欧州では違法！グーグル新方針で混乱！

Googleが2012年3月1日付で、提供しているサービスにおけるプライバシーポリシーを変更した。キーマンズネットの概説によると以下のとおり。
これまでGoogleは、提供している各種サービスごとにユーザ情報を管理していた。それを簡潔にするため、1つのGoogleアカウントで複数の Googleサービスを利用したときに、そのユーザ情報を一括で管理することとした。これによって、たとえば検索キーワードの履歴をYouTubeの動画検索に反映させることができるようになったりする。
その反面、新プライバシーポリシーの元で収集される各種ログや各種情報が統合されることで、ユーザのネットでの活動が明確になり、嗜好の特定もかなり容易になる。Googleもその点を強調していて、ユーザ情報を一括管理することでよりシームレスなGoogleの各種サービスを提供するとともに、ユーザにより的確なターゲティング広告を提供する、みたいなことを言っている。
ポイントは、新ポリシーによって新たに収集されることになったユーザ情報はない、ということ。つまり、新ポリシーになったからといって、たとえば「今まで収集されていなかった○○情報が急に収集されるようになっちゃったよ！」というワケではない。ただ、いままではAサービスでは収集されていなかったけど Bサービスで収集されていたユーザ情報が、AサービスでもBサービスでも、果ては初めて利用するCサービスでも収集されることになるということ。
こんな新プライバシーポリシーに対して、嫌悪感を持つユーザが少なからずいるようで、ネットでは「脱Google」の動きも出てきている。またこの騒動を受け、アメリカでは米連邦議員が質問状を寄せたり、プライバシー擁護団体EPICが提訴したりといった事態になっている。日本でも、総務省と経済産業省がこの新ポリシーをもっとわかりやすく説明するよう要請している。
そして極めつけは、欧州委員会がこの新プライバシーポリシーは「EU法違反である」ということを表明してしまったのだ。この原稿をまとめている時点では、その結果EUにおけるGoogleの各種サービスがどうなるかは明確になっていない。

ネットショッピングで大規模な不正利用も発生

http://journal.mycom.co.jp/articles/2011/12/05/ipa12/index.html

顧客情報を盗み取ろうとするメール、みずほ銀行も標的に - 注意呼びかけ

http://journal.mycom.co.jp/news/2011/11/16/034/index.html

セブン銀行、ネットバンキング暗証番号等をだまし取るメールに注意呼びかけ

http://journal.mycom.co.jp/news/2011/11/14/048/index.html

件名が「三井住友銀行ご利用のお客様へ」などの不審なメールに注意

http://journal.mycom.co.jp/news/2011/10/12/061/index.html

情けないソニーのセキュリティ対策、頑張れ日本

　ソニー・コンピュータエンタテインメントのゲーム機向けオンラインサービス「PlayStation Network（PSN；プレイステーション・ネットワーク）」および映画・音楽配信サービス「Qriocity」の情報漏洩に続き、米ソニー・オンライン・エンタテインメント（SOE）が管理・運営しているシステムの情報漏洩が問題となったが、5月7日には新たにソニーの米国子会社ソニー・エレクトロニクスのWebサイトから約2500万人分の個人情報漏洩が報じられた。これによると、5日の午後にハッカー交流サイトで指摘されていることを発見して削除したとのことであるが、実際に個人情報の入ったExcelファイルが削除されたのは6日になってからのようだ。

　ハッカー交流サイトとされる掲示板が最初にこの問題を指摘したのではなく、情報セキュリティの専門家がTwitterで5日の夕方に指摘した脆弱性が転載されたのが事の始まりのようだ。その脆弱性は、Webアプリケーションのソースコードが丸見えになっているというもの。Webアプリケーションのソースコードを見えなくするのは基本的なセキュリティ要件であり必須である。なぜなら、ソースコードが見えてしまうと、データベースへのアクセス方法や場合によってはパスワードまでもが露呈し、泥棒に金庫の場所とアクセスコードを渡すようなものだからである。

　Twitterでつぶやかれたすぐ後には、掲示板にそのWebアプリケーションへのURLが掲載され、そのURLをクリックすると誰でもソースコードを見ることができた。そのためそのソースコードが解析され、その中に問題のExcelファイルの名称があった。さらにExcelファイルへの直接のURLが掲示板に掲載され、6日未明には海外のハッカー情報サイトに掲載された。それからやっとリンク先のWebアプリケーションとExcelファイルがサーバーから削除された。

