いわゆるフィッシング被害は米国に比べ日本では非常に少ないが、携帯電話などでの被害を考えると、海外とは異なる形でのフィッシング詐欺が発生している。　日本におけるフィッシングや関連事件について概観する。

内田勝也氏：電気通信大学経営工学科卒。中央大学理工学研究科博士課程修了。博士（工学）。オフコンディーラーにてシステム開発、ユーザー支援等を担当。在日外国銀行 でシステム監査、ファームバンキング技術支援などを担当。大手損害保険会社にてコンピュータ包括保険導入プロジェクト、情報セキュリティー調査研究等に従 事。中央大学にて、「ネットワークセキュリティ」（修士課程）講師、情報セキュリティー人材育成プロジェクト推進、２１世紀ＣＯＥにて事業推進担当等。情報セキュリティ大学院大学にて、情報セキュリティマネジメントシステム、リスクマネジメント、セキュアシステム実習を講義。Computer Security Institute（CSI、本部：米国）会員、情報処理学会会員、ISMS審査登録機関 審査判定委員会委員長。2007年より、横浜市ＣＩＯ補佐監を務める。

国際的なフィッシングの調査結果
Greg Aaron, Afilias, アメリカ合衆国
Rod Rasmussen, InternetIdentity, アメリカ合衆国

グレッグとロッドのフィッシングアクティビティに関する広範囲な研究により、本講演では、フィッシングに関する重要なトレンド -- 効果的にフィッシングに対抗していくための手がかりが明らかにされる。本講演では、それらの研究成果のうち、どのトップレベルドメインがフィッシング攻撃者に悪用された事（及びその理由）、どの標的が（フィッシングの）影響を受けたか、危ういドメインとフィッシング詐欺用に取得されたドメインとの対比、等が報告される。

Greg Aaron氏は、Afilias社にてキー・アカウント・マネジメントおよびドメイン・セキュリティのディレクターを務める。（Afilias社は、.info のトップレベルドメイン（TLD）の運用に加え、.org、.mobi、.in （india）を含む13のトップレベルドメインに関する技術サービス及びアドバイスを提供している。）彼は、同社のドメイン不正使用ポリシー策定と実践を含むセキュリティ・プログラムを統括し、ドメイン名の知的財産問題や、国際化ドメイン名（IDNｓ）に関する専 門家であり、APWGのステアリング・コミッティの委員でもある。インド政府に対し、ドメイン及びインターネット・ポリシーに関するアドバイスを行った経験を持つ。W3Cの国際化コア・ワーキング・グループメンバー。それ以前には、インターネット関連企業（Travelocity社）に勤務した経験もある。ペンシルベニア大学を次席で卒業。

Rod Rasmussen氏は、Internet Identity社の共同創業者であり、創業の2001年から技術面のリーダーを務める。フィッシング詐欺によるドメイン・ネーム・システムの不正利用に 関する第一線の専門家として広く知られる。APWGのインターネット・ポリシー・コミッティ（IPC）の共同議長。ドメインネームの世界的管理団体の ICANNを含む、世界の様々な団体に対するAPWGの公使も勤める。AOTA（Authentication and Online Trust Alliance）のステアリング・コミッティ・メンバー、及び、産業界と警察当局との協力関係を形成するDigital PhishNet におけるアクティブ・メンバー。Internet Identity社を創業する以前は、ネットワーク機器の試験を行うLanQuest社、及び、ネットワーク製品製造のGlobal Village社にて、プロダクトマネジメントを担当。カリフォルニア大学バークレー校のハースビジネススクールにてMBA取得、ロチェスター大学にて経済学とコンピューター・サイエンスの学士号を取得。

ハッカー、ウイルス、ワーム、トロイの馬、それぞれは大企業や有名なＯＳ、主流なアプリケーション、英語を話すユーザだけをターゲットとしていると私たちは言われていましたが、違いますか？
ところで「主流」とはいったい何をさすのでしょうか？私たちが知る今日のインターネットは、全体のうち英語のコンテンツが３０％で、残りは中国語、スペイン語、日本語とその他のポピュラーな言語のコンテンツを包括しています。
今日のマルウェアの脅威は、ダイナミックであり多様なユーザやコンテンツを標的としています。本講演では、日本を標的とした攻撃にローカライズされた多くの攻撃、およびMcAfee Avert Labs が実際に確認した標的とされているその他のアジアの国々の特徴的な文化や国民性が存在することについて討議することを目的としています。

