エンド・ユーザ向け
ネットワーク・セキュリティ・ニュース

2006.4.12

MS月例パッチ公開、IEの脆弱性10件を修正 (ITmedia) (危険度最大)

米MicrosoftがIE向け累積セキュリティ・アップデートを公開，最大重要度は「緊急」 (IT Pro)

IEの修正パッチがようやく公開，ActiveXの処理が変更されるので注意 (IT Pro)

2006.4.4

Mac OS X: 10.4.6 アップデートが配布されています

2006.3.28

ワインショップ「萬屋」の顧客情報Winny流出、楽天市場では5件 (INTERNET Watch)

トレンドマイクロの営業資料がWinnyに流出 (INTERNET Watch)

2006.3.28

KDDIに似せたフィッシング・サイト、警告発したKDDIが「内容を検証中」 (IT Pro)

2006.3.28

IEの脆弱性狙う実証コード出現 (ITmedia)

IEのパッチ未公開ホールを突くWebサイトが続出，スパイウエアを勝手にインストール (IT Pro)

「IEのパッチは，できるだけ早く公開する」---米MSのセキュリティ・チーム (IT Pro)

2006.3.24

Mac だってマルウェアにやられる (japan.internet.com)

• 参考：
  Today's Topics...20060324 (MacEGOism.jp)
  

2006.3.24

村上議員の後援会名簿流出：バイトの女性がデータ持ち帰り (msn 毎日新聞ニュース)

• 参考：
  村上議員の後援会名簿流出　バイトの女性がデータ持ち帰り (毎日, 3/22) (セキュリティホール memo)
  

2006.3.24

日本ジャグリング協会の会員名簿225人分がWinnyで流出 (INTERNET Watch)

2006.3.24 (2006.3.28 リンク追加)

RealPlayerやRhapsodyに複数の深刻な脆弱性 (INTERNET Watch) (危険度大)

RealNetworks Products Multiple Buffer Overflow Vulnerabilities (secunia)

リアルネットワークス、RealPlayerなどの脆弱性を警告 (CNET Japan)

2006.3.24

銀行口座情報を狙う危険なプログラムが暗躍──複数の専門家が警告 (COMPUTERWORLD.jp)

2006.3.24

2006年も止まらない「Winnyで流出」、最新のマルウェア解説 (ITmedia)

2006.3.24

Internet Explorerで未パッチの脆弱性 (ITmedia) (危険度最大)

Microsoft Internet Explorer "createTextRange()" Code Execution (secunia)

マイクロソフト セキュリティ アドバイザリ (917077) HTML のオブジェクトが予期しないメソッド呼び出しを処理する方法の脆弱性により、リモートでコードが実行される (Microsoft)

　とりあえず Active Scripting をオフにしておく。

2006.3.24

MSのセキュリティ担当者がAppleに説教 (ITmedia)

2006.3.23 (2006.3.24 リンク追加)

Sendmail でのリモート シグナル処理の脆弱性 (ISSKK)

「Sendmail」に深刻な脆弱性--攻撃者に悪用されるおそれ (CNET Japan)

Sendmailに危険度の高い脆弱性、修正済み最新版へのバージョンアップを (INTERNET Watch)

2006.3.23

2005年の10大脅威「SQLインジェクション」「Winny情報漏洩」など〜IPA (INTERNET Watch)

プレス発表「情報セキュリティ白書２００６年版」の発行について (IPA)

2006.3.23

IE 6にまた脆弱性--Windowsへの攻撃を誘発 (CNET Japan)

2006.3.23

“Winny問題”との長い闘いがこれから始まる (IT Pro)

5分で絶対に分かるWinny情報漏えい対策 (@IT)

2006.3.22

ほぼ日刊イトイ新聞、Google Maps APIを活用した桜前線コンテンツ (INTERNET Watch)

ほぼ日桜前線２００６！ (ほぼ日刊イトイ新聞)

「定点桜・福島大学2006」もよろしく。

2006.3.22

シマンテック、Winny検索ツールを無償公開 (INTERNET Watch)

Yahoo!ショッピングの業務情報3,169件分がWinny上に流出 (INTERNET Watch)

2006.3.22

ボットネットの根絶は無理？ (ITmedia)

2006.3.21

警察庁の事務用システム端末情報がWinny流出、JASDAQ資料と同ルートか？ (INTERNT Watch)

愛媛県警の捜査資料Winny流出、個人情報4,400人分が含まれることを確認 (INTERNT Watch)

2006.3.21

アップル、3度目の正直--新たなセキュリティアップデートを公開 (CNET Japan)

2006.3.21

JASDAQのシステム関連資料がWinny流出--開発委託先の日立から (CNET Japan)

2006.3.21

ついに相談室まで〜「Winny問題」を受けてIPAが設置 (IT Pro)