　さらに、7日夕方には、前述の掲示板で海外のソニー関連サイトのXSS（クロスサイトスクリプティング）の脆弱性が公開された。XSSへの対策は、入力値や出力値のチェックを行えば済む話であり、これは今ではWebアプリケーション開発における"いろは"の"い"である。高度なテクニックではなく、全てのWebサイト構築上の常識である。その他にも様々な脆弱性が情報セキュリティ専門家らの手によって発見され、情報処理推進機構（IPA）などに報告されているようである。

　5月1日には1週間後をめどにPSNとQriocityの一部のサービスを再開するとしていたが、7日には延期が発表された。ここ数日間の動きから、これからも脆弱性が指摘されたり情報漏洩につながる攻撃が行われたりすることが予想されたからであろう。
　プレイステーション関連では、2000年にもWebサイトから情報が漏洩し、このときも初歩的な脆弱性を突かれ、誰でも他人のデータを閲覧できるようになっていた。
早急に建て直しを図り、日本を代表する企業として、これ以上の日本ブランドの失墜を避けるという意味でも、基本的な対策はもちろん、期待されるレベル以上のセキュリティ対策を講じて頂きたいものである。

　ソニーは、悪いニュースを迅速に情報開示しなかったとして非難を浴びる最新の日本企業になった。東京電力は3月11日の東日本大震災の後で起きた原子力発電所事故の件で批判されている。昨年にはトヨタ自動車が大型リコール関連問題で酷評された。

しかし大企業はたるんでいる。情けない話である。

新手のフィッシング詐欺であるMITM攻撃やMITB攻撃を遮断できる技術ってどんなの？

通信セッションを横取りして本人になりすます詐欺犯罪手法の１つである中間者（MITM）攻撃やマン・イン・ザ・ブラウザ（MITB）攻撃は、既存の認証方法では防ぐ術がないとされていたが、以下の電波新聞の記事（1/19付）によるとそれを防止できるそうである。

インターネットオークションやネットバンキング、ネット通販などを利用する際に、自身の個人情報が他人に盗まれる可能性があることをどれだけ認識しているだろうか。実はこうした危険が、我々の生活の中に入り込んできている。擬似サイトに誘導してIDやパスワードを盗む「フィッシング詐欺」の09年の検挙件数が、前年比46%増と一気に増えている。最近は、個人情報の保護やセキュリティに対する認識は高まりつつあるが、昨今は、さらに高度で防御不能なフィッシング詐欺が出現しているという。

偽サイトに誘導して情報を盗む従来のフィッシング詐欺であれば、その都度1回限りのパスワードを発行するワンタイムパスワードで対応ができた。しかし、ここにきて中間者（MITM）攻撃やマン・イン・ザ・ブラウザ（MITB）攻撃と呼ぶ新手の詐欺が米国などで出現している。MITM攻撃は、利用者が接続している取引の接続を中間で横取りし、リアルタイムに改ざんする。MITB攻撃は、パソコン自体を乗っ取り、取引内容を改ざんするため、ワンタイムパスワードでは対応できない。

「どんなに強力な認証を導入していても事実上、攻撃を防げない」と日本ユニシス総合技術研究所先端技術部の八津川直伸上席研究員は話す。これらの攻撃は、既に米国などで被害の報告が挙がっている。また日本での被害報告は公になっていないが、こうした危険な攻撃は、いつやってきてもおかしくない状況であることから、日本ユニシスで抜本的な解決ができるセキュリティの開発を進めている。同社の特許技術である独自のワンタイムパスワードとUSBトークンを使うことで、常に攻撃経路を監視する。

「これにより、確実に攻撃を遮断できる」（八津川氏）という。ただ、日本での具体的な被害が挙がってきていないことから、日本企業では、MITM/MITB攻撃への対策の意識が高くないのも事実。今後、確実に増えるとみられるこれらの攻撃にも目を向ける必要がありそうだ。

Twitterが危ない？トレンドポイズニングって？

個人の情報発信から企業の広報活動まで広く普及したTwitterは、情報収集目的に利便性の高いツールだが、マルウェアはそれを見逃さない。
「Twitterトレンドポイズニング」はSEOベースの攻撃方法を利用した手口で、絶妙なWebマーケティングから流行のキーワードを探し出し、それぞれ異なる偽のアカウントから次々とツイートを送信。改ざんされた悪意あるショートURLへ誘導する。Twitterを利用する際には注意が必要である。
悪質なファイルを多くの無警戒なユーザーに配信するために、マルウェア作者が SEO のテクニックを使って検索エンジンの人気キーワードを悪用する手口は広く知られる。Twitterもマルウェア作者の抜け目ない攻撃から逃れることはできない。この攻撃では、異なるアカウントで同じツイートを何度も送信し、Twitterのトレンドリストに掲載しようとする。これによりツイートの送信に使った個々のユーザーアカウントのフォロワーが少なくても、多くの人がこのツイートを目にする可能性が高くなる。ちなみに、この攻撃に使われているアカウントの多くはフォロワーがそれほど多くなく登録されたのも最近である。つまりツイートをスパム送信する目的で意図的に作成された偽のアカウントであると考えられる。
この種の攻撃が行われるときには効果が実証されているSEO ベースの攻撃から借用した手口が用いられる。
次のような手順に沿って行われるようだ。
1. 流行のキーワードを調べる
2. 適切なホストを探す
3. URL を隠蔽する
4. ニュースの拡散を開始する
5. 成功するまで繰り返す

