NHKのラジオで話した内容+αをせっかくなので関連資料とともに簡単にまとめておく。
【状況】
米国独立記念日の7/4頃より米国および韓国の政府機関、銀行、著名サイト等に対して大量の通信による分散型サービス妨害攻撃(DDoS攻撃)が発生、現在にいたるまで断続的に攻撃の通信が発生しているが特に7/7から9にかけて多くのサイトが過負荷によりサービス不能の状態に陥った模様
【参考】
■米韓の政府系サイトなどにDDoS攻撃が発生(ITmedia, 2009/07/09)
http://www.itmedia.co.jp/enterprise/articles/0907/09/news014.html
■米韓へのサイバー攻撃やまず 韓国で3回目の攻撃(NIKKEI NET, 2009/07/09)
http://www.nikkei.co.jp/news/main/im20090709IMC79001_09072009.html
↑この記事の写真はHDDを見せているのだろうか?見せたところで何がわかるわけでもないだろうが・・・。
■米韓狙ったハッカー、発信源は北朝鮮か(毎日放送, 7/9)
http://www.mbs.jp/news/jnn_4179675_zen.shtml
■米主要機関にハッカー攻撃、発信源は北朝鮮(読売新聞, 7/9)
http://www.yomiuri.co.jp/world/news/20090709-OYT1T00864.htm?from=main2
↑この見出しは誤解を招きかねない。当初攻撃自体のトラフィックは韓国のIPアドレスから多く来ているという話だった。たまたま北朝鮮のコンピュータがウイルスに感染した可能性もある。
【攻撃手法】
これらの攻撃に使用されたとみられる不正プログラムはすでにウイルス対策ソフトベンダーなどによって確認されているが、5年前に流行したMydoomというマルウェアの亜種であり最近のマルウェアに見られるような難読処理や潜伏機能の実装などは行われれおらず、比較的技術力の低い開発者が単純に改変したものとみられている。使用されている攻撃手法は数年前のオーソドックスなものであり、むしろこの程度の古典的な攻撃によって実際に政府機関等のサーバがサービス不能に陥ってしまっていることの方が意外だ。
■WORM_MYDOOM.EA(TREND MICRO, 7/7)
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.EA&VSect=T
■W32.Dozer(Symantec, 7/8)
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-070816-5318-99
【北朝鮮の国家としての関与の可能性について】
韓国および米国の政府関係者の談話として北朝鮮の関与の可能性が各種報道により取り上げられているが、根拠は明確ではなく現時点においてその信憑性は薄い。特定の国家が関与している可能性がないわけではないが、技術的な観点からは国家が関与する必要は全くない。賢明な国家であれば学生でもできるような攻撃のためにわざわざ余計なリスクを負わないだろう。ただし、賢明ではない国家がある種のプロパガンダ的な目的のためにわざと関与して攻撃をしかけてみるということはあり得るのかもしれない。
これまでも多くの国の機関が同様のDDoS攻撃を受け、背景に他国の関与を疑うような声明を発してきたが、後で蓋を開けてみると愛国心に燃えた他国の活動家や、体制に不満を持つ自国の若者による犯行であったことが判明するようなことが多い。もちろん彼らの背後に国家が関与しているということもできるが、技術的な視点ではどちらであっても大差はない。
■昨年4月のエストニアへのサイバー攻撃、エストニアの大学生が逮捕(Technobahn 2008/1/25)
http://www.technobahn.com/cgi-bin/news/read2?f=200801252223
↑過去にロシア政府の関与がとりだたされたエストニアへのサイバー攻撃が学生によって行われていた事例
■Georgia President’s web site under DDoS attack from Russian hackers, Dancho Danchev, ZD Net, 2008/7/22)
