武田圭史

情報通信研究機構（ＮＩＣＴ）より大変興味深い研究に関する発表があった。

報道発表（お知らせ）
* スピア型サイバー攻撃判定システム開発のための共同実証実験を開始
－特定の組織に限定したサイバー攻撃を早期に検知するシステムの実現に向けて－

（独立行政法人情報通信研究機構, 2008/3/3）

以下本文中、気になった箇所をピックアップする。

インターネットにおいて最近頻繁に出現している「スピア型サイバー攻撃*1」

本当に頻繁に出現しているのだろうか？どの程度頻繁なのだろうか？

スピア型サイバー攻撃
スピア（Spear）は槍のことであり、特定の対象に限定して攻撃するパターンのサイバー攻撃のことを指します。

これはスピアフィッシング攻撃(Spear Phishing Attack)という世界で広く別の意味で使われている用語の誤用ではないだろうか？（以下同じ意味の一般的な用語であるターゲテッドアタックと読み替えることにする。）

スピア型サイバー攻撃は通常のサイバー攻撃と異なり、特定の組織のみに対してマルウェア（ウィルス等）を送り付けるなど、攻撃対象が限定的であることから、・・・

ウィルス／ワームだけが通常のサイバー攻撃ではないので、通常のサイバー攻撃の中にも攻撃対象が限定的なものは多く存在する。

攻撃対象が限定的であることから、攻撃発生の早期検知が困難な状況となっていました。そのために、スピア型サイバー攻撃を早期に検知し、判定するためのシステム開発が切望されていました。

「攻撃対象が限定的である」→「攻撃発生の早期検知が困難」
→「スピア型サイバー攻撃を早期に検知」「するためのシステム開発が切望されていました。」

はありえるとして、

→「判定するためのシステム開発が切望されていました。」→？

攻撃を検知するシステムが切望されるのは理解できるが、判定するためのシステムの開発が切望されていたのだろうか？

今回のこのシステムは、検知自体は従来の個々のベンダーのシステムやサービスで行われるため、すでに検知済みのマルウェアを他社の保有情報と、その情報自体を公開することなく比較し、既知のものであるか否かを確認することができるものだと読み取れる。

このシステムをウイルス対策ソフトなどの複数のセキュリティソフトウェアベンダーが利用しようとする場合、各ベンダーが自社の製品やサービスを他社よりも優位にするために、図に示された「秘密共通集合計算サーバー」に提供する「検体ハッシュ」情報を制限しようという経済的な動機が働く可能性がある。

つまり、すでに検体情報を持つベンダーは「検体ハッシュ」情報を出し惜しみすることで、他社が捕獲した検体をターゲテッドアタックに誤認識させることが可能となり、出し惜しみをしたベンダーほど自社の製品・サービス品質を優位に保つことができる。

課題として「セキュリティサービス事業者単独ではスピア型サイバー攻撃を判定できない」という言葉が挙げられているが、仮に「セキュリティサービス事業者」とはこの図で言う「株式会社ラック」のことを指し、「トレンドマイクロ株式会社」は「セキュリティ製品事業者」であり、このしくみは競合関係にない「セキュリティサービス事業者」が「セキュリティ製品事業者」の助けを借りてターゲテッドアタックを認識するためのものだとすれば、協力のインセンティブが働くことは考えられる。

しかし「秘密共通集合計算サーバー」に情報を提供するウイルス対策ソフトベンダーが一社しかいない場合に、そのベンダーが当該マルウェアを保有していなかったというだけで、ターゲテッドアタックと判定するのは危険と思われる。ひとつのウイルス対策製品が出回っているすべてのウイルス・ワームの検体を保有しているわけではないし、ポリモーフィックやメタモーフィックなど自己改変機能を持つマルウェアも存在するからだ。ハッシュ値を使用しているなら検体のほんの１ビットを変更するだけで、ターゲテッドアタックということになってしまう。

文面から察するに、やはりこのシステムでは複数のウイルス対策ベンダーが検体情報を持ち寄ることを想定していると思われるのだが、その場合、先に述べた競合製品を開発するベンダーがどこまで協力的になれるかという問題が存在する。

