ネットセキュリティニュース

　ファイル共有ソフトWinny（ウィニー）のウイルス感染による情報流出が、まったく止まる気配を見せない。会社から持ち出して個人のパソコンに保存していた業務情報が、次々にWinnyネット上に流出している。

■ NTT東日本、元社員の個人パソコンから190名の個人情報流出

　NTT東日本東京支店（東京都港区）は19日、昨年退職した元社員の自宅の個人用パソコンから、在職時に保管していた業務関連ファイルが流出したと発表した。
　同支店によると、流出したのは法人顧客の名称と電話番号11件、2003年頃に同社に在籍していた社員の氏名、氏名コード、所属、異動月日、通勤費に関する情報179件。今月8日に同社お客様相談センターに入った匿名メールで発覚し、該当する顧客に対しては16日までに事情を説明し了解を得たという。
・法人のお客様情報及び弊社社員情報の流出に関するお詫びとお知らせ（NTT東日本 東京支店）
http://www.ntt-east.co.jp/tokyo/release/2005/051219a.html

■ CSKシステムズ、社員の個人パソコンから528人分の顧客情報流出

　大手システム開発CSKグループのCSKシステムズ（東京都港区）は22日、法人顧客286社528人分の名刺情報が流出したと発表した。
　同社によると、流出したのは2003年に西日本地区で開催した同社主催イベントの案内状送付先リストで、20日に同社ホームページの問い合わせ窓口宛てに入った匿名の連絡で発覚したという。流出したリストは社員が無断で持ち出し、個人所有のパソコンに保存していたもので、法人顧客286社528人分の法人名、部署名、役職名、氏名、法人住所、法人電話番号、法人FAX番号、メールアドレスが含まれていた。
・弊社主催イベントご案内送付先情報の流出に関するお知らせとお詫び（CSKシステムズ）
http://www.csk.com/systems/press/2005/20051222_1.html

■ 関西電力、社員の個人パソコンから原発情報がまた流出

　関西電力は22日、同社原子力事業本部（福井県美浜町）の社員の個人パソコンから、原子力発電所に関する業務情報などが流出したと発表した。
　同社によると、21日に原子力安全・保安院からの連絡で発覚。流出したのは、同社原発の燃料に関する資料、他社原発の2次系配管点検に関する資料、関係者の名簿などで、核物質防護に関する機微情報は含まれてないといという。
　同社では今月９日にも社員の個人パソコンから原発関係資料等が流出し、全社的な情報管理の総点検を行うとともに、個人所有のパソコンで業務情報を扱わない、個人パソコン内の業務情報をすべて削除させるなどの対策を進めていたばかり。原子力部門の全社員からは、確認書も提出させていたという。
・当社社員の個人所有パソコンからの業務情報流出について（関西電力）
http://www.kepco.co.jp/pressre/2005/1222-3j.html

（2005/12/27 ネットセキュリティニュース）

【過去1か月のWinnyによる情報流出】
・消防組合、長崎県、学習塾、国民生活金融公庫、郵便局（2005/12/19）
・香川大学医学部、関西電力、日本航空（2005/12/12）
・JR西日本、広島県警、北海道（2005/11/28）

　警察庁、IPA（情報処理推進機構）、JPCERT/CC（JPCERTコーディネーションセンター）は20日、年末年始の長期休暇に備えたセキュリティ対策をまとめ、注意を呼びかけた。

　休暇中は、システムやセキュリティ担当者が不在になるため、ひとたび事故が起きると被害が拡大するおそれがある。休暇前には、システムやセキュリティ対策ソフト等を最新の状態にし、不要なサービスの無効化、適切なアクセス制御の設定、脆弱なパスワードの有無等を再度確認。休暇中に使用しない機器に関しては、電源を切っておくようにする。また休暇中の事故や被害に備えて、組織内や関係機関の緊急連絡先の確認を行い、万全の体制を整えておく。
　休暇明けには、使用している機器やソフトウェアにセキュリティ上の問題が生じていないかどうかの情報確認を行い、必要な措置をとる。休暇中に持ち帰ったパソコンについては、LANに接続する前に最新の定義ファイルでウイルスチェックを行うよう徹底。定義ファイルの更新が休暇明けに集中する可能性がある場合には、予め更新のタイミングを調整するなどの対策も検討しておく。

（2005/12/27 ネットセキュリティニュース）

■年末年始の情報セキュリティ対策のお願い（警察庁）
http://www.cyberpolice.go.jp/important/2005/20051220_201453.html
■年末年始における注意喚起（IPA）
http://www.ipa.go.jp/security/topics/alert171220.html
■長期休暇を控えて（JPCERT/CC）
http://www.jpcert.or.jp/pr/2005/pr050007.txt

　豊和銀行（本店：大分県大分市）は23日、取引先104件にウイルスに感染したメールを送信したと発表した。

　同行によると、ネットスカイ（W32.Netsky.P@mm：シマンテック名）と呼ばれるウイルスが添付されたメールを誤って開いてしまったため、同行のパソコンが感染したという。同ウイルスは、2004年3月に発見されたマスメーリング型のワームで、パソコン内に保存されているメールアドレス宛てに自分自身を添付したメールを送信。感染した同行のパソコンからは、取引先104件にウイルスメールが送られてしまった。同ウイルスは、Internet Explorerの修正済みの脆弱性を悪用するため、未対策の環境ではメールを開いたりプレビューするだけで感染するおそれがある。

　同行では、送信した取引先に対し個別に連絡するとともに、受信者が誤って開封しないようホームページでも注意を喚起。今後は、受信メールに対するシステムチェック機能の強化を図るとともに、取扱者への注意喚起を徹底し再発の防止に努めたいとしている。

（2005/12/26 ネットセキュリティニュース）

■ウィルス感染メールが送信された件について（豊和銀行）
http://www.howabank.co.jp/topics/news171223.html

【ネットスカイ情報】
・W32/Netsky.p@MM（マカフィー）
http://www.mcafee.com/japan/security/virN2004.asp?v=W32/Netsky.p@MM
・W32.Netsky.P@mm（シマンテック）
http://www.symantec.co.jp/region/jp/sarcj/data/w/[email protected]
・WORM_NETSKY.P（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FNETSKY%2EP

　宮崎大学医学部（宮崎県清武町）は14日、医学生としての倫理観を著しく欠く情報をインターネット上のブログに公開し、同大の信用を失墜させたとして、同学部２年の学生６名を停学処分とすることを明らかにした。リーダー格の２名は留年２年、その他４名は留年１年の処分となる。

　６名の学生は、「うさぎ狩り部」という大学非公認サークルを７月に結成、９月中旬に学生の１人が県内をドライブ中にウサギをはねたという。６人は共同でそのウサギを解剖し、解剖の様子を撮影してブログに掲載。ブログのアドレスを記したポスターを学内に張り出したため、多くの学生がこれを見ることになった。ウサギの死骸と「殺した」などという過激な言葉が並ぶ不穏な内容で、医学的姿勢とはかけ離れたものだったことから、「残酷」「命を冒涜している」等の抗議の声があがり、大学側が知るところとなった。

