の量が問題となる。一見正常なパケットおよび通信内容であるにもかかわらず、ターゲットとなったサーバに到底処理できないほどの大量の通信を発生させることにより、応答不能に追い込む攻撃だ。

参考：
（１）2005/8/9付けアットマークＩＴ記事「RSSってリアリー・シンプル・スティーリングの略？」
http://www.atmarkit.co.jp/news/katt/2005/katt144.html
（２）2005/3/11付けアットマークＩＴ記事「DoS攻撃の手法と対策［前編］」＞http://www.atmarkit.co.jp/fsecurity/special/58dos/dos03.html

スパイウェア（その３）

インターネット専業のイーバンク銀行は4日、「スパイウエア」対策として、暗証番号の入力で暗号
表を使うサービスを5日から始めると発表した。

同じく、みずほ銀行も暗証番号の入力する順番を変える方法をとるそうである。

参考：ＭＳＮ毎日ニュース＞http://www.mainichi-msn.co.jp/keizai/it/solution/news/20050805org00m300147000c.html

楽天の個人情報漏えい事件（その７）

2005年 8月 8日 付けのＹａｈｏｏニュースの記事「楽天（4755）：顧客情報流出が業績に与えるインパクトは？」に目が止まった。

その一部に次のような記述があった。
「　7月28日付の「四季報速報」（レポート2ページ目参照）は、・・・業績への影響を分析している。それによると、今回の情報流出が仮に楽天内部からであった場合、被害者からの損害賠償請求、消費者の購入減、セキュリティ強化にかかるコスト増といったことが考えられ、同社業績に与えるインパクトは大きいだろうとしている。一方、出店する店舗からの情報漏洩だった場合でも「楽天ブランドの低下は避けられない」と伝えている。」

漏洩した個人情報の本人の損害はまだ不明であるが、楽天自身と関係する店舗の損害は具体化しているはずである。責任の所在によっては訴訟が発生する可能性がある。

また、前回の投稿で「楽天市場における取引分だけでなく、他のサイトでの取引と思われるものが少なくとも8,545件流出しているという。」ことに関して書いたが、他のサイトとはオークション／ショッピングサイト「ビッダーズ」（運営はディー・エヌ・エー（DeNA））である。ただし、８月８日時点では流出があったか否かＤｅＮＡではまだ確認されていない。

参考：
０５年８月８日付けＹａｈｏｏニュースの記事「AMCの顧客情報流出、ビッダーズでは今のところ確認できず」＞http://headlines.yahoo.co.jp/hl?a=20050808-00000015-imp-sci

楽天の個人情報漏えい事件（その６）

楽天の個人情報漏えい事件に進展があった。
従来の報道内容と変わった点は以下の通りである。
（１）確認された漏えい件数が２８４件から３万６千件に増加した。
（２）楽天以外のサイトでの取引情報も８千５百件強ふくまれている。
また、悪用された被害はまだ確認されていない。

参照：
（１）Yahoo Japan News社会ニュース8月7日(日）付記事「楽天顧客情報　３万6000件流出判明　他サイトの取引8500件も」＞http://headlines.yahoo.co.jp/hl?a=20050807-00000001-san-soci

ＣＮＣのフィッシング詐欺防止ソフト

参考：フジサンケイビジネスアイ2005/8/4付記事「ＣＮＣ　フィッシング詐欺防止ソフト　１０万台分を無料配布へ 」

フジサンケイビジネスアイ第１面トップ記事に「ＣＮＣ　フィッシング詐欺防止ソフト　１０万台分無料配布」という記事が載った。経済紙の１面トップ記事にこうしたニュースが掲載されるのも時代の変化を感じさせるものである。

新聞紙上で情報セキュリティに関わることが経済の重大なニュースとして認知されている証拠であり、いまや世の中ではネット社会の信用や安全問題が大きなテーマなのである。

ＣＮＣは１０万台の無償配布を行う一方で、契約した企業に関する「偽サイト」などの情報をソフトを無料配布したパソコンに警告するサービスを金融機関に対して１０月から開始するという。これはネット詐欺に絡んだ事件に顧客が巻き込まれることを未然に防止することになる。この新サービスは年額二千万円から利用できるという。

