ワンクリック詐欺（ワンクリック不正請求）は、Webページにアクセスしたり、画像をクリックしただけで料金を不正に請求する詐欺だが、最近では「ツークリック」つまりユーザーに2回クリックさせるものが増えているらしい（ITPro　4/26）。

同報道によれば、1クリック目では利用料金や規約などを表示した画面、2クリック目でその画面のOKボタンを押すと、個人情報を収集しているかのような画面が表示され、手続きが完了すると同時に個人が特定できるかのような情報を表示するらしい。

言うまでもないが、何クリックかは問題ではなく、より手が込んできたが故にいかに騙されないか、が重要になってくる。リンクを安易にクリックしない、などの対策はあるが、決定的な対策手段はないといっても良い。

現実社会では、「治安の悪さ」を嗅覚で感じるものだが、ネット上ではついついガードが甘くなってしまうものだ。「ネット社会での護身術」が重要になってくる。

CSO（Cheif Executive Officer：最高経営責任者）がようやく認知されはじめてきた中、最先端はさらに先を読んでいるらしい。

米SymantecのCISO（Chief Information Security Officer：最高情報セキュリティ責任者）であるメイサー氏は「RSA Conference Japan 2006」において、将来はCRO（Cheif Risk Officer：最高リスク管理責任者）という地位に置き換わっていくだろうと述べたという（MYCOM PC WEB　4/26）。これはつまり、物理セキュリティや不正会計に対するリスク管理も求められるようになるということで、情報セキュリティやITにとどまらなくなるということらしい。

昨今のWinnyによる情報流出事件などをみていると、セキュリティ不足というよりまさに「危機管理」が不足しているという側面が強いように思える。その意味では、企業の「危機管理対策」の一環として「セキュリティ」が位置付けられるようになるというのは、まったくそのとおりで、CROという役職が流行るかどうかはともかく、間違いなくそうした流れになっていくことは確実だろう。

だが、それを老舗のアンチウイルスベンダであるシマンテック社（いまや総合セキュリティベンダだが）の役員が提唱するということが象徴的な出来事で、今後のセキュリティ業界の行く末をも暗示していると見るべきだろう。

デンマークのSecunia社による情報として、IE、Safari、Firefoxというどれも代表的なブラウザに次々と脆弱性が発見されたという（ITPro　4/27）。

特にIEの脆弱性は危険度「高」で、パッチもリリースされておらず、外部からPCを不正に制御できるというもの。しかし、これに対してMicrosoftは「それほど深刻ではない」と主張しているようだが…。

一方、SafariとFirefoxの脆弱性はPCをクラッシュさせるが、やはり深刻なものではないらしい。

なにが深刻なのかは良く分からないが、どのブラウザも油断できないということは確かだ。

ファイル交換ソフト「Share」からの情報漏洩の危険性について紹介した矢先、大きな流出事件が起こってしまった。

流出したのは、毎日新聞関係会社の「毎日開発センター」が運営する「毎日フレンド」会員の個人情報約6万5千人分と、東京本社管内の販売店データ2200件分。同センター社員の自宅PCがウイルスに感染し、「Share」を通じて情報が流出したとみられるという。

ファイル交換ソフトについては使用を禁止していたというが、「Winnyでないから安全」という意識があったとしてもおかしくはない。この事件を契機に、Winny以外のソフトについての危機感も認識されるようになるだろう。

Winnyが悪の代名詞のように言われているが、P2PソフトがWinnyだけではないことは知っている人は知っている。そして、Winny以外のソフトにもやはり危険は潜んでいるのだ。

トレンドマイクロ社では、Winnyと同時にファイル共有ソフトShareも対象とするウイルス「WORM_ANTINNY.BJ」に対して警告を発しており、新たな情報漏洩経路として狙われる可能性があるという（INETERNET Watch　4/25）。

