ネットセキュリティニュース

  Mozilla Japanは27日、脆弱性1件を修正したWebブラウザ「Firefox」の最新版「3.0.10」を公開した。最新版はMozilla Japanのウェブサイト、[ヘルプ] メニューの [ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手することができる。

　今回修正したのは、前バージョン「3.0.9」で行った脆弱性修正の影響で、新たに発生してしまったメモリ破壊の問題。「3.0.9」にアップデート後、閲覧中のページの文法などをチェックするFirefoxのアドオン「HTML Validator」を使ってページのソースを表示するとクラッシュするという報告があり、調査したところ、脆弱性の修正によって別の問題が発生していたことが判明した。

　当該脆弱性を悪用すると、任意のコードが実行されるおそれがあり、Mozilla Japanでは重要度「最高」の脆弱性として利用者にアップデートを促している。

（2009/04/30 ネットセキュリティニュース）

■Firefox 3.0.10（Mozilla Japan）
・ダウンロード
http://mozilla.jp/firefox/
・リリースノート
http://mozilla.jp/firefox/3.0.10/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.10

  メキシコを中心に猛威を振るっている新型インフルエンザだが、早速にこれに便乗したスパムが登場。コンピュータウイルスに感染させようとする、日本語のメールも出回っているらしい。

■国立感染症研究所を装うウイルスメール

　国立感染症研究所（東京都新宿区）は28日、同研究所の名をかたり、豚インフルエンザに便乗して添付ファイルを開かせようとする不審なメールが出回っているとして注意を呼び掛けた。

　同研究所によると、当該メールはYahoo!メールを使用し「豚インフルエンザに注意！」という件名で送信。「自分の身を守るために、豚インフルエンザに関する基礎知識を身につけましょう」などと言って、「ブタインフルエンザに関する知識.zip」と題した添付ファイルを開かせようとする。

　同研究所のウイルスチェックソフトウェアは、この添付ファイルを不正なプログラムとして検知しており、添付ファイルを開くとパソコンへの不正侵入やシステム破壊のおそれがあるという。同研究では、公的なお知らせはすべてWebサイト上で公開し、メールを用いたサービスは行っていないといい、このようなメールを受け取った場合には、添付ファイルを開かずに削除してほしいと呼びかけている。

　同様のウイルスメールは海外でも見つかっており、現地時間29日付のシマンテックのブログによれば、「Swine influenza frequently asked questions.pdf」（豚インフルエンザに関するよくある質問.pdf）というPDFファイルを開かせ、Adbe Readerの既知の脆弱性を突いて情報を盗み取るウイルスを仕掛けようとするらしい。

・「国立感染症研究所」を詐称したブタインフルエンザ関連メールにご注意ください（国立感染症研究所）
http://www.nih.go.jp/niid/misc/warning090428.html
・Malicious Code Authors Jump on the Swine Flu Bandwagon[英文]（Symantec）
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/268

■オンライン薬局も豚インフルエンザに便乗

　英文スパムで多いのが薬のオンライン販売だが、こちらも即座に豚インフルエンザ（Swine Flu）に便乗。相変わらずの迷惑なプローモーションを展開しており、トレンドマイクロやマカフィーが公式ブログで伝えている。

　編集部にも「豚インフルエンザから身を守れ」などという内容でリンクをクリックさせようとするメールが、27日から大量に舞い込んでいる。リンク先には複数のドメイン名が使われているが、いずれも中国の同じサーバーでホストされている薬の販売サイトへと誘導。豚インフルエンザとは全然関係のない、スパムでお馴染みのED薬の販売サイトだ。

　この手のサイトには偽薬の販売サイトも多く、同サイトでもバイアグラやシアリスなどと称してはいるが真贋は不明。個人情報やクレジットカード情報を入力するオーダーフォームは暗号化通信に対応しておらず、自称「セキュアオーダーフォーム」には大きな自作の錠マーク画像を表示するという、詐欺サイトにも通ずる怪しさ満点のサイトなのだ。

・Swine Flu Outbreak Hits The Web Through Spam[英文]（TrendLabs Malware Blog）
http://blog.trendmicro.com/swine-flu-outbreak-hits-the-web-through-spam/
・Swine Flu Spam[英文]（McAfee Avert Labs Blog）
http://www.avertlabs.com/research/blog/index.php/2009/04/27/swine-flue-spam/

（2009/04/30 ネットセキュリティニュース）

  ゴールデンウィーク中のセキュリティ対策について、情報処理推進機構セキュリティセンター（IPA/ISEC）やマイクロソフトが注意を呼びかけている。

　長期休暇中は、会社などでシステム管理者が不在になることも多く、ウイルス被害や、不正アクセス被害があった場合、被害範囲が拡大するおそれがある。もっとも有効な対策は自分が使っているパソコンの脆弱性を修正しておくことで、万一の場合も被害を最小にすることができる。

　・パソコンの OS（基本ソフト）を最新バージョンに更新する
　・ブラウザやメールソフトなども、最新バージョンに更新する
　・ウイルス対策ソフトを最新のパターンファイルに更新する
　・いざという時に備え、重要なデータはバックアップを取る

　とくに外出せず、自宅でネット三昧、ゲーム三昧という人も多いと思われるが、その場合も、自宅のパソコンについて上記の手当をしておけば安心だ。

　また、最近はUSBメモリーやメモリーカード、外付型ハードディスクなどの外部記憶メディアを介したウイルス感染が増えている。デジタルカメラで撮った画像データのやり取りなどにも十分に注意したい。以下は感染予防のための原則だ。

　・所有者のわからないメモリーをパソコンに接続しない
　・不特定多数が利用するパソコンにメモリーを接続しない
　・個人のメモリーを会社のパソコンに接続したり、会社のメモリーを自宅のパソコンに接続しない

　IPAは、ワンクリック不正請求についても警告している。サイト内の画像をクリックするだけで、勝手に入会登録をされて利用料金を請求されたり、パソコン使用時に料金請求画面が表示されたりするという相談が多く寄せられているという。対策としては、上記の基本対策（脆弱性の解消）にくわえ、「無視すること」が重要ポイントだ。

　・相手が示す「問合わせ先」には絶対に連絡しない（メールや電話をしない）
　・お金は絶対に振り込まない

　「IP アドレス」「利用プロバイダ名」などから個人の特定はできないのに、相手はこれらを示してターゲットの個人情報を知っているかのようにふるまう。慌てた人が「問い合わせ先」にメールや電話で連絡すると、そこで電話番号やメールアドレスがわかり、個人が特定されてしまうおそれがある。
　IPAはワンクリック不正請求を受けた場合の対応方法について詳説ページを設けているので、万一の場合は下欄を参照されたい。

（2009/04/28 ネットセキュリティニュース）

■ 【注意喚起】ゴールデンウィーク前に対策を（IPA/ISEC）
http://www.ipa.go.jp/security/topics/alert20090423.html
■クリックしただけで料金請求された場合の対応方法について（IPA/ISEC）
http://www.ipa.go.jp/security/ciadr/oneclick.html
■長期休暇の前にセキュリティ対策のお願い（マイクロソフト）
http://www.microsoft.com/japan/security/vacation.mspx

  総務省は22日、特定電子メール法（特定電子メールの送信の適正化等に関する法律）に違反したとして、出会い系サイトの宣伝メールを送信した個人事業者に対し、メール送信の改善を命じる措置命令を行ったと発表した。昨年12月1日に改正法が施行されて以降、初めての命令となる。

　同法の改正法（昨年6月公布、同12月施行）では、オプトイン規制（受信者の同意を得ないで広告宣伝メールを送信することを原則禁止とする）の導入が行われている。今回措置命令を受けた業者は、このオプトイン規制に違反したもの。

　同省の発表によると、業者は「ガット」と称する出会い系サイトを運営しており、少なくとも昨年12月1日から今年4月6日までの間、出会い系サイトの広告・宣伝を行うメールを、受信者の同意を得ずに送信していた。

　業者はサイト運営やスパム送付等は矢澤誠一名で行っており、出会い系サイトは国内サーバーで同名義でIPアドレスを取得。スパム配信も国内から行っていた。 オプトイン規制は、特定商取引法の改正にも盛り込まれており（昨年6月公布、同12月施行）、これまでに2件の改善指示が経済産業省から出されている。

（2009/04/27 ネットセキュリティニュース）

■特定電子メール法違反者に対する措置命令の実施（総務省）
http://www.soumu.go.jp/menu_news/s-news/02kiban08_000010.html
■迷惑メール対策（総務省）
http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/m_mail.html

  国内のWebサイトが次々に改ざんされ、ウイルス感染を狙った悪質なJavaScriptが埋め込まれた問題で、新たにホビコンの公式サイトも同じ手口で改ざんされていたことが、編集部の調べで分かった。また、薬事日報社の報告により、一連の改ざんの手口も明らかとなった。