モバイル端末にとって最も深刻な脅威はFacebook

　ソーシャル・ネットワークで詐欺にあったFacebookユーザーの4分の1がモバイル・デバイスを使用していた。しかしセキュリティ企業BitDefenderの最新調査によれば、モバイル・デバイスを汚染する最大の脅威は、そうした機器にターゲットをしぼったマルウェアではないという。「Facebook」をねらうマルウェアのほうが、モバイル・セキュリティにとってははるかに大きな問題だそうだ。

　Facebookにアップされた悪質なリンクを介し、モバイル・デバイス間でソーシャル・ネットワーク上のスパム・リンクがまん延している。こうしたワームやマルウェアは特定のプラットフォームに依存していない場合が多く、PCを標的とするマルウェアとして広がりを見せている。

　BitDefenderの関係者が調査報告に引用したGoogleの統計は、最近ソーシャル・ネットワークで詐欺にあった Facebookユーザーの4分の1近くが、モバイル・デバイス経由で被害を被ったことを示すものだった。事例としてあげられたあるURLは、学校を退学になった女子生徒のFacebookステータスへのリンクと称されていたという。このURLは実に2万8,672回もクリックされており、そのうち24％がモバイル・プラットフォームから閲覧された。PCからであれモバイル・デバイスからであれ、同リンクをクリックしたユーザーはFacebookワームをダウンロードしてしまい、アドワード・ベースの現金詐欺の被害者となった。

　BitDefenderのThreat Intelligence Teamでリーダーを務めるジョージ・ペトレ（George Petre）氏は、「モバイル・プラットフォーム用に作られたマルウェアを探すことにのみ集中するデータ・セキュリティ研究者は、ソーシャル・ネットワークという同プラットフォームにとってきわめて危険な脅威の源を見落としてしまう」と警鐘を鳴らした。

どんなWebサイトでも安心できない！――人気ポータルやソーシャル・メディアがマルウェアの温床に！

★危険なのはポルノ・サイトやアングラ・サイトだけではない。

　誰でも知っている有名なWebサイトであっても、1 年に1 度はマルウェアをホスティングすることがあるらしい。FacebookやMySpace、Twitter、そして各種ブログ・サービスといったソーシャル・メディアも、同様に安全ではない。また、インターネット検索エンジンは、よく使われる言葉で検索が行われた際にマルウェア・サイトなどへの悪性リンクを示すことがある。

　あるレポートによると、ブログやチャット、掲示板への書き込みの95％がスパムであるという。さらに、有料ポルノ・サイトが平均以上のセキュリティ・レベルを確保しているのに対し、無料サイトは悪性コンテンツをホスティングしている可能性が50％に上るという調査結果もある。

　例として、昨年、世界で最も人気のあるニュース・サイトの1つが何度もハッキングされていたので、そのサイトの管理者にメールで通報したところ、1時間程度で悪性サイトへのリダイレクトは削除された。しかし2時間後には再び同じリダイレクトが張られていた。あらためて通報メールを送ったが、そのサイトは問題を処理するのにさらに時間がかかり、2週間後には他の方法で再びハッキングされ、それから約6か月後にはそのサイトが悪性リダイレクトを再びホスティングしていた。

　このニュース・サイトの運営会社は、Web技術に関するリソースとスキルに定評がある企業だが、それでも一連の攻撃を防げなかった。では、より小規模のWebサイトはどうすべきなのか。特に、ホスティング・サービス・プロバイダにシステム運用を委託しており、そのプロバイダが感染報告の対応を自社の都合に合わせて行うような場合は打つ手がないのだろうか。

　StopBadware.orgは、あるプロバイダがホスティングしているWebサイトの多くがマルウェアに感染していることを突き止めた。同団体は、そのプロバイダに1万2,000以上のサイトが攻撃を受けていることを通知したが、6か月以上過ぎても5,000ほどのサイトがハッキングされたままだった。この事実からも、インターネットはセキュリティ侵害を受けたWebサイトで溢れていることがわかる。恐ろしいことである。

