「ネットセキュリティニュース」執筆グループが選んだ、2006年のセキュリティ関連10大ニュース。WinnyやShareを介した情報流出は昨年の5倍を記録、ゼロデイ攻撃が頻発し、ウイルス感染や詐欺行為はさらに巧妙化、多彩化している。SNSの安全神話崩壊や個人情報流出の歯止めのなさは、セキュリティ対策の抜本的見直しを迫っているようだ。
【1】 WinnyやShareを介した情報流出~ 公表・報道件数は昨年の5倍
【2】 ゼロデイ攻撃多発~ IEやWordなどOffice製品、一太郎も標的に
【3】 SNSの安全神話崩壊、ブログ炎上~ 残虐画像事件では抗議拠点に
【4】 意表を突くウイルス感染~ 新品iPodに、有名サイトや自治体も
【5】 多様化するネット詐欺~芸能情報、投資情報、偽エラー画面まで
【6】 なりすましメール多発~ VISA、新聞社、警察庁、Yahoo!など
【7】 隠したはずの文書丸見え~ 担当者や報道機関のミスで情報流出
【8】 ネットで違法な荒稼ぎ~ 偽物オークション、不正ゲームが横行
【9】 ネットの違法・有害情報や詐欺対策~ 行政や関連団体が発表
【10】 情報流出は内部から~ KDDIの顧客情報400万名分流出など
【1】WinnyやShareを介した情報流出~ 公表・報道された件数は昨年の5倍
発電所、病院、学校、消防署、警察署、刑務所、検察庁、裁判所、自衛隊、マスコミ、ありとあらゆるところから、ファイル共有ソフト「Winny」や「Share」を介して次々と個人情報や業務情報が流出。セキュリティ関連機関や企業が相次ぎ注意を呼びかけ、連日のように報道された3月には、国をあげて注意喚起を促す異常な事態となった。ウイルス感染による流出事故は、その後も後を絶たず、この1年に公表・報道された件数は200余り。昨年の5倍にあたる。総務省はファイル交換ソフトなどを介した情報流出被害を防ぐための技術開発費として、来年度の予算に10億円を計上している。はたして功を奏するか?
【2】ゼロデイ攻撃多発~ IEやWordなどOffice製品、一太郎も標的に
WMFの深刻な脆弱性が修正されないまま迎えた2006年、未修正の脆弱性を狙うウイルスが次々と発見された。ゼロデイ攻撃…回避策のない想定外の攻撃コードが、Internet Explorerを、Microsoft Office製品を、そして一太郎を襲い、スパイウェアやバックドアなどを仕掛けようとした。ウイルスを代表とする攻撃は、かつての名声やいたずらを目的とした愉快犯から「金銭目当ての犯罪」へとシフト。攻撃そのものも不特定多数型から小規模標的型へと移行し、対策が後手にまわるケースが増えている。裏社会では、回避策のない未公表の脆弱性情報が高値で取引されていると言われており、ゼロデイ攻撃の脅威は今後ますます増大する可能性が高い。
【3】SNSの安全神話崩壊、ブログ炎上~ 残虐画像事件では抗議拠点に
こうしている間にも、ネットのどこかで「炎上」や「祭り」が起きているのかもしれない。ふとそんな考えが浮かんでしまうほど、SNSやブログでトラブルが多発した。個人のささやかな意見を載せたブログに怒りのコメントが大量に殺到したり、特定個人の情報を収集してプライバシーの暴露が行われるなど、行き過ぎた行為に発展した。一方、猫を虐殺した画像を公開し、匿名掲示板で宣伝した男は、義憤に駆られた有志がブログなどで抗議運動を展開。捜査に時間はかかったが、逮捕に結びついた。
【4】意表を突くウイルス感染~ 新品iPodに、有名サイトや自治体も
ウイルスは意外なところに潜んで感染拡大の機会をうかがっている。10月、マクドナルドが景品として配布した中国製MP3プレーヤーと、携帯音楽プレーヤー「iPod」の一部が、ウイルスに感染していたことが明らかになった。どちらも製造過程でウイルスが混入していた。また、ソフトウェアダウンロードサービスのベクターでは9月、掲載ソフト3,986タイトルがウイルスに感染し、そのうちの一部はダウンロードされてしまった。市川市では2月、メールマガジンの読者1,449人に誤ってウイルスメールを配信した。サーバーの設定ミスにより、読者のPCから送られたウイルスメールを原稿として受け付け、一斉配信してしまったもの。
【5】多様化するネット詐欺~芸能情報、投資情報、偽エラー画面まで