■ホビコン公式サイトも改ざん

　5月に東京ビッグサイトで開催を予定している総合ホビー展示即売会「ホビコン」の公式サイト（事務局：東京都港区）も改ざんされ、22日に一時閉鎖。23日に安全が確認されたページから順次再開するとともに、21～22日にアクセスしたユーザーに対しウイルスチェックを行うよう呼び掛けている。

　編集部の調べでは、ラトビアの攻撃サイトに仕掛けたコードを実行するJavaScriptが、21日の時点で埋め込まれており、同サイトもまた一連のサイト改ざんと同じ被害を受けたもようだ。

　既報の薬事日報のサイト改ざん記事では、攻撃サイトから取得した攻撃コードをVirusTotalにかけた結果を示し、攻撃サイトのコードが頻繁に更新されているためウイルス対策ソフトの対応が追い付かない状況をお知らせした。この時に取得していた攻撃コードは、ちょうどホビコン公式サイトが改ざんされていた時期と一致する。

　攻撃サイトで最初に実行される「jquery.js」は、21日時点では2/40（40のアンチウイルスエンジンのうち2エンジンが検知）、22日は4/40。最終的に実行される実行ファイル（EXE）は、21日時点では6/40、22日には11/39という結果だった。古いバージョンのAdobe ReaderやFlash Playerを使用している場合には、脆弱性を突いてこの実行ファイルが自動的に実行され、通信を監視してパスワードなどの機密情報を盗み取るトロイの木馬が仕掛けられた可能性がある。

（2009/04/24 ネットセキュリティニュース）

■ホビコン公式WEBサイトをご覧になっている皆様へ（HOBBY COMPLEX公式サイト）
http://hobbycomplex.com/

【参考：編集部が取得した実行ファイルの現在の検出状況】
・21日取得分（VirusTotal）
http://www.virustotal.com/jp/analisis/352014db0b6ed1ae521e613cdb442da8
・14日取得分（VirusTotal）
http://www.virustotal.com/jp/analisis/34fe23b3ebcb7c525ae23a4468adc9a4

  17日に改ざん被害を受けた薬事日報社（本社：東京都千代田区）は22日、不正アクセスの調査結果を公表。翌23日には、同サイトにアクセスしてウイルスに感染した場合の症状などについての詳細を発表した。
　内外のブログや掲示板などで、これまでに断片的に報告されていたものを総括する内容で、国内大手の被害サイト自らが、まとまった形で状況を説明するのはこれが初めて。

■明らかになった手口～ウイルスがPWを盗み、連携サーバーが自動侵入・改ざん

　同社の調査によると、サイトを管理していた社内のパソコン1台がウイルスに感染し、ウイルスがFTP通信を監視して設定情報を外部のサーバーに送信。その情報をもとに外部サーバーが同社サイトにアクセスし、サイト内のhtml、php、jsなどのWeb関連ファイルの一部をダウンロード。不正なスクリプトを挿入した後、同社サイトにアップロードしていたと推測。これら工程は、自動で行われていたという。

　サイト改ざんには、SQLインジェクションに代表されるWebサーバの脆弱性を突いてデータベースにSCRIPTタグを埋め込む手口。侵入して直接書き換える手口。ウイルスがパソコン内にあるhtmlファイルなどを改ざんし、アップロードされるのを待つ手口などがあったが、ウイルスがFTPのパスワードなどを盗み取り、それと連携するサーバーが自動で侵入・改ざんを行うという手口は目新しい。

■ウイルス感染が生む新たなサイト改ざん

　17日午前6時から午後7時半の間に同社サイトを閲覧し、ウイルスに感染してしまった場合には、sqlsodbc.chm（Windowsコンポーネントのヘルプファイルのひとつ）が改変され、コマンドプロンプト（cmd.exe）とレジストリエディタ（regedit.exe）が起動不能に。Internet Explorerの動きは著しく不安定になるという。そしておそらくは、感染パソコンのFTP通信を監視して設定情報を盗み取り、設定情報を取得したWebサーバを改ざんするのではないかと同社は見ている。
　ウイルスに感染してしまうと、今度は感染者の管理サイトが改ざんされるおそれがあり、改ざんと感染の連鎖が無限に広がって行く可能性があるのだ。

　SQLインジェクションでは、数千、数万という大量のサイトが一気に改ざんされる一方、埋め込みに失敗する例も多く、良くも悪くも派手だった。今回のサイト改ざんは、確実に有効なスクリプトを埋め込みながら少しずつ数を増やしており、手口の違いが反映されたものと思われる。

　同社では、ウイルス感染が否定できない社内のパソコンについては、OSのクリーンインストール（初期状態に戻す入れ直し）を実施。Webサーバも変更し、運営体制の見直しも行ったとしている。一部のセキュリティベンダーやセキュリティ関係の掲示板などでも、同様のアドバイスが示されており、感染したり管理サイトが改ざんされた場合には、使用しているパソコンのクリーン化とサイトの安全確認、FTPのパスワード変更を促している。

　今回のサイト改ざんでも、いくつかのサイトが復旧直後に再び改ざんされるという事態を招いている。情報が少なかったこともあるが、十分な原因究明と適切な措置をとっていれば、そのような事にはならなかったのではないだろうか。
　セキュリティベンダーの情報提供すら少ない中、同社が有用な対策を明示してくれた意義は大きい。

（2009/04/24 ネットセキュリティニュース）

■薬事日報ウェブサイト運用の再開について（薬事日報）
http://www.yakuji.co.jp/?p=7
■本件コンピュータウイルスに感染した場合の症状と対策について（薬事日報）
http://www.yakuji.co.jp/?p=16

  攻撃サイトでは、閲覧者のパソコン上で悪質なプログラムが自動的に実行されるように、「Adbe Reader」や「Flash Player」の既知の脆弱性を悪用している。言い換えれば、脆弱性が修正された最新版を使用していれば、自動実行を回避してウイルス感染を防げるのだ。

・Adbe Readerの脆弱性修正を
　Adbe Readerの最新版（9.1/8.1.3）は、同ソフトの「ヘルプ」から「アップデートの有無をチェック」を実行すると入手できる。現在使用中のAdobe Readerのバージョンは、「ヘルプ」メニューの「Adobe Reader 9 について」または「Adobe Reader 8 について」で確認できる。

・Flash Playerの脆弱性修正を
　Flash Playerの最新版（10.0.22.87/9.0.159.0）は、同社のサイトからダウンロードできる。現在インストールされているバージョンは「Flash Player のバージョンテスト」ページで確認できる。

・システムとすべてのソフトウェアを最新状態に
　攻撃者が手法を変えてくるかも知れないので、Microsoft Updateによるシステムの脆弱性解消をはじめ、インストールされているソフトウェアをひととおりチェックし、最新の状態になっているかどうかを確認しておきたい。

・JavaScript無効化、IPアドレスのブロックも有効
　今回の攻撃では、JavaScriptの無効化やプラグインの無効化、IPアドレス「94.247.2.0」から「94.247.3.255」までのブロックも有効な回避策。ウイルス対策ソフトをインストールし、定義ファイルを常に最新の状態にしておくことも重要だ。

（2009/04/24 ネットセキュリティニュース）

■Adobe Readerのダウンロード（アドビシステムズ）
http://www.adobe.com/jp/products/acrobat/readstep2.html
■Flash Playerのダウンロード
http://www.adobe.com/go/getflashplayer_jp
■Flash Playerのバージョンテスト
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■Microsoft Update
http://windowsupdate.microsoft.com/

【ウイルス情報】
・Malware Manipulating Google SERPs[英文]（ScanSafe STAT Blog）
http://blog.scansafe.com/journal/2009/4/14/malware-manipulating-google-serps.htm

  Mozilla Japanは21日、Webブラウザ「Firefox」の最新版「3.0.9」を公開した。重要度「最高」1件を含む9件の脆弱性を修正している。最新版は、Mozilla Japanのウェブサイト、または[ヘルプ]メニューの[ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手することができる。

　重要度「最高」の脆弱性1件は、ブラウザエンジンとJavaScriptエンジンでメモリ破壊が起きる問題で、任意のコードが実行されるおそれがあった。各エンジンそれぞれ2件ずつ修正されており、うち各1件ずつはFirefox 2にも影響。Firefox 2のエンジンを使用している電子メールソフトThunderbirdも影響を受ける。

　このほか、セキュリティの制限を超えた情報アクセスやスクリプト実行などにつながる問題など、重要度「高」の脆弱性2件、「中」の脆弱性2件、「低」の脆弱性4件が修正されている。

　Thunderbirdには、前記の「最高」を含む6件が影響する。準備が整いしだい、これらの修正を盛り込んだ最新版「2.0.0.22」のリリースが予定されている。

　セキュリティ問題のほかに、保存された Cookie が失われる問題や、AOLなどのWebメールサービスで文中に挿入された画像が表示されない問題、巨大なフォームの送信に長い時間がかかる問題、特定状況下で新しく開かれたウィンドウに適切にフォーカスが移らない問題などが修正されている。