http://blogs.zdnet.com/security/?p=1533
↑同様にロシア政府が関与していると言われたグルジアへのサイバー攻撃もロシアの民間のネットマフィアによるものとする分析
【国家に対するサイバー攻撃の脅威のとらえ方】
今回のようなサービス攻撃は非常にわかりやすい嫌がらせに過ぎず、国家への脅威としては非常にレベルの低いものである。これらの国々の体制に反感を持つ個人または少人数のグループか、あるいはこういった攻撃手法を勉強して身に付けたばかりの若者が腕試しに国家を相手に喧嘩をしかけてみたといったところだろう。
サイバー攻撃の特徴は関与する主体の非対称性にあり、国家の敵が国家である必要は全くなく、愛国心に燃える他国の個人の活動家だったり自国の不満を持った学生だったりすることが多い。
本当に警戒すべきは水面下で秘密裏に進行する攻撃である。ここ数年、日本や米国その他の国々において、政府機関や軍事組織、それらに関係の深い企業等に対して様々な攻撃が継続して行われていることが報告されている。情報を盗み出すキーロガーやコンピュータに遠隔から勝手に操作することを可能とする不正なRAT(Remote Access Tool)などのプログラムの存在が確認されている。今のところ目立った攻撃に使用されることはないが、誰がどのような目的でこのような攻撃プラットフォームを展開しているかは明らかにはなっておらず不気味な状況が続いている。警戒すべきはこのようにいつの間にか重要な組織の中枢に不正なプログラムが潜入していたり国内に広く蔓延しているが気付かれていないという状況だろう。
■The snooping dragon:social-malware surveillance of the Tibetan movement
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.html
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf
■Tracking GhostNet: Investigating a Cyber Espionage Network
http://www.scribd.com/doc/13731776/Tracking-GhostNet-Investigating-a-Cyber-Espionage-Network
http://www.f-secure.com/weblog/archives/ghostnet.pdf
■Gh0st RAT 3.6 source code
http://www.opensc.ws/c-c/3462-gh0st-trojan-3-6-source-code.html
■103カ国の国際機関を標的にしたサイバー・スパイ・ネットワーク「GhostNet」(Computerworld, 3/31)
http://www.computerworld.jp/topics/vs/139989.html
■世界規模のスパイ・ネットワーク「GhostNet」,トロント大学らが報告(IT Pro, 3/30)
http://itpro.nikkeibp.co.jp/article/NEWS/20090330/327420/
【まとめ】
これまでに多くの国がサイバー攻撃を受けた際に、他の国の政府の関与を疑うということが何度となく繰り返されてきた。国の機関はそれなりのセキュリティに関する予算を使って対策を行ってきており、攻撃を仕掛けているのが個人というよりは、政府の関与をほのめかした方が理解を得やすいのだろう。また、それらに対抗する手段のための新たな予算を獲得しやすくなるなどの事情もあるのだろう。
実際のところは相手が国家であれ個人であれ守る側の対策には大きな違いはない。攻撃者の視点からいっても、国家が直接的に関与することにあまりメリットはないだろう。そういったスキルを持つものは民間のマーケットでも、闇のマーケットでもしのぎを削りつつ十分な利益を得ることができるわけであり、国家としてサイバー戦の能力を誇示したいということ以外においては国家が前面に出るよりはこういった民間の基盤を活用することが合理的な戦略といえるだろう。