Geok Meng Ong氏は、CISSP保有者であり、McAfee AVERT研究所にてマルウエア研究のアジアパシフィック及び日本担当チームのリーダー。それ以前には、民間・政府機関両方において、セキュリティコンサ ルティング、ネットワークやマルウエア研究に関する多くの経営的、技術的ポジションを経験。ハンズオン型の研究員であるMeng Ong氏は、マルウエアヒューリスティックス評価、脆弱性に関する研究に注力し、新しいマルウエアのトレンドやこの分野で流行しているエクスプロイト・コードに関する記事でメディアに引用 されることが多い。

summary（後日発表）

Ralf Zimmermann氏は、1982年からドイツ警察官。爆発物探知犬訓練士として、10年間国境警備隊に所属。ノース・リーン・ウエストファリアの機動隊に2年、その後10年にわたりドイツ警視庁犯罪捜査部（BKA）に勤務。そのほか、合成麻薬対策ユニット、及びベルリンにて身辺警護ユニットにも従事した経歴を持つ。2006年11月からインターポールも兼任し、フランスのリヨンに拠点を置くインターポール事務総局の金融・ハイテク犯罪捜査局金融犯罪ユニットの一員。

Terrence Park氏は、2000年情報セキュリティ庁（KISA）入庁、中華民国台北（台湾）、日本、韓国、シンガポールのPKI相互運用性に関するワーキンググループのオーガナイザーを務め、アジアPKIフォーラムとも協調関係をとる。KISAでPKI分野を担当する間、韓国のルート認証局用タイムスタンプサーバーの運用、認証局認定のための評価および審査に携わる。
2005年からフィッシング詐欺リエゾンとしてKrCERT/CCに参加、おもにアジア・パシフィック経済圏と、APCERTステアリング・コミッティメ ンバーである各国CSIRTと協調関係を保ちながら、国際協力の窓口となっている。今まで関わった仕事では、CSIRTのトレーニングとりまとめ、サイバー空間における試験等がある。現在は、韓国のAPEC TELプロジェクト、国連ICT政府リーダー向けのトレーニングコースに携わる。

Steve Sheng 氏は、カーネギーメロン大学にて博士課程４年の学生である。彼の最近の興味は、技術とパブリックポリシーを利用した、オンライン上の人々のアイデンティティとプライバシーの保護にある。その研究に関連して、最近の大きな主眼はアンチフィッシングである。
彼はフィッシング攻撃を人々に教授する興味深いオンラインゲーム「Anti-Phishing Phil」をデザインした。このオンラインゲームは「NetworkWorld」にて先端的ネットワークリサーチプロジェクト２５本の１つとして紹介された。

• インターネットコンテンツでの決済の実情
  ＲＭＴとオンライン決済の関係性
  オンラインゲームでの実例
• オンライン決済のセキュリティの責任分解点
  プレイヤー毎の責任と関係性
  livedoorでの実例
• インターネットコンテンツの価値とセキュリティの関係
  コンテンツ価値の上昇によるネット犯罪の増加について

片山昌徳氏：ビットキャッシュ株式会社　営業企画部　部長。1976年生まれ。法政大学工学部を卒業後、富士通、フューチャーアーキテクト、ライブドアを経て、現在のビットキャッシュ株式会社に至る。

日本オンラインゲーム（JOGA)について紹介後、NHNジャパン(株)において実際に起こった不正アクセス事例をご紹介し、その対策を含めた当該組織の不正アクセス対策について情報共有をする。

植田 修平（Shuhei Ueda)氏は、日本オンラインゲーム協会会長、兼、株式会社ゲームポット 代表取締役社長である。早稲田大学商学部卒。イマジニアでコンシューマ/PCゲームの営業に関わり、2000年にコミュニケーションオンライン（現アエリア）に入社。新規事業として、ゲームポットの立ち上げに携わる。2003年3月、ゲームポットの代表取締役に就任し，現在に至る。

