┏━━ セキュリティマガジン Scan Security Wire ダイジェスト版 ━━━┓
"企業のセキュリティ担当者のための総合情報誌" [木曜発行／国内情報版]
┗━━━━ https://www.netsecurity.ne.jp/ ━━━━2009/10/29 Vol.544┛

----------〔AD〕--
■ ◆◆◆◆ ウィニー（Winny）検知プログラム（個人向け）」◆◆◆◆ ■
■ 自宅PCのプライベート情報をWinnyの脅威から守るSECOM新サービス ■
■ PC 1台1年間有効のライセンス3,780円（税込）／無料体験版有り ■
■ ◆◆セコムトラストシステムズ株式会社／詳しくは下記URLから◆◆ ■
■ http://www.secomtrust.net/news/2008/cmt_adwinnypro_200808.html ■
----------〔AD〕--
「具体的な気づきが沢山あった」「今までの知識が予防策に使えるとわかった」
　↑こんな感想が続出のセキュリティ教育なら『リスク脳トレーニング』
────────────────────────────────
■□■□　 無料体験セミナー 11/11、11/25 ■□■□
JMCリスクソリューションズ 詳細は⇒ http://rs.jmc.ne.jp/risk_nou.html
----
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━╋ Scan Security Wire ダイジェスト版 目次 ╋━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】情報漏えい事件 Weekly Review
----------
【02】今週のニュース＜2009-10-29＞
----------
【03】今週の製品・サービス情報＜2009-10-29＞
----------
【04】今週のセキュリティトピックス＜2009-10-29＞
----------
【05】Langley のサイバーノーガード日記
情報漏えい発覚後も放置しつづける大手Webサービス
----------
╋ 編集部からのお知らせ（登録変更・解除はこちら）

▼発行スケジュールのお知らせ━━━━━━━━━━━━━━━━━━━━━
いつもご愛読いただきありがとうございます。Scan編集部です。
11月3日（火）は配信をお休みさせて頂きます。予めご了承ください。
----------〔AD〕--
○o○○o○○o○○o【内部統制┃成┃功┃の┃理┃由┃】○o○○o○○o○○o
■ ≪2009年「内部統制2年目に意識すべき4つの管理事項」セミナー≫　 ■
■　　☆ 詳細／申込 ≫ http://www.new-technology.co.jp/seminar/ 　■
■＿＿＿「内部統制整備までの道のり」ご紹介セミナーの開催です!!＿＿＿■
■o○o○o○o○o○o○o○o○o○o○o○o○o○o○o○o○o○o○o○o○o○o○■
-----
━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【01】情報漏えい事件 Weekly Review
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　企業が起こした情報漏えい事件のこの一週間を振り返ります。
-----
●利用者の個人情報を記録したUSBメモリが盗難
（東京都北療育医療センター）
-----
　東京都福祉保健局は10月16日、北療育医療センター城南分園において、利用
者の個人情報を含むUSBメモリが盗難により紛失する事故が発生したと発表し
た。これは10月14日19時38分頃、同センター城南分園の女性職員が職場からの
帰宅途上、自宅最寄駅付近の路上で自転車前方のかごに入れておいた鞄を後方
から来たバイクの運転者にひったくられる被害に遭ったというもの。

　ひったくられた鞄の中には、同職員が職場で使用していた私物のUSBメモリ
が入っており、利用者の個人情報を含む資料の紛失に至った。このUSBメモリ
には、同センター利用者25名の個人情報が記録されていた。その内容は、利用
者の氏名、生年月日、年齢（1名〔延べ1件〕）、利用者の氏名（6名〔延べ
20件〕）、利用者の苗字、名前のどちらかのみ（18名〔延べ261件〕〕となっ
ている。

http://www.metro.tokyo.jp/INET/OSHIRASE/2009/10/20jag700.htm
-----

●顧問先の個人事務所が盗難被害に遭い個人情報を記録したPCが紛失
（中京医薬品）
https://www.netsecurity.ne.jp/1.html
●元教諭、同校生徒の個人情報を記録したUSBメモリを紛失
（関東学院中学校高等学校）
https://www.netsecurity.ne.jp/1.html
●業務委託先従業員が自宅で使用したPCから顧客情報などが流出（大阪ガス）
https://www.netsecurity.ne.jp/1.html

(※各URLは記事カテゴリのトップページにリンクします)
-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

----------〔AD〕--
■□ イラストを見てディスカッション。どこに危険が潜んでいるか？ □■
┏━━━━━━━━┓ ◆気づきが得られる『リスク脳トレーニング』◆
┃無料体験セミナー┃―――――――――――――――――――――――――
┗━━━━━━━━┛ ◆社員の危険に対する感受性や予知能力を高める研修
JMCリスクソリューションズ 詳細は⇒ http://rs.jmc.ne.jp/risk_nou.html
-----
━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【02】今週のニュース＜2009-10-29＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
-----
●セキュアなWebサイト設計のためのオープンセミナー開催（SST）
-----
　株式会社セキュアスカイ・テクノロジー（SST）は10月28日、セキュアなWeb
サイトを設計・開発するための教育を、1名から参加可能なオープンセミナー
形式で12月3日に開催すると発表した。Webサイトの設計者・開発者を対象に、
Webアプリケーションの脆弱性問題を把握し、「脆弱性を作らせない・作らな
い」ための知識を身につけることを目的とした構成となっている。