結論として実際これらの国のいくつかのサイトが停止したところで市民の日常生活にはそれほど大きな影響はないだろう。粛々と状況を分析し、しかるべきセキュリティ対策を講じ、水面下でもっと重要な別の攻撃が進行していないかを確認すればあとは何事もなかったようにふるまうのがよい。攻撃者が誰であれ、いちいちこの程度のことで国の関与がどうのと大騒ぎすることは攻撃者の思うつぼと言えるだろう。
米韓の政府系サイトなどにDDoS攻撃が発生
本日、NHKラジオのニュース番組「NHKジャーナル」において、最近話題となっている米国・韓国へのDDoS攻撃に関して実際のところどうなのというようなお話をする予定です。ニュース番組なのでどの程度放送されるかはわかりませんが。
■NHKジャーナル(月~金曜午後10時00分~11時10分)
http://www.nhk.or.jp/r1/journal/
携帯電話が携帯向けサイトに対してデフォルトで送信する契約者固有IDは過去のエントリー(「固有IDは個人情報に該当しないは本当か?」)でも書いたとおりそもそも個人情報として位置づけられるべきと考えているが、特に利用者の個人情報とともに携帯電話の契約者固有IDが漏洩した場合には、個人情報保護法でいうところの「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当するところとなり、漏洩の対象となった利用者に対してキャリアによる契約者固有IDの再割り当てなどの処置が必要なのではないだろうか。
現在の固有ID送信を前提としたサービスについてはIDの変更によりサービスが使えなくなったり、再登録が必要となったりとそれなりのデメリットが生ずることも考えられるが、これらは現行の携帯ウェブにおける契約者固有ID送信による識別(認証)スキームの問題点の一つといえるだろう。
これまで携帯電話の固有IDの悪用のシナリオについていろいろな人の話を聞いたが、架空請求の脅しに使われるのでは?といったものが大半であった。しかし自分では、架空請求のうまみは何もしなくてもサイトの閲覧者が自動的にお金を振り込んでくれるところにあり、攻撃者がわざわざそんな面倒なことをする必要はないだろうと考えている。またそもそも個人情報を入手しているなら直接メールを送りつけるなりして直接架空の請求をすれば済む話だ。しかし知らない間に固有IDを含む個人情報が横流しされ知らないうちに自分のアクセス情報が何か不正な目的に利用されているとすると話は別だ。
朝日新聞が6/22に報じた下記の事件では一見無害なサイトに登録した個人情報が他の怪しげなサイトに横流しされている様子が報じられた。この件において契約者固有IDが横流しの対象となっているかは不明だが、契約者固有IDを含む個人情報が横流しされるケースが発生するということは十分に考えられる。
着メロ会員情報、出会い系に横流し メルアド30万人分(Asahi.com, 6/22)
http://www.asahi.com/digital/internet/TKY200906210188.html
「着メロ」などの一般サイトに登録された会員のメールアドレスなどの情報を、複数の出会い系サイト運営会社に横流ししていたことが、運営会社幹部の証言などでわかった。
このような横流しの事実が判明した場合、一般の利用者にその責を問うのは難しいと考えられ彼らはあくまでも被害者であると考えるべきだろう。こういった横流しの事実が判明した状況下においてもキャリアがこれまでに言っていたように「契約者固有IDは個人情報ではなく自由に流通させてよい」と言い切れるだろうか。個人情報とともに契約者固有IDが横流しあるいは流出された時点で契約者固有IDは個人情報としてみなされ、容易にIDの変更を可能とする等の措置をとる必要があるのではないだろうか。
着メロ会員情報、出会い系に横流し メルアド30万人分
自宅の高木氏がまたしても固有IDに関する興味深い調査結果と考察を書かれている。山の手線を4周する行動力には頭が下がる。以前から気になっていたのだが、同種のエントリーにおいて、毎回ユニークIDは個人情報ではないといった記述がなされている。果たしてこれは本当なのだろうか?
