トレンドマイクロのセキュリティ教育資料

ユーザへのセキュリティ教育の重要性がより大きく取り上げられている現在、政府、公共機関から多くのセキュリティ教育に関する資料が公表されています。そんな中で、主要なセキュリティベンダーからも セキュリティ教育のための資料が公開されていたりします。

トレンドマイクロは小学生向けから一般ユーザ向けまでの資料を公開しています。
セキュリティ啓発資料の提供　トレンドマイクロ

これらの資料はPDF形式であればすぐにダインロード可能ですし、メールを送ってお願いをすればパワーポイントの資料を手に入れることも可能なようです。

一般ユーザ向けにセキュリティ教育を行わなければいけないシステム管理者の方や、情報セキュリティを勉強中の方は一読してみると良いのではないかと思います。

ITpro セキュリティ総覧2006 Web版

日経BP社が2006年7月に発行した「セキュリティ総覧2006」（各分野ごとにまとめられたセキュリティ製品のカタログ）のWeb版が公開されています。
ITpro セキュリティ総覧2006 Web版

当たり前ではありますが、ここに世の中全てのセキュリティ製品が載っているわけではありません。むしろ、結構代表的な製品が載っていなかったりします。しかし、カタログとかを眺めるのが好きな私のような人間は、一度訪れてみる価値はあると思います。

Microsoft、月例パッチを再リリースを延期

マイクロソフトは23日、23日に公開を予定していた8月の月例パッチ「MS06-042」の修正版について、テスト過程で問題が発見されたため公開を延期したことを公表しました。

8月の月例パッチ「MS06-042」に関しては、以前このブログでも取り上げました。簡単に言うと、この月例パッチを適用するとInternet Explorer（IE）が不正終了する問題が発生してしまいます。そこで、修正パッチを公開する予定になっていました。
Microsoftが月例パッチを再リリース　２００６年８月１７日

テスト過程で発見された問題点というのは、どうやらこの修正版月例パッチを適用すると別の脆弱性が生まれてしまうということのようです。以下はINTERNET Watchからの引用です。

米eEye Digital Securityでは、MS06-042の適用による不具合について、適用によって別の脆弱性（バッファオーバーフロー）が存在するようになってしまうた めに引き起こされる問題であると指摘。さらに、この脆弱性が悪用される危険性もあるとしている。米SANS Instituteでも同様の指摘をしているが、MS06-042については他にも多くの脆弱性を修正しているため、MS06-042は適用した上で他の ブラウザを利用するなどの対処法を推奨している。

マイクロソフト、8月の月例パッチ「MS06-042」の修正版リリースを延期　INTERNET Watch　２００６年８月２３日

セキュリティパッチを作成するというのもなかなか難しいということなんでしょうね。

＜参考＞
マイクロソフト セキュリティ アドバイザリ (923762)　マイクロソフト　２００６年８月２３日
MS06-042 の再リリースについて　日本のセキュリティチームの Blog　２００６年８月２３日

【追記】
公開が延期されていた「MS06-042」の修正パッチですが、米国時間２４日（日本時間では２５日）に公開されました。思いの外早かったですね。
IE用パッチの修正版がようやく公開，Windows 2000とXP SP1ユーザーは適用を　ITpro　２００６年８月２５日
MS、修正版のIEパッチをリリース　ITmedia　２００６年８月２５日
マイクロソフト、問題のIE用セキュリティ更新プログラムを再発行　COMPUTERWORLD　２００６年８月２５日
MS06-042 の再リリース (その２)　日本のセキュリティチームの Blog　２００６年８月２５日

２００６年８月２６日

原子力プラントの情報がWinnyネットワークに漏えい

久しぶりに、電力系の情報がWinnyネットワークに漏えいしてしまったようです。以下は三菱重工のニュースリリースからの引用です。

三菱重工業高砂製作所（以下高製）に勤務する社員の私有パソコンがウィルス感染し、同社員の私的な情報とともに当社の業務資料がWinnyネットワーク上に流出し、その中に当社の作成した関西電力株式会社原子力二次系配管情報が含まれていることが判明致しました。
（中略）
1. 情報流出の概要
(1)流出の経路
高製社員の私有パソコンから、Winnyウィルス感染によりパソコン内に保存されていたデータが流出したものです。
(2)流出の時期
平成18年8月16日から発覚した8月22日までの期間中。流出元のパソコンに残っている流出ファイルの生成時刻から確認したものです。
(3)流出した情報の概要
高製における原子力二次系配管の情報であり、現地派遣者名簿、打合せ議事録、検査受検依頼書、検査・点検関係の記録フォーム等です。内容から判断して原子炉や核物質防護に関する情報はありません。当社としては、業務情報のWinnyウィルスによる情報流出防止として、私有パソコンを業務に使用したことのある社員に対し業務関連ファイルを消去するように指示して参りました。当該社員はその指示に従って業務関連ファイルを消去したものの、一部に消去漏れがあり、そのファイルが今回流出したものです。

原子力プラント等に関する検査関連情報流出について　三菱重工　２００６年８月２３日

電力、Winny、情報漏えいという組み合わせの事件はちょうど一年前に多発し、大きな話題になりました。

【三菱電機プラントエンジニアリングから漏えい】
Winnyで原発情報流出 　ITmedia News　２００５年６月２３日
三菱電機、Winnyによる発電所情報の漏洩事件について会見　INTERNET Watch　２００５年６月２３日

【経済産業省原子力安全・保安院から漏えい】
Winnyで保安院の原発情報流出　職員の私物PCが感染　ITmedia News　２００５年７月２２日
「Winnyの入ったPCでは作業しない」経産省原子力安全・保安院が規則化　INTERNET Watch　２００５年７月２２日

【三菱重工業から漏えい】
Winnyで原発情報また流出　ITmedia News　２００５年８月３０日
三菱重工業の発電所検査情報がWinnyで流出、Antinny亜種に感染　INTERNET Watch　２００５年８月３０日