一方、ネットエージェント社の発表によれば、“元祖”ファイル共有ソフトのWinnyユーザー数もこれといって減少はしていないようだ（ITPro　4/25）。逆に2006年2月頃と比べると増加しているということで、「危機感を感じてWinnyを削除した」人よりも「極秘情報が手に入れられることを期待して新たにWinnyをインストールした」不届き者の方が多いということなのか。

アプリケーション開発者にとって、もはやセキュリティを考慮するのは当たり前となっているが、そのためのセキュリティ検査ツールも登場している。

日本コンピュウェアからこのほど販売が開始された「DevPartner SecutiryChecker 2.0」は、ASP.NETアプリケーションの開発兼セキュリティ検査ツールで、Visual Studio の統合開発環境から使用できるという（japan.internet.com　4/21）。静的分析、実行時分析、保全性分析を組み合わせ、脆弱性を持つコードを特定できるとしている。

開発の初期段階からセキュリティ対策を考えられる（考えなければならない）時代になり、セキュリティがそのままコードの品質に直結しているということである。

Windows Vistaのファイアウォール機能については以前紹介したが、ビル・ゲイツ氏の来日に伴い、日本でも初公開されたようだ（ZDNet　4/22）。そこでのデモで明らかになったという「多層化されたセキュリティ対策」についてかいつまんで紹介しよう。

・Active Directoryの「グループポリシー」によってUSBメモリの使用を禁止できる
・ハードディスクの暗号化機能「BitLocker Drive Encryption」を搭載。USBメモリーをキーとしたシステム起動制御も可能
・適切なユーザー権限を運用するための「User Account Control」
・ネットワークアクセス保護機能「Network Access Protection」
・暗号化ファイルシステム（EFS）
・データアクセスを制御する「アクセス制御リスト（ACL）」
・スパイウェア検出機能「Windows Defender」
・双方向通信制御機能「Windows Firewall」
・IE7のセキュリティ機能（ActiveX保護モード、通信経路の暗号化）

これだけ列挙するとなかなか圧巻で、非常に期待が持てる。セキュリティ水準の底上げにかなり貢献するのではないかと予想されるが、リリースはまだかなり先だ。

IPA/ISECでは、Winnyの通信処理にバッファオーバーフローの脆弱性があるとして、外部からコンピュータが乗っ取られるなどの危険があると警告している（4/21）。そして、回避方法は「Winny利用の中止しかない」とまで言い切っている。

これは、脆弱性情報を公開しているJVNにおいて作者自身がコメントを寄せているように、「諸般の都合により、Ｗｉｎｎｙのアップデートおよび脆弱性の具体的な検証が困難な状況にあります」という状況を踏まえてのものと思われる。

どうやらセキュリティ業界では完全にWinnyに逆風が吹いているようだ。Winnyが情報漏洩事件の主役を演じてしまったのは事実としても、その裏にあるもっと大きな問題（機密情報を自宅に持ち帰る、そもそも公用のPCが不足している、あるいは捏造や談合疑惑まで発覚…等々）が浮かび上がってきているのだから、その部分にまでメスを入れて初めて教訓となるはずである。

仮想マシン（VM）という技術があるが、それがrootkitと組み合わさった「仮想マシン・ベースのrootkit」VMBRに関するホワイトペーパーが公開されたという（ITPro　4/18）。VMBRは既存のOS下層に自分自身をロードし、既存OSがVMBR上の仮想マシンとして実行されるため、特別なツールを使わない限り発見されない、かなり高度なrootkitらしい。

これを実現するためには、システムの起動順序を変更するなど、インストールは簡単ではないが、ターゲットのOSと通信をしなくてもDoS攻撃の実行やメールの中継、フィッシングサイトの設置などはできてしまうという。

この研究者たちは、システムBIOSを通じてコンピュータのLEDを操作し、システムの電源を仮想的に切断することまで実現しているというが、まさに実験室レベルの話であり、rootkitの最先端を行く話として捉える分には良いだろう。

