ネットセキュリティニュース

　スパイウェアの対策団体ASC（Anti-Spyware Coalition～アンチスパイウェア連合）は27日、スパイウェアの定義書を発表した。

　広告を表示するアドウェアから個人情報を盗み出す悪質なものまで、スパイウェアにはこれまで統一的な定義がなく、配布会社と対策ソフト会社、ユーザー間でしばしば摩擦が生じていた。同書はあいまいだったスパイウェアの定義を確立し、今後のスパイウェア対策の基盤とするもの。スパイ対策ソフト会社や開発者などが定義案を作成し、今年７月から８月にかけ同団体のサイトで公表し、パブリックコメントを募集していた。

　最終的にまとめられた定義書では、スパイウェアおよびユーザーが望まないであろう技術として、ユーザーの十分な同意なくインストールする。あるいは、(1) 使い勝手やプライバシー、システムセキュリティなどに影響する変更、(2) システムリソースの使用、(3) 個人情報や機密情報の収集、使用、配布といったことを、ユーザーの管理を損なう形で実装した技術と定義している。

　ACSでは同時に、スパイウェア対策ソフトベンダーが、特定のソフトウェアをスパイウェアと認定するための客観的な基準を記した「リスクモデル」も公表。11月27日までパブリックコメントを求めている。

（2005/10/31 ネットセキュリティニュース）

■Industry, Public Interest Groups Continue Strides to Combat Spyware [英文リリース]（ACS）
http://www.antispywarecoalition.org/newsroom/20051027press.htm
■Final Working Report of the Spyware Definitions and Supporting Documents[英文ドキュメント]（ASC）
http://www.antispywarecoalition.org/documents/definitions.htm
■Anti-Spyware Coalition
http://www.antispywarecoalition.org/

■セキュリティ関連ニュース
・IPA、一般向けに「ボット対策」「スパイウェア対策」のしおりを作成（2005/10/03）
・APWG、画面を漏えいする新手のスパイウェアに注意呼びかけ（2005/08/25）
・銀行各社、新たなスパイウェア対策の導入を発表（2005/08/03）
・トレンドマイクロ、みずほ銀行の顧客を狙ったスパイウェアの情報公開（2005/07/11
・スパイウェアによる不正振込被害、みずほ銀行とジャパンネット銀行でも（2005/07/06）
・イーバンクの顧客がスパイウェア被害、預金を不正に振込（2005/07/04）

　インターネットのホームページ上で「研究用化学物質」として販売されている、いわゆる「脱法ドラッグ」15製品を神奈川県が試買調査したしたところ、14製品から幻覚作用などの有害性が懸念される化学物質が検出された。県は、健康被害の恐れがあるとして、人体に使用しないよう呼びかけている。

　調査は今年７月に行われたもので、有害化学物質が検出されたのは「5-Meo-Dpt」「2C-E」「2C-C」「2c-I」「2c-t-7」「Methylone」「BDB」「PMMA」「4aco-dipt」「5meo-amt」「5meo-dmt」「DPT」「Methylone」「MBDB」の14製品。

　脱法ドラッグは、麻薬や覚せい剤などの法律で禁止されている成分とは異なるものの、同種の作用をもつ成分を含んだもので、服用による健康被害や中毒、傷害事件なども多数報告されており、麻薬や覚せい剤にエスカレートするケースもあるという。飲食用途の製品に医薬品成分が含まれる場合には、薬事法による規制対象となるが、「研究用」などと称して法の規制を逃れて販売されているものが多数あり、厚生労働省や全国の地方自治体などが注意を呼びかけている。同県でも定期的な試買検査を行っており、今後も継続して実施するとともに、監視を強化し違反品の発見、流通防止に努めるとしている。

　なお、厚生労働省の「脱法ドラッグ対策のあり方に関する検討会」が先月22日に開かれ、「合法ドラッグ」や「脱法ドラッグ」などの名称を「違法ドラッグ」に統一し、薬事法を改正して規制する方針をまとめている。

（2005/10/31 ネットセキュリティニュース）

■研究用化学物質として販売されている14製品から幻覚作用等の有害性が懸念される化学物質を検出！（神奈川県）
http://www.pref.kanagawa.jp/press/0510/21099/index.htm
■危険！脱法ドラッグ（神奈川県衛生研究所）
http://www.eiken.pref.kanagawa.jp/008_topics/files/topics_041020_00.htm

　公正取引委員会は27日、自走機能が付いた「原動機付自転車」を補助モーター付きの「電動アシスト自転車」と誤認するような表示をし、インターネットのホームページやオークションなどで販売するのは景品表示法違反（優良誤認）にあたるとして、アルザン（名古屋市千種区）とアクスト（東京都新宿区）の２社に対し排除命令を出した。

　公取委によると、２社は2004年から「自走機能」と「アシスト走行」や「ペダル走行」などを切り替えることのできる中国製「電動自転車」を、自転車または原動機付自転車として公道を走れるかのように表示し販売していた。しかし実際に２社が販売していた製品は、原動機付自転車に該当するものであり、販売状態では道路運送車両法に規定する保安基準を満たしていないため、自転車としても原動機付自転車としても公道を走行することができないものだったという。

　排除命令書は、２社に対して一般消費者に誤認される表示を行っていたことの公示と、今後同様の表示を行わないことを指示している。

【解説】
　ペダルをこがなくても走る自走機能（フル電動走行）が付いた製品は、自走機能の使用の有無にかかわらず、50ccのバイク等と同じ第一種原動機付自転車に分類される。見た目は、こぐ力を補助する機能が付いた電動アシスト自転車とそっくりだが、公道を走るためには（押して歩く以外は）、方向指示器や尾灯、ナンバープレートなどを備えたうえで、ヘルメットを着用し免許証を携帯しなければならない。オンラインショップやオークションでは、同種の製品を同様な表示や紛らわしい表示、あるいは表示なしで販売しているケースが多数見受けられる。購入を検討している方は注意されたい。

（2005/10/28 ネットセキュリティニュース）

■「電動自転車」と称する原動機付自転車の販売業者2社に対する排除命令について[PDF]（公正取引委員会）
http://www.jftc.go.jp/pressrelease/05.october/051027.pdf
■「ペダル付きの原動機付自転車」の取扱いについて（警察庁）
http://www.npa.go.jp/koutsuu/kikaku44/pedal.pdf
■電動アシスト自転車（国民生活センター）
http://www.kokusen.go.jp/news/data/n-20050406_1.html

　北海道警旭川中央署は26日、Yahoo!オークションなどを利用して、Windows XPなどのソフトウェアを無断で複製販売したとして、北海道千歳市の駐車場経営の男（41）を、著作権法違反の疑いで逮捕した。

