ぷららネットワークスがWinnyの通信を完全規制したことは以前も触れたが、ニフティもWinnyの利用制限を今秋をめどに（首都圏では実施済み）全国で実施するという（毎日新聞　3/30）。

具体的には、接続速度を8～9割カットするということで、Winny以外のファイル交換ソフトも対象にするらしい。同報道によれば、その他のプロバイダは静観の構えを見せているようだが、一律に規制することについての是非については当然議論があるだろう。

そもそもWinnyを規制するのは情報の流出を防ぐためというよりも、回線が占有されることを防ぐ目的の方が強いようだ。プロバイダとしては正しい施策だが、一部（？）の悪用者のために正しく使っている人（がいるかどうかは謎だが）までも利用制限されてしまうのは、P2Pソフトそのものを否定していることにもなる。

ニフティの会員はブロードバンド会員だけで約130万人とのことで、影響は大きい。そのニフティ、本日を最後に19年間続いたパソコン通信「NIFTY-Serve」を終了するということで、一つの時代が静かに幕を閉じた。

携帯電話にもスパイウェアか？
F-Secureの情報として、通話履歴やSMSの履歴を外部へ送信するプログラムが確認されたという。Symbian OS搭載端末が対象となる。

「Flexispy.A」という名称のこのプログラムは、「FlexiSPY」という名前で某企業から「浮気検出ツール」として販売されているという。

もともとスパイウェアは有用なソフトなのか単なる悪質なソフトなのかグレーゾーンの部分が大きかったものであるが、F-Secureが指摘するように、インストール時に機能の説明がなく、ユーザーの知らないところで動作し、パスコードを知らないとアンインストールできないなど、限りなく黒に近い要素が多い。

スパイウェアにしろ、rootkitにしろ、不快感の強いプログラムは共通の特徴を持っているものだが、今回のソフトもやっていることは盗聴である。大いに問題があると言えるだろう。

住基ネットに対するセキュリティ不安は再三指摘されていたが、住基ネット訴訟などでも国の政策に協力すべきという判断が主流になりつつある。これまで住基ネットのセキュリティと言うと不正アクセス対策を中心に考えられてきた節があるが、Winnyの悪夢からは逃れることが出来なかった。

北海道斜里町職員の自宅PCがWinnyウイルスに感染し、コミュニケーションサーバーや端末の不備を修正するマニュアル、セキュリティホールについての通知文などの内部資料が流出したらしい（毎日新聞　3/29）。ファイルにはパスワードの入力方法が書かれており、つまりパスワードも流出していたと見られる。

同報道が伝える斜里町の会見内容を読む限り、危機意識はあまり感じられず、のんびりした印象すら受ける。国のセキュリティ対策担当者らが全国行脚をして地道に啓蒙活動をしていくなどしないと、末端の現場にまではなかなか伝わらないのだろう。

IBMは、ハニーポットの手法を利用したワーム検出ソリューションを発表するという（japan.internet.com　3/27）。

1台のサーバに非公開のアドレスを多数割り当て、未使用のIPアドレスに届いた要求に応答することで多数の端末からなるネットワークを装い、ワームの正体を暴くものらしい。誤認識による警告を最小限に抑え、攻撃の自動検出を重視しているのだという。

詳細が分からないので評価は不可能だが、「従来のパターン照合型ウイルス対策ではもはや何も守れない」と豪語しているあたり、強力なソリューションになりそうだ。ただし、そのアーキテクチャの概要を見る限り、高価なシステムであることもほぼ間違いない。

さすがにセキュリティベンダの不始末はないだろう…と思いつつ、いつかは事故が起こるのではないかと思っていたが、それが現実となってしまった。トレンドマイクロ社の社員がデータを自宅PCに保存し、Winnyウイルスに感染、営業資料などが流出したというのだ（INTERNET Watch　3/27）。

同報道によれば、この社員はウイルス対策を使用していなかった、具体的な行為を禁ずるガイドラインはなかった、など、ウイルス対策ベンダとは思えないお粗末さは一体どうしたことか。同社には良く出来た情報サイトもあるのに、社員の目には触れなかったのだろうか。

シマンテック社は半年ごとに「インターネットセキュリティ脅威レポート」を発表しているが、3月15日、2005年7月1日～12月31日までの動向をまとめたVol.9が発表された。最新のレポート自体はまだ一般には公開されていないが、リリースで公表されている内容のうち、興味深いトピックスをピックアップしてみたい。

まず、悪意のあるコードトップ50のうち、秘密情報を漏洩させるものは80％に上昇するなど、金銭目的の情報狙いが多いこと。クライムウェアとは個人情報を盗むスパイウェアだが、ターゲットを限定したクライムウェアツールの勢いが増しているという。これだけならさほど驚くに値しないが、気になるのはモジュール型の悪意あるコードが増えている点である。プログラマ経験者ならピンと来るかもしれないが、当初は機能が限定されていて、後々深刻な機能を自らダウンロードしてアップデートしていくタイプのものだ。シマンテック社によれば、このタイプのコードはトップ50の88％にも及んでいるという。