ＲＳＡ暗号、10年以内に危機？

ＮＴＴは８日、欧州の研究機関と協力して多数のコンピューターを連携させ、232ケタの数を素因数分解することに成功した、と発表した。従来の記録だった200ケタを32ケタ上回った。
これはいよいよえらいことである。

素因数分解の困難性は、ＲＳＡ暗号の計算量的安全性を支えている。あと77ケタ進むと、現在主流のネット暗号は破られることになる。
電子署名、公開鍵証明書、通信経路秘匿、メッセージ完全性維持、メッセージ秘匿、相手認証など全てが無効となる。
その時期は５〜10年後と予想されており、同社は「新方式への置き換えなど、対応を急ぐほうがよい」と警鐘を鳴らしている。

素因数分解は数を、素数（１とその数自身でしか割り切れない数）のかけ算に分解する。ケタの大きい素数を使うと、解くのに高速コンピューターでも天文学的な計算時間が必要とされ、電子商取引の認証や機密データの秘匿などの基礎に応用されている。

企業サイト改ざん急増 新型ウィルスか

企業のウェブサイトが改ざんされ、利用者のパソコンが閲覧しただけでウイルスに感染する被害が相次いでいる。５日、洋菓子販売のモロゾフのサイト改ざんが判明したほか、ＪＲ東日本やホンダなどのサイトの改ざんも先月発覚した。情報処理推進機構（ＩＰＡ）は「利用者が多いサイトほど（ウイルス感染の）被害が拡大する傾向にある」として、利用者や企業の情報管理者に注意を呼びかけている。

サイト改ざんの原因となったのは、2009年３月に世界的に流行が始まった「ガンブラー」と呼ばれるウイルスの一種とみられる。国内でも09年末には従来のウイルス対策ソフトにも検知しづらい改造版が見つかり、流行が本格化した。

サイトが改ざんされても、表示内容は一見通常と同じことが多い。画面をクリックするなどの操作をしなくても、利用者のパソコンがウイルスに感染してしまうのが特徴だ。１月４〜５日までサイトが改ざんされていたモロゾフの場合、その間に最大3960人がサイトを閲覧した可能性があるという。

預金者保護法でカバーされないネットバンキングを考える

　金融庁は12月26日、2008年4月〜9月のインターネットバンキング犯罪などによる被害について、各金融機関からの報告をまとめた被害発生状況を発表した。
　2008年4月〜9月のインターネットバンキング犯罪による被害発生件数は39件で、2007年度（2007年4月〜2008年3月）の232件と比較すると件数は減少傾向にある。一方、平均被害額は181万円となり、2007年度の81万円から増加している。
　39件の被害のうち、金融機関が被害を補償するかどうかの処理方針が決定済みとなっているのは21件で、うち18件は被害金額の全額または一部を補償している。
　同期間のその他の犯罪被害発生件数は、偽造キャッシュカード犯罪が276件、盗難キャッシュカード犯罪が2274件、盗難通帳犯罪が99件。平均被害額は、偽造キャッシュカード犯罪が75万円、盗難キャッシュカード犯罪が38万円、盗難通帳犯罪が167万円となっている。

ネットバンキングによる預金の不正引き出しは、具体的には、ネットバンキングのIDやパスワードを不正に入手して、口座から別の口座へと勝手に送金（振込）を行うというものだ。　ここで、疑問に思う人もいるだろう。預金者保護法があるのだから、仮に不正引き出しの被害に遭っても大丈夫なのでは？と。
　2006年2月に施行された「偽造カード等及び盗難カード等を用いて行われる不正な機械式預貯金払戻し等からの預貯金者の保護等に関する法律」（http://law.e-gov.go.jp/announce/H17HO094.html）、いわゆる預金者保護法では、偽造・盗難キャッシュカードによるATMでの不正引き出し被害が補償されるようになっている。被害者本人に「重大な過失」（たとえば、キャッシュカードに暗証番号を書いていたなど）がない限り、被害金額が全額補償される。
　しかし、預金者保護法では、盗難通帳による窓口での不正引き出しや、ネットバンキングでの不正引き出し（不正アクセスによる送金）は対象外になっている。（http://www.shouhiseikatu.metro.tokyo.jp/kurashi/0602/wadai.html）
　ネットバンキングを利用している人は、預金者保護法に頼ることができないのだから、不正引き出しの被害に遭わないように、より一層の注意が必要となる。
　ただ、ネット銀行によっては、独自の保険で対応しているところもある。たとえばジャパンネット銀行では、限度額はあるものの、ネットバンキングによる不正引き出しについても保険で補償している。（http://www.japannetbank.co.jp/regulation/agreements17.html）
　預金者保護法は、2年後には見直されることになっているがどうなっただろう。盗難通帳による窓口での不正引き出しや、ネットバンキングでの不正引き出しについても議論されることだろう。ただ、そこでネットバンキングでの不正引き出しが補償の対象になるかどうかは、現時点では不明だ。　いずれにしろ、ネットバンキングのセキュリティーには注意したい。IDやパスワードを狙うスパイウエア対策も必須だ。「ネットバンキング利用者狙う進化形「キーロガー」――暗証番号管理は慎重に」、http://it.nikkei.co.jp/security/column/web_miyajima.aspx?n=MMITzt000018072006）なども参考にはなる。

