ネットセキュリティニュース

  　編集部では、飛来するメールやWeb上の情報をもとに、主に国内のブランドや国内でホストされているフィッシングサイトについて観測を行っている。国内に関係するフィッシングサイトは毎月100件前後あるが、2月はやや少な目で現時点では60件を超えたところ。そんな中から、今月目についたフィッシングと、カウントには含んでいないが国内のユーザーにも影響のあったフィッシングを、いくつかご紹介する。

■オンラインゲーム「World of Warcraft」の偽サイト

　フィッシングのターゲットは銀行やクレジットカードばかりではなく、ポータルサイトやメールサービス、SNSなど多岐におよぶ。オンラインゲームもそのひとつで、特に昨年末からは、World of Warcraft（WoW）の偽サイトが大量に出没している。
　このWoWの偽サイトが、今月上旬に相次ぎ3件、国内でホストされているのが見つかった。下記エフセキュアのブログで報告されているものとは若干異なるが、いずれも「worldofwarcraft」という綴りを入れた紛らわしいドメイン名を使用。ホストしているサーバーには、プロバイダが提供しているアクセス回線のIPアドレスが使われており、ウイルス感染などで乗っ取られたユーザーのパソコンが悪用されたものと見られる。ウイルス感染は、自身が被害を受けるだけでなく、周囲にも災いをまき散らしてしまうことがあるのだ。
・worldrofwarcraft.com（エフセキュアブログ）
http://blog.f-secure.jp/archives/50347159.html

■クレジットカード会社を装うフィッシング

　今月はフィッシング対策協議会から、VISAとMasterCardのフィッシングの注意を呼び掛ける緊急情報が出された。本通信でも採り上げたこれらのフィッシングは、英語圏のユーザーを狙ったものだが、国内にも偽サイトに誘導するフィッシングメールが大量に舞い込んできた。
　このうちのVISAの偽サイトの方は、ZeuS/Zbot系のボットネットを使ったもの。ボットに感染したユーザーのパソコンをWebサーバーにし、次々に切り替えながらフィッシングサイトをホストさせる、「Fast-Flux」と呼ばれる手法を使ったフィッシングだ。このボットネットには国内の感染パソコンが1～2台、連日のように参加しており、今月はVISAのほかにもUSAAやBlogger、Facebookを装うフィッシングサイトのホストに一役かっていた。
　このボットネットでは、アカウント情報の盗み出しや感染パソコンのボット化を狙ったウイルス配布も並行して行われており、今月はIRSやFlashPlayerのアップデートを装うウイルス攻撃を観測。先のFacebookのフィッシングにも、ウイルス感染を狙った脆弱性攻撃とみられるリンクが埋め込まれていた（確認時には攻撃サイトが停止していたためウイルスの投下は未確認）。
　ZeuS/Zbot系のウイルスメールは、国内にも相当な数が舞い込んでくるのだが、25日に公開されたIBMのレポートによれば、国内の感染数（ウイルスのダウンロード数）は月数件程度とかなり少ない。同社はその理由として、SPAMフィルターやウイルス対策ソフトが不審なメールを防いでいることと、不審な英語メールをクリックするユーザーが少ないのではないかと推察している。
・VISAを騙るフィッシング（フィッシング対策協議会）
http://www.antiphishing.jp/alert/alert1043.html
・MasterCard（マスターカード）を騙るフィッシング（フィッシング対策協議会）
http://www.antiphishing.jp/alert/alert1046.html
・東京SOCでのZeus-Zbot検知状況（IBM）
http://www.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1334118?cntxt=a1010214

（2010/02/26 ネットセキュリティニュース）

  　今月6日に公表された「モンベル・オンラインショップ」の不正アクセス事件で、同社は24日、流出件数などの調査結果を公表。昨年発覚したアリコジャパンの問題で、金融庁はこの日、同社に対し行政処分を行った。

■モンベル、SQLインジェクションでカード情報1万1446件流出

　アウトドア用品のモンベル（本社:大阪市西区）のWebサイトが不正アクセスを受け、オンラインショップ利用者のクレジットカード情報が盗まれた可能性があった問題で、同社は24日、被害状況が判明し警察に被害届を提出したことを明らかにした。
　同社の発表によると、流出したのは2009年11月1日午前0時～2010年1月26日午前6時37分の間に、同社オンラインショッピングでクレジットカード決済を利用した顧客のクレジットカード番号と有効期限、1万1446件。流出したのはクレジットカード情報だけで、住所や電話番号、メールアドレスなどの個人情報の流出はないという。中国のIPアドレスから、データベースを不正に操作するSQLインジェクション攻撃が行われ、盗み取られたらしい。
　23日に盗み取られたクレジットカード情報と顧客の特定作業を終え、警察に被害を申告。この日、被害届を提出した。

■金融庁がアリコジャパンに行政処分

　外資系生命保険会社のアリコジャパン（本社：東京都千代田区）から契約者のクレジットカード情報が流出した問題で、金融庁は24日、同社に対し保険業法に基づく業務改善命令を出すとともに、個人情報保護法に基づく勧告を行った。
　この問題は昨年7月、カードの不正使用で発覚。これまでの調査で、中国の委託先社員に付与したアカウントで米国のホストコンピューターにアクセスし、3万2359件の顧客情報が持ち出されたものと同社ではみているが、いまだに流出した顧客情報の具体的な範囲や実行者の最終的な特定には至っていない。不正使用の疑いがあるとしてカード会社から照会があった件数は、今年に入ってからも約50あり、累計は6592件にのぼる。
　金融庁は、ホストコンピューターへのアクセスに使用するIDとパスワードを担当者間で使い回しするなど、個人顧客情報管理がずさんで情報漏えいが起こりやすい状況にあり、実行犯の特定を困難にする問題にもつながったと指摘。同社にも個人顧客情報の管理態勢に重大な不備があったとして、委託先を含めた再発防止策の実施と検証、原因究明、経営陣を含む責任の所在の明確化などを求めた。

（2010/02/26 ネットセキュリティニュース）

【関連URL】・不正アクセスによる情報漏えいのお詫びとご報告（モンベル）
http://www.montbell.jp/details/index.html
・アリコジャパンに対する行政処分について（金融庁）
http://www.fsa.go.jp/news/21/hoken/20100224-1.html
・弊社に対する行政処分等について（アリコジャパン）
http://www.alico.co.jp/about/press/10_0224.htm

  　「Gumblar.x/8080」の攻撃では、Adobe Readerなどのさまざまなソフトウェアの脆弱性攻撃を仕掛け、トロイの木馬を自動実行しようとする。

　「Gumblar.x」では、Kates、Daonol、Landoなどとの名で検出されるのが、その本体で、自身をシステムのドライバ（現行はmidi9）に登録し、FTPのアカウント情報を盗み取ろうとする。昨年10月には、このウイルスの欠陥が原因で、感染パソコンの画面が真っ暗になって起動しなくなるという問い合わせが、各社のサポート窓口に殺到したこともあった。

　Gumblar.xでインストールされるのは、この本体だけのようなので比較的軽症なのだが、8080の方は、そんな生易しい状況では済まないようだ。

　8080のの攻撃では、Bredolab系のトロイの木馬を自動実行しようとする。このトロイの木馬自体は、他の不正なプログラムダウンロード/実行するのが主な役目であるため、感染パソコンに何をインストールするかは攻撃者の気分次第。

　これまでにわかっていたのは、FTPパスワードの監視、FTPクライアントの設定情報収集、偽セキュリティソフトといったところだったが、トレンドマイクロやカスペルスキーの報告によると、他にもパスワードやメールアドレスの収集、スパムメールの送信、ボット、隠ぺい用のルートキットと、悪質なプログラムがどっさりインストールされるらしい。

　ダウンロード機能やアップデート機能も持っているため、感染後もシステムをいじり放題。感染パソコンを感染前の状態に戻すのは、ほとんど絶望的と考えるのが賢明だ。

　感染が確認された場合には、必要なデータをバックアップし、OSを再インストールするのが確実な方法といえるだろう。システムを購入時の状態に戻してしまうと、さまざまな再設定やソフトの再インストールを余儀なくされる。時間もかかり面倒ではあるが、実はこれが最も確実に、短時間で再スタートできる方法なのだ。

（2010/02/25 ネットセキュリティニュース）

■マルウェア解析の現場から-03 Gumblar攻撃（Trend Micro Security Blog）
http://blog.trendmicro.co.jp/archives/3340
■Gumblar 亜種に続く、Pegel 対策に関する留意点（カスペルスキーラブスジャパン）
http://www.kaspersky.co.jp/news?id=207578803
 

  　「Gumblar.x」も「8080」も、改ざんサイトを訪問したユーザーに脆弱性攻撃を仕掛け、トロイの木馬を自動実行しようとする。欠陥のあるソフトウェアが、ユーザーになり代わってウイルスをダウンロード/実行してしまうのだ。そんな欠陥ソフトの勝手な振る舞いは、攻撃を受けるソフトウェアの問題点を解消するだけで止めさせることができる。

　攻撃に悪用されている脆弱性は限られており、いずれも現時点では修正済みのものばかりなので、以下を実施しておけば、Gumblar.xや8080の改ざんサイトを閲覧してもウイルスには感染しないのだ。

　(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
　(2) JRE(Java Runtime Environment)を最新版に更新する
　(3）Adobe Readerを最新版に更新する
　(4) Flash Playerを最新版に更新する
　(5) QuickTimeを最新版に更新する
　(6) Adobe ReaderのAcrobat JavaScriptを無効に設定する

　(1)～(3)はGumblar.x/8080共通の、(4)はGumblar.xの攻撃対象で、現行のGumblar.xに以前は含まれていなかったJREの攻撃が加わっている点が新しい。(5)は、現行の攻撃には含まれないが悪用されることが多いソフトなので、インストールされている方は、常に最新版を使うように心掛けていただきたい。これらソフトウェアのインストール状況と最新版かどうかのチェックは、下記の「MyJVNバージョンチェッカ」を使用すると、簡単にチェックすることができる。

　(6)は、昨年末に8080の攻撃にAdobe Readerの未修整の脆弱性が悪用された、いわゆるゼロデイ攻撃の回避策として提示したもの。悪用された脆弱性は、すでに最新版で修正されているが、一般の方が閲覧するPDFファイルでJavaScriptが必要となることはほとんどないので、無効のままにしておいた方が安全だ。AcrobatのJavaScriptを無効にする方法は以下の通り。

　(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
　(2）「分類」の中の「JavaScript」を選択
　(3）「Acrobat JavaScriptを使用」のチェックをクリア
　(4）「OK」ボタンを押す

　これらは、ウイルス感染を防ぐための基本対策の一部に過ぎないのだが、たったこれだけで、現行のGumblar.x/8080のウイルス感染を100％防ぐことができる。これは、この数か月間変わらぬ内容なのだが、実施していない方が多いというのが実情のようだ。IBMが今月17日に公開した「2009年下半期 Tokyo SOC 情報分析レポート」によると、Gumblar.xの攻撃を受けた日本の企業ユーザーの51％で攻撃が成功してしまい、ウィルスのダウンロードが発生したという。

（2010/02/25 ネットセキュリティニュース）

■MyJVNバージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/
■2009年下半期 Tokyo SOC 情報分析レポート（IBM）
http://www.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1334109

  　大手サイトの改ざんがおおむね沈静化し、メディアでの露出度がめっきり減った「ガンブラー」だが、そんな表向きの情勢とは裏腹に、ネット上では相変わらずの改ざん/再改ざんが繰り広げられている。

　12月から国内のWebサイトを荒らしまわっている「8080」系に加え、今月は年末に消息を絶った「Gumblar.x」も攻撃を再開。これら2大勢力に加え、中国方面に連れ去られる埋め込みから正体不明の埋め込みまでが入り混ざり、サイト改ざん劇は当分終わりそうにない。

■繰り返される改ざん/再改ざん

　改ざんサイトに埋め込まれる誘導コードは、ウイルス対策ソフトなどからの検出を逃れるために、こまめなアップデートが行われている。そしてその度ごとに、修正されたはずのサイトが再び改ざんされるという悲劇も繰り返されている。サイトの改ざんに気付いて修復していても、ちゃんとした対策が行われていなかったからだ。

　サイトの改ざんには、ウイルスに感染したパソコンから盗み取られたサイト更新用のFTPパスワードが使われている。攻撃者が用意したサイト改ざん用のプログラムが、管理者になりすましてサイトに侵入し、誘導コードを埋め込んでいるのだ。これでは、改ざん箇所をいくら修正しても、再改ざんの手から逃れることはできない。