これが何を意味するかというと、一つひとつのモジュールはリアルタイムスキャンに引っかからない可能性があるということである。モジュールが組み合わさって初めて「悪意あるツール」が出来上がるとすれば、定期的なバッチウイルススキャンが重要ということになる。

また、シマンテック社が観測したデータによると、フィッシングは1日平均792万通、新たな脆弱性は1,895件発見された。中国ではボット感染コンピュータが急増。脆弱性の公表から悪用コードの出現までは平均6.8平均日で、対応パッチのリリースまでが平均49日ということから、危険にさらされている期間がいかに長いかが分かる。セキュリティ担当者はパッチをあてるだけではなく、パッチが出るまでの「応急処置（ポートをふさぐ、サービスを止める、ActiveXコントロールを無効にする、など）も重要な任務であるというわけである。

普及が期待されている無線ICタグ（RFIDタグ）だが、オランダ・アムステルダム自由大学の研究チームがICタグにコンピュータ・ウイルスを植え付けることに成功したという（WIRED NEWS　3/16）。報告によれば、「SQLインジェクション」を使ってICタグ・システムのデータベースを改竄し、これが事実ならば病原ウイルスと同様、航空機を経由して世界中に広まる危険性もあるとの事だが…。

さらに、バッファオーバーフローやICタグアプリケーションサーバへのバックドア開設など、コンピュータに対する一連の攻撃も可能としている。

これに対して早速反論もあったようである。標準的なICタグは96ビットのメモリーしか持っておらず、メモリーが読み書き可能で変更可能なサイズで読み出せるという限られた条件でしかウイルスの危険は発生しないとして否定的だ（IT Pro　3/17）。

オランダ研究者の論文は、業界に警鐘を鳴らすために今後脅威が発生し得る可能性を強調したかったようだが、現時点での判断は難しい。ただ、「危険は存在しない」と決め付けることが一番危険だ、と言うことはできるだろう。

販売延期が物議を醸したWindows Vistaだが、その原因の一つがセキュリティの強化かもしれない。既にIE7のセキュリティ機能については報道されていたが、ファイアウォールについても機能が強化されているという（IT Pro　3/24）。

Windows XPのファイアウォールから機能強化される点は大きく次の3つあるようだ。
・インバウンド・トラフィックだけでなく、アウトバウンド・トラフィックも制御できるようになったため、情報漏洩やボットネットに対する危険性が減少することが期待される
・通信の発信元/送信元、プロトコル番号に基づいて例外ルールが設定できるように
・ファイアウォール設定とIPsec設定の統合

これらの強化により、同報道ではサード・パーティ製ファイアウォールにかなり追いついたと評価しており、なおさら早いお披露目が望まれる。

IPAから「情報セキュリティ白書　2006年版」が公開された。無料で読める資料としては内容も充実しているので、IPAのサイトから閲覧すると良いだろう。

情報セキュリティ検討会において社会的影響の大きさから「セキュリティ上の10大脅威」を選び、利用者・管理者・開発者から見た脅威の分析、今後の対策がまとめられている。その10大脅威は2005年を総括したものだが、2006年も引き続き注意すべきものばかりであり、ここでも引用して列挙しておきたい。

第1位：事件化するSQLインジェクション
第2位：Winnyを通じたウイルス感染による情報漏洩の多発
第3位：音楽CDに格納された「ルートキットに類似した機能」の事件化
第4位：悪質化するフィッシング詐欺
第5位：巧妙化するスパイウェア
第6位：流行が続くボット
第7位：Webサイトを狙うCSRFの流行
第8位：情報家電、携帯電話などの組込ソフトウェアにひそむ脆弱性
第9位：セキュリティ製品の持つ脆弱性
第10位：ゼロデイ攻撃

この中であまり聞きなれないのはCSRFだろう。「Cross-Site Request Forgeries」の略で、Webサイトの「投稿」「削除」機能を実行するリンクのURLに罠として誘導し、利用者が意図しない機能を実行させられてしまう攻撃のことである。

ユーザー別の対策についても引用しておく。

＜利用者の対策＞
・安全なパスワードや設定が重要
・コンピュータを常に最新の状態に保つ
・あぶない徴候をみのがさない
・信頼できないソフトウェアやデータを使わない
・P2Pファイル交換ソフトと重要情報は一緒にしない
・フィッシング詐欺に注意する
・スパイウェアに注意する

＜管理者の対策＞
・総合的なセキュリティレベルを保つ
・品質管理や保守作業と同様に、セキュリティ対策の体制を確保する

＜開発者の対策＞
・セキュリティはソフトウェアに必須事項だと考える
・安全なソフトウェアの作り方について学ぶ
・初期設定は安全優先で
・脆弱性に対応した際は適切に公開する
・ウェブサイトでCSRFの対策を行う