（2009/04/23 ネットセキュリティニュース）

■Firefox 3.0.9
・ダウンロード（Mozilla Japan）
http://mozilla.jp/firefox/all
・Firefox 3.0.9リリースノート（Mozilla Japan）
http://mozilla.jp/firefox/3.0.9/releasenotes/
■Firefox 3.0セキュリティアドバイザリ（Mozilla Japan）
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html

  医薬品の情報誌などを発行している薬事日報社（本社：東京都千代田区）は20日、同社のウェブサイトが不正アクセスを受けて改ざんされたと発表した。このため17日からサイト運用を停止していたが、22日現在、安全確認を終えたものから順次再開するとしている。

　今月に入り、多数のサイトが不正アクセスを受けてスクリプトタグを埋め込まれる被害が相次いでおり、同サイトも同様の被害を受けたもようだ。

　発表によると、サイトが改ざんされた状態で公開されていたのは、17日午前6時から午後7時30分の間で、その時間帯に同サイトを閲覧していた場合、PCがウイルスに感染したおそれがある。

　改ざんされたサイトには不正なスクリプトタグが埋め込まれており、サイトを閲覧すると攻撃サイト（ラトビアのIPアドレス「94.247.2.195」）に誘導される。

　セキュリティベンダーのScanSafeによると、ラトビアのサイトのスクリプトは、「Adbe Reader」と「FlashPlayer」と「MDAC」（Windowsのデータベースを使用するためのコアコンポーネント集）の脆弱性を突いて、「iexplorer.exe」というプログラムとバッチファイルをPCに送り込み、インストールしようとする。

　送り込まれたEXEファイルはリネーム/コピーされ、サウンドドライバとしてシステムに登録される。そのため、音が鳴るアプリケーションを立ち上げると、インストールされたプログラムがロードされてしまう。プログラムがロードされると、ブラウザの通信を監視してアカウントや機密情報を盗み取ることができるようになる。また、Googleの検索結果を改ざんし、アフィリエイトのリンクを置き換えるので、不正なアフィリエイトのクリックをさせられるおそれもある。

　編集部では、攻撃サイトからPDF、SWF、EXEファイルを取得。これらをVirusTotalにかけたところ、21日午前中の時点で、PDFファイルの検知率は1/39（39のアンチウイルスエンジンのうち、1エンジンしか検知できない）、SWFファイルの検知率は4/40、EXEファイルでは6/40、「jquery.js」では2/40という結果だった。攻撃サイトのファイルが更新されているため、ウイルス対策ソフトの対応が追い付かない状況だ。

　下記の「関連記事」と重複するが、現在、ユーザーがとれる対策としては、(1)Adobe ReaderとFlash Playerを最新版にする、(2)ウイルス対策ソフトの定義ファイルを更新する、(3)Javascriptを無効にする、(4)IPアドレス「94.247.2.0」から「94.247.3.255」までをブロックする、という4つがあげられる。

　今回の不正アクセスによるサイト改ざんの手口については、「関連記事」の「多数サイトが改ざん(2)」を参考にしてもらいたい。

（2009/04/22 ネットセキュリティニュース）

■薬事日報ウェブサイト停止に関するお詫びとお知らせ（薬事日報）
http://www.yakuji.co.jp/
■・Malware Manipulating Google SERPs[英文]（ScanSafe STAT Blog）
http://blog.scansafe.com/journal/2009/4/14/malware-manipulating-google-serps.html

  福岡県警生活経済課と福岡筑紫野署は20日、携帯向けレンタル掲示板を開設し権利者に無断で楽曲を配信したとして、大阪産業大学2年の男（兵庫県宝塚市、20歳）を著作権法違反容疑（公衆送信権および送信可能化権の侵害）で逮捕した。

　調べによると、男は19歳だった昨年12月から今年1月にかけて、掲示板上にアンジェラ・アキさんらの楽曲3曲を掲載し、無料でダウンロードできる状態にした疑い。

　男は携帯電話向けレンタル掲示板「ワンタッチBBS」を利用して「MP3変換所」という名前の掲示板を開設。掲示板には「3g2の曲をMP3に変換します（別の形式も変換します）」などと記載し、一般ユーザーのリクエストに応えて曲のフォーマット変換をしていた。また、「DOM（※注1）は絶対にしないで下さい」とも記載しており、自分が曲をアップロードするだけでなく、一般ユーザーにも曲の投稿を促していたことがうかがえる。

　携帯電話向けの音楽の違法配信では、2007年に初の逮捕者が出ている。また、昨年10月には「着うたフル」違法配信で国内最大級の携帯サイト運営者らが逮捕され、同11月には「違法着うた」の配信で、レンタルHPサービスの管理者が著作権違反のほう助容疑で逮捕されている。

（2009/04/22 ネットセキュリティニュース）

■携帯向けレンタル掲示板における違法音楽配信に関して
掲示板管理人を著作権法違反の疑いで逮捕（JASRAC）
http://www.jasrac.or.jp/release/09/04_1.html

  コンピュータソフトウェア著作権協会(ACCS)と日本レコード協会（RIAJ）、日本国際映画著作権協会（JIMCA）は17日、全国の大学と高等専門学校に対し、ファイル共有ソフトの利用について、学生に適切な指導をするよう求める要請文と、注意喚起のリーフレットを送付すると発表した。

　ACCSとRIAJ、JIMCAは毎年ファイル共有ソフトの利用実態調査を行っているが、2008年9月の調査では、ファイル共有ソフトを現在利用している人が全体の10.3％となり、2002年の調査開始以来はじめて1割を超えた。また、同時期に行われたクローリング調査（*1）では、共有されていたファイルのうち著作物と推測されるものがWinny（ウィニー）では47.6％、Share（シェア）では55.5％、Limewire（ライムワイヤー）やCabos（カボス）などでは80.3％という結果だった。

　この調査結果を受け、3協会は協力して対策に取り組むことを決定。その最初の活動として今回の要請文の送付を行う。要請文の送付先は、全国の大学と高等専門学校810校（2445学部）で、15日より順次発送される。注意喚起リーフレットはファイル共有ソフトの利用はリスクが高いことを訴えたもので、学生に利用を止めるよう呼びかける内容となっている。
　また、要請文とリーフレット送付後は、流通する情報を自動収集、分析する「P2Pファインダー」を使ったクローリング調査を行い、ファイル共有ソフトへのアクセスが確認された大学、高専に対してさらなる注意喚起や具体的な対策を求める予定という。

　ファイル共有ソフトは著作権問題のほかにもウイルス感染による情報流出などの危険性をはらんでおり、業務情報や個人情報の流出が社会問題になっている。

*1）クローリング調査：ファイル共有ソフトのネットワークをたどりながら、公開されているファイルの情報を取得していく調査。

（2009/04/20 ネットセキュリティニュース）

■全国の大学・高専にファイル共有ソフトに関する要請文を送付
・コンピュータソフトウェア著作権協会(ACCS)
http://www2.accsjp.or.jp/activities/2009/news88.php
・日本レコード協会（RIAJ）
http://www.riaj.or.jp/release/2009/pr090417.html
・日本国際映画著作権協会(JIMCA)
http://www.jimca.co.jp/info/index.html

  UFJカードをかたる不審な英文メールが確認されたとして、三菱UFJフィナンシャル・グループと三菱UFJニコスが14日、注意を呼びかけた。メールは英文だが、メール内のリンクをクリックすると日本語のフィッシングサイトへ誘導される。フィッシングサイトは17日午前の段階でまだ稼働中で、注意が必要だ。

　フィッシングメールの件名は「UFJ Card ( Mitsubishi UFJ Financial Group )」で、差出人は「”UFJ Card ( Mitsubishi UFJ Financial Group )”」。本文には英語で「アカウントが重複していたので閉鎖する。回復するためには個人情報の入力が必要だ」などと書かれ、英文であることを正当化しようと「This message was sent in english because a large number of our customers are not from Japan.」とも書いてある。
　メール内のリンクをクリックすると、カード番号、確認コード、暗証番号、有効期限の入力欄がある偽サイトが開き、こちらは日本語で書いてある。偽サイトは、UFJカードのサイトで実際に使われている入力フォームの一部分をコピーしたものとみられる。

　三菱UFJフィナンシャル・グループと三菱UFJニコスでは、顧客の個人情報をメールで問い合わせたり回答を依頼することはないとし、このようなメールを受信した場合には、決してURLをクリックせずにメールを削除してほしいとしている。

　セキュリティ企業のエフセキュアが13日に公開したインターネットの安全性に関する年次調査の結果によると、日本人でフィッシング詐欺を見抜く自信があると答えた人は22.5％で、調査が行われた8か国中最低だった。フィッシングメールやサイトでは英語が使われることが圧倒的に多いため、「これまでに遭遇したことがないから見分けられるかどうかわからない、不安だ」という人が多いことも考えられる。