もっともセキュリティ業界は社会的責任感の強い企業ばかりなので、このような心配をする必要はないということか・・・。

【参考情報】
■スピア型サイバー攻撃判定システム開発のための共同実証実験を開始－特定の組織に限定したサイバー攻撃を早期に検知するシステムの実現に向けて－（独立行政法人情報通信研究機構, 2008/3/3）
http://www2.nict.go.jp/pub/whatsnew/press/h19/080303/080303_1.html

■「標的型」はなぜ「スピアー」なのか？（武田圭史, 2007/6/27）
http://motivate.jp/archives/2007/06/post_133.html

「WinnyとShareは世界中で使われている」、ネットエージェントが調査（日経IT Pro, 1/23）
http://itpro.nikkeibp.co.jp/article/NEWS/20080123/291774/

WinnyとShareのユーザー数は日本に集中。Winnyユーザーの約96％、Shareユーザーの約95％が日本のユーザー。また、Winny ユーザーの約97％、Shareユーザーの約99％が日本を含む東アジアに集中している。日本におけるそれぞれのユーザー数は、Winnyが23万 2000人、Shareが16万6000人、LimeWire／Cabosが10万9000人程度。Winnyが一番人気である。

本文中で言われていることと記事の表題が随分と異なっている。Winny/Shareの利用や関連する情報漏えい事故がほぼ日本固有の現象であることは一般にはあまり理解されていないので、このような表題は誤解を招きかねない。

１年以上前にWinnyを対象に我々が行った調査では９８％程度のノードが日本に属するIPアドレスを使用していた。その後わずかではあるが海外での利用が広がっている可能性はある。

いずれにせよこの比率から見れば「WinnyとShareは世界中で使われている」というよりは「WinnyとShareはほとんど日本で使われている」、せいぜい「WinnyとShareは海外でも多少使われている」というのが適切な表現だろう。

毎日新聞社　日下部記者が電子投票をめぐる国会での議論について多面的な分析に基づき記事をまとめている。記事中の「そんな答弁でどうやって（法案に）賛成したらいいんですか」という発言にもあるように、多くの人々が電子投票のメリットを認めているものの現実に様々な不安要素が残されており、手放しで賛成できないというのが実情だろう。

武田教授は「『性善説』に基づくシステムでリスクが十分理解されていない。現段階での電子投票の全面導入は民主主義の重要な過程をブラックボックスに委ねることになる。慎重に議論すべきだ」と話す。一方、ＥＶＳの宮川理事長は「電子投票だったベネズエラの国民投票で（強権的な）チャベス大統領派が負けたことが公平性を証明している」と反論する。

クローズアップ２００８：どうなる電子投票　法改正案、継続審議に（毎日新聞,2008/1/15）

EVSの宮川理事長は日本の選挙における電子投票について早くから技術開発と実践に取り組まれており実際の電子投票をめぐる各種問題にも真剣に取り組まれてきた人物である。電子投票機器に関する我々の調査にも大変前向きに協力していただき大変感謝している。安全で信頼性の高い電子投票を実現するという目指すべき方向については多くの人々が思いを同じにするところであり、この点において民主党も自民党もEVSも我々の研究チームも同じ意識を持っているはずである。先の記事の中で「電子投票を用いたベネズエラの国民投票」を例に電子投票が公平性が証明されたとしているが、電子投票が適切に実施されれば公平である点については誰も異論はないだろう。問題はどのようにして電子投票が適切に実施されることを担保するかである。

ベネズエラの国民投票に用いられた電子投票機器はスマートマティック社のSAESというシステムだそうだ。このシステムは投票結果を電子データとして記録するだけではなく同時に紙としても出力し投票箱に保管する「voter verified paper trail (VVPT) 」というアプローチにより公平性を担保（しようと）している。印字や給紙のトラブルなどにより電子記録と紙の記録に齟齬が発生するなど別途対策が必要な課題もあるが、電子データのみでブラックボックスに記録するよりは信頼性の面で優れるだろう。現在日本政府が提案している電子データの記録のみによる電子投票は、ベネズエラで実施された電子投票よりも信頼性の担保の面で不利であると言わざるを得ないだろう。

いずれにせよ日本は他国に比べ電子投票に関する認識や技術に対する理解が十分とは言えず、今後は単なる水掛け論にとどまらず建設的かつ本質的な議論を進めていかなければならない。