「Winny緊急相談窓口」設置について (IPA)

2006.3.20

猛威を振るう新種のDoS攻撃--ダメージは従来よりはるかに深刻 (CNET Japan)

ベリサイン、大規模なDDoS攻撃の危険増大を警告 (COMPUTERWORLD.jp)

2006.3.20

ハードディスク全体を公開する「Winnyウイルス」出現 (IT Pro)

ローカルドライブを全公開、Winny流出させる新たなウイルス「Exponny」 (INTERNET Watch)

情報漏えいは止まるのか？「Winnyウイルス」総まとめ 〜Winnyウイルスの経緯と対策〜 (IT Pro)

「Winnyを禁止しても，根本的な解決にはならない」---米Symantecのマネージャ (IT Pro)

次は「汝のcacheを開いて鏡に映して見よ」と国民に呼びかけてはどうか (高木浩光＠自宅の日記)

2006.3.20

Flash Playerなどに深刻な脆弱性、修正版へのアップグレードを (ITmedia)

Flash Playerに危険なセキュリティ・ホール，多くのユーザーが影響を受ける (IT Pro)

ダウンロードは，「Macromedia - ダウンロード」から。

2006.3.14

Google Mars (Google)

2006.3.14

「早く入金してください！」，“ワンクリックウエア”に注意---ウェブルート (IT Pro)

2006.3.14

情報漏洩事故の公表を求める「政府の基本方針」、対象は民間だけでいいのか (IT 弁護士の眼, IT Pro)

• 参考：
  情報漏洩事故の公表を求める「政府の基本方針」、対象は民間だけでいいのか (IT 弁護士の眼, 3/12 (セキュリティホール memo)
  

2006.3.14

Mac OS X: ソフトウェアアップデートより Security Update 2006-002 が 配布されています (危険度最大)

早急なアップデートを強くお勧めします。

• 参考：
  Security Update 2006-002 について (Apple)
  Mac OS X Security Update Fixes Multiple Vulnerabilities (secunia)
  Apple、Safariの脆弱性を修正 (ITmedia)
  Mac OS Xに危険なセキュリティ・ホール，修正パッチが公開 (IT Pro)
  アップル、Mac OS Xのセキュリティアップデートを公開--前回のパッチも修復 (CNET Japan)
  

2006.3.13

公正取引委員会は日本でこういうFUDを許すのか (高木浩光＠自宅の日記)

2006.3.13

「Winnyは悪くない、悪いのはウイルスであり、感染する人だ」--開発者の金子氏 (CNET Japan)

　「 ... そしてWinnyを理解できない人は使わないこと」

　そして理解できる人が日本に何人いるかは興味深いところです。理性が強欲に負けそうな人は私も含めてたくさんいそうですが...

2006.3.13

アンラボ、Winnyウイルス専用ワクチンソフトを無料で公開 (CNET Japan)

2006.3.13

「GnuPG」に不正な署名を見逃す問題，「早急にアップデートを」 (IT Pro)

オープンソースの暗号化ソフト「GNU Privacy Guard」に脆弱性 (CNET Japan)

2006.3.13

「アンケートに答えたら20ドルあげます」，フィッシングの新手口 (IT Pro)

2006.3.13

「Winny経由の情報漏えいは，他人事ではない」---IPA (IT Pro)

Winnyによる情報漏えいを防止するために　− 漏れているのは、官公庁や大企業の情報だけではない − (IPA)

2006.3.12

Winny個人情報流出まとめ

• 参考：
  Winny ねた (セキュリティホール memo)
  

2006.3.11

住友生命、米国子会社の取引先情報など約8,000件がWinny流出 (INTERNET Watch)

2006.3.11

日本郵政公社九州支社、簡保加入者リストなどがWinnyで流出 (INTERNET Watch)

2006.3.11

［連載］情報漏洩100％対策──あらゆるリスク、ケースを徹底検証 (COMPUTERWORLD.jp)

2006.3.11

止まらないWinnyウイルスによる情報漏洩。アルプス技研が取引先や従業員情報など1,668件を流出 (COMPUTERWORLD.jp)

アルプス技研の社員情報など1,668件流出、元社員がWinnyでウイルス感染 (INTERNET Watch)

2006.3.11

NTT西日本、Winnyにより顧客情報流出--グループ社員情報2000件も同時に流出 (CNET Japan)

2006.3.11

Mac OS Xのセキュリティアップデートは不完全--専門家が指摘 (CNET Japan)

2006.3.11

フィッシングに新たな手口，「偽サイトが閉鎖されたら，別の偽サイトへ誘導」 (IT Pro)

2006.3.11

富山市の病院で患者の手術情報が流出、ウイルス感染は2004年12月 (ITmedia)