　改ざん被害にあった方は、サイトを修復するだけでなく、ウイルスに感染したパソコンのクリーンアップ（OSの再インストールを推奨）と、ウイルスに感染していないパソコンを使用してのサイトのパスワード変更も合わせて実施していただきたい。特に複数の管理者が共同で更新しているようなサイトでは、1台でも感染パソコンが混ざっていると、そこからまたパスワードを盗まれてしまう。感染パソコンは、完全に排除しなければいけない。

■再改ざんの周期は？

　8080の改ざんページは「埋め込みコードが変わるたびに」、Gumblar.xの改ざんページの方は「非常に短いターンで」、改ざんサイトに埋め込んだコードの差し替えを行っている。

＜8080＞
　「Pegel」「Illredir」「Redirector」「JSRedir」「Iframe」などのウイルス名で検出される8080の改ざんページは、ウイルス対策ソフトの検出を逃れるために、これまでに何度も埋め込みコードが変更されて来た。コードの変更時には、改ざん済みのサイトに対してのコードの差し替えも実施しており、埋め込みコードが変わるたびに多数の修復サイトが再び陥落している。
　今月の主なコード変更は、5日頃から無意味なコードを大量に挿入したスクリプトに。17日頃から文字列の文字順を入れ替える関数を実装したかなり長いスクリプトに変化。23日からは、難読化するために挿入した不要な文字を削除する、文字の置換部分を函数化した短いスクリプト（16日頃に一部で埋め込まれたタイプに酷似）に変わっており、またまた再改ざんサイトが続出。対策済みと思っている方も、今一度サイトのチェックと対策漏れの確認をしてみてはいかがだろうか。
　8080の改ざん対象は、インデックスページに使われることの多い「index」や「main」「default」などをファイル名に含むHTMLやPHPファイルと、全てのJavaScriptファイル（.js）。ファイルの先頭や末尾に、意味不明の文字列が並ぶスクリプトが挿入されていないかどうか、確認していたただきたい。

＜Gumblar.x＞
　Gumblar.xの場合には、一般のWebサイトを攻撃サイトに使用している関係もあってか、1日から数日程度の短いターンで頻繁に書き換えが行われている。改ざんロボットが二度ログインできないよう、ちゃんと対策しておかないと、それこそ修正/再改ざんの無間地獄になってしまう。
　改ざん対象のファイルは8080と同様だが、ファイル名は限定されておらず、手当たり次第に挿入される。HTMLファイルの場合には、末尾ではなくbodyタグの直前に挿入されるが特徴だ。
　8080のような難読化は行われておらず、挿入されるのはごく普通のscriptタグ（JSファイルの場合はscriptタグを挿入するdocument.writeが末尾に）。ロードするのは、一般のWebサイトに置かれたPHPファイルだ。一般サイトが攻撃サイトに使われているため、埋め込まれるURLのバリエーションは同じものを見つけるのが困難なほど多く、一見では改ざんされたものなのか正規のものなのかも区別しにくい。その辺の事情はウイルス対策ソフトにとっても同じらしく、改ざんページはほとんど見逃されてしまう。Gumblar.xの場合には、誘導先からロードするJavaScript以降からの検出がメインのようで、たとえばGumblar.xという名も、この攻撃用のJavaScriptの検出名（カスペルスキー名）だったりする。
　PHPが利用できるサイトの場合には、Gumblar.xの攻撃サイトに悪用されている可能性もある。サイトに不審なPHPファイルが置かれていないかどうかも、合わせてチェックしていただきたい。攻撃コードを格納するフォルダやファイル名は不定だ。

（2010/02/25 ネットセキュリティニュース）

  アドビのAdobe Download ManagerとWebブラウザのFirefoxに、コード実行のおそれのある脆弱性が見つかったようだ。

■Adobe Download Manager：アドビは問題解決のため調査中

　Adobe Download Managerは、中断されたダウンロードをその時点から再開する機能などを備えた、同社製品のダウンロード/インストールを支援するツール。同社の製品や体験版のダウンロードなどに用いられており、Adobe ReaderのインストールやFlash Playerのプラグインをインストールする際に、サイトの指示に従って同ツールをインストールしたユーザーも多いはずだ。
　このAdobe Download Managerに先週の18日（現地時間）、未修整の脆弱性が見つかったとの報告があがった。同社のブログや発見者のAviv Raff氏のブログでは、脆弱性の詳細は述べられていないが、コード実行につながるおそれがあるという。同ツールのコンポーネントはNOS Microsystemsが開発したもので、アドビでは発見者や開発元と協力して調査を進め、できるだけ早く問題を解決するとしている。
　発見者のAviv Raff氏のブログでは、システムにインストールされたままになっているAdobe Download Managerそのものが、プログラムのダウンロード/インストールに悪用されるおそれもあるとしており、コントロールパネルの「プログラムの追加と削除」を使って削除する方法を紹介している。Firefoxの場合には、プラグインとしてインストールされるので、「ツール」メニューの「アドオンの管理」を開き「getPlusPlus for Adobe....」を無効化する。Adobe Download Managerは、必要な時には再びダウンロードの指示があるので、削除しておいても問題はない。

・Adobe Download Manager issue[英文]（Adobe）
http://blogs.adobe.com/psirt/2010/02/adobe_download_manager_issue.html
・Skeletons in Adobe's security closet[英文]（Aviv Raff On .NET）
http://aviv.raffon.net/2010/02/18/SkeletonsInAdobesSecurityCloset.aspx

■Firefox：18日付でSecuniaが「アドバイザリ」公開

　Firefox 3/3.5の最新版の公開と前後して、同製品に存在する未修整の危険な脆弱性が表面化した。セキュリティベンダーのSecuniaが、18日付でアドバイザリを公開したもので、こちらも詳細は不明だがコード実行のおそれがあるという。Firefox 3.6の問題として報告されているが、アドバイザリでは他のバージョンにも影響する可能性があるとしている。脆弱性の発見者はImmunity社とのことで、同社が販売するゼロデイコードのパッケージに、Windows XP/Vista上のFirefox 3.6を攻略したコードが含まれているらしい。Sunbeltのブログによると、同社はMozillaに脆弱性の詳細情報は伝えていないそうで、あくまでも販売するのが目的という。
　脆弱性関連情報の扱いは、開発元ができるだけ早く修正し、利用するユーザーへの影響が出ないようにすることが最優先されるべき。国内では経済産業省の告示に基づいて、脆弱性関連情報の届出・受付機関として情報処理推進機構（IPA）が、また製品開発者への連絡や公表などの調整機関としてJPCERTコーディネーションセンター（JPCERT/CC）が指定されており、一般にはそういうルールにのっとった扱いがなされている。ところが、ときおりルールを無視して公開してしまう人や、それを悪用しようとする人が出てきて世間を混乱させる。Sunbeltのブログどおりなら、ルールを無視して一般ユーザーを混乱させる迷惑行為がなされたことになる。
・Mozilla Firefox Unspecified Code Execution Vulnerability[英文]（Secunia）
http://secunia.com/advisories/38608/
・Sunbelt Blog Exploit for zero-day vuln in Firefox is for sale[英文]（Sunbelt Blog）
http://sunbeltblog.blogspot.com/2010/02/exploit-for-zero-day-vuln-in-firefox-is.html

（2010/02/23 ネットセキュリティニュース）
 

  　昨日の「アラートメールにご用心」の中でお伝えした、Microsoft Teamを装うウイルスメールが、昨夜から手法を変えて国内に飛来している。英語圏のユーザーを狙う英文メールであることには変わりないが、今回はメール不達などの障害が英文メールで届くことも多いメールサービスのサポートチームを装っているため、うっかり添付ファイルを開いてしまう方が出て来るかも知れない。

■飛来するウイルスメールの件名と本文

　今回のウイルスメールは、「A new settings file for the △△△@●●● has just be released」という件名で届く。「△△△@●●●」は「ユーザー名@ドメイン名」形式のあなたのメールアドレス。送信者名は、メールアドレスのドメイン名を使って「●●● Team」と名乗っており、送信者のメールアドレスには「Microsoft Team」や「Facebook Team」のウイルスメールと同様、受信者のメールアドレスが設定されている。
　本文は「●●●メールサービスをお使いの方へ」で始まり、メールサービスのセキュリティアップグレードに伴って、あなたのメールボックスの設定を変更したので、添付したZIPファイルを開いて適用するよう指示する内容だ。

■添付ファイルの中身はトロイの木馬～ボット感染の危険

　添付ファイル「settings.zip」の中身「settings.exe」は、これまで同様、Bredolab系のトロイの木馬だ。それ自体は、外部からさまざまなプログラムをダウンロードしてシステムインストールするための小さなプログラムで、実行時に実際に何がインストールされるのかは分からない。が、その中には、ユーザーのパソコンを乗っ取って外部から操る、ボットも含まれているだろう。大量に送られてくるこのウイルスメールの真の送信元を調べると、いずれも、ボットに感染したと見られる世界各国のユーザーのパソコンに行き着く。
　編集部に届いているウイルスメールの中には、今のところ国内のユーザーから送信されたものは見当たらないが、ひとたび感染してしまうと攻撃チームの仲間入り。ボットに感染したパソコンは、スパム配信のほかにもさまざまな悪事に用いられるので、あなたのパソコンが悪い仲間に入らないよう、注意を払っていただきたい。

■「MAILER-DAEMON」さんからのメールに注意

　送付先のメールアドレスを間違えたりすると、不達を知らせるメールが届くことがある。送信元は「MAILER-DAEMON」や「Mail Delivery Subsystem」などと名乗り、送ったメールが添付されていることも多い。いきなり英文のメールが届くので、驚かれる方や不審に思う方も多いらしいが、これはメールの配送がうまくいかなかった際にメールサーバーが送信者に自動的に送付しているもの。サポートチームの人が、あなた宛てに送ったメールではなく、メールを配信できなかったサーバーが送れなかった理由を添えて機械的に返信しているだけのメールなのだ。
　したがって、それが本物のMAILER-DAEMONさん（メールサーバー）からのメールであれば、決して怪しいメールではないのだが、この自動返信メールを装うウイルスメールというのもあるので警戒心は常に必要だ。送ったメールが返ってきたと思い込み、あわてて添付ファイルを開いてしまうことのないよう注意したい。

（2010/02/23 ネットセキュリティニュース）

■Malware attack spammed out disguised as email settings file（Sophos）
http://www.sophos.com/blogs/gc/g/2010/02/22/malware-attack-spammed-disguised-email-settings-file/

◆アラートメールにご用心～偽MSのウイルスメール、偽MasterCardのフィッシング（2010/02/23）

  　件名に「Alert」を含む怪しげな英文メールが、17日頃から国内に大量に舞い込んでいる。ひとつは、マイクロソフトを装うウイルスメール。もうひとつは、マスターカードを装うフィッシングメールだ。
　詐欺やウイルス感染などを仕掛ける攻撃者たちは、相手の注意をひきつけたり、冷静さを失うように仕向ける目的で、しばしば「警告」「重要」「緊急」などの文言を用いる。そのような文言の入ったメールを受け取ったら、まずは疑ってかかろう。

■マイクロソフトをかたるウイルスメール

　マイクロソフトを装うウイルスメールは、「Conflicker.B Infection Alert」という件名で届く。送信者名は「Microsoft Team」となっているが、メールアドレスはあて先と同じものを設定。プロバイダから、あなたのネットワークがConflickerワームに感染しているとの知らせがあったので、添付ファイルをインストールしてウイルススキャンを行うよう促す。
　添付された「open.zip」の中身「open.exe」は、ウイルスを探して削除してくれるプログラムなどではなく、Bredolab系のトロイの木馬そのもの。指示どおりに実行してしまうと、さまざまな悪質なプログラムがインストールされてしまう。このウイルスメールは22日現在も出回っており、注意が必要だ。
　「Microsoft Team」のウイルスメールが出回り始める直前の1週間は「Facebook Team」名で「agreement.exe」を実行させようとするメールが、さらにその前の1週間は「ICS Monitoring Team」名で「report.exe」実行させようとするメールが出回っていたが、いずれもBredolab系のトロイの木馬を仕込んだウイルスメール。すべて英文なので、だまされる方は少ないと思うが、似たような日本語メールが舞い込んで来ても、うっかり添付ファイルを開かないように注意していただきたい。マイクロソフトでは、添付ファイルをインストールさせるメールは送付しないし、他の企業にしても添付ファイルを開かせるようなメールを突然送ってきたりはしない。