パソコンのデータを人質に脅迫する手口については、以前も紹介した。今までの手口はファイルを暗号化し、元のデータに戻すことをネタにゆするものが多かったが、今回発見されたのは、ファイルをパスワード付きZIP圧縮ファイルにし、パスワードを教えることを条件に金を要求するプログラムである（IT Pro　3/14）。このようなウイルスは「ransomware」と呼ばれ、今回のウイルスの名称は「Cryzip」だという。拡張子が.jpg, .xls, .doc, .txt, .zipなどのファイルを
見つけるとZIPファイルに変えてしまうらしい。

手口自体は新しくはなく、同報道によると既に1989年には登場していたらしいが、それだけ「簡単な」手口であるということが問題だ。目的が「金銭」ではなく、「パスワード」や「個人情報」だったら、と考えるとその恐怖は倍増するのである。

一度明るみに出ると止まらないのが世の常とはいえ、今日の毎日新聞朝刊には1面、2面、経済面合わせて5個のWinny関連記事が踊り、社会面には成田税関職員の個人情報入りUSBメモリー紛失の記事、と今がWinny情報流出のピークを迎えているといえる。

今日明らかになったWinnyが原因の情報流出事件は2つ。愛媛2区選出の衆院議員事務所関係者のパソコンがWinnyウイルスに感染し、後援会リストなどが流出したというものが一つ。もう一つはヤフーの業務委託先社員の個人PCがWinnyウイルスに感染し、ショッピングモールに出店している取引先情報約3000社の情報が流出したというもの。相変わらず官民共に流出が止まらない。

Winnyそのものを禁止しても根本的解決にはならないという論調も見かけるが、それは社員の意識に委ねられている部分が多いからである。インターネット自体が危険と隣り合わせであるとか、流出を防ぐためには利便性が犠牲になるのはやむを得ないなどとも言われているが、重要なデータは限られた人だけがアクセスできるようにし、その限られた人たちは強いセキュリティ意識を持って仕事をすればすむ話じゃないの、と思うわけである。

報道によれば、企業によって対策もさまざまである。会社が認めるソフトしかインストールできないシステムになっている日産自動車、担当者が全パソコンをチェックする松下電器、営業職員のパソコンにはWinnyをインストールできない設定をしている日本生命・住友生命などである。三菱電機の場合は業務データを暗号化している。

ただし、私用パソコン禁止やセキュリティ担当者の徹底など、人に頼った対策をしている企業も多い（マツダ、NEC、みずほ銀行）。

実際、セキュリティポリシーが厳しすぎる企業は業務に支障が出ているケースもちらほら見かけるが、それはセキュリティ担当者のスキルが低くて「危なそうなものは禁止」と闇雲にポリシーを設定しているだけかもしれない。セキュリティ対策を推進していく立場の人間のスキルアップも求められているわけである。

シマンテックによると、ハードディスク全体をWinnyネットワークに公開するトロイの木馬「Trojan.Exponny」に関して注意を呼びかけているという（IT Pro　3/17）。Winnyの設定ファイルを改変し、ローカルドライブを公開フォルダにしてしまうということで、危険性は高いが、感染力は弱いと見られている。

最近は自社でWinnyの使用を禁止する（当たり前だが）だけでなく、取引先にもWinnyの禁止を求める企業が出てきているなど、危険性は認知されてきているようだが、単純に「Winnyは使ってはいけない」というのは正しくない。

1)WinnyをインストールしたPCで業務を行う
　そもそも業務をするPCにWinnyをインストールするのが間違い！

2)Winnyをインストールした自宅PCで業務を行う
　そもそも個人情報や機密情報を自宅に持ち帰るのが間違い！

3)「ウイルス対策をしているから安全」だと思っている
　新種のウイルス、対策ソフトが対応していないウイルスに対しては無防備！

4)そもそもWinnyを何に利用しているのか
　使い方によっては違法性のあるWinny。問題を起こした警察官・検事・自衛官らは合法的に利用していたと言えるのか!? 言えないなら自覚のなさこそが最大の問題。

ここまで来ると、危機管理の薄さというよりWinnyユーザの層の厚さの方が驚きである。今度はジャスダック証券取引所の取引システム技術に関する情報が流出したという（毎日新聞　3/19）。システム開発に関わった者（日立製作所という報道だが）のパソコンがWinnyの暴露ウイルスに感染したと見られているようだ。

流出したのはデータベースサーバに関する設定手順や運用資料、作業スケジュール、メールアドレス一覧などらしい。今年1月に新システムに移行しているので影響は低いとのことだが、「環境設定手順書」などというのはかなり情報量の多い資料ではないのか。