　同大は６人に11月10日から自宅謹慎を命じ、今月14日の教授会で、上記停学処分を決めた。今回の処分は学生の再教育を主眼としたもので、医学を志す者としての倫理観をもつ人間形成を行うべく、厳しく指導していくとしている。

（2005/12/21 ネットセキュリティニュース）

■「うさぎ狩り部」に関する学生の処分について（宮崎大学医学部・大学院医学系研究科）
http://www.med.miyazaki-u.ac.jp/1214.html

　コンピュータソフトウェア著作権協会（ACCS）は、10数か所のホームページで500種に及ぶ海賊版ソフトを販売、2億円以上を売り上げていたとみられる大規模海賊版販売グループが6日と7日に、著作権法違反の疑いで逮捕されたことを明らかにした。

　逮捕されたのは、東京、神奈川、千葉に住む23歳から46歳の男女７人で、職業は自営業、美容師、会社員、アルバイト各１名、無職３名。７人は今年10月20日ごろ、ジャストシステム（本社：徳島市）の「一太郎2005&花子2005スペシャルパック」を無断複製したCD-R5枚を、市価の３割程度の8,000円で豊島区の男性に販売し、同社から告訴されていた。

　調べによると７人は、2003年頃から「一太郎2005」「弥生会計」「Microsoft Office Professional 2003」など計500種類ものソフトを無断複製し、市価の１～４割程度で販売していた。販売拠点となったホームページでは、会社名や設立年月日などを記載して法人を装い、代金の支払い方法も銀行振込や郵便振込のほか、クレジットカード決済やコンビニ決済なども利用できるとして、顧客に安心感を与えていた。

　当該ホームページに関しては、この２年数か月の間に、のべ約500件に及ぶ情報提供がACCSにあり、ACCSは証拠品を入手するなど調査してきた。警視庁ハイテク犯罪対策総合センターはじめ警視庁と岐阜県警による合同捜査本部が、告訴を受けて捜査を進め、逮捕に至った。

（2005/12/21 ネットセキュリティニュース）

■売上2億円以上、大規模海賊版販売グループを摘発（ACCS）
http://www2.accsjp.or.jp/news/news051216.html

　シマンテックは21日、同社の「Norton AntiVirus」など複数のセキュリティ対策製品に、外部から任意のコードが実行され深刻な脆弱性があることを明らかにした。

　同社によると、RAR形式のアーカイブファイルを解凍するライブラリにバッファ・オーバーフローの脆弱性が複数あり、外部から送り込まれた細工されたRARファイルのスキャン時に、SYSTEM権限で任意のコードが実行されるおそれがあるという。

　同脆弱性を修正するアップデータは、現時点ではまだ提供されておらず、準備が整うまでの緩和策として細工されたRARファイルを検出するシグネチャ（パターンファイル）を
、20日よりLiveUpdateで提供。脆弱性の存在する製品のユーザーは、ただちに製品を最新の状態に維持するよう注意を呼びかけている。

（2005/12/21 ネットセキュリティニュース）

■脆弱性に関するシマンテックのリリース
・Symantec AntiVirus のデコンポーザにバッファ・オーバーフローの脆弱性
http://www.symantec.com/region/jp/avcenter/security/content/2005.12.21b.html
・「SYM05-027：Symantec AntiVirus のデコンポーザにバッファ・オーバーフローの脆弱性」の対応について
http://service1.symantec.com/SUPPORT/INTER/japanesecustserv-ent.nsf/jp_docid/20051222191631961
・SYM05-027：脆弱性の存在する製品および影響を受けない製品一覧
http://service1.symantec.com/SUPPORT/INTER/japanesecustserv-ent.nsf/jp_docid/20051222195408961

　JR西日本(本社：大阪市北区)は16日、高齢者向けの会員制旅行サービス「JR西日本ジパング倶楽部」の会員情報12万6,680名分の流出が判明したと発表した。

　今月上旬、複数の会員から、同倶楽部類似の名前で仏像販売のセールス電話があったとの連絡があり、同倶楽部事務局が調査をしたところ、会員情報の一部が都内の名簿会社に渡っていたことが判明した。流出した個人情報は、2003年８月末時点のものとみられる12万6,680名分の氏名、生年月日、郵便番号、住所、電話番号。JR西日本は電話セールスをしていた都内の仏具販売会社と名簿会社から名簿を回収し、二度と使用しない誓約をさせたという。

　同倶楽部の約46万人の会員情報は事務局がコンピューターで管理しており、社内LANで結んでいるがインターネットとは接続していない。社内関係者が持ち出した可能性もあるとして、JR西日本は大阪府警に被害届けを出した。なお、個人情報が流出した会員に対しては順次、お詫びと事情説明の連絡を個別にしていくとしている。

（2005/12/20 ネットセキュリティニュース）

　日本ケンタッキーフライドチキン（本社：東京都渋谷区）は16日、相模原大野台店の顧客情報１万8,422名分と従業員情報135名分を紛失したと発表した。

　紛失したのは12日の深夜で、同社のシステム開発を受託しているパナソニックシステムソリューションズ（東京都品川区：松下電器産業の社内分社）の開発委託先であるビッツ（東京都品川区）の社員が、当該情報の入ったノートパソコンを電車内に置き忘れたという。同社員は翌日警察へ紛失届けを出したが、見つかっていない。
　紛失したノートパソコンには、1999年5月から2005年3月までの間、同店で予約・宅配注文をした顧客１万8,422名のほか、パート従業員128名、社員７名、計１万8,557名分の個人情報が記録されていた。情報内容は、氏名、住所、電話番号等で、従業員は生年月日や給与振込口座等も含まれる。

　現時点では情報漏えいの事実は確認されていないが、ノートパソコンには高度なセキュリティ対策が施されておらず、今後情報漏えいが起こる可能性もあるという。同社は顧客と従業員に対し、誠意をもって対応するとしている。

（2005/12/20 ネットセキュリティニュース）

■発表資料
・個人情報の紛失に関するお詫びとご報告（ビッツ）
http://www.bits.co.jp/apology.html
・お客様情報紛失のお詫び（松下電器産業）
http://panasonic.co.jp/pss/products/info/0512/index.html
・お客様情報紛失のお詫びとお知らせ（日本ケンタッキー・フライド・チキン）
http://japan.kfc.co.jp/info/051216001.html

　ファイル共有ソフトWinny（ウィニー）を通じ、個人情報や内部の機密情報がインターネット上に流出する事故が止まらない。先週（12/12）に続き、Winnyによる情報流出事故をまとめた。

● 佐野地区広域消防組合、職員の私有パソコンから211名分の個人情報流出

　佐野地区広域消防組合（本部：栃木県佐野市）の男性職員の私有パソコンから職員の緊急連絡網データなど内部情報がインターネット上に流出していたことが16日、明らかになった。流出していた個人情報の内容は、消防職員118人、消防団員68人、市・町職員20人、一般市民や業者５人、計211名分の氏名や電話番号、住所など。職場のパソコンが故障した際に男性職員の私有パソコンに内部データをコピーしたことがあり、同職員はそのデータを削除しないまま自宅に持ち帰っていた。自宅のパソコンにはWinnyがインストールされており、このパソコンにデータを移したことが流出を招いたものとみられる。
・佐野地区広域消防組合のHP
http://www.city.sano.tochigi.jp/119/