以下は２００５年８月３０日の三菱重工のニュースリリースからの引用です。

２．今後の対応
当社では，関連会社を含めて既に6月より
　①会社のパソコンにはWinny等の業務上不要なソフトは一切導入しない
　②個人のパソコンを会社業務に使用しない
との電子情報流出防止策を講じているが、今後更に徹底を図る。
協力会社についても、上記施策を含む情報セキュリティに関する事項を、取引契約関係の中で明確にし、徹底する。

発電プラント等に関する検査関連情報流出について　三菱重工　２００５年８月３０日

大変残念ながら、一年前に発表した「今後の対応」というものは守られていなかったようです。

これは余談ですが、三菱重工のニュースリリースはフォーマットが決まっているのでしょうか？今回と一年前のと書き方がほぼ同じですよね。もしかして、使い回し？

＜参考＞
三菱重工業株式会社による当社設備関連情報の流出について　関西電力　２００６年８月２３日
発電所からの情報漏えい対策の甘さ　ZDNet Japan　２００５年８月３１日

【追記】
三菱重工業、原子力発電所情報がWinnyで流出～昨年に続き2度目　INTERNET Watch　２００６年８月２４日
関西電力（株）に対する情報管理の徹底に関する要請文の発出について　経済産業省　２００６年８月２３日

２００６年８月２４日

ケビン・ミトニック氏のサイトが改ざんされる

あの伝説のハッカー、ケビン・ミトニック氏のサイトが改ざんされたそうです。以下はITmediaからの引用です。

パキスタン人のクラッカーグループが同氏の4つのサイト（kevinmitnick.com、mitnicksecurity.com、 mitsec.com、defensivethinking.com）を改ざんし、落書きされた同氏の写真と同氏をののしる文章を掲載した。これらサイト への詳しい侵入方法はまだ明らかになっていない。

ミトニック氏は映画の題材になったこともある著名ハッカーで、以前にも改ざんの被害を受けているという。

元著名ハッカーのサイト、ハッキングされる　ITmedia　２００６年８月２２日

改ざんの被害は今回が初めてではないようです。
ミトニック氏が創立した企業のサイト、ハッカーに侵入される　WIRED NEWS　２００３年２月１０日

弘法も筆の誤りってやつですかね。

＜参考＞
Zone-Hの改ざん情報（英語）
改ざんの詳細が載っています。

生体認証は安全か？（２）

前回は生体認証の技術的な問題点について述べましたが、今回はもっと根本的に生体認証の問題点を考えて行きたいと思います。

前回も記述しましたが、生体認証とは本人の特徴を確認する方法です。つまり、生体認証を行うことができるのは、認証に利用する部位が各個人で特有のものであり、また基本的に生涯変わらないためです。そして、個人特有のもの、そして生涯変わらないというこの２つのキーワードは、非常に重大な危険性をはらんでいます。

ここで、「A」さんという人を考えます。彼は自分の「a」という部位を利用して生体認証システムを利用しています。システム内には「a」のデータそのままではなく、「a'」というデータとして保存されています。「a'」から「a」のデータに戻すことはできません。

さて、上記のような場合、まず考えられる脅威はシステム内に保存されている「a'」というデータの盗難です。万が一、「a'」のデータが第３者に盗まれてしまった場合、「A」さんは今後２度と「a」を利用してこのシステムを利用することができなくなります。なぜならば、「A」さんは「a」を取り替えることができないわけです。今後第３者になりすましを行われる危険性があります。また、「a」のデータが直接盗まれ、第３者が認証システムを突破する可能性もあります。この場合も同じ理由で「A」さんは２度と「a」を利用することができなくなってしまいます。

このように、生体認証は一度データが盗まれてしまうと２度とその部位を利用できなくなるという致命的な欠陥があります。もちろん、「a」を盗み出すことは非常に難しいですし（指紋は簡単らしいですが）、「a'」のデータも暗号化され、厳重に管理されているでしょう。しかし、「If it can happen, it will happen.」です。

現在、この問題に対する様々な解決策が考えられています。
「取り替えられるバイオメトリクス」、IBMが開発　ITmedia　２００５年８月１５日

しかし、私個人の意見としては、生体認証に頼り過ぎない、また、重要な認証には「生体認証＋ICカード認証」などといった複数の種類の認証を組み合わせるなどといった工夫が必要であると思います。

＜参考＞
書評：インターネットは「僕ら」を幸せにしたか　IT Pro Watcher　２００６年８月２１日
生体認証はダメだから、スマートカードを利用しよう！と述べています。

生体認証はなぜ駄目なのか　まるちゃんの情報セキュリティ気まぐれ日記　２００５年３月６日
生体認証の問題点について議論が交わされています。

暴力団もセキュリティとIDカードの時代

１ヶ月ほど前のニュースになりますが、指定暴力団山口組が幹部組員らにＩＤカード携帯を義務づけたというニュースがありました。以下はイザ！からの引用です。

指定暴力団山口組が幹部組員らにＩＤカード携帯を義務づけたことが２２日わかった。神戸市灘区の総本部は提示しないと入れないとか。６代目が服役中で“組長不在”が続くうえ、他組織との抗争など内外の不安に備えるようだ。カードは顔写真付き、ストラップで首に掛けるスタイル。
（中略）
兵庫県警によると、山口組の幹部組員に組員証としてＩＤカードが配布されたのは今月上旬。一般企業や官庁が採用しているＩＤカード同様に顔写真付きで、首からストラップで下げられる。
違うのは大きさ。旅券（パスポート）並みといい、視認性はバッチリで、迫力もありそう。神戸市灘区の総本部は、カードを提示しないと入れなくなった。