影響の大小よりも何より心配なのは、今まで滅多なことでは表に出ることのなかった機密情報（捜査情報しかり、防衛情報しかり…）がいとも簡単に全世界に露出してしまうという恐さである。こうした情報は表に漏れれば漏れるほど国力が弱体化することを意味する。民間とは言え業務情報の流出も同じである。例えば特許技術や社外秘の情報が流出すれば、たちまち国際競争力を失いかねないのだ。日本自らが自滅し、丸裸にされていく事態だけは避けなければならない。

自衛隊に警察、と国家レベルの情報漏洩が相次いだ影響からか、今週はWinny対策の動きが相次いで公表された週だった。それらをまとめて振りかえってみたい。

＜政府の動き＞
内閣官房情報セキュリティセンターは、Antinnyの危険性を警告するリリースを発表、Winnyを使用しないよう呼びかけた（3/15）。
また、安倍官房長官もWinnyの不使用を呼びかける異例の記者会見（3/15）。国家機密が流出している事態を受け、相当の危機感を表現したものと見られ、極めて正常な反応だと思う。

私物PCの公務への使用が予想以上に多いことも明らかになっている。防衛庁は半数、警察では約4割と、それ以外の府省庁・自治体の0.1％を大きく上回っているという（毎日新聞　3/18）。陸上自衛隊は公用の3倍（約6万3千台）の私物PCが使用されているらしい。防衛庁では漏洩に対する職員の処分や管理責任者の明確化、所持品検査などの対策を検討しているらしいが、本当に必要なのはセキュリティ教育しかないと思うのだが。

警察も警視庁以外の県警は私物PCを公務使用しており、財政難により公用PCが配備されない厳しい現実も明らかになっている。もともと「仕事のデータを自宅に持ち帰らない」という内規はあるようだが、9つの県警ではさらに「ファイル交換ソフトを入れない」誓約書を職員に提出させたという。

＜業界団体の動き＞
業界団体Telecom-ISAC JapanはAntinny対策サイトを開設（3/15）。ISP3社と連携し、コンピュータソフトウエア著作権協会（ACCS）を攻撃するAntinny対策が主目的のようだが、感染ユーザに対してメールで注意を喚起し、ウイルス駆除実施の進行状況を把握できるという。対策サイトの体験版があるので見てみると、Winnyの危険性認知が中心で、駆除はトレンドマイクロとマイクロソフトの対策ページで実施させ、駆除が完了したら「完了」ボタンを押させるようになっている。これらから分かるように、このページは感染者のためのもので、駆除状況が分かるといってもユーザの意識に委ねられているため効果の程は謎だ。なんとなくきな臭い雰囲気が漂っている。

＜ベンダの動き＞
マイクロソフト社は「悪意のあるソフトウエアの削除ツール」のバージョン1.14を公開（3/15）。2005年1月の公開以来、毎月バージョンアップが繰り返され、現在では71種類のウイルスに対応、43種類のAntinny ワームも駆除できるようになった。また、Winny関連セキュリティ情報Webサイトも公開された。プレスリリースによると、これらの動きはTelecom-ISAC Japanの要請を受けたものであることが明かにされている。

ネットエージェント社はAntinny検知ソフトの無償配布を開始（ITPro　3/15）。

Klabセキュリティ社は個人情報スキャナー「P-Pointer 3.0」に自宅・個人PC用のライセンスを追加し、官公庁・自治体を対象に自宅PC用ライセンスを期間限定で無償付与開始（3/15）。P-Pointerは、PC内の個人情報を含むファイルを探し出すツールだ。

トレンドマイクロ社はWinnyのインストールをチェック、削除を行う「アドバンス検索ツール」をウイルスバスター　コーポレートエディションの最新版（4月5日発売）に追加（IT Pro　3/16）。Winny対策に対する引き合いは強く、通常予算は取れなくても別予算で購入を検討するケースも多いという、気になる情報も。

＜ISPの動き＞
ぷららネットワークス社は、Winny通信の完全規制を決定（3/16）。

そして、Winnyによる情報流出事件も相次いでしまった。第一弾、第二弾、第三弾に続きWinny事件をまとめてみたい。

フィッシングだのWinnyだので日本のセキュリティ対策はまだまだだ、というようなイメージがあるが、じゃあアメリカは実際どうなのよ、という疑問に答える記事があった（MYCOM PC WEB　3/17）。米国連邦下院議会が公表したレポート「2005 FISMA Report Card」として、連邦政府機関の総合的なセキュリティレベル評価は平均「D+」で、24の政府機関のうち8機関に落第評価「F」が付けられたという。

複数の報道から評価をまとめると、以下の通り。
A+…労働省（DoL）、社会保障局（SSA）、国際開発局、人事管理局、環境保護局
C-…運輸省
D…司法省
D--…原子力規制委員会
F…国防総省（DoD）、国土安全保障省（DHS）