　現状では、今回のケースもそうだが、英語のメールを読まない人は大部分のフィッシング詐欺を回避できる。ただし、日本語を使ったフィッシングメールやサイトも数は少ないながら見つかっている。当編集部では今年に入ってから、国内のブランドをかたったフィッシングサイトを9件観測している。Yahoo!JAPANをかたっていたのが6件、シティバンクをかたっていたのが2件、そしてUFJカードをかたった今回の1件だ。

　対策としてまず、個人情報の入力を要求するメールは無視しよう。また、少数の例外はあるものの、ほとんどのフィッシング詐欺はSSLが有効かどうかを確かめることで回避できる。個人情報を入力する時は、サイトのURLが「https://」で始まっていることと、ブラウザに錠マークが表示されていることの両方を確かめたい。

（2009/04/17 ネットセキュリティニュース）

■「UFJ Card」を名乗る不審な英文メールにご注意ください（三菱フィナンシャル・グループ）
http://www.mufg.jp/caution/fake26.html
■当社類似名称を名乗るEメールにご注意ください（三菱UFJニコス）
http://www.cr.mufg.jp/info/2009/090414_01.html■ 9カ国を対象にオンラインセキュリティに関する意識調査を実施（エフセキュア）
http://www.f-secure.co.jp/news/200904131/

  大分労働局、土岐市、国土交通省のホームページが不正アクセスを受けていたことが相次いで発覚した。残された署名などから、それぞれ異なるクラッカー（ハッカー）グループから不正アクセスを受けたとみられる。

■大分労働局HPに不正アクセス、データは漏えいせず

　厚生労働省は14日、同省大分労働局のホームページが不正アクセスを受けていたことを明らかにした。同省では13日午後1時30分頃、内閣官房情報セキュリティセンターより連絡を受け事態を把握。大分労働局では7日午後2時頃に不正アクセスを把握していたものの、同省に連絡をしていなかった。
　同省では、保有するデータの改ざんや漏えいは認められていないとしているが、ホームページの「トピックス」部分に「Hacked by Ashiyane Digital Security Team」という不正なトピックスが追加され、イランの地図や「We Love Iran」などの文字が表示される状態となっていた。実行者はイランのクラッカーグループ「Ashiyane Digital Security Team」を名乗っている。同ホームページは13日から運用が停止されている。
・大分労働局ホームページへの不正アクセスについて（厚生労働省）
http://www.mhlw.go.jp/houdou/2009/04/h0414-2.html

■土岐市HP、不正アクセスを受け改ざん

　岐阜県土岐市は13日、同市のホームページが不正アクセスを受け、トップページを改ざんされていたことを明らかにした。同市によると、11日午前1時25分から12日午前10時50分までの間、トップページを表示しようとすると不正なページが表示されるようになっていた。
　利用者からの電話連絡で発覚したもので、調査の結果、サーバーに不正な「index.html」を書きこまれていたことがわかった。実行者はブラジルのクラッカーグループ「Fatal Error Group」を名乗っている。改ざん後のトップページ閲覧数は268件。書きこまれた「index.html」では、別サイトへの誘導や不正プログラムの埋め込み、ウイルス等は確認されなかった。
・(お詫び)土岐市ホームページのトップページの改ざんについて（土岐市）
http://www.city.toki.lg.jp/wcore/hp/page000004900/hpg000004810.htm

■国交省「調達情報公開システム」、不正アクセス受けHP改ざん

　国土交通省は13日、同省ホームページの「調達情報公開システム」が不正アクセスを受けて改ざんされていたことを明らかにした。同システムのトップページにアクセスすると、中国国旗と「Remember History,Or you will be ashes!!!」という文字が表示され、ブラウザの設定によっては中国国歌が流れるようになっていた。実行者は「Chinese Hacker Team:No.8 army」と名乗っている。
　11日午後6時30分頃、内閣官房情報セキュリティセンターが改ざんを発見。同日午前10時頃から午後0時30分頃までの間に改ざんされたとみられている。同省では12日午後1時20分頃から当該サーバーを停止し、調査を行っている。13日の時点では、ウイルスは検知されていないという。
・調達情報公開システムにおけるWeb改ざんについて（国土交通省）
http://www.mlit.go.jp/report/press/kanbo05_hh_000026.html

（2009/04/16 ネットセキュリティニュース）

  マイクロソフトは15日、4月度の月例セキュリティパッチを公開した。公開されたセキュリティプログラムは、最も深刻な「緊急」5件を含む8件。Windows、Office、Internet Explorer、Forefront Edge Securityが影響を受ける。

　Office 2000とExcel 2000用のパッチはMicrosoft Updateではダウンロードされないので、注意が必要。パッチを適用するためには、Office Updateを実行する必要がある。

【更新プログラムの内容】
［緊急］
・ワードパッドとOfficeテキストコンバーター：リモートでコードが実行される脆弱性
・Windows HTTPサービス：リモートでコードが実行される脆弱性
・DirectShow：リモートでコードが実行される脆弱性
・IE用累積パッチ：リモートでコードが実行される脆弱性
・Excel：リモートでコードが実行される脆弱性

［重要］
・Windows：特権が昇格される脆弱性
・ISA ServerとForefront Threat Management Gateway：サービス拒否が起こる脆弱性

［警告］
・SearchPathの複合的脅威：特権が昇格される脆弱性

　パッチが[緊急]扱いの「ワードパッドとOfficeテキストコンバーター」の脆弱性と、「Excel」の脆弱性については、すでに悪用する攻撃が確認されている。パッチを速やかに適用するようお勧めする。

　このほか、新たにWaledacに対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開された。

（2009/04/15 ネットセキュリティニュース）

■マイクロソフト セキュリティ ホーム（マイクロソフト）
http://www.microsoft.com/japan/security/default.mspx
■2009年4月のセキュリティ情報（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/ms09-apr.mspx
■Microsoft Update
http://windowsupdate.microsoft.com/
■Office Update
http://office.microsoft.com/ja-jp/downloads/default.aspx

  中古PCやPCのパーツを扱う通販ショップ「GENO」は7日、同サイトが4日と7日の2度にわたって改ざんされ、一部のプログラムに不具合が生じていたと発表した。不正アクセスを受けてサイトにスクリプトタグを埋め込まれたもので、同サイトを閲覧していた場合、PCがウイルスに感染しているおそれがある。
　同様の改ざん被害を受けたサイトは複数あり、編集部では「GENO」のほかに3つのサイトが改ざんされていたことを確認している。またネット上では、ほかにも複数のサイトが改ざんされているとの報告がある。

■多数サイトが改ざん～「JUICY ROCK」「puppine」「日本クレストロン」ほか

　当編集部で「GENO」のほかに改ざんを確認した3つのサイトは次の通り。アクセサリーショップ「JUICY ROCK」のサイト（4日に改ざん）、ペットやファッション情報のWebマガジン「puppine」のサイト（7日に改ざん）、住居・施設等のオートメーションシステムを扱う「日本クレストロン」のサイト（7日に改ざん）。これらサイトは現在、修復済みとなっている。

　このほかにネット上で改ざんが報告され、サイトに障害が発生していたことを告知しているのは、クラシック音楽レーベル「NAXOS JAPAN」と、激辛ソースの通販ショップ「WDSC/ワールドデスソースセンター」のサイト。化粧品通販「あいぃな」のサイトについても改ざんされていたとの指摘があるが、今のところ告知はない。

■サイト改ざん後の対応～ずさんさ目立つアクセス制限と告知

　サイトが改ざんされた後にサイト運営各社がとった対応は、事態についてまったく告知しない、障害が発生したことのみ告知する、ウイルス感染のおそれがあることを知らせてウイルスチェックを呼びかけるなどさまざまだった。残念ながら、ずんさな対応が目立ったと言わざるを得ない。

　「GENO」は改ざんに気付いた後、トップページをメンテナンス中にしただけで、階層下のページはそのまま生きた状態にしていた。通販サイトの性格上、同サイトを訪れる人の中には、他サイトに掲載されている広告や、一般ユーザーがブログなどに張ったリンクをたどってくる人がいることは予測できたはずだ。このようにリンクをたどって放置された改ざんページにアクセスし、ウイルスに感染した人もいた可能性がある。また、短縮URLを使って改ざんページにアクセスさせようとするいたずらも発生している。

　さらに、同社がサイトの修復を終えて7日に行った告知では、ウイルス感染のおそれがあることに全く触れておらず、キャッシュの削除を要請しているだけだ。確かにキャッシュを削除することによって、再閲覧時に再感染がおきることは防げる。しかし、これだけでは不十分。閲覧者にウイルスチェックを行うよう勧めるべきだった。