企業ははたしてこのサービスを購入するであろうか。ぜひ購入して安心してネット取引が利用できるようにしてほしいものである。

楽天の個人情報漏えい事件（その５）

05年8月1日（月）付けで楽天から「楽天市場の店舗での取引に係る個人情報の流出について（今後の対応策） 」というお知らせが発表された。

内容は、8月11日（木）から楽天市場ではクレジットカード情報とメールアドレスは楽天側で管理し、店舗には渡さないようにする。店舗側には一定の資格を持ったセキュリティ管理者設置を義務図けるよう指導するという。

実世界の店舗でのクレジットカード情報の取扱いは店舗の責任で行われるわけだが、ネット店舗ではそうはいかないようである。それぞれの店舗開設の容易性を考えるとそういうことになるのであろうが、一律に個人情報の取扱いを規制するのには逆に現実的でないように思う。店舗によっては実際の店舗を構えた大手業者もあるのではないのか。

一律の規制ではなく、何らかの基準に従って、例えば実店舗を所有して資格をもった個人情報管理者がいる場合には個人情報の取扱いを認めるというような方法の方が現実的ではないかと思うが。

参考：
05年8月1日（月）付け楽天からのお知らせ＞http://www.rakuten.co.jp/com/faq/information/20050723.html
05年8月2日（火）付けフジサンケイビジネスアイ記事「楽天が新顧客管理体制　三木谷社長「コスト度外視で」」＞http://www.business-i.jp/news/ind-page/news/200508020012a.nwc

ファーミング詐欺

2005/8/4付フジサンケイビジネスアイ朝刊第１面トップ記事に「ＣＮＣ　フィッシング詐欺防止ソフト　１０万台分無料配布」という記事が載ったが、この中で新しい言葉が登場した。

「ファーミング詐欺」である。この言葉は始めてである。その言葉の説明は次のとおりであった。

フィッシング詐欺のうち一度にたくさんの被害者を出すタイプを「ファーミング詐欺」（農業からの造語）という。

楽天の個人情報漏えい事件（その４）

０５年７月２９日（金）の日経朝刊１３面にも「楽天の情報流出、被害拡大、懸念の声――カード情報対策急務に」という見出しで記事が掲載されていた。

同じ業界の個人情報漏えい事件として、ソフトバンクＢＢとカカクコムの事件もあった訳だが、この２つの事件と比べて楽天のケースはどの様な特徴があるのか考えてみた。

ソフトバンクＢＢのケースは約４５２万件の「住所、氏名、電話番号、メールアドレス、Yahoo!メールアドレス/Yahoo! JAPAN ID、申込み日」の情報が漏洩した。大量であったことが特徴であった。

カカクコムのケースは２万２５１１件のメールアドレスがサーバーへの不正アクセスによって漏洩した。トロイの木馬という典型的なウィルスを埋め込まれ、システムの改ざんも行われた結果、１０日間程度のシステム停止にも追い込まれた。

今回のケースは楽天が確認している漏えい件数は２８４件（０５年７月２８日現在）だけであるが、個人の信用情報（クレジットカード情報）が漏洩した情報に含まれていたことが特徴である。
クレジットカード情報の悪用による被害が心配されている。

参考：
（１）楽天ケース：０５年７月２９日（金）付け日経朝刊１３面「楽天の情報流出、被害拡大、懸念の声――カード情報対策急務に」
（２）ソフトバンクＢＢケース：2004年2月27日付けヤフー株式会社発表文書「「Yahoo! BB」お客様情報流出問題の新たな事実についてのおわびと御説明」＞http://docs.yahoo.co.jp/info/notice11_5.html
（３）カカクコムケース：０５年５月２３日（月）付けＹａｈｏｏの社会ニュース記事「アドレス２万２０００件流出　カカクコムの不正アクセス」＞http://headlines.yahoo.co.jp/hl?a=20050523-00000159-kyodo-soci

ＩＥ７のフィッシング詐欺防止機能

２００６年出荷予定のＷｉｎｄｏｗｓ　Ｖｉｓｔａのベータ版のリリース記事が「ＣＮＥＴ　Ｊａｐａｎ」のニュースに掲載された。

その記事によると、Ｖｉｓｔａのテスト・バージョンと共にＷｉｎｄｏｗｓ　ＸＰ用の新しいＩＥ７（インターネット　エクスプローラー　バージョン７）が公開され、それにフィッシング詐欺防止機能が含まれるとあった。