■マスターカードをかたるフィッシングメール

　マスターカードをかたるフィッシングメールは、「MasterCard Alert」や「Important MasterCard Alert」などの件名で届く。送信者は「MasterCard@●●●.com」（●●●は数桁の色々な数字）となっており、オンラインシステムをアップデートしたので、アカウント情報の更新が必要として、偽サイトに誘導。メールに記載したIDを入力させた後、住所、氏名、電話番号などの個人情報と、カード番号、有効期限、セキュリティコードなどのクレジットカード情報をだまし取ろうとする。
　偽メールは、HTML表示では同社のロゴがあしらわれ　リンクは「MasterCard - Update」と表示。URLの一部には「secure.mastercard」の文字列が織り込まれているが、カード会社や金融機関とは全く無関係なドメイン名で、ブラウザのステータスバーなどに表示されるはずの錠マークも表示されない。
　19日には、フィッシング対策協議会が当該フィッシングの注意を呼び掛ける緊急情報を公開。同日までに寄せられた報告は、MasterCardの問い合わせ窓口に11件、同協議会に7件あったという。MasterCardでは、顧客に口座や個人情報をたずねるメールを送ることは一切ないとしており、このようなメールを受けとってもリンクや添付ファイルを開かないよう注意を促している。
　同協議会では、今月8日にVISAをかたるフィッシングの注意喚起も行っている。VISAの偽サイトがボットに感染したユーザーのパソコンに設置されていたのに対し、今回の偽サイトは不正アクセスを受けた一般のWebサイトに設置されたものと見られる。編集部の調査では、8つのサイトから各5セットずつ、計40の偽サイトが見つかっており、うち2サイトが週末までに閉鎖。残りは22日現在も稼働しており、偽サイトに誘導するフィッシングメールは、週末にも飛び交っていた。引き続き注意が必要だ。
・MasterCard（マスターカード）を騙るフィッシング（フィッシング対策協議会）
http://www.antiphishing.jp/alert/alert1046.html

（2010/02/23 ネットセキュリティニュース）

 　件名に「Alert」を含む怪しげな英文メールが、17日頃から国内に大量に舞い込んでいる。ひとつは、マイクロソフトを装うウイルスメール。もうひとつは、マスターカードを装うフィッシングメールだ。
　詐欺やウイルス感染などを仕掛ける攻撃者たちは、相手の注意をひきつけたり、冷静さを失うように仕向ける目的で、しばしば「警告」「重要」「緊急」などの文言を用いる。そのような文言の入ったメールを受け取ったら、まずは疑ってかかろう。

■マイクロソフトをかたるウイルスメール

　マイクロソフトを装うウイルスメールは、「Conflicker.B Infection Alert」という件名で届く。送信者名は「Microsoft Team」となっているが、メールアドレスはあて先と同じものを設定。プロバイダから、あなたのネットワークがConflickerワームに感染しているとの知らせがあったので、添付ファイルをインストールしてウイルススキャンを行うよう促す。
　添付された「open.zip」の中身「open.exe」は、ウイルスを探して削除してくれるプログラムなどではなく、Bredolab系のトロイの木馬そのもの。指示どおりに実行してしまうと、さまざまな悪質なプログラムがインストールされてしまう。このウイルスメールは22日現在も出回っており、注意が必要だ。
　「Microsoft Team」のウイルスメールが出回り始める直前の1週間は「Facebook Team」名で「agreement.exe」を実行させようとするメールが、さらにその前の1週間は「ICS Monitoring Team」名で「report.exe」実行させようとするメールが出回っていたが、いずれもBredolab系のトロイの木馬を仕込んだウイルスメール。すべて英文なので、だまされる方は少ないと思うが、似たような日本語メールが舞い込んで来ても、うっかり添付ファイルを開かないように注意していただきたい。マイクロソフトでは、添付ファイルをインストールさせるメールは送付しないし、他の企業にしても添付ファイルを開かせるようなメールを突然送ってきたりはしない。

■マスターカードをかたるフィッシングメール

　マスターカードをかたるフィッシングメールは、「MasterCard Alert」や「Important MasterCard Alert」などの件名で届く。送信者は「MasterCard@●●●.com」（●●●は数桁の色々な数字）となっており、オンラインシステムをアップデートしたので、アカウント情報の更新が必要として、偽サイトに誘導。メールに記載したIDを入力させた後、住所、氏名、電話番号などの個人情報と、カード番号、有効期限、セキュリティコードなどのクレジットカード情報をだまし取ろうとする。
　偽メールは、HTML表示では同社のロゴがあしらわれ　リンクは「MasterCard - Update」と表示。URLの一部には「secure.mastercard」の文字列が織り込まれているが、カード会社や金融機関とは全く無関係なドメイン名で、ブラウザのステータスバーなどに表示されるはずの錠マークも表示されない。
　19日には、フィッシング対策協議会が当該フィッシングの注意を呼び掛ける緊急情報を公開。同日までに寄せられた報告は、MasterCardの問い合わせ窓口に11件、同協議会に7件あったという。MasterCardでは、顧客に口座や個人情報をたずねるメールを送ることは一切ないとしており、このようなメールを受けとってもリンクや添付ファイルを開かないよう注意を促している。
　同協議会では、今月8日にVISAをかたるフィッシングの注意喚起も行っている。VISAの偽サイトがボットに感染したユーザーのパソコンに設置されていたのに対し、今回の偽サイトは不正アクセスを受けた一般のWebサイトに設置されたものと見られる。編集部の調査では、8つのサイトから各5セットずつ、計40の偽サイトが見つかっており、うち2サイトが週末までに閉鎖。残りは22日現在も稼働しており、偽サイトに誘導するフィッシングメールは、週末にも飛び交っていた。引き続き注意が必要だ。
・MasterCard（マスターカード）を騙るフィッシング（フィッシング対策協議会）
http://www.antiphishing.jp/alert/alert1046.html

（2010/02/22 ネットセキュリティニュース）

　警察庁は18日、2009年1年間における出会い系サイト関連事件の検挙状況を発表した。

　発表によると、出会い系サイトに関係した事件として警察が検挙した総件数は、前年比約2割減の1203件だった。特徴的なのは、このうちの628件が、児童福祉法違反、青少年保護育成条例違反、児童買春・児童ポルノ法違反など、児童（18歳未満）への性犯罪に関する事件だったことだ。

　検挙数だけではなく、被害者数でも、児童が性犯罪に巻き込まれている様子が目立つ。たとえば、出会い系サイトを利用して犯罪被害にあった総数は548人だが、このうち約8割相当の453人が児童だった。これら被害児童の9割以上が携帯電話で出会い系サイトにアクセスしていたという。

　昨年に続き、出会い系サイトでの児童による誘引（誘いかけ）が増加している。誘引行為での検挙件数は348件（前年比-19件)あるが、このうち児童による誘引は222件と６割以上に及ぶ。2008年は119件、2007年は61件だったので、毎年50％以上の割合で増加していることになる。

　また、非出会い系サイトでの被害件数の増加も注目される。出会い系サイト利用の被害児童数は前年と比べて37.4％減少しているが、非出会い系サイトを利用して被害にあった児童数は1136人。前年比で43.4％も増加している。このところ非出会い系サイトが児童を巻き込む性犯罪の温床になっている傾向があると指摘されていたが、それを実証する結果となった。

　警察庁では児童の被害を予防するために、児童の利用禁止を明示していない6サイト、児童でないことの確認義務を怠った176サイトに行政処分の事前警告を行った。これら182サイトのうち6サイトがすでに閉鎖され、152サイトが指導に応じて是正した。だが、24サイトは今なお指導継続中だという。

　今後の対策としては、フィルタリングの普及啓蒙活動を強化するとともに、児童の被害が多発している非出会い系サイトの事業者に対して自主規制するよう指導するとしている。

（2010/02/19 ネットセキュリティニュース）

■ 平成21年中のいわゆる出会い系サイトに関係した事件の検挙状況について[PDF]（警察庁）
http://www.npa.go.jp/cyber/statics/h21/pdf52.pdf

　Mozilla Japanは17日、複数の脆弱性を修正したFirefox3.5/3.0の最新版「3.5.8」と「3.0.18」を公開した。Mozilla JapanのWebサイト、[ヘルプ]メニューの[ソフトウェアの更新を確認]、または自動アップデート機能を通じて入手することができる。

　修正されたのは両バージョンに共通する5項目。このうち3件は悪用されると任意のコードが実行されるおそれのある重要度「最高」にランクされた脆弱性で、ブラウザエンジンとWebワーカーでのメモリ破壊や、HTMLパーサーが誤って使用中のメモリを解放してしまう問題などが修正された。残りの2項目は重要度「中」。これらはすべて最新版の3.6では修正済みだ。

　なお、3.0系 のセキュリティ更新はまもなく終了し、3.5系のセキュリティ更新も8月で終了する予定だ。そのためMozilla Japanはすべてのユーザーに 最新版 3.6への更新を強く推奨している。

（2010/02/19 ネットセキュリティニュース）

■Firefox 3.5.8
・リリースノート（Mozilla Japan）
http://mozilla.jp/firefox/3.5.8/releasenotes/
・セキュリティアドバイザリ（Mozilla Japan）
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.8
■Firefox 3.0.18
・リリースノート（Mozilla Japan）
http://mozilla.jp/firefox/3.0.18/releasenotes/
・ セキュリティアドバイザリ（Mozilla Japan）
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.18

　消費者庁は17日、アップル社の有料音楽配信サイトiTunes Storeで多発している不正請求トラブルについて、同社の子会社でサイト運営を行っているiTunesに対し、公開質問状を出した。

　本通信でも15日付で報じたが、昨秋からサイト利用者の間で心当たりのない請求を受けるトラブルが多発しており、各地の消費生活センターを通じて同庁に多くの相談事例が寄せられている。12日に注意喚起を行ったばかりだが、消費者への情報提供と必要な対策を講じるために、情報収集する必要があるとして、同庁は質問を列記した文書を関係者に手渡し、ホームページ上でも公開した。

　公開質問状の内容は5項目で、アップルおよびiTunesが「トラブルについてどの程度把握しているのか」「トラブル原因についての考えと原因追究についての方針と今後の予定」「個人情報保護の取り組み」「利用者から不正請求トラブルの連絡を受けた際の対応」「利用者からの問い合わせに対する回答までの時間や電子メール以外の窓口設置予定の有無」を問いかけている。

　これらの質問事項はユーザーの声を反映した内容だ。iTunes Storeでは購入時にIDとパスワード、クレジットカードの番号を登録しなくてはならない。これらの個人情報がなぜ漏えいしたのか、どのように不正利用されたのか、いずれも原因が明らかになっていない。そのため不正請求を受けていないユーザーの間でも不安が広がり、クレジットカード情報を削除してプリぺイド型のiTunes カード利用に切り替える例も少なくない。また、不正請求トラブルに直面したユーザーの間では、アップルおよびサイト運営社に対しての問い合わせ方法が電子メールのみで、回答までに時間がかかることに不満と不信が募っている。

　質問への回答には期限が設けられていないが、同庁はアップル側に対し消費者保護のために必要な措置を講じることと速やかな回答を求めている。また、回答は消費者への情報提供の一環として公開する可能性があることも告知している。

（2010/02/18 ネットセキュリティニュース）

■音楽情報サイト運営事業者に対する照会について（消費者庁）
http://www.caa.go.jp/adjustments/pdf/100217adjustments_2.pdf

　アドビシステムズは16日（米国時間）、深刻な脆弱性を修正したAdobe ReaderとAcrobatの更新版「9.3.1」および「8.2.1」のアップデータを公開した。対象は、Windows、Macintosh、UNIX版のAdobe Reader、およびWindowsとMacintosh版のAcrobat。

　今回のアップデータでは、アプリケーションがクラッシュしたり、任意のコードが実行される恐れのある問題が修正されている。この種の脆弱性は、一連のサイト改ざんで行われているドライブバイダウンロード攻撃に使われるおそれのあるもので、悪用されると細工したPDFファイルを使ったウイルスの自動インストールが可能になる。Adobe Readerをインストールされている方は、至急アップデートしておくことをお勧めする。

　同アップデータでは、このほかに先日最新版がリリースされたFlash Playerと同じ、ドメインサンドボックスの制限を超えてクロスドメインリクエストが可能になる問題も修正されている。

　最新版への更新は、製品の「ヘルプ」メニューの「アップデートの有無をチェック」で行えるほか、同社のサイトからアップデータをダウンロードすることもできる。

　なお、現時点で提供されているのは、インストール済の製品を更新するアップデータのみで、最新のフルパッケージ版は用意されていない。新規にインストールされる方は、インストール後に必ず「アップデートの有無をチェック」を実行して最新版に更新していただきたい。