■クローズアップ２００８：どうなる電子投票　法改正案、継続審議に（毎日新聞, 1/15）
http://mainichi.jp/select/seiji/news/20080115ddm003010016000c.html

■Smartmatic Voting Solution Delivers Political Breakthrough in Venezuelan Referendum(ndtvprofit.com, 12/6)
http://www.ndtvprofit.com/homepage/monitor.asp?id=5416

１２月１３日のエントリー「国政選挙における電子投票の脆弱性」について参議院の中村哲治議員よりコメントをいただいた。中村氏は１２月１２日の参議院特別委員会において電子投票特例法改正案について突っ込んだ指摘を行っている。（詳細は下記議事録を参照）結果として年内成立かと見られていた改正案は継続審議となった。
いったん衆議院で与野党合意の上で通過した法案が参議院でストップされるという異例の事態に。今後の経過が注目される。

■電子投票：公選法特例法改正案、国会継続審議に（毎日新聞, 12/22）
http://mainichi.jp/select/seiji/archive/news/2007/12/22/20071222ddm002010052000c.html

■ 第１６８回国会　政治倫理の確立及び選挙制度に関する特別委員会　第２号（参議院, 12/12）
http://www.sangiin.go.jp/japanese/joho1/kaigirok/daily/select0203/168/16812120056002c.html

企業活動を通じて得た情報をもとに社員が私的に犯罪行為を行うことは「個人情報の目的外利用」レベルに留まる問題ではないが組織が扱う個人情報を悪用された事件としては最悪の部類である。組織としては個人情報取り扱い上の責任が問われることも考えられ、宅配業者、郵便事業者においては同種事件防止のための具体的な取り組みが求められる。

【関連情報】
■ヤマト運輸（株）社員の逮捕について（ヤマト運輸, 1/8）
http://www.kuronekoyamato.co.jp/info/info_080108.html

■個人情報の利用目的について（ヤマト運輸, 2006/11/3）
http://www.kuronekoyamato.co.jp/privacy/privacy_02.html

■配達先狙い女性暴行＝ヤマト運輸運転手を逮捕－「ほかに十数件」と供述・茨城県警（時事ドットコム, 1/8）
http://www.jiji.com/jc/c?g=soc_30&k=2008010800699

■宅配先の女性を暴行の疑い、ヤマト運輸社員逮捕　茨城（Asahi.com, 1/8）
http://www.asahi.com/national/update/0108/TKY200801080309.html

１０月３１日に奈良県で開催された情報処理学会コンピュータセキュリティシンポジウム（CSS2007）にておいて、現在の電子投票において悪意を持つ関係者が容易に選挙結果を操作できる可能性があることを指摘した。

この内容については日経IT Proが以下のように報じている。

■高リスクの脅威が3つ–どうする日本の電子投票（日経IT Pro, 11/13）
http://itpro.nikkeibp.co.jp/article/OPINION/20071113/286974/?ST=govtech

その後、12月7日に開催された衆議院の特別委員会で、国政選挙への電子投票の適用をめぐり民主党逢坂誠二委員が我々の論文を引用して問題提起をしているが、実効性のある具体的な対策は示されぬまま、11日には衆議院本会議を通過した模様だ。

■第168回国会　政治倫理の確立及び公職選挙法改正に関する特別委員会　第2号（平成19年12月7日（金曜日））（衆議院, 12/7）
http://www.shugiin.go.jp/itdb_kaigiroku.nsf/html/kaigiroku/007116820071207002.htm
（ 「カーネギーメロン大学」でページ内を検索すると該当箇所が確認できる。）

○逢坂委員

（略）

　私、これは人に教えていただいたんですが、カーネギーメロン大学日本校という大学があるそうですが、そこの久光弘記さんという方と武田圭史さんという方が、電子投票に関する三つの脅威について極めてリスクの高い状態であるというふうに指摘をしているそうであります。

　三つの脅威とは、投票カード発行機のプログラムの改ざん・すりかえ、集計機のプログラムの改ざん・すりかえ、それから集計機のデータの改ざん・すりかえですね。これを極めて高いリスクがあるというふうに三つの脅威として指摘をしているそうであります。

　それから、投票所や電子投票機に関してのセキュリティー対策は進んでいるけれども、製造者の工場でのプログラムの改ざん、開票所での関係者による投票データの改ざん対策には甘さがあるというふうにも指摘をしているんですね。