最近のセキュリティ・ベンダー動向（2009年5月〜6月

■62兆のスパムメールに費やされた電力は？
スパムメールには本当にもうウンザリ…2008年に世界で発信されたスパムメールの件数は？そのために費やされた電力はいったい何世帯分か？
　⇒ http://www.keyman.or.jp/3w/prd/28/30003028/?ml=w20090522

■「Fe-NANDフラッシュメモリ」って何だ？
（１）1億回書き換え可能！「フラッシュメモリ」がHDDを凌駕する日…
　⇒ http://www.keyman.or.jp/3w/prd/74/30002974/?ml=w20090522
（２）USBメモリの悪夢…ひと挿しで業務停止！？
　⇒ http://www.keyman.or.jp/3w/prd/71/30003071/?ml=w20090522
（３）たった1％で87時間！ネットワーク可用性向上のキモ
　⇒ http://www.keyman.or.jp/3w/prd/82/30002982/?ml=w20090522
（４）もう失敗しない！過ちを逆手にとった中堅・中小企業向け「ERP」の選び方
　⇒ http://www.keyman.or.jp/3w/prd/06/30003006/?ml=w20090522
（５）サービス豊富！開いたネットワーク「WAN」を理解しよう
　⇒ http://www.keyman.or.jp/3w/prd/88/30002988/?ml=w20090522

■〜検疫LANソリューションの機能拡張版
（１）NTTデータ先端技術、検疫LANソリューションの機能拡張版を出荷
　⇒ http://www.keyman.or.jp/3w/prd/11/20025811/?ml=w20090522
（２）インテリジェントソフトウェアー、仮想シンクライアント新版発売
　⇒ http://www.keyman.or.jp/3w/prd/01/20025801/?ml=w20090522
（３）日本セキュア、多要素認証／SSO搭載の統合認証システムを発売
　⇒ http://www.keyman.or.jp/3w/prd/23/20025823/?ml=w20090522
（４）アズベイス、業務支援ソフトの携帯電話版をiPhone 3Gに対応
　⇒ http://www.keyman.or.jp/3w/prd/10/20025810/?ml=w20090522
（５）インテック・ネットコア、クラウド型ストレージ構築ソフトを提供
　⇒ http://www.keyman.or.jp/3w/prd/13/20025813/?ml=w20090522

オンライン銀行のフィッシング対策ってどうなの? その２

過去の記事をもうひとつひろってみると、オンラインバンキングはほんとうに危ないのではないか。

2006年当時、銀行ウェブサイトの4分の3以上には何らかの設計上の欠陥があり、顧客を金銭的損失や身元詐称の危険に晒していたことが分かった(Informationweekの記事)らしい。米ミシガン大学のAtul Prakash教授らが2006年、214の銀行サイトを対象に行った調査で判明したもので、Symposium on Usable Security and Privacyで発表されたという(論文http://cups.cs.cmu.edu/soups/2008/proceedings/p117Falk.pdf)。あくまでアメリカの、それも2006年の調査結果とのことだが、日本でもあまり状況に変わりはないかもしれない、とのこと。

オンライン銀行のフィッシング対策ってどうなの？

オンラインバンキングってフィッシング対策が甘いところが多いと聞くが、今は大丈夫なのか？
過去の記事を少しひろってみると、なんか危なそう。

2006年03月15日
IT Mediaの記事によると、JP Morgan Chase & Co.傘下の米大手銀行Chaseや米オークションサイトeBayを標的としたフィッシングサイトに、中国四大国有銀行の一つである中国建設銀行(CCB)上海分行(支店)に割当てられたIPアドレスが使用されているとの英Netcraftのレポートが紹介されている。
レポートによると、今月の11日にChaseとeBayを装ったアンケートメールが発信され、CCB上海分行のサイトに誘導。ChaseやeBayのサイトを真似た入力フォームに、IDやパスワード、社会保障番号(SSN)などを入力を促すもので、フォームに入力されたデータはインドのサイトに転送する仕組みになっているという。