名称：「セキュアなWebサイト設計のための教育オープンセミナー」
〜Webアプリケーションの脆弱性問題の基礎を学ぶ〜
日時：12月3日（木）10：00〜17：00
場所：関東ITS市ヶ谷健保会館（東京都新宿区市谷仲之町4-39）
定員：36名
費用：58,800円/名
申込：メールにて同社に申込み

http://www.securesky-tech.com/topics/2009/1028s.html
-----

●情報管理の新たな形である情報統御技術を開発（東芝ソリューション）
https://www.netsecurity.ne.jp/1.html

(※各URLは記事カテゴリのトップページにリンクします)
-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【03】今週の製品・サービス情報＜2009-10-29＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
-----
●情報資産管理ソフトを発売（NRIセキュア）
-----
　NRIセキュアテクノロジーズ株式会社（NRIセキュア）は10月28日、情報セ
キュリティ業界で初となる、電子ファイル情報資産を重要度別に識別・整理を
行うソフトウェア「SecureCube / Labeling」を同日より提供開始したと発表
した。本製品は、クライアントPC側で情報資産を識別・整理する「Personal」
と、サーバ側で情報資産の利用状況を収集・統合して管理する「Enterprise」
の2種類があり、「Personal」は同日より無償配布を開始した。

　クライアントPC向けの「Personal」では、利用者が自分のPCでファイル
（Word、Excel、PowerPoint）を作成し、保存する時点で「極秘・関係者限・
社内限・公開」などの重要度をラベルから選択して利用者が自由に設定できる。
また、ラベルを付与したファイルを、格納場所や機密情報区分など利用者が設
定した項目に沿って識別し、一覧にする情報資産管理台帳の作成も可能。管理
サーバ向けの「Enterprise」では、全社レベルで統合的な情報資産の管理が可
能。

http://www.nri-secure.co.jp/news/2009/1028.html
-----

●情報漏えい防止ソリューションの最新版を提供開始（ALSI）
https://www.netsecurity.ne.jp/10.html
●データベースのセキュリティ・コンプライアンス製品の最新版を提供開始
（フォーティネット）
https://www.netsecurity.ne.jp/10.html

(※各URLは記事カテゴリのトップページにリンクします)
-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】今週のセキュリティトピックス ＜2009-10-29＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●WindowsのSMBのDoS攻撃の脆弱性に関する検証レポートに追記
（NTTデータ・セキュリティ）
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090909.pdf
●情報漏えい防止機能付きUSBメモリを発売（グリーンハウス）
http://www.green-house.co.jp/products/memorycard/usbflash/ufd_ap/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【05】Langley のサイバーノーガード日記
情報漏えい発覚後も放置しつづける大手Webサービス
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　筆者が定期的にリマインドしている話題であるが、個人情報漏えいは無くな
らない。無くならないどころか、漏えいしていることがわかっていても、放置
して顧みることがない事業者さんもいる。

100万人以上のメールアドレス漏えいを民間の研究者が発見
https://www.netsecurity.ne.jp/1_12571.html
http://netsecurity.blog77.fc2.com/blog-entry-16.html
利用者無視の通報対策裏マニュアルが存在する？
https://www.netsecurity.ne.jp/3_12518.html
サイバーセキュリティ賢者の選択−自分が被害者で発見者になってしまったら
https://www.netsecurity.ne.jp/3_12470.html

　筆者が2008年の11月に発見し、関係諸機関を通じて通報したサイトの、最大
100万件近くのメールアドレス漏えいは、なんとその後も（この原稿を書いて
いる現在も）順調に継続中である。

　いまだに、簡単な操作で個人情報（メールアドレス）を見ることができる。
当該業者さんにも、IPAさんにも通報したので、筆者ができることはこれ以上
ない。あとは、実名をさらすことくらいだが、あまりにも簡単にメールアドレ
スを見ることができるので、悪用する人がいそうだから、ちょっと怖くてでき
ない。

　知らずに被害者になっている人のために、リマインドしておこう。このサイ
トは、メールマガジンの配信スタンドである。メールマガジンを取っている人
は、チェックした方がいいと思う。メールマガジンが届くメールアドレスで検
索すれば、もし漏えいしていればヒットするはずだと思う。

　それ以外に確認する方法としては、サーチエンジンの検索窓で特定のサイト
上に限定してメールアドレスを検索するのである。

　例えば、google だとこんな感じになる。

@docomo.ne.jp site:*****
@ezweb.ne.jp site:*****

　*****には、読者諸兄が自分のメールアドレスを登録した気になるサイトを
入れるとよい。当然、「@docomo.ne.jp」の箇所は、「@yahoo.co.jp」でも
「@nifty.com」でもかまわないわけであるが、なぜか、「@docomo.ne.jp」と
「@ezweb.ne.jp」で検索した方が見つかりやすい。

　では、不幸にして自分のアドレスを見つけたら、どうするか？　不幸にして
自分のアドレスを見つけてしまった場合は、常識的には下記のような対処を行
うべきであるはずなのであるが……

・メールマガジン発行者に連絡する
・メールマガジン配信スタンドに連絡する
・当該サイトに連絡する
・IPAに連絡する

　こうすると、メールマガジン発行者やIPAから当該サイトに連絡が行くはず
である。常識あるサービスならば、この時点で対処してくれるはずである。

　ところが、サイトによっては、そうしてくれないところもある。小さいサイ
トだからというわけではなく、サイト運営者の倫理観とかの問題のようだ。

　昨年11月からメールアドレス漏...