プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2010年04月

kawaguchi_iconセキュリティの専門会社である株式会社ラックの、24時間眠らないセキュリティ監視センターである「JSOC」のチーフエバンジェリスト兼セキュリティアナリストである川口 洋氏(CISSP資格保有者)が、@ITのWebサイト上でガンブラー(Gumblar)のその後を書いています。

セキュリティアナリストコラム
川口洋のセキュリティ・プライベート・アイズ(24)
Gumblar、いま注目すべきは名前ではなく“事象”


(要約して抜粋)
・FTPパスワードだけでなく、Webブラウザに保存されているパスワードも盗み出すようになった。それ以外にもPCに保存されているパスワードは何が盗み出されてもおかしくない状況である。
・サーバー上のHTMLファイルを改ざんするのではなく、「.htaccess」という名前の隠しファイルを改ざんすることで、検索エンジンからのアクセスなど一定の条件においてのみ悪性サイトへの自動誘導がされるようにする手口が登場しており、従来の方法に頼っていると見落とす危険性がある。
・サーバーが感染した場合に、ウェブ経由でサーバを操作できるようにするバックドアを設置するケースがある。この場合には、FTPパスワードを変更しても、依然として操作可能であり、二回目の改ざんを受けるケースもある。
・ガンブラーに感染したPCは「Waledac」と呼ばれるボットネットワークを形成する。指令用のサーバと通信しながら作動するが、指令用のサーバーがどんどん変更されていくので、特定が困難である。これに対抗してマイクロソフトがとった対抗策が奏功し、かなり通信量が減少した。
・ガンブラー関連の報道量は減少しているが、決して被害が収まっているわけではない。単なるガンブラー対策という枠にとどまらず、広義のウイルス対策を行う必要がある。

(私のコメント)
いやあ、読めば読むほど恐ろしい内容ですよ。今やガンブラーから始まるパターンのウイルスの世界に、攻撃者の多くのリソースが投入され、如何にして対策を潜り抜けるか、如何にしてパスワードを盗み出すかに知恵が絞られている感じです。だからこそ、ガンブラーは常に進化し、半年前のガンブラーの常識にとどまらないものになってきているということだと思います。しかし、攻撃者って誰なんだろうか? 

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/024.html

alico_logo
昨年7月にカード情報を含む顧客情報の流出の可能性を発表したアリコジャパン(東京都千代田区)について、最近の動きが本Blog上から抜け落ちておりましたので、この記事で補足します。

本年2月24日に金融庁が、保険業法に基づく業務改善命令と、個人情報保護法に基づく勧告を出し、同社は3月24日に業務改善報告書を金融庁に提出しています。

同社の業務改善報告書は、個人情報流出事件を起こした会社の対応としてフルメニューとも言えるようなものになっていますので、ここに抜粋して列記しておきます。

(業務改善命令・項目1) 個人顧客情報の管理態勢を強化し、現在構築中の再発防止策を含め個人顧客情報の安全管理を徹底するための施策を速やかに実行するとともに、その実効性を検証すること