日々送られてくるスパムに、「一体どこからやってくるのか」と思った人も多いと思う。ソフォス社はこのほど、スパムの最多配信国ワースト12の最新レポートを発表した（4/20）。

今回公開されたのは2006年第1四半期のデータで、1位は23.1％のアメリカ、2位は21.9％の中国、以下韓国、フランス、ポーランドとなっており、日本は9位。

これを、「スパム中継国」という視点で見ると、若干違いが見られる。1位は42.8％のダントツでアジア、2位に25.6％の北米が入り、僅差の3位に25％のヨーロッパが続く。

発信国と中継国、どちらを遮断すればより効果的なのかは難しいところだが、アメリカは規正法や罰則の強化などの対策が進んで減少してきているということで、次はアジアの責任が大きくなってきていると見るべきだろう。逆に対策が進んでいる国から活動拠点を移していく動きも考えられるため、ガードの甘い国は一気に狙われていく可能性もある。国際的に一致団結して対応していかなければ、目に見えた効果はなかなか現れてこないと言える。

昨年は価格.comやozmallなど、SQLインジェクションが原因と見られる攻撃が大きなニュースになった。その点で行くと、今年SQLインジェクションにまつわる大きなニュースはこれが初めてかもしれない。

JTBパブリッシングの運営する「るるぶ.com」が不正アクセスを受け、SQLインジェクション攻撃を受けていたことが判明したほか、同サイトの登録ユーザー1163名分のメールアドレスとログイン用パスワードが流出した可能性があるという（ITmedia　4/20）。

攻撃元となっているIPアドレスからのアクセス拒否などの対策を講じたため、サイト閉鎖にまでは至らなかったようで、コンテンツも改修されているということなので現在はSQLインジェクション攻撃は防御されていると思われる。

McAfeeによると、ハッカーの間ではステルスコード開発のオープンソース環境があり、それがrootkitの急増にもつながっているという（CNET　4/18）。rootkitの実行用バイナリコードなどが公開されているため、OSに関する深い知識がなくてもrootkitが容易に作成できてしまうらしいのだ。

改めて言うまでもなく、オープンソースは技術の革新と開発者の活性化を促す。それはハッカーたちにとっても同じことが言えるということだ。

Winnyのウイルスに感染し、重要な情報が流出しててんやわんや、というニュースは聞き飽きるほど聞いた。そして、「Winnyが内部告発 」でも触れたとおり、時にはそれが表に出てはならない「裏情報」であることもある。今回発覚した情報流出事件もその一つ。

大阪市の水道コンサルタント会社「日本理水設計」担当者の私物PCがWinnyウイルスに感染し、大分県宇佐市の公共事業指名競争入札を巡る国会議員への口利き依頼文などが流出したという（毎日新聞　4/17）。同社は取材に対し、「面会はしたが、実際には依頼文は出していない」などと釈明しているらしいが、果たしてそんなことがあるだろうか。

さて、いままで悪者扱いされてきた「Winny」だが、なかなかどうして痛快なスクープを飛ばす敏腕記者ではないか。WinnyをインストールしたPCでは悪いことはできない、そんな抑止効果にもなるかもしれない。かつて2ちゃんねるでの告発が企業にとっての脅威となったように、思わぬ企業の「透明化」に一役買っているのは皮肉である。

次世代の暗号がオープンソースで利用できる、として大きく報道されたのが、NTTと三菱電機が共同開発した「Camellia」という暗号アルゴリズムである（ITPro　4/14）。

Camelliaは鍵長が128・192・256ビットの3種類ある共通鍵暗号アルゴリズムで、2005年7月にはSSL／TLSの標準暗号アルゴリズムの一つに採用されているという。基本特許については既に無償化されていたが、基本特許無償許諾契約を締結しなくても利用できるようになったほか、高速化処理が施されたソースコードが公開される模様。ソフトウェアにもハードウェアにも適した実装が可能というのが特徴だ。

