プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2009年01月

0ca20a3a.gif情報セキュリティの専門会社である株式会社ラック(東京都港区)は、1月20日付で、SQLインジェクション攻撃とクロスサイトスクリプティングに特化したWeb診断サービス「Webセキュリティ診断・初診コース」を発表した。

SQLインジェクション(Wikipedia)

クロスサイトスクリプティング(Wikipedia)

同社によると、現在のセキュリティ事故の87%は、「SQLインジェクション攻撃」と「クロスサイトスクリプティング」という2種類の攻撃パターンで占められているという。そこで、この2種類に特化することで安価に設定したセキュリティ診断サービスを開始するということだ。

1サイト最大10URLを診断対象とした基本コースが63,000円(税込)、都内23区の企業に限定した報告会のオプションのついたコースが98,000円(税込)。

(私のコメント)
診断サービスといっても、単にインターネット越しにチェックしてくれるだけですから、あまり有り難味が沸かないかもしれませんが、今の最大の問題であるSQLインジェクションとクロスサイトスクリプティングの危険性が客観的に分かるというのは、他にはない魅力的なサービスだと思いますよ。

http://www.lac.co.jp/news/press20090120.html
http://www.lac.co.jp/jsoc/pentest/1st-websecurity.html

fd76b8ef.jpgネットエージェント取締役の萩原栄幸氏が、ITMediaにWinnyに関する記事を書いています。ごく普通の銀行マンが、Winnyによる被害で、家庭崩壊、人生が大きく変わってしまうという、恐ろしい話を紹介しています。

同社は、Winnyで情報を流出させてしまった場合に、その流出を最低限に食い止めるという「Winnyファイル拡散防止サービス」を提供している世界で唯一の珍しい会社ですが、火消し役を買って出ている同社ならではの生の情報であり、貴重な記事だと思います。

http://www.itmedia.co.jp/enterprise/articles/0901/13/news010.html

神奈川県

神奈川県教育委員会と日本IBM(東京都港区)は、1月8日に、神奈川県立高校の生徒11万人分の個人情報がファイル共有ソフトで公開されていることが判明したと発表した。

対象者は、神奈川県立高校(152校)に2006年度に在籍した全生徒約11万人分で、氏名、住所、電話番号、学校名、授業料の口座振替に使う銀行口座番号が含まれているとのこと。

昨年11月に、一部の流出が確認されていましたが、今回11万件全ての個人情報がWinnyネットワーク上でダウンロード可能な状態にあることが判明し、あらためて問題となっている。

県としては、専門の相談窓口を設置し、また書面でも全生徒と保護者に対して、振替口座の変更依頼を含むお詫びの連絡を行うとしています。

今回の事件は、開発参加企業の社員が仕事で使用した私物PCにWinnyがインストールされており、Winny暴露ウイルスに感染したことが直接の原因であったという。

詳細は明らかになっていませんが、報道によると、この際に流出した情報のうち2000件を、別の人物(その社員ではないと思われます)が、別のファイル共有ソフト「Share」で公開したようです。これを受けて、日本IBMでは、12月にISP(インターネットサービスプロバイダ)を経由してこの人物に対して情報の削除を求めましたが、この人物は、これを拒否してさらに「Winny」で11万人分全ての個人情報を公開した、ということになっているようです。

現在、日本IBMとしては、自社の社内文書が含まれていることから、著作権法違反を根拠に、ISPに対してこの人物が誰なのか開示請求して、損害賠償請求訴訟を起こすなどの法的措置を検討しているという。

また、県としては、現在の国の個人情報保護法制では今回のような事件に対応できないとして、法律の改正を国に対し強く求めるとしています。

(私のコメント)
いやあ、えらいことになっています。今回の事件は、個人情報の漏えいを悪意を持って意図的に行った事件としては、国内初の事件と言えるのではないでしょうか。この犯人は、どのような法律を使ってでもその責任を追及されるべきです。
ところで、今回、教育委員会は銀行口座の変更を求めていますが、銀行口座が知られたとして、それを変える必要があるのかどうかはなんともいえないところです。銀行口座が知られると、キャッシュカードを偽造することができるというリスクは発生しますが、暗証番号があり、数回連続でミスをすると、基本的にはカードが回収されてしまいますので、リスクはかなり小さいのではないかと思います。ただし、昨年、地銀でテレホンバンキングシステムで何回でも暗証番号を試すことができる状態になっていたために、口座番号が分かっただけで金銭を引き出すことができたという事件がありました。このようなケースに対応するには、口座番号自体を秘密にするしかないということにはなります。

http://www.pref.kanagawa.jp/press/0901/017/index.html
http://www-06.ibm.com/jp/press/2009/01/0802.html