増村 洋二(Yoji Masumura)氏。NHN Japan（株）セキュリティ室マネージャー。2005年NHN Japan入社。情報セキュリティ、個人情報保護の業務に関わり、全社ISMS認証取得プロジェクトを推進。並行してユーザー保護の仕組み、各種セキュリティ企画の立案／実施、セキュリティインシデントへの対応に従事。2006年より現職、現在に至る。

IE8やFirefox3、Flash Playerの最新バージョンやマイクロソフトのSilverlightなど、ウェブに関連する新たなテクノロジーが登場しています。これらのテクノロジーのセキュリティについて、クロスドメインアクセスやDNS Rebinding、UPnPの悪用といった攻撃手法との関連について解説します。

金床氏は、1975年生まれのプログラマーであり、1998年よりネットワークやセキュリティ関連の情報を提供するJUMPERZ.NETを運営する。 Guardian@JUMPERZ.NET(Web Application Firewall)、Doorman@JUMPERZ.NET(Client Side Proxy)、HTTPTunnel@JUMPERZ.NET(HTTPの上に仮想的なTCPコネクションを構築するツール）などのオープンソースのツールを開発している。また、日本語版PhrackともいえるオンラインマガジンのWizardBible.orgにレギュラーとして記事を投稿している。
DNS Rebinding(あるいはAnti-DNS Pinning)の分野では、Martin Johnsの原理をFLASHに応用しSocketインターフェースでの攻撃が可能であることを示した。また、http: //www.jumperz.net/上では各種のDNS Rebinding攻撃を体験することができる、オンラインデモンストレーションを公開していることでも知られている。また、スタンフォード大学のホワイトペーパーでも彼のサイトをリファレンスとして引用している。
http://crypto.stanford.edu/dns/
業務では株式会社ビットフォレストにて過去5年間多くのウェブアプリケーションの開発に携わってきた。また、2007年には著書「ウェブアプリケーションセキュリティ」を日本国内にて発売した。本名佐藤匡、株式会社ビットフォレスト取締役CTO。

APWGでは、現在のところ情報共有が定着しており、継続的に業務効率と実用性の向上に努めている。このプレゼンテーションでは、APWGがリードし、新 しいAPWGレポジトリで使われている情報共有フォーマットの標準化のための取り組みについて概観する。APWGと研究パートナーで現在進行中の新しい共有の仕方に関する解説と、大きなコミュニティにとってどのような利益になるのか、についても触れる予定。

Patrick Cain氏は、APWG常駐リサーチチャーであり、コンピュータとインターネットのセキュリティ・コンサルティング会社である Cooper-Cain Group社の社長を務める。20年以上にわたり情報セキュリティに関する開発や運用に携わってきた経験を持つ。それ以前は、大手ISPである Genuity社においてCTO室セキュリティ推進を担当。公認情報システム監査人（CISA）、公認情報セキュリティマネージャー（CISM）の資格を有し、米国法曹協会会員でもある。FSTC対フィッシングプロジェクトに参加し、現在はIETFにてフィッシングと電子犯罪のレポートの標準化をリードしている。IETFのい くつかのワーキング・グループにおいて副議長を務め、インターネットの脆弱性を分類・認識し、問題解決へ取り組むホワイトハウスのワーキング・グループにも参画している。

本講演では、極めてまれなフィッシングサイト（実在の銀行や警察関連のサイト）の実例を報告する。加えて、犯罪者が改ざんしたサーバーに残してしまった、メールアドレスやウェブサイト、その他具体的なデータの事例もあわせて示す。

Michael Molsner氏は、2004年、(株)Kaspersky Labs Japan に入社、現在CIOを務める。2006年から悪質なソフトウェアよりもフィッシングサイトに関する調査活動に力を入れている。同じ頃、 PhishTank のモデレーターを務める。原稿執筆時点では、少なくとも15,780のフィッシング用に提出されたURLの証明履歴を保有しており、26,160のフィッシングURLの検証を行った。特に重要な調査活動には、フィッシング用URL（エクスプロイト、ボット、マルウェア、phish-kits 等）が添付されているデータの探索、及び地域（日本）にある脅威削減のためのプロシージャのてほどき等が含まれる。