● 長崎県、地域政策課職員の私有パソコンから行政情報流出

　長崎県地域振興部地域政策課の職員が作成したデータファイルがインターネットに流出していたことが17日、判明した。データーファイルは、「地域活性化事例集指定管理者制度導入事例集」に掲載する事例について推薦を依頼する一連の文書で、同制度導入先リストや推薦依頼先リスト、市町村あて依頼文書など。これらの文書には、記入者名や連絡先、FAX番号などが記されていた。職員は自宅で仕事をする目的で、職場のパソコンから自宅のパソコンへデータファイルをメールで送っていた。このパソコンにWinnyがインストールされていた。
・データファイルの外部流出について[PDF]（長崎県）
http://www.pref.nagasaki.jp/koho/hodo/upfile/20051214180101.pdf

● 「九大進学ゼミ」、講師の私有パソコンから生徒情報約2,200名分流出

　九州地方を中心に学習塾「九大進学ゼミ」102校を展開するヒューマンネットワーク（福岡市城南区）の生徒情報が流出していたことが16日、わかった。約2,200名分の個人情報流出が確認されており、このうち約2,000名分は氏名と学年のみだが、流出元となった男性講師が在籍する箱崎校（福岡市東区）に通う100名分については、住所や電話番号、塾や小・中学校の成績なども含まれるという。箱崎校の男性講師の私用パソコンにWinnyがインストールされており、このパソコンがウイルスに感染して流出したとみられる。
・個人情報流出に関するお詫びとご説明[PDF]（ヒューマンネットワーク）
http://www.human-network.ne.jp/051216.pdf

● 国民生活金融公庫、職員の私有パソコンから融資先等53件の顧客情報流出

　国民生活金融公庫（本店：東京都千代田区）の融資先など53件の顧客情報がインターネット上に流出していたことが14日、明らかになった。流出情報は船橋支店51件と板橋支店2件、計53件の顧客氏名と住所、契約内容など。これらのデータは同公庫職員が職場から無断で持ち出し、自宅にある私有パソコンに保存していたもので、このパソコンにWinnyがインストールされていた。
・お客さま情報の流出について（国民生活金融公庫）
http://www.kokukin.go.jp/whatsnew/whatsnew051214.html

● 気仙沼市の郵便局、郵貯関連の内部資料が職員の私有パソコンから流出

　日本郵政公社東北支社が管轄する気仙沼郵便局（宮城県気仙沼市）の郵貯関連の内部資料がインターネットに流出していたことが6日、明らかになった。流出したのは、給与振り込みや年金自動受け取りの契約件数など、同局の職員20名分の郵便貯金に関する営業実績をまとめたもの。同局職員がデータを持ち帰って自宅のパソコンでとりまとめの作業を行ったといい、このパソコンにWinnyがインストールされていた。
・日本郵政公社のHP
http://www.japanpost.jp/

（2005/12/19 ネットセキュリティニュース）

■セキュリティ関連ニュース
・Winnyによる情報流出相次ぐ：香川大学医学部、関西電力、日本航空（2005/12/12）

　UFJ銀行（本店：名古屋市中区）は16日、同行が発行するメール配信ニュース「UFJ CHINA NEWS」に登録しているユーザー約7,000名に、ウイルスを添付したメールを配信したことを明らかにした。
　ウイルスはネットスカイと呼ばれるワームの亜種（Worm_Netsky.P）で、添付ファイルをクリックすると感染し、差出人を偽って自身のコピーをメール送信して繁殖活動を行う。Windowsにセキュリティホールがある場合は、メールをプレビューするだけで感染する可能性がある。

　同行によると、メール配信サーバーに15日、外部から差出人を偽った不正なウイルス感染メールが投稿され、サーバー側でこの不正をチェックできなかったため、ウイルス添付メールが配信される事態となった。同行は当該顧客に個別に連絡をとっており、本件に伴う顧客の個人情報の流出はないという。また、不正メール配信防止策を実施するため、実施完了までの間、「UFJ CHINA NEWS」の配信を停止するとしている。

（2005/12/19 ネットセキュリティニュース）

■ウイルスが添付されたメールが配信された件について（UFJ銀行）
http://www.ufjbank.co.jp/ippan/oshirase/mail_051216.html

■「Worm_Netsky.P」対策参照サイト
・WORM_NETSKY.P（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.P
・W32.Netsky.P@mm（シマンテック）
http://www.symantec.com/region/jp/avcenter/venc/data/[email protected]
・W32/Netsky.p@MM（マカフィー）
http://www.mcafee.com/japan/security/virN2004.asp?v=W32/Netsky.p@MM

　ファイル共有ソフトWinny（ウィニー）を通じ、個人情報や内部の機密情報がインターネット上に流出する事故が止まらない。先週（12/12）に続き、Winnyによる情報流出事故をまとめた。

● 佐野地区広域消防組合、職員の私有パソコンから211名分の個人情報流出

　佐野地区広域消防組合（本部：栃木県佐野市）の男性職員の私有パソコンから職員の緊急連絡網データなど内部情報がインターネット上に流出していたことが16日、明らかになった。流出していた個人情報の内容は、消防職員118人、消防団員68人、市・町職員20人、一般市民や業者５人、計211名分の氏名や電話番号、住所など。職場のパソコンが故障した際に男性職員の私有パソコンに内部データをコピーしたことがあり、同職員はそのデータを削除しないまま自宅に持ち帰っていた。自宅のパソコンにはWinnyがインストールされており、このパソコンにデータを移したことが流出を招いたものとみられる。
・佐野地区広域消防組合のHP
http://www.city.sano.tochigi.jp/119/

● 長崎県、地域政策課職員の私有パソコンから行政情報流出

　長崎県地域振興部地域政策課の職員が作成したデータファイルがインターネットに流出していたことが17日、判明した。データーファイルは、「地域活性化事例集指定管理者制度導入事例集」に掲載する事例について推薦を依頼する一連の文書で、同制度導入先リストや推薦依頼先リスト、市町村あて依頼文書など。これらの文書には、記入者名や連絡先、FAX番号などが記されていた。職員は自宅で仕事をする目的で、職場のパソコンから自宅のパソコンへデータファイルをメールで送っていた。このパソコンにWinnyがインストールされていた。
・データファイルの外部流出について[PDF]（長崎県）
http://www.pref.nagasaki.jp/koho/hodo/upfile/20051214180101.pdf

