プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

2008年08月

社団法人コンピュータソフトウェア協会(略称:CSAJ、東京都千代田区)は、8月20日付け会員メールにおいて、CSAJがプライバシーマークの指定機関(審査機関)の認定を受けて約1年が経過し、この間の活動実績を公表した。

・CSAJが、この1年間で申請を受理したプライバシーマークの取得・更新は、48社。
・うち24社が既に審査を終了し、認定事業者となっている。
・平均審査期間は3ヵ月、最短のケースでは申請から1.5ヵ月で認定されているとのこと。

(私のコメント)
審査期間が平均3ヶ月というのは、JIPDECと比較して格段に早いと言えると思います。CSAJでプライバシーマークの審査を受けるためには、CSAJの正会員にならなければいけませんが、この団体は、特にパッケージソフトウェアに源流を持つ企業が集まって構成されており、とてもフレンドリーな団体でもあり、年会費もそれほど高くありませんし、IT業界に属する会社でしたら、プライバシーマークの審査をスムーズにするためだけでも入会を検討されてよいと思います。(当社もCSAJ正会員です)

http://www.csaj.jp/pmark/

情報セキュリティの専門会社株式会社ラック(東京都港区)は、8月20日付で、付属のコンピュータセキュリティ研究所の調査結果として、「ビジネス化がさらに加速するサイバー攻撃〜進化し続けるアンダーグラウンドビジネス」と題したレポートを公開しました。

これによると、近年多発しているSQLインジェクション攻撃を中国方面の悪意を持った集団からのものと断定し、さらにSQLインジェクション攻撃自体が「ボット化」していると指摘しています。

※ボットとは、一般の人が利用しているパソコンに本人に知られないうちにインストールされ、外部から自由に操ることができるように仕組まれたソフトウェアのこと。悪意を持った集団は、これらボットを大量に保有しており、それらを自由に操って様々な攻撃を行うことができる。語源は「Robot」らしいです。

すなわち、SQLインジェクション攻撃も、特定のIPアドレスから来るというわけではなく、大量のIPアドレスから五月雨式に来るわけです。

また、SQLインジェクションの攻撃対象を選択する際に、Googleを使用してターゲットを選択しているといいます。

これに対して、同レポートは、下記の3つの対策を呼びかけています。

(1)検索エンジン対策を実施し、攻撃されやすいページを検索結果に表示されないようにする。
(2)プログラミングの工夫により、Webアプリケーションから脆弱性を取り除く。
(3)IPS(侵入防止システム)やWAF(Webアプリケーションファイヤーウォール)を使用してネットワークとして防御する。

(私のコメント)
SQLインジェクション攻撃が、中国を中心として、営利を目的として、組織的に行われているということがこのレポートでよく分かります。また、SQLインジェクション攻撃がボット化しているということは、新しい情報として非常に貴重です。ラックという会社は、国内における情報セキュリティの分野では、突出した存在となりつつありますが、今回のレポートも大変貴重なものであると思います。

http://www.lac.co.jp/news/press20080820.html

RSAセキュリティ株式会社(東京都千代田区)は、7月31日付で、同社のフィッシングサイト閉鎖サービス「RSA FraudAction®(アールエスエー・フロードアクション)」を東京スター銀行が採用したと発表した。

この「RSA FraudAction」というのは、フィッシング詐欺をはじめとするインターネット上での犯罪から、企業とその顧客を守るためのサービスです。24時間365日体制で監視/検出し、企業に対して警告し、サイトを閉鎖させるとのことです。

フィッシング詐欺に使用されるサイトというのは、海外のサーバーで開設されるケースが多いようですが、同社では各国の法律・規制に精通したエンジニアが数十ヶ国の言語を駆使し、米国、香港、韓国、東欧、ロシアなど世界中の国々に開設されたフィッシングサイトを短時間のうちに閉鎖できるとしています。

同社によると、国内でも多くの金融機関がこのサービスを使用しており、東京スター銀行で、20例目にあたるとのことです。

RSA FraudAction 採用金融機関
(2008年7月31日現在)
みずほ銀行
三井住友銀行
りそなホールディングス
ジャパンネット銀行
ソニー銀行
住信SBIネット銀行
足利銀行
八十二銀行
京都銀行
中央三井信託銀行
新生銀行
東京スター銀行
京都信用金庫
京都中央信用金庫
商工組合信用金庫
広島市信用組合
野村證券
セントラル短資オンライントレード
ゆうちょ銀行
ジェーシービー