顔パスはもう通用しない！？山口組がＩＤカードの携帯を義務付け　イザ！　２００６年７月２３日

大きさがパスポート並みとは、さすが、やることが一般人とは違います。しかし、人の入れ替わりが激しい現代ではこういった世界でも顔パスでは通じなくなってきたということでしょうか。

＜参考＞
【ファンキー通信】顔パスNG！　暴力団もセキュリティとIDカードの時代？　livedoorニュース　２００６年８月２０日

生体認証は安全か？（１）

突然ですが、個人認証の方法には次の３つがあります。

1. 本人が何を記憶しているかを確認する方法（パスワード認証など）
2. 本人が何を持っているかを確認する方法（ICカード認証など）
3. 本人の特徴を確認する方法（生体認証）

上記の３つの中でも何かにつけて話題になるのが生体認証です。生体認証と言っても指紋、静脈、虹彩、顔と色々と種類がありますが、その中でも最も普及しているのは指紋認証でしょう。

指紋認証は数ある生体認証の種類の中でもとても歴史の長いものです。犯罪捜査にも同じような技術が利用されていますし。そんな指紋認証ですが、２０００年に横浜国大の松本勉教授がゼラチン指で認証が行えてしまうことを発表してから、その安全性に疑問の声が上がっています。何か良い記事がないか探してみたら、粘土でも可能という記事がありました。
「粘土」でも指紋認証はだませる――米研究者が警告　ITmedia　２００５年１２月１４日

また、指紋認証を解くために指を切断するという想像するだけでもおぞましい事件も起きています。
指紋認証を突破するために指を切断される事件が発生　武田圭史氏のブログ　２００５年４月２日

これら問題に対しての１つの解決策になるといわれているのが、静脈認証です。指紋と異なり、静脈は体内の情報なので簡単に盗むことができないということが理由です。また、血流がない手では静脈認証を行うことはできません。静脈認証の分野は非常に成長が期待されている分野の１つで、現在、手のひら（甲でないのがポイント）と指の市場獲得争いが盛り上がっています。身近なところでは銀行ごとにATMの認証が手のひらと指で分かれているところで分かりますよね。
手のひらと指に“脈”あり──生体認証ビジネスめぐり火花　ITmedia　２００６年３月９日

しかし、この静脈認証も安全性に疑問の投げかけられています。なんと大根で作った指を登録できてしまうらしいのです。確かに大根はきっちりとした繊維がありますから、ってそれでは困りますよ。現在の技術では人の静脈のコピーを作成することは非常に難しいのですが、理論的には作成できてしまうということでしょう。
静脈認証も安心できない? 大根で作った偽造指で認証に成功　IT Pro

こういった問題に対し、各ベンダーも手を手をこまねいているわけではありません。例えば、認証しようとしている指が人の指かどうかを判断する技術を開発、実装しようとしています。
「偽物」を区別する指紋認証技術　ITmedia　２００６年８月９日

この例は、偽造指への対策です。偽造指対策の方法というのは何種類かあるのですが、現在多くの製品がこの機能を実装していないのはコストが原因のようです。

さて、ここまで技術よりで指紋認証、静脈認証の問題点の話をしてきました。しかし、生体認証にはもっと根本的な問題点があります。

続く！

＜参考＞
横浜国立大学院　松本勉研究室　セキュリティ関連の研究をしている松本勉教授の研究室

国連とソニーがサイバー聖戦のトルコクラッカーから攻撃される

国連と、ソニーフィリピンのサイトがトルコ人の攻撃者 Eno7によって改ざんされたそうです。動機は現在の中東情勢に対する抗議のようです。
国連とソニーがサイバー聖戦のトルコクラッカーから攻撃　Zone-h日本語版　２００６年８月１４日

ちなみに、改ざんされた国連のサイトは現在「工事中」となっているそうです。改ざんされたページのミラーサイトはこちらから見ることができます。（音楽付き）

今回のヒズボラとイスラエルの戦闘に関連し、多くのサイバー攻撃が発生しています。これからの時代はサイバー攻撃もテロ、戦争の１つの形なのかもしれません。
サイバー戦争：始まり　Zone-h日本語版　２００６年７月２７日

Microsoftが月例パッチを再リリース

マイクロソフトが今月リリースした月例パッチの中の１つにInternet Explorer（IE）が不正終了するという問題 があったのですが、その問題を解決するパッチが再リリースされるそうです。

このInternet Explorer（IE）が不正終了する問題が発生する月例パッチというのは「Internet Explorer用の累積的なセキュリティ更新プログラム (918899) (MS06-042)」で、Windows 2000 SP4とXP SP1のIE 6 SP1でのみこの問題が発生します。当初、マイクロソフトはサポートサービスに問い合わせを行ったユーザーに対し個別に修正プログラムを提供するとしていましたが、結局パッチを再リリースすることにしたようです。再リリースは米国時間8月22日までに行い、配布方法は通常のパッチと同じ方法にするとのことです。
MSがIE用パッチの修正版をリリース予定，不正終了する問題を解消　IT Pro　２００６年８月１６日
Microsoftが月例パッチを再リリースへ、IEクラッシュの問題を修正　ITnedia　２００６年８月１６日

現時点でのこの問題の回避方法は、以下の手順でIEの設定を変更し、HTTP1.1を利用しないことだそうです。（Micrisoft技術情報より）

1. Internet Explorer 6 を起動します。
2. [ツール] メニューの [インターネット オプション] をクリックし、[詳細設定] タブをクリックします。
3. [設定] ボックスで、[HTTP 1.1 設定] の [HTTP 1.1 を使用する] チェック ボックスをオフにし、[OK] をクリックします。

更新プログラム 918899 をインストールすると Internet Explorer 6 Service Pack 1 が予期せず終了する　Micrisoft技術情報

それにしても、修正パッチにバグっておかしな話ですよ。時々ありますけどね。

＜参考＞
MSが8月の月例パッチ12件を公開　情報セキュリティばんざい！　２００６年８月１１日
8月の修正パッチにIEが不正終了する問題，Windows 2000とXP SP1が影響　IT pro　８月１２日