1. 個人顧客情報管理を含む情報セキュリティ管理にかかる経営管理態勢の強化
  1. 情報セキュリティ委員会の新設
  2. 情報セキュリティオフィサーの任命
  3. 情報セキュリティ推進部の新設
  4. 情報セキュリティ管理にかかる内部監査機能の強化
2. 個人顧客情報管理にかかるシステム上の安全管理措置等の強化
  1. システム本部組織体制等の整備
  2. ホストコンピュータ上の個人顧客情報へのアクセス制限の徹底
  3. ホストコンピュータのユーザーID にかかる管理体制の強化
  4. 業務委託先における情報セキュリティ環境の検証と適切性の確保(業務委託先への、PC操作ログの取得・生体認証の導入・メールの外部送信規制・外部記憶媒体への書出し制限等を開始)
  5. ログの取得および管理の徹底
  6. 研修等による個人顧客情報管理の徹底
  7. 情報セキュリティ関連規程の整備および定期的な見直し
  8. 内部監査の実施による個人顧客情報管理態勢の実効性の検証
(業務改善命令・項目2)個人顧客情報の安全管理を徹底するための措置が委託先において十分確保されるよう、必要かつ適切な監督を行うこと
  1. 業務委託先管理に関する組織等の整備
  2. 業務委託先管理に関する規程等の整備
  3. 業務委託先に対する立入点検の強化(すべての業務委託先に対してシステム分野の専門家の同行による一斉立入点検を実施)
  4. 業務委託先にかかる直接の監査の実施
  5. 研修等による業務委託先管理の徹底
  6. 内部監査の実施による業務委託管理態勢の実効性の検証
(業務改善命令・項目3) 引き続きクレジット業界と連携し、顧客保護の取組みを進め、信頼の回復に努めること
  1. 専門コールセンターの設置
  2. お客様への個別のご連絡
  3. お客様への「お詫びのしるし」の送付(約32,000 人に1 万円相当のギフト券を送付)
  4. 弊社ホームページにおける継続的なご案内
  5. 不正使用の防止に向けたクレジットカード会社との連携
  6. クレジットカードの再発行にかかるクレジットカード会社との連携(再発行手数料の無料化)
  7. お客様対応におけるクレジットカード会社との連携
(業務改善命令・項目4) 引き続き本事案の漏えい原因の究明に努めること
  1. 弊社による調査結果
  2. 弊社調査結果にかかる中立的な第三者による検証結果(KPMG LLPによる検証)
  3. 調査の状況
  4. 漏えい原因の究明にかかる今後の対応方針(中国警察当局に被害届を提出)
(業務改善命令・項目5) クレジットカード情報が漏えいし、多数のクレジットカードの不正使用の試みを生じさせたという事案の重大性を踏まえ、経営陣を含む責任の所在の明確化を図ること
  1. 現社長について月例報酬の30%を4 ヶ月間返上
  2. 関係役員5 名について月例報酬の20%〜30%を1〜3 ヶ月間返上
  3. 関係部門の責任者等、職員4 名に対するけん責処分
(私のコメント)
本当にフルメニューで、頭が下がる思いですね。本当に個人情報流出事件を起こしちゃならんと、改めて痛感します。

※情報掲載が遅くなったことをお詫びします。

http://www.alico.co.jp/about/press/10_0224.htm
http://www.alico.co.jp/about/press/10_0324.htm

私、オプティマ・ソリューションズの中康二は、このたび技術評論社「Software Design」誌で連載を担当させていただくこととなりました。第一号が手元に届きましたので、皆様にもご紹介したいと思います。

Sofware_Design_201005

「Software Design」誌と言えば、コンピュータエンジニア、プログラマの専門雑誌で、今回の第一特集が「Twitter/iPhone/クラウド時代を生き抜くためのシステム基盤の新常識」だったり、巻頭のコラムが小飼弾氏のエッセイだったりと、バリバリの専門誌です。

今回の2010年5月号は、新人歓迎号と称して、16本の新連載がスタートしています。私はその連載の一つとして「個人情報保護漏洩事故ケーススタディ」と題した情報セキュリティの話を連載することとなりました。

連載第一回目は「流出すると困る個人情報って何なのか?」と題して、個人情報保護の基本の話を書いてます。

これからも毎月、頑張って書きますので、是非、機会があれば皆様にもお読みいただければと思います。

http://www.amazon.co.jp/gp/product/B003EGM3VQ (アマゾン)
http://www.fujisan.co.jp/product/1535 (定期購読ならこちら)

meti_logo
経済産業省は、2010年4月1日付で「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」のQ&Aを改訂しました。

今回の改訂で目に付く変更部分は下記の通りです。

●事業のM&Aなどの資産評価(いわゆるデューデリジェンス)の際に個人情報を買収を考えている事業者に提供することは「デューデリジェンスは、事業の承継の過程であるた め、それ自体を利用目的とする必要はない」と明記しました。

●適正取得に当たらないケースの要件である「第三者提供制限違反がされようとし ていることを・・・容易に知ることができる」について「例えば、部外秘等と明記された従業員名簿、クレ ジットカード情報が含まれる顧客名簿等、社会通念 上、第三者提供制限に違反することなく、第三者提供をすることが困難な場合」がそれに当たると明記されました。