Camellia自体は2000年3月に開発されていたので、決して新しい話題ではない。報道によると、ソースコードはC言語版とJava版公開されているということで、同言語に精通したプログラマならすぐにでも暗号機能を実装できると思われる。セキュリティの世界でオープンソースといえば、侵入検知/防御システムのSnortなどがあるが、あまり多くはない気がしていただけに、楽しみなニュースだ。

IBMのPC事業がLenovoに買収され、レノボ・ジャパンが設立されてから早一年が経とうとしているが、ここのところ「セキュリティ分野」におけるIBMの発表が目立っているようである。こんなところにもIBMの変貌ぶりが垣間見えるかもしれない。

以前紹介したハニーポットを利用したワーム検出ソリューションに続き、今度はハードウェアのセキュリティ技術「SecureBlue」を発表したようだ（japan.internet.com　4/12）。もともとがハードウェアの企業だけにハード寄りの技術は相変わらず得意なようだが、メインフレームなどで使われているマイクロプロセッサに組み込み可能なハードウェア技術をパソコンや携帯電話、PDAなどでも実現するアーキテクチャだという。

とはいえ情報はここまで。詳細についてはほとんど公開されておらず、普及に懐疑的な見方をする向きもあるようだ。データの暗号・復号化をハードウェアベースで行うため、処理速度や改竄に強い利点はあるが、それが本当に顧客のニーズに合っているのか？というのがその理由（PGP Andrew Krcik 氏談）。

対象製品が対象製品だけに、コンシューマも当然ターゲットになってくるはずだが、一番の問題は価格になるだろう。IBMの開発力は優れているが、マーケティング戦略はどうか。玄人受けする技術になりそうな感じがしないでもないが、新しい技術は楽しみではある。

Winnyによる情報流出が紙面を賑わせているが、その多くの原因は自宅のPCによるものである。そしてもう一つは会社で使用している個人の私物PCが原因によるものだ。

私物PCの使用を禁止する流れは広がってきているが、なかなか徹底するのが難しいとか、ネットワークにつながなければいいじゃないかとか、いろいろ問題になるのが実際のところである。そこでシステム的に制約をかける方法が大手企業を中心に広がっているようだが、例えばこんな製品がある、という紹介。

日立システムアンドサービス社が13日に発売開始した「オープンネット・ガード Ver3.0」では、登録されたPCだけがLANに接続できるようにするためのソフトウェアだ。どういう仕組みかというと、DHCPサーバの機能によりMACアドレスを自動登録し、MACアドレス認証を行うという、言われてみればいたってシンプルなものである。要するに不正接続検知機能付きDHCPサーバで、誰でも自由に接続できるDHCPサーバのセキュリティ的な弱点を逆手に取った製品だ。固定IPアドレスを設定しても、MACアドレスが登録されていなければ管理者にアラートメールを送信し、他社の通信遮断装置を使って通信を遮断することもできるという。

なかなか優れたソフトのようだが、DHCP自体、比較的小規模のネットワークで利用されているものなので、きちんとIPアドレスを管理しているような大企業では必要ないだろう。最も危険なのは、社内に何台のPCがあり、誰が使っているのか？をまったく把握していない（大手企業でも完全に把握しきれていないケースは多いのではないか）ことであり、こうしたことをきっちりと管理していくことが何よりも重要なのだ。

米iDEFENSEが公開した情報として、MetaFisher（Spy-Agent）に乗っ取られたボットの蔓延状況が明らかとなった（ITPro　4/14）。このトロイの木馬は、HTMLインジェクションを使って個人の口座情報を盗み出すもので、北米で猛威を奮っていることが既に報じられている。