（2010/02/17 ネットセキュリティニュース）

■Security updates available for Adobe Reader and Acrobat[英文]（Adobe）
http://www.adobe.com/support/security/bulletins/apsb10-07.html
■Adobe Reader and Acrobat 9.3.1 and 8.2.1 Release notes［英文］（Adobe Systems）
http://kb2.adobe.com/cps/505/cpsid_50570.html

　Googleは10日、同社のフリーメールサービスであるGmailの新メニューとして「バズ」という機能をスタートさせた。この機能を利用し、公開を意図していなかった個人情報が公開されてしまったと、ユーザーから非難と不満が続出。対応を余儀なくされたGoogleは、11日と12日の2度にわたって修正を行った。

■「バズ」利用で公開された自分や送信相手の個人情報

　「バズ」は、チャットやGmailをやりとりしている相手にショートメッセージを送ったり、逆に受け取ったメッセージにコメントを付けたりできるツールで、いわばTwitterのような機能だ。Gmailにログインすれば、受信箱の下にあるバズをクリックしてコメントを投稿するだけでチャット仲間やメール相手に届く。スタート時には、ユーザーが設定作業を行わなくても、普段ひんぱんにメールを交換している相手を自動的にフォローする機能があったからだ。
　Googleによると、開始から2日で数千万人が利用し、900万件のつぶやきが交わされたという。ところが、ユーザーがバズを利用したら、Gmailで使用している自分や送信相手の氏名など個人情報が、意図せずに公開されてしまった。そのためネットでひと騒動持ち上がったというわけだ。

■意図しない個人情報が公開された理由とGoogleの対応

　バズを使うには、少なくともニックネームか氏名を記入した公開プロフィールを設定しなくてはならない。これは自己紹介のようなものであり、友人や家族に見つけてもらいやすくするために、という理由だ。このユーザー名はGmailの差出人名にも利用されるなど、Googleの全サービスに共通しているため、ビジネス用に利用している場合などは本名を設定しているケースも少なくない。
　デフォルトでは、「検索して見つけてもらえるようにフルネームを表示する」や「自分がフォローしているユーザーや自分をフォローしているユーザーのリストを表示する」にチェックが入っている。バズを投稿すると閲覧した相手に差出人名が表示されるのだが、このチェックを外しておかないと、自分はもちろんのことバズを送る相手の氏名を公開することになる。

　公開を意図しない個人情報が表示されてしまったというユーザーの不満や非難の声に応じてGoogleは、公開プロフィールのデフォルトのチェックを外したり、自動フォローにしないでバズの送信相手候補を提示するだけにしてユーザー自身が決められるようにするなどの修正を行った。また、バズ利用時のプロフィール公開の原則は変わらないが、誰にでも見られる一般公開か限定公開にするかの選択肢をわかりやすくし、送信相手のリスト表示・非表示なども選択できるようにした。

■モバイルユーザーは「位置情報」も公開され、騒ぎに

　Googleバズは、iPhoneやAndroid携帯などのモバイル端末からも利用できる。しかもその際には、位置情報も付与されるようになっている。場合によっては本名や勤務先の場所、自宅の住所を公開してしまうことになりかねない。このためモバイルユーザーの間でも騒ぎになったわけだ。
　Google側の修正で、iPhoneでは、位置情報をバズに添付したくない場合は削除できるようになった。Androidからバズを投稿する際には、位置情報について、現在地、もしくは、周囲のお店、現在地以外の場所を選択できるようになっている。ただし、どうしても位置情報つきのバズを投稿したくない場合は、Androidは使用できない。

　なお、PCでもモバイルでも、このような修正が施される前に利用開始した場合には、自動的に最適化されるわけではないので、自分自身で設定画面を確認し、個人情報を管理したほうがいいだろう。

■個人情報の管理は自己責任でしっかりと

　このような騒動は過去にもあった。たとえば、やはり個人情報がデフォルトでは公開になっているAmazonで、ウィッシュリストを通じて個人情報が検索可能になっていた一件だ。Googleマップでも今回のようにデフォルトの公開設定を見逃してマイマップで個人情報が見られてしまった。
　本通信で既報の「iTunes請求トラブル」でもお伝えしたが、ID、パスワードなどの個人情報はユーザー自身が管理するもの。Googleのプロフィールもよく見れば、デフォルトで「表示」にチェックが入っていることがわかるはず。こうしたことをよく確かめて、自分自身で知らせていい情報と知られたくない情報を整理し、公開と非公開のいずれかを決めて実行するようでありたい。入力だけしてあとはサイトにお任せというのは、自身で個人情報の管理を放棄しているといえるのではないだろうか。

（2010/02/16 ネットセキュリティニュース）

■Official Gmail Blog Millions of Buzz users, and improvements based on your feedback（Official Gmail Blog）
http://gmailblog.blogspot.com/2010/02/millions-of-buzz-users-and-improvements.html
■Google バズ を快適にお使いいただくために（Google Japan Blog）
http://googlejapan.blogspot.com/2010/02/google_5158.html

　消費者庁は12日、インターネットの消費者トラブルとして、有料音楽配信サイト利用をめぐる注意喚起をホームページ上で発表した。

　発表によると、有料音楽配信サイトの利用者が心当たりのない代金の請求を受けたという相談事例が、消費者庁と国民生活センターに寄せられているという。こうした請求をめぐる被害相談事例の数は現時点で43件。昨年秋から増加しており、今年1月にも新たな相談が寄せられたという。

　トラブルが起きているサイトの名称は明記されていないが、相談事例の多くは、クレジットカードの利用履歴や請求書の明細を見て、利用した覚えがないのに有料音楽配信サイトで購入した代金が請求されていることに気づく、というパターンだ。音楽配信サイト以外での不正使用は行われていないので、何らかの形でサイトのログインIDやパスワードが盗まれ、登録したクレジットカードが悪用されたと考えられる。　消費者庁は、有料音楽配信サイト利用者に対して、クレジットカードの請求明細を確認すること、不審な点があればクレジットカード会社やサイト運営事業者に連絡するようにと助言している。クレジットカード番号やID、パスワードのなどの個人情報管理にも注意を促している。

■「iTunes」で不正請求被害多発、アップル社はID流出を否定

　1月中に朝日新聞が2度にわたって、「iTunes」で不正請求被害が多発してる記事を掲載している。アップル社は同サイト側からのID流出否定しているが、一定の条件が揃うと「なりすまし」が可能になるおそれがあり、アップル社も事実関係の調査を始めたという内容だ。
　このためか、消費者庁の注意喚起が発表されると、報道各社は有料音楽配信サイトをアップル社が運営する「iTunes」と特定し、同サイトの利用者に請求トラブルが多発していることを伝えた。

　各社の消費者庁への取材によると、消費者庁が国内の大手クレジットカード会社5社から聞き取りを行ったところ、これまでにあわせて95件の事例が確認できたとしている。また、消費者庁は注意喚起にとどまらず、アップル社の担当者を呼んでトラブルの内容について詳しく聞き取るとともに、「iTunes」のサイトでも利用者に注意を呼びかけるよう同社に働きかけることにしているという。

■アップル社は購入解約に応じず、カード会社は被害補てんせず

　インターネット上の個人ブログやコミュニティサイトの掲示板などで、被害事例の体験談が見られる。クレジットの請求明細を見て被害に気づき、購入履歴等を確認しようとしてIDやパスワードが盗まれて変更されていることを知る、というパターンが多いようだ。被害金額はさまざまだが、発覚後に浮かび上がる問題点は次の2点である。

　1つは、IDとパスワードの管理責任は消費者側にあるため、アップル社が購入契約の解約に応じない。もう1つは、クレジットカード自体の不正利用ではなく、IDやアカウントの不正利用なので、基本的にカード会社は被害補てんをしない。

　ユーザーは、自分が購入したものではないのだから、支払い請求を受けても支払いたくないわけだが、現実は厳しい。カード情報流出や盗難と違い、「請求トラブル」とされるゆえんだ。

■カード情報の盗難なしに「カードが使われてしまう」リスク

　クレジットカード情報を保存しているサイトは、クラックされればカード情報が盗まれる可能性がある。また、フィッシングやウイルス感染など何らかの形でアカウントが盗まれれば、カードが使われてしまうリスクが生じる。
　ショッピングの際にカード情報を入力する手間は省けるが、その便利さはアカウントを盗んだ人間にも便利に使えるということだ。登録されているカード情報が閲覧できれば、カード情報を盗んでよそで使うこともできるし、盗めなくても当該サイトではカード情報の入力なしで買い物ができてしまう。

　今回の一連の「iTunes」トラブルはまさに後者の事例だが、ほかの有料配信サイトやオンラインゲームサイト、各種ショッピングサイトでも同様のトラブルが起こるおそれは常にある。ネットでカード決済を利用する際には、その便利さを見るだけでなく、表裏一体の関係にある危険性を見落とさないようにしたい。

■便利さと引き換えのリスクへの覚悟と個人情報管理

　「iTunes」の請求トラブルについては個人情報流出の経緯や原因はわかっておらず、アップル社は同社側からの流出を否定している。消費者庁が動き出したことで、事態の打開に進捗が見られるかもしれない。しかしそれは、すでに発生している代金支払いをどうするかという問題に焦点が当てられている。盗難や不正使用の危険がつきまとう現状において、ネットでカード決済を利用するには、便利さと引き換えのリスクへの覚悟と個人情報管理のセルフケアが必須といえそうだ。

（2010/02/15 ネットセキュリティニュース）

■音楽情報サイトの利用者が心当たりのない利用代金の請求を受ける事例の発生について（消費者庁）
http://www.caa.go.jp/adjustments/pdf/100212adjustments_1.pdf

　アドビシステムズは12日、2件の脆弱性を修正したFlash Playerの最新版「10.0.45.2」を公開した。全てのプラットホームが対象となっている。

　同社のセキュリティ情報によると、修正されたのは「ドメインサンドボックスの制限を超えてクロスドメインリクエストを可能にする」おそれのある脆弱性など。

　あるサイト（ドメイン）からダウンロードしたFlashコンテンツは、原則としてそのサイトとしかコミュニケーションできないように、セキュリティ上の制限が設けられている。ところが従来のバージョンには、その制限を超えて他のサイトに対してリクエストが可能になる脆弱性があった。
　最新版ではこのほか、DoS（Denial of Service：サービス拒否）が起こる可能性のある問題も修正されている。

　同社は、Flash Player 10.0.42.34以前のバージョンをインストールしている全てのユーザーに対し、最新バージョンへのアップデートを推奨している。

　Flash Playerの最新版は、同社のサイトからダウンロードできる。現在インストールされているバージョンは、「Flash Player のバージョンテスト」ページにアクセスすると確認できる。複数のブラウザをお使いの方は、必ずブラウザごとにアップデートを行っていただきたい。

　なお、同社はAdobe Reader/Acrobatについても、Flash Playerの問題を含む脆弱性が存在しているとして、2月16日（現地時間）に修正版をリリースする予定だという。

（2010/02/15 ネットセキュリティニュース）

■Security updates available for Adobe Flash Player[英文]（Adobe）
http://www.adobe.com/support/security/bulletins/apsb10-06.html
■Flash Player 10のダウンロード
http://get.adobe.com/jp/flashplayer/
■Flash Playerのバージョンテスト
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

　任天堂オーストラリアは9日（以下現地時間）、ゲーム機「Wii」用のソフト「NewスーパーマリオブラザーズWii」を発売前に違法にコピーして配信していた男との間で、男が同社に賠償金150万豪ドル（約1億2000万円）を支払うことで和解が成立したと発表した。

　同社や現地の報道によると、男はクイーンズランド州在住の24歳。ソフトがオーストラリアで発売される1週間前の昨年11月6日から、違法コピーをネット上で配信していた。同ゲームが誤って発売日以前に小売店で陳列され、男がこれを入手して違法配信を行ったとされているが、男が以前ゲーム小売店で働いていたという情報もある。

　男が配信したデータは、世界中で5万人以上にダウンロードされたとみられている。男はまた、訴訟費用10万豪ドル（約800万円）の支払いも裁判所から命じられた。「NewスーパーマリオブラザーズWii」は、日本では5,800円（税込）で販売されている。

（2010/02/12 ネットセキュリティニュース）

■ Nintendo Takes Action To Combat Video Game Piracy［英文］（Nintendo Australia）
http://www.nintendo.com.au/index.php?action=news&nid=76&pageID=6

　前記事『訪問の心あたりはありませんか～改ざん告知サイト46（1）』では、1月20日から2月8日に改ざんを告知したサイトの情報をまとめた。それ以前に告知を行ったサイトは以下の通り。いずれも、改ざんの事実を隠すことなく、閲覧者に謝罪して対策を呼びかけているサイトだ。