Windowsのヘルプ機能に新たな脆弱性

Windowsのヘルプ機能に、また脆弱性が見つかったそうです。以下はIT Proからの引用です。

米SANS Instituteなどは現地時間8月12日，Windowsのヘルプ機能に新たな脆弱性（セキュリティ・ホール）が見つかった可能性があるとして注意を 呼びかけた。細工が施されたヘルプ・ファイル（.hlp）を開くと，ファイルに仕込まれた悪質なプログラムを実行させられる恐れがあるという。
（中略）
このため，細工が施されたヘルプ・ファイルを読み込むと，任意のプログラムを実行されたり，ヘルプ機能を不正終了されたりするという。実際，セキュリティ・ホールを実証するプログラム（PoC）も公開されている。
（中略）
8月9には，ヘルプ機能に関するセキュリティ情報「HTML ヘルプの脆弱性により，リモートでコードが実行される (922616) (MS06-046)」がマイクロソフトからリリースされているが，今回のセキュリティ・ホールは，これとは別物。「MS06-046」のパッチを適用していても影響を受けるという。

Windowsのヘルプ機能に新たな脆弱性，ヘルプ・ファイルを安易に開くな　IT Pro　２００６年８月１４日

しかし、ヘルプ機能にも脆弱性があるとは、うかうかヘルプを見ることもできませんね。まあ、怪しいヘルプファイル（フリーソフトのヘルプ）などを不用意に実行しないという対策が有効でしょう。

シンクライアント環境用の操作監視製品が発売

今回もまた少し古いニュースになりますが、 ネットワールドとアイベクスがシンクライアント・ソフト「Citrix Presentation Server」（旧MetaFrame）の操作ログを取得して記録する運用管理ソフト「Meta Logger」の販売を開始しました。
ネットワールドとアイベクス、Citrixサーバによる サーバベースコンピューティング対応 端末操作記録ツールを発表　ネットワールド　２００６年７月２８日

今までMetaFrame対応のクライアント操作監視ソフトというのはあまりありませんでしたよね。私が知る限りでは、セキュリティプラットフォーム、DIGITAL GUARDIANといったところでしょうか。しかし、これらはクライアント側にソフトを入れなければならなかったと思います（間違えていたらすいません）。今回発表された「Meta Logger」というのはサーバ側にインストールすれば良いらしいので、管理が楽ですね。

現在、世の中に出回っているクライアントの操作監視製品のほとんどが通常のWindows OS環境用のものです。したがって、セキュリティ対策のためにシンクライアントにしたり、Mac OSに変えたりすると操作監視を行うことができなくなってしまい、逆にセキュリティレベルが落ちてしまうとも言うことができます。そんな中で、今回シンクライアント対応の製品が発売されたのは喜ばしいことではないでしょうか。売れるかどうかは分かりませんが・・・。

「Meta Logger」の機能についてですが、収集できるログは以下の６つだそうです。

1. ファイル操作（開閉/保存）
2. クリップボード
3. アプリケーション稼働状況
4. インターネット閲覧
5. ファイル転送
6. 印刷

今年中には電子メール送受信の履歴を管理できるようにする予定だそうです。まあ、メールに関してはそれ専用の製品を用意しても良いかな（むしろ、今後はそういう流れになるかな）と思いますけどね。

＜参考＞
Citrixシンクライアント環境でユーザーの操作を記録，内部統制セキュリティ・ソフトを出荷　IT Pro　２００６年７月２８日

「ローズオンライン」不正アクセス事件

株式会社フェイスは、自社が運営しているMMORPG「ローズオンライン エボリューション」において外部からの不正アクセスにより会員情報が流出した可能性があるとして、現在もサイトを停止しています。現在、「ローズオンライン」のページにアクセスするとお知らせが出てくるのですが、このお知らせには事件の経緯について以下のように書いてあります。

8月6日（日）
12:58 会員様より「自分のキャラクターのゲームアイテムが紛失している」とのお問い合わせメールを頂く
Game Masterが調査を開始
14:00 Game Masterの報告を受け、サーバ管理者が調査を開始
15:00 該当する会員様のアカウントIDが、不正な海外IPで接続されたログを確認
15:45 ログの調査を行い、個人情報流出の可能性を確認
緊急メンテナンス実施し、ゲームサービス、会員様ページの利用を停止
第三者の専門機関に連絡。引き続き、調査を進める

8月7日（月）
09:00 緊急対策チームを設置。関連企業と緊急協議
13:00 第三者の専門機関を交え対策ミーティングを実施
18:00 第三者の専門機関による調査を開始
21:40 ローズ公式サイトを停止し、個人情報流出の可能性を会員の皆様に告知

8月8日（火）
11:00 警視庁ハイテク犯罪対策総合センター、経済産業省と相談を開始
15:30 運営会社株式会社フェイスが本件に関するプレスリリースを発表。同時に、専用お問い合わせ窓口を設置
20:30 ローズオンライン公式ブログをお持ちの会員様へ、パスワード変更のメールを配信

ちなみに、８月８日に株式会社フェイスが出したプレリリースとは以下のようなものです。「ローズオンラインエボリューション」への不正アクセス発生について　株式会社フェイス　２００６年８月８

さて、話をまたお知らせに戻しますが、８月１０日にはこんなお知らせが出ています。

しかしながら、会員の皆様よりゲーム再開についてのお問い合わせが多数あり、
ゲームサービスのみを先行して再開出来ないか、検討しております。
具体的な日程など、ご報告する段階には至っておりませんが、
ゲームのアップデートなどを併せまして、調査と平行して、再開の内容を検討中です。