CCBは昨年四大国有銀行では初となる株式上場を達成し、分行数38店、支行数約2万店を抱える中国第二位の銀行で、近年急激に成長している銀行の一つ。中国の大手銀行は非常に規模が大きく、地域を統括する分行を中心に、数百の支行がぶらざがる組織構造になっているが、銀行によっては、分行やより大きな地域ごとにシステムが分断されている場合もあり、セキュリティ上の問題も数多いと言われている。こう言った問題は、中国に限らず国際的に展開する大手金融機関の中でも、本国サイトとは別に運用されている海外拠点のサイトなどで、脆弱な運用体制が数多く見られる。今回の事例では、銀行を装ったフィッシングサイトを、別の本物の銀行のサイトで運用している点が新しいと言える。

実際にタレコミ者が2月下旬、国内の都市銀行5行, 信託銀行8行, ネット銀行等4行, 地方銀行63行, 外国銀行在日支店4行, その他銀行2行の提供する、ログインを必要とするインターネットサービス延べ158サービスを対象に調査を行ったところ、うち136サービスでログイン画面を再利用せず、新しいウィンドウかポップアップによってログイン画面を表示していた。更にうち32サービスではアドレスバーを隠蔽する仕組みを、さらにうち6サービスではステータスバーの非表示を行っており、「ポップアップでログイン画面を表示しない」「アドレスバーを表示してSSL通信状態やサーバを確認できる」「ステータスバーを表示してサイト証明書を確認できる」といった基本的対策を講じているサイトは22サービスに止まった。

論外な事に、サイト証明書を他の証明書を流用したり期限切れになっている、いわゆるオレオレ証明書を使用しているサービスが、地方銀行4行, 外国銀行支店1行の合計5サイトで確認された。また IE5.5 以外のブラウザでのアクセスを拒否するサービスも信託銀行1行で、銀行に対するサービスの質問サービスで質問者とその回答がアクセス制限なしで閲覧でき、質問者と回答者のIPアドレスを表示する銀行も外国銀行支店1行で確認されるなど、フィッシング詐欺対策以前の低レベルな運用体制も散見された。

銀行別では、三菱UFJ信託銀行など大手銀行でもステータスバー隠蔽を行ってるサービスもあり、また使用しているパッケージ別でも、あるベンダーのインターネットバンキングASPパッケージで極端に問題が多いサイトが多かったものの、他社のパッケージでも少数ながら問題のあるサイトが散見され、中にはサービスのリニューアルで旧サービスより新サービスで脆弱性が増えた銀行すらあり、基本的にベンダー側ではなく利用銀行側の意識が総じて低いことが推察される。

フィッシング詐欺対策として、ソフトウェアキーボードによるログイン手段を提供したり、ワンタイムパスワードやICカード認証サービスなど有料のセキュリティ対策を講じ、セキュリティを売りにする銀行も増えているが、ICカード認証サービスを提供している新銀行東京など、アドレスバーやステータスバー隠蔽を続けている銀行もある。銀行側がノーガード戦法を取る限りユーザーの自衛手段にも限界があるように思えるが、スラドの諸兄諸姉はどう思われるだろうか？"

企業のBCP（事業継続計画）対応状況の実態

　「金融」がダントツで先行し「素材製造」が続く。「商社・流通」が最も遅れ、「一次産業」や「サービス」も遅れ気味――。何の話だと思われるだろうか。「システム障害」「自然災害」への対応は進んでいるが「テロ」「風評被害」「新型インフルエンザ」はまだまだ――と見方を変えるとわかるだろう。そう、答えは「様々なリスクに対するBCP（事業継続計画）の策定状況」だ。

　米国の金融危機を発端とした世界経済危機で、国内の企業は大きな打撃を受けた。あらためてリスク管理の重要性がクローズアップされている。今回の景気後退は予想外だったかもしれないが、考えられるリスクに対する備えも万全とはいえない。日本情報システム・ユーザー協会（JUAS）が4月8日に発表した「企業IT動向調査2009」から、このような姿が浮かび上がった。