● 「九大進学ゼミ」、講師の私有パソコンから生徒情報約2,200名分流出

　九州地方を中心に学習塾「九大進学ゼミ」102校を展開するヒューマンネットワーク（福岡市城南区）の生徒情報が流出していたことが16日、わかった。約2,200名分の個人情報流出が確認されており、このうち約2,000名分は氏名と学年のみだが、流出元となった男性講師が在籍する箱崎校（福岡市東区）に通う100名分については、住所や電話番号、塾や小・中学校の成績なども含まれるという。箱崎校の男性講師の私用パソコンにWinnyがインストールされており、このパソコンがウイルスに感染して流出したとみられる。
・個人情報流出に関するお詫びとご説明[PDF]（ヒューマンネットワーク）
http://www.human-network.ne.jp/051216.pdf

● 国民生活金融公庫、職員の私有パソコンから融資先等53件の顧客情報流出

　国民生活金融公庫（本店：東京都千代田区）の融資先など53件の顧客情報がインターネット上に流出していたことが14日、明らかになった。流出情報は船橋支店51件と板橋支店2件、計53件の顧客氏名と住所、契約内容など。これらのデータは同公庫職員が職場から無断で持ち出し、自宅にある私有パソコンに保存していたもので、このパソコンにWinnyがインストールされていた。
・お客さま情報の流出について（国民生活金融公庫）
http://www.kokukin.go.jp/whatsnew/whatsnew051214.html

● 気仙沼市の郵便局、郵貯関連の内部資料が職員の私有パソコンから流出

　日本郵政公社東北支社が管轄する気仙沼郵便局（宮城県気仙沼市）の郵貯関連の内部資料がインターネットに流出していたことが6日、明らかになった。流出したのは、給与振り込みや年金自動受け取りの契約件数など、同局の職員20名分の郵便貯金に関する営業実績をまとめたもの。同局職員がデータを持ち帰って自宅のパソコンでとりまとめの作業を行ったといい、このパソコンにWinnyがインストールされていた。
・日本郵政公社のHP
http://www.japanpost.jp/

（2005/12/19 ネットセキュリティニュース）

■セキュリティ関連ニュース
・Winnyによる情報流出相次ぐ：香川大学医学部、関西電力、日本航空（2005/12/12）

　ソフトウェアやコンピュータ関連機器の開発、製造を行うセキュリティフライデー（神奈川県藤沢市）は13日、パスワードの強さをゲーム感覚で競い合うソフトウェア「認術大会」の無償配布を開始した。

　パスワードの強さは、ハッカーの推測アルゴリズムをベースにWindowsのLM(LAN Manager)認証の強度を計算して診断する。順位が表示されるので他のユーザーと強度を競い合うことができ、楽しみながら強いパスワードをつくる意識やコツを習得できるという。

　動作OSはWindows2000/XPで、FlashPlayer6以降が必要。なお、同ソフトは入力されたパスワードを記録しない。ただし、パソコンにスパイウェア等が仕掛けられていた場合にパスワードを盗まれる恐れがあるとして、セキュリティフライデーでは、実際に使っているパスワードではなく、新しいパスワードをつくって挑戦するよう勧めている。

（2005/12/16 ネットセキュリティニュース）

■ パスワード教育用フリーソフトウエア 認術大会（セキュリティフライデー）
http://www.securityfriday.com/jp/contents/ninjutsutaikai.htm

　電気通信事業者団体等で構成される「プロバイダ責任制限法ガイドライン等検討協議会」は13日、昨年10月に改定した「名誉毀損・プライバシー関係ガイドライン」がこの１年間どのように運用されたかを、「法務省人権擁護機関からの情報削除依頼対応プロセスの運用状況」としてまとめ、公表した。

　同ガイドラインは、インターネット上で起こった重大な人権侵害行為で、被害者が対応困難と認められるものについて、法務省人権擁護機関からプロバイダ等に公文書で削除依頼をする際の手続きを定めたもの。

　発表資料によると、昨年10月から今年９月までの１年間で、法務省人権擁護機関がインターネットによる人権侵犯事件として受理した名誉毀損は104件、プライバシー侵害は88件あった（速報ベース）。そのうち同機関がプロバイダ等に削除を依頼したのは、名誉毀損３件、プライバシー侵害15件の計18件で、このうち同ガイドラインに基づいて削除依頼を行ったのは６件にとどまった。

　同協議会は、ガイドラインが趣旨に沿って適切に運用されていると評価しながらも、ガイドライン運用が３分の１と低率であることを「今後の課題」としている。運用が低率であるおもな原因は、削除依頼書の送付先が判明しないことにあるといい、そのような場合は、当該プロバイダ等が指定する掲示板上で削除依頼を行うなどの方法によらざるをえないという。

（2005/12/16 ネットセキュリティニュース）

■ 「プロバイダ責任制限法 名誉毀損・プライバシー関係ガイドライン」法務省人権擁護機関からの情報削除依頼対応プロセスの運用状況（テレコムサービス協会）
http://www.telesa.or.jp/consortium/provider/2005/20051213.htm

　マイクロソフトは14日、12月度の月例セキュリティパッチを公開した。公開されたセキュリティ更新プログラムの内容は、最も深刻な「緊急」を含む２件。

　「緊急」に分類されている「Internet Explorer用の累積的なセキュリティ更新プログラム」の適用により、11月下旬に各国のセキュリティベンダーから警告が出ていた「任意のコマンドが実行されるInternet Explorerの深刻な脆弱性」も修正される。

　このほか、新たにソニーBMGの一部のCDに収録された「XCP」に対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも提供される。

【更新プログラムの内容】
[緊急]
Internet Explorer用の累積的なセキュリティ更新プログラム

[重要]
Windows カーネル：特権が昇格される脆弱性

（2005/12/14 ネットセキュリティニュース）

■Microsoft Security ホーム（マイクロソフト）
http://www.microsoft.com/japan/security/default.mspx
■Microsoft Update
http://windowsupdate.microsoft.com/
■悪意のあるソフトウェアの削除ツール
http://www.microsoft.com/japan/security/malwareremove/default.mspx

■セキュリティ関連ニュース
・Internet Explorerに任意のコマンドが実行される未修正の深刻な脆弱性（2005/11/22）
・SONY BMGの著作権管理ソフトを悪用したウイルス、各社が警告（2005/11/14）

　ゴルフ場を運営、管理するアコーディア・ゴルフ（本店：東京都渋谷区）は５日、467名分の個人情報が記載された書類が外部に流出し、公表をほのめかして同社を恐喝する事件が発生したと発表した。

　流出したのは万壽ゴルフクラブ会員の年会費未入金者一覧表で、会員の氏名、勤務先名、会員番号と、年度別の年会費未入金額が記載されていた。同一覧表は社外秘となっているが、同社従業員に強要してこれを入手した者が、金員の要求をしてきたという。同社は一覧表の破棄または返還を求めるとともに、恐喝未遂事件として警察に告訴した。現在までのところ、その他の個人情報の流出や、二次被害の発生の報告は受けていないという。

　同社は、当該会員に対し､架空請求等に注意するよう呼びかけている。また、会員情報のアクセス制限の強化を含めたセキュリティ対策を徹底し、再発防止策を強化するとしている。