(私のコメント)
RSAがこのようなサービスをやっているとは知りませんでした。実際のところ、フィッシング詐欺は、世界規模の犯罪ですので、このような形で取り組むことが必要なんだろうと思います。しかし、契約金、高そうですねえ。

http://japan.rsa.com/press_release.aspx?id=9522
http://japan.rsa.com/node.aspx?id=3020

セキュリティ専門会社である株式会社ラック(東京都港区)は、8月6日付で、付属のデータベースセキュリティ研究所のレポートとして「緊急対応から見たWebサイト用データベースセキュリティ対策〜継続するSQLインジェクションの脅威」を発表しました。

これは、ここ数年継続して多発しており、今年に入って件数が再度増加傾向を見せている「SQLインジェクション攻撃」について、その動向と対策をまとめたもので、大変貴重な情報です。

データベースを利用したWebサイトを運営されている場合には、皆さんに関係のある情報になりますので、是非ご一読ください。

http://www.lac.co.jp/news/press20080806.html
http://www.lac.co.jp/info/csl_report/pdf/20080806_dbslreport.pdf

産経新聞Webサイト、7月30日付記事より。

フィッシングでネット銀行から現金詐取 全国初の摘発だそうです。

フィッシング詐欺とは、正規サイトと見間違えるような偽者サイトをあらかじめ用意し、不特定多数にそのページのURLを記述したメールを送信して呼び込み、正規のID、パスワードなどをだまし取るという手法のこと。

この方法で、実際に国内のネット銀行の口座からお金を引き出されたケースが発生し、摘発されたとのことです。

・犯人は愛媛県松山市在住の23歳の男性。
・摘発したのは警視庁ハイテク犯罪対策総合センターと警視庁王子署
・不正アクセス禁止法違反
・「イーバンク銀行」と「ゆうちょ銀行」に見せかけたサイトを作成した。
・事例1)2007年12月10日、神奈川県横浜市在住の31歳の女性の口座から39万円引き出し
・事例2)2008年3月26日、東京都杉並区のの37歳の男性の口座から119万円引き出し
・2007年10月15日から2008年4月30日までの間に、20口座から合計1170万円をだまし取った。
・犯人は、本件以外でもファイル共有ソフトで入手したデータを使って「新銀行東京」の顧客口座から120万円をだまし取った疑いもある。

犯人は「中学時代からネットが好きで、ネット犯罪に興味があった。楽して金を稼げるネット詐欺をやろうと思った」などと供述しており、だまし取った金はテーマパークやキャバクラでの遊興費に使っていたという。

(私のコメント)
いやあ、実際にこのように1000万円以上のお金をフィッシング詐欺で得ていた人が日本にいたということに驚きました。成功した人が一人いるということは、その予備軍がたくさんいるということです。

フィッシング詐欺に関しては、下記のような対策が有効です。

(利用者側の対策)
・メールでURLが送られてきた場合、その開こうとしているURLが、信頼の置けるドメインなのかどうかを自分自身で正しく認識することが重要。
・そのためには、電子メールはHTMLメールではなく、テキストメールを使用することがURLを直接目視できるので、効果的である。
・HTMLメールの場合は、画面に表示されているURLと、実際にリンクのはられているURLが異なっている場合があるので、ソースを見るなどの方法で、目視することが重要である。
・URLをクリックしてブラウザが立ち上がったら、そのURLが本当に自分の契約している銀行のドメインなのか、SSLで暗号化されているのか、など、よく調べてから、本当のID、パスワードなどを入力するようにする。

(提供者側の対策)
・ウェブサイトのURLは、利用者が自社の存在を認識できる、明確なドメインを使用する。
・URLを隠した画面でID、パスワードなどを入力させるような画面構成にはしない。
・EV SSLを取得することで、明確に自社サイトであることが確認できるような方法を用意する。

今後、ますますこのような対策が急がれます。

http://www.itmedia.co.jp/enterprise/articles/0807/30/news077.html

(株)日立システムアンドサービス(東京都港区)が運営する「情報セキュリティブログ」において、8月5日より、「ユミコのセキュリンピック」と題したコンテンツが公開されています。

これは、北京オリンピック開催を意識して、あたかも陸上競技に参加しているような形式で情報セキュリティに関する問題に答えていくものです。

結構マニアックな質問で、私は100点満点中、60点でした。残念。

皆様もチャレンジしてみてください!

http://blog.hitachi-system.co.jp/challenge/index.html

↑このページのトップヘ