　サイトを訪問したかどうかはっきり覚えていない場合は、ブラウザの「履歴」の検索機能を使い、リストの「場所」欄にあるカッコ内のURL（先頭の「www.」がない場合もある）を検索してみるとよい。

■オーク情報システム（2010年1月19日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月14日23時～1月19日18時
場所：NetEvidenceサイト（www.netevidence.jp）
告知：NetEvidenceサイト改ざんについて
http://www.oakis.co.jp/topics/news/2010/01/post-2.php
告知：NetEvidenceサイトの改ざんに関するお詫びとお知らせについて
http://www.oakis.co.jp/topics/news/2010/01/netevidence.php
告知：NetEvidenceサイトの改ざんに関するお詫びとお知らせについて
http://www.netevidence.jp/news/news/100127111.html

■サロンドグレー/クレッセント（2010年1月19日発表）
種別：Gumblar亜種（当事者発表）
期間：2009年12月16日13時50分～2010年1月8日13時
場所：同社ホームページ（www.salondegres.co.jp）
告知：（お詫び）ホームページの再開について
http://www.salondegres.co.jp/whatsnew/20100118.html

■日本血液浄化技術学会（2010年1月19日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月8日3時7分～1月10日23時35分
場所：同会ホームページ（www.jyouka.com/）
告知：【お詫び】ホームページへの不正アクセスの発生について
http://www.jyouka.com/owabi.html

■日本大学歯学部同窓会（2010年1月18日発表）
種別：Gumblar亜種（当事者発表）
期間：不明～2010年1月17日
場所：同会ホームページ（www.aa-nusd.jp/）
告知：（お詫び）ホームページの再開について
http://www.aa-nusd.jp/page/view/433/

■日本アクションラーニング協会（2010年1月15日発表）
種別：Gumblar亜種（当事者発表）
期間：2009年12月28日12時～12月29日1時
　　　2010年1月3日18時～1月4日11時
場所：同協会ホームページ（www.jial.or.jp/）
告知：ホームページに関する報告とお詫び
http://www.jial.or.jp/event/20100112.html

■おかやまファーマーズ・マーケット サウスヴィレッジ（2010年1月15日発表）
種別：Gumblar亜種（当事者発表）
期間：不明～1月14日
場所：同サイトトップページ（southvillage.net/index.html）
告知：「ガンブラー」亜種感染について
http://southvillage.net/mainte2.htm

■日本LPガス協会（2010年1月14日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月6日21時～1月8日20時
場所：同協会ホームページ（www.j-lpgas.gr.jp/）
告知：当協会ホームページの第三者による改ざんについて
http://www.j-lpgas.gr.jp/news/09_007/index.html

■首都圏システム開発（発表日不明）
種別：Gumblar（当事者発表）
期間：2010年1月8日～1月13日
場所：同社サイト（www.msd-21.co.jp）
告知：弊社サイトのウィルス感染に関するお詫び
http://www.msd-21.co.jp/index.html

■ゾロ OFFICIAL WEB SITE（発表日不明）
種別：Gumblar亜種（当事者発表）
期間：2010年1月6日12時～1月12日13時
場所：ゾロ OFFICIAL WEB SITE（www.zoro-web.com/）
告知：ゾロ Official Websiteに関するお詫びとお知らせ
http://www.zoro-web.com/2010.html

■隆泰商行（2010年1月12日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月8日2時9分～1月11日19時28分
場所：同社ホームページ（www.ryuuka.co.jp）
告知：ホームページに関する報告とお詫び
http://www.ryuuka.co.jp/notice100112.html

■ひめの矯正歯科（2010年1月12日発表）
種別：8080
期間：2010年1月2日22時～1月7日12時
場所：同院ホームページ（www.himeno.org）
告知：ホームページに関する報告とお詫び
http://himeno.yoka-yoka.jp/e374235.html

■すまいる歯科（2010年1月11発表）
種別：8080
期間：2010年1月2日22時～1月6日12時
場所：同院ホームページ（www.smile-shika.jp）
告知：ホームページに関するご報告とお詫び
http://www.smile-shika.jp/cgi-bin/record/view.cgi?bn#139

■mazis official website（2010年1月11日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月9日～1月11日
場所：mazis official website（www.mazis.jp）
告知：【重要】ウィルス感染について
http://www.mazis.jp/2010/01/post_6.html

■カグー（2010年1月11日発表）
種別：Gumblar亜種（当事者発表）
期間：2009年12月24日17時～2010年1月11日14時
場所：オンラインショップKAGOO（www.kokugai.com/kagoo/）
告知：KAGOOホームページに関する報告とお詫び
http://press.seiloo.co.jp/log/eid38.html

■プラザスタイル（2010年1月8日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月2日18時14分～1月6日13時1分
場所：Fruits&Passionブランドサイト（fruits-passion.jp/）
告知：弊社ホームページへの不正アクセス発生に関するお詫びとお知らせ
http://www.plazastyle.com/infomation/btqmt3000000djvb.html

■西日本企画サービス（発表日不明）
種別：8080（当事者発表）
期間：2010年1月5日3時～1月7日17時40分
場所：同社ホームページ（nksnet.co.jp/）
告知：弊社HP改竄について、お詫びとお報せ
http://nksnet.co.jp/owabi.html

■さくら亭（2010年1月7日発表）
種別：Gumblar亜種（当事者発表）
期間：2009年12月28日～2010年1月7日13時
場所：さくら亭ホームページ（www.sakuratei.co.jp/）
告知：さくら亭ホームページをご覧になった皆様へのお願い
http://www.sakuratei.co.jp/information20100107.html

■経営戦略研究所（2010年1月7日発表）
種別：8080
期間：2010年1月2日22時～1月6日12時
場所：同社ホームページ（www.consuldent-hp.jp）
告知：ホームページに関する報告とお詫び
http://www.consuldent-hp.jp/apology.php

■アルゴノート（2010年1月7日発表）
種別：Gumblar亜種（当事者発表）
期間：2009年1月5日17時40分～1月7日17時50分
場所：同社ホームページ（www.specialist-net.jp）
告知：当社ウェブサイトをご覧になった皆様へお詫びとお願い
http://www.specialist-net.jp/argonaut/apology.html

■インターメディカル（2010年1月6日発表）
種別：Gumblar亜種（当事者発表）
期間：不明
場所：同社ホームページ（www.intermedical.jp）
告知：サイトに関する報告とお詫び（削除済み）

■ミュージックグリッド（2010年1月6日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月3日0時2分～1月6日23時
場所：MEG-CDサイト（www.meg-cd.jp/）
告知：ホームページに関する報告とお詫び 2010年1月6日
http://meg-cd.jp/info100107.html

■IGOAMIGOホームページ（2010年1月6日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月4日0時50分～1月6日13時
場所：IGOAMIGOホームページ（www.igoamigo.com）
告知：（お詫び）IGOAMIGOホームページについてご報告
http://www.igoamigo.com/0106houkoku.html

■あゆみ共同保育所（2010年1月6日発表）
種別：Gumblar型（当事者発表）
期間：2009年12月～2010年1月6日13時4分
場所：同保育所ホームページ（www.e-ayumi.jp/）
告知：ホームページに関する報告とお詫び（削除済み）
http://www.e-ayumi.jp/

■テイクス（2010年1月5日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月4日16時30分頃～1月5日14時30分頃
場所：同社サイト（www.takes.ne.jp/）
告知：弊社サイトの改ざんに関するお詫びとご説明
http://www.takes.ne.jp/annaunce_01.html

■福水グループ（発表日不明）
種別：Gumblar亜種（当事者発表）
期間：2009年12月27日12時29分～2010年1月4日13時45分
場所：同グループホームページ（www.the-fukusui.com）
告知：【お詫び】ホームページへの不正アクセスについて
http://www.the-fukusui.com/owabi.html

（2010/02/12 ネットセキュリティニュース）

　サイト改ざん攻撃が止まない。昨年12月から猛威をふるっている「8080」。10月に攻撃を開始し、一時、鳴りをひそめていたものの、5日に復活を果たした「Gumblar.x」。この2系統の攻撃によって、これまでに国内のサイト多数が改ざんされている。

　本通信では改ざんを告知しているサイトの情報を何度かお伝えしてきたが、その後にキャッチした情報を以下にまとめる。該当サイトを訪問した心あたりがある場合は、セキュリティ企業各社が提供するオンラインスキャンを実行するようおすすめする。下記のトピックス『「ガンブラー」「サイト改ざん」めぐる基本のQ&A ～ 何が起きている？ 対策は？』を参考にしていただきたい。

　攻撃の種別が不明あるいは当事者発表となっている場合、8080でもGumblar.xでもない別種の攻撃によってサイトが改ざんされた可能性もある。この点はご承知おきいただきたい。

■ケイパ（2010年2月9日発表）
種別：Gumblar.x
期間：2009年12月23日～2010年1月6日
場所：同社ホームページ（www.kaepa.jp）
告知：弊社ホームページに関する報告とお詫び
http://www.kaepa.jp/news.html

■ビーツーワンソフト・インコーポレイテッド（2010年2月8日発表）
種別：Gumblar.x
期間：2010年2月5日14時56分～2月7日15時
場所：同社ホームページ（www.b21soft.co.jp/）
告知：B21Soft Inc.サイトの改ざんに関するお詫びとお知らせについて
http://www.b21soft.co.jp/

■アルテサロンホールディングス（2010年2月4日発表）
種別：不明
期間：2010年2月1日19時頃～2月2日15時
場所：同社ホームページ（www.arte-hd.com）
　　　アッシュホームページ（www.ash-hair.com）
　　　エッセンシュアルズジャパンホームページ（www.essensuals.jp）
　　　AMGホームページ（www.amg-hair-spa.com）
告知：当社グループホームページがウイルス感染したことに関する報告とお詫び（重要）
http://www.arte-hd.com/topics/news/2010/02/post_20.html
告知：当社グループホームページがウイルス感染したことに関する報告とお詫び（重要）
http://www.ash-hair.com/topics/2010/02/post_21.html
告知：当社ホームページがウイルス感染したことに関する報告とお詫び(重要)
http://www.essensuals.jp/news/info.html
告知：当社ホームページがウイルス感染したことに関する報告とお詫び（重要）
http://www.amg-hair-spa.com/info/index.html

■ゴーギャン展2009公式サイト/NHKプロモーション（2010年2月3日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月3日2時22分～2月1日10時55分
場所：ゴーギャン展2009公式サイト（www.gauguin2009.jp）
告知：「ゴーギャン展2009（当サイト）」に関するお詫びとお知らせ
http://gauguin2009.jp/
告知：「ゴーギャン展2009（公式サイト）」に関するお詫びとお知らせ
http://www.nhk-p.co.jp/information_1.html
告知：「ゴーギャン展2009ホームページ」に関するお知らせ
http://www.momat.go.jp/topics/index.html#20100203

■エコルート（2010年2月2日発表）
種別：8080
期間：不明
場所：同社ホームページ（www.eco-rt.jp）
告知：コンピューターウィルスに関する重要なお知らせ
http://www.eco-rt.jp/info-wi.html

■フランスベッド（2010年2月2日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月28日16時18分～18時20分
場所：眠りナビ.com（nemurinavi.com）
告知：フランスベッド「眠りナビ.com」ホームページに関するお詫びとお知らせ
http://www.francebed.co.jp/interior/news/log/eid122.html

■リーダー電子（2010年2月1日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月25日16時～19時30分
場所：同社ホームページ（www.leader.co.jp）
告知：ホームページに関するお詫びとお願い
http://www.leader.co.jp/company/t_100201.html

■SDM（2010年1月29日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月7日～1月21日
場所：スタービューティー 文化人・専門家の私物公開コーナー
　　　（starbeauty.jp/monokoto/search/）
告知：スタービューティー「文化人・専門家の私物公開コーナー」サイト改ざんについて
http://starbeauty.jp/info/acknowledgment.php

■雇用・能力開発機構 大阪（2010年1月29日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月20日16時51分～1月27日18時10分
場所：同機構ホームページ「仕事おためし訓練コース・概要」
　　　（www.ehdo.go.jp/osaka/center/sen/sei/）
告知：当センターホームページ「仕事おためし訓練コース・概要」に関するお詫びとお知らせ
http://www.ehdo.go.jp/osaka/data/H22.01.29.pdf

■ワイドレジャー（2010年1月28日発表）
種別：不明
期間：2010年1月26日18時20分頃～1月27日13時30分
場所：同社ホームページ（www.wideleisure.co.jp）
告知：当サイト改ざんについてのお詫び
http://www.wideleisure.co.jp/new/index_syosai.php?in_id=111