　コンピュータソフトウェア著作権協会（ACCS）の発表によると、容疑者は今年１月14日ごろから同19日ごろまでの間、「Windows XP Professional SP2」ほか２種類のソフトウェアを無断複製したCD-R７枚を、計３回にわたり千葉県市川市の男性ほか２人に計7,300円で郵送販売した疑い。海賊版販売に際しては、他人名義の銀行口座とオークションIDを使用するなど、身元が判明しないよう工作を行っていたという。

（2005/10/28 ネットセキュリティニュース）

■他人名義でオークションに海賊版を出品（ACCS）
http://www2.accsjp.or.jp/news/news051027.html

　楽天（東京都港区）が運営するインターネットのショッピングサイト「楽天市場」の店舗「AMC」の顧客情報が大量に流出した事件で、警視庁ハイテク犯罪対策総合センターは27日、出店会社センターロード（東京都足立区）の元社員の男（33）を不正アクセス禁止法違反容疑で逮捕したと発表した。

　調べでは、容疑者は今年2月にセンターロードを退社後、5月11日から14日にかけて楽天のサーバに27回にわたり不正にアクセスした疑い。センターロードに付与されたアカウントを使い、同社の取引情報を不正に入手していたという。当時の楽天市場は、店舗が取引後２週間分の取引情報（カード情報を含む）を取得することができ、ログイン用のパスワードは、半期毎の自動変更だった。

　楽天の８月発表では、流出した顧客情報は１万26件のクレジットカード番号を含む３万6,239件。その後の調査で、ビッダーズの顧客情報8,456件の流出も判明している。なお、一部報道では「容疑者はセンターロードのパソコンに障害が起きた際、自分のパソコンで受注処理を代行し、そのときにパスワード情報を得たと供述している」と伝えているが、同社はそのような事実はないとしている。

　元従業員の逮捕を受けてセンターロードは、遺憾の極みとしてホームページで謝罪。詳細コメントの公表は捜査中のため差し控えたいとし、全容が明らかになり次第、同社のとるべき行動を明確に発表するとしている。楽天は、事件全貌の早期解明に向けて引続き警察の捜査に協力し、今後の取調べの推移を見守るとコメント。新たな事実が判明した場合は、捜査に支障のない範囲で速やかにホームページで開示するとしている。

（2005/10/28 ネットセキュリティニュース）

■最新のご報告（AMC）
http://www.amcamc.co.jp/rakuten.htm
■楽天市場の店舗での取引に係る個人情報の流出について（楽天）
http://www.rakuten.co.jp/com/faq/information/20050723.html
■AMC SHOPPING
http://www.amcamc.co.jp/
■楽天市場
http://www.rakuten.co.jp/
■ビッダーズ
http://www.bidders.co.jp/

■セキュリティ関連ニュース
・楽天の店舗「AMC」、ビッダーズでも8,456件の顧客情報流出判明（2005/08/11）
・楽天市場の顧客情報流出、クレジットカード番号を含む３万6,239件に拡大（2005/08/08）
・楽天の店舗から、クレジットカード番号を含む123件の個人情報流出（2005/07/26）

　インターネット上で配信している記事の見出しを無断で使用されたとして、読売新聞東京本社（以下読売）がデジタルアライアンス社（神戸市東灘区、以下デジタル）に対し、記事見出しの使用差し止めと2480万円の損害賠償などを求めた訴訟で、上告期限の25日までに双方とも上告せず、デジタルアライアンス社の不法行為を認定して23万7,741円の賠償を命じた2審・知的財産高等裁判所判決が確定した。

　訴訟では、読売が著作権侵害、不正競争防止法違反、不法行為の3点を理由に、それぞれ差し止めと損害賠償を求めていた。判決では、社会的に許容される限度を越えた見出しの無断使用を不法行為として損害賠償請求を認め、他の請求はいずれも棄却。訴訟費用は、認容額が損害賠償のごく一部にすぎず、読売の主張立証の大半が著作権に基づく請求について行われ敗訴していることなどから、訴えの提起と控訴の提起の申立て手数料のうち1万分の5をデジタルの負担とし、その他はすべて読売の負担とした。

　デジタルは同日、自社のホームページで「不服はあるが見出しの著作物性が全て否定され、当初の目的の大部分を達したこと、控訴審判決の内容に賛同できる部分も多くあることから上告を見送ることにした」と発表。時事、芸能ニュースに関するリンク見出しの配信を27日から一時停止するとしている。

（2005/10/27 ネットセキュリティニュース）

■H17.10. 6 知財高裁 平成17(ネ)10049 著作権 民事訴訟事件（知的財産権判決速報）
http://courtdomino2.courts.go.jp/chizai.nsf/d36216086504bdc349256fce00275162/0c642a4a124dc13d492570970018104b?OpenDocument
■知的財産高等裁判所の判決に対する弊社の見解（デジタルアライアンス）
http://linetopics.d-a.co.jp/linetopics/main/kenkai2.htm
■YOMIURI ONLINE（読売新聞）
http://www.yomiuri.co.jp/
■デジタルアライアンス
http://linetopics.d-a.co.jp/

■セキュリティ関連ニュース
・読売新聞の記事見出し無断使用でデ社に賠償命令、著作権は認めず（2005/10/07）

　今月17日に改訂された「電気通信事業における個人情報保護に関するガイドライン」を受けて、電気通信事業者協会の会員を中心とする携帯電話・PHS事業者14社は26日、迷惑メール送信者の加入者情報の交換を来年３月１日より実施すると発表した。

　改訂ガイドラインでは、迷惑メールの送信者が別の事業者に移り迷惑メールの送信を続ける、いわゆる「渡り」を防止するため、事業者間で加入者情報を交換し加入審査に利用できるようにするための条項が新たに盛り込まれた。今回の発表は、これを受けて実施するもので、来年３月１日以降に迷惑メール等送信行為によって携帯電話・PHSの利用停止措置を受けた加入者を対象に、契約者名、生年月日（個人の場合）、性別（個人の場合）、住所（郵便番号を含む）、連絡先電話番号、利用停止前の携帯電話番号またはPHS電話番号、などの情報を交換する。

　各社は、交換した情報が加入審査以外の目的に利用されることはなく、情報の漏えい、滅失、改ざん等を防ぐための十分な安全対策をとるとし、今後は各社の契約約款に規定するとともに、請求書同封物やホームページ等の媒体を通じて十分な事前周知を行なうとしている。

（2005/10/27 ネットセキュリティニュース）

■迷惑メール等送信行為に係る携帯電話・PHS加入者情報の交換について（電気通信事業者協会）
http://www.tca.or.jp/japan/news/051026.html
■電気通信事業者協会
http://www.tca.or.jp/
■電気通信事業における個人情報保護に関するガイドライン（総務省）
http://www.soumu.go.jp/joho_tsusin/d_syohi/telecom_perinfo_guideline_intro.html

