武田圭史

９月末に開催が噂されていましたリバースエンジニアリング祭りですが、私の怠慢により企画の進行が滞っております。

多くのお問い合わせをいただいておりますので、時期は遅れるもののなんとか実現の方向で企画を進めていきたいと考えています。規模を大きくしてなどのような構想もありましたが、前回と同程度の規模で構えず、段階的に進めていければと思います。

楽しみにしていた皆様、発表ネタを準備していただいていた皆様にはご迷惑をおかけしますが、今しばらくお待ちください。なお、公募枠への応募を予定されていた方、これから考えてみようと思う方、その他ご希望、御意見、御提案など遠慮なくご連絡いただければ幸いです。本ページ右上のメールアドレスか本エントリーのコメントまでお寄せください。

久々のイベント告知です。

近年、社員・職員による情報の持ち出しや不正行為、脅迫など情報セキュリティの分野においても内部犯行対策の必要性が高まっていますが、これらの対策についてのノウハウの共有や研究は日本では活発には行われていません。今回のセミナーでは米国ＣＥＲT/CCの内部犯行対策研究グループより研究員を招き米国の内部犯行対策研究の成果や、米国における内部犯行対策の動向などについて紹介する予定です。　
これまで日本ではあまり取り上げられることの少なかったテーマです。席に限りがありますので、ご興味がおありの方は早めにお申し込みください。

■概要
１　日時 2007年10月24日(水) 17:30～19:00

２　場所 カーネギーメロン大学日本校 KHB001号室

３　内容 (予定)
　　講演：17:30～18:30
　『サイバー犯罪被害軽減のための方策：内部犯罪データの分析からの指針』
　 Ms.Dawn Cappelli, CERT/CC CMU SEI
　ディスカッション：18:30～19:00

４　言語 英語 （同時通訳なし、資料については日本語概訳配布予定）

５　参加料 無料

■申込は下記ページにて
カーネギーメロン大学日本校情報セキュリティセミナー
「サイバー犯罪被害軽減のための方策：内部犯罪データの分析からの指針」
http://www.cmuj.jp/071024seminar/index.html

私の加入する超大手のプロバイダよりセキュリティサービスの加入を勧める電話が自宅に２回ほど電話がかかってきた。以下その時の会話の様子（記憶に基づくものなので正確ではない可能性がある）。

プ：「ここのところセキュリティの問題が大変深刻となっており、総務省から指導があり私どもの方で対策をとることとなりました。つきましては、全てのお客様にセキュリティ対策を行ってもらうようお願いしています。そこで今回、お客様に私どもの提供するセキュリティ対策サービスをご利用いただくようお願いしています。」

私：「具体的にどういうことをするのですか？」

プ：「はい、私どもの方でお客様のアカウントの設定をさせていただいてサーバで皆様のもとに送られる架空請求や詐欺メールなどをブロックするようにします。」

私：「つまり、迷惑メール対策をしてくれるということでしょうか？」

プ：「はい、さらにサーバ側でウィルス対策も行うことができまして、これでお客様に対するウィルスを１００％ブロックすることができます。」

私：「１００％ですか？本当ですか？」

プ：「本当です。」

私：「１００％ということはないでしょう。１００％とは言わない方が良いと思いますよ。なぜなら・・・（略）」

プ：「はいわかりました。そうかもしれませんね。」

私：「ちなみにこのサービスは有料なのですか？」

プ：「はい、迷惑メール対策が通常月額△△△円のところが○○○円、ウィルス対策も含めたパックが通常月額□□□円のところが☆☆☆円となっております。」

私：「総務省が全プロバイダ加入者に対してお金を払ってこのサービスに加入するように指導しているのでしょうか？」

プ：「いえそういうわけでもないのですが、皆様に安心してインターネットを使っていただくために必要な対策でございます。」

私：「私はプロバイダが提供しているメールサービスを利用していないので、関係ないと思いますが。」

プ：「皆さん気付かれないところで攻撃を受けていたり被害を受けているということがよくあるんです。念のために加入されていた方がよろしいかと思います。」

私：「・・・・・・」

私：「この電話が詐欺ではないということはどうすれば確認できますか？」

プ：「後で申し上げますフリーダイアルにお電話いただければ通話先が正しいプロバイダであることが確認できます。」

私：「わかりました。検討してその気になればこちらからお電話します。」

◆数日後

プ：「現在セキュリティの問題が大変深刻になっておりまして、全てのお客様に対策をお願いしております。先日お電話させていただきましたがその後検討の方はいかがでしょうか？」

