プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2008年12月

465f8dd1.jpg情報セキュリティの専門会社である株式会社ラック(東京都港区)は、12月22日付で、国内のWebサイトに対するSQLインジェクション攻撃が急増し、その結果としてウイルスに感染する事例が急増していると注意を喚起しました。

今回、発生している事態は、まとめると下記の通り。

(1)12月15日頃より、国内のWebサイトをターゲットとしたSQLインジェクション攻撃が急増。このSQLインジェクション攻撃は、データベースの内容を盗み見るものではなく、Webサイトを改ざんする事を目的としているもので、実際に多くの国内のWebサイトが改ざんされた。
(2)12月19日以降、(1)により改ざんされたWebサイトにアクセスした利用者が、ウイルスをダウンロードしてしまったことにより、ボットネットワークの一員となってしまい、上記(1)のSQLインジェクション攻撃を仕掛ける側になってしまっている。

これに対して、ラックでは下記の対策を呼びかけています。

(1)に関しては、Webサイトを管理している企業に対して、Webサーバログ解析ツールなどを利用して、自社のサイトに改ざんが行われていないかどうかを確認し、改ざんが発見された場合には、サイトをすぐに停止しての復旧作業を行うこと。
(2)に関しては、社内ネットワークから社外へのアクセスを監視するなどの方法により感知し、見つかった場合にはウイルス対策ソフトで駆除すること。しかし、ウイルス対策ソフトでは間に合っていない場合も考えられるため、完全な対策としてはパソコンの出荷状態への復元を行うこととしています。

(私のコメント)
JR北海道の事例はこの前触れだったみたいで、他の会社でも同様のケースが多発しているようです。しかし、(1)のケースはあまり発表されませんね。JR北海道の他には東京都くらいしか見当たりませんが。。。だんまりを決め込むつもりなんでしょうか?

http://www.lac.co.jp/news/press20081222.html
http://www.fukushihoken.metro.tokyo.jp/hodo/presssoumu081219/index.html
http://blog.optima-solutions.jp/archives/51262540.html

北海道JR北海道(北海道札幌市)は、11月28日付で、同社ウェブサイトが不正アクセスにより改ざんされ、アクセスした人が他のサイトに自動的に誘導されるようになっていたため、一部のウェブサイトを停止したと発表した。

その後、12月5日付で、不正アクセスによる個人情報流出はなかったと発表した。

そして、12月11日付で、他のサイトに自動的に誘導された人がウイルスに感染した可能性があることならびにその対策を公表すると同時に、安全が確認されたページを再開した。

12月12日現在に至るも、一部のページは停止されたままである。

(私のコメント)
今回の不正アクセスについては、詳細はほとんど公表されていませんが、SQLインジェクション攻撃によるものであることはほぼ間違いないものと思われます(これは私の推測です)。

今回の事件の興味深いところは、犯人は個人情報の持ち出しは一切行っていないということです。むしろ、ウイルスをダウンロードするように設定したウェブサイトへの自動転送のみを実施したということです。

個人情報の流出が一切なく、自動転送のみが実施されたSQLインジェクションによる不正アクセスの被害というのは国内では初めてのケースだと思われます。そのため、何となくJR北海道も何をすればいいのかよく分かっていないのではないかと思います。

JR北海道からは、ウイルスに感染させてしまったことに対するお詫びの言葉は全くなく、むしろ「個人情報の流出はありませんでした」というような公表をして、あたかも今回の事件が軽いものであったかのような打ち出しをしています。

しかし、「ウイルスに感染させてしまう」という行為は、「個人情報を流出させてしまう」という行為との比較において、どちらも大きいとも小さいとも言えない、重大な行為であることは間違いありません。今回の事件は軽視されるべきではありません。JR北海道は、今回の被害の原因とその対策をもっとはっきりと情報開示するべきだと思います。


http://www.jrhokkaido.co.jp/info081211-1.html

http://www.jrhokkaido.co.jp/press/2008/081209-1.pdf
http://www.jrhokkaido.co.jp/press/2008/081128-2.pdf