　この中で久光氏は、電子投票による投票結果が、正しくデータを受け取って、すなわち、有権者が投票した投票データを正しく受け取って、そのデータを正しくプログラムで処理をして出てきた結果が正しいものであるということを証明する手段というものを用意すべきなんだという指摘もしているところなんですね。これは機械のことでありますから、完全にブラックボックスで、なかなかわからないという不安があるわけであります。
（略）

○逢坂委員
　きょう、私、答弁を聞いておりまして、少し、何か考えを変えなきゃいけないかなと思っているというか、具体的な話が何にも出てこない。ちょっと考えただけでも、今私が言ったようなデメリットが浮かんでくる。そして、それに対して事前にお話をさせていただいた。にもかかわらず、それへの対応、対策というのは必ずしも具体的、つまびらかではない。しっかりととか、きちんととか、そういうような話だけしか出てこない。果たしてそれでいいのかなという気がするんですね。

　私は、冒頭にも申し上げましたとおり、この電子投票というのは、検討すべき重要な分野であろうというふうには思っております。しかしながら、今私がしゃべった程度のことに対してですら答えられない状況というのは、私、法案提出者としていかがなものかなという気がするわけでありますけれども、法案提出者の方、いかがでしょうか。
（略）

○逢坂委員
　私は、繰り返しますが、この電子投票というものを否定しているわけではございません。検討に値する、メリットの多いものであることも事実だ、だから、それにチャレンジをしたいという方に道を開いておくことは、それはそれで一つ意味のあることだろうというふうに考えております。

　しかしながら、よもや、バラ色のことだけを言って電子投票を推進するんだとか国が旗を振って電子投票をやれやれというようなことまでは、このデメリットを考えると、実は言っていないのではないかというふうに私は思うんですね。だから、こういうメリットもあります、でも、今はこういうリスクも負わなければいけません、その中で新しい分野についてチャレンジをするかしないかというような公平な姿勢というものを貫かなければいけない、この法案が通ったからといって電子投票はバラ色だということではだめだということを強く申し添えておきたいと思います。

私も以下の記事のコメントでも述べているように、電子投票を広く活用しようという動き自体は情報技術の活用と事務の効率化いう社会全体の流れからいって止むを得ない部分はあるだろう。しかしながら、電子投票を導入した場合のリスクについて十分理解されているとは言い難い状況で、国民レベルの議論もないまま、なし崩し的に導入が進むことについては憂慮される。

■続・どうする日本の電子投票–リスク低減策は後回しで法案が可決へ（日経IT Pro, 12/11）
http://itpro.nikkeibp.co.jp/article/OPINION/20071211/289216/?ST=govtech

現在、地方自治体を対象に行われている電子投票ではその安全性・信頼性確保の多くを人的な運用に依存している。暗号や電子署名など各種技術的な手段によりこれらの安全性を一定レベルで担保することが可能であるが、一部の製品の一部の機能にしか導入されていない。また海外ではVoter Verified Paper Audit Trail (VVPAT) や電子ペンの併用など事後的に紙による検証を可能とする方法などが利用されているが、現在の日本ではこのようなアプローチはとられていない。

現状の電子投票の仕組みは、例えていうなればマンションなどの構造計算書偽装問題で問題となった大臣認定の構造計算プログラムと同様に、出力結果が容易に書き換えられるなど性善説に基づいた仕様となっている。誰も不正を行わなければ問題はないが、関係者がその気にさえなれば容易に不正が行える状態にあると言える。投票用紙を使用する従来型の選挙において関係者による不正を防止する手段のひとつとして「投票立会人」「開票立会人」による選挙作業の監視が行われており、選挙管理人と立会人が結託しない限り不正を行うのは難しい。電子投票において、従来の選挙と同じか同等以上の信頼性、安全性を担保するためには、投票用紙を用いた選挙と同様に立会人による監視の実効性を持たせる必要がある。具体的には投票立会人は投票機プログラムの内容が正しく、その正しいプログラムが適切に運用されていることを監視しなければならず、開票立会人は開票プログラム及び集計プログラムの内容正しくそのプログラムが適切に利用され出力結果が正しくそのプログラムのものであることを確認しなければならない。これらは現行の電子投票の仕組みでは実現されていない。