今回明らかになったのは、このボットネットの国別の蔓延状況だ。それによると、米国とブラジルが群を抜いている。ちなみに以前、ブラジルではキーロガーが問題になっていることを紹介したが、ボットにも狙われているということである。脅威が多ければそれだけセキュリティ対策技術も発展するものだが、ブラジルのセキュリティベンダというのはあまり聞いたことがない。

今度は在日米軍三沢基地の通行許可データや車のナンバーなどの情報が流出したという（毎日新聞　4/13）。出入り業者のリストと見られ、恐らく流出元もその辺りだろう。有効期限の過ぎていない通行許可データのため、安全に直接影響を与える可能性があるとしている。

※13日の夕刊で、流出元は三井造船下請けの建設会社の女性通訳の自宅PCと判明した。思わぬところに落とし穴があることもある。

自衛隊に続き、といったところだが、その防衛庁では、私物PC禁止の流れでDELLのPC5万6000台を発注したらしい（毎日新聞　4/13）。1回の案件としては過去最大ということで、DELLには思わぬWinny特需が舞い込んだことになる。ライバル企業たちは歯噛みして悔しがっていることだろう。

相変わらず相次いでいるWinny事件、しつこくまとめてみた。
第一弾　第二弾　第三弾　第四弾

米Everdream社では紛失したPCを遠隔で管理できるサービス「Recovery Managed Service
」を発表したという（CNET　4/12。盗まれたPCデータの暗号化や消去ができる他、PCを突き止める上でも役立つという。逆探知のようなものだ。

しかし、これは決定的な欠点があると思われる。少し考えると、携帯ならともかくPCをどうやって遠隔で操作するのか？という疑問にぶち当たるだろう。そう、このサービスが使えるのは、PCが「インターネットに接続された」時だけなのだ。ネットワークを通じてPCと接続しようという、いたってシンプルな仕組みなわけである。つまり、当然盗んだ犯人が「うっかり」インターネットにつながなければ、データはまんまと盗まれてしまうというわけだ。

それならデータやハードディスクを暗号化しておいたほうが安全ではないだろうか。

NTTコムウェア社は電子透かしを利用してフィッシング詐欺を防ぐソリューション「PHISHCUT」の提供を開始したという（IT Pro　4/10）。

ネット銀行やショッピングサイトなどに電子透かしを埋め込み、「認証システム」が電子透かしの情報とWebサイトの情報を比較検証するというもの。料金は月25万件以下のアクセス数のサイトで月額50万円からだという。

システムとしては斬新だが、理論的には簡単。電子透かしを使わなくてもいろいろ方法はありそうだ。要は第三者がWebサイトを「本物である」と認定してくれればいいわけである。今回のソリューションでは、個人情報を送信する際にこの判定が行われるとの事だが、サイトにアクセスした時点で判定しないのは、レスポンスと負荷の問題があるからだろう。

マイクロソフトがIE7に組み込む「フィッシングフィルター」などはフィッシングサイトのリストと比較して危険度を表示するが、それとは逆のアプローチである。どちらが対策の主流になるか。

PCとPDAの両方に感染するクロスオーバーウイルスは既に発見されていたが、ロシアKaspersky LabはさらにWindows（32ビット版）とLinuxの両方に感染するコードを発見したという（IT Pro　4/10）。

今回のコードはアセンブラで記述され、Linuxのバイナリ・ファイル形式（ELF）とWindowsのバイナリ・ファイル形式（PF）に対応しているという。

まだマルウェアとしては悪用されていないようだが、今後ますますウイルスのクロスプラットフォーム化が進むことが予想され、となるとアンチウイルスソフトのクロスプラットフォーム対応も進むかもしれない。

コンピュータウイルスに関するデータとしては、トレンドマイクロ社が公表しているものの他に、IPA/ISECが毎月公開している「コンピュータウイルス・不正アクセスの届出状況」もある。トレンドマイクロのデータとは視点も異なり、結果も違ったものになっているので、合わせて分析してみると面白い。