■エヌイーホールディングス（2010年1月28日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月21日10時43分～1月21日22時40分
場所：栄光学園ホームページ（www.ne-holdings.com/eikou/）
　　　西塾ホームページ（www.ne-holdings.com/nishijuku/）
　　　名古屋個別指導学院ホームページ（www.ne-holdings.com/kobetsu/）
　　　進学塾サンライズホームページ（www.ne-holdings.com/sunrise/）
告知：お詫びとお知らせ
http://www.ne-holdings.com/eikou/news/detail.php?id=1264658804
告知：お詫びとお知らせ
http://www.ne-holdings.com/nishijuku/news/detail.php?id=1264684664
告知：お詫びとお知らせ
http://www.ne-holdings.com/kobetsu/news/detail.php?id=1264685559
告知：ホームページの不正改ざんについて
http://www.ne-holdings.com/sunrise/news/detail.php?id=1264591227

■フェザー（2010年1月27日発表）
種別：8080
期間：2010年1月22日16時45分～1月25日17時12分
場所：レオンカホームページ（www.leonka.jp）
告知：フェザー株式会社「レオンカ」ホームページに関する報告とお詫び
http://www.leonka.jp/a20100127.html

■浅川鍼灸整骨院（2010年1月27日発表）
種別：8080
期間：2010年1月16日～1月18日16時30分
場所：同院ホームページ（yamanashi.harikyu.or.jp/asakawa/）
告知：【重要】1/16～18にHPご覧の皆さまへ：ウィルスチェックのお願い
http://yamanashi.harikyu.or.jp/asakawa/

■遠鉄百貨店（2010年1月26日発表）
種別：Gumblar亜種（当事者発表）
期間：塩鉄百貨店ホームページ
　　　　2009年12月15日17時～12月24日21時30分
　　　浜松まちなか情報サイトUP-ONホームページ
　　　　2009年12月15日15時31分～12月28日14時
場所：塩鉄百貨店ホームページ（www.endepa.com）
　　　浜松まちなか情報サイトUP-ONホームページ（www.upon.jp）
告知：弊社ホームページに関するお詫びとお知らせ
http://www.endepa.com/osirase/osirase.html
告知：弊社ホームページに関するお詫びとお知らせ
http://www.upon.jp/osirase.html

■海老名第一ビルディング（2010年1月26日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月22日4時22分～1月25日19時30分頃
場所：オークラフロンティアホテル海老名ホームページトップページ
　　　（www.okura-ebina.co.jp）
告知：（お詫び）ホームページの不正改ざんについて
http://www.okura-ebina.co.jp/info2.html

■武市ウインド名古屋（2010年1月26日発表）
種別：8080
期間：2010年1月22日9時頃～1月25日13時30分頃
場所：雅リフォームホームページ（www.miyabi-reform.jp）
告知：「雅リフォーム」ホームページをご覧になった皆様へ（削除済み）

■林原グループ（2010年1月25日発表）
種別：8080
期間：林原グループWeb Site　2010年1月14日22時3分～1月20日10時
　　　TREHA Web　2010年1月14日21時59分～1月21日12時
場所：林原グループWeb Site（www.hayashibara.co.jp）
　　　TREHA Web（www.treha.jp）
告知：ホームページに関するお詫びとお知らせ
http://www.hayashibara.co.jp/html/whatsnew/

■wazacule（2010年1月24日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月22日10時44分～1月24日15時42分
場所：「＊how to fly」トップページ（www.wazacule.com）
告知：ホームページアクセスに関するお詫び
http://www.wazacule.com/htf_site.php

■ハート＆カラー（2010年1月22日発表）※改ざんされたままのページあり
種別：8080
期間：2010年1月14日21時～1月21日22時
場所：ハート＆カラーホームページ（www.heart-color.com/）
　　　色彩学校（www.shikisaigakko.com/）
　　　子どものアトリエ・アートランド（www.art-land.jp/）
告知：弊社サイトの改ざんに関するお詫び
http://www.heart-color.com/archives/2010/01/post_83.html

■ムーンスター（2010年1月22日発表）
種別：Gumblar亜種（当事者発表）
期間：2010年1月20日14時～16時
場所：HI-TECホームページ（www.hitec-footwear.com）
告知：お詫び(HI-TECホームページにおける改ざんの件)
http://www.hitec-footwear.com/news_detail.php?news=3

■東急ステイサービス（2010年1月21日発表）
種別：Gumblar亜種（当事者発表）
期間：2009年12月26日12時58分～2010年1月20日15時55分
場所：東急ステイホームページ（www.tokyustay.co.jp）
告知：お詫び（弊社一部ホームページにおける改ざんについて）
http://www.tokyustay.co.jp/topics/report.html

■エムエスティ保険サービス（2010年1月20日発表）
種別：不明
期間：2010年1月8日2時～1月8日20時
場所：同社ホームページ（www.mst-is.co.jp）
告知：弊社ホームページに関する報告とお詫び
http://www.mst-is.co.jp/news/100119_Apology.html

（2010/02/12 ネットセキュリティニュース）

　昨年12月から被害が続出している国内のWebサイト改ざん。「ガンブラー」と総称される攻撃を、編集部では「8080」と「Gumblar.x」の2タイプに分けて情報をお伝えしているが、ここ数日で両タイプに嫌な変化が生じている。

■「8080」埋め込みコードに変化～対策ソフトの検出に影響

　9日、8080によって埋め込まれるコードが大きく変化した。新しいコードでは、従来行われていた文字置換に加え、実行しても本編に関係のない無意味なコードが大量に挿入されている。また、これまでのコードには、「/*LGPL*/」「/*Exception*/」といった文字列が使われていたり、それらの文字列が使われなくなった後も目印にできる記述があったのだが、それらのすぐに見つけられる目立った特徴が消えてしまった。今回の変更はウイルス対策ソフトによる検出の回避に大きな影響があったようで、コードが変わった直後には、どの製品も検出が不可能な状態だった。
　埋め込みコードの変更後、攻撃コードや攻撃成立時に実行されるウイルス本体に変化があったかどうかを確かめたいところだが、編集部の環境では残念ながらこれらを取得することができない。セキュリティベンダーの報告が待たれる。

■「Gumblar.x」復活～再改ざん、新規改ざん両ケースを確認

　2009年10月に攻撃活動を開始し、12月には沈静化したGumblar.xだが、2月5日、攻撃が再開された。過去に改ざんされたサイトが再改ざんされたケースと、今回新たに改ざんされたケースの両方が確認されている。再改ざんされたサイトの中には、Gumblar.x以前の「元祖Gumblar」で改ざんされたサイトも含まれている。
　攻撃サイトとして一般サイトが使われていることと、その攻撃サイトに、さらに別のサイトへ誘導するJavaScriptが埋め込まれている点は、昨年のGumblar.xと変わらない。ただ8080と同様に、こちらについても、編集部の環境では攻撃コード等を取得することができない。入手できた初段のJavaScriptについて、iframeで何かを開くこと、Adobe Reader、Flash Player、Internet Explorerの脆弱性攻撃を仕掛けていることは確認できたが、その先については、検体が手に入らないので不明だ。ちなみにこのJavaScriptを8日にVirustotalにかけてみたところ、対応していたのは40製品中5製品。対応名はTrojan-Downloader.JS.Gumblar.x（カスペルスキー名）などだった。

■サイト管理者の方へ～改ざんチェックのポイント

　8080による攻撃、Gumblar.xによる攻撃の両方が並行して行われているので、サイトを運営している方は、以下のポイントに留意してサイトのチェックを行っていただきたい。

＜8080＞
・改ざんされるのは、インデックスページとして使われる可能性のあるファイル（ファイル名にindexまたはmainなどを含むファイル）と、javaScriptファイル（.js）。・意味不明の文字列が入った、覚えのないスクリプトが上記ファイルの先頭や末尾に埋め込まれていないかどうかを確認する。
・今回のコードは onload で function() を実行するが、これまでと違い、「window.onload=function(){…」も読みにくくされているので注意が必要。以前使われていた「document.write」がまた使われることも考えられる。

＜Gumblar.x＞
・覚えのないscriptタグが bodyタグの直前に埋め込まれていないか確認する。scriptタグは、難読化されていない。
・scriptタグが埋め込まれるのは、html、php、JavaScriptファイル。
・サイトに覚えのないPHPファイルが設置されていないか確認する。
　米Websenseが8日、攻撃再開後に改ざんされたサイトの情報を掲載している。scriptタグが埋め込まれている様子が一目でわかるので、参考にしていただきたい。

　また万が一、改ざんやウイルス感染が判明した場合は、必ず「ウイルスに感染していないパソコンを使用」して、サイト更新に使用するFTPのパスワードを変更していただきたい。

（2010/02/10 ネットセキュリティニュース）

■ Bollywood Hungama Web Site Compromised［英文］（websense）
http://securitylabs.websense.com/content/Alerts/3548.aspx

　マイクロソフトは10日、2月度の月例セキュリティパッチを公開した。公開されたセキュリティプログラムは、最も深刻な「緊急」5件を含む13件。Windows、Windows Server、Microsoft Office、PowerPointが影響を受ける。

【更新プログラムの内容】
［緊急］
・SMBクライアント：リモートでコードが実行される脆弱性
・Windows Shellハンドラー：リモートでコードが実行される脆弱性
・ActiveXのKill Bitの累積パッチ
・Windows TCP/IP：リモートでコードが実行される脆弱性
・Microsoft DirectShow：リモートでコードが実行される脆弱性

［重要］
・Microsoft Office：リモートでコードが実行される脆弱性
・PowerPoint：リモートでコードが実行される脆弱性
・Windows Server 2008 Hyper-V：サービス拒否が起こる脆弱性
・Windowsクライアント/サーバーランタイムサブシステム：特権が昇格される脆弱性
・SMBサーバー：リモートでコードが実行される脆弱性
・Kerberos：サービス拒否が起こる脆弱性
・Windowsカーネル：特権が昇格される脆弱性

［警告］
・ペイント：リモートでコードが実行される脆弱性

　今回のセキュリティ更新プログラムでは、1月に公表されていたWindowsカーネルの特権昇格が起こる脆弱性も解決された。

　なお今回、PowerPoint用のパッチが提供されているが、単体でインストールしたPowerPoint Viewer 2003については、すでにサポートライフサイクルが終了しているためにパッチが提供されない。PowerPoint Viewer 2003を単体でインストールして使用している場合は、PowerPoint Viewer 2007への移行をおすすめする。

　このほか、新たにPushbotに対応した「悪意のあるソフトウェアの削除ツール」の更新バージョンも公開されている。

（2010/02/10 ネットセキュリティニュース）

■マイクロソフト セキュリティ ホーム（マイクロソフト）
http://www.microsoft.com/japan/security/default.mspx
■2010年2月のセキュリティ情報（マイクロソフト）
http://www.microsoft.com/japan/technet/security/bulletin/ms10-feb.mspx
■Microsoft Update
http://windowsupdate.microsoft.com/

　フィッシング対策協議会は8日、VISAを装い偽サイトに誘導しようとするフィッシングメールが出回っているとして注意を呼び掛けた。

　フィッシングメールは英文で、「VISA　4XXXX-XXXX-XXXX-XXXX possible fraudulent transaction」などの件名で送られてくる。「あなたのカードが（いろいろな国名）のATMで使われたが、セキュリティ上の理由により処理を拒否した。」として、ユーザーを偽サイトに誘導し、入力フォームに個人情報やカード情報を入力させ、盗み取ろうとしている。

　「あなたのVISAカードが（いろいろな国名）のATMで使われ、処理を拒否した」とするメールは、2009年12月にも出回っている。ただしこの時は、カード情報や個人情報を記入させて盗み取るのではなく、偽サイトに誘導して、パソコンをウイルス「Zbot」に感染させることが目的となっていた。今回のメールや偽サイトについては、ウイルスは仕掛けられていない。

　これらのメールを送信したり、偽サイトのホストとなっているのは、Zeus/Zbot(ゼウス/ゼットボット)系と呼ばれるボットネットに組み込まれてしまった、いわゆるゾンビパソコン。国内のパソコンもゾンビとなって使われている。「Zeus」は、ボットネットを構築、管理するためのツールの名称で、このツールによってできあがったボットネットもまた、Zeusと呼ばれている。Zeusが使うウイルスが「Zbot」だ。Zbotに感染すると、パソコンがボットネットに組み込まれるだけでなく、オンラインバンクのアカウントや、クレジットカードの情報なども盗み取られる。

　先に書いたように、現在出回っている、VISAをかたるメールと偽サイトには、ウイルスは仕掛けられていない。しかし、同じZeus/Zbot系ボットネット上では、IRS（アメリカ国税庁）とFacebookをかたるフィッシングも同時に行われており、IRSをかたる攻撃ではウイルスが投下されている。