■セキュリティ関連ニュース
・総務省、迷惑メール業者対策で情報共有のためのガイドライン改訂案発表（2005/08/11）

　宮崎県宮崎市立生目台西小学校の児童53人の成績などが、同県三股町立三股小学校の教諭の個人ホームページ（HP）に掲載されていたことが今月15日に判明。同校では24日、全保護者を対象に説明会を開き、流出に関係した教諭らが流出の経緯を説明し謝罪した。

　流出したのは、2年前に生目台西小4年生3クラスの学級編成に使用した資料の一部で、2クラス分53名の児童の氏名や生年月日、成績、家庭環境などを表組みに記載したもの。当時学級編成を担当した男性教諭が、個人情報を削除するのを忘れたまま当該データをフロッピーディスク（FD）に保存し持ち帰っていた。同教諭は昨春、三股小へ転勤し、同校の男性教諭にこのFDを提供。受け取った教諭は、個人情報が含まれているとは知らず、今年3月に学級編成の資料として自分のHPにそのまま掲載したという。

　今月15日、宮崎市教育委員会への匿名電話で流出が判明。同日、同市教委は両教諭に連絡し、当該データは19日までに削除され、HPも閉鎖した。

（2005/10/26 ネットセキュリティニュース）

■宮崎市
http://www.city.miyazaki.miyazaki.jp/
■宮崎県教育委員会
http://www.pref.miyazaki.lg.jp/index/org/kyoiku/

◆掲示板犯罪で逮捕相次ぐ：名誉棄損、小４女児殺害予告、仲間募って強盗（2005/10/26）

　先週19～21日、掲示板を舞台とした犯罪による逮捕が相次いだ。

■知人女性をかたって出会い系で交際募集、京都の郵便局員を名誉棄で逮捕

　京都府警堀川署は19日、インターネットの出会い系サイトの掲示板に、以前交際していた女性になりすまして名誉を傷つける書き込みをしたとして、京都市下京区に住む郵便局員（35）を名誉棄損の疑いで逮捕した。

　報道によると、容疑者が同掲示板への書き込みをしたのは今年３月18日と４月10日の計２回で、元交際相手の女性の氏名や住所、携帯番号、メールアドレスなどとともに、不特定多数へ出会いを求める内容の書き込みをしたという。女性の携帯電話に多数電話がかかってきたために発覚、女性が７月に告訴したことを受け、今回の逮捕に至った。

■仙台市の小４女児殺害を予告、都内の専門学校生を脅迫容疑で逮捕

　宮城県警仙台南署は20日、掲示板「２ちゃんねる」に仙台市の小学４年の女児の殺害予告を書き込んだとして、東京都江東区の専門学校生（23）を脅迫の疑いで逮捕した。

　報道によると、容疑者は女児と面識はなく、女児が通う小学校のホームページに掲載された写真と名前を見て知ったという。同校では通常、児童の名前を掲載することはしていないが、４月号の「学年だより」に学級の代表委員５人の名前が誤って掲載されたという。
　殺害予告は９月16日午前２時台に掲示板に書き込まれた。どこの誰か特定できる書き方で小学校の市区名と児童のイニシャル名をあげ、「通学路で捕まえてナイフで切り裂く」「いけにえに９人以上しょけいする」「10/30までに開始する」などと書き込んでいた。
　学校は、書き込みがあった日から逮捕まで１か月以上、登下校時に保護者に付き添いを求めるなど厳戒態勢とってきたという。県警サイバー対策室はIPアドレスなどを分析し、容疑者の特定に至った。

■「闇の職安」で仲間を募り強盗、元郵便局員ら７人逮捕

　警視庁捜査１課と武蔵野署は21日、掲示板サイト「闇の職業安定所」で仲間を募集し、民家に押し入って現金を奪ったなどとして、別の強盗傷害罪などで起訴中の元郵便局員の男（38）ら７人を、強盗や監禁などの疑いで再逮捕、逮捕した。

　報道によると昨年2月、元郵便局員の男が郵便局員時代に顧客だった東京都の工場経営の男性宅に複数で押し入り、ナイフで脅し、現金やキャッシュカードを奪い、合わせて800万円余を強奪した疑いがもたれている。元郵便局員の男は2003年11月に携帯電話の掲示板サイト「闇の職業安定所」の求人欄で実行犯を募集し、応募してきた男らに役割を割り振って犯行に及んだという。

（2005/10/26 ネットセキュリティニュース）

　先週19～21日、掲示板を舞台とした犯罪による逮捕が相次いだ。

■知人女性をかたって出会い系で交際募集、京都の郵便局員を名誉棄で逮捕

　京都府警堀川署は19日、インターネットの出会い系サイトの掲示板に、以前交際していた女性になりすまして名誉を傷つける書き込みをしたとして、京都市下京区に住む郵便局員（35）を名誉棄損の疑いで逮捕した。

　報道によると、容疑者が同掲示板への書き込みをしたのは今年３月18日と４月10日の計２回で、元交際相手の女性の氏名や住所、携帯番号、メールアドレスなどとともに、不特定多数へ出会いを求める内容の書き込みをしたという。女性の携帯電話に多数電話がかかってきたために発覚、女性が７月に告訴したことを受け、今回の逮捕に至った。

■仙台市の小４女児殺害を予告、都内の専門学校生を脅迫容疑で逮捕

　宮城県警仙台南署は20日、掲示板「２ちゃんねる」に仙台市の小学４年の女児の殺害予告を書き込んだとして、東京都江東区の専門学校生（23）を脅迫の疑いで逮捕した。

　報道によると、容疑者は女児と面識はなく、女児が通う小学校のホームページに掲載された写真と名前を見て知ったという。同校では通常、児童の名前を掲載することはしていないが、４月号の「学年だより」に学級の代表委員５人の名前が誤って掲載されたという。
　殺害予告は９月16日午前２時台に掲示板に書き込まれた。どこの誰か特定できる書き方で小学校の市区名と児童のイニシャル名をあげ、「通学路で捕まえてナイフで切り裂く」「いけにえに９人以上しょけいする」「10/30までに開始する」などと書き込んでいた。
　学校は、書き込みがあった日から逮捕まで１か月以上、登下校時に保護者に付き添いを求めるなど厳戒態勢とってきたという。県警サイバー対策室はIPアドレスなどを分析し、容疑者の特定に至った。

■「闇の職安」で仲間を募り強盗、元郵便局員ら７人逮捕

　警視庁捜査１課と武蔵野署は21日、掲示板サイト「闇の職業安定所」で仲間を募集し、民家に押し入って現金を奪ったなどとして、別の強盗傷害罪などで起訴中の元郵便局員の男（38）ら７人を、強盗や監禁などの疑いで再逮捕、逮捕した。