テーマ：チャレンジや簡単に解決しない困難な問題等

モデレータ： 佐々木良一, 東京電機大学工学部 教授, 日本
昭和４１年香川県立高松高校卒業。同年東京大学入学。昭和４６年３月東京大学卒業。昭和４６年４月日立製作所入所。システム開発研究所にてシステム高信頼化技術、セキュリティ技術、ネットワーク管理システム等の研究開発に従事し、ネット ワーク管理システムＮＥＴＭや各種セキュリティシステム等の製品化に貢献。同研究所第４部（ネットワーク関連部）部長やセキュリティシステム研究センタ 長、主管研究長などを経て２００１年４月より東京電機大学工学部教授。

パネリスト:
Rakesh Mohan Goyal, Managing Director at Sysman Computers (P) Ltd.
Rakesh Mohan Goyal (Rakesh)氏は、インドのコンピュータ犯罪の予防研究センター（CRPCC)の事務局長兼、インドのムンバイにあるSysman Computer P Ltd.,(www.sysman.in) のマネージングディレクターである。1991年よりISセキュリティやISオーディット、フォレンジックスに携わる。2008年4月より3週ごとに発刊する52,000人の購読者を持つCRPCC発行のITセキュリティニュースレターの編集者を務める。 彼はインドの各省庁のITに関する法令委員会のメンバーや、技術/解析委員会(ISセキュリティやIT関連法やPKIのエキスパートによる委員会)の委員長の経験を持つ。ISセキュリティに特化した大学の設置中である。金メダルを保有する工学部大学院生でありI.I.M.BnagaloreのMBAを金メダルとともに取得。CISA、CISM、CCCI、CMC、CFE等の認定証を保有する公認エンジニアである。ITセキュリティに関する５冊の本を出版し、50以上の論文や記事を執筆。1990年にインドのCDC/Govt.よりヤングコンサルタントアワード(Yong Consultant Award)を授与された。彼の33年のキャリアでは、2000を超えるITセキュリティの課題を消化した経験を持つ。空手の黒帯初段の資格を持つ。彼の連絡先は右記の通り：rakesh@sysman.in。

YingJian Wang,

※その他のパネリストは後日発表

本講演では、2007年に何千もの.hkドメインがフィッシングに悪用された時に、影響を最小限にするために何をしたかについてのリアルケースを報告する。それに加え、外部機関－ CERTや、フィッシングやspamvertizingドメインの検証や特定を行うためのガイドライン策定を支援した法執行機関－からの支援の重要性を強調していく。

Bonnie Chun氏は、現在 Hong Kong Domain Name Registration Company Limited (“HKDNR”)のオペレーションマネジャー。HKDNRは、.hkドメインのレジストリ及びレジストラであり、ポリシー設定と運用実務面、カスタマーサービス対応、サービスパートナー管理の責任者である。Chun氏はHKDNRに4年以上在籍している。HKDNRに入る以前は、テレビ局と電気通信事業者で管理職の経緯を持つ。ヘリオット・ワット大学にて経営管理修士取得。中国法制度、カスタマー・サービス・マネジメントの品質に関する二つの専門分野にて学位取得。

ccTLD(国別コードトップレベルドメイン)のレジストリは、その国/地域に割り当てられたTLD配下のドメイン名に対し、それが誰に登録されているか、また、インターネット上でアクセスできるか、を管理する存在である。このため、ccTLDレジストリに対して、「フィッシングに使われているドメイン名を使用不能として欲しい」という要求が寄せられることがよくある。今回は、 ccTLDレジストリの本来の役割と、前述のような要求に対してccTLDレジストリがとっている立場を紹介する。

堀田博文氏は、2001年より、.JP ccTLDレジストリであるJPRSの取締役であり、 経営企画と事業開発の責を負っている。 1999年より2年間、ISP部会から選任されICANN DNSOメンバを務めた。現在、IDNC作業部会、ccNSO/GAC合同IDN作業部会、そして、ccNSO評議委員会メンバに就いている。

