┏━━ セキュリティマガジン Scan Security Wire ダイジェスト版 ━━━┓
"企業のセキュリティ担当者のための総合情報誌" [木曜発行／国内情報版]
┗━━━━ https://www.netsecurity.ne.jp/ ━━━━2009/11/12 Vol.546┛

----------〔AD〕--
■□ イラストを見てディスカッション。どこに危険が潜んでいるか？ □■
┏━━━━━━━━┓ ◆気づきが得られる『リスク脳トレーニング』◆
┃無料体験セミナー┃―――――――――――――――――――――――――
┗━━━━━━━━┛ ◆社員の危険に対する感受性や予知能力を高める研修
JMCリスクソリューションズ 詳細は⇒ http://rs.jmc.ne.jp/risk_nou.html
-----
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━╋ Scan Security Wire ダイジェスト版 目次 ╋━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

【01】情報漏えい事件 Weekly Review
----------
【02】今週のニュース＜2009-11-12＞
----------
【03】今週の製品・サービス情報＜2009-11-12＞
----------
【04】今週のセキュリティトピックス＜2009-11-12＞
----------
【05】Langley のサイバーノーガード日記
サイバーセキュリティとおとり捜査(2)
----------
╋ 編集部からのお知らせ（登録変更・解除はこちら）

━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【01】情報漏えい事件 Weekly Review
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
　企業が起こした情報漏えい事件のこの一週間を振り返ります。
-----
●個人情報を含む学生の授業レポートを記録したUSBメモリを紛失
（電気通信大学）
-----
　電気通信大学は10月22日、同学教員から学生の授業レポートのデータを記録
した媒体が郵送中の事故により紛失したとの連絡を受けたことを発表した。こ
れは10月21日、同学教員から、授業における連携先協力者宛に郵送した学生の
授業レポートの記録媒体（USBメモリ）が郵送中の事故（封筒破損による内容
物の不着）により紛失したとの報告があったというもの。当該教員から所轄郵
便局への照会および所轄警察署への遺失届出を行っているが、現時点では発見
には至っていないという。紛失したUSBメモリには、受講者22名分の学籍番号、
氏名およびレポートのデータが記録されていた。

http://www.uec.ac.jp/info/oshirase/091022.html
-----

●生協、1,876名の個人情報が記録された業務用PCが盗難被害
（日本福祉大学）
https://www.netsecurity.ne.jp/1.html

(※各URLは記事カテゴリのトップページにリンクします)
-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【02】今週のニュース＜2009-11-12＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
-----
●「転職などの際に業務情報を持ち出したい」、社会人の約6割が回答
（トレンドマイクロ）
-----
　トレンドマイクロ株式会社は11月11日、業務情報の取り扱いに関する調査結
果を発表した。これは2009年10月に社会人1,030名を対象としてインターネッ
トを通じて実施したもの。調査結果によると、社会人の約6割が転職や部署異
動の際に、業務上で扱っていた何らかの情報を持ち出したいと考えていること
がわかった。さらに、持ち出しが禁止されている機密情報であると自身が認識
している情報でも、全体の約3人に1人は無断で持ち出したいという意向を示し
た。

　また、回答者の約7割が、勤め先の機密情報を持ち出すことは可能だと認識
しているという結果が出た。さらに、回答者の8割以上が自社の機密情報を無
断で持ち出したとしても、第三者から通報されたり情報漏えい事件として発
覚したりすることがなければ、自身が情報を持ち出したことを特定・把握され
ない、と考えていることがわかった。企業において、情報が持ち出されないよ
うに機密情報そのものを守る対策がとられていないことが浮き彫りとなり、情
報漏えい事件・事故につながる「機密情報持ち出し」の危険性が高いことがわ
かった。

http://jp.trendmicro.com/jp/about/news/pr/article/1.html
-----

●「ワンクリック不正請求」に関する相談が過去最悪を更新（IPA/ISEC）
https://www.netsecurity.ne.jp/1.html
●マルウェアマンスリーレポート[2009年10月]を発表（カスペルスキー）
https://www.netsecurity.ne.jp/1.html

(※各URLは記事カテゴリのトップページにリンクします)
-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【03】今週の製品・サービス情報＜2009-11-12＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
-----
●専門家が企業のセキュリティ戦略の策定・運用等を総合的に支援
（RSAセキュリティ）
-----
　RSAセキュリティ株式会社は11月11日、企業向けに情報セキュリティの戦略
等を提供する「RSAプロフェッショナルサービス」を同日より開始したと発表
した。同サービスは、専門家が企業のセキュリティ戦略の策定から実際の運用、
法令を遵守できるセキュリティ基盤の構築までを総合的に支援するサービスと
して提供するもの。RSAセキュリティ製品に依存せず、企業側目線でアドバイ
スすることが特徴だ。

　セキュリティ戦略の助言から日常の運用支援まで、顧客企業のセキュリティ
戦略を柔軟かつ包括的に解決するため、「CSOアドバイザリー」「セキュリ
ティコンサルティング」「セキュリティ・アーキテクチャデザインと構築」
「セキュリティオペレーション」の4つのサービス基盤を用意した。

http://japan.rsa.com/press_release.aspx?id=10532
-----

●全社的な情報セキュリティ全般の体質改善を支援（RSAセキュリティ）
https://www.netsecurity.ne.jp/10.html

(※各URLは記事カテゴリのトップページにリンクします)
-----
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】今週のセキュリティトピックス ＜2009-11-12＞
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●クラウド型無料アンチウイルスの正規版を提供開始（Panda）
http://www.ps-japan.co.jp/whatsnew/n134.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━[ダイジェスト]━
【05】Langley のサイバーノーガード日記
サイバーセキュリティとおとり捜査(2)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●始まっている「罠」　おとり捜査