問題は何をもって評価しているかだが、連邦情報セキュリティ管理法（FISMA）によって下院に提出される報告書に基づいて評価したという。書類上の評価に過ぎず、評価意義を疑問視する声もあるが、まあ実際参考程度のものだろう。例えば国防総省や国土安全保障省という根幹の機関がなぜ低いスコアなのか、その部分が重要だが、その情報は出てきていない。ただ、評価方法が何であれ、米国の重要機関のセキュリティが予想以上に低いらしいということは注意して見ておいた方が良いかもしれない。

料金の請求や脅迫文をパソコン画面に表示するプログラムをワンクリックウェアというらしい（IT Pro　3/14）。このプログラムがインストールされると、数分おきに「すぐに入金してください！」というようなメッセージが表示されるという、迷惑なプログラムで、ワンクリック詐欺などに使用されているようだ。

日本に特徴的なスパイウェアであるとのことで、実際にお金を支払ってしまうという被害も出ているとの事だが…。

同報道でも指摘している通り、支払ってもメッセージは消えないので相手にしないことが大事だ。引っかかる人が多いということは、身に覚えのある人も多いということか。

リッチコンテンツとして広く使われているFlashにセキュリティホールが発見されたという（IT Pro　3/15）。細工の施されたFlashファイル（.swfファイル）を読み込むだけで任意のプログラムが実行されてしまうということで、米アドビ社は最高ランクの危険度と位置づけている。

影響を受けるのはFlash PlayerやShockwave Playerなどで、最新版にアップデートすることで危険を回避できるほか、IEのActiveXコントロールの設定変更などで回避する方法がマイクロソフトから公表されている。

この手の脆弱性発見は珍しいことではない。Winny騒ぎなどで最近またコンピュータウイルスに注目が集まっている傾向にあるが、ウイルス対策だけで安心してはいけないことを再確認したい。

・OSのパッチが出たら適用する（WindowsもMacもだ！）
・Officeなどの汎用アプリケーションでもパッチが出ることがあるので、注意
・IE、Opera、Firefox、Safari。これらすべてのWebブラウザで過去脆弱性が見つかっている。使用頻度も高く、サイトを閲覧するだけでスクリプトやプログラムを実行されるWebブラウザはそれだけ注意も必要
・Outlook、Becky、Thunderbird、Eudora。これらメーラーにも脆弱性が過去に見つかっている。ブラウザと同様の注意が必要だ
・iTunes、QuickTime、アンチウイルスソフトにだって脆弱性が発見されている
・sendmail、Movable Type、PHP、MySQL、Oracleなどのサーバソフトウェアもしかり
・ISAKMP、Kerberos、SSHといったプロトコル自体にも脆弱性があった

こうして見ると、どんなソフトウェアでもセキュリティホールが発見されうるということで、パッチの適用からはほぼ逃れられないと思った方が良い。幸い、ある程度影響の大きい脆弱性情報は主要メディアで報道されるので、関係する場合にはパッチをあてるクセをつけておきたい。

パソコンの廃棄については、情報漏洩対策への意識が高まっているが、磁気テープはきちんと処理しているか、と聞かれてドキッとする人は多いのではないだろうか。

前段として、代表的な情報の廃棄方法をおさらいしておこう。

(1)紙
シュレッダーが基本中の基本だが、万全を期すなら溶解処理が確実。

(2)CD-ROM、フロッピーディスク
シュレッダーでの粉砕処理が一般的か。CDやDVDの場合は表面に傷をつけるタイプのものや、表面を削るタイプの処理方法もあるようだ。FDの場合は強磁気で破壊する方法もある。

(3)ハードディスク
専用ソフトを使ってデータを上書きするタイプが最もポピュラーだが、処理には時間がかかる。物理的な破壊としては、FDと同様磁気を使ったものや、プレス機などで変形・穴あけなどで破壊する方法がある。

さて、問題の磁気テープについてだが、使用済みカートリッジのデータが完全に消去されずに廃棄されているケースが多いようだ（IT Pro　3/13）。データを消去する場合には、FDやハードディスクと同様、磁気による「消磁」処理が一般的だという。しかし、この方法が有効なのは初期のDLTなどで、LTOや3592などの新しいカートリッジの場合は完全な上書き（セキュリティ消去）が必要になるとのことで、処理時間に数時間を要する。

それにしても廃棄に労力とコストを費やす時代になったものだ。重要なデータほど様々な手段でバックアップを取っているわけで、そうするといざそのデータが不要になったときに慌てることになる。重要なデータはどことどこに保存されているのか、を明確にしておくことが重要だ。

トレンドマイクロの悪夢が再び―？ 今回はマカフィーが3月11日3時にリリースしたウイルススキャンの定義ファイルについて、通常ファイルを誤検知する不具合が判明したという。誤検知によって正常なファイルが誤って削除された可能性もあるというから由々しき問題だ。