　また「JUICY ROCK」も、楽天店で短時間、サーバーに障害が発生したことを告知したのみで、ウイルス感染のおそれについてはまったく知らせていない。

（2009/04/13 ネットセキュリティニュース）

■今回のサーバートラブルについてのお詫び（GENO）
http://www.geno.co.jp/webshop/okyakusama.html
■お詫び（NAXOS）
http://www.naxos.co.jp/main_topframe.htm
■WDSC/ワールドデスソースセンターからのお知らせ（WDSC）
http://death-sauce.jp/
■当社サイトにて掲載した広告のリンク先ページにおけるウイルス感染について　ご報告と対処のお願い（ITmedia）
http://corp.itmedia.co.jp/corp/notice/20090407.html
■【重要】ECナビの掲載広告にて発生したリンク先ページのウイルス感染について（ECナビ）
http://ecnavi.jp/help/information/info/221/

  前掲の「多数サイトが改ざん(1)」中に述べたように、PC関連通販ショップ「GENO」ほか複数のサイトが不正アクセスを受け、スクリプトタグを埋め込まれる改ざん攻撃を受けており、これらのサイトを閲覧していた場合、PCがウイルスに感染しているおそれがある。
　一連のサイト改ざんの目的は、攻撃サイト「94.247.2.195」に置かれている「jquery.js」を実行させることで、「94.247.2.195」はラトビアのIPアドレス。この「jquery.js」が実行されると、複数の攻撃ファイルがPCに送りこまれてしまう。

■低いアンチウイルスエンジンの検知率

　12日深夜の時点では、当該サイトから攻撃ファイルが落ちてこない状態となっていたが、13日昼の時点では再び攻撃ファイルが落ちてきており、編集部ではPDF、SWF、EXEファイルを取得。これらをVirusTotalにかけたところ、PDFファイルの検知率は6/40（40のアンチウイルスエンジンのうち、6エンジンしか検知できないということ）、SWFファイルの検知率は2/40、EXEファイルでは3/39だった。「jquery.js」では、11/40となっている。

■狙われた「Adobe Reader」と「Adobe Flash Player」の脆弱性

　上記のPDFファイルとSWFファイルは、それぞれAdobe ReaderとAdobe Flash Playerの脆弱性を突き、別の悪質なファイルをダウンロードしようとするものだ。最終的に何が起こるのか、どの脆弱性が悪用されるのかという点についてはセキュリティベンダーの報告を待ちたいのだが、対応が遅れ気味で情報がなかなか出てこないのが現状だ。
　ネット上では、Windowsの正規ファイルが上書きされた、cmdやregeditが起動できなくなった、特定のサイトに接続できなくなった、Adobeが頻繁に更新を要求してくる、CPUの稼働率が高くなるなどの症状が報告されている。

■ユーザーがとれる対策

　ユーザーがとれる対策としては、Adobe ReaderとFlash Playerを最新版にすること、ウイルス対策ソフトの定義ファイルを更新すること、Javascriptを無効にすること、IPアドレス「94.247.2.0」から「94.247.3.255」までをブロックすることがあげられる。Adobe ReaderとFlash Playerの最新版およびアップデートについての情報は、「関連記事」を参照していただきたい。

*　*　*

　今回の改ざんでは、猛威をふるった「SQLインジェクションでスクリプトタグをレコードに埋め込む」手口とは異なる、新しい手口が使われている。スクリプトタグが、ページのヘッダとボディの間に埋め込まれていたり、ロードするJavaScriptファイルに埋め込まれるなどしているのだ。SQLインジェクションによる改ざんでしばしば見られた、埋め込みの失敗（文字列がテキスト状態となってJavaScriptとして無効となる）も発生していない。また、難読化と不安定化が図られており、ストレートにスクリプトタグが埋め込まれていたSQLインジェクションによる改ざんに比べ、改ざんを見つけにくくなっている。

　トレンドマイクロは今回の一連の改ざんに関して6日午前、「TROJ_GENOME.BK」という名前のシグネチャを作成したが、誤警告が発生。同社は同日夜、最新のパターンファイルを使用して再度検出を確認するよう呼びかけた。

（2009/04/13 ネットセキュリティニュース）

■TROJ_GENOME.BK　誤警告の告知（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_GENOME.BK

  大阪府警生活安全総務課などは9日、インターネットを介してわいせつ行為を有料で閲覧させていたライブチャットサイトを2月10日に摘発し、サイト運営責任者や出演女性ら17人を逮捕、送検したと発表した。

　ライブチャットとは、サイトに登録した女性（チャットレディ、パフォーマーなどと呼ぶ）の自宅にWebカメラを置いて行うビデオチャットのことで、映像を見せながら音声やテキストで客とやり取りをする。アダルト系のサイトでは、チャットレディが客の指示に従って裸を見せるなどする。

　摘発されたサイトは「ライブチャットViVi」。これまでに公然わいせつ容疑でサイト運営会社の男性社員（40歳）や出演女性ら6人が逮捕・送検され、11人が書類送検されている。大阪府警によると、男性社員らは昨年10月から今年1月にかけ、チャットレディの主婦らにわいせつな行為を自宅で行わせ、撮影した画像を不特定多数の男性会員に有料で閲覧させた疑い。

　大阪府警によると、同サイトには3万4000名の会員がおり、昨年1年間で約8億7000万円の売り上げがあった。同サイトでは「簡単・安心のアルバイト」「高収入」などとしてチャットレディを募集。女性8500名が登録していた。2月10日夜にサイトが突然止まった際には、ネット掲示板に「これまでの報酬はもらえるのか」「個人情報や、振込先口座の情報が漏れないか」といったチャットレディからの書き込みがあった。

　「ライブチャットViVi」の跡地には現在、「このサイトの運営会社の責任者及び出演女性が、公然わいせつ罪で逮捕されました。このようなサイトを利用することは、犯罪を助長することになりますので、利用しないでください。また、このようなサイトでわいせつな行為をWebカメラ等で撮影したものを送信したり、チャット等でわいせつな行為を要求したりする行為は犯罪です。」という大阪府警察本部の警告文が掲載されている。

　このように警察がホスティング業者などの協力を受けて、摘発された違法サイトの跡地に警告を出すという取り組みは2007年から行われており、過去には出会い系、着うた、裏DVD販売サイトなどの跡地で警告が出されている。

（2009/04/13 ネットセキュリティニュース）

■公然わいせつ事件被疑者の検挙・解決[本部生活安全総務課、本部生活安全特別捜査隊、淀川・都島・西警察署]（大阪府警察）
http://www.police.pref.osaka.jp/02jyoho/sokuho/kenkyo/0410_1.html
■※警告※（ライブチャットVIVI）
http://www.vivichat.net/

  JR北海道は13日、利用客の個人情報を含んだ使用済みのインクリボンが社外に流出していたと発表した。旭川支社の男性社員（56歳）が、乗車券や定期券などの印刷に使用した熱転写型インクリボン3本を社内から持ち出してYahoo!オークションに出品、落札されていた。リボンはすべて回収されている。

　同社によると、6日に顧客からネット上で同リボンが取引されているとの連絡を受け調査したところ、リボンがオークションへ出品されていたことを確認。同一人物が出品していた別の商品を落札した結果、出品者がこの男性社員であることがわかった。リボンは稚内駅で使用した2本、幌延駅で使用した1本の計3本で、2月から3月にかけて3度に分けて出品され、3本とも同じ人が落札。同社はリボンを3000円で買い戻した。男性社員はリボンのほかにも、乗降位置案内札など複数の物品を社内から無断で持ち出して出品していた。
　インクリボンは乗車券販売端末で切符の券面を印刷する際に使用するもので、リボンに塗布したインクを券面に転写する仕組みであるため、使用済みのリボンには券面と同じ内容の痕跡が残る。乗車券や特急券など個人情報を含んでいない切符の印刷が大半を占めるが、クレジットカード控え、定期券、航空券、宿泊券などを印刷した場合は、氏名、年齢、性別や、カード番号と有効期限といった情報が残る。男性社員はオークションに出品の際、商品説明欄に「印字の跡がくっきり残っています」なとど記載していた。

　同社では使用済みインクリボンを鍵付きの保管庫で3か月保管した後、本社へ送付して業者に渡して溶解処理することにしている。しかし稚内駅と幌延駅で誤って廃棄書類とともにリボンを回収業者へ引き渡したため、紙類の溶解処理を行う業者からリボンが戻され、これを回収業者が旭川駅構内の廃棄物保管庫に収容、男性社員が持ち出した。同社は今後、リボンには通し番号をつけて管理し、現場と本社の両方で数量確認を行って溶解業者へ引き渡すとしている。

（2009/04/13 ネットセキュリティニュース）

■個人情報を含んだ「熱転写型インクリボン」の流出について[PDF]（JR北海道）
http://www.jrhokkaido.co.jp/press/2009/090413-1.pdf

  ファイル共有ソフトWinny（ウィニー）を介し、熊本県教育委員会の行政文書がネット上に流出した。また、Share（シェア）を介して情報を流出させた埼玉県警の巡査長と東広島市の公立小学校教諭、およびサーバーを介し1対1でファイルを交換するソフト「うたたね」を使用していた岡山県警の巡査部長が処分を受けた。