　「罠」で一番有名なのは、おとり捜査であろう。おとり捜査というと、テレ
ビや映画でFBIがやるので有名だ。だが、別にFBIの専売特許というわけではな
い。ちゃんと、日本でも行われている。

　ネットオークションを利用した詐欺の捜査では、実際に警察官が商品を購入
して犯罪の摘発に当たっている。いわゆる、買い受け捜査と呼ばれるおとり捜
査の一種である。

　筆者が見るところ、買い受け捜査がもっとも活用されているのは、わいせつ
ものとか、児童ポルノもの、海賊品売買あたり。試しに、買い受け捜査で検索
すると、山のように事例が出てくる。

児童ポルノのおとり捜査やってますよ。
http://d.hatena.ne.jp/okumuraosaka/20080521/1211368220

　警察庁のページには、買い受け捜査をどんどん進めて児童ポルノを根絶しま
す、ということが明記された文書がいくつも掲載されている。

警察庁　「児童ポルノ対策」重点プログラムの概要
http://www.npa.go.jp/safetylife/syonen42/gaiyou.pdf

　筆者は、児童ポルノというものの良さが全くわからないので、対岸の火事の
ように、この買い受け捜査推進を見ているわけであるが、これがどんどん広が
ると思うとちょっと怖い。

　もっとも考えられるパターンとしては、筆者の記事を見たと称して、「攻撃
コードを教えてください」とコンタクトしてくるケースである。

●攻撃者自身に、攻撃コードや犯行状況を教えてもらう、というおとり捜査

　筆者は過去に未知の脆弱性を発見して、BugTraqに投稿したこともある。警
察庁で、下記の条件を満たす人物をブラックリスト化していても不思議ではな
いと思っている。

・あるかもしれない警察庁サイバー犯罪予備軍チェックリスト

1.日本国内でBugTraqなどに投稿したことのあるもの

2.セキュリティの会合に積極的に参加しているもの

3.なんらかのサイバーセキュリティに関する活動をプライベートで行っている
もの

4.サイバーセキュリティに関する情報収集、ツール収集を行っているもの
　警察庁がセキュリティ関連のツールを匿名でネット上で公開しており、この
ツールをダウンロードしたものを追跡、把握している。また、セキュリティ関
連情報（特定のサーバに存在する脆弱性情報など）も流しており、こちらも情
報閲覧者を追跡している（*註）。

5.1〜3の条件のいずれかに該当するもので、サイバーセキュリティ関連業務に
就いていないものは、特に要注意

6.1〜3の条件のいずれかに該当するもので、サイバーセキュリティ関連業務に
就いているものでも、収入が低いものや最近転職したもの、転職回数の多いも
のは要注意。

*註：なお、「4.」は筆者の妄想であるが、ないとは言えない。

　こうして作り上げられたリストは、それぞれの得意分野、過去の履歴、危険
度、人的関係、および個人情報などを捜査、整理した上でファイルされるよう
になるのではないだろうか？　そして、いざ、サイバー犯罪が発生した時に、
その分野や手口から可能性のある人物をリストからピックアップする。

　そして駆け出しクラッカーのような顔をして、犯行に使われた攻撃コードに
ついて質問してみるのである。ここで、攻撃コードを答えたり、技術的な内容
についてコメントしたりしたら、即逮捕である。犯行に使われた攻撃コードは、
立派に「犯人しか知り得ない情報」ということになるのであろう（筆者はそう
は思わないが、そのように主張することは可能だろう）。

　わざわざ攻撃コードについて答えるような間抜けはいない、と思う方もいる
だろうが、これが結構いるのである。

　まず、前提としておとり捜査対象者は、自分の素性がわかっているとは
思っていない。なぜなら、犯行そのものからは、彼に辿り着くことはできない
ようにしているからである。犯人に辿り着いたのではなく、あらかじめプロ
ファイルを把握しているリストから可能性のある人間にコンタクトしているの
である。ここで捜査の対象者は大きく状況を読み間違えることになる。そして
読み違えたまま情報を提供し、御用となるわけである。

　注意深い読者の方は気がついたと思うが、上の節で筆者は、「捜査対象者」
と表現した。なぜ、攻撃者あるいは犯人と書かなかったかというと、冤罪の可
能性も高いからである。犯行には関係していなくても、技術的な洞察力のある
者なら、攻撃コードの推定は可能なケースもある。そのような場合、余計に不
用心に、ほいほいと質問に答えてしまうだろう。そうすると、アウトである。

　サイバー犯罪者は、意外と…

【執筆：Prisoner Langley】
執筆者略歴：
　民間研究者として、さまざまな角度から、セキュリティ事象を調査研究、
BUGTRAQへの投稿などを行う。2004年に発生した、コンピュータソフトウェア
著作権協会（ACCS）のセキュリティ事件の際、セキュリ...