私：「この対策にはお金がかかるのですか？」

プ：「はい通常月額△△△円のところが○○○円となっております。現在セキュリティが大変危険な状態となっておりますので、お客様全員にお願いしております。」

私：「全員にお願いしているといいながら有料サービスに強引に加入させるという勧誘の仕方には問題があるのではないでしょうか？特にセキュリティの知識のない人がそういう言い方をされると、わけもわからずに加入しないといけないと思ってしまう。本当に必要なら通常のサービスの範囲で提供すべきだろうし、こういった勧誘方法は問題があるのではないかと上司の方に伝えてください。」

プ：「はい、わかりました。」

エンドユーザに必要なセキュリティ対策を浸透させるのに様々な苦労があることは理解できるが、事実誤認を導くような説明や、不慣れな要員による誤った説明、脅しともとれる強引な勧誘方法は問題があるだろう。こういったことが続くようであれば、情報セキュリティ業界全体に対する不信にもつながるのではないだろうか？

受ける側にとってはこの電話自体がまさに迷惑であり迷惑メールの対策を勧めるために自ら同様の迷惑行為を行う結果となっている。また誇張やまぎらわしい表現や誤った説明は場合によっては詐欺ともとれる。信頼できると思われていたＩＳＰだけに残念だ。

書こうと思いすっかり忘れてしまっていたのだが、Shmoocon2007のプレゼンテーションが動画ファイル(mp4)として公開されている。（随分前から）

当時話題となったJiktoのプレゼンテーションももちろん入っている。携帯動画変換君などのツールでエンコードのスペックを変換してやればiPodや携帯電話でも見ることができる。通勤中に海外のカンファレンスのプレゼンテーションを視聴できるなんて便利な時代になったものだ。

■Shmoocon Index of /2007/videos
http://www.shmoocon.org/2007/videos/

■JavaScript Malware for a Grey Goo Tomorrow (mp4) (Billy Hoffman)
http://www.shmoocon.org/2007/videos/JavaScript%20Malware%20for%20a%20Grey%20Goo%20Tomorrow%20-%20Billy%20Hoffman.mp4

■携帯動画変換君(3gpp)
http://www.nurs.or.jp/~calcium/3gpp/

兵庫県　電子申請システム
2007.7.9 Java 2 Runtime Environment(JRE)の脆弱性について
http://sinsei.pref.hyogo.jp/guidance/system/index.html

●対応方法（推奨）

兵庫県電子申請システムを利用後にJREを非稼動状態にしてください。

再度、兵庫県電子申請システムを利用する場合は、再びJREを有効にします。

いや、さすがにそれは無理があると思いますけど・・・・。
県民の皆さんが、電子申請専用のパソコンを持っているわけではないでしょうし。

(7/12 11:18 追記)
あらためて確認したところ「※　現在、JRE1.4.2_15を推奨環境とするため、システムの検証を行っております。検証が終わり次第、お知らせします。 」との記述が付記されていました。
当面の対応としてはやむを得ないことかと思います。

ちなみに、「電子申請共同運営システム「ｅ-ひょうご」」についてはまだ同様の記述はされていないようです。
http://www.sinsei.e-hyogo.jp/hyogo/jre_taiou.html

「情報セキュリティ先進県」として今後のJREの更新に関しても先進的な対応がとられることを期待します。

自治体ISACあたりが間に入って各自治体、各省庁の電子政府システムやSun Microsystemsと足並みをそろえて対応するようなスキームを構築すべきではないでしょうか？

JREの更新への技術的対応の暫定措置としては下記で解説された手法も参考になると思います。
■続・厚生労働省の脆弱性放置は何が問題とされているのか（高木浩光＠自宅の日記, 7/10）
http://takagi-hiromitsu.jp/diary/20070710.html#p01