情報漏えいでシステムを止めているついでに、ゲームのアップデートをしようとは。すごい会社です。

８月１１日には「不正アクセス発生に関する調査報告とお詫び」というお知らせが出ています。以下はこのお知らせからの引用です。

会員の皆様へ

8月6日、外部からの不正アクセスによる会員様の登録情報流出の可能性があることを
確認いたして以降、会員様の二次被害防止を最優先と考え、
直ちに緊急メンテナンス実施し、ゲームサービス、会員様ページの利用を停止するとともに、
第三者の情報セキュリティー専門会社に連絡するなど、
鋭意、事実確認、原因究明を進めてまいりました。

不正アクセスされた可能性があるのであれば、システムを停止し原因究明を行うのはもはや当たり前、いや、インターネットに公開されているシステムを持つ企業の義務です。

8月7日には社内に緊急対策チームを設置するとともに、
第三者の情報セキュリティー専門会社に調査を委託し、
個人情報の流出状況の調査を進めております。

更に、同日会員様に登録情報流出の可能性を告知させていただくとともに、
8月7日以降逐次状況をご報告申し上げるなど、迅速な情報開示にもつとめております。

どうも書き方が言い訳がましい感じがします。さて、ここからが漏洩した可能性のある会員情報件数です。

現時点の調査状況ならびに再発防止策などについてご報告申し上げます。

１．個人情報流出に関する調査状況

サービス開始以降、会員登録いただいた登録情報の全件数は以下のとおりです。
●ユーザーID、パスワード、登録メールアドレス、登録生年月日　365,698件分
●登録氏名、登録性別、登録住所、登録郵便番号、登録電話番号、ニックネーム　167,152件分
（注）同一ユーザーの方による重複登録があるため件数で記載しております。

会員様の上記登録情報の一部が不正アクセスにより流出した可能性がありますが、
現在のところ、今回の不正アクセスを原因として各会員様の情報が外部に
流出したというケースは報告されておりません。

なお、決済は、匿名性の高いプリペイド型の電子マネーである
株式会社ウェブマネーの『WebMoney』のみで行なっているため、
クレジットカード番号などの決済に関わる個人情報が流出した事実はありません。

最大３６５,６９８件とはすごいですね！しかし、より問題が大きいのは氏名、性別、住所、電話番号が漏洩した可能性がある１６７,１５２件です。クレジットカード番号が流出していないことは不幸中の幸いですね。

このお知らせと同じ内容のものが株式会社フェイスのプレリリースとしても出ています。こちらはあまり言い訳がましくないです。
不正アクセス発生に関する調査報告とお詫び　株式会社フェイス　２００６年８月１１日

現在閉鎖中の「ローズオンライン」ですが、セキュリティ対策実施後再開するとのことです。今月中の再開を目指しているということですが、夏休み中にこのゲームをやりこみたかった学生たちは非常に不満でしょうね。違うオンラインゲームに移ってしまうかもしれません。

しかし、個人的にはお盆も休まずに働いている（おそらく総出で動いているのではないかと思われる）「ローズオンライン」のシステム担当者たちが気の毒でなりません。まあ、私も８月中は休みがないですけど。

＜参考＞
ローズオンライン　現在は閉鎖中で、今回の事件に関するお知らせが載っている。
「ローズオンライン」に外部から不正アクセス、個人情報流出の恐れ　ITmedia ２００６年８月８日
情報流出は最大36万件超　「ローズオンライン」不正アクセス事件　ITmedia ２００６年８月１１日
MMORPG「ローズオンライン」、不正アクセスで会員情報が流出した可能性 INTERNET Watch　２００６年８月８日
フェイス、MMORPG「ローズオンラインエボリューション」WEBサーバーへの不正アクセスを確認、情報流出の可能性　GAME Watch ２００６年８月８日

MSが8月の月例パッチ12件を公開

マイクロソフトは8月9日，WindowsやInternet Explorer（IE），Microsoft Officeなどのセキュリティ情報と修正パッチ（セキュリティ更新プログラム）を12件公表しました。以下はIT Proからの引用です。

最大深刻度が「緊急」に設定されているのは以下の9件。

（1）Server サービスの脆弱性により，リモートでコードが実行される (921883) (MS06-040)
（2）DNS 解決の脆弱性により，リモートでコードが実行される (920683) (MS06-041)
（3）Internet Explorer 用の累積的なセキュリティ更新プログラム (918899) (MS06-042)
（4）Microsoft Windows の脆弱性により，リモートでコードが実行される (920214) (MS06-043)
（5）Microsoft 管理コンソール (MMC) の脆弱性により，リモートでコードが実行される (917008)
（6）HTML ヘルプの脆弱性により，リモートでコードが実行される (922616) (MS06-046)
（7）Microsoft Visual Basic for Applications (VBA) の脆弱性により，リモートでコードが実行される (921645) (MS06-047)
（8）Microsoft Office の脆弱性により，リモートでコードが実行される (922968) (MS06-048)
（9）Windows カーネルの脆弱性により，リモートでコードが実行される (917422) (MS06-051) (MS06-044)

残りの3件については，最大深刻度は「重要」。

（10）Windows エクスプローラ の脆弱性により，リモートでコードが実行される (921398) (MS06-045)
（11）Windows カーネルの脆弱性により，特権が昇格される (920958) (MS06-049)
（12）Microsoft Windows ハイパーリンク オブジェクト ライブラリの脆弱性により，リモートでコードが実行される (920670) (MS06-050)

WindowsやOfficeに12件のセキュリティ・ホール，PowerPointのパッチもリリース　IT Pro　２００６年８月９日
今回の月例パッチに関する記事はたくさんありますが、このIT Proの記事が今回のパッチについて一番詳しく書いてあります。

上記のIT Proの記事を見れば分かるのですが、今回の月例パッチにはMS Officeのパッチも２件あります。Windows OSはMicrosoft Updateを行えばよいのですが、Macintosh向けの修正プログラムは専用のWebサイトやマイクロソフトのセキュリティ情報サイトからのダウンロードする必要がありますので、ご注意ください。
MS、WindowsやOfficeに関する危険なセキュリティホールを多数修正　IT Pro　２００６年８月９日