■熊本県教育委員会、行政文書流出

　熊本県教育委員会は3日、2007年度と2008年度に行われた会議の報告書などの行政文書がネット上に流出したと発表した。文化課の男性職員（50歳）が自宅で使用しているパソコンからWinnyを介して流出したもので、2日に総務省から指摘を受けて発覚。行政文書のほかに、同窓会名簿など700名分の個人情報を含む職員の私的文書も流出した。県ではファイル共有ソフトの使用を禁止していた。また、公文書の外部への持ち出しも禁じていたが、職員は文書を自宅のパソコンあてにメールで送信して保存していた。
・熊本県
http://www.pref.kumamoto.jp/

■Share情報流出の巡査長と教諭処分、「うたたね」使用の巡査部長処分

　埼玉県警は2月10日、Shareを介して県警同期生の名簿など1400ファイルを流出させた男性巡査長（29歳）を減給10分の1（3か月）の懲戒処分とした。巡査長は同日、依願退職した。同県警ではファイル共有ソフトの使用を禁じ、点検も行っていたが、巡査長は3度にわたってファイル共有ソフトを使用していないと虚偽の報告を行い、2008年11月、ウイルス感染によりファイルを流出させた。
・埼玉県警
http://www.police.pref.saitama.lg.jp/kenkei/

　広島県教育委員会は3月30日、Shareを介して児童のテスト結果一覧など44名分の個人情報を流出させた東広島市内の公立小学校男性教諭（42歳）を減給10分の1の懲戒処分とした。個人情報を学校外に持ち出す際には校長の許可を得ることとなっていたが、教諭は許可を得ずにデータを外付けHDDに入れて自宅に持ち帰り、Shareがインストールされた自宅パソコンに接続。2月9日、ウイルス感染により情報がネット上に流出した。また教諭は、流出に関する調査の過程でShare使用について虚偽の報告をし、同ソフトを削除して証拠の隠滅を図っていた。
・教職員の懲戒処分等[PDF]（広島県）
http://www.pref.hiroshima.lg.jp/www/contents/1235960566689/files/210330kyoushokuin_shobun.pdf

　岡山県警は3月27日、使用が禁止されているにもかかわらずファイル共有ソフトを使っていた赤磐署の巡査部長（56歳）を停職1か月の懲戒処分とした。巡査部長は同日、依願退職した。巡査部長は2006年5月から2007年6月まで私物パソコンで「うたたね」を使用。使用の事実を隠すため上司に虚偽の報告をしていたが、2008年8月、抜き打ち検査で使用が発覚した。パソコンには暴力団に関する捜査情報が保存されていたが、流出は確認されていない。
・岡山県警
http://www.pref.okayama.jp/kenkei/kenkei.htm

（2009/04/13 ネットセキュリティニュース）

  三菱UFJ証券（本社：東京都千代田区）は3月30日、顧客情報の一部が外部に流出した可能性があると公表していたが、今月8日、その後の社内調査で同社社員が情報を不正に持ち出し、名簿業者に売却していたことが判明したと発表した。

　発表によると、同社のシステム部の部長代理だった社員が同社の顧客ほぼすべてに当たる148万6651名分を不正に取得して自宅に持ち帰り、そのうち4万9159名分を名簿業者3社に32万8000円で売却した。
　売却されたのは、2008年10月3日から2009年1月23日までに新規口座あるいは投信ラップ口座（資産運用を証券会社に任せる富裕層向け口座）を開設した顧客の個人情報。これ以外の顧客情報143万7492名分はすでに回収され、流出していないことが確認されているという。

　売却された4万9159名分の個人情報の内容は、顧客の氏名、住所、電話番号（自宅、携帯電話）、性別、生年月日、職業、年収区分、勤務先（名称、住所、電話番号、部署名、役職、業種）。

　同社には3月中旬以降、同社に提出した連絡先に、無関係の不動産会社や投資会社から勧誘が入るようになったという顧客からの相談が22件、寄せられていた。同社は緊急対策本部を設置して社内調査を行い、上記詳細が判明した。同社は8日付けでこの社員を懲戒解雇し、刑事告訴する方針という。

　同社は元社員から顧客情報を購入した名簿業者3社に事情を説明し、当該情報の使用や販売を中止する約束を取り付けた。すでに転売された個人情報についても、転売先に同様の約束を取り付ける対応を進めており、一部については使用中止と廃棄の約束を得たという。

　同社は今後、警察の捜査に全面協力しつつ全容の解明と対応に努める。また、情報が流出した顧客のために電話による問合わせ窓口を設置し、名簿を使用した勧誘等があった場合は相談を寄せるよう呼びかけている。

（2009/04/09 ネットセキュリティニュース）

■お客さま情報の流出について[PDF]（三菱UFJ証券）
http://www.sc.mufg.jp/company/press/pdf/press20090408.pdf
■お客さま情報の流出の可能性について[PDF]（三菱UFJ証券）
http://www.sc.mufg.jp/company/press/pdf/press20090330_2.pdf

  情報処理推進機構セキュリティセンター（IPA/ISEC）は2日、2009年3月と第1四半期（1月～3月）のコンピュータウイルス、不正アクセスの届出状況のまとめを発表した。「今月の呼びかけ」では、ワンクリック不正請求の新たな手口を紹介し、注意をうながしている。

■コンピュータウイルス、不正アクセスの届出状況

・2008年3月
　3月のウイルスの検出数は約11万9000個で、2月（約12万8000個）から7.7％減。届出件数は1674件で、2月（1463件）から14.4％増となった。検出数の1位は、W32/Netsky（約10万5000個）で、2位はW32/Mytob（約5000個）、3位はW32/Mydoom（約3000個）
　不正アクセスの届出件数は20件で、そのうち被害があったものは13件。被害内容は、「侵入」4件、「不正プログラム埋め込み」9件。「侵入」による被害は、SQLインジェクション攻撃を受け、サーバ上でコマンド実行されたものが1件、他サイト攻撃の踏み台として悪用されたものが2件、ウェブサーバ内のコンテンツデータが消去されたものが1件だった。
　3月の相談件数は1406件で2月（1051件）を上回った。相談内容では「ワンクリック不正請求」関連が503件（2月は355件）で、再び増加傾向にある。「セキュリティ対策ソフトの押し売り」関連は3件、Winny関連は6件、「情報詐取を目的として特定の組織に送られる不審なメール」に関するものが1件あった。

・第1四半期（1月～3月）
　2009年第1四半期（1月～3月）のまとめでは、ウイルスの届出件数が4997件、ウイルスの検出数が約41万個で減少傾向をたどっている。一方、不正アクセスの届出件数は39件となり、前四半期（2008年10～12月）の45件から減少し、被害にあった件数も26件で、前四半期（31件）より減少した。

■ワンクリック不正請求の新たな手口に注意

　IPAに寄せられる「ワンクリック不正請求」に関する相談件数は、2008年9月の651件をピークに一時激減したが、その後再び増加傾向にある。IPAは、「増加した要因のひとつとして、新たな手口を利用するサイトが複数現れたことが挙げられる」として、「今月の呼びかけ」でワンクリック不正請求について注意を呼びかけている。

・従来の手口と新たな手口　IPAによると、ワンクリック不正請求の新たな手口が現れたのは今年2月頃。従来の手口は、ユーザーが不正請求を行うサイトにアクセスしボタンをクリックすると、悪意のあるブログラム（EXE）がダウンロード、インストールされ、パソコン画面上に料金の請求画面が表示されたままになるというものだった。この場合、インストールされたプログラムを削除することで対処できる。
　新たな手口は、ユーザーが不正請求を行うサイトにアクセスしボタンをクリックすると、悪意のあるHTMLベースのプログラム（HTA）がダウンロードされ、パソコンの設定が改ざんされる。設定が改ざんされると、パソコン起動時にインターネット上のアダルトサイトに勝手に接続し、請求画面を表示する。この手口でWebブラウザに表示された請求画面は、右上の「×」ボタンで閉じたり、画面の端に移動するといった操作ができない仕掛けになっていて、表示を止めることができない。

・被害防止策－－安易に「実行」ボタンを押さない　IPAは、ワンクリック不正請求の被害にあわないためには、Windowsの機能である「ファイルのダウンロード-セキュリティの警告」画面に表示された内容をよく読み、安易に「実行」ボタンを押さないよう注意を呼びかけている。
　セキュリティの警告画面は、悪意がある可能性のあるプログラムをパソコンに取り込もうとしていることを警告するもので、画像や動画を再生する場合には表示されない。信頼できないサイトを閲覧しているときにこの画面が表示されたら「キャンセル」ボタンを押して引き返し、悪意のあるプログラムを取り込まないようにする。
　またIPAは、悪意のあるプログラムではないと判断できた場合も、ダウンロードする際は「保存」ボタンを選択してダウンロードし、ウイルススキャンをしてからインストールを実行するように勧めている。