Paul Ferguson ('Fergie')氏は、カリフォルニア州クパチーノにあるトレンドマイクロ社において、ベテランのネットワーク・アーキテクト、セキュリティ脅威担当上級研究員として勤務。 Ferguson氏は、20年以上通信分野で仕事をしてきたことから、自身のことを“ネットワークセキュリティの痕跡だらけの年取ったルーター使い” と評し ている。トレンドマイクロ社に入る以前は、ノースロップ・グラマン、シスコ・システムズ、スプリント、コンピューター・サイエンス、AT&Tで経歴を積み、東西冷戦下の数年間はCOMSEC（通信セキュリティ）専門家としてアメリカ陸軍の現役軍務に従事した。最近はもっぱら、サイバー犯罪者の追跡に多く の時間を割いている。彼のブログはこちら。

Chris Horsley氏は、2007年よりJapan Computer Emergency Response Team Coordination Center (JPCERT/CC)の情報セキュリティアナリストとして、マルウェア分析および分析システムに関する業務に従事。2004年～2007年の約3年間においては、Australian Computer Emergency Response Team (AusCERT)の情報セキュリティアナリストとして、脆弱性情報ハンドリング、インシデントレスポンス、マルウェア分析および情報収集など、CERTにおけるすべてのオペレーションを担当した経験をもつ。また、情報セキュリティ分野に関わる前の約6年間は、ウェブ開発、システム管理に関わり、専門知識は、情報セキュリティ分野のみならず、ソフトウェア開発、情報収集およびデータ・ビジュアル化技術にも及んでいる。

本講演では、信頼された関係の構築と情報の共有が、電子犯罪対策においてどのように役立つか、に関する洞察が報告される。こういった連携は、地域、国レベル、グローバルであり、産業や法制度、政府といったものも含まれる。

Jason Milletary氏は、CERT/CCマルウェア解析チームメンバーである。金融機関及びその顧客に対する脅威（フィッシング、マルウェアを含む）の分析を行い、そこで得た見識を世界中のユーザーに共有している。

小山雅子氏は、現在、京都府警ハイテク犯罪対策室の室長を務める。 京都府警ハイテク犯罪対策室とは、高度情報化社会の進展に伴い、コンピュータ・ネットワーク等を利用したサイバー犯罪が急増しているため、市民生活や経済 活動に深く影響を及ぼすサイバー犯罪に的確に対応できるように、京都府警察本部生活経済課に、「京都府警察ハイテク犯罪対策室」を置き、府警の総力を挙げ た対策を推進するため、関係部門によるプロジェクト「京都府警察サイバー犯罪対策総合推進本部」を設置した背景を持つ。京都府警ハイテク犯罪対策室では、 サイバー犯罪に関する各種情報を収集するとともに、情報セキュリティ対策などの防犯活動やサイバーパトロールによる取締り等、さまざまな活動を行ってい る。

Alexander Seger は、1999年2月よりフランスのストラスブルグにある欧州評議員会(Council of Europe) に属する。彼は、人権＆法務の事務局長として経済犯罪部門を率いている。
サイバー犯罪の国際的プロジェクトと同様、組織犯罪、マネーロンダリング、汚職他に対抗する技術協力プログラムの責任者である。このプロジェクトは、サイバー犯罪条約に批准している全世界の国々をサポートする。
欧州評議員会以前は、彼は、ウイーン（オーストラリア）、ラオス、パキスタン、アフガニスタンでの国連国際ドラッグコントロールプログラムにて国際的ドラッグコントロールにおよそ１０年携わり、ドイツの技術的企業にてコンサルタントの経験を持つ。 彼はドイツのボンとフランスのボルドー、ハイデルベルグにて学び、政治学の博士号を持つ。

2004年、インターネットは、興味のおもむくままにネットをむさぼるもの、経済的利益のために人のこころの弱さにつけむもの、ボットをあやつるもなどのの 未曾有の攻撃によって汚されていた。このサーガは、汚れたインターネットに対してたちあがったISPなどの活動と社会の一線を越えてしまった技術者と社会 との闘いの叙事詩である。