（2005/12/13 ネットセキュリティニュース）

■会員情報の外部流出について（アコーディア・ゴルフ）
http://www.accordiagolf.com/htmls/press/index.html

　情報化コンサルティングのメイテツコム（本社：名古屋市中村区）は８日、「愛・地球博支援企業協議会」が今年３月まで運用していたメールマガジンシステムに不正アクセスがあり、購読者として登録されていた氏名とメールアドレスが流出していたことが判明したと発表した。

　「愛・地球博支援企業協議会」は当時、名古屋商工会議所と中部経済連合会が共同で事務局を運営しており、同協議会が発行するメールマガジンのシステムはメイテツコムが受託管理していた。同社は11月に「不正侵入検知システム」を新たに導入、これにより過去に遡ってアクセスログを精査した結果、不正アクセスと流出が確認されたという。
　同社発表によると、不正アクセスが認められたのは2005年3月24日で、同メールマガジン購読者のうち、2005年３月24日時点で登録していた798名の氏名とメールアドレスが流出した。なお、同メールマガジンは３月末日で配信サービスを終了、登録されていたメールアドレス等は、すでにサーバー上から削除されている。

　同社は今後、速やかに「不正侵入防御システム」を導入し、不正アクセスを検知するだけでなく、自動的に遮断防御して、情報セキュリティの向上を図るとしている。

（2005/12/13 ネットセキュリティニュース）

■発表資料
・「愛・地球博支援企業協議会」メールマガジンシステム（当時）に対する不正アクセスについて（メイテツコム）
http://www.meitetsucom.co.jp/news/051208.html
・「愛・地球博支援企業協議会」メールマガジンシステム（当時）に対する不正アクセスについて[PDF]（中部経済連合会）
http://www.chukeiren.or.jp/what/newsdata/2005120811013205098A1.pdf
・「愛・地球博支援企業協議会」メールマガジンシステム（当時）に対する不正アクセスについて（名古屋商工会議所）
http://www.nagoya-cci.or.jp/shin/051208.html

　11月末から今月にかけて、海賊版ソフト（違法コピーソフト）を販売し、著作権法違反容疑で逮捕される事件が相次いだ。

■ Yahoo!オークションで海賊版カーナビソフトを販売、3人を逮捕

　Yahoo!オークションを悪用し、無断複製したカーナビゲーションソフトを販売していたとして、鳥取県警生活保安課と鳥取署は７日、横浜市の会社役員の男（35歳）と、神奈川県箱根町のホテル従業員の男（31歳）の２人を著作権法違反の疑いで逮捕した。ACCSの発表によると、男らはゼンリンのカーナビソフト「ナビソフトドライブマップSUPER全国版10拡張フォーマット専用」などをCD-Rに無断で複製し、Yahoo!オークションへ出品、販売していた。また、販売代金入金用の口座の開設や出金にかかわっていた男も、カード詐欺の疑いで会社役員の男とともに逮捕・起訴されている。
・役割分担しヤフオクで海賊版カーナビソフトを販売、3人を逮捕（ACCS）
http://www2.accsjp.or.jp/topics/news3.html

■ Yahoo!オークションで英会話教材の海賊版販売、横浜市の男を逮捕

　Yahoo!オークションを悪用し、無断複製した英会話教材を販売していたとして、島根県警生活保安課と江津署は11月30日、横浜市の会社員の男（27歳）を著作権法違反の疑いで逮捕した。ACCSの発表によると、男は「しちだ・教育研究所」が著作隣接権を持つ英会話教材「パーフェクトイングリッシュ（第3版）」を無断でCD-Rに複製。これをバックアップ用と称して正規品の書籍とセットにし、Yahoo!オークションに出品、販売していた。
・英会話教材の海賊版をオークションに出品（ACCS）
http://www2.accsjp.or.jp/topics/news1.html

■ 路上で海賊版ゲームソフトを販売、横浜市の男を逮捕

　無断で複製したゲームソフトを頒布する目的で所持していたとして、警視庁生活経済課と本富士署は11月27日、東京秋葉原の路上にて、横浜市の男（34歳）を著作権侵害で現行犯逮捕した。ACCSの発表によると、男は秋葉原・電気街の路上に設置した露店で、「マリオゴルフGBAツアー」など約700タイトルのゲームボーイアドバンス用ソフトが複製されたDVD-Rを、頒布する目的で所持していた。男は、海賊版ソフトをゲームボーイアドバンスで稼働させるための中国製のカートリッジなども併せて販売していたという。
・秋葉原、路上で海賊版ゲームソフト販売の男性を逮捕（ACCS）
http://www2.accsjp.or.jp/topics/news4.html

（2005/12/13 ネットセキュリティニュース）

　オンラインゲームに関するトラブル情報が多く寄せられていることから、国民生活センターは７日、「オンラインゲームに関するトラブルが急増」と題する報告を発表し、利用者に注意を呼びかけている。

　同センターによると、オンラインゲームに関するトラブル情報の受信件数は2005年１月以降に急増している。苦情の大半は「BOT行為やRMT（下記参照）をするなど、利用規約に違反する利用者を運営業者が取り締まらない」というもの。このほか、「接続障害が頻繁に発生し、ゲームが利用できない」「身に覚えがないのに、突然アカウント停止処分を受けた」「運営業者の苦情処理体制が整備されていない」という苦情も多く寄せられている。

　こうした状況から同センターは、消費者に対して「オンラインゲームの運営には問題点も多く、利用者は現状をよく確認し認識した上で利用することが重要である」とアドバイスしている。

＜注記＞
・BOT行為：利用者がソフトを用いて自動でゲーム上のキャラクターを操作する行為。24時間休みなくキャラクターを育成でき、アイテムを入手しやすくなる。
・RMT：リアル･マネー･トレード。ゲーム内の通貨、アイテムを現実通貨（円）で取引すること。

（2005/12/12 ネットセキュリティニュース）

■国民生活センターの報道発表資料
・オンラインゲームに関するトラブルが急増
http://www.kokusen.go.jp/news/data/n-20051207_2.html
・オンラインゲームに関するトラブルが急増[PDF]
http://www.kokusen.go.jp/cgi-bin/byteserver.pl/pdf/n-20051207_2.pdf

　ファイル共有ソフトWinny（ウィニー）を通じて個人情報や内部情報がインターネット上に流出する事故が、今月に入ってからも相次いで発覚している。

■ 香川大学医学部、患者３名の個人情報がWinnyネットに流出

　香川大学医学部（香川県三木町）は９日、医学部学生の私用パソコンがウイルスに感染し、患者３名の氏名や病名などがインターネット上に流出したと発表した。同学部によると、７日に文部科学省から同大学へ連絡があり、流出を把握した。同学生のパソコンがWinny経由でウイルス(Antinny：アンティニー)に感染し、当該パソコンに保存していた病院実習レポートから個人情報が流出したものと見られている。
・Winny等のP2Pソフト等の使用について（厳重注意）（香川大学）
http://gak.med.kagawa-u.ac.jp/~kyomu/siryou/attention/attention_winny.htm