株式会社JALホテルズ(東京都品川区)は、12月5日付で、顧客の氏名とメールアドレス14万5千人分がインターネット上からアクセス可能になっていたと発表した。

同社によると、9月24日に同社から広告メールを配信した時に使用した個人情報のリストが、10月10日から12月4日までの間、同社の業務委託先のWebサイト上に置かれており、アクセス可能な状態になっていたという。

(私のコメント)
単純なミスではありますが、サービス業のトップの地位にあると思われるホテル業界での事件ということ、件数がある程度多いということ、業務委託先からの流出ということの3点から、注目しましたので、このBlogで取り上げました。

http://www.jalhotels.com/jp/company/information081205.html http://www.jalhotels.com/jp/

5010d84f.jpgこの数年で爆発的な普及を見せたUSBメモリ。価格が安くなり、容量が大きくなり、いまや数GBのメモリが数千円で国内でも購入できるようになりました。

そして、頭がいたいのが、このUSBメモリの紛失時の対策ですよね。

USBメモリによる個人情報流出は、NPO日本ネットワークセキュリティ協会「2007年情報セキュリティインシデントに関する調査報告書」においても、件数の急増が報告されています。

今回は、このUSBメモリにパスワードをかける事ができて、万が一の紛失時にも「高度な暗号化」を施していたと言える製品をご紹介したいと思います。

※「高度な暗号化」とは、経済産業省の個人情報保護に関するガイドラインにおける言葉遣いであり、個人情報の漏えい事故に際して、これを施していた場合には「本人への連絡」と「事実関係、再発防止策の公表」を省略することができるとしています。

(1)バッファロー社「RUF2-HSCLシリーズ」

これは、私がこの半年間くらい個人的にモニター利用しているものですが、まず無難なものとしてオススメします。

このUSBメモリをWindowsパソコンに装着すると、通常のUSBメモリと同じく、「リムーバブルディスク」として認識されますが、この状態ではフォルダを開くことができません。ここで、セキュリティ機能を解除するためのアプリが収められた「MANAGE_DRV」という2つ目のドライブが見えます。このドライブを開き、その中の「PASSWORD_L.exe」というアプリを起動すると、「認証に成功しました。ユーザードライブを開いています」という表示が出て、後は通常のUSBメモリとして使用できるようになります。

一段、操作が増えますので、通常のUSBメモリと同様の使い勝手とはいえませんが、ま、セキュリティのためならこれくらいは仕方ないといえるでしょう。

この「RUF2-HSCLシリーズ」は、暗号化方式として今のところ解読されていないAES256bit方式を採用していますので、「高度な暗号化」を施していると言ってよいと思います。

あと、この製品のよいところは、キーホルダーとして長期間使用しても壊れない耐久性にあります。たいしたことがないことのように思われるかもしれませんが、USBメモリを紛失してしまう理由の一つとしては、単独で携帯しようとするものの、それが小さいものであるので、ついついなくしてしまうということだと思います。ですから、USBメモリは、キーホルダーとして携帯することが一つの紛失対策になるのです。

いくつかのUSBメモリは、ストラップを取り付けることができなかったり、ストラップを取り付ける部分の構造がもろくてすぐに壊れてしまうというような場合がよくあります。その点、この製品は、ストラップを取り付ける部分が本体と一体形成になっていて大変丈夫ですし、またコネクタ収納機構があるので、端子部がいつも保護されているということもよい点です。

あくまで、無難な製品として、オススメします。

http://buffalo.jp/products/catalog/flash/ruf2-hscl/

(2)自滅するフラッシュドライブ「IronKey」

アメリカから、最新の情報が飛び込んできました。「このテープは5秒後に自動的に消滅する」を地で行くUSBメモリです。

この製品は、パスワードを10回間違えるとデータが消滅してしまうというものです。非常に興味深い。

しかし、これは万人にはオススメしずらいですね。

なぜか、一点目、10回間違えるとデータが消滅してしまうというのであれば、誰かが自分の知らない間に嫌がらせでパスワードを10回入力すれば、それでデータは消えてしまいます。だから、このメモリは機密性は強固であっても、可用性が低いわけです。

二点目、この製品にはストラップをつけるところがなさそうです。これではキーホルダーとして使用することができない。だから、すぐになくしますよ。これは。

http://www.gizmodo.jp/2007/07/post_1956.html

https://www.ironkey.com/

↑このページのトップヘ