アイティメディア株式会社が運営する情報サイト「＠IT」の3月17日付コラムで、LACの川口洋氏が、クロスサイトスクリプティングについて、問題提起しています。

セキュリティアナリストコラム
川口洋のセキュリティ・プライベート・アイズ（13）
世間の認識と脅威レベルのギャップ
――XSSは本当に危ないか？

※XSS（クロスサイトスクリプティング）とは
http://ja.wikipedia.org/wiki/クロスサイトスクリプティング

XSS（クロスサイトスクリプティング）に関しては、ずっと以前から、セキュリティ上の問題であるとして取り上げられていますが、実際にはXSSを使用して大事件になったことはなく、それほど大騒ぎすることなのかと、川口氏は問題提起しています。

（私のコメント）
私もそう思います。むしろ危険なのはSQLインジェクションですよね。川口氏は、LACのJSOCで日々セキュリティインシデントと戦っている現場の方ですので、やはり発言に特有の重みがあります。今後もこのコラムに注目します。

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/013.html

情報セキュリティの専門会社である株式会社ラック（東京都港区）は、3月16日付で「侵入傾向分析レポート Vol.12」を発表しました。

これは、同社が半年に一度のタイミングで定期的に発行している文書で、同社の誇るセキュリティセンター「JSOC」において、日々監視対象としている国内の数多くのルーター類のログを解析し、攻撃者の進入傾向を分析しているレポートです。同社Webサイト上で個人情報を入力することで、誰でも無料で入手することができます。

今回のレポートにおいては、やはりWebサイトをターゲットにしたSQLインジェクション攻撃が続いていることが強調されています。以下、私の理解でのサマリーを掲載します。

（１）重要インシデントの74%は、SQLインジェクションである。クロスサイトスクリプティングは9%を占めているが、全てセキュリティ診断のために行われたものであり実害が発生したケースはない。

（２）SQLインジェクションにより、情報を盗み出すのではなく、悪性サイトに誘導することでウイルスに感染させ、ボットの一員にすることを意図している場合が増えている。

※ボットについては、こちらを参照のこと
http://blog.optima-solutions.jp/archives/50580011.html

（３）昨年12月のSQLインジェクション攻撃の急増は、IE7の脆弱性を突いたものであり、修正プログラムが登場する前にウイルスに感染させようとしていた。

（４）昨年後半から、「Cookie」にSQL命令を埋め込んだり、文字列に「%」を埋め込むことで、既存のセキュリティ製品を潜り抜ける手口が普及している。これらに対して対応の遅れたセキュリティ製品もあった。

（５）従来、SQLインジェクション攻撃といえば、Windowsサーバーを狙ったものが多かったが、昨今はLinuxサーバーを狙ったものが登場してきた。

（６）Eラーニング製品「Moodle」を狙った攻撃が発生した。同様のパッケージWebアプリケーションを狙い撃ちにした攻撃も増える可能性がある。

（７）昨年12月の攻撃では、企業内のパソコンがボットに感染するケースも出た。企業としては自社のパソコンが、他社を攻撃するようなことが起こらないように、対策を打つべきである。

（８）攻撃者は悪性サイト用のドメインを大量に取得し、無料期間のみそれを使用してどんどん使い捨てにしている。

皆様もどうぞ読んでみてください。
生の情報ですので、本当に参考になります。

http://www.lac.co.jp/info/jsoc_report/
http://www.lac.co.jp/info/jsoc_report/_vol12.html

独立行政法人情報処理推進機構（IPA）セキュリティセンターは、3月18日に、「中小企業の情報セキュリティ対策ガイドライン」を発表しました。

（１）自らが中小企業であり、情報セキュリティ対策を求められている
という場合に対応するだけでなく、
（２）中小企業に仕事を委託する担当者が、情報セキュリティ対策をどう求めればいいか
という場合にも使えるようになっています。

（１）が別冊2、（２）が別冊1で対応するようになっています。

また、別冊3として「5分でできる自社診断シート」というのもついています。これは自社の情報セキュリティ対策を簡単に自己診断できるものですので、お勧めします。

（私のコメント）
最初、ガイドラインの本文を読んで、内容が薄くて驚いてしまいましたが、別冊に濃い内容が含まれていますので、皆さんもよく見てみてください。かなりよくできた対策ですよ。

http://www.ipa.go.jp/security/fy20/reports/sme-guide/index.html

本Blogの3月4日の記事「未承諾メール配信で、経済産業省が改正後初めての行政処分」で、経済産業省が特定商取引法のメール配信の規定に従っていない旨で特定の事業者に対して業務改善命令を出したことに触れましたが、その際、特定電子メール法との関係が不明確であると書きました。それについて、少し情報をまとめましたので、ここに掲載します。

（１）特定電子メール法（総務省主管）
全ての事業者が対象で、「自己又は他人の営業につき広告又は宣伝を行うための手段として送信するメール」を「特定電子メール」と定義して、この特定電子メールを送信する際のルールを定めた法律です。

（２）特定商取引法（経済産業省主管）
「訪問販売」「通信販売」「電話勧誘販売」「連鎖販売取引」「特定継続的役務提供」「業務提供誘引販売取引」の6形態を「特定商取引」と定義して、この特定商取引に関するルールを定めた法律です。特定商取引法では、指定された商品、権利、役務についてのみ規制対象としており、それ以外の場合は通信販売などであっても、対象外となっています。

で、（１）が迷惑メールに関する規定を持っているのは当然として、（２）にも迷惑メールに関する規定があるんです（第12条の3）。それで話がややこしくなっています。

結論的には、特定商取引法の規制対象となる事業を行っている事業者は、この（１）（２）の両方を満たす必要があります。

それ以外の事業者は、（１）のみに従っていれば大丈夫です。

ということのようです。

あと、いずれにせよ知っておかなければならないのは、今となっては「未承諾」とか「広告」とかタイトルにつけても、同意のない人に迷惑メールを送信しちゃ駄目だということです。昨年12月以降、こういうメールを目にしたら、「あ、これは違法メールだ」「こいつら法律を分かってないな」と思った方がいいです。

ご参考まで。

特定電子メール法（総務省）
http://www.soumu.go.jp/joho_tsusin/top/m_mail.html
特定商取引法（経済産業省）
http://www.meti.go.jp/policy/economy/consumer/consumer/tokutei/index.html

経済産業省は、2月17日付で、株式会社クロノス（横浜市西区）に対して、未承諾メールを配信したとのことで、特定商取引法違反として、業務改善命令を出しました。

これは、特定商取引法が、昨年12月1日に改正されて以来、始めての事例としています。

（私のコメント）
ええと、ややこしいです。「改正特定電子メール法」が昨年12月1日に施行されて、未承諾メールの配信が禁止されたということは、本Blogでも既報ですが、今回の行政指導は、「改正特定商取引法」です。この法律でも特定電子メール法と同じレベルでの未承諾メール配信が禁止になっています。しかも、「改正特定電子メール法」の主管官庁は総務省ですが、「改正特定商取引法」の主管官庁は経済産業省です。どういう場合にどちらの法律が適用されるのかは、少し勉強が必要ですね。私も少し勉強して、このBlogで結果をご紹介したいと思います。しばらくお待ちください。

http://www.meti.go.jp/press/20090217008/20090217008.html

http://www.meti.go.jp/press/20090217008/20090217008.pdf