■ 関西電力、原発関連資料などがWinnyネットに流出

　関西電力（本店：大阪市北区）は９日、同社原子力事業本部（福井県美浜町）に勤務する管理職社員の個人パソコンから社内情報がWinnyを通じてインターネット上に流出していたと発表した。同社によると漏洩したのは原発の耐震関係資料や、社員ら約100名の個人情報など。福井県は９日、同本部長を呼び厳重に注意。経済産業省原子力安全･保安院も同日、同社社長を口頭で厳重注意した。
・当社社員の個人所有パソコンからの業務情報流出について（関西電力）
http://www.kepco.co.jp/pressre/2005/1209-1j.html

■ 日本航空、17空港の暗証番号などがWinnyネットに流出

　日本航空（本社：東京都品川区）は８日、副操縦士（29歳）の自宅のパソコンがウイルスに感染し、国内16空港と海外１空港の空港制限区域内へ入るための暗証番号などの社内情報がインターネット上に流出したと発表した。副操縦士は当該パソコンでWinnyを使用していた。同社によると、７日に国土交通省から指摘があり、情報の漏えいを把握。空港内の立ち入り制限区域に通じるドアの電子ロックを解除するための暗証番号がネット上の掲示板などに書き込まれていたという。同社は、空港当局へ直ちに暗証番号の変更を依頼し、保安を強化するとしている。
・社員私物パソコンのウイルス感染による情報流出について（日本航空）
http://www.jal.co.jp/other/info2005_1208.html

（2005/12/12 ネットセキュリティニュース）

　出会い系サイトに関連した事件が多発していることから、警察庁は５日、事件を予防するのためのホームページ「あぶない！出会い系サイト」を開設、被害者の大半を占める女子中・高生やその保護者などに注意を呼びかけている。

　出会い系サイトに関係した事件の検挙件数は2004年度は1,582件あり、被害者の70.1％が「女子中・高生」だった。同サイトでは、典型的な手口を示す実例を「出会い系サイト事件簿」として4コママンガで紹介。出会い系サイトには誰もがもつ心のスキを狙った恐ろしいワナが潜んでいるとして「身を守るためのルール」を示した。

　「保護者」向けには子どものためにいますぐできる対策を提示、「一般成人」「出会い系サイト事業者」向けには、検挙事例や関連法律をあげるなどして、違法行為を行わないよう注意を促している。犯罪被害から児童を守るために2003年９月に施行された「出会い系サイト規制法」についてはポイント解説とともに全文を掲載しており、出会い系サイト関連犯罪防止のためのリーフレットも同サイトからダウンロードできる。

（2005/12/09 ネットセキュリティニュース）

■あぶない！出会い系サイト（警察庁）
http://www.npa.go.jp/cyber/deai/index.html

　マイクロソフトは９日、今月14日に公開が予定されているセキュリティ更新プログラムの概要を発表した。

　Windowsに影響するセキュリティ更新プログラムは、最も深刻な「緊急」２件。このほかに、「悪意のあるソフトウェアの削除ツール」の更新バージョンのリリースを予定している。

（2005/12/09 ネットセキュリティニュース）

■マイクロソフト セキュリティ情報の事前通知（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx

　KDDI（本社：東京都千代田区）、沖縄セルラー（本社：沖縄県那覇市）、NTTドコモグループ９社（以下ドコモ、本社：東京都千代田区）は６日、「なりすましメール」対策として、送信ドメイン認証技術を導入すると発表した。

　なりすましメールは送信元を偽装できるため、フィッシングサイトへの誘導などに悪用されるおそれがある。今回導入されるSPF方式の認証技術では、受信サーバーがメール送信元のDNSサーバーに「SPFレコード」を問い合わせ、メール送信元の偽装の有無を確認する。ただし、あらかじめDNSサーバーにSPFレコードを記述する必要がある。

　ドコモでは７日から送信サーバーのみを同方式に対応させ、iモードメールのドメインを受信した他社のメールサーバーからの問い合わせに応えるようにする。KDDIと沖縄セルラーは、携帯電話のEZwebやISPのDIONなど、KDDIが管理する全ドメインのDNSサーバーへSPFレコードを順次記述し、関連企業にも同レコードの記述を呼びかける。さらに、2006年中をめどに同方式のメールフィルターを導入し、なりすましメールを受信拒否できるようにする。
　各社とも迷惑メール対策を行う「Japan Email Anti-Abuse Group」（JEAG）の活動と連携し、今後も迷惑メール撲滅に向けた対策を推進するとしている。

（2005/12/09 ネットセキュリティニュース）

■各社の発表文
・「なりすましメール」防止に向けた取り組みを推進（NTTドコモ）
http://www.nttdocomo.co.jp/info/news_release/page/20051206.html
・送信ドメイン認証技術の導入開始について（KDDI、沖縄セルラー）
http://www.kddi.com/corporate/news_release/2005/1206/index.html
■JEAG
http://www.jeag.jp/

　店頭金融先物取引業のジェイ･エヌ･エス（JNS、本社：名古屋市中区）は５日、同社が漏えいした顧客のメールアドレス405名分が、同社をかたったフィッシングサイトへの誘導に悪用されたと発表した。

　JNSがメールを誤送信して顧客メールアドレスが漏えいしたのは２日で、メール配信時に誤って、405名の顧客の名前、ユーザーID、メールアドレスが受取った人に表示される形で送信してしまった。JNSは当該顧客に謝罪と削除依頼のメールを送り、自社HPでも謝罪した。この間に、当該顧客の１人が同社HPに酷似したフィッシングサイトを作成。誤送信で入手した顧客のメールアドレスへ、JNSを装った偽メールを送り、フィッシングサイトに誘導して個人情報を入力させた。

　５日、JNSが金融庁と東海財務局に情報漏えいを報告後、偽メールとフィッシングサイトの存在が発覚し、JNSは自社HPに警告文を掲載。６日に愛知県警に相談して９日に告訴することとし、東海財務局へも被害状況と対応を説明した。当該顧客には改めて謝罪文を送付した。
　犯人はすでにフィッシングサイトを削除して謝罪文を掲載している。フィッシングサイトで騙し取った個人情報は完全削除したといい、事件については何か派手なことをやろうと思っただけで個人情報取得が目的ではないなどと記している。

（2005/12/09 ネットセキュリティニュース）

■ジェイ･エヌ･エスの発表文
・個人情報誤送信についてのご報告とお詫び[PDF]
http://www.jns-online.com/etc/images/kojin.pdf
・経過報告書[PDF]（ジェイ･エヌ･エス）
http://www.jns-online.com/etc/images/keika_12-5.pdf
・【重要】緊急のお知らせ[PDF]（ジェイ･エヌ･エス）
http://www.jns-online.com/etc/images/kinkyu_12-5.pdf
・経過報告書2[PDF]（ジェイ･エヌ･エス）
http://www.jns-online.com/etc/images/keika_12-6.pdf
・【重要】偽サイトについて（ジェイ･エヌ･エス）
http://www.jns-online.com/etc/dummy_web.html