　報道によると昨年2月、元郵便局員の男が郵便局員時代に顧客だった東京都の工場経営の男性宅に複数で押し入り、ナイフで脅し、現金やキャッシュカードを奪い、合わせて800万円余を強奪した疑いがもたれている。元郵便局員の男は2003年11月に携帯電話の掲示板サイト「闇の職業安定所」の求人欄で実行犯を募集し、応募してきた男らに役割を割り振って犯行に及んだという。

（2005/10/26 ネットセキュリティニュース）

　宮崎県宮崎市立生目台西小学校の児童53人の成績などが、同県三股町立三股小学校の教諭の個人ホームページ（HP）に掲載されていたことが今月15日に判明。同校では24日、全保護者を対象に説明会を開き、流出に関係した教諭らが流出の経緯を説明し謝罪した。

　流出したのは、2年前に生目台西小4年生3クラスの学級編成に使用した資料の一部で、2クラス分53名の児童の氏名や生年月日、成績、家庭環境などを表組みに記載したもの。当時学級編成を担当した男性教諭が、個人情報を削除するのを忘れたまま当該データをフロッピーディスク（FD）に保存し持ち帰っていた。同教諭は昨春、三股小へ転勤し、同校の男性教諭にこのFDを提供。受け取った教諭は、個人情報が含まれているとは知らず、今年3月に学級編成の資料として自分のHPにそのまま掲載したという。

　今月15日、宮崎市教育委員会への匿名電話で流出が判明。同日、同市教委は両教諭に連絡し、当該データは19日までに削除され、HPも閉鎖した。

（2005/10/26 ネットセキュリティニュース）

■宮崎市
http://www.city.miyazaki.miyazaki.jp/
■宮崎県教育委員会
http://www.pref.miyazaki.lg.jp/index/org/kyoiku/

　警察庁は25日、今年上半期（1～6月）に同庁サイバーフォースセンターの観測システムで把握したボットネットの観測結果を公表した。

　同庁では今年1月から、ボットネットの実体を把握するためのシステムを構築し観測調査を行っている。今回公表したのは6月末までの観測結果で、この間にボットに感染したと思われる128万5,247件のIPアドレスが、240台の指令サーバの配下に置かれていたという。うち国内が発信元と思われるものは14万4,512件。アドレス数から感染実数を把握することはできないが、国内でも多くのマシンがボットに感染していると考えられ、ドメイン名からそのほとんどが個人ユーザのパソコンと推測している。

　指令サーバは664アドレスあり、うち93アドレスが日本国内のもの。こちらも、個人ユ
ーザのパソコンと推測されている。ボットネットの指令は、40.3％が感染活動で、そのうちの65.3％が一昨年に公表されたWindowsのDCOMの脆弱性を狙ったものだという。攻撃活動は3.3％観測されており、そのほとんどがサーバのサービスを麻痺させるDoS（Denial of Service：サービス拒否）。攻撃対象は、46.1％が米国である。

　同レポートは、最近は指令サーバの観測者対策が進み今後のボット数調査は困難になっていくと予想されるが、引き続き国内外の関係各機関との連携強化を含め、ボットネットの活動の把握に努めていくと結んでいる。

【解説：ボット（bot）】
　ロボット（robot）に由来する「ボット」は、その名とおりパソコンを外部から操る目的で仕掛けられるウイルスの一種である。指令サーバは、IRC（Internet Relay Chat）と呼ばれる一般的なチャット用のサーバで、ボットに感染したパソコンは、この指令サーバに接続して攻撃者からの指示を待つ。ボットには、感染活動や攻撃活動、スパイ活動、メール送信活動などいろいろな機能が組み込まれており、攻撃者が指令サーバを通じて命令を下せば、配下の数百、数千、あるいは数万台というボットたちが、いっせいに活動を開始する。命令ひとつで大規模な悪事が実行でき、なおかつ直接悪事を働くのは、ボットに感染してしまった何も知らない第三者のパソコンたち。これが、ボットネットワークの大きな脅威だ。

（2005/10/26 ネットセキュリティニュース）

■平成17年上半期（1～6月）におけるbotnet観測システム観測結果[PDF]（警察庁）
http://www.cyberpolice.go.jp/detect/pdf/20051025_botnet.pdf
■ボットネット（botnet）に注意果[PDF]（警察庁）
http://www.cyberpolice.go.jp/detect/pdf/H170127_botnet.pdf

■セキュリティ関連ニュース
・IPA、一般向けに「ボット対策」「スパイウェア対策」のしおりを作成（2005/10/03）
・IPA、パソコンを外部から操る「ボット」への注意と対策を発表（2005/09/06）

　首都圏の4都県（東京、千葉、埼玉、神奈川）と4政令指定都市（横浜、川崎、千葉、さいたま）の青少年行政担当課長でつくる「八都県市青少年行政主管課長会議」が18日、さいたま市内で開催され、フィルタリングソフトの普及促進に努めるよう関連業界に要請することで合意。19日に電気通信事業者協会、テレコムサービス協会、日本インターネットプロバイダー協会、日本ケーブルテレビ連盟の4団体に文書で要請した。

　要請書では、フィルタリングソフト等の開発、普及促進、青少年への利用勧奨の3点を挙げており、同会議はこれらを要請するとともに、インターネット事業者と協調して青少年の正しいインターネット利用方法の普及に努めるとしている。

　フィルタリングソフト（サービス）は、一定の条件のもとにサイトの閲覧を制限する機能を提供するソフトやサービスのこと。政府が今年6月にまとめた有害情報防止策では、4つの柱の1つに挙げており、東京都と神奈川県では今月1日より、フィルタリングを義務づける条例が施行されている。

（2005/10/25 ネットセキュリティニュース）

■八都県市青少年行政主管課長会議によるインターネット関係業界への要請活動について（埼玉県）
http://www.pref.saitama.lg.jp/A00/B000/news_release/data/200510191350.html

■セキュリティ関連ニュース
・東京都と神奈川県でインターネットのフィルタリングを義務付ける条例施行（2005/09/30）
・官民連係でインターネットの有害情報をフィルタリング（2005/08/26）
・総務省、ネット上の違法・有害情報対策の研究会開催（2005/08/01）
・政府が「インターネット上の有害情報防止策」まとめる（2005/07/01）

　ローソンチケット（本社：東京都渋谷区）は24日、同社が運営するチケット販売サイト「ローソンチケット・ドットコム」と、JCBが同社に運営業務を委託している「JCBオンラインチケットセンター」で、利用者の画面に他人の個人情報が表示されたとの問い合わせが相次いだため、サイトを一時閉鎖したと発表した。

　同社によると、ログインした会員の画面に本人とは異なる氏名、電話番号、メールアドレス等が表示されたとの報告が、先月30日から今月19日までに両サイトで計４件あったという。調査の結果、誤表示が起きる可能性のある期間と対象者は特定できたが、発生原因がつかめないためサイトを一時閉鎖し、原因究明に向けたシステムの徹底調査と改修を行うとしている。