ネット上の詐欺といえばアダルト画像で呼び寄せるワンクリック詐欺が主流だったが、その手口は多様化し、偽セキュリティソフトの押し売りという新手の詐欺まで現れた。芸能情報サイトやサポート窓口を偽装したり、投資情報や動画投稿サイト「YouTube」のバナー広告、さらにはエラー画面に酷似した偽サイトを使ったり。ユーザーの興味を引いてクリックさせられるものは手当たり次第に悪用された。12月には、偽セキュリティソフト「System Doctor 2006」や「DriveCleaner」が日本国内で検出されたアドウェアの上位を占めたとの警告もあった。
【6】なりすましメール多発~ VISA、新聞社、警察庁、Yahoo!など
有名なサイトや公的機関をかたる「なりすましメール」が多発した。3月にはVISAカードをかたる日本語のフィッシングメールとサイトが出現。海外でホスティングされており、ビザ・インターナショナルによく似たデザインの日本語の画面から、フィッシングサイトへと誘導するものだった。5月には日経新聞をかたるウイルス付きメールが報道機関や官庁に送付された。感染するとシステムにバックドアを作り、情報漏えい活動を行なう悪質なものだった。7月にも警察庁セキュリティポータルサイト「@police」の名をかたった架空請求メールが報告される。年間を通してYahoo!オークションをかたるメールとサイトも続出した。
【7】隠したはずの文書丸見え~ 担当者や報道機関のミスで情報流出
漏れてはいけない情報が、担当者のミスによって流出する事故が相次いだ。8月、千葉市教委がPDF形式で公開していた会議録の一部について、非公開にするはずの個人情報が漏れてしまったことが明らかになった。隠すべき情報の上に黒い四角を重ねてあったのだが、操作次第で下の文字が閲覧可能だった。また、この会議録が検索サイトのキャッシュに残っているうちに事態が新聞やテレビで報道されたため、情報の二次流出も発生してしまった。福島県では、8月に県職員採用試験の合格者番号が、群馬県では11月に宅建合格者の受験番号と氏名が、発表日の前に漏れている。どちらも、発表の前日に情報をアクセス制限なしでHP用サーバーに登録していたことが原因。
【8】ネットで違法な荒稼ぎ~ 偽物オークション、不正ゲームの横行
インターネット上で違法な手段を使った荒稼ぎの摘発も相次いだ。1月には、違法コピーDVDや人気ブランド偽バッグをネットオークションで販売した男が逮捕。同月、ブランドバッグなどを偽出品、落札金額を搾取した無職の男女や少女、不正に取得したIDでオークション詐欺をした男も立て続けに逮捕された。偽チケットの販売も見つかった。5月にはローソンチケットを偽造した偽チケットが、7月には亀田WBA世界戦の偽チケットがそれぞれネットオークションに出回り、販売元が購入者へ注意を呼びかけるなどの騒ぎになった。不正な荒稼ぎはオンラインゲームの世界にも及んだ。ゲーム内の通貨を現実世界のお金で取引するリアルマネートレード(RMT)の不正利用が相次ぎ、ガンホーがゲーム中の仮想通貨を凍結してRMTを排除するなど、オンラインゲーム提供会社も対応を講じざるをえない一年となった。
【9】ネットの違法・有害情報や詐欺対策~ 行政や関連団体が発表
行政や関連団体が、ネット上の有害違法情報やネットオークション詐欺などの対策を相次いで策定した。警察庁はインターネット上の違法・有害情報の通報窓口を設置し、総務省主催の研究会は違法情報の規定や発信者情報の開示の手続きを盛り込んだガイドラインを策定した。経済産業省はネットオークションで個人を装い営業するいわゆる「隠れ業者」のIDを公開し、ゲーム会社15社はオンラインゲームを楽しむためのガイドラインを発表した。
【10】情報流出は内部から~ KDDIの顧客情報400万名分流出など
6月、KDDIが運営するプロバイダ「DION」の顧客情報が大量に流出し、この情報を入手した男2人が同社を脅迫していたことがわかった。流出したのは、約400万名分の氏名、住所、電話番号等。ISPからの個人情報流出事件としては、2004年に起きた「Yahoo!BB」の451万人に次ぐ規模だ。データを持ち出したのは、KDDIが業務を委託していた会社の取引先社員だった。3月には、NTTデータの元社員が顧客情報を持ち出して17名分のローンカードを偽造し、3100万円を不正に引き出していたことが明らかになった。個人情報を企業に預けている身としては、情報セキュリティ対策がしっかり行われていると思いたいのだが…。
(現代フォーラム:「ネットセキュリティニュース」執筆グループ)