【マンスリーレポート　2003/06】インシデント事後対応　ベストは該当なし、ワーストは日本データ通信協会

　2003年6月 Prisoner'Choice インシデント事後対応ベスト＆ワースト

　2003年6月にネット上で発生したインシデントの中で、ライター集団 Prisonerが、独自の観点で選んだインシデント事後対応ベスト＆ワーストをお送りする。

>> ベストは該当なし

　6月に発生したネットワーク上のインシデントの中には、ベストと見受けられるものがなかったため今回は「該当なし」とします。

>> ワーストは（財）日本データ通信協会

　6月のワーストは（財）日本データ通信協会。数々の問題点が露呈した。

　日本データ通信協会は、経済、文化、行政その他のあらゆる分野におけるデータ通信の健全な発展を図ることを目的に設立された団体。電気通信主任技術者試験や工事担任者試験等の国家試験を司り、情報通信技術講座や講演会等の開催を行っている。

　1998年4月には「個人情報保護登録センター」を開設し、適正な個人情報保護措置を講じている事業者に対して個人情報保護マークの発行を実施。

　2002年7月には「迷惑メール相談センター」を発足。電話による相談を受け付け、迷惑メールに困惑する一般市民の窓口となっている。

　このほか、ウイルス情報や感染防止を啓蒙する「ウイルスコンサルティングセンター」も発足させており、さながらネットワークセキュリティ全般に目を向け、包括的に取り組んでいる（取り組む立場である）ことがわかる。

　その日本データ通信協会のWebサイトに、個人情報漏洩と匿名メールの第三者不正中継の問題が新たに発見された。

　問題箇所は、同協会Web上の、講演会申込を処理するcgi。このcgiの脆弱性により、サーバ内にある任意のファイルを閲覧することが可能であった。同時にこの脆弱性を利用して、送り主が特定されないスパムメールを出すことも可能な状態だった。「迷惑メール相談センター」を構えつつも、メール不正中継の温床となりうる可能性をはらんでいた点はなんとも皮肉である。

　さらにcgiの書き込み権限を利用すれば、任意のファイルに情報を書き加えられる可能性も存在していた。この点につけこまれ、2003年6月11日にはWebファイルが書き換えられ、ウイルスを埋め込まれるという事件が発生している。同協会web上の特定のページにアクセスするとVBS_REDLOF.Aウイルスに感染する可能性がある、という類のもの（現在は対処済み）。

[ Prisoner DAMLAK ]

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml

=====================================================
◇Scan Monthly Report　Best Worst
http://shop.vagabond.co.jp/p-sbw01.shtml

◇ネットワークセキュリティ・インシデント年鑑2003
http://shop.vagabond.co.jp/p-inc02.shtml
=====================================================