　誤表示が起きた可能性のある期間は、ローソンチケット・ドットコムが９月30日～10月20日、JCBオンラインチケットセンターが９月30日～10月17日。この間にログインした４万8,781名の会員には、メールや郵便で事情説明と謝罪を行っているという。

（2005/10/25 ネットセキュリティニュース）

■お客様情報の誤表示および運営サイト一時閉鎖のお知らせとお詫び（ローソンチケット）
http://www2.lawsonticket.com/Index_syosai.asp
■「JCBオンラインチケットセンター」Webサイトにおけるお客様情報の誤表示および運営サイトの一時閉鎖のお詫びとお知らせ（JCB）
http://www.jcbcorporate.com/news/dr-449.html
■JCBオンラインチケット情報
http://www.jcb.co.jp/leisure/ticket/jcb_t_center/
■ローソンチケット
http://www2.lawsonticket.com/

　総務省は21日、同省主催のカンファレンスに参加申込みをした31名に事前通知メールを送る際、誤って受信者が他の参加申込者のメールアドレスが閲覧できる形で送信したと発表した。

　誤送信があったのは同省の総合通信基盤局電気通信事業部事業政策課で、20日午後、同省が11月１日に開く「電気通信事業分野の競争評価についてのカンファレンス」に参加申込みをした31名に、参加可能である旨の事前通知メールを送付した際、メール機能の「BCC」を使うべきところ「to」で送ってしまったもの。同課は該当者全員に直ちに報告とお詫びの連絡をし、着信電子メールの削除依頼をしたという。また、今後このような事態が生じないよう、厳重かつ適正な管理を徹底していくとしている。

（2005/10/24 ネットセキュリティニュース）

■メールアドレスの誤送信について（総務省）
http://www.soumu.go.jp/s-news/2005/051021_3.html

　NTTドコモ（東京都千代田区）加入者の携帯電話用メールアドレス約７万１千件のリストが、インターネットで閲覧できる状態になっていることが22日、一部報道で明らかになった。
　各社の報道では、米国グアムに本社を置くインターネットサービス会社が運営するサイトに、約32万件が掲載されており、ドコモの調査では10万件が重複するアドレス、7万1千件が実在するアドレスだったことが判明。すでに削除措置をとったとしていたが、検索サイトへの手配が不十分だったのか、22日未明の報道直後に大手検索エンジンのキャッシュ（検索エンジンが索引を作る際に各ページの内容を保存したもの）から、関連すると思われる２件のアドレスデータがネットユーザーによって発見された。

　１件は、グアムの管理会社に属するサーバのキャッシュで、当該データの一部と思われるファイルが数個、まだ閲覧可能な状態にあったという。もう１件は、報道とは別の国内サーバーのキャッシュで、200個以上のファイルが閲覧可能な状態になっていたという。

　国内サーバーは迷惑メール業者が使用していたサーバーのひとつで、キャッシュを閲覧した人の話では、リストに含まれるアドレスの総数は約605万件（重複を除くと344万件）にも及ぶ。NTTドコモ198万件（同119万件）、KDDI 168万件（同54万件）、ボーダフォン96万件（同47万件）など、半分以上が携帯電話のものだが、プロバイダー各社や企業のものも多数あったという。サーバー上のファイルはすでに削除されていたが、キャッシュに残っていたファイル一覧の容量から推定すると、8月末時点で、のべ1,400万件が蓄積されていた可能性がある。実在するアドレス数は不明だが、掲示板などには自分のメールアドレスが含まれていたという書き込みもいくつか見られた。
　なお当該検索エンジンのキャッシュは、いずれも22日午後までに削除されている。

（2005/10/24 ネットセキュリティニュース）

■NTTドコモ
http://www.nttdocomo.co.jp/

　今月1日に民営化した旧日本道路公団3社が、16日からインターネット上で実施していた高速道路の利用に関するアンケート調査で、暗号化処理が無効のまま、1万6,712人が個人情報を含む内容を回答していたことが21日わかった。

　同アンケート調査は、東日本、中日本、西日本高速道路の3社から依頼を受けた高速道路技術センター（東京都千代田）が、今月16日から28日まで実施しているもの。サイト上には、通信情報の暗号化と組織の実在性を証明するベリサイン社のセキュアシールが掲載されていたが、「https」で始まるアドレスはなく通常の「http」の設定であったため、SSL（Secure Sockets Layer）暗号化通信が機能していなかった。
　アンケート調査の管理・運営会社が21日に気づき設定し直したが、同日午前10時35分までの間に1万6,712名が、住所、氏名、年齢、性別、車のナンバー、高速道路の利用状況などを回答していたという。

　発表文では、データ流出の事実は確認されていないが、対象者には早急に連絡し事情説明と謝罪をするとしている。

【解説】
　SSL通信には、暗号化により通信が途中で盗聴されないように保護する役目と、ユーザーにサーバの正当性を確認する手段を提供する役目がある。運営側の初歩的な設定ミスにより、これが無効になっていたということは、盗聴のリスクがあっただけでなく、フィッシングサイトに誘導されてもわからなかったということでもある。各社のサイト等に掲載されているアンケート調査協力の呼びかけをクリックすると、何の予告もなくそれらしいサイトに飛ばされる。そこで1万6千人ものユーザーが何の疑いもなく個人情報を入力していたことになる。同サイトは現在、暗号化こそ有効になったものの、ユーザーが正当なサイトであることを確認する方法も、確認を促す案内も掲載されていない。セキュリティに対する認識の甘さが懸念される。

（2005/10/24 ネットセキュリティニュース）

■高速道路におけるアンケート調査に関するお詫び（東日本、中日本、西日本高速道路）http://census.extec.or.jp/index3.asp

■平成17年度 道路交通センサス 高速道路ご利用者アンケート（高速道路技術センター）http://census.extec.or.jp/

　生体認証の大手プロバイダである米Pay By Touchは15日（米国時間）、今年6月にクレジットカード情報の大量流出が発覚した米CardSystems Solutionsの全資産を買収することで合意したと発表した。

　電子取引の決済処理を行うCardSystems Solutionsは、クレジットカード情報約4000万件を漏えいの危機にさらした事件で、一部カード会社から契約打切りの通告がなされ、経営破綻が危惧されていた。一方、Pay By Touchは指紋認証による決済システムを提供している企業で、今回の買収により決済サービスの強化を図るとともに、CardSystems Solutionsのもつ営業網を利用し、バイオメトリクス技術を取り入れた製品の売込みを図るとみられる。

（2005/10/21 ネットセキュリティニュース）

■ Pay By Touch to Acquire CardSystems Solutions, a Leading Provider of Integrated Payment Solutions（Pay By Touch)（英文）
http://www.paybytouch.com/news/pr_10-15-05.html