富山市の病院で手術室の使用履歴2,873件が流出、Winnyでウイルスに感染 (INTERNET Watch)

2006.3.11

QuickTimeとiTunesに脆弱性報告 (ITmedia)

2006.3.11

スパムを見分けるリテラシー (ITmedia)

2006.3.11

企業責任としてのフィッシング対策：フィッシング／詐欺メールの脅威とその対策 (ITmedia)

2006.3.4 (2005.3.6 リンク追加 )

「それでもあなたは使いますか？」，Winnyの危険性をIPAが再警告 (ITPro)

コンピュータウイルス・不正アクセスの届出状況[2月分]について (IPA)

「Winnyで流出した海上自衛隊の情報，3000名以上が入手」---ネットエージェント (ITPro)

「Winnyで流出した海上自衛隊の情報、3月2日までに3433人がダウンロード」　--- Winnyネットワークを調査、警鐘として発表--- (ネットエージェント)

モスフード、顧客情報と従業員情報をWinny上に流出 (ITmedia)

業務委託先が無断持ち出し、Winnyで顧客情報が流出――富士宮信用金庫 (ITmedia)

岡山県警からも捜査資料がネット流出 (slashdot.jp, 3/4) (セキュリティホール memo)

Winny禁止も止められず、岡山県警倉敷署の巡査長が捜査資料を流出 (INTERNET Watch)

WinnyのDownフォルダをインターネットゾーンにする (高木浩光＠自宅の日記)

2005.3 以来の Winny 流出記事いくつか

NTT東西の顧客情報1396件がWinny流出--原因は社員PCのウイルス感染 (CNET Japan 2006.2.24)

東京地裁の書記官が競売情報持ち出し、149人の個人情報がWinny流出 (INTERNET Watch 2006.2.24)

海上自衛隊の「秘」情報がWinnyで流出、防衛庁が調査を開始 (INTERNET Watch 2006.2.23)

名古屋市消防局で2度目の情報流出、情報持ち出しやWinnyの利用止まらず (INTERNET Watch 2006.2.23)

受刑者情報含む1万ファイルがWinny流出、京都刑務所の刑務官のPCから (INTERNET Watch 2006.2.14)

三重県伊勢市のCATV業者、加入者情報1,378名分をWinny流出 (INTERNET Watch 2006.2.13)

Winnyで情報流出の消防署員が停職処分、上司も減給〜岐阜県各務原市 (INTERNET Watch 2006.2.10)

中部電力の発電所情報がWinnyに流出、原子力安全・保安院が指摘 (INTERNET Watch 2006.2.3)

郵便局職員のPCから、書留の受領証リスト2,460件分などがWinny流出 (INTERNET Watch 2006.2.2)

筑波大の学生がウイルス感染、Winny上に臨床実習の患者情報が流出 (INTERNET Watch 2006.1.20)

三井住友海上の顧客情報など590人分がWinny流出、業務委託先社員のPCから (INTERNET Watch 2006.1.18)

兵庫県養父市CATVの顧客情報がWinny流出、NISCの指摘で判明 (INTERNET Watch 2006.1.16)

富士通の顧客情報がWinnyに流出、私用PCのウイルス感染が原因 (ITmedia 2006.1.13)

再び関西電力からWinnyで情報流出、保安院が情報管理の徹底を指導 (ITmedia 2005.12.27)

NECフィールディングの顧客情報、Winnyで流出 (ITmedia 2005.12.27)

CSKシステムズの顧客リストがWinnyに流出、私用PCのウイルス感染で (ITmedia 2005.12.22)

NTT東日本の法人顧客情報などがWinnyで流出、元社員のPCから (ITmedia 2005.12.19)

原発の耐震資料がWinny上に流出、関西電力社員の個人PCがウイルス感染 (INTERNET Watch 2005.12.12)

空港制限区域に入るための暗証番号がWinny上に流出、JAL副操縦士のPCから (INTERNET Watch 2005.12.9)

JR西日本、旅行商品の利用者情報などがWinnyネットワークに流出 (INTERNET Watch 2005.11.28)

北海道職員3,544人分の共済組合情報などがWinnyで流出 (INTERNET Watch 2005.11.16)

東海エリアのドコモショップがWinnyで情報流出 (ITmedia 2005.11.14)

またもやWinny上に原発の検査情報などが流出 (INTERNET Watch 2005.11.9)

アフラックの代理店から顧客情報564人分が約半年にわたってWinny上に (INTERNET Watch 2005.10.11)

野村IR、アンケート回答者137人分の個人情報がWinnyで流出 (INTERNET Watch 2005.9.26)

Winny経由でまた情報流出、今度は九州電力の火力発電所情報 (ITmedia 2005.9.20)

Winnyで原発情報また流出 (ITmedia 2005.8.30)