　配下のパソコンがなくなれば、ボットネットは自ずと崩壊する。ネットを利用するユーザー一人ひとりが、ボットに感染しないように、万が一感染しても早期に駆除してボットネットを離脱できるように、しっかりとしたウイルス対策を行っていただきたい。パソコンがボットに感染していないかどうかは、So-net提供の「マカフィー・フリースキャン」で確認できる。また、サイバークリーンセンターが提供する「CCCクリーナー」を使うと、感染の確認と駆除ができる。

（2010/02/09 ネットセキュリティニュース）

■ VISAを騙るフィッシング(2010/2/8)（フィッシング対策協議会）
http://www.antiphishing.jp/alert/alert1043.html
■ サイバークリーンセンター
https://www.ccc.go.jp/
■ マカフィー・フリースキャン
http://www.so-net.ne.jp/option/security/freescan-jp/mfs/FreeScan_EULA_Page.htm
■ So-netのボット(BOT)ウイルス対策
http://www.so-net.ne.jp/security/taisaku/bot.html

　北海道警生活経済課と函館方面本部生活安全課、函館中央署は3日、インターネットオークションを悪用し、ビジネスソフトなどの海賊版を販売したとして、青森県十和田市の元派遣労働者の男（31歳）を著作権法違反の疑いで函館地検に追送致した。男は、海外ドラマの海賊版DVDを販売したとして、1月19日に北海道警に逮捕され、函館地検に送致されていた。

　調べによると、男は「Wantedオークション」を利用して、東京都調布市の男性に対し、2008年9月に「Adobe Creative Suite 3 Design Premium（日本語版）」（正規価格29万8000円）の海賊版DVD1枚を2000円で、また2008年12月に「Microsoft Office Enterprise 2007」（正規価格7万2200円）の海賊版DVD1枚を2000円で販売した疑い。これらの海賊版は、ネットオークションで入手した海賊版を利用して作成していた。

　男は2009年4月、海外ドラマの海賊版を「Wantedオークション」に出品。北海道警の捜査員がサイバーパトロールでこれを発見し、捜査を通じて、男性がビジネスソフトの海賊版を販売していることが判明した。海外ドラマの海賊版は、ファイル共有ソフトのShare（シェア）を通じて入手したファイルをもとに作成したものだった。

　男は、生活費を稼ぐために海賊版を販売していたと供述。2008年1月から2009年7月までの間に約100万円を売り上げていた。

　この件もそうだが、海賊版ソフトを販売する際、ネットオークションがしばしば利用される。コンピュータソフトウェア著作権協会（ACCS）では、ネットオークションでのソフト購入について、海賊版の疑いがあるケース、落札する際の注意事項、海賊版を購入するリスク、購入してしまった場合の対処法等をまとめた資料を公開している。参考にしていただきたい。

（2010/02/08 ネットセキュリティニュース）

■ ビジネスソフトや海外ドラマの海賊版販売の男性を送致（ACCS）
http://www2.accsjp.or.jp/criminal/2009/0915.php
■ これって違法？ 海賊版の見分け方（ACCS）
http://www.ihokamo.net/copyright_pirate.html

　アウトドア用品のモンベル（本社:大阪市西区）は6日、同社のウェブサイトが不正アクセスを受け、オンラインショップ利用者のクレジットカード情報が盗まれた疑いがあると発表した。

　同社が発表した速報情報によると、2009年11月以降にモンベル・オンラインショップを利用した顧客について、クレジットカード情報が盗まれた可能性がある。件数は明らかにされていないが、該当する顧客には、6日にメールで連絡したという。

　同社は、フリーコールの問い合わせ窓口を設置。調査の経過は随時サイトで報告するという。事態はクレジットカード会社から指摘で発覚。同社はサイトを1月29日に閉鎖して、調査を行っていた。

（2010/02/08 ネットセキュリティニュース）

■ mont-bell
http://www.montbell.jp/

　マイクロソフトは5日、今月10日に公開が予定されているセキュリティ更新プログラムの概要を発表した。

　リリース予定のセキュリティ更新プログラムは、「緊急」5件と「重要」7件、「警告」1件の計13件。「緊急」5件と「重要」3件、「警告」1件はリモートでコードが実行される脆弱性、残りの「重要」4件は「サービス拒否」2件、「特権の昇格」2件の脆弱性を修正する。影響を受けるソフトウェアは、Windows（緊急5件、重要5件、警告1件）、Office（重要2件）。

　このほか、「Windows Update」「Microsoft Update」「Windows Sever Update Srevices」および「ダウンロードセンター」で、「悪意のあるソフトウェアの削除ツール」の更新バージョンが公開される。

　今回のセキュリティ更新プログラムでは、すでに公表されているWindowsカーネルの特権昇格の問題やWindows 7のSMB（Server Message Block）でサービス拒否が起こる問題に対応する予定。4日に公表された、外部からパソコン内の任意のファイルが読みとられるおそれのあるInternet Explorer(IE)の問題については、引き続き調査・開発を行っているという。

　IEの問題については、Vista以上のWindowsではIEが保護モードで実行されていれば回避できる。Windows XPでは、下記サポート技術情報(980088)にある「Fix It」で、ネットワークプロトコルのロックダウンを有効にすることによって、問題を引き起こす原因となっているプロトコルを制限できる。

（2010/2/5 ネットセキュリティニュース）

■マイクロソフトのリリース
・セキュリティ情報の事前通知-2010年2月5日
http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
・セキュリティ情報の事前通知 - 2010年2月
http://www.microsoft.com/japan/technet/security/bulletin/ms10-feb.mspx
・セキュリティ アドバイザリ（979682）Windows カーネルの脆弱性により、特権が昇格される
http://www.microsoft.com/japan/technet/security/advisory/979682.mspx
・セキュリティ アドバイザリ（977544）SMB の脆弱性により、サービス拒否が起こる
http://www.microsoft.com/japan/technet/security/advisory/977544.mspx
・セキュリティ アドバイザリ（980088）Internet Explorer の脆弱性により、情報漏えいが起こる
http://www.microsoft.com/japan/technet/security/advisory/980088.mspx
・マイクロソフト サポート技術情報（980088）
http://support.microsoft.com/kb/980088

　JPCERT/CCは、一連のサイト改ざんでFTPのアカウント情報が直接盗み取られるFTPソフトを確認・公表した（前掲記事参照）。では、FTPソフトを使うサイト管理者は何に気をつければいいのか。JPCERT/CCは「対策」として、管理者が使うすべてのソフトウエアを最新の状態にして脆弱性をなくすことをあげている。FTPのアカウント情報を盗み取るウイルスに感染することを防ぐには、たしかにそれが基本中の基本で、最も有効な対策になる。ここではその基本に加え、サイト管理者が留意すべきことをあげたい。

■FTPのアカウント情報が攻撃者の手に渡ると何が起きる？
　JPCERT/CCが今回公表したFTPソフトでアカウント情報を保存している場合、そのパソコンがウイルスに感染すると、保存されているアカウント情報が直接、攻撃者の手に渡ってしまう。いま運営中のサイトが再改ざんされるだけでなく、以前に運営していたサイトの跡地や、かつて運営や制作を請負ったサイトなども、保存されていたアカウント情報が有効なままであれば、改ざん対象にされてしまう。実際、そうして改ざん被害にあったと見られるサイトがいくつかある。

■盗んだアカウント情報で改ざんされたとみられるサイト例
・引越し後の旧サイトが改ざん
　新サイトのリンクを入れたトップページだけ残し、新サイトに引越し。その後、管理者のパソコンがウイルス感染してアカウント情報が盗まれ、トップページだけの旧サイトが改ざん。管理者は気付かず放置されたまま。

・放置サイトの改ざん
　上記のように引越し後なのか、これから作ろうとしているのか、志半ばで諦めたのか不明ながら、サイトの体裁を全く成していないサイトが改ざんされている。管理者は忘れたまま放置し続ける可能性が高い。

・テストサイトも改ざん
　制作中のテストサイトなのか、納品前のデモとして使用したのか、一目見てテストサイトとわかるサイトが改ざんされたまま放置。社名ロゴ付き（本体は別所ですでに運営中）のまま放置されている例も。

・制作会社のパソコン感染の巻き添え
　ホームページ制作会社のパソコンが感染し、過去に受注した会社のサイトがその巻き添えで改ざんされたとみられる例も。制作会社も発注側も、制作当時のアカウント情報がそのまま変更されずパソコンに残っていたとみられる。

・広告用のサイトが全滅
　更新をしない広告だけのサイトが改ざんされている。管理者のパソコンが感染し、管理下の広告サイトが全滅している例も。

■サイト管理者が気をつけたいこと

　FTPソフトを使うサイト管理者のパソコンが感染すると、上記のように更新していないサイトや忘れて放置しているサイトも、それらのアカウント情報が感染パソコンに保存されていて有効ならば、ウイルス感染により盗み取られ、改ざんされしまう。また、自分のパソコンが感染していなくても、ホームページ制作を依頼した会社のパソコンが感染すれば、巻き添えで改ざんされてしまうこともある。これらから教訓として言えることは。

　・サイトの制作や更新を外注し、その後サイトのパスワードを変更していなかったら、直ちに変更する。
　・ウイルス感染、フィッシング、不正アクセスに遭遇するなど、不審な形跡があったらすぐにパスワードを変更する。
　・改ざん対象は現行サイトだけではないので、過去に管理していたサイトにも注意を。

　パスワードに関しては、「類推しにくい頑丈なパスワードを付ける」「パスワードを他の人に知られた可能性がある場合は、すぐ変更する」「共有しているアカウントは定期的に変更し、誰かが抜けた場合も変更する」など、十分な注意が必要だ。サイト更新用のパソコンを限定し、他の用途には使わないようにすることも、ウイルス感染のリスクを小さくする意味で有効だ。

■「感染予防」が基本かつ最も有効な対策

　管理者もまた一般ユーザーも、パソコンをウイルスに感染させないことが最も有効な対策となるので、本通信で繰り返しお勧めしている基本の6項目を、ぜひ実行していただきたい。

　(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
　(2）Adobe Readerを最新版に更新する
　(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
　(4) JRE(Java Runtime Environment)を最新版に更新する
　(5) Flash Playerを最新版に更新する
　(6) QuickTimeを最新版に更新する

　(1)～(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
　Adobe Readerなどのアップデート方法については下記の「セキュリティ通信トピックス」を参照されたい。
　Acrobat JavaScriptを無効にする方法は以下の通り。

　(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
　(2）「分類」の中の「JavaScript」を選択
　(3）「Acrobat JavaScriptを使用」のチェックをクリア
　(4）「OK」ボタンを押す

■サイト管理者の方へ（改ざんの見つけ方と見つけ場合の対処）
　サイトを運営している方は、上記に加えて以下の実行をお願いしたい。

＜改ざんの見つけ方＞
　サイトに意味不明の文字列が入った見知らぬスクリプトが埋め込まれていないか確認する。
　現行のガンブラー攻撃（8080系）の場合、挿入個所はファイルの末尾や先頭が大半だ。scriptタグ（<script>）で始まり、「document.write」や「try{ window.onload」で、意味不明な文字列が並んでいる。少し前の攻撃では、scriptタグの直後に「/*GNU GPL*/」「/*CODE1*/」「/*LGPL*/」「/*Exception*/」といったマークが付いていた。
　現行のガンブラー攻撃（8080系）の場合は、インデックスページとして使われる可能性のあるファイル（ファイル名にindexまたはmainなどが含まれる）と、javaScriptファイル（.js）を狙って改ざんするので、とくに重点的にチェックしていただきたい。
　ログイン履歴のとれるサーバーなら、自分以外が更新に来てないかどうか、こまめにチェックすることもお勧めしたい。

＜見つかった場合＞
　改ざんやウイルス感染が見つかった場合には、必ず「ウイルスに感染していないパソコンを使用」して、サイト更新に使用するFTPのパスワードを変更していただきたい。

（2010/02/05 ネットセキュリティニュース）

 JPCERTコーディネーションセンター（JPCERT/CC）は3日、いわゆる「ガンブラー攻撃」でアカウント情報抜き取りのターゲットとされるFTPソフト、およびWebブラウザについて確認し、公表した。

　ガンブラー攻撃で行われるサイト改ざんでは、まずサイト管理者がサイト更新に使用するFTPソフトのアカウント情報（IDやパスワードなど設定情報）を盗み取り、これを使って改ざんが行われる。アカウント情報の盗み方としては、サイト管理者が利用するパソコンの通信を監視し、FTPソフトが使用された際にリアルタイムに盗み取る方法（盗聴）と、パソコンに保存されている設定情報を直接盗み取る方法などが指摘されていた。
　JPCERT/CCが今回確認し公表したのは、後者の「直接盗み取る方法」でターゲットとされるFTPソフトである。