■ セキュリティ関連ニュース
・【米カード情報流出事件続報2】国内流出数は約６万7000件に（2005/06/23）

　IT国家戦略を支援する独立行政法人情報処理推進機構（IPA、東京都文京区）は18日、同機構が今月24日に開催する「IPA Forum 2005」運営事務局のWebサイトで、参加申込者14名の個人情報を誤送信したと発表した。

　同サイトは、イベント開催にあたって広告代理店のビッグビート（東京都千代田区）に管理運営を委託したもの。同機構によると18日、参加申込みをWebサイトで受付けて返信する際に、総計14名の氏名、会社名、所属部署名、役職名が誤って送信されたという。
　委託先のビッグビートによると、送信作業の直後に事態を把握し、同時に受信者からの問合せがあったため、早急に対応策をとるべくIPAに報告したという。報告を受けた同機構では、ただちに該当者に事実報告と謝罪をし、必要な対応を講じる旨を連絡。委託先に対しても、関係者への謝罪などの対応策を指導したという。
　同機構は、委託先への指導も含め個人情報保護の強化、徹底に努めたいとしている。

（2005/10/21 ネットセキュリティニュース）

■「IPA Forum 2005」参加申込者情報の誤送信のお知らせとお詫び（IPA）
http://www.ipa.go.jp/about/info/20051018.html
■「IPA Forum 2005」参加申込者情報の誤送信についてのご報告とお詫び（ビッグビート）
http://www.bigbeat.co.jp/apology.html

　外務省は20日、今月18日から実在の大使館職員名をかたったウイルスメールが発信されていると発表。心当たりのない外務省からのメールを受信した場合には、添付ファイルを開かないよう注意を呼びかけている。

　複数の報道によると、メール内容は小泉首相の靖国神社参拝を批判するもので、メールタイトルも「靖国参拝非難」などと書かれている。発信元メールアドレスの末尾は外務省職員が使う「@mofa.go.jp」となっているが、これは発信元を偽る詐称メールで、外務省から発信されたものではないという。添付されたウイルスは、Word97形式のマクロ型ウイルス「W97M_EMBED.A（エンベッド）」で、悪質なものではない。現時点で被害の報告はないが、外務省は定義ファイルの更新を勧めている。

（2005/10/21 ネットセキュリティニュース）

■外務省職員を発信元と詐称するウィルスメールにご注意ください（外務省）
http://www.mofa.go.jp/mofaj/oshirase/051020.html
■W97M_EMBED.A（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=W97M_EMBED.A

　コンピュータソフトウェア著作権協会（ACCS）は19日、著作権法違反で逮捕に至った事件２例について詳細を発表した。

■ 企業を装ったＨＰで海賊版ソフトを販売、大阪市の男逮捕

　自作ホームページで無断複製ソフトを販売したとして、大阪府警生活経済課と城東署は大阪市城東区の塗装業の男（37）を9月27日に著作権法違反容疑で逮捕、今月17日に大阪地検に身柄送致した。
　ACCSの発表によると、男は偽りの会社設立年月日や従業員数を記し、捏造した年度毎の受注数も発表するなどして会社を装った「P's corporation」というサイトを運営。ここに顧客を誘導して海賊版ソフトを販売していたという。CD-Rに無断複製されたソフトは、マイクロソフトの「Windows XP Professional with SP-1対応版」、ジャストシステムの「一太郎2005&花子2005スペシャルパック」、メガソフトのソフトなど90種類に及び、1,539枚が押収されている。
・自作ホームページ「P's corporation」での海賊版販売を摘発（ACCS）
http://www2.accsjp.or.jp/news/news051019b.html

■ モリサワフォントの海賊版販売、さいたま市の印刷業者を逮捕

　フォントプログラムの海賊版CD-Rを販売目的で所持していたとして、警視庁生活経済課と東村山署は17日、さいたま市の印刷業の男（47）を著作権法違反の容疑で現行犯逮捕し、19日に東京地検八王子支部に身柄送致した。
　ACCSの発表によると、男はモリサワが著作権をもつ約150種類のフォントプログラムを無断でCD-Rに複製し、電子メールで募った顧客に販売していた。モリサワのフォントセットは１セットに約２万字が必要で、その作成には約10人のチームで3年以上の時間を要するという。今回複製された約150種類のフォントは定価総額で約1,500万円に相当するが、男が無断複製した海賊版はその100分の1程度の値段で販売されていた。
・フォントプログラムの海賊版所持の男性を逮捕（ACCS）
http://www2.accsjp.or.jp/news/news051019a.html

（2005/10/21 ネットセキュリティニュース）

　オンライン書店ジェイブック（本社・川崎市高津区）は18日、メールマガジンの送信操作ミスで、メールアドレスなど2,383人分が流出したと発表した。

　同社によると、17日に同社のメールマガジンを配信する際、誤って本文に配信用のデータを上書きし、3,326人の会員に配信してしまったという。誤配信したデータには、2,383人分のメールアドレス、氏名、ポイント残高、メール配信番号が含まれている。しかし、住所や電話番号、クレジットカード番号等の情報は一切含まれていないことを確認しているという。

　同社は、社内に個人情報緊急対策本部を設置し、安全対策の検討と関連業務の監査を実施。安全対策が充実するまでは、メールマガジンの配信業務は中止するとしている。また、対象者に対する対応については、個別に詳細を連絡するとしている。

（2005/10/20 ネットセキュリティニュース）

■メール誤配信による、お客様情報流出に関するお知らせ（JBOOK）
http://www.jbook.co.jp/p/p.aspx/top_information2/

　朝日新聞社は19日、制作会社に管理を委託している大学進学情報の広告サイト「キャンパス・アサヒコム」のホームページ（HP）が不正アクセスを受け、サイトの一部が改ざんされたと発表した。

　発表によると、18日午後３時過ぎに東京都内のユーザーから指摘があって改ざんが発覚、同日夕方にサイトを閉鎖し、調査を開始した。その結果、トップページを閲覧すると自動的に別のサイトに接続し、ウイルスをダウンロードするプログラムが仕込まれていたことがわかった。改ざんが行われたと見られる17日頃からサイトを閉鎖した18日午後5時30分頃までに、同サイトにアクセスした人は感染の可能性がある。この間、1,000回の閲覧があったという。

　感染した場合、個人のパソコン内のメールアドレスなどの情報が引き出される可能性がある。また、サーバー内には、過去に同サイトを通じて資料請求をした人の氏名、住所、電話番号など個人情報が最大462件分保存されていたが、そのデータが引き出された疑いもあるという。同社は、この462名に対しては20日、電子メールか速達郵便で、お詫びの文書を送るとしている。