こうしたユニークIDは、携帯電話の契約者固有IDと同様で、住所氏名と紐付けない限り「個人情報」に該当しないというのが、日本の個人情報保護法の解釈の通説らしい。
高木氏は以前日経のサイトに書いた記事でも下記のような記述をしており、ここでは自らユニークIDが個人情報ではないと断言している。
匿名のIDを住所・氏名にひも付けることをしなければ、個人情報保護法でいう「個人情報」には該当しないため、売ることは合法である。
個人情報保護に関する法律(個人情報保護法)で示された「個人情報」の定義は以下のようになっており、素直に文面どおり読み取れば、特定の個人を識別することさえできれば必ずしも住所氏名にひも付く必要はないことがわかる。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
いや「特定の個人を識別する」ということが住所氏名と紐づけると解釈されるのだということかもしれないが、経済産業省から出されている「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」 において「個人情報に該当する事例」として「防犯カメラに記録された情報等本人が判別できる映像情報」が示されている。防犯カメラの映像から必ず住所・氏名と紐づけできるとは考えられないため、ある情報が個人情報と認められるにあたり住所氏名にひも付けられることは必須ではないと考えられる。
2.法令解釈指針・事例
2-1.定義(法第2条関連)
2-1-1.「個人情報 (法第2条第1項関連)」
(略)
【個人情報に該当する事例】
(略)
事例3)防犯カメラに記録された情報等本人が判別できる映像情報
私は法律の専門家ではないが「住所氏名と紐付けない限り『個人情報』に該当しないというのが、日本の個人情報保護法の解釈の通説」が本当だとすると、これはおかしな解釈であるし、上記法律やガイドラインが示す「個人情報」の定義とも矛盾しているようにも思える。
いずれにせよ、実際に問題があるのであれば、通説を改めるか定義を改めるべきだろう。また「〜というのが通説である。」という記述を繰り返し強調することで本来適切ではないかもしれない解釈が通説として定着してしまう危険性もあり、このあたりできちんと議論なり整理をしておくべきではないだろうか。
お知らせが遅れましたが以前私が監修ということでご紹介した「セキュリティいろはかるた」の企画が完了し、かるたが発売となりました。
年末のお得意様へのご挨拶に、新年の社内教育の企画にいかがでしょうか?
今回新たに発売されたのは「セキュリティいろはかるた」なのですが、2006年に発売された「セキュリティかるた」というのもありますので、お間違えのないように。
あ、そうそう、初版限定オリジナルステッカーがカワイイとの噂です。
セキュリティいろはかるた@Amazon.co.jp
http://www.amazon.co.jp/dp/B001NK7QTY
なぜかカテゴリが(Stationery)になってます・・・。
セキュリティいろはかるた@SEShop.com
http://www.seshop.com/detail.asp?pid=10072
総務省が携帯電話のオープン化などについて議論している「通信プラットフォーム研究会報告書案」に対する意見を募集しています。期限は明日21日まで。
総務省は、「通信プラットフォーム研究会」(座長:相田 仁 東京大学大学院教授)において取りまとめられた報告書案について、平成20年10月24日(金)から11月21日(金)までの間、意見を募集します。
携帯固有IDの一般サイトへの解放や固有IDのポータビリティなどの話題を取り扱って来た研究会だけに「日本のインターネットが終了してしまう」と心配な方は、具体的な問題点などについて意見を提出しておくとよいのではないでしょうか。
報告書自体は最終的にはそれなりに多角的な論点を取り込んで当初の議論よりおとなしめの内容になったようですが、行動ターゲティング広告やらライフログの話も言及されており危険な感じがしないでもありません。
本当に「第三者cookieは使われなくなりつつある」のだろうかと思い確認してみた。
現時点で日本で比較的多く使用されていると思われるブラウザとしてInternet Explorer7とFirefox3の最新バージョンを使用した。ブラウザの設定はインストール後のデフォルト状態とした。OSはWindows XP SP3である。
まずブラウザに保存されているcookieをクリアし以下のページにアクセスをしてみる。
行動ターゲティング広告はどこまで許されるのか(高木浩光, 2008/10/16, NikkeiNet IT+PLUS)
http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008&cp=1
そしてブラウザの機能あるいは直接フォルダを開いて保存されたcookieを確認する。