この不具合は既に修正されており、実際はこの修正パッチが提供されるまでの6時間の間にオンデマンドスキャンを実施していた場合に被害に遭った可能性があるということで、影響を受けるのは数社のみだという（IT Pro　3/12）。対処方法については既に公開されており、また削除ではなく隔離されたファイルについては、復旧ツールもアップされている。

比較的迅速な対応だったとも言えるが、夜中という時間帯（とユーザー数の少なさ？）に助けられただけかもしれない。マカフィーは更新ファイル提供体制についての品質管理について公開していただけに、虚しさを感じるニュースではある。

「信頼」を売り物にする製品が信頼を裏切るというのは最も深刻な事で、再発は絶対に防いで欲しい。

Winnyが原因の情報流出事件が相次ぐ中、仕事で使うPCにWinnyをインストールすること自体が問題である、と再三言ってきた。そんな中、Winny開発者の元東大助手は、違法コピーなどを助長した著作権法違反幇助罪で公判中である（毎日新聞　3/10）。

この報道から、2つの疑問が湧きあがってくるのである。一つはファイル共有ソフトを開発したことに「違法性があるのか」という疑問だ。開発者が発言しているように、業務情報を外部に持ち出すことが本質的な問題なのであって、要は意識やモラルの問題。刃物をどう使うかは使う人の倫理に委ねられており、鍛冶屋が罪に問われる事はない、という気がするのだが。

もう一つは、情報流出をこれ以上拡大しないためのウイルス対策、ソフトウェアの改良は容易にできるのだが、京都府警との誓約書によりバージョンアップができないと開発者が発言している点である。この取り決めは、これ以上の機能強化によりさらなる被害の拡大を防ぎたいという意図があるのは明らかだが、いかにもお役所的な考え方である。Winnyに問題があるならあると認めた上で、必要な修正は早急に実施するのが誰にとっても有益なことのはずである。そうこうしているうちに情報が流出してしまったのは皮肉にも警察自身であるにも関わらず、だ。

法律というのは市民の常識的な感覚とずれているケースが往々にしてあるが、どんな悪法でも成立してしまえばそれに従わなくてはならない。法治国家と言えども欠点はあるのである。

Macでもワームが発見され、脆弱性も明かになったことで、Macの「安全神話」が揺らいでいるという報道がある（CNET　2/28）。もとよりこれは作られた神話に過ぎない。ハッカーが狙わなかったことが安全につながっていただけで、逆にWindowsが特に脆弱というわけでもないことは、知っている人は知っていたし、MicrosoftもことあるごとにPRしていたものだ。

携帯電話やPDA、ゲーム機などありとあらゆるデジタル機器がハッカーのターゲットとなった今、Macもまた例外ではなくなったというだけである。そして、携帯電話などでもそうであるように、脅威に慣れていなかったMacユーザーにとって、さらにはWindowsよりも安全だと信じていたMacユーザーにとってはショックな出来事だったということなのだろう。

かく言う私もMacなどという（あえて）マイナーなOSは狙われにくいので、その意味では安全だと思っていたが、例えて言うなら玄関の鍵を開けておいても平気だった、古き良き時代は終わったということである。

これまでMacに見向きもしなかったのは、ハッカーだけではなくセキュリティベンダも同じ。Mac向けのセキュリティ対策ソフトも少ないのである。今後は少しずつ増えてくるかもしれない。

ところで、WindowsとMac、どちらが安全かを検証した記事もある（CNET　3/1）。それによると、Macの方が多くの脆弱性が明らかになっているのである。そして、Macの方が脆弱性をまとめて発表する傾向があるという。例えば2005年8月には35件もの脆弱性が見つかり、44件ものセキュリティアップデートが公開されている。一方Windowsには対処されていない脆弱性があるという。

結局、どちらが安全かを競ってもあまり意味がない。一番安全なのは、ベンダが専用に開発した独自OSの類で、情報が公開されていないほど脅威は少ない。ただし、そのOSで動くアプリケーションを開発することも困難ということである。

米RSA Securityの発表として、あらかじめフィッシングサイトを複数用意しておく手口が発見されたという（ITPro　3/10）。あらかじめ大量のフィッシングサイトを複数の場所に開設しておき、閉鎖されていないものを見つけて自動的にリダイレクトするという。

「Smart Redirection Attack」と呼ばれるこの方法、あらかじめすべてのフィッシングサイトを見つけ出すのは困難と思われる。大量にばらまかれた地雷のようなもので、一つずつ撤去していくしかないかもしれない。新たな脅威となる予感である。

相変わらずWinnyによる情報流出事件が相次いでおり、ようやく私有PCやWinnyの使用禁止の動きも出てきているようだ。だが、情報を流出させるのはWinnyの暴露ウイルス「Antinny」だけではない、というニュースを一つ。

2月末に発見された「山田オルタナティブ」というウイルスは、パソコン内部の情報すべてがネット上に流出する可能性があるほか、「RBOT」などのウイルスでもパスワードやライセンスキーを盗み出す機能があるという（3/9　日経産業新聞）。

