海の向こうの“セキュリティ”

第39回:サイバー犯罪捜査支援の無償ツール「BATTLE」提供開始 ほか


サイバー犯罪捜査支援の無償ツール「BATTLE」提供開始

「BATTLE(Botnet Analysis and Tactical Tool for Law Enforcement)」のサイト

 CSIRTの国際フォーラムであるFIRSTとも関わりの深い、セキュリティ関連の技術者や研究者によるグループ「Team Cymu」が11月16日、世界中の法執行機関によるサイバー犯罪の捜査を支援するための無償ツール「BATTLE(Botnet Analysis and Tactical Tool for Law Enforcement)」を公開したと発表しました。

 BATTLEはこれまでも1年以上に渡り、警察に対してボットネットのC&Cサーバーに関する情報を提供して来ました。今回、そのBATTLEを大幅に拡張し、フィッシングサイトやマルウェアのダウンロードサイトの場所についても提供するようになったことで、法執行機関向けのこの種のデータレポジトリの中では最大規模のものとなったのだそうです。

 BATTLEのWebページでは、BATTLEのインターフェイスも掲載されており、それを見る限り、対象とするサイトの場所が地図で表示されるなど、視覚的にわかりやすいものになっているようです。また、データは24時間ごとに更新されているそうです。

 なお、このツールの使用は法執行機関に限られており、使用の申し込みに際しては厳密なチェックが行なわれるそうです。

BATTLE
https://www.team-cymru.org/Services/battle.html

Team Cymruの発表資料(2009年11月16日付)
http://www.team-cymru.org/News/Releases/BATTLE-2009-11-16.pdf

マルウェアが勝手にダウンロードした児童ポルノ画像で有罪に?

児童ポルノに対する規制が厳しい欧米では、マルウェアが勝手にダウンロードした児童ポルノ画像による「えん罪」が発生しているようです。

 この種のえん罪事件で最初に大きく報道された事例は、2007年のMichael Fiola氏の事件でしょう。事件の概要は次のようなものでした。

 2007年3月、マサチューセッツ州労働災害局調査員だったFiola氏は、業務で使用していたノートPCに児童ポルノ画像を保存していたとして突然解雇されました。しかも児童ポルノ規制法違反で起訴され、最長で禁固5年の刑を受ける可能性まであったのです。

 これに対し、全く身に覚えのないFiola氏と彼を信じる妻は粘り強く無実を訴え、問題のノートPCを専門家に調査してもらった結果、マルウェアに感染していたこと、それらが1分間に40もの児童ポルノサイトにアクセスするようにプログラムされていたこと、さらにFiola夫妻がディナーで外出中に何者かがログオンし、1時間半に渡ってポルノ画像を流し込んでいたことがわかったのです。これにより、起訴から約11カ月後、証拠不十分として起訴が取り下げられたのです。

 しかし、この間、Fiola氏は職を失ったばかりでなく、友人も失い、さらには裁判費用を捻出するために25万ドルも使うはめになってしまったのです。この件に対してFiola氏は「It ruined my life, my wife's life and my family's life」と述べています。

 さらにさかのぼると、2003年にイギリスで次のような事件があったそうです。

 ある男性のPCがウイルスに感染。そのウイルスがブラウザのホームページを児童ポルノ画像に変更してしまい、それを発見したのが7歳の娘だったことから、彼は1週間以上収監され、その後、3カ月を社会復帰訓練所で過ごさねばならなくなったばかりか、娘の親権まで失ったというのです。

 その後、今でも同様の「悲劇」は後を絶たないようです。このような悲劇を生まないために警察をはじめとする関係者の方々には、より慎重に対応するよう努めていただきたいところですが、その一方で注意しなければならないこともあります。