　社会保険庁は５日、職員が国会議員やタレントらの年金個人情報を業務に関係なく閲覧していた問題について、昨年１年間で3,021人がのべ4,247件の年金情報を業務目的外で閲覧していたという報告をまとめた。閲覧した職員を停職も含めた処罰の対象としている。

　同庁は、昨年１月から12月までの間に個人情報の閲覧が可能だった全職員約２万8,000人（非常勤含む）について、オンライン通信履歴の記録をもとに調査した。その結果、業務外閲覧を行ったことを認めたものは1,574人、オンライン履歴が残っているが自分が閲覧したことを否定しているものは1,447人。閲覧対象は国会議員や著名人、友人や知人で、閲覧理由は大半の1,524人が「興味本位」と答えている。なかには１人で66回も閲覧したケースもあった。また、23人が閲覧した内容を他言したとし、そのうち３人は上司・同僚以外の第三者に漏えいしたという。

　処分は、最も軽いもので口頭での厳重注意、最も重いもので３か月間の減給１割。第三者に閲覧情報を漏えいしたものは免職または停職となっている。自分の閲覧行為を否定しているものも、情報にアクセスするための磁気カード管理が不十分だったとして処分対象とする。システム運用責任者や管理監督者も処分対象となる。

　同庁は昨年、小泉首相や福田元官房長官などについての業務外閲覧が判明したことで、同年５月に同庁内で「業務目的外閲覧行為禁止規定」を制定し、同年７月には監督者を含む493人を処分していた。このことから同年６～７月以降の閲覧については処分が重くなるという。

（2005/12/07 ネットセキュリティニュース）

■業務目的外閲覧行為の調査結果（報告）[PDF]（社会保険庁）
http://www.sia.go.jp/infom/press/houdou/2005/h051205.pdf

　不動産取引の長谷工アーベスト（本社：東京都港区）が運営する「マンション情報ネット」のアンケート受付専用サーバが外部から不正アクセスを受け、フィッシングサイトに利用されていたことが先月28日にわかった。

　同社は不正アクセス発覚後ただちにWebサーバーを外部から切断、「不正アクセス禁止法」違反の刑事事件に該当するとして、所轄の警察署に連絡した。当該Webサーバーには、9月15日～10月19日までに同社が実施したアンケートに回答した顧客の情報が保存されていたため、当該顧客へ書面で通知するとともに、情報セキュリティ専門の調査会社に依頼し、アクセスログ解析などの調査を開始した。

　調査の結果、今回の不正アクセスは、外国の金融機関をかたり、その金融機関の顧客の情報を不正に取得するために同社のサーバーを利用した、いわゆるフィッシング詐欺が目的であったことが判明したという。また、顧客の個人情報漏えいの可能性は極めて低いことも判明、同社は漏えいはなかったものと判断している。
　同社はこれを契機として、セキュリティ対策と情報取扱規準の見直しを行い、再発防止への取り組みを継続していくとしている。

（2005/12/06 ネットセキュリティニュース）

■長谷工アーベストの公表文
・弊社のサーバーへの不正アクセスについて
http://www.haseko-hub.co.jp/news/20051122.htm
・弊社サーバーへの不正アクセスに関する調査結果のご報告
http://www.haseko-hub.co.jp/news/20051128.htm

■セキュリティ関連ニュース
・笠岡市立図書館、不正アクセスによるフィッシングサイト化から復旧（2005/11/18）
・GoogleとYahoo!のフィッシングサイト出現　巧妙な手口に注意（2005/11/11）
・楽天市場の顧客情報流出事件、出店会社元社員を不正アクセスで逮捕（2005/10/28）
・三重県の掲示板が不正アクセスで閉鎖　あわやフィッシングサイトに（2005/07/29）

　情報処理推進機構（IPA）は２日、2005年11月のコンピュータウイルス・不正アクセスの届出状況を発表、今月の呼びかけとして、不審なファイルはまず拡張子を確認することを警告している。

　口座情報やパスワードの詐取などに使われるスパイウェアは、メールに添付して送られてくることが多い。うっかり添付ファイルを開くと感染してしまうが、開く前に「添付ファイルの拡張子を確認」すれば、不正プログラムかどうか判別できる。不正プログラムの拡張子は、通常のメールの使用ではほとんどやり取りすることのない「exe」であることが大半なので、添付ファイルの拡張子が「exe」だった場合は、ファイルを開かずにメールをすぐに削除することを勧めている。インターネットのWebサイトからダウンロードしたファイルを見分ける場合も同様に、拡張子を確認する方法が有効だ。

　しかし、Windows の初期設定では拡張子が表示されないので、表示する方法を紹介している。拡張子を表示するには「マイコンピュータ」か「エクスプローラ」のメニューバーから[ツール]－[フォルダオプション] を選択し、[登録されている拡張子は表示しない] のチェックを外せばよい。
　なお、ファイルの拡張子が「pif」や「zip」だったW32/Netsky.Qのように、「exe」以外の拡張子を実行ファイルの拡張子とするウイルスも存在するので、「exe」でない場合も心当たりのない添付ファイルは開かないよう警戒する必要がある。

　このほか、いわゆる「ワンクリック不正請求」に関する相談が、10月の108件から1.5倍以上にあたる165件となったとし、引き続き警戒を呼びかけている。ワンクリック不正請求に関する相談のうち8割以上が、スパイウェアなどの不正なプログラムを埋め込まれたケースだという。

（2005/12/05 ネットセキュリティニュース）

■コンピュータウイルス・不正アクセスの届出状況[11月分]について（IPA）
http://www.ipa.go.jp/security/txt/2005/12outline.html
■「W32/Netsky」ウイルスの亜種（Netsky.Q）に関する情報（IPA）
http://www.ipa.go.jp/security/topics/newvirus/netsky-q.html

■セキュリティ関連ニュース
・八千代銀行でもスパイウェア被害か、ネットバンキングで不正振込
・イーバンクの顧客がスパイウェア被害、預金を不正に振込（2005/07/04）
・スパイウェアによる不正振込被害、みずほ銀行とジャパンネット銀行でも（2005/07/06）

　インターネットオークションで、音楽CDや映像ソフト、ゲームソフトなどの海賊版やブランド模倣品等が出品されることが問題となっているが、そうした知的財産権を侵害する流通を防ぐ目的で、「インターネット知的財産権侵害品流通防止協議会」が１日、発足した。ヤフーなどのネットオークション事業者と、コンピュータソフトウェア著作権協会（ACCS）などの権利者・権利者団体が共同で設立したもの。

　オークションでの知的財産権を侵害する品物の流通に対し、これまでは権利者やオークション事業者が個々に対応してきたが、今後は連携して情報共有や対策にあたり、法整備などの提言にも共同で取り組んでいく。具体的には、「出品者の情報の開示制度」「出品停止活動の強化」「共同啓発活動の強化」の３点について検討を進め、2006年3月末までに協議会としての意見集約を目指すとしている。