さて、今回の月例パッチの中でも特に重要なのが、Server サービスの脆弱性により、リモートでコードが実行される (921883) (MS06-040) （イラストでの解説はこちら）です。この脆弱はリモートから能動的に攻撃可能なバッファ・オーバーフロー脆弱性で、細工が施されたデータを送信されるだけでデータに含まれる任意のプログラムを実行されることができてしまいます。しかも、プログラムは「SYSTEM」権限で実行されるのでマシンを乗っ取られる可能性があります。

恐ろしいことに、既にこの脆弱性を突く攻撃が出現しているようです。以下はIT Proからの引用です。

　米US-CERTは現地時間8月8日，同日公開されたWindowsのセキュリティ・ホールを突く攻撃が出現しているとして注意を呼びかけた。修正パッ チを適用していない場合には，できるだけ早急に適用したい。すぐに適用できない環境では，TCP ポート139および445をファイアウオールでブロックするなどして回避策を施したい。

Windowsの新しいセキュリティ・ホールを突く攻撃が早くも出現　IT Pro　２００６年８月９日

マイクロソフトもこの脆弱性の重要性をよく認識しているようで、この「MS06-040」のセキュリティパッチの適用を優先的に行うことを呼びかけています。
『「『MS06-040』のパッチ適用を優先させるべき」，MSのセキュリティ・チーム』　IT Pro　２００６年８月９日
言われてみれば、今回の月例パッチを適用するときに「MS06-040」のセキュリティパッチの部分にだけ赤字で、とっても重要なので早く適用してくださいといったことが書かれていましたよね。

以前、このブログの記事でも述べていますが、夏休みを取っているために、会社で利用しているＰＣに今回の月例パッチをまだ当てていないといった場合もあるかと思います。そういった場合は次にＰＣを起動するタイミングで、すぐに月例パッチを当てることをお勧めします。最悪の場合はMS Blastの二の舞になることも考えられますので・・・。

＜参考＞
【今回の月例パッチについて】
2006 年 8 月のセキュリティ情報　マイクロソフト　２００６年８月９日
８月のセキュリティリリース　日本のセキュリティチームの Blog　２００６年８月９日
MSが8月の月例パッチ12件を公開、IEの累積的修正など“緊急”も9件　INTERNET Watch　２００６年８月９日
今日は毎月恒例「Windows Update」の日、全部で12件　GAGAZINE　２００６年８月９日

【「MS06-040」パッチ関連】
Microsoft Windows の Server サービスの脆弱性(MS06-040)について　IPA　２００６年８月１０日
8月公開の「MS06-040」は危険，すぐに対処を　IT Pro Watcher Security from USA　２００６年８月９日
WindowsのMS06-040向け修正パッチを直ちに適用せよ，米国土安全保障省が呼びかけ　IT Pro　２００６年８月１０日
「MS06-040」のパッチ未適用マシンを検出するツール，eEyeが無償提供　IT Pro　２００６年８月１０日

学生に第一線の技術を叩き込む「セキュリティキャンプ2006」，経産省が開催

経済産業省と財団法人と日本情報処理開発協会が主催している「セキュリティキャンプ2006」が８月８日から開催されているそうです。このセキュリティキャンプというのは、若年層のセキュリティ意識の向上と優れたセキュリティ人材の発掘と育成を目的として毎年夏に開催されています。ちなみに４泊５日らしいです。以下はIT Proからの引用です。

昨年同様，日本を代表するセキュリティ技術者が講師陣に顔をそろえた。実行委員長はラック代表取締役の三輪信雄氏。独立行政法人情報処理推進機構の園田道 夫氏，NTTデータの宮本久仁男氏，テックスタイルの岡田良太郎氏，理化学研究所の渡辺勝弘氏，エネルギア・コミュニケーションズの濱本常義氏，NTT データ先端技術の根津研介氏，日本高信頼システムの田口裕也氏，ネットエージェントの伊原秀明氏，中央大学研究開発機構の塩月誠人氏，三井物産セキュア ディレクションの国分裕氏，吉田英二氏，サイボウズラボの竹迫良範氏，ラックの村上純一が講師として，第一線の現場で使われているセキュリティ技術を伝授 する。「これだけの講師陣をそろえたカリキュラムは，いくら費用をかけても他では実現できない」(実行委員長 三輪氏)。密度の高い講義を短期間で“叩き込む”。

なんと豪華な講師陣でしょう！私が参加したいぐらいです。

　挨拶に立った経済産業省 商務情報政策局情報処理振興課長 鍛冶 克彦氏は「日本を支えるのはIT産業であり，将来のIT産業を背負って立つのはここにいる参加者の皆さん」と期待を語った。昨年，一昨年のセキュリティ キャンプ参加者の中にはすでにセキュリティ関連企業に就職した卒業生もいる。卒業生によるインターネット上のコミュニティもできており，何人かはチュー ターとして今年のキャンプに参加している。

こういったイベントに参加した学生たちが将来の日本のＩＴ産業を背負っていくということでしょうか。このセキュリティキャンプに参加するには書類審査があり、今年は１３１名の応募の中から３１名が選ばれたそうです。参加資格は２２歳以下（昨年までは２０歳以下）なのですが、昨年、一昨年は高校生が参加者の多数を占めていたようです。

私はこういったイベントを行うのも無駄ではない思うのですが、少数のエリートを作ってもなぁ、と思ってしまいます。特に情報セキュリティの技術というものは、多くの技術者が標準で持っているべき技術なのですから。