■攻撃対象とされるソフトウェア

　JPCERT/CCは、ガンブラー攻撃でアカウント情報を盗み取るウイルスを解析し、ターゲットとされるソフトを調べた。その結果、次の15のFTPソフトで、アカウント情報の抜き取りと外部サーバーへの送信が行われることを確認。また、WebブラウザのInternetExplorer(IE)6や、Opera 10.10で保存されているアカウント情報も盗み取られ、外部サーバーに送信されることを確認した。 (IE7 および 8 では確認されていない)

・ALFTP 5.2 beta1
・BulletPloof FTP Client 2009.72.0.64
・EmFTP 2.02.2
・FFFTP 1.96d
・FileZilla 3.3.1
・FlashFXP 3.6
・Frigate 3.36
・FTP Commander 8
・FTP Navigator 7.77
・FTP Now 2.6.93
・FTP Rush 1.1b
・SmartFTP 4.0.1072.0
・Total Commander 7.50a
・UltraFXP 1.07
・WinSCP 4.2.5

■アカウント情報を直接盗まれないFTPソフトは？

　アカウント情報が盗まれるFTPソフトが明らかにされたが、では、ウイルスに設定情報を直接盗まれないFTPソフトとは？　上記のなかでも国内外で人気が高い「FFFTP」は、今回の公表以前にユーザーに注意を促し、有志による「FFFTPパスワード漏れ対処版」も公開されている。だが、それが根本的解決策ではないことも付言している。確かに攻撃者が対応すればそれまでであり、これは他の「攻撃対象とされていないFTPソフト」にも言えることだ。
　JPCERT/CCも、「今後マルウエアが変化し、アカウント窃取の対象となるソフトウエアが変化する可能性があります」と述べ、攻撃対象FTPソフトが固定的ではないことを示唆している。

■とるべき対策は？

　JPCERT/CCは「対策」として、利用しているソフトウエアを最新版に更新することをあげている。現在、ガンブラー攻撃は複数ソフトの脆弱性を使用して行われている。具体的には、Adobe Acrobat、Adobe Reader、Adobe Flash Player、Java(JRE)、Microsoft Windows などで、これらの脆弱性はすでに修正済みのため、これらを最新版にしていれば、改ざんサイトを閲覧しても感染することはない。ただし、今後、攻撃対象となる脆弱性が増えたり変化したりする可能性があるため、常に「最新版に更新する」よう心がけたい。

（2010/02/04　ネットセキュリティニュース）

■JPCERT/CC関連URL
・FTP アカウント情報を盗むマルウエアに関する注意喚起（JPCERT）
http://www.jpcert.or.jp/at/2010/at100005.txt
・Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100001.txt
■FFFTP関連URL
・FFFTPをお使いの方に重要なお知らせ（Sota's Web Page）
http://www2.biglobe.ne.jp/~sota/
・脆弱性情報＞GumblarによるFFFTPへの攻撃について（Sota's Web Page）
http://www2.biglobe.ne.jp/~sota/ffftp-vulnerability.html
・FFFTPパスワード漏れ対処版作ってみた（にょろぷにらん）
http://mag.matrix.jp/mag/queen/log/soft/eid743.html 

　情報処理推進機構セキュリティセンター（IPA/ISEC）は3日、1月のコンピュータウイルス、不正アクセスの届出状況を発表した。「今月の呼びかけ」では、昨年末からWebサイト改ざん攻撃を繰り返してウイルス感染被害を広げている「ガンブラー」に関する問い合わせが相次いでいるとして、その手口を詳しく解説し、対策を呼びかけている。

■コンピュータウイルス、不正アクセスの届出状況

　1月のウイルス検出数は約7.2万個で、昨年12月の6.6万個から9％の増加となった。届出件数は1154件で、先月の981件から17.6%の増加。検出数の1位は、W32/Netsky（4.6万個）、2位はW32/Waledac（8400個）、3位はW32/Mumu（7500個）。
　不正アクセスの届出件数は20件で、そのうち被害のあったものは12件。被害内容は「侵入」11件、「なりすまし」1件。「侵入」による被害は、Webぺージに不正コードを挿入されたものが9件、Webサーバー内に他サイトを攻撃あるいは探索するために不正プログラムを置かれたものが2件。侵入の原因は、ガンブラーの手口でFTPのアカウント情報を盗まれたものが1件あり、他にガンブラーの手口と推測されるものが8件あった。
　「なりすまし」は、オンラインゲームで本人になりすましてログインし、サービスを利用したもの1件だった。
　1月の相談総件数は2150件で、「ワンクリック不正請求」関連が638件（先月576件）、「セキュリティ対策ソフトの押し売り」関連が37件（先月7件）、Winny関連が1件（先月6件）などだった。

■今月の呼びかけ：ガンブラーの手口を知り、対策を

　IPAは、「ガンブラー」という言葉を、「Webサイト改ざん」と「Webサイトを閲覧するだけで感染させられてしまうウイルス」を組み合わせ、パソコンにウイルスを感染させようとする一連の手口（攻撃手法）を指すものと定義。その手口を詳しく解説している。内容は、
（1）「ガンブラー」の概要、（2）「ガンブラー」の手口の詳細、（3）改ざんサイト増加のサイクル、（4）被害の内容、（5）対策　で構成し、PDFファイルで提供している。

　被害内容については、ガンブラーはウイルスではなく手口（攻撃手法）であって、利用者のパソコンがどのようなウイルスに感染し、どんな被害が発生するかは不明としつつ、現在報告されている事例として、偽セキュリティ対策ソフトの「有償版」購入を迫るウイルス、Webサイトを管理するFTPソフトのアカウント情報（ID/パスワード）を盗み出すウイルスの2例をあげている。
　今後は、スパイウェア（個人情報やID/パスワードを盗む）、ボット（パソコンを乗っ取って遠隔操作）などの拡散にガンブラーの手口が使われる可能性があるとし、十分な対策を行うよう呼びかけている。
　対策は、基本的なウイルス対策を漏れなく実施することで防御可能とし、「脆弱性解消」「ウイルス対策ソフト導入」「ゼロデイ攻撃対策」について詳説。また、Webサイト管理者については、「ウェブサイト管理者へ：ウェブサイト改ざんに関する注意喚起」（IPA）の参照を求めている。

（2010/02/03 ネットセキュリティニュース）

【関連サイト】
・コンピュータウイルス・不正アクセスの届出状況【2010年1月分】（IPA／ISEC）
http://www.ipa.go.jp/about/press/20100203.html
・「ウェブサイト管理者へ：ウェブサイト改ざんに関する注意喚起」（IPA）
http://www.ipa.go.jp/security/topics/20091224.html

　個人情報がWebサイトから閲覧可能になる事故が2件、相次いで明らかになった。1件は国際連合世界食糧計画WFP協会（以下国連WFP協会）のWebサイトで募金者情報が、もう1件は日本公認会計士協会四国会のWebサイトで所属の会員情報が、前者は2年、後者は5か月以上にわたって、不特定多数に閲覧可能となっていた。

■日本公認会計士協会：四国会会員の個人情報が閲覧可能に

　日本公認会計士協会（東京都千代田区）は、同協会四国会の会員住所録のPDFファイルが四国会のWebサイトで閲覧可能になっていたことを明らかにした。
　当該PDFファイルに掲載されていたのは、2009年6月30日時点で同協会四国会に所属していた会員と準会員合計179名分の氏名、生年月日、住所など。2009年7月21日に四国会のWebサイトに手違いにより掲載され、2010年1月8日まで閲覧可能な状態となっていた。同月5日に協会が知るところとなり、削除。8日には一般からの閲覧は不能となった。現在までのところ、閲覧可能だった個人情報が不正利用された事実は確認されていない。
・日本公認会計士協会からのご報告（日本公認会計士協会）
http://www.hp.jicpa.or.jp/specialized_field/post_1274.html

■国連WFP協会：募金者の個人情報が閲覧可能に

　国連WFP協会（横浜市西区）は先月27日、ホームページ上で実施致している「イーバンク・マンスリー募金」に登録した募金者情報の一部が、インターネットからアクセス可能な状態にあったことを明らかにした。原因は同協会が発注しているシステム会社の不手際で、先月21日に発覚し、同日のうちに問題点を修復。アクセス不可能にする処置がとられた。
　閲覧可能だった個人情報は、2008年1月11日から2009年12月27日までの期間、同協会のホームページから同募金に登録した人のうち65件で、個人情報の内容は、氏名、住所、電話番号、メールアドレス、口座番号など。閲覧可能だった期間は、2008年1月11日から2010年1月21日まで。アクセス履歴調査では、一部情報へのアクセスが2件確認されたが、今のところ当該情報が不正利用されたという事実は確認されていない。
・個人情報流出に関するお詫びとお知らせ[PDF]（国連WFP協会）
http://www.wfp.or.jp/kyokai/pdf/JAWFP_statement_20100127.pdf

●なぜ起きる？　ホームページからの個人情報流出

　ホームページからの個人情報流出事故はこれまでも多数発生している。とくに2008年には、日本ヒューレット・パッカード（顧客情報13万9583名）、吉本興業（顧客情報1万5836件）、JALホテルズ（顧客情報14万5052名）など大型の情報漏えいが発生した。これらは、顧客がWebサイトのフォームから入力した情報が、アクセス制限のないままサイトの公開ディレクトリ上に置かれていたことが原因となっている。
　総務省の「国民のための情報セキュリティサイト」によると、Webサーバーから個人情報が漏えいした事故の多くは、個人情報を含むファイルがインターネットから取得できる場所に置かれたために発生している。対策は、インターネットから参照できるディレクトリにファイルを配置しないこと、ファイルのパーミッション（アクセス権）を適切なものに設定すること。
　レンタルサーバーでは、特定のディレクトリをHPの仮想ルートとし、その階層下を公開している。したがって、外部に漏らしてはいけないデータのファイルは、その階層下（公開ディレクトリ）以外の、サーバー側からしかアクセスできないところに保存するのが基本だ。公開ディレクトリは、デフォルト（初期設定）では誰でも閲覧できるようになっているのが通例なので、パーミッションを設定しないでファイルを置くと、データが外部から丸見えの状態となってしまう。

（2010/02/02 ネットセキュリティニュース）

■国民のための情報セキュリティサイト＞個人情報の保管方法（総務省）
http://www.soumu.go.jp/joho_tsusin/security/homepage/server07.htm
■セキュアプログラミング講座＞Webサーバからのファイル流出対策（IPA）
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/401.html
 

　政府は、国民一人ひとりが情報セキュリティについての関心を高め、対応していく必要があるとして、今年から新たに2月を「情報セキュリティ月間」と定めた。内閣官房情報セキュリティセンター（NISC）を中心に、警察庁、総務省、文科省、経産省など関連省庁が協力し、情報セキュリティに関する普及啓発活動を推進していく。

　平野博文内閣官房長官は、首相官邸ホームページに「情報セキュリティ月間について－成熟した情報セキュリティ先進国へ－」と題し、情報セキュリティの重要性を訴えるメッセージを掲載。まず最初に気をつけたいこととして、次の3つをあげた。

　・ウィルス対策ソフト等を導入し、定期的に更新して最新の状態に保つこと
　・基本ソフト（ＯＳ）を始め各種ソフトを定期的に更新し、最新の状態に保つこと
　・パスワードは、容易に推測できないものとし、他人には知らせないこと

　この3つを出発点として、情報セキュリティ知識を広げていくことを呼び掛けている。

　情報セキュリティ知識を広げていくためのセミナーなど関連行事が、全国で1000件以上、官民連携で開催される予定だ。行事の詳細はNISCのサイトに順次掲載される。

　同サイトには、「情報セキュリティについて学ぶ」リンク集もまとめられている。一般PC利用者向けには、総務省の「国民のための情報セキュリティサイト」、警察庁の「キッズパトロール」、IPAの「5分でできる！情報セキュリティポイント学習」「暗号技術に関するe-Learning教材（初心者編）」などが紹介されている。よい機会なので、この情報セキュリティ月間中に目を通してみてはいかがだろうか。

（2010/02/01 ネットセキュリティニュース）

■内閣官房情報セキュリティセンター
http://www.nisc.go.jp/index.html
■内閣官房長官のメッセージ（首相官邸）
http://www.kantei.go.jp/jp/tyokan/hatoyama/2010/0129message.html
■一般PC利用者向けサイト集（内閣官房情報セキュリティセンター）
http://www.nisc.go.jp/websites/ippan.html