今回の電子投票の国政選挙への適用に向けた動きについての最大の問題は、国民の無関心あるいは、そういった検討が進んでいることが十分に周知されていないという点にあるだろう。現状における電子投票の全面的な導入は民主主義国家における重要な意思決定プロセスをプログラムやコンピュータなどを用いたブラックボックス（現状においては）に委ねることであり、特に技術的な観点からメリットはもちろんリスクについても明らかにした上で十分議論を尽くしていくことがこの国を支える技術者に課せられた重要な責務と言えるのではないか。

「伊藤穰一氏の報告：アラブ首長国連邦で禁止される『Twitter』：『Flickr』や『Skype』も禁止」
http://wiredvision.jp/news/200712/2007120718.html

という記事がセキュリティーホールメモで紹介されていた。

ちょうど学会を兼ねてカーネギーメロン大学（CMU）カタールキャンパスに来ていたので、滞在中のホテルから試したところ「2ちゃんねる」の掲示板一覧部分が検閲を受け表示することができなかった。
『Twitter』『Flickr』や『Skype』については問題なく使うことができる。

“as the content contains materials which are prohibited in the State of Qatar”ということで、おそらく「2ちゃんねる」の該当部分にある２ショット・チャットの広告画像かリンクが検閲にひっかかる模様。

「伊藤穰一氏の報告：アラブ首長国連邦で禁止される『Twitter』：『Flickr』や『Skype』も禁止」(Wired, 12/7)
http://wiredvision.jp/news/200712/2007120718.html

T.t.t.t.twitter…(Joi Ito, 12/5)
http://joi.ito.com/archives/2007/12/05/tttttwitter.html

秋祭りの予定が冬祭りになってしまいました。

満席が予想されますのでお早めのお申込みをお勧めします。

詳細・お申込みはこちら↓
http://cmuj.jp/071214workshop/index.html

カーネギーメロン大学セキュリティ・ワークショップ
「情報セキュリティのためのリバースエンジニアリング 2.0w」

１　日時 2007年12月14日(金) 13:30～17:30
２　場所
　　TKP御茶ノ水ビジネスセンター　ホール14A
　　住所：　東京都千代田区神田駿河台4-6-1 御茶ノ水セントラルビル（旧日立本社）
３　内容
　■講演
　高橋郁夫氏（IT法律事務所　弁護士）
　タイトル：脆弱性テストの合法性 -EU指令のわが国の解釈への示唆-

　星澤裕二氏（株式会社セキュアブレイン プリンシパルセキュリティアナリスト）
　タイトル：マルウェア解析の自動化

　鵜飼裕司氏（株式会社フォティーンフォティ技術研究所取締役副社長最高技術責任者）
　タイトル : リバースエンジニアリングとセキュリティ脆弱性分析

　武田圭史氏（カーネギーメロン大学日本校　教授）
　タイトル：コード解析のための知識と技術の体系化

　他１名調整中

　■パネルディスカッション
　リバースエンジニアリングの技術的課題、法的な課題などについてオープンなディスカッションを行います。
４　言語 日本語
５　参加費 一般３，１５０円、学生１，５７５円　(税込)

先週土曜日、有志の皆様の企画・運営による情報セキュリティの自主的な勉強会がCMUJのキャンパスで開催されました。スタッフの皆様、ご参加いただいた皆様ありがとうございました。

グループディスカッションスタイルが予想以上に好評だったようです。
大半の方が初対面であるにもかかわらず、濃い議論が展開されました。
日本の講演会やセミナーだと一方通行になりがちですが、予想以上に皆さんのノリがよかったので救われました。
笑いあり、考えさせられるところもあり、充実した時間がすごせたように思います。

次回以降も楽しみです。今後ともよろしくお願いします。

間もなくMLへのリンクも下記ページに設定されると思いますので興味のある方はぜひご参加ください。

【参考】
■第1回神戸情報セキュリティ勉強会（カーネギーメロン大学日本校, 11/17）
http://cmuj.jp/071117workshop/index.html

先日発表した調査結果が記事として紹介されました。
日本における電子投票の課題についてよくまとめられています。

■高リスクの脅威が3つ–どうする日本の電子投票（日経IT Pro, 11/13）http://itpro.nikkeibp.co.jp/article/OPINION/20071113/286974/?ST=govtech