・新たな手口で被害にあい、請求画面が消えない場合　パソコン画面上に請求画面が表示されたままになる症状が出てしまったは、改ざんされた設定を解除する必要がある。そのためには、Windowsのシステム構成の問題を診断、修復するためのソフトウェア「システム構成ユーティリティ」（msconfig）を利用して、追加されたスタートアップ項目を解除する方法がある。また、WindowsXP/Vistaにはシステムの復元機能があるので、この機能を利用し料金請求画面が表示される前の状態に復元する方法もある。
　完全に設定情報を元に戻すためには、レジストリを編集する必要があるが、誤った編集を行うと必要なプログラムが起動しなくなる危険性があるので、専門的な知識のないユーザーにはお勧めできない。

　IPAは、窓口を設けて電話対応しており、対処方法が分からない場合は同機構に連絡するよう呼びかけている。

（2009/04/09 ネットセキュリティニュース）

■コンピュータウイルス・不正アクセスの届出状況[3月分および第1四半期]について（IPA/ISEC)
http://www.ipa.go.jp/security/txt/2009/04outline.html

  ワープロソフト「一太郎」シリーズに、悪用されると任意のコードが実行される脆弱性が見つかったとして、7日、ジャストシステムは該当する脆弱性を修正するセキュリティ更新モジュールを公開した。7日現在、実際の被害は確認されていないという。

　ジャストシステムによると、脆弱性は一太郎の文書情報の処理部分に存在し、改ざんされた文書ファイルを直接開いたり、Webサイトの文書ファイルをプラグインビューアで開いたり、悪意のあるサイトへのリンクをクリックするなどして当該サイトに埋め込まれた文書ファイルを意図せず開いてしまった場合、コード実行のおそれがある。攻撃が成功すると、攻撃者にコンピューターを完全に制御される可能性がある。

　対象となる製品は、一太郎2009/2008/2007/2006/2005/2004、一太郎ガバメント2009/2008/2007/2006、一太郎2009体験版、一太郎文藝、一太郎13、一太郎ビューア2009 (19.0.1.0) 、一太郎ビューア（全バージョン）。

　同社は各モジュールによるアップデートを強く勧めるとともに、身に覚えのない電子メールに添付されている一太郎文書ファイルや信頼性の保証されていないWebサイトにある出処不明の文書ファイルを開かないよう、注意を呼びかけている。

　当該脆弱性は、IPAが2月12日に情報セキュリティ早期警戒パートナーシップに基づいた届出を受け、3月4日にJPCERT/CCが同社に報告。調整のうえ、7日に公表された。

（2009/04/08 ネットセキュリティニュース）

■一太郎の脆弱性を悪用した不正なプログラムの実行危険性について（ジャストシステム）
http://www.justsystems.com/jp/info/js09002.html
■「一太郎シリーズ」におけるセキュリティ上の弱点（脆弱性）の注意喚起（IPA）
http://www.ipa.go.jp/security/vuln/documents/2009/200904_ichitaro.html
■一太郎シリーズにおけるバッファオーバーフローの脆弱性（JVN）
http://jvn.jp/jp/JVN33846134/index.html
■ [FFRRA-20090407] 一太郎におけるバッファオーバーフロー脆弱性（フォティーンフォティ技術研究所）http://www.fourteenforty.jp/research/advisory.cgi?FFRRA-20090407

  インターネットで交流を行うSNS（ソーシャルネットワークサービス）やゲームサイトに、いわゆる「出会い系」のような書き込みがあるとして、警察庁がミクシィ（mixi）などSNSを運営している6社に対して削除要請をしていたことが分かった。

　今回、警察庁より削除要請を受けたのは、大手SNSのミクシィ、グリー（GREE)、携帯ゲームサイトのモバゲータウン、大集合NEOなどを運営する6社。

　昨年12月、出会い系サイト規正法改正が行われ、出会い系サイト運営業者は都道府県公安委員会への届出が義務付けられた。これを受けて警察庁が無届の業者を監視していたところ、ミクシィなどのサイト内に出会い系のような活動をしているコミュニティを発見した。警察庁は、今年2月から3月にかけて、各社に出会い系サイトとして届出をするか、コミュニティを削除するかのいずれかの対処を要請したという。

　要請を受けて、ミクシィは約300の出会い系コミュニティを削除した。また、他社も対応を検討中だという。

　出会い系サイト規正法では、異性との交際を求める出会い系のような書き込みがあれば、出会い系サイトとして認識される。そのため、SNSや掲示板などのコミュニティサイトは、書き込み内容によって出会い系サイトになる要素を持っているといえる。

　削除要請を受けた6社のうち4社は、EMA（モバイルコンテンツ審査・運用監視機構）に認定されたサイトだった。EMA認定サイトは、18歳未満の携帯ユーザーに対して有害サイトへのアクセスを制限するフィルタリングの対象外となっているため、18歳未満の児童も利用できる。

　警察庁が2月に発表した昨年の出会い系サイトに関連した事件の検挙状況でも、出会い系以外のサイトに関連して児童が被害にあうケースが増加しており、一般サイトであっても利用する際には十分な注意が必要だ。

（2009/04/07 ネットセキュリティニュース）

  今月4日頃から、再びYahoo! Japanをかたるフィッシングメールが出回っている。Yahoo!オークション利用者に、継続利用には会員情報の更新が必要だと告げる文面で、メール内のリンクをクリックすると会員情報を入力させようとする偽サイトが開くようになっている。

　今回、出回っているフィッシングメールのタイトルは「Yahoo! JAPAN よりご利用に関する大切なお知らせ」または「Yahoo! JAPAN より重要なお知らせ」。オークションを継続して利用するには会員情報の継続手続きが必要として、リンク先のページからユーザーアカウントの継続手続きをするよう求めているが、そもそもYahoo! Japanのユーザーアカウントに更新期限はなく、継続手続きは存在しない。

　フィッシングメールのリンクをクリックすると、Yahoo! JAPAN IDとパスワード、郵便番号、性別、生年月日、氏名、住所、電話番号、クレジットカード番号とセキュリティコード、セキュリティキー（暗証番号）などを入力させようとする偽サイトが開くようになっている。偽サイトのドメインは2日付で取得され、アメリカのレンタルサーバーに4日に設置されたもようだ。

　Yahoo!ユーザーを狙うフィッシングメールやサイトは、これまでもたびたび現れており、今年に入ってからでも5回目となる。Yahoo! Japanのセキュリティセンターでは、フィッシングメールの例をあげて注意を呼びかけている。

　また、Yahoo!以外のブランドをかたるフィッシング詐欺も頻発している。今回の場合、フィッシングメールの差出人は「Yahoo! JAPAN カスタマーセンター」になっているのにもかかわらず、メールの送信元ドメインが「odn.ne.jp」なので、偽メールであることが容易に判別できる。しかし、メールアドレスや誘導先のURLを巧妙に細工したフィッシングサイトも存在するので注意が必要だ。

　サイトに誘導して個人情報を求めるようなメールは信用しない、ブラウザのステータスバーなどに錠マークがない状態では絶対に個人情報を入力しない、などの対策を心がけたい。

（2009/04/07 ネットセキュリティニュース）

■ 気をつけよう！ フィッシングメールQ&A（Yahoo! Japanセキュリティセンター）
http://security.yahoo.co.jp/qa/index.html

  マイクロソフトのプレゼンテーションソフト「PowerPoint」の未修整の脆弱性を突くトロイの木馬が見つかったとして、同社やセキュリティベンダー各社が注意を呼びかけている。

　同社によると、PowerPointにはメモリーの無効なオブジェクトにアクセスしてしまう問題があり、細工されたPowerPointファイル（.ppt/.ppsなど）を開くと任意のコードが実行されるおそれがある。影響を受けるのは、Windows版の2000/2002（XP）/2003および、Mac版の2004。Windows版の2007や無料の閲覧ソフトPowerPoint Viewer 2003/2007、Mac版の2008には影響しないという。

　現在、この脆弱性を突いてパソコンにバックドアなどを仕掛ける悪質なPowerPointファイルが出回っており、同社は信頼できないファイルや予期せず受け取ったOfficeファイルを開かないよう注意を促している。

　Office PowerPoint 2000を使用している場合には特に注意が必要で、Internet ExplorerがPowerPointファイルを自動的に開いてしまう。下記の「Officeファイルを開くときに確認するツール」をインストールすると、他のバージョンと同じように2000環境でもファイルを開く際に確認のダイアログボックスが表示されるようになる。2003環境では、MOICE（Microsoft Office Isolated Conversion Environment）を利用することによって、バイナリ形式の旧ファイルをXML形式に変換し安全に開けるようになる。

　ウイルス対策ソフトも対応を進めており、マイクロソフトは「Exploit:Win32/Apptom.gen」、トレンドマイクロは「TROJ_PPDROP.AB」、シマンテックは「Trojan.PPDropper.H」、マカフィーは「Exploit-PPT.k」という検出名で、細工されたPowerPointファイルの検出に対応したとしている。