機能としては、「新しいIEは、Microsoftがフィッシングサイトであるとの報告を受けているサイトに関しては、そのまま表示する代わりに、警告画面を表示する。」とある。

Ｖｉｓｔａよりも早く一般公開されるということだが、現下のネット犯罪の発生状況を見ると一刻も早い公開が待たれるところだ。

参照：
CNET Japan０５年７月２８日付け「マイクロソフト、Windows Vistaのベータ版をリリース」記事＞http://japan.cnet.com/news/ent/story/0,2000047623,20085872,00.htm

楽天の個人情報漏えい事件（その３）

楽天の個人情報漏えい事件が拡大している。
今日（０５年７月２８日）付けで毎日新聞から新たなニュースが３件報道された。それを読むと楽天の個人情報漏えい事件は心配な状況が予想される。

漏えいした個人情報の件数は１２３件のレベルではなく、もっと拡がると報道されている。また、漏洩した個人情報が「１件３０００円で売られている」という記述も見られる。さらに、「不正なネットショッピングなども可能だが、関係者の一人は「今回のデータは、１６ケタの番号から暗証番号を含んだ情報を割り出し、完全なカードを作る技術を持った東南アジアのグループに流れたと聞いている」と話してる。」とある。
どこまで本当なのか分からない。

クレジットカード番号を含む大量の顧客情報流出は、被害拡大を招く恐れがあり、極めて心配である。楽天はもとより、警察・カード会社など協力して早期に解決してもらいたいものだ。

楽天市場でカードを利用して買い物をした人は十分注意を払ってほしい。

参照：
（１）「楽天市場：流出データには下着の色やサイズまで」＞http://www.mainichi-msn.co.jp/today/news/20050728k0000m040151000c.html
（２）「楽天市場：顧客情報１０万件流出か　１件３千円で男性購入」＞http://www.mainichi-msn.co.jp/today/news/20050728k0000m040150000c.html
（３）「楽天市場：新たに１６１件の顧客情報流出認める　楽天」＞http://www.mainichi-msn.co.jp/today/news/20050728k0000e040044000c.html

楽天の個人情報漏えい事件（その２）

楽天のネット市場から個人情報が１２３件漏洩した事件の詳細はまだ明らかになっていない。
そうした中、「ＣＮＥＴ　Ｊａｐａｎ」から２６日付けのニュースが出ている。

当然、情報の漏えい経路は調査中ではっきりしたことは分からない中で、楽天市場にネットショップを構える他の店舗オーナーや漏洩に関わった店舗オーナーが出店している他のネット市場に同様な事件がなかったかの取材結果が掲載されていた。

個人情報の漏えい事件は他にも多数報道されているが、この事件は今急速に拡大しているインターネット・ショッピングに関わる代表的なケースとして見られている印象がある。

いずれにしても、楽天側に管理上の問題があったのか店舗側に問題があったのか、実態を早く明らかにして、問題を解決してほしいものである。

参考：
（１）ＣＮＥＴ＿ＪａｐａｎＨＰの当ニュースのページ＞http://japan.cnet.com/news/sec/story/0,2000050480,20085788,00.htm
（２）tak77sanの「楽天の個人情報漏えい事件」（その１）＞http://blog.goo.ne.jp/tak77san/e/7eccfd27e9cc436f4ec3ab4369e9aa29

楽天の個人情報漏えい事件

発端は大手マスコミからの通報だった。連絡を受けた楽天が調査して１２３件の取引情報の漏えいが確認され、楽天のＨＰ上で７月２３日と２５日に状況が報告されている。

今回の事件は特定店舗の取引に関する情報だけが漏洩しているので、その関係から漏洩した可能性もある。クレジットカードの場合は事後対策がある程度確立されているので、個人被害は最小限で止められる可能性が高いが、自分のカード利用明細のチェックは怠ってはならない。

参考：楽天のＨＰ上の状況報告
7月23日＞http://www.rakuten.co.jp/com/faq/information/20050723back.html
7月25日＞http://www.rakuten.co.jp/com/faq/information/20050723.html