(7/17 12:45 追記)
再度「兵庫県　電子申請システム」のページを確認したところ以下のような対応が行われています。

2007.7.13
Java実行環境の推奨バージョンの変更について
兵庫県電子申請システムのJava実行環境の推奨バージョンを、JRE1.4.2_14からJRE1.4.2_15に変更しました。
旧バージョンには脆弱性が指摘されているため、お手数ですが、こちらを参照のうえ、推奨バージョン（JRE1.4.2_15）への変更をお願いいたします。

また、「電子申請共同運営システム「ｅ-ひょうご」」についても以下のような対応がなされています。

JRE1.4.2_15を推奨しております。下記サイトよりダウンロードしてください。
（既に他のバージョンをインストールしている場合は、事前にアンインストールを行ってください。）

「ｅ-ひょうご」については高木浩光さんの日記の以下のエントリーにおいて、「使用するJREバージョンを指定していないところ」という比較的良い対応のグループに分類しています。ただし「兵庫県は、JRE 1.4.2_15のダウンロード方法をパッチバージョン固定で指定しており、不適切。」との指摘もされています。これについては「兵庫県　電子申請システム」についても同じ指摘が適用されるでしょう。個別のパッチリリースについて個々に動作確認をとり、逐一更新していく必要が本当にあるのか検討が必要だと思われます。

■電子申請のJRE脆弱性放置、各都道府県の状況（高木浩光＠自宅の日記, 7/15）
http://takagi-hiromitsu.jp/diary/20070715.html#p01

ん～、惜しい・・・。

おかえりなさい。そしておめでとうございます。

日本の情報セキュリティにとって記念すべき一歩となることでしょう。

■フォティーンフォティ技術研究所
http://www.fourteenforty.jp/

６月１５日（金）に行った「未知の脅威に対抗する組織のセキュリティー力」と題した講演の概要が明日６月３０日（土）の日経新聞朝刊(全国)に掲載される予定です。

会場の制限のため抽選となってしまったようで、紹介しておきながら大変申し訳ありませんでした。
紙面の都合でざっくりとした内容になってしまうようですが、よろしければご覧ください。

新聞ですので紙面構成が変更になる可能性もありますのでその点ご了承ください。

(参考)
【講演】「見える化」と組織の「セキュリティー力」
http://motivate.jp/archives/2007/06/post_129.html

【イベント】日経Business Innovation Forum　－　「見える化」による情報セキュリティー整備
http://www.adnet.jp/nikkei/innovation/

6月21日JPCERT/CCから「標的型攻撃について」と題したレポートが発表されている。このレポート自体はこれまで一部の事例のみが語られていた日本における標的型攻撃の実態について明らかにしたものであり、大変意義のある試みと思われる。（文中CSIRT協議会が登場するあたりは多少強引な感もあるが・・・）

この中でJPCERT/CCは英語の「Targeted Attack」に相当する表現として「標的型攻撃」という訳語を用いている。

“標的型攻撃”の呼び名について
“Targeted Attack”という言葉は標的攻撃、 スピア型攻撃、 スピアー攻撃、 ターゲッ
トアタックなど様々に翻訳されている。本文書では”標的型攻撃”という訳語を用いる。
この表現が比較的定着しており、 初見でも漢字から内容を類推することが容易と思
われるからである。

（「標的型攻撃について」JPCERT/CC, 2007/6/21）

これは、特定の組織等を攻撃対象として行われる「フィッシング攻撃」を意味する「スピアフィッシング攻撃」との混同を避け、「Targeted Attack」の正確な意味が伝わるように配慮がなされているものと推察される。実際同レポートでは「スピアフィッシング攻撃」について以下のような記載が行われている。

「たとえば標的となる組織に特化した差出人や文章を使ったフィッシングを”スピアフィッシング”というが、 これは限定度が高く、 検知が難しい標的型攻撃の1つである。」

（「標的型攻撃について」JPCERT/CC, 2007/6/21）

レポートでは標的型攻撃を「スピアフィッシング」「関係者を装った社員宛のウィルスメール」「『DoSをしかける』という脅迫メール」の３つに分類をしており、「スピアフィッシング」は「標的型攻撃」の一つのタイプとして位置づけられている。