上記のページの場合IE7を使用したアクセスではブラウザに対して
doubleclick.net
2o7.net
revsci.net
serving-sys.com
nikkei.co.jp
など多くのドメインからcookieがセットされているのが確認された。
Firefoxでのアクセスでは 2o7.net と nikkei.co.jp の2つのドメインからのSet Cookieが確認された。
「訪問先とは別のサーバから発行されるcookie」を第三者cookieと呼ぶのであれば、今回の訪問先は、nikkei.co.jp であるのでdoubleclick.net、2o7.net、revsci.net、serving-sys.com からセットされたcookieは第三者cookieと言えるだろう。
Safariなど一部の先端的事例を見れば「第三者cookieは使われなくなりつつある」と言えなくはないかもしれないが、実際にはまだまだ大半のユーザに対して第三者cookieが使用される環境であるというのが現実的ではないだろうか。InternetExplorerもFirefoxもデフォルトで第三者cookieを受け入れている。特にFirefoxは「比類なきセキュリティ」「最も安心して利用できるブラウザ」を自らアピールにしているにも関わらずデフォルトで「第三者cookie」の使用を許可しているということは、業界として「第三者cookieを使うべきではない」とのコンセンサスが確立されているとは言えないのではないか。
ちなみにWebscarab を使用して、セットされたcookieが他のサイトを訪問した際に読み出されるかを確認してみたが、訪問サイトをまたがってのcookieが使い回しの例は現時点で確認できていない。技術としては上記のような第三者cookieをTracking cookieとして使用することが可能であるが、技術以外の制約あるいはビジネス上の判断として複数の訪問サイトをまたぐ行動ターゲティングは行われていない可能性もある。
(参考)
■日本のインターネットが終了する日(高木浩光@自宅の日記, 2008/7/10)
http://takagi-hiromitsu.jp/diary/20080710.html
■行動ターゲティング広告はどこまで許されるのか(高木浩光, 2008/10/16, NikkeiNet IT+PLUS)
http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008&cp=1
明日は 第6回神戸情報セキュリティ勉強会の開催日です。
今回は「子供を巡るセキュリティ〜ケータイ・ネットの世界で子供を被害者・加害者にさせないために」をテーマに、主に子どもたちの携帯利用の実態について議論します。
講師は兵庫県が世界に誇る「兵庫県情報セキュリティサポーター」の皆様です。
子どもの情報セキュリティを語るとき、ITやセキュリティを専門とする方はどうしても教えてやらなければという視点で語ることが多いと思うのですが、子ども達のケータイの利用は大人のそれとはまったく違った世界であり、過去の経験や知識がそのまま役だつわけではありません。
明日は、そういった変化する若年層のメディア利用の実態をもとに、情報セキュリティの分野にいる大人達が何ができるのか、何をすべきなのかについて議論されます。
勉強会の概要(参加申込はすでに終了しました。)
http://cmuj.jp/081018workshop/index.html
1 日時 2008年10月18日(土) 13:00〜17:30
2 場所 カーネギーメロン大学日本校 KHB001号室
神戸市中央区東川崎町1−3−3
神戸ハーバーランドセンタービル17階
http://www.cmuj.jp/campus_location.html
3 内容 (予定)
テーマ:
『〜子供を巡るセキュリティ〜「ケータイ・ネットの世界で子供を被害者・加害者にさせないために」』
セッション1:
・開会の挨拶、今回の勉強会について
・自己紹介(参加者全員)
自己紹介では、情報セキュリティや本勉強会に対する思いと経験談、または「携帯電話や子供とインターネット」などについて、お話いただきます。
セッション2:
『子供とケータイ・ネットの世界で何が起こっているか』
(スピーカ 兵庫情報セキュリティサポーター)
セッション3:
グループディスカッション
テーマ: 参加者の皆さんは少人数のグループにわかれ以下のようなテーマについてディスカッションしていただきます。
「子供たちを守るために今、何をすべきか」
「掲示板の誹謗中傷への対応策」
「有害情報へのアクセス制限はどうあるべきか」
「ネットを使ったいじめへの対応策」
※テーマは勉強会開催直前までメーリングリスト上で議論し、決定します。
グループごとにそれぞれ異なる話題を持ちよって、参加者の幅広い年齢層、異なるスキルや経験、実績を活かした議論や意見の交換を予定しています。