ダウンロードできるPDF版において、改訂部分が黄色くなっていますので、是非原文を参照されることをおすすめします。

http://www.meti.go.jp/policy/it_policy/privacy/100401kaiseiq-a.pdf

Twitter_logo

Twitterが流行ってますね。個人的にもマイブームです(笑)。

さて、Twitterを使ってて、IDとパスワードの取り扱いについて結構危険だなあと思うことがあります。

利用者の方はご存知と思いますが、Twitter自体はとてもシンプルなサービスに徹しています。一方で、他社から数多くの専用クライアントをはじめとする周辺サービスが出ており、それらを活用することでTwitterのブームが成り立っています。(ここではそれらの会社のことを「周辺サービス事業者」と呼びます)

Twitter社では、OAuthという認証の仕組みを用意することで、周辺サービス事業者にTwitterのID、パスワードを預けなくてもそれらのサービスを利用出来るようにしてはいますが、現在でもOAuthを使用していないものが沢山あります。

※例えば、大変利用者の多いTwitterアクセスサービス「HootSuite」や、弊社がセミナー生放送に使用している動画配信サービス「USTREAM」のTwitter連携機能もそのようです。もっと怪しげなサービスがいっぱいあります。

ですから、利用者は結構気軽に、周辺サービス事業者にTwitterのIDとパスワードを差し出しているのです。それが当たり前のようになっています。しかし、これは本当は危険なことなのです。

もし、その周辺サービス事業者のログやデータベースが流出したらどうなるでしょうか?もし、その周辺サービス事業者がそのIDとパスワードを悪用しだしたらどうなるでしょうか?

自分のTwitterアカウントが乗っとられ、自分の意図しないつぶやきが投稿されるかも知れません。その中に、ウイルスをダウンロードするURLが含まれていたら、自分のフォロアー(読者みたいな概念です)にウイルスをまき散らしてしまう危険性があります。このような事態は、すでに実際に何度も大規模に発生しています。

また、そこまで行かなくても、DMと呼ばれる非公開のメッセージをその周辺サービス事業者は読むことができます。そういうことを皆さんご存知でしょうか?

また、OAuthを使用しているかのように見せて、実際には無関係のサーバーにTwitterのID、パスワードを入力させる明らかなフィッシング詐欺もあるようです。

くれぐれも、TwitterのIDとパスワードを入力する際には、相手が信頼に値する事業者かどうかを見極めてからにすることをおすすめします。

私は、これが現在におけるTwitterのセキュリティの最大の問題だと思います。

参考URL:
最新のTwitterフィッシング攻撃のスクリーンショット
http://blog.f-secure.jp/archives/50376484.html

lanscope_cat
オプティマ・ソリューションズ株式会社(本社:東京都豊島区 代表取締役:中康二)はこの度、エムオーテックス株式会社(本社:大阪市、代表取締役:高木哲男)と共同して、「ISMS・Pマーク取得が企業にもたらす実際の効果〜専門家が語る!ISMS・Pマークはなぜ必要なのか〜」と題したセミナーを、東京と大阪で、4月から5月にかけて、連続開催します。

昨年、プライバシーマークとLanScopeの関係に関するセミナーを共催し、大変ご好評をいただきました。今回はもうひとつの認証制度である ISMS認証も含めて、企業として情報セキュリティに取り組む際に知っておくべき情報をまとめてご提供いたします。 弊社は、個人情報保護の専門会社として、今後も、皆様に役立つ情報提供を続けてまいります。

■共催セミナー開催概要

題名:
「ISMS・Pマーク取得が企業にもたらす実際の効果〜専門家が語る!ISMS・Pマークはなぜ必要なのか〜」

対象者:
セキュリティに興味のある方、システム管理者、企業経営者の方、
ISMS・Pマークを取得検討/更新にお悩みの方

開催日時:
2010年4月21日(水)エムオーテックス東京本部にて開催(品川・新オフィス)
2010年5月21日(金)エムオーテックス大阪本社にて開催(新大阪)
2010年5月27日(木)エムオーテックス東京本部にて開催(品川・新オフィス)
いずれも 14:00〜16:30(受付開始時刻13:30〜)

参加費:無料

申込URL:http://www.motex.co.jp/seminar/2010_optima-seminar.html

20100331
3月31日現在、プライバシーマーク公式ウェブサイト上での付与事業者数は 11,296社です。昨年3月31日現在の数字が、10,193社でしたので、1,103社の増加です。とりあえず、速報で流します。後ほど詳細な情報を流します。

↑このページのトップヘ