80bddc46.jpgネットエージェント(東京都墨田区)は、1月5日、「Winny」などのファイル共有ソフトによる個人情報・機密情報の流出の続発を受けて、その対応方法をまとめた小冊子のPDFファイルのダウンロード提供を開始した。

そもそも、ファイル共有ソフトがどういうものであり、どのような被害があり、万が一情報が流出してしまった場合にはどうすればよいのかをまとめてあり、分かりやすい資料になっています。

ご参考にどうぞ。

(私のコメント)
同社は、Winnyで情報を流出させてしまった場合に、その流出を最低限に食い止めるという「Winnyファイル拡散防止サービス」を提供している国内で、いや世界で唯一の珍しい会社です。


http://www.netagent.co.jp/sec_guide.html


331715ff.jpg皆様、あけましておめでとうございます。
今年も、プライバシーマーク、個人情報保護Blogをよろしくお願いします。

さて、新年恒例の個人情報保護関連10大ニュースを発表いたします。

(1)サウンドハウス事件

2008年の最も印象的な個人情報流出事件といえば、このサウンドハウス事件になるでしょう。

音楽機器の格安通信販売で急成長を遂げてきた同社が、SQLインジェクションの攻撃を受けて、カード情報が流出し、実際に不正利用が行われました。

同社の社長の中島氏は、事件の後、長文のコメントを発表し、その中で行政の責任などに言及しています。しかし、私はこの段階でのこの発言は不適切であり、責任を他者に転嫁しているだけだと考えています。

今のインターネット時代、事件が起こらないように当たり前の対策を当たり前にすることは、全ての事業者として当たり前のことだと考えます。それを徹底しましょう。

http://blog.optima-solutions.jp/archives/51093242.html
http://blog.optima-solutions.jp/archives/51105302.html

(2)JIS Q 15001の2006年版への移行がほぼ完了

かねてより進められていたJIS Q 15001の2006年版への移行。

2008年11月19日までに全ての事業者が2006年版JISへの移行を行い、更新審査のステップに入りました。
今後、順次審査が行われていき、今年春くらいまでには、多くの事業者の審査が終了するものと思われます。

(3)SQLインジェクションによるWeb改ざんが多発

サウンドハウス事件もその一つですが、2008年は、Webサイトに対するSQLインジェクション攻撃が増加し、国内でも多くのWebサイトが被害を受けました。

特に注意していただきたいのですが、SQLインジェクション攻撃の内容が変わってきているということです。

従来は、この攻撃によりデータベースの内容を不正に読み出す、いわゆる「個人情報の流出」を目的としていました。実はサウンドハウス事件は、このパターンです。

しかし、最近の攻撃は、個人情報の流出ではなく、Webサイトの内容を改ざんすることで、別のページに自動的に移動させて、ウイルスを強制的にダウンロードさせることを目的としています。JR北海道の事件がこのパターンであると思われます(正式発表はありませんが)。また、この一年間、ラックが注意を喚起しているのも、この新しいパターンに対してです。

ですから、単純に個人情報の流出があったかなかったかという話ではなく、自社のサイトにアクセスしてきた「お客様」に、ウイルスを配布してしまい迷惑をかけるということが問題になっているのです。

ま、そうすると、個人情報保護からは離れていくのですが。。。

http://blog.optima-solutions.jp/archives/51128093.html
http://blog.optima-solutions.jp/archives/51262540.html
http://blog.optima-solutions.jp/archives/51268368.html
http://blog.optima-solutions.jp/archives/51185397.html
http://blog.optima-solutions.jp/archives/51194424.html

(4)特定電子メール法改正される、オプトイン原則に切り替え

特定電子メール法(通称:迷惑メール法)が5月に改正され、12月に施行されました。

今回の改正により、特定電子メール(自己または他者の営業の広告または宣伝を行うことを目的とした電子メール)については、本人の明確な同意がある場合のみ送信可能とするオプトイン原則が徹底されました。