Winnyで保安院の原発情報流出　職員の私物PCが感染か (ITmedia 2005.7.22)

「仁義なきキンタマ」が原発情報流出 (ITmedia 2005.6.23)

愛知県警の捜査情報がネットに流出 (ITmedia 2005.6.24)

Winnyで原子力発電所の内部情報が流出 (INTERNET Watch 2005.6.23)

NECファシリティーズ、Winnyで約400人分の人事考課ファイルを流出 (ITmedia 2005.6.7)

一宮市の小学校、全児童・職員の名簿がWinnyで流出 (ITmedia 2005.6.2)

ドコモ東海の基地局情報がWinnyで流出 (ITmedia 2005.6.1)

福島県のそうま農協、Winnyで共済会員603名分の個人情報流出か？ (INTERNET Watch 2005.5.23)

秋田県湯沢市、住民1万人分の個人情報をWinnyで流出 (ITmedia 2005.4.15)

湯沢市の失態に見る、企業・組織で「Winny」を野放しにすることのリスク (computerworld.jp)

またもやWinnyで診療記録流出――鳥取赤十字病院 (ITmedia 2005.4.1)

Winnyで患者50人分の検査データが流出――東京医科歯科大病院 (ITmedia 2005.3.29)

2006.3.3

組み込みシステムのセキュリティ〜攻撃の脅威と防衛策〜 (ITPro)

2006.3.3

「ウェブ進化論」の梅田望夫氏が語る“Googleという隕石” (ITPro)

「... 今のスタンダードでエンジニアリングの観点からして美しくないものは再定義するのだと、彼らは真剣に考えています。」

2006.3.2

Mac OS X: ソフトウェアアップデートより，Security Update 2006-001 が配布されています

　早急なアップデートをお勧めします。

　2006.2.21 に報告した Safari の欠陥等が修正されています。（Mac OS X 10.4.5 PPC + Safari 2.0.3 (417.8) で確認）

　Safari では，リンクをクリックした時点で警告が出るほか，「安全なファイルを自動的に開く」オプションがオンでも自動的に開かなくなりました。また， Mail でも zip ファイル，圧縮していない偽装ファイルをダブルクリックした時点で警告が出るようになりました（警告に従わずに開くと実行されてしまいます）。

　ただし，偽装ファイルをファインダで開くと実行されてしまいます。

• 参考：
  Security Update 2006-001 について (Apple Support)
  

2006.2.27

Winny+Antinnyによる情報漏洩を防止する方法 (武田圭史)

• 参考：
  Winny+Antinnyによる情報漏洩を防止する方法 (武田圭史, 2/25)。 (セキュリティホール memo)
  

2006.2.27

国立情報学研究所とNTTが小学生向け情報教育の共同研究を開始 (INTERNET Watch)

2006.2.27

「1つのWebサイトに，複数のフィッシング・サイトを構築するツールが出回る」，米Websense (IT Pro)

2006.2.27

Macウイルス登場、そのときAppleは？ (ITmedia)

2006.2.21 (2006.02.24 リンク追加)

Mac OS X: Safari Web ブラウザに，ページを閲覧しただけで，閲覧ユーザ権限でシェルスクリプトが自動起動してしまう欠陥が報告されています (危険度最大)

　ただちに［Safari］−［環境設定］−［一般］の「ダウンロード後、"安全な"ファイルを開く」のチェックボックスをオフにしてください。（購入時のままだとオンになっています。この機能は危険性の高い機能ですので，普段からオフにしておくことを強くお勧めします。）

　また，安全であることが確認できないファイル（メールに添付されたファイルも含む）は開いてはいけません。実例ページではシェルスクリプトがムービーファイルに偽装されています。自動実行しなくても，このファイルを開いただけで，シェルスクリプトが実行されてしまいます。

　Mac OS X 10.4.5 PPC + Safari 2.0.3 (417.8) で確認。

　最近では他にも２件のワーム／トロイの木馬が報告されています。ソフトウェアアップデートで OS のバージョンを最新版にしておくことを強くお勧めします。

• 参考：
  [harden-mac:0752] Apple Safari Browser Automatically Executes Shell Scripts (harden-mac ML)
  Apple Safari Browser Automatically Executes Shell Scripts (heise online)
  Serious flaw on OS X in Apple Safari (SANS)
  Mac OS X "__MACOSX" ZIP Archive Shell Script Execution (secunia.com)
  Mac OS Xに深刻な脆弱性が発見される - 出所不明のZIPアーカイブに注意 (MYCOM PC WEB)
  Mac OS Xの脆弱性でファイルタイプを偽装される恐れ、「Mail」にも影響 (INTERNET Watch)
  Security hole in Mac OS X also affects Apple Mail (heise online)