　講師による実習では，セキュアなサーバー構築やネットワーク解析，マルウェアに感染してみる実習，カード番号が漏れたインシデントを想定した事故の解析 などが行われる。「昨年よりもさらに深くなっている」(三輪氏）。8月12日までの4日間には，セキュリティ企業の見学，検事の大橋充直氏による講義など が予定されている。最終日には，参加者が研究発表会でキャンプの成果を発表する。

内容もかなり楽しそうですね。いいなぁ。参加者がうらやましい。

＜参考＞
学生に第一線の技術を叩き込む「セキュリティキャンプ2006」，経産省が開催　IT Pro　２００６年８月８日

仙台市水道局、職員のPCから2,011人分の個人情報などWinnyで流出

最近Winnyによる情報漏えい事件のニュースを見なくなったなぁと思っていたのですが、 仙台市水道局がやってくれました。しかも、Winnyネットワークに流出してしまった情報は質、量ともになかなかのもののようです。以下はINTERNET Watchからの引用です。

　流出した情報は、水道メーターの交換業務委託に関する書類、水道メーター交換台帳、集合住宅代表者リスト、予算関係書などの行政情報440ファイル。この中には、2,011人分の氏名、住所、電話番号のほか、189社分の法人名、所在地、電話番号が含まれていた。

　仙台市水道局によれば、2005年3月頃に給水部北配水課の職員（40歳代）が業務で使用していたMOに行政情報を記録し、自宅の私物PCの HDDにコピーしていたという。その後、この私物PCでWinnyを使用していたところ、2006年8月3日にウイルスに感染し、インターネット上に HDD内の情報が流出した。

仙台市水道局、職員のPCから2,011人分の個人情報などWinnyで流出　INTERNET Watch　２００６年８月８日

この職員が情報を自宅に持ち出した今年の３月といえばWinnyウイルスによる情報漏えいが注目を集め、安倍晋三官房長官が「情報漏洩を防ぐ最も確実な対策は、PCでWinnyを使わないことです」という呼びかけを行ったころです。すごい根性の持ち主ですね！自分は大丈夫だと思っていたというところでしょう。
「Winnyを使わないで」安倍官房長官が国民に呼びかけ　INTERNET Watch　２００６年３月１５日

今回の情報漏えいを防止するためには、次の４つの対策が有効ではないでしょうか。

1. 重要なデータの社外への持ち出しを禁じるルール策定
2. 重要なデータを社外に持ち出せないようにする仕組み（システム）作り
3. ユーザ向けに重要なデータを社外に持ち出してはいけないという教育の実施
4. ユーザ向けに自宅でWinnyを利用してはいけないという教育の実施

まず、ルールがないと話を始めることができませんから１番目は非常に重要です。もちろん情報の持ち出し部分だけでなく、情報セキュリティ全般に対するルール作りが必要です。２番目の仕組みづくりというは人的セキュリティ対策に頼るだけでなく、仕組みとして禁止されている操作を行えないようにしようということです。操作監視とかも良いかもしれません。３番目はユーザに対する教育ですが、これも１番と同じで情報の持ち出しだけでなく情報セキュリティ全般の教育を実施する必要があります。このように情報セキュリティというのは、ルール、仕組み、教育という３つが欠けることなく行われて初めて効果が出るものだと私は考えています。

さて４番目ですが、これは少し難しい問題です。私はユーザが自宅でWinnyを使うのは自由だと考えています。しかし、その行為によって業務で利用している重要な情報が危険にさらされるのであれば話は別です。最も良いのは仕事上のデータを会社から持ち出させないことですが、そうはいかない場合はしっかりとしたルール、仕組みを作り、ユーザに教育を行う必要があります。

＜参考＞
お客さま情報の漏洩について(お詫び）　仙台市水道局　２００６年８月７日

千葉市教委ＨＰ 個人情報丸見え事件

少し前のニュースになりますが、 千葉市教育委員会のホームページに個人情報が閲覧可能なデータが公開されていたそうです。以下はasahi.comからの引用です。

市教委によると、同市教委会議録９回分のうち、黒く「墨塗り」した住所や病名など１５人分の個人情報が閲覧可能になっていた。「ワープロソフトで会議録を 作成した際、個人情報の部分を『蛍光ペン』という機能を使って墨塗りしたが、元の文書を消していなかった。確認不足で、技術的に未熟だった」としている。 当時のＨＰ作成担当者は「そのやり方が能率的に速く消せると考えた」と話しているという。

千葉市教委ＨＰ「墨塗り」丸見え、会見で謝罪　asahi.com　２００６年８月１日

どうやら、Wordなどの文章の個人情報部分を蛍光ペンで見えなくし、その文章をPDF形式に変換してWebサイトに公開してしまったようです。見えなくなって入るものの、文章内に個人データが残っているとは思わなかったのでしょうか？

この事件の原因は情報セキュリティに対する教育が足りなかったというよりも、単にユーザがオフィスソフトに関する知識がなかったということにあるしょう。しかし、最大の原因は外部に公表する資料に対しての管理・チェック体制だと思われます。

千葉市教育委員会といえば非常に個人情報を大切にするところだと思っていました。以下はasahi.comからの引用です。

　市教委は７月１９日、下着を盗んだとして懲戒免職にした教諭を匿名で発表。その理由として「被害者の意向」とうそをついて、「プライバシーを守るため」と強調し、批判を浴びた。

隠したはずの個人情報丸見え　千葉市教委のホームページ　asahi.com　２００６年８月１日

今回の事件の教訓は次の３つですね。

1. 個人情報は思わぬところから流出する。
2. 公開サーバに置く物は、いくら注意しても注意しすぎることはない。
3. 新たに事件を起こすと、前の事件のことまで蒸し返される。