 こういったえん罪事件を口実に、何でも「それはマルウェアが勝手にやったこと」という言い逃れをする輩が出かねないということです。児童ポルノに限らず、何らかの犯罪行為に当該コンピュータが使用された場合も同様です。違法行為が本当にマルウェアによるものなのか、本人が意図的に行なったものかどうかを把握するための、より精度の高いフォレンジクス技術が求められます。しかし、残念ながら状況によっては判別が不可能なケースもあり、ことは単純ではありません。

 また、PC利用者側も不当に疑われないために、基本的なセキュリティ対策を確実に実施することはもちろん、ブラウザのキャッシュデータをこまめに削除するなどの「防衛策」を講じる必要があるかもしれません。

 実は、Fiola氏の件で「児童ポルノ画像の所持」とされた画像は、キャッシュデータだったらしいのです。これは即ち、マルウェアとは関係なく、知らずにたまたまアクセスしてしまったサイトに児童ポルノ画像が、例えばサムネイル画像のような形で貼り付けられていた場合、画像ファイルを明示的にダウンロードしなくても、サイトに貼り付けられた画像データがキャッシュとして保存されてしまい、このキャッシュデータをもって「児童ポルノ画像の所持」と見なされる危険性があるということを示しています。

 少々ヒステリックにも思える規制に伴うえん罪から、どうやって自らの身を守るか、真剣に考える必要がありそうです。

日立Secureplaza「世界のインターネットセキュリティ事情」連載第10回
http://www.hitachi.co.jp/Prod/comp/Secureplaza/sec_trend/sw/security_world10.html

ABC News(2009年11月8日付記事)
http://abcnews.go.com/Technology/WireStory?id=9028516

McColo停止から1年、ボットネットは今

 昨年11月、当時世界最大規模だったボットネット「Rustock」や「Srizbi」にネットワーク接続サービスを提供していたことで悪名が高かったMcColo社に対して、上位プロバイダーがネットワーク接続を遮断したことでスパムが激減したという報道がありましたが、その後の話題です。

 当時も一時的に減少したスパムが元に戻るのは時間の問題とされていましたが、McAfeeが発表したデータによると、半年後にはMcColo停止時とほぼ同レベルに戻り、その後は一気に倍以上のレベルにまで増加していたようです。

 現在は一時期よりは減ったものの、それでも1年前に比べれば1.5倍もあり、予想通り、McColo停止の「恩恵」は一時的なものに過ぎなかったようです。

 また、McAfeeによると、McColoの一件でボットネットのオーナーも「学習」し、以前に比べるとC&C(Command and Control)サーバーはかなり分散しており、どこか1つのネットワーク接続サービスを遮断すればOKという状況ではなくなって来ているそうです。

 ある程度予想通りの内容ではありますが、具体的にグラフで示されるとなかなかにインパクトがあります。

McAfee Labs Blog(2009年11月11日付エントリー)
http://www.avertlabs.com/research/blog/index.php/2009/11/11/the-mccolo-effect-one-year-later/

関連記事
 ・連載 海の向こうの“セキュリティ” 第27回
  http://internet.watch.impress.co.jp/static/column/security/2008/12/02/

韓国の話題続報

 前回の記事で紹介した韓国の機密情報が北朝鮮に奪われたという事件の続報です。

 11月4日、韓国陸軍3軍司令部から国立環境科学院にアクセスするためのIDとパスワードが流出したことについて軍司令官が認めたとの報道がありました。ただし、国立環境科学院から有害化学物質に関する情報など約2000件の国家機密が北朝鮮に奪われたという件については否定も肯定もしていません。

 報道によると、流出したIDとパスワードは韓国陸軍3軍司令部の化学課長のものだったそうです。しかし、侵入されたコンピュータが接続しているネットワークは、軍の作戦に使われる軍事網とは分かれているので、軍事網は侵入を受けていないとしています。

 報道内容をどこまで信用してよいのかがわからないのですが、少なくともインターネット接続された内部ネットワークおよびそこにあるコンピュータが「安全な状態」とは言えなかったことだけは事実と考えて良さそうです。

 また、IDとパスワードが盗まれたとしながら、国立環境科学院から有害化学物質などに