　調査では、（1）自然災害（地震・津波など）、（2）自然災害（その他）、（3）システム障害、（4）社会インフラの停止、（5）火災・工場災害、（6）疾病（新型インフルエンザなど）、（7）風評被害、（8）テロ/サイバーテロ――の八つのリスクを想定。それぞれに対するBCPの状況を、（a）策定・運用し定期的に更新している、（b）策定・運用中、（c）策定中、（d）策定を検討中で1年以内に着手、（e）策定を検討中だが着手時期は未定、（f）策定予定なし――の中から選んでもらった。

　リスク別にみると「BCPを策定済み」（a＋b）の値が最も高いのは（3）のシステム障害。それでも36％と3社に1社である。次いで（1）の自然災害25％、（4）社会インフラの停止24％が続く。検討中までを含めた（a〜e）も順位は変わらない。（f）策定予定なしの値は、（3）27％、（1）36％、（4）42％だった。（a＋b）の値が低いのは（6）の疾病が7％、（8）テロ9％、（7）風評被害10％である。この三つは「策
定予定なし」が60％を超えており、検討にも挙がっていない企業が多い。

　業種別では「金融」が圧倒的に進んでいる。（1）自然災害において（a）策定・運用しており定期的に更新していると回答したのは75％。2位につける「一次産業」が26％だから、まさに圧倒的だ。（6）新型インフルエンザなどの疾病における（a）は「金融」が26％。2位の「サービス」（12％）の2倍強である。

　各リスクで（f）策定予定なしと回答した企業の割合に着目すると、より業種ごとの違いが鮮明になる。全体平均との差をみると、「金融」はすべてのリスクで20ポイント以上低い。例えば（3）システム障害で策定予定なしと回答したのは全体で27％なのに対し、金融は6％と21ポイントも低い。一方で「商社・流通」はすべてのリスクで5ポイント以上高い。（3）では33％と6ポイント上回る。

　策定予定なしが平均よりも5ポイント以上高い項目があったのは「一次産業」で4項目、「サービス」で3項目。「商社・流通」の全項目は際立っている。もちろん、業種によってリスクの影響度が異なる。そのため対応に差が出るのは当然だ。しかし「策定予定なし」ではリスク影響度の算定すらできない。いま一度、自社のリスク管理体制を見直す時期が来ているのではないだろうか。

組織内に潜入したConficker（Downadup）の駆除・対処の長期化に対する注意喚起

LACの緊急対応サービス【個人情報119】およびセキュリティ監視センター
JSOCにおいて、組織内パソコンやサーバのConficker（Downadup）への
感染被害と不適切な対応処置により、駆除・対処が長期化する事案の
増加を確認し、4月9日に注意喚起を公開しました。

現時点で確認されている検体の感染経路は、基本的には以下の通りです。

●USBデバイス経由
●サーバサービスの脆弱性（MS08-067）
●管理者共有（Admin$）

感染マシンの対処を行う場合には、従来のウイルス駆除手順では
うまくいかないだけではなく、さらに感染を拡大したり
駆除が完了したマシンへの再感染させることもありますので
ご注意ください。

特に、利用者に管理者権限を付与していない組織において
感染マシンへの対応をシステム管理者が実施することで
却って被害を拡大しているケースが散見されます。

◎感染した場合の推奨する対処方法については、注意喚起をご覧ください。
https://krs.bz/lac/c?c=131&m=4208&v=cd413b75


★JSOC攻撃検知別ランキング（2009年3月）

JSOCにて収集された IDS/IPSのログを監視システムにて集計し
相関分析した結果をランキングにまとめました。
ランキングは以下の通りです。

集計対象期間：2009年3月1日〜2009年3月31日
-----------------------------------
《1位》
Web Application Injection Attack
(Webアプリケーションへの攻撃を検知:80/tcp)
※Remote Command Execution、Remote File Include等
-----------------------------------
《2位》
SQL Injection Attack
(Webアプリケーションへの SQL Injection攻撃を検知:80/tcp)
-----------------------------------
《3位》
SSH Brute Force Attack
(SSHに対するブルートフォース攻撃を検知:22/tcp)
-----------------------------------
《4位》
FTP Brute Force Attack
(FTPに対するブルートフォース攻撃を検知:21/tcp)
-----------------------------------
《5位》
Microsoft IIS 5.0 Remote BO Vuln. in WebDAV Component
(WebDAVに対するバッファオーバーフローを検知:80/tcp)
-----------------------------------