結果を見る前に、母数とカウント方法について比較しておこう。

＜トレンドマイクロ社のデータ＞
・3月の総報告数は6993件
・日本のトレンドマイクロサポートセンターに寄せられた被害件数
・ウイルス発見のみの件数も含む
・亜種もまとめてカウント

＜IPA/ISECのデータ＞
・検出数と届出件数があるが、3月の検出数は約256万個、届出件数は4,270件
・検出数は届出者から寄せられたウイルスの発見数、届出件数は同じ届出者から同一発見日で同一種類のウイルス検出の場合は届出1件としてカウント
※スパイウェアは含まれていないようだ

上記を踏まえ、IPA/ISECのウイルス届出件数ランキングを見てみる。
Netsky　988件
Mytob　531件
Bagle　449件
Mydoom　298件
Mywife　288件
Klez　195件
Lovgate　147件
その他　1374件

言うまでもなく、IPA/ISECのデータの方が母数も多くベンダニュートラルな情報のため、日本全国のデータ精度としては高い。

ここで注目しておきたいデータは、ウイルス届出件数の年別推移である。2001年～2003年までは2万～2万5千件程度だったのが、2004年には急増して5万件を超え、2005年は過去最高の54,174件を記録、今年も昨年とほぼ同様の水準を保っているということである。主なトピックを拾ってみると、

2003年　MSBlaster、Welchiaが出現
2004年　Netskyが出現
2005年　Mytobが出現

といったところだ。
ニュースにはならないが、スパイウェアと違って「ビジネスにはならない」コンピュータウイルスも相変わらず衰えていないということである。

トレンドマイクロ社が毎月発表している「ウイルス感染被害マンスリーレポート」の3月度版が公開された（4/4）。被害件数の多かったウイルスのベスト10が明らかになっており、ウイルスのトレンドを見る上では手っ取り早い資料である。

3月の特徴は、1位の「SPYW_GATOR」を筆頭に、スパイウェアが1種、アドウェアが5種もランクインしていることだろう。ワーム型の2種と比べると、今はアドウェア全盛時代と言える。

ちなみに、昨年3月のレポートでは、ワーム型が4種、トロイの木馬型が5種ランクインしており、トレンドが変化している様子が顕著に見て取れる。1位には「WORM_RBOT」が入るなど、ボット系の不正プログラムが猛威をふるっていた頃でもある。しかしながらこの「WORM_RBOT」、今年3月のレポートでも2位にランクインしており、未だに健在なのだ。

世間を騒がせているWinny関連ウイルスだが、感染報告自体は少ないようである。数は少なくても被害は大きい、悪性の強いウイルスというわけだ。その種類も「ANTINNY」「山田オルタナティブ」に加え、「2ちゃんねる」掲示板に書き込むウイルスが登場しているという。そしてさらには、決められた内容の書き込みだけを行う一見単純なウイルス「TROJ_KAKKEYS」の亜種も多く登場した。その内容が爆破予告や首相暗殺予告などであることから「小泉ウイルス」などとも呼ばれているらしいが、愉快犯的な特徴からは昔ながらのウイルスを彷彿とさせる。

PCとPDAの両方に感染するウイルス「WORM_CXOVER.A」も初めて確認された「クロスオーバーウイルス」として取り上げられている。

こうしてウイルスの歴史を遡ってみるのも興味深いので、2001年～2005年までの年間レポート1位もついでに取り上げておこう。

2005年度1位　WORM_NETSKY（ワーム型）
2004年度1位　WORM_NETSKY（ワーム型）
2003年度1位　WORM_KLEZ（ワーム型）
2002年度1位　WORM_KLEZ（ワーム型）
2001年度1位　MTX（ファイル感染型）

2001年は5位に「WORM_SIRCAM.A」、6位に「NIMDA」、圏外には「CodeRed」など歴史に残るウイルスが流行した歴史的な年だった。過去の傾向では、大流行したウイルスの蔓延は2年ぐらい持続しており、スパイウェア・アドウェアの流行も当分おさまりそうにない。