情報漏えいって、怖いですね。皆さん、十分気をつけましょう！

＜参考＞
公務員研修で体験させておくべき演習 「蛍光ペンで墨塗り」の巻　高木浩光＠自宅の日記　２００６年８月２日
ホームページ「部分黒塗りPDFファイル」事件　IT Pro Watcher　２００６年８月４日
黒塗りの個人情報閲覧可能に…千葉市教委ＨＰの議事録　YOMIURI ONLINE　２００６年８月１日
千葉市教委が下着泥棒の“先生”を匿名発表　スポーツ報知　２００６年７月２１日

「セキュリティとか人工知能とか」は「情報セキュリティばんざい！」に変わります

今までこのブログは「セキュリティとか人工知能とか」というタイトルで、情報セキュリティと人工知能の話題を取り上げるという方針の元運営されていました。しかし、これまで人工知能をテーマとした記事は１本もなく、全て情報セキュリティ関連の話題となっています。

そこで今回、思い切ってタイトルを「情報セキュリティばんざい！」に変更し、取り上げる話題は全て情報セキュリティ関連とすることにしました。人工知能関連の話題はどこか別の場所で取り上げることができればと思います。

というわけで、タイトルは変わりましたが内容は今までと変わりありませんので（むしろ今までのほうが看板に偽りありでした。）今後ともよろしくお願いします。

夏休み前にセキュリティ対策の確認を

IPAが お盆休みや夏休みなどの長期休暇中に入る前にセキュリティ対策の確認を行うように呼びかけています。
夏休み前にセキュリティ対策の確認を　IPA セキュリティセンター　２００６年８月４日

IPAの呼びかけの内容ですが、まず長期休暇に入る前に次の８つを確認しましょうと述べています。

1. 使用している OS、ブラウザ等のアプリケーションのバージョンアップと修正プログラムの適用。
2. ワクチンソフトの定義ファイルを最新版に更新する。また、自動更新の設定にしておく。
3. ファイアウォールや侵入検知システムに最新のシグネチャファイルを適用。
4. ブラウザ等のセキュリティレベルの設定。
5. バックアップの実施。
6. 不測の事態が発生したときの緊急連絡体制。
7. サーバーにおいて不必要なサービスの停止。
8. 休暇中に使用しないサーバーやパソコンの電源を切る。

これは一般ユーザ向けというよりも、システム管理者向けの内容ですね。８番を除いた７つのことは夏休みだからというわけではなく、常に行っておく必要があることだと思います。

また、上記とは別に「システム管理者へ」という項目で、ファイアウォール等の設定の確認行うこと、休み明けにセキュリティパッチの適用を行うことなどが述べられています。マイクロソフトは８月９日にWindowsのセキュリティパッチを１２個出すことを発表していますので、もしパッチを当てていない場合は休暇明けにすぐパッチを当てる必要がありますね。
「8月公開のセキュリティ情報は12件，『緊急』を含む」---MSが予告　IT Pro ２００６年８月４日

個人的にはあまりよくないとは思いますが、休暇中にノートパソコンを自宅に持ち帰っているユーザがいるかもしれません。こういったパソコンはウイルスなどに感染しているかもしれませんので、社内LANにつなぐ前にウイルスチェックを行う必要もあります。

システム管理者は夏休みもうかうか休んでいられませんね。

＜参考＞
「長期休暇前にはセキュリティ対策の確認を」---IPA　IT Pro ２００６年８月４日
IPA、夏休み前のセキュリティ対策を呼びかけ　INTERNET Watch ２００６年８月４日

KDDIが個人情報漏えい事件の再発防止策を発表

個人情報漏洩事件は日々発生していますが、最近発生した大規模な情報漏えい事件といえばKDDIの顧客情報漏洩事件でしょう。もちろん本ブログでも取り上げました。
KDDIの個人情報漏洩事件　 ２００６年６月１４日

さて、今回の情報漏えい事件を受けてKDDIでは事件発生直後から情報セキュリティ対策の見直しを行ったそうなのですが、その結果として今後どのような情報セキュリティ対策を行っていくのかを発表しました。
お客様情報流出の再発防止に向けた情報セキュリティ強化対策について　KDDIニュースリリース　２００６年８月２日

まず、発表された情報セキュリティ対策のコンセプトを見てみましょう。コンセプトは以下の４つです。（KDDIニュースリリースより抜粋）

(1) 情報流出およびデータ抽出防止
(2) 証跡確保
(3) 情報セキュリティ対策の有効性測定、客観性確保
(4) 当社社員および業務委託先等社員に対する教育の徹底

今回の情報漏えい事件では、アクセスログが残っていなかったため原因究明ができていないということもあり、「証跡確保」が挙げられています。また、KDDIの社員だけでなく、業務委託先の社員に対する教育の徹底ということも挙がっています。派遣社員、委託社員への教育というのは情報セキュリティ対策の中でも非常に重要なものです。今まで実施していなかったのならば大問題です。早急に実施していただきたいと思います。

次に、今年度内に行うセキュリティ対策ですが、（1）物理的セキュリティ，（2）技術的セキュリティ，（3）管理的・人的セキュリティの３つを大枠として、細かく述べられています。詳細はニュースリリースを見てください。

この発表された情報セキュリティ対策を見る限り、今後KDDIの情報セキュリティはかなり厳しくなると思われます。そして、おそらく業務委託先などにもかなり高度な情報セキュリティ対策を求めることになるのだろうと思います。KDDIをメイン顧客にしている中小規模の企業はこれから大変ですよ。

また、これらの情報漏えい対策のために、KDDIは１００億円を投資するそうです。
KDDIが個人情報漏えい事件の再発防止策を発表，投資額は100億円　IT Pro　２００６年８月２日

投資額１００億円とはすごいですね。ソフトバンクのときもそうでしたが、情報漏洩が発生すると直接的な被害だけでなく、間接的な被害、また再発防止策のための莫大な費用が発生します。どうせ情報セキュリティ対策にお金をかけるのなら、情報漏えいが発生後より、発生前にかけたいですよね。しかし、後悔先に立たず、人は痛い目を見ないと行動できないものなのです。