高橋郁夫 IT弁護士
昭和62年4月 司法研修所(39期) 修了し、昭和62年4月から弁護士として活動。特にIT分野には造詣が深く、多くの経験を持つ。平成14年4月から宇都宮大学工学部非常勤講師を同時に務める。彼の代表的な報告書は以下のとおり。

ボットネットは、数多くのインターネットの疾病の背後にあるルートメカニズムだという評判があった。ゆえに現在法執行機関やインターネットセキュリティのコミュニティは、ボットネット問題を制御しようとする努力を強化している。こうした努力はなかなかの成果を上げているが、一方でボットネット自身は状況に合わせて巧妙化し、拡大し続けている。ボットネット犯罪分子の終わりなき巧妙な適応能力は、レスポンダーコミュニティ（ボットネット対策担当者コミュニティ）内の継続的プロセスの改善で対抗し得るに違いない。そうした改善は、優れた情報と能力が集まるレスポンダーコミュニティに向けられた重大な変化を特定し、認識することで達成されるものだ。本講演では、そうした変化を促進する必要があるリソースやプロシージャの特定を試みる。

Dr. Randal Vaughn氏は、情報システム教授、ベイラー大学ハンカマービジネススクール大学院教職員である。主要な指導担当分野は、大学院での情報セキュリティプログラム。主要な研究分野は、ボットネットの人工統計的研究、悪意のあるソフトウェアの分析、インフラストラクチャのセキュリティである。ベイラー大学以前は、Mobil Exploration社にて地球物理学的地震探査のためのソフトウェアアナリト、Vought Aircraft社にてCAD/CAMプログラムにおけるソフトウェア設計者を歴任した経験を持つ。

レジストラー、レジストリーの進歩と一般ユーザ
Rod Rasmussen, Internet Identity, アメリカ合衆国

Rod Rasmussen氏は、Internet Identity社の共同創業者であり、創業の2001年から技術面のリーダーを務める。フィッシング詐欺によるドメイン・ネーム・システムの不正利用に関する第一線の専門家として広く知られる。APWGのインターネット・ポリシー・コミッティ（IPC）の共同議長。ドメインネームの世界的管理団体のICANNを含む、世界の様々な団体に対するAPWGの公使も勤める。AOTA（Authentication and Online Trust Alliance）のステアリング・コミッティ・メンバー、及び、産業界と警察当局との協力関係を形成する Digital PhishNet におけるアクティブ・メンバーである。Internet Identity社を創業する以前は、ネットワーク機器の試験を行う LanQuest社、及びネットワーク製品製造のGlobal Village社にてプロダクトマネジメントを担当。カリフォルニア大学バークレー校のハースビジネススクールにてMBA取得、ロチェスター大学にて経済学とコンピューター・サイエンスの学士号を取得。

上村圭介氏は、国際大学GLOCOM主席研究員であり、ノン・テクノロジストの視点から情報技術が社会に与える影響について研究する。これまでに、マルチメディア・マークアップ言語の標準化、P2Pアプリケーションの分析、ブロードバンド・インターネットの普及動向、電波政策、マークアップ言語による多言語組版などの調査・研究活動に従事。

Mr. Glasner氏は、オンライン詐欺諜報と捜査を専門としており、RSA社にて彼のグループが提供するサービスの中心である。彼は、RSA社のオンライン脅威管理サービスグループのチーフインテリジェンスアナリストであり、海外の諜報情報を収集し、各種のデータソースから発見した情報データの関係証明の担当している。彼はまた、法執行機関省庁や金融機関等の外部機関へも彼の収集し発見したデータを提供する責任者でもある。

彼は、軍部での諜報(intelligence)と捜査(investigations)のバックグラウンドを持つ。2006年にRSA社に入る以前、彼はいくつかのマーケティングとリサーチポジションを経験する。最も新しいもので、Verint System Inc., では、企業分析ソリューションのトレーニングとマーケティングマテリアルを開発を担当した。