（2005/10/20 ネットセキュリティニュース）

■大学進学情報の広告サイト「キャンパス・アサヒコム」への攻撃について（朝日新聞社）
http://www.campusasahi.com/

　ジャパンネット銀行は18日、顧客から不正な振込出金の報告があったと発表、パスワード等の管理を厳重に行うよう注意を促している。

　同行によると17日、顧客から「身に覚えのない振込出金があった」との連絡があり、原因を調査中であるという。当該顧客はファイル交換ソフトを利用しており、外付けのハードディスクにパスワードとIDコードを保存していたことがわかっている。

　同行では、「パスワード、暗証番号、IDカードの管理を厳重に行う」「外付けハードディスク、フラッシュメモリなどの記憶媒体に保存しない」「ファイル交換ソフトを利用する場合は環境設定に十分注意する」などの注意事項をあげ、注意を促している。
　また、念のため口座の登録情報や取引明細を確認し、身に覚えのない不審な取引が発見された場合は、同社カスタマーセンターへ連絡するよう呼びかけている。

　ネットバンキングの不正操作による被害としては、スパイウェアによってパスワードなどが盗み出されて不正な取引が行われた事例が、今年7月に相次いで報告されている。

（2005/10/20 ネットセキュリティニュース）

■パスワード・暗証番号・IDカードの管理は厳重に行ってください（ジャパンネット銀行）
http://www.japannetbank.co.jp/attention_051018.html

■セキュリティ関連ニュース
・スパイウェアによる不正振込被害、みずほ銀行とジャパンネット銀行でも（2005/7/6
・イーバンクの顧客がスパイウェア被害、預金を不正に振込（2005/7/4）

　ライブドアの子会社で消費者金融業のライブドアクレジット（旧ロイヤル信販、東京都港区）は13日、オンラインパーソナルローン「もえろーん」のHPで、顧客のライブドアIDが第三者の画面に表示される不具合があり、サイトを一時閉鎖したと発表した。

　今回発覚したのは、今月10日にブログや掲示板などで指摘されていたもので、ライブドアグループのサイトでログイン後に同サイトに移動すると、「セッションID」がリンクに含まれ漏えい。漏えいしたセッションIDを含むリンクを使って第三者がアクセスすると、「ようこそ、ゲストさん」と表示されるべきところに、セッションIDに該当するユーザーのライブドアIDが表示されてしまうという問題が生じていた。

　Webサーバとブラウザ間の通信は、そのたびに接続切断を行う状態を保持しない通信が基本なので、Webサーバは個々のユーザーを識別するために、クッキーなどを使い「セッションID」と呼ばれる識別用のデータをブラウザに持たせて管理する。このセッション管理にミスがあるとユーザーの識別が正しく行えず、今回のような問題や小田急電鉄のHPで起きたような事故（10/17既報）、なりすまし等につながることがある。

　同社は10日22時から翌日14時頃までサイトを閉鎖し、プログラムの不具合を修正。本件により、ライブドアクレジットのサービスに関する情報が漏洩した事実は一切ないとしている。

（2005/10/19 ネットセキュリティニュース）

■メンテナンスによるHP一時クローズに関するお詫び（livedoor CREDIT 【もえろーん】）
http://credit.livedoor.com/AccessAction.do
■ライブドアクレジット
http://credit.livedoor.com/

■セキュリティ関連ニュース
・小田急電鉄、システム不具合で情報漏えいや課金ミス発生 最大6,203名に被害（2005/10/17）

　三重県教育委員会は17日、三重県埋蔵文化財センターの「三重県遺跡情報システム」が不正アクセスを受け、改ざんされたと発表した。

　利用者から、15日午後０時過ぎのタイムスタンプのメールで同センターに情報提供があり、改ざんが発覚した。同センターが調査したところ、「三重県遺跡情報システム」のパスワードが不正に変更されており、トップページに不正な仕掛けがなされていた。特定のURLを入力するとトップページの画面に変わって不正なWebページを表示するもので、ホームページ自体の改ざんは確認されていないという。

　17日午後０時過ぎ、同システムが付属する「三重デジタルミュージアムネットワークサーバー」をLANから遮断して調査を開始、警察へも通報した。サーバーは県立博物館、県立美術館、斎宮歴史博物館と同センターの４館が共同で使用しているもので、現在、この４館のホームページは停止し閲覧できなくなっている。同教委は、今後は被害状況の確認と不正侵入の原因究明を緊急に行うとしている。

　三重県では７月末、運営する掲示板「ｅ-デモ会議室」が不正アクセスを受けて閉鎖、現在も閉鎖が続いている。

（2005/10/19 ネットセキュリティニュース）

■ サーバーへの不正侵入について（三重県）
http://www.pref.mie.jp/TOPICS/2005100223.htm
■三重県埋蔵文化財センター
http://www.museum.pref.mie.jp/maibun/

■セキュリティ関連ニュース
・三重県の掲示板が不正アクセスで閉鎖　あわやフィッシングサイトに（2005/07/29）

　大阪国際滝井高等学校（大阪府守口市）は15日、同校のホームページ（HP）から中学生ら435人分の個人情報が、誤ってインターネットに流出したと発表した。

　同校によると、流出したのは2002年4月から今年7月末日までに、同校のHPで資料請求やオープンスクールの申し込みをした435人の氏名、年齢、住所、電話番号、中学校名、メールアドレスなど。HPに置いていたデータファイルを誤って閲覧可能な状態にしたため、特定の検索エンジンに登録され、申込者の氏名等の検索でヒットするようになっていたという。14日に、閲覧できるとの匿名の連絡を受けて発覚。直ちに閲覧できないよう対処したが、今月2日から14日までの間に外部から100件以上のアクセスの形跡があったという。
　同校は、15日付で理事長名と校長名でHPに謝罪文を掲載。今後、いっそうセキュリティを高めるとともに、学内体制の整備を進め再発防止に努めたいとしている。

（2005/10/18 ネットセキュリティニュース）

■個人情報の取り扱いに関するお詫び（大阪国際大学）
http://www.oiu.ac.jp/oiei/owabi.html
■個人情報の取り扱いに関するお詫び（大阪国際 滝井高等学校）
http://www.takii-h.oiu.ed.jp/owabi/index.html

　小田急電鉄（本社・東京都新宿区）は13日、インターネットや携帯電話で特急券を予約、購入するシステムに不具合が発生し、個人情報の漏えいや課金ミスが発生したと発表した。

　同システムによるサービスは通称「ロマンスカー＠アットクラブ」といい、約25万人の会員が利用している。同社によると、８日に複数の会員から「身に覚えのない購入がされている」「自宅のパソコンで他会員の画面が表示される」などの連絡があり、システム構築を請け負った東芝と共に原因調査を開始し、11日中にはシステム改修を完了したという。