今回の改正は、かなり意味があると思います。

http://blog.optima-solutions.jp/archives/51138413.html
http://blog.optima-solutions.jp/archives/51250681.html

※メルマガで配信した際、「オプトアウト原則」と逆の言葉を使用してしまいました。お詫びして訂正します。

(5)「WEPは死んだ」

2008年10月に、森井昌克・神戸大学大学院教授らのグループが、無線LANの暗号化方式であるWEP方式を瞬時に解読できるとの研究結果を発表。

これにより、WEP方式は暗号化方式としては無意味であることになりました。米国では、このWEP方式の無線LANが盗聴されて、大規模なクレジットカード情報の流出が発生しています。

クレジットカード業界としては、WEP方式の無線LANについて「2009年3月31日以降は新規利用を禁止」「2010年6月30日までに全システムを切り替え」としています。

皆さんも、早急に無線LANの暗号化方式を、WEPではなくWPA(AES)方式などに切り替えてください。

http://blog.optima-solutions.jp/archives/51238625.html
http://blog.optima-solutions.jp/archives/51247575.html

(6)個人情報保護法で「社会が不便になった」

国民生活センターが3月に発表したアンケート調査結果で、個人情報保護法で「社会が不便になった」と回答した人が68%と高い数値を記録。

かといって、個人情報保護法がなければ、もっと困ったことも起こりえるわけですから、一概に否定するのもどうかなと思います。

http://blog.optima-solutions.jp/archives/51079944.html

(7)Pマークと中国・PIPAマークの相互承認がスタート

JIPDECが6月に、中国・大連ソフトウェア産業協会が運用するPIPAマークと
の相互承認を発表。

JIS Q 15001:2006を中国語に翻訳したものを用意して、これをPIPAマークの準拠規格(第2版)とするという。これにより、PIPAマークは、プライバシーマークと同等の水準とみなすことができるというわけです。

マークが使えるということよりも、同じ基準で社内体制を整備すれば、日本でも中国でも認められるということのほうが、メリットは大きいと思われます。

日本の規格を中国に持ち込むという発想を実現したのは、快挙だと思います。

http://blog.optima-solutions.jp/archives/51004597.html
http://blog.optima-solutions.jp/archives/51217946.html

(8)Pマークの欠格性の判断基準を明確化

大日本印刷事件で、どうしてあれほどの個人情報流出事故を起こしてもマークが取り消しにならないのかとの疑問が出ましたよね。

JIPDECとしては、その後いろいろと考えて、どういう場合がマークの取り消しになるのかをはっきりと決めました。

会社ぐるみで故意に個人情報の取扱いに関する事故を起こした場合には、その事故の規模の大小を問わず取り消しになる。これがJIPDECの結論でした。

http://blog.optima-solutions.jp/archives/51109654.html

(9)PCI DSSが本格的に始動

クレジットカード業界が定めるセキュリティ基準が、PCI DSSです。

VISAカードが先頭を切って、大規模事業者に対するPCI DSSの導入を迫っています。2009年9月30日までにカード情報の保管禁止、2010年9月30日までにPCI DSSを遵守したことの証明書提出を求めました。

今後もPCI DSSが、国内でも広まっていくことでしょう。


http://blog.optima-solutions.jp/archives/51053577.html

http://blog.optima-solutions.jp/archives/51250160.html

(10)1万社超えないPマーク取得事業者数

急成長を遂げてきたプライバシーマーク制度ですが、2008年に入り、取得事業者数が1万に行く寸前でかなり足踏み状態です。新規に取得する事業者が約35%減少していることと、使用中止する事業者が約5%出てきていることから、2008年12月末で1万社の達成は困難な状況です。

まずは新規取得する事業者を増やすしかないわけですので、JIPDECとしては、全国規模で説明会を開催したり、講師の無料派遣を行うなど、さまざまな啓蒙活動をしています。

http://blog.optima-solutions.jp/archives/51238701.html

いかがでしたでしょうか?

2009年は、よいニュースをたくさんお届けしたいなと、
思っています。ご期待ください!

↑このページのトップヘ