　設立メンバーは、権利者・権利者団体からキヤノン、コンピュータソフトウェア著作権協会、日本国際映画著作権協会、日本動画協会、日本レコード協会、ホンダ（本田技研工業）、ユニオン・デ・ファブリカン。インターネットオークション事業者からアイ・オークションネット、ＷIＮ、ディー・エヌ・エー、ヤフー、ライブドア、楽天。オブザーバーとして警察庁、経済産業省、総務省、内閣官房知的財産戦略推進事務局、文化庁が参加し、当面はACCSとヤフーが幹事として会務の運営を担当する。

（2005/12/05 ネットセキュリティニュース）

■「インターネット知的財産権侵害品流通防止協議会」の設立について（ACCS）
http://www2.accsjp.or.jp/news/release051201.html

■セキュリティ関連ニュース
・Yahoo!オークションでアドビの海賊版販売、千葉の中国人男性を逮捕（2005/11/28）
・他人名義で海賊版ソフトをオークション販売、北海道千歳市の男逮捕（2005/10/28）
・Yahoo!オークションで海賊版ソフト販売、和歌山の会社役員逮捕（2005/09/28）
・Yahoo!オークション悪用の海賊版販売3件を摘発、1件に懲役10ヶ月の判決（2005/09/15）

　警視庁生活環境課は１日、東京都の知事指定薬物「5-MeO-MIPT」を販売目的で所持していたとして、東京都千代田区の男（30歳）を「東京都薬物の濫用防止に関する条例」違反で逮捕したと発表した。同条例での摘発は、今回が初めて。

　生活環境課によると、男は一昨年ごろから、インターネットのホームページで脱法ドラッグ入りのドリンク剤などを販売しており、先月１日、自宅に同成分を含有するドリンク剤など計43本を所持していたという。

　脱法ドラッグは、麻薬や覚せい剤などの法律で禁止されている成分とは異なるものの、同種の作用をもつ成分を含んでおり、健康被害や中毒などが社会問題化している。東京都では今年４月、全国に先駆けて脱法ドラッグを規制する条例を施行。これまでに４種類の成分を知事指定薬物に指定している。同種の条例があるのは東京都だけだが、厚生労働省では現在、薬事法を改正して規制していく方向で検討を進めている。

【5-MeO-MIPT】
　化学名『３－［２－（ジイソプロピルアミノ）エチル］－５－メトキシインドール』の通称。麻薬指定成分である「DMT」や「5-MeO-DIPT」と類似した化学構造をもつ、いわゆるデザイナーズドラッグ。本年６月から知事指定薬物に指定され、製造や販売、広告などの行為が禁止。違反者は、２年以下の懲役または100万円以下の罰金。

（2005/12/02 ネットセキュリティニュース）

■あぶないドラッグ～脱法ドラッグ対策～（東京都福祉保健局）
http://www.fukushihoken.metro.tokyo.jp/yakuji/kansi/datudora/top.html

■セキュリティ関連ニュース
・脱法ドラッグを研究用と称しネット販売～15製品中14製品から有害物質検出（2005/10/31）

　サン・マイクロシステムズ社が提供しているJavaランタイム環境（JRE：Java Runtime Environment）に３件の脆弱性が発見され、同社やセキュリティ企業が最新版へのアップデートを促している。
　同社が28日（現地時間）に公開した３件の脆弱性は、アプレットの特権昇格が行われるもので、不正なアプレットによって、ローカルファイルの操作やプログラムの実行などが行われる可能性がある。影響を受けるのは、Windows、Solaris、Linux版の1.3.1_15以前、1.4.2_08以前、5.0 Update 3以前のバージョンで、最新版ではいずれも修正されている。

　アプレットはブラウザがWebサイトからダウンロードし、ブラウザ内で実行するJavaで書かれたプログラム。JREは、それを実行するために必要なソフトウェアのこと。セキュリティ上、アプレットにはローカルファイルにアクセスできないなどの、さまざまな制限が課せられているが、特権昇格の脆弱性はアプレットに制限を超えることを許してしまう。

【解説：JREのバージョンチェック】
　Windowsのコマンドプロンプト（XPなら[スタートメニュー]→[すべてのプログラム]→[アクセサリ]）を開き、「java -fullversion」と入力して「Enter」キーを押すと、インストールされているJREのバージョンを確認することができる。
　「'java' は、内部コマンドまたは外部コマンド、操作可能なプログラムまたはバッチ ファイルとして認識されていません」と表示されたら、JREはインストールされていない。

（2005/12/01 ネットセキュリティニュース）

■サンの脆弱性報告（英文）
・#102017 Security Vulnerability With Java Management Extensions in the Java Runtime Environment may Allow Untrusted Applet to Elevate Privileges
http://sunsolve.sun.com/searchproxy/document.do?assetkey=1-26-102017-1
・#102003 Security Vulnerabilities in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Its Privileges
http://sunsolve.sun.com/searchproxy/document.do?assetkey=1-26-102003-1
・#102050 Security Vulnerability With Java Runtime Environment May Allow Untrusted Applet to Elevate Privileges
http://sunsolve.sun.com/searchproxy/document.do?assetkey=1-26-102050-1
■Java Runtime Environment(JRE)等の脆弱性について（警察庁）
http://www.cyberpolice.go.jp/important/2005/20051130_185131.html
■各バージョンの最新版
・1.3.1_16
http://java.sun.com/j2se/1.3/ja/download.html
・1.4.2_10
http://java.sun.com/j2se/1.4.2/ja/download.html
・5.0 Update 5
http://java.sun.com/j2se/1.5.0/ja/download.html

　アップルコンピュータは29日、Mac OS X 10.4.3（Tiger）と10.3.9（Panther）用のセキュリティアップデートを公開した。
　今回修正された脆弱性は、10コンポーネント13件。10.4.3 サーバ版13件（10コンポーネント）、クライアント版11件（8）、10.3.9サーバ版10件（7）、クライアント版8件（5）の修正が含まれているほか、一部機能が強化されたコンポーネントもあり、同社はすべてのユーザに適用を推奨している。

【修正される脆弱性】
Apache2：クロスサイトスクリプティングの脆弱性
apache_mod_ssl：SSLクライアント認証が迂回される脆弱性
CoreFoundation：細工されたURLでクラッシュやコードが実行される脆弱性
curl：NTLM認証でコードが実行される脆弱性
iodbcadmintool：ローカルユーザーの特権昇格が行われる脆弱性
OpenSSL：暗号化プロトコルにSSLv2が使用される脆弱性
passwordserver：Open Directoryでマスターサーバのローカルユーザーの特権昇格が行われる脆弱性
Safari：
　正規化処理でコードが実行される脆弱性
　ダウンロードファイルが指定したダウンロードディレクトリ以外に保存される脆弱性
　JavaScriptダイアログボックスに接続先が表示されない脆弱性
　細工されたWebKitアプリケーションでコードが実行される脆弱性
sudo：ローカルユーザーの特権昇格が行われる脆弱性
syslog：システムログのエントリーが偽造される脆弱性

（2005/12/01 ネットセキュリティニュース）