インターネットイニシアティブ（IIJ）は5月18日、1〜3月に発生したセキュリティ事件の対応をまとめた報告書「Internet Infrastructure Review vol.3」を公開した。この中でIDやパスワードを悪用したコンテンツ改ざんが拡大しているとして、対策などを紹介している。

　同社によると、昨年末から盗んだIDやパスワードを不正に利用してWebサイトを改ざんし、閲覧者をマルウェア感染サイトに誘導する事件が増加している。改ざん被害を受けた顧客企業もあった。

　IDやパスワードの盗難、悪用の対策では、従来から定期的な変更や一定以上のけた数やランダムな文字列の利用が推奨されてきた。しかし、管理の手間などを理由にユーザーが特定のIDやパスワードを異なるサービスで使い回すケースや、業務に使うIDやパスワードを私的にも使っているケースがあると指摘する。

vol.003
(2009年5月18日発行)

執筆者：
齋藤 衛（さいとう まもる）
IIJ サービス事業統括本部 セキュリティ情報統括部 部長。法人向けセキュリティサービス開発等に従事の後、2001年よりIIJグループの緊急対応チー
ムIIJ-SECTの代表として活動し、CSIRTの国際団体であるFIRSTに加盟。Telecom-ISAC Japan、日本シーサート協議会、日本セキュリティオペレー
ション事業者協議会等、複数の団体の運営委員を務める。
大原 重樹　土屋 博英（ 1.4.1 SQLインジェクション攻撃とその影響）
永尾 禎啓　須賀 祐治（ 1.4.2 ID・パスワード管理に関する注意喚起）
鈴木 博志　梅澤 威志（ 1.4.3 スケアウェア）
IIJ サービス事業統括本部 セキュリティ情報統括部
桃井 康成（ 1.4.1 SQLインジェクション攻撃とその影響）
IIJ ネットワークサービス本部 セキュリティサービス部 サービス推進課
協力:
松崎 吉伸　
IIJ ネットワークサービス本部 ネットワークサービス部 技術推進課
堂前 清隆　
IIJ サービス事業統括本部 データセンター事業統括部 事業企画課

■Annual FIRST Conference
FIRSTでは、ネットワーク上での情報交換から顔を合わせ
ての会合まで、加盟組織間で多様な活動を行っています。年
に数回開催される会合のうち、最も大きなものがAnnual
FIRST Conferenceです。この会合は毎年6月に世界中の
様々な都市で開催されてきました。秘密保持のために加盟組
織に限定されることの多いFIRSTの活動の中で、このAnnual
FIRST Conferenceは加盟組織以外の人の参加も可能＊3で、
毎回400名以上が参加する大規模な会合となっています。
本年2009年のAnnual FIRST Conferenceは、2009年6月
28日から7月3日にわたって、京都で開催されることが決
まっています＊4。本稿執筆時点では、プログラムの一部＊5が
公開され、参加者募集も開始されています。
そのプログラムは、情報セキュリティ関係の一般的な会合の
ような技術的な内容はもちろんのこと、攻撃者側の状況の共
有や、国際的な協調対応の動きの紹介、国家機関や司法機関、
ISPや製品ベンダ等、立場の異なる組織の協調方法や事例の
共有、実際に攻撃を受けた経験に基づくインシデントレス
ポンスの様子など、多岐にわたっています。
また、登壇者を含め、参加者の多くは第一線で活躍している
セキュリティのエキスパートであり、この会合は世界中の専
門家が日本に集う貴重な機会となっています。是非この21st
Annual FIRST Conferenceに参加して、最新の動向をつか
み、協力関係を築く場として有効に活用してください