（2009/04/06 ネットセキュリティニュース）

■マイクロソフト セキュリティ アドバイザリ (969136) Microsoft Office PowerPoint の脆弱性により、リモートでコードが実行される（マイクロソフト）
http://www.microsoft.com/japan/technet/security/advisory/969136.mspx
■Officeファイルを開くときに確認するツール
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=8b5762d2-077f-4031-9ee6-c9538e9f2a2f

【ウイルス情報】
・TROJ_PPDROP.AB（トレンドマイクロ）
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_PPDROP.A
・Exploit:Win32/Apptom.gen[英文]（マイクロソフト）
http://www.microsoft.com/security/portal/Entry.aspx?Name=Exploit%3aWin32%2fApptom.gen
・Trojan.PPDropper.H[英文]（Symantec）
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-040308-5452-99
・Exploit-PPT.k[英文]（マカフィー）
http://vil.nai.com/vil/content/v_154518.htm

  テレビ朝日(本社：東京都港区）の「情報整理バラエティー ウソバスター！」の中で、自作したブログをインターネット上の情報として紹介していた問題で、総務省は3月31日、放送法違反で同社に厳重注意の行政指導を行った。

　同省の発表によると、番組中で紹介した6件のブログは、いずれも番組制作スタッフが元のネット情報を参考に作成。うち1件は元のネット情報の現存が確認できなかったにもかかわらず記憶をもとに作成し、これらを元のネット情報であるかのように視聴者に誤認させる方法で放送した。これは、同社が準用する番組基準（日本民間放送連盟放送基準）に反した過剰な演出に該当し、番組基準に従って番組の編集を行うよう定めた放送法に抵触すると認定。同社に対し、今後このようなことがないよう厳重に注意するとともに、再発防止に向けた取組みを強く要請した。

　同省の指導を受けてテレビ朝日は同日、「今後はこのようなことがないよう、チェック体制の充実、スタッフの意識の向上などに努める」とコメントした。

　問題の放送は、1月10日に放送された同番組内の「ネットの情報、ウソ・ホント？」というコーナー。6件のブログを紹介し、そのうち4件は書かれている情報が嘘という内容だった。放送直後から、ネット上ではネタ元のブログが同じ日に集中して作られ、その後の投稿もなく不自然だとの指摘が相次ぎ、ネット上の嘘を暴くつもりが自らの嘘を暴かれる結果となった。

　撮影用のブログの作成は、本来ならば人目に触れないLAN内などの自社の管理下で行うべきところを、番組ではgooやYahoo!などが提供しているブログサービスを使用。これらブログは約１か月間に渡って一般に公開されていたが、そこには撮影用のサンプルであることや内容に誤りがあることなどは記載されておらず、一般人に成りすまして作成したものだった。同社は、番組内の該当映像部分にイメージ映像であることを明確に表現すべきだったとしているが、それ以前に大元のブログに明記すべきことであり、本質的な問題が分かっていないようだ。

　テレビ朝日に限らず、ネット上では何を書いてもいいとか、匿名だからバレないなどと考える人が少なからずいるようだが、決してそのようなものではないということを改めて認識したい。

（2009/04/06 ネットセキュリティニュース）

■番組問題への対応（総務省）
http://www.soumu.go.jp/menu_news/s-news/02ryutsu09_000006.html
■「ウソバスター！の行政指導について」（テレビ朝日）
http://www.tv-asahi.co.jp/usobuster/

  朝日新聞社は3月31日、東京本社編集局の校閲センター員（49歳）が社内のパソコンからネット掲示板「2ちゃんねる」に、部落差別や精神疾患への差別を助長する内容を投稿していたとして、asahi.comに謝罪記事を掲載した。

　ことの発端は、2ちゃんねるの鉄道関係の掲示板「鉄道路線・車両板」の複数のスレッドに対し、投稿削除の表示として使われている「あぼーん」が大量に投稿されことに始まる。匿名で行われていたこの荒らし行為に対し、30日午後、2ちゃんねるの運営は掲示板で発信元を公表し、発信元となった朝日新聞社のドメインのひとつ「asahi-np.co.jp」からの書き込みを規制した。

　荒らし行為を行っていた者は2月から連日書き込んでいたと見られ、同日夜には、差別語を使って相手を罵倒する書き込みも複数発覚した。外部からの指摘を受けた朝日新聞社は、社内調査を実施し投稿者を特定。翌31日、当該センター員に事情を聴いたところ、「他の投稿者と応酬するうちにエスカレートしてしまった。悪いことをしました。釈明の余地はありません」と投稿を認めたという。

　同社広報部は、「弊社社員が２ちゃんねるの掲示板にきわめて不適切な書き込みをし、多くの皆さまに不快な思いをさせ、ご迷惑をおかけしたことをおわびします。事実関係をさらに確認した上で、厳正な処分をいたします」とコメントしている。

　インターネットにアクセスすると、発信元の足跡がIPアドレスという形で残る。ネット環境の整った会社や組織では、使用するIPアドレスやドメインの情報が公開されているので、発信元は即座に判明する。職場からのネット利用は、常に会社や組織の看板を背負っているんだということを、くれぐれも忘れないでいただきたい。

（2009/04/06 ネットセキュリティニュース）

  日本私立学校振興・共済事業団・私学共済事業本部（東京都文京区）と、東京臨海病院（東京都江戸川区）は1日、同院を退職した職員の自宅のパソコンから、同院の患者598名分の個人情報を含むデータがファイル共有ソフトのShare（シェア）を介して流出したと発表した。

　発表によると、流出したのは2002年4月から2007年2月までの間に、同院で心臓カテーテル検査を行った患者598名の漢字氏名、フリガナ、患者ID番号、生年月日、診療科名などで、住所や電話番号、病名などは含まれていないという。

　元職員は、在職中に自己の研究目的で業務関連ファイルを持ち帰り、自宅のパソコンに保存。同パソコンでファイル共有ソフトのShareを使用していたところ、2月22日頃にウイルスに感染し、保存されていたデータがインターネット上に流出。元職員は2月28日以降、流出元のインターネット接続を遮断した。

　3月13日、外部からの情報提供を受けて調査したところ、個人情報が含まれていることが判明。28日に該当者にお詫び状を郵送するとともに、連絡をとって謝罪を行っている。
　同院では、内規で個人情報を含む業務関連ファイルの病院外への持出し禁止や、持出す場合の匿名化などを定めているが、改めて全職員に対し周知徹底し、私有パソコンの院内への持込みや私有パソコンでのファイル交換ソフトの使用も禁止する。また、ただちに個人情報管理についての実態調査を行い、今後は定期的に点検するとしている。

（2009/04/02 ネットセキュリティニュース）

■東京臨海病院における個人情報流出事故の発生について（日本私立学校振興・共済事業団 私学共済事業）
http://www.shigakukyosai.jp/topics/topics_090401.html
■当院における個人情報流出事故の発生について（東京臨海病院）
http://www.tokyorinkai.jp/inside/pati/pati7.html

  経済産業省は3月31日、特定商取引法（特定商取引に関する法律）のオプトイン規制（承諾をしていない者に対する電子メール広告の提供の禁止）などに違反したとして、出会い系サイト「セレブ空間」を運営しているWebサイトの企画制作会社「HAiGHA」（メイヤ、東京都目黒区）に対し業務の改善を指示したと発表した。

　同省発表によると、同社は昨年12月1日から今年3月10日までの間に、当該サイトのURLが記載された電子メール広告を相手の承諾を得ないで1100件以上送信した。また、当該サイト上には、同社の名称と住所が正しく記載されていなかった。

　特定商取引法の「通信販売」は、ネット通販のみならずネット上で申込みを受けて行う取引全般を含み、出会い系サイトなどのサービスの提供もこれに該当する。運営者は名称、住所、電話番号、代表者または通信販売の業務の責任者の氏名を表示する必要がある。サービスの販売条件などを記載し申込みを受け付けるものは「広告」とみなされ、昨年12月に施行された改正法では、広告メールは事前に相手から請求されるか承諾を得なければ送ることができないことになった。これらの違反者は、業務改善指示、業務停止命令などの行政処分が行われるほか、罰則の対象にもなっている。

　同省は3月30日、同社に対してホームページに正確な記載を行い、承諾を得ないでメール広告を送付することのないよう徹底することを指示した。オプトイン規制違反による行政処分は、2月のクロノス（横浜市西区）に続く2件目となる。

（2009/04/01 ネットセキュリティニュース）

■特定商取引法違反事業者に対する行政処分について（経済産業省）
http://www.meti.go.jp/press/20090331021/20090331021.html
■特定商取引法（経済産業省）
http://www.meti.go.jp/policy/economy/consumer/consumer/tokutei/index.html
■HAiGHA
http://haigha.net/