スパイウェア（その２）

政府の注意喚起の文書にスパイウェアが侵入するケースが大変分かり易く説明されていたので、ここで参照しておきたい。

政府の注意喚起の文書（抜粋）

被害にあわないための３か条
１． ウイルス対策ソフトとオペレーティングシステム（ＯＳ）を必ず最新のものにする
２． メールはひとまず疑ってみる
３． 怪しいサイトには近づかない

スパイウェアについて（抜粋）

【スパイウェアをインストールされる状況の例】（代表的な例）

① サイトを閲覧することでインストールされる例
十分な対策を講じていない場合、「サイトを閲覧するだけ」でスパイウェアをインストールされる可能性があります。
そのため、
１ 掲示板などに貼り付けてあるリンク先
２ 検索エンジンで検索した結果のリンク先
のサイトが、悪意を持った者がスパイウェアをインストールさせるために作成したものであった場合、無闇にリンク先をクリックすることで、スパイウェアをインストールされてしまう可能性があります。

② メールを閲覧することでインストールされる例
十分な対策を講じていない場合、「メールを閲覧するだけ」でスパイウェアをインストールされる可能性があります。
特に、
○ メールを一覧表示させるときにメールの内容をプレビューする設定となっている場合には、メールを選択するだけで、スパイウェアをインストールされてしまう可能性があります。

③ ファイルをダウンロードすることでインストールされる例
出所が不明のゲーム、怪しいサイトを閲覧する際にWeb サイト側が「閲覧するために必要」としてインストールを要求してくるソフトウエアをダウンロードし、インストールする場合、利用者が本来期待する機能以外の機能を持つスパイウェアも同時にインストールされてしまう可能性があります。

出典：平成１７年７月２０日付で政府が発信した「情報セキュリティにかかる注意喚起」＞http://www.meti.go.jp/press/20050720001/chuuikannki-set.pdf

スパイウェア

「スパイウェア」による銀行口座からの盗難被害が日本でも発生したという報道をご存知の方も多いと思う。この犯罪は「フィッシング詐欺」や「オークション振り込め詐欺」とは別のネット犯罪である。

「スパイウェア」と呼ばれる悪いプログラムは、インターネットから自分のＰＣに知らないうちに送り込まれ、銀行口座の情報などを勝手に他人に送ってしまう不正プログラムである。その口座情報を受け取った人は、その情報を使ってお金を勝手に引き出してしまうのである。

これを防ぐ方法は２つしかない。ひとつは「スパイウェア」駆除ソフトを自分のＰＣに導入し、定期的に「スパイウェア」をチェックし、退治するのである。他の一つは、ネットショッピングなどのインターネット利用で銀行取引サービスを利用しない事である。

この不正プログラムはスパイのように自分の知らないうちに犯罪を実行するので、被害にあっていないかどうか自分の通帳を頻繁にチェックし、身に覚えの無い振り替えが無いかどうか確認することが必須となる。

これが、ネット社会の宿命なのである。こまったことだ。

参照：ＭＳＮ毎日新聞05年7月11日付け記事「不正アクセス：ネット口座から550万円勝手に送金」のページ＞http://www.mainichi-msn.co.jp/keizai/it/coverstory/news/20050711org00m300091000c.html

ザバサーチ

米国に無料の個人情報検索サービスサイトとして「ザバサーチ」というものがあるということを知った。この種のサービスはこれだけではなく、他にも同様のサービスが提供されているという。例えば、米国ヤフーの「ピープル・サーチ」も無料の検索サービスである。

有料の個人情報提供業者もいて、もっと多くの種類の個人情報が売られているそうである。なにやらおそろしい気がする。

参考：gooの2005年05月11日(水) 付けITニュース・ページの抜粋＞http://news.goo.ne.jp/news/wired/it/20050511/20050511i01.html?C=S
「ザバサーチの情報は基本的に無料だが、身辺調査や犯罪歴などの追加情報は有料となっている。ただし、この種の情報は必ずしも正確とはいえない(日本語版記事)。ザバサーチは今後、『Google』(グーグル)や『Yahoo!』(ヤフー)と同じように検索サイトに広告を掲載し、さまざまなサービスを展開していく計画だ。」