山田オルタナティブは、感染したPCをWebサーバーとしてハードディスクの全データをネットに公開し、メールの添付ファイルやWebサイトからのダウンロードでも感染するという（INTERNET Watch　3/3）。もともと「山田ウイルス」と呼ばれる2チャンネルにランダムで書き込むウイルスが名前の由来と言われている。

ただし、相手はウイルスなので、ウイルス対策の定石を守っていれば痛い目に遭うことはない。つまり、ウイルス対策ソフトの導入、ウイルスパターンの更新、怪しいファイルを開かない・ダウンロードしない、といった一連の対策である。基本的な対策があってこそ、高額なセキュリティシステムも生きてくるのだ。

警察も、NTTも、情報流出事件の報道があったばかり。Winnyの使用禁止や業務関連情報の社外持ち出し禁止などの再発防止策を「発表」こそすれ、実際はちっとも守られていない実態が露呈した形だ。

まずは警察の方だが、今回新たに発覚したのは愛知県警の捜査資料流出事件（毎日新聞　3/7）。岡山県警の事件の4倍のデータ量と言われており、DNA鑑定書や関係者調書、謝礼報告書など極めて機密度の高い情報が含まれているなど、深刻度は岡山以上とも言える。

次にNTTだが、2月24日にＮＴＴ東日本-栃木の社員PCからNTT東西の約1300ユーザの個人情報が流出していた事件に続き、今度はNTT西日本社員の自宅PCがWinnyウイルスに感染し、NTT東西の約230ユーザの個人情報が流出した。東西主役が入れ替わっただけで、事件の中身はほとんど同じで、公表している再発防止策もほぼ同じ。あまり熱心に対策に取り組んでいる様子は感じられない。

こうした事態を受け、警察庁は公用だけでなく自宅の私物PCでもWinnyの使用を禁じる指示を出したという（読売新聞　3/7）。現に流出元となっているのは自宅PCばかりなのだから、この対策も当然だろう。通達を出すのは簡単だが、現場レベルまで「意識」が行き届いていなければ意味がない。再発防止策を徹底するとはそういうことだろう。

再びウイルスへの関心が高まっているのか、最近新種のウイルスに関するニュースが増えているようだ。今回は携帯ウイルスに関する話題である。

今までは携帯ウイルスというと専らSymbianOSをターゲットとしたものだったが、今回初めてJava搭載端末に感染するトロイの木馬が発見されたという（WIRED NEWS　3/1）。「RedBrowser.a」という名のこのウイルスは、「redbrowser.jar」というファイルをダウンロードし、インストールすると指定の番号にショートメッセージの発信を繰り返す金銭目当てのウイルスらしい。

実際の被害報告はないようだが、Java対応端末という幅広い携帯電話が標的になったことで、携帯ウイルスの本格的な拡大が考えられ、携帯電話も気が抜けない時代になった。

トリインフルエンザが鳥→人への感染から人→人への感染への変異が心配されているが、コンピュータウイルスの世界ではそうした心配が現実のものとなりつつあるようだ。

Mobile Antivirus Researchers Associationという組織宛に送られてきた「Crossover」というウイルスは、Windows搭載パソコンに感染した後、Windows Mobile Pocket PC搭載PDAにも感染するという（CNET　3/2）。Microsoftの同期ソフト「ActiveSync」を利用して、PDAに感染を広げるらしい。

一般にはまだ出回っていないとのことだが、気になるニュースだ。

セキュリティのセールストークで「脅威」を強調する時代から「信頼」を訴える時代へ――セキュリティ業界を俯瞰する上で興味深い記事があった（ITPro　3/1）。このことが意味するのは、既にセキュリティ対策が根付いてきた現在、新たに恐怖を煽っても投資を引き出すのは難しく、「信頼」で他社との差別化をはかることで利益を生み出す、というマーケティング手法にシフトしてきているということのようだ。裏を表に返しただけだが、どちらも広告の代表的な表現手法と言える。刺激的なコピーから信頼感を訴えるコピーへの変遷は、それだけ市場が成熟してきたことの表れでもあり、そうした点に注目して業界を眺めてみるのも面白い。

さて一方、まだまだ脅威を感じている、という調査結果も一つ。ガートナージャパンが2月28日に公開した「自治体におけるセキュリティ管理に関する懸念」というものがそれ。「情報セキュリティに関する職員の低い意識　60.7％」を筆頭に、マイナスのキーワードがずらりと並んでいるので、調査結果を一部抜粋してみよう。

過失による機密情報の漏洩・持ち出し・紛失
ネットワークへの不正アクセスや不正侵入
PCや記憶媒体の盗難・紛失
職員による情報システムの操作ミス
故意による機密情報の漏洩・持ち出し
自然災害
PCや記憶媒体の不用意な破棄