4 定員 50名
5 参加料 無料
「セキュリティいろはかるた」という企画の監修をすることになりました。クリエーター、イラストレーター、デザイナーさんなど普段お付き合いしている方々とはちょっと違うタイプのメンバーでなかなか刺激的です。
10/26まで読み札の一般公募をしていますので、ぜひご応募ください。
公募枠以外でも「これは!」というのがあればそっと耳打ちしてください。(賞品はもらえないけど・・・)
ちなみに下記サイト上の「セキュリティかるた」と「セキュリティいろはかるた」は別ものですのでお間違えのないよう。
■セキュリティいろはかるた(日立システムアンドサービス)
http://blog.hitachi-system.co.jp/12/
■セキュリティいろはかるた読み札募集(日立システムアンドサービス, 10/26締切)
http://blog.hitachi-system.co.jp/iroha.html
自宅の高木さんが携帯やWebの固有IDの問題について日記エントリーの大作を完成された。
私も白浜での議論の場にいた一人であり大変興味深く読ませていただいた。
当日の議論より疑問のまま残っていて結局この日記のエントリーでも明らかにならなかったのは、
1 携帯で固有IDを送信するようになるとパソコンでも同様のことが行われるようになるということの信憑性
(さすがにそれは現実的に起こり得ないんじゃないとか。また楽観的すぎると怒られそうだけど。)
2 仮に上記の状況が実現したとして「実際どんな被害が出るの?」という疑問
(問題の大きさを理解する上で。)
高木さんは「実際どんな被害が出たの?」という質問があったように書いているけど、このときの質問は「実際どんな被害が出る」(と想定される)?という質問だった。被害が出ないから問題がないということを言っているのではなくて、想定される被害を明らかにすることで問題の大きさや必要な対策が明らかになるからだ。
1の状況が望ましくないことはセキュリティやプライバシーに関わるものなら当然理解できるが、現実問題、利便性やコストと天秤にかけられたときに、この問題を広く様々な立場の人に説明するにあたっては2を明確に伝える必要がある。これらの疑問にきちんと答えられれば、高木さんの言うように「「PCもケータイ同様に!」という勢力に対して、ID送信の何が問題で、どうしてインターネットではそれをやってはいけないのか、いつでもすぐに30秒で説明できる」だろう。
高木さんは固有IDによる被害の例として「広告被害」と「ワンクリック不当料金請求サイトを訪れてしまった際に、住所氏名を示して請求されることが起こり得る。 」ことを挙げているけが、それが「「日本のインターネットが終了」するということなのだろうか?
(・・・もちろん、これらは発生すべきでない事象であることには間違いないが、インターネットが終わるというからには、もっと大きな問題をはらんでいるんじゃないかという意味。)
P.S.この手の話を冷静に議論できればよいのですが、どうも感情的なものが入りがちなようで、まぁそういう方はぜひお手柔らかにお願いします。いや感情こそが問題の本質なのかもしれませんが。
P.S.2 問題があるようにも見える技術が使われたりもしながらも試行錯誤の上、良いもの、受け入れられるものが残っていくというのがインターネットのスタイルかもしれません。
P.S.3 「契約者固有ID送信時代の安全なケータイWeb利用リテラシ」として「(可能な場合)固有IDを通知しないよう設定して使用する」というのがあってもよさそうだが・・・。少なくとも私は日常的に通知しない状態で使用しているが今のところ問題も不便なケースも発生していない。
P.S.4 一般に欧米は素晴らしく日本がいかに駄目かという話をすると受けるのだが、米国での生活を経験したものとしてはことプライバシーに関しては相当疑問点が残る。そういった事例の一つとして(昔の)トラッキングクッキーを使ったdoubleclickの話やChoicePointのような企業の存在を持ち出した。米国ではISPが「ユーザーのインターネット閲覧状態を監視して行動を分析し,検索内容や訪問したWebサイトに関連のあるターゲット広告を提供する。」なんてことを今でもやっている。もちろん海外で様々な問題が先に発生するので、その恩恵を日本がこうむっているということについては同意するが・・・。
P.S.5 英国でも「ISPネットワーク経由で収集したユーザーのサイト閲覧動向データを基に、ユーザーの興味に合った広告を表示するという技術。」を持つ企業が「BT、Virgin Media、Carphone Warehouse Group傘下のTalkTalkとの提携を発表」みたいなことになってる。
■参考情報
日本のインターネットが終了する日(高木浩光@自宅の日記, 7/10)
http://takagi-hiromitsu.jp/diary/20080710.html#p01
最近のコメント