Winnyのウイルスにより個人情報や機密情報が続々と流出しているのは問題だが、今までまったく表に出てこなかった情報が公の目にさらされたという点では、有益な点が全くないわけでもない。時には思わぬ「内部告発者」として大きな働きをしてくれることもある。

その一例が愛知県警の捜査資料流出事件。架空の捜査報告書が判明したというのだ（朝日新聞　4/4）。証言のでっち上げや報告書の捏造は、冤罪事件などでしばしば明るみになるところだが、それを立証するのは大変な困難を伴うものである。ところが今回は、証言者とされる人のもとへ流出の謝罪に訪れた警察官を見て「何のことか分からなかった」というのだから自ら墓穴を掘ったようである。

情報提供者に対する謝礼の架空計上も疑われており、スキャンダルはさらに広がる気配を見せている。

Kaspersky Labのレポートでは、サイバー犯罪者はあらゆる「敵」に対して攻撃を展開しているようだ（CNET　4/5）。その敵にはライバルも含まれるという。

同報道が伝えるターゲットは大きく3つ。一つは今までも多く見られた「ウイルス対策ソフト」に対する攻撃である。検出を免れようとするだけでなく、対策ソフトの更新を無効にしたり、さらには削除してしまうコードが含まれるケースも増えてきているという。ますます悪質化しているということだ。

以前紹介したハニーポットも狙われている。セキュリティ上無防備な状態になっているネットワークに気が付くと、ボットネットを利用してDDoS攻撃をしかけているらしい。ボットネットvsハニーポット…知恵と知恵がぶつかり合う手に汗握るサイバー戦争というのは言い過ぎか。

そして、その標的は、同業者にも向けられているというのだ。サイバー犯罪者の世界でも生き残りをかけ、熾烈な争いが繰り広げられているらしい。同業者に対してDDoS攻撃を仕掛けたり、相手のボットネットを乗っ取ったり、既にインストールされている他のマルウェアを削除するソフトなども作成しているという。こうなるともはや誰が敵で味方かも分からない。ネット犯罪がビジネスとして成立した今、その中でも市場競争が生まれているのである。より強い組織が生き残り、切磋琢磨を繰り返す。裏社会と同じである。

北海道武蔵女子短期大学において、入試システムを開発した「大丸藤井」社員の自宅PCがWinnyウイルスに感染し、受験生延べ約1000人分の氏名や住所、合否情報などが流出したという（毎日新聞　4/4）。

合否情報が流出するということ自体、前代未聞らしいが、その経緯がまた耳を疑う内容である。短大側からシステムを依頼した際、サンプルデータとして開発会社に渡したのが「実際のデータ」だったというのである。安易としか言いようがない。短大と開発会社という二重のミスが重なったことになる。

さらに悪いことに、流出させた社員はデータをPCから既に消去していたため、被害者個人の特定ができない状態だという。これは、一旦事故を起こしてから慌てて情報を消去しても、事態を悪化させる一方であるという教訓にもなるだろう。

昨年6月に米国のクレジットカード情報が4000万人分流出するという事件があったが、韓国ではネット加入者の62.2％にあたる771万人分の情報が流出していたことが判明したという（読売新聞　4/4）。

大手通信会社「KT」など4社の氏名や住所、家族構成などの顧客リストが業者間で売買され、テレマーケティング業者に流れていたらしい。

同報道によれば、日本での最大規模の情報流出事件は2004年2月のヤフーBB加入者情報流出事件の約460万人分だそうだが、今回の韓国のケースはそれを上回る規模だったことになる。