自治体が脅威に感じている項目はまだこれだけあるということで、「安心」「安全」「信頼」にはまだほど遠いのが現状。Winnyの事件一つ取ってみても、まだまだ脅威の認知の方が先と言わざるを得ない。

岡山県警から捜査資料など約1500人分という大量の個人情報がインターネット上に流出していることが判明（毎日新聞　3/4）。原因はもちろん（？）Winny。巡査長の私有PCパソコンに一時データを移し、その後データは消去したはずが、普段使わないフォルダに全データが残っていたというから、恐らくバックアップか何かだろう。被害者の実名などが含まれているということで、個人情報よりも人権侵害として重大な事案と見られている。

しかも続報では、指紋関連一覧表や容疑者の靴底写真なども流出していたと報道されており、事実とすれば自衛隊同様、機密上も重大なダメージを受ける可能性がある。

それにしてもまたWinnyである。驚くのは情報流出よりも、自衛隊や警察や政治家や教師までもがWinnyを使用しているという事実だ。モラルも何もあったもんじゃない。

そして恒例のWinny関連事件一覧。第一弾、第二弾に引き続き、事件が相次いでいるからまとめておこう。

テロを実行に移すとき、その引き金となる合図は何なのか。テロを指揮する者が実行部隊に対して、何らかの「信号」を送っているという説がある。そして、犯罪の場合は、通信内容を暗号化しても、マークされている人間が通信をするだけで、あるいはいつもと違う行動をするだけで、「何かあるのではないか」と当局に感づかれてしまう可能性があるのだ。戦国時代、炊事の煙の多さから武田軍の動きを知った上杉謙信の逸話に似ている。

そこで、通常のメッセージの中に特殊なメッセージを埋め込み、それに気付いた人間だけがメッセージを受け取れる、という技術がステガノグラフィーである。画像や音声の中にメッセージを隠し、テロリストが連絡用に利用しているといわれている。専用のソフトを使えばステガノを作成することも出来るが、例えばWordに背景と同じ白色の文字で文章を書く、などでも簡単なステガノにはなる。普通の人にはそれは「スペース」にしか見えないからだ。

これを応用していくと、道端の落書きを一定のルートで追ってみる、毎日の電話の第一声の文字を一週間つなげてみる、などでも「隠されたメッセージ」を読み取れる可能性があることに気が付くだろう。ステガノとはそういうことである。探そうと思うととてつもなく見つけるのが難しい代物であることが分かる。

英語ではsteganography（電子あぶり出し技術）である。それでもプロはその経験とカン、あるいはある一定の「ノイズ」を感じ取ってステガノを検出してしまうらしい。秘密通信には暗号かステガノか。広い意味ではどちらも暗号だが。
解読成功!
ちなみにこの文章の中にもごく初歩的なステガノが埋め込まれているのだが、気付いただろうか。

個人情報保護法を巡っては、法制度に対する誤解や過剰反応により、問題点も数多く浮かび上がってきている。そんな中、内閣府は3月1日、個人情報保護関係省庁連絡会議報告として、いくつかのガイドラインを発表したので、ここで紹介したい。

＜学校や地域社会で名簿や連絡網の作成や配布ができる場合＞
1)あらかじめ本人の同意を得ている場合
2)同意に代わる措置（通信手段を使って通知、掲示など）を取っている場合

＜本人の同意を得なくても個人情報を提供できる場合＞
1)法令に基づく場合（捜査関係事項照会や弁護士照会など）
2)人の生命、身体または財産の保護に必要な場合（災害や事故時に患者に関する情報提供依頼、製品に欠陥がある緊急時にメーカーから家電販売店に対して顧客情報の提供依頼があった場合など）
3)公衆衛生・児童の健全育成に特に必要な場合（地域がん登録事業におけるがんの診療情報の提供依頼があった場合など）
4)国等に協力する場合（税務署等から事業者に対して顧客情報の提供依頼があった場合など）

特に2)などはJR西日本の事故や松下のリコール問題がきっかけになっているのは明白だ。

こうしたお墨付きを国が与えることにより、個人情報保護法の健全な運用に向かえば何よりである。

海上自衛隊から軍事情報などが流出した事件が波紋を呼んでいる。その後の調査で護衛艦通信員のほかに4隊員のパソコンからも自衛艦のコールサインや外部秘の電報などが流出していたことが判明（読売新聞　3/1）、またしても業務用データを自宅に持ち帰り、自宅PCがWinnyに感染したことが原因だという。

さらには航空自衛隊でもWinnyが原因の個人情報流出（隊員約60人分）が初めて明らかになった。組織の体質は部隊によって変わらないだろうから、航空自衛隊も時間の問題だと思っていたが、思ったより早く陸・海・空全滅してしまった。

防衛庁では既に陸・空・海・統幕等による対策検討会を開催するなど、対策に追われているようだが、今回の事件で全隊員が危機意識を持つことだろう。