ワンタイムパスワードSecureIDの脆弱性とオフライン鍵検索攻撃 ---- RFC3552より

IETFにより定められたRFC3552（2003年7月）は、全てのRFC著者に考慮すべきセキュリティに関するガイダンスを提供することを意図した文書である。
この文書の4.1.2項「チャレンジレスポンスとワンタイムパスワード」に以下の記述がある。この中にSecureIDの安全性を否定する重大な事柄が書かれている。
即ち、SecureID や DES Gold はリプレイ攻撃に対する防護を提供するが、「オフライン鍵検索攻撃」に対して脆弱なままである。理由は、ワンタイムパスワードはクライアントとサーバの両者によって共有された秘密から計算されるので、攻撃者が使われている関数を知っている場合、攻撃者は正しい出力を作り出すものを発見するまで、すべての共有された秘密の候補を試すことができる、とのことである。

RFC3552の原文は7/16の書き込みで示したとおりであるが、その日本語訳がIPAで公開されていたので該当箇所を以下に示す。
http://www.ipa.go.jp/security/rfc/RFC3552JA.html

4.1.2. チャレンジレスポンスとワンタイムパスワード
ユーザ名／パスワードよりも高いセキュリティを要求するシステムは、しばしば、ワンタイムパスワード [OTP] スキームかチャレンジレスポンスのいずれかを採用します。ワンタイムパスワードスキームにおいて、ユーザには、パスワードのリストが提供され、これは、順番に毎回 1つずつ使わなければならないものです。（しばしば、これらのパスワードは、何らかの秘密鍵から生成されるので、ユーザは、単純に、順番 に次のパスワードを計算できます。) SecureID や DES Gold は、このスキームの流派です。チャレンジレスポンスのスキームにおいて、ホストとユーザは、何らかの秘密を共有します。（これは、しばしば、パスワードとして現れます。）ユーザを認証するために、ホストは、ユーザに（乱雑に生成された）チャレンジを提供します。ユーザは、チャレンジとその秘密に基づくいくつかの関数を計算し、それをホストに提供し、ホストはそれを検証します。しばしば、この計算は、DES Gold カードのような携帯デバイスで処理されます。

両種のスキームは、リプレイ攻撃に対する防護を提供しますが、しばしば、「オフライン鍵検索攻撃」(待ち伏せ攻撃の 1 形態)に対して脆弱なままです。： 既述のように、しばしば、ワンタイムパスワードやレスポンスは、共有された秘密から計算されます。攻撃者が使われている関数を知っている場合、彼は、正しい出力を作り出すものを発見するまで、すべての共有された秘密の候補を単に試すことができます。共有された秘密がパスワードであり、「辞書攻撃」をしかけることができる場合、これは容易になります。（「単なる乱雑な文字列ではなく、通常の単語（もしくは文字列）のリストを試すこと」を意味します。）これらのシステムは、しばしば、積極的な攻撃に対しても脆弱です。通信セキュリティがセッション全体について提供されない限り、攻撃者は、単に、認証が行われるまで待って、コネクションをハイジャックすることができます。

ワンタイムパスワードSecureIDの安全性に疑問!! SecureIDの脆弱性とは？

RFC3552には、ワンタイムパスワード方式設計上の留意事項として以下が記述されているが、ここにSecureIDはOFFLINE KEYSEARCH ATTACK（オフライン鍵検索攻撃）に対して脆弱であるとの指摘がある。
これが事実だとすると、SecureIDを採用しているシステムは危険だということになる。
因みにSecureIDが脆弱であるとの記述はRFC3552の4.1.2項にあり、その原文は以下のようである。

4.1.2. Challenge Response and One Time Passwords
Systems which desire greater security than USERNAME/PASSWORD often employ either a ONE TIME PASSWORD [OTP] scheme or a CHALLENGE-RESPONSE. In a one time password scheme, the user is provided with a list of passwords, which must be used in sequence, one time each. (Often these passwords are generated from some secret key so the user can simply compute the next password in the sequence.) SecureID and DES Gold are variants of this scheme. In a challenge-response scheme, the host and the user share some secret (which often is represented as a password). In order to authenticate the user, the host presents the user with a (randomly generated) challenge. 　The user computes some function based on the challenge and the secret and provides that to the host, which verifies it. Often this computation is performed in a handheld device, such as a DES Gold card.
Both types of scheme provide protection against replay attack, but often still vulnerable to an OFFLINE KEYSEARCH ATTACK (a form of passive attack): 　As previously mentioned, often the one-time password or response is computed from a shared secret. If the attacker knows the function being used, he can simply try all possible shared secrets until he finds one that produces the right output. This is made easier if the shared secret is a password, in which case he can mount a DICTIONARY ATTACK -- meaning that he tries a list of common words (or strings) rather than just random strings. These systems are also often vulnerable to an active attack. Unless communication security is provided for the entire session, the attacker can simply wait until authentication has been performed and hijack the connection.