ちなみに欧米では日本で言われるTargeted AttackはTargeted Trojan-horse attackまたはTargeted Trojan attackという形で使われることが多く、この場合「トロイの木馬」を用いた攻撃を意味する。「関係者を装った社員宛のウィルスメール」がTargeted Trojan-horse attackなのかどうかは不明だが、「『DoSをしかける』という脅迫メール」がTargeted Attackと呼ばれることは少ないように思う。

さて、このレポートの内容について日経IT Proが記事として紹介しているのだが、JPCERT/CCが「標的型攻撃」としている事項について、全て「スピア－攻撃」として言い直して記載している。また文中には、

「スピアー攻撃とは、特定の企業や組織を狙った攻撃のこと。標的型攻撃とも呼ばれる。」

（「『国内企業もスピアー攻撃の標的に』――セキュリティ組織が調査」, 日経IT Pro, 6/21）

とわざわざレポート本文とは逆順に用語の定義が行われている。JPCERT/CCが吟味した用語の用法が台無しである。日経IT Proでは過去に「スピア攻撃と闘う」と題した記事の中で、下記のように「スピア攻撃」という用語について明示的に使用の方針を示しており、社内での用語の統一を保つ必要からやむを得ないのかもしれない。

「特定のユーザーや組織を狙った攻撃」は，海外では「Targeted Attack」と呼ばれ，スピア攻撃（Spear Attack）と呼ぶのは日本だけである。しかしながら，国内ではスピア攻撃のほうが現時点では一般的だと考えられるので，本稿では「スピア攻撃」とする。

（「スピア攻撃と闘う」, 日経IT Pro, 2006/9/29）

もっとも「スピア攻撃」だったり「スピアー攻撃」だったりするのでそれほど厳密に意識しているわけでもなさそうだ。

最近のセキュリティ業界関係者の発言を聞く限りでは「スピア（ー）攻撃」という用語を単独で使用することはほとんど無く、大抵「ターゲテッドアタック」や「標的型攻撃」などの他の表現と合わせて使用されている。「スピア攻撃」が一般的というのは現在では当てはまらないのではないか。

そもそも誰が言い出したのか分からない「スピア（ー）攻撃」などという紛らわしい用語を使用しなければ、すっきりすると思うのだが、何かこの言葉を使用しなければならない特別な理由があるのだろうか？

（追記）ふと考えたのは、メディアでは「標的型攻撃」と書くよりも「スピアー攻撃」と書いた方がキャッチーで注目を浴びやすいという理由があるのかもしれない。

（参考情報）
■標的型攻撃について(PDF)（JPCERT/CC, 2007/6/1）
http://www.jpcert.or.jp/research/2007/targeted_attack.pdf

■「国内企業もスピアー攻撃の標的に」――セキュリティ組織が調査（日経 IT Pro, 6/21)
http://itpro.nikkeibp.co.jp/article/NEWS/20070621/275523/

■今週のSecurity Check（第177回） スピア攻撃と闘う(ITPro, 9/22)
http://itpro.nikkeibp.co.jp/article/COLUMN/20060922/248805/

■「スピア型攻撃」より「標的型攻撃」が良いのではないでしょうか？(武田圭史, 2006/10/2)
http://motivate.jp/archives/2006/10/post_102.html

■「スピア型攻撃」は日本独自の表現？(武田圭史, 2006/7/19)
http://motivate.jp/archives/2006/07/post_96.html

いつまでこんなことを続けるのでしょうか。
もういい加減終わりにしませんか？

御冥福をお祈りします。

これまでもそうでしたが、情報漏えいインシデント対応の際は当事者、関係者に対するケアも怠らないようにしなければなりません。
（たとえ本人が悪かったとしても、こういう事態は避けるべきでしょう。）

■ウィニーで児童の個人情報流出、男性教諭が自殺　千葉http://www.asahi.com/national/update/0608/TKY200706080265.html

白浜で行われているサイバー犯罪者サイバー犯罪関係者の集まりに来ています。

今年はメイン会場で無線ＬＡＮは提供されないのでしょうか？

メイン会場でホテルロビーのがばり５で入りますね。非常に怖い状態で犯罪の温床になりそうですが。

（参考情報）
■第11回　サイバー犯罪に関する白浜シンポジウム
http://www.sccs-jp.org/SCCS2007/