　調査によると、複数の会員がログインしている状態で、ブラウザーを閉じずにログアウトし、その後再度ログインした場合にトラブルが発生していた。トラブルは、他会員の個人情報がパソコンに表示されてしまう、パソコンで行った予約、変更、取消の操作が他会員の操作としてシステムに認識されてしまうなどで、携帯電話会員では、他会員の購入が自分の購入として認識され、積立てた特急ポイント残額が決済に使われてしまうなどの事故も起こっていた。

　原因は６日に行ったシステム改修時のミスで、同日から改修が完了した11日までの間、パソコンでログアウト操作が行われた件数は6,203件と確認できたという。しかし、被害状況を確認することはシステム上不可能なため、同社は不具合があった期間中にログインした１万9,531人の会員に対し、お詫びと状況確認の連絡をするとともに、500円相当の金券類を送るとしている。また、ポイント誤決済の被害についても補償するとしている。

（2005/10/17 ネットセキュリティニュース）

■ 携帯電話およびパソコンによる特急券予約・購入システムにおける予約・購入および個人情報に関する事故について[PDF]（小田急電鉄）
http://www.d-cue.com/program/info/data.info/1292_2724476_.pdf
■小田急電鉄
http://www.odakyu-group.co.jp/

　今月12日に公開されたばかりのWindowsの脆弱性を実証するコードが、次々にインターネット上で公開されている。悪用の危険が高まっており、セキュリティ機関やベンダー各社は、早急にパッチを適用するよう警告している。

　マイクロソフトが12日に公開した脆弱性は、最も深刻な「緊急」３件を含む９件。うち２件は複数の脆弱性を含んでおり、脆弱性の総数は14件となっている。これら脆弱性のうち、「FTPクライアントの脆弱性（MS05-044）」「ネットワーク接続マネージャの脆弱性（MS05-045）」「Collaboration Data Objectsの脆弱性（MS05-048）」は、すでに実証コードがインターネット上で公開されており、「COM+の脆弱性（MS05-051）」のコードも一部で公開されている。

　「緊急」に分類される脆弱性は、比較的悪用されやすく深刻な問題につながるもので、この中ではリモートコードの実行と特権昇格のおそれがある「COM+の脆弱性」が相当する。Windows 2000とSP1以前のWindows XPは、標準で外部から直接攻撃される、すなわちインターネットに接続しているだけで感染するタイプのウイルスに狙われる可能性があり、この両者が「緊急」レベル。Windows XP SP2やWindows 2003 Serverは、標準状態ならば外部からの直接攻撃は受けず、1ランク下の「重要」レベルとなっている。

　実証コードこそまだ出回っていないものの「DirectShow の脆弱性（MS05-050）」と、Internet Explorer用の累積的なセキュリティ更新プログラムの「COM オブジェクトのインスタンス化のメモリ破損の脆弱性（MS05-052）」も「緊急」レベルの深刻な脆弱性であり、いつ悪用されてもおかしくない。

（2005/10/17 ネットセキュリティニュース）

■Microsoft Security ホーム（マイクロソフト）
http://www.microsoft.com/japan/security/default.mspx
■Microsoft Update
http://windowsupdate.microsoft.com/
■「緊急」を含む脆弱性の詳細（マイクロソフト）
・DirectShow の脆弱性により、リモートでコードが実行される (904706) (MS05-050)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-050.mspx
・MSDTC および COM+ の脆弱性により、リモートでコードが実行される (902400) (MS05-051)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-051.mspx
・Internet Explorer 用の累積的なセキュリティ更新プログラム (896688) (MS05-052)
http://www.microsoft.com/japan/technet/security/bulletin/ms05-052.mspx

■セキュリティ関連ニュース
・マイクロソフト、10月度の月例セキュリティパッチを公開（2005/10/12）

　佐賀県教育委員会は14日、来年度の教職員採用試験受験者や指導力不足教員など3,202名分の個人情報が入ったフラッシュメモリーを紛失したと発表した。

　発表によると３日正午過ぎ、匿名の男性から同県内の健康ランド駐車場でメモリーを取得したという連絡があり、紛失が発覚した。メモリーに記録されていた個人情報は計3,202名分で、来年度佐賀県公立学校教員採用試験の受験者1,606名分の氏名や住所、最終学歴などのほか、指導力不足教員175名分の情報も含まれていた。同日に当該男性から計３回の電話があり、６日に会うことなどを約束したが、その後連絡が途絶えたため、13日に警察に紛失届けを提出したという。

　紛失は、教職員課副課長級職員（51歳）がデータを外部に持ち出したことによる。９月23日午前１時過ぎ、同職員が業務を終えて帰宅する際、翌日に実施される教員採用試験に使う可能性があると考え、メモリーをセカンドバッグに入れて帰宅。そのバックを持って同日午後に健康ランドへ行き、紛失した。同職員がメモリーがないことに気づいたのは１日で、上司に報告しないまま心当たりを探していたという。

　県教委は、関係者全員に事情説明とお詫びの信書を送るとともに、教職員課に相談窓口を設置し、二次被害に備えるとしている。

（2005/10/17 ネットセキュリティニュース）

■個人情報が記録されたフラシュメモリの紛失について（佐賀県教育委員会）
http://www.pref.saga.lg.jp/portal/ty-contents/WH/FWHM000601Action.do;jsessionid=736F2D6E65742F73656375726974792F?CNT_ID=5472&contentSetId=CID010&categoryId=111&showCrumbList=true

　海外開発センター(大阪市西区)は13日、同社が運営する割引特典付カード「TopRankers（トップランカーズ）」の会員宛てに、9,489名分のクレジットカード情報を含む9,493件の顧客情報を誤ってメール送信したと発表した。

　発表によると同社は、クレジットカードの有効期限が今年10月以前のTopRankers の顧客に対し、データ更新を再度依頼するメールを７日から11日にかけて送信した。その際、誤って顧客データのファイルを添付してしまったという。11日にメールを受信した顧客から電話連絡があり、発覚した。
　流出した個人情報の内容は、TopRankers にクレジットカード登録している顧客の住所、氏名、電話番号、メールアドレス、クレジットカード番号、有効期限、勤務先など。流出件数9,493件のうち9,489件がクレジットカード情報を含む個人情報で、４件がクレジットカード情報を含まない個人情報という。当該メールは、最大で183件配信されたことが確認されている。

　同社は、当該メールを受信した可能性がある顧客に削除を依頼すると共に、情報が流出した顧客9,493名に対し説明と謝罪をしているという。また、加盟店契約カード各社に流出したカード番号を報告し、不正使用を防ぐモニタリング等の対応を依頼した。

（2005/10/17 ネットセキュリティニュース）

■ TopRankersに関わる個人情報の流出について[PDF]（海外開発センター）
http://www.ohr.jp/press20051013.pdf
■ 海外開発センター
http://www.ohr.jp/
■ TopRankersCardeLIO
http://www.trcard.jp/