以前、IPアドレスやメールアドレスを元に、自殺予告や殺人予告などに対する人命保護についての提言について紹介した。当時は、そうした書き込みを見つけた場合は110番通報をするしかなかったが、今回、警察庁は「総合セキュリティ対策会議　報告書」において違法・有害サイトについての通報を受け付ける「ホットライン」の提言をまとめた。

具体的活動としては、インターネット利用者からの通報を集約し、違法サイトを発見した場合は警察に通報する。ここで言う違法サイトとは、文字通り法令に違法する情報のことで、例えば殺人や銃器・薬物売買などに関するものになるだろう。また公の秩序又は善良の風俗を害する情報は有害サイトとしてプロバイダーへの勧告・削除要請を行う仕組みになっている。これは例えば性的なものや犯罪誘発、自殺誘引サイトなどが当てはまると思われる。

尚、今回はあくまでも提言のレベルで、運用ガイドラインについては次々回会議にて策定されるスケジュールになるということで、実際に動き出すにはまだ時間がかかりそうだ。

こうしたホットラインは、海外では米国のNCMEC（National Center for Missing and Exploited Children）をはじめイギリス、ドイツ、フランスなどでも設置されているらしい。人員も米国の20名からフランスの2名とばらつきがあり、年間予算も人数に比例したものとなっている。

CEO（Cheif Executive Officer：最高経営責任者）やCOO（Cheif Operating Officer：最高業務執行責任者）、CFO（Cheif Financial Officer：最高財務執行責任者）などに続き、重要性が増してきているのがCIO（Cheif Information Officer：最高情報責任者）やCSO（Chief Security Officer：最高セキュリティ責任者）である。特に企業のセキュリティ対策負担が増えている昨今、CSOの設置が増えているといわれている。

CSOはCIOと連携して情報セキュリティを管理するほか、物理セキュリティや法務など企業の危機管理全般を担当する役割であり、カバーする領域は広い。またセキュリティはその性質上、費用対効果が算出しにくく、通常の予算とは切り離して活動していく場面も多い。これらの内容を見れば、その重要性と権力の大きさは想像に難くない。

とはいえ、CSOの定義はまだ曖昧なのが現状。その業務内容や責任の範囲も明確に決まっているとは言いがたい。ただし、肩書きはともかく、企業のセキュリティを統括する専任の責任者が必要な時代になってきているのは間違いない。PマークやISMSを取得するならなおさらである。

金融機関のセキュリティは狙われやすく、国内の銀行もあの手この手で対策をしているのは承知のとおり。海外の銀行でも攻防が繰り広げられているようだ。

米国では、フロリダの3つの銀行のホスティングをしているISPのサーバが侵入され、ネットバンキング利用者の個人情報が盗まれたという（COMPUTERWORLD　3/29）。正規のサイトがクラッキングされ、そのサイトのトラフィックを偽サイトのサーバに転送し、クレジットカード番号やPINなどをまんまと騙し取ったらしい。フィッシングから一歩進んだ攻撃に警戒感が強まっているが、地方銀行のリソース不足をついた攻撃との見方もあるようだ。

一方欧州では、大手銀行の顧客を偽装サイトへ誘導するEメールが攻撃者によって送信され続けていると言い、偽装サイトにアクセスすると銀行口座や個人情報を収集してサーバに転送するトロイの木馬がダウンロードされるという（COMPUTERWORLD　3/22）。「MetaFisher」というこのプログラムは、管理インタフェースがこれまでになく精巧に作られているらしい。

世界的に技術力のあるプロのクラッカーが跳梁跋扈している図式が見えてくる。

そんな中、ドイツの大手リテール銀行ポストバンクAGでは、顧客に送信するメールすべてに電子署名を付け、S/MIME認証を使用することにしたという（COMPUTERWORLD　3/30）。電子署名はTCトラストが発行するとのことで、この証明書とS/MIME認証に対応したメーラーは今のところOutlookだけらしい。

犯罪者が本気なら対策する方も本気で取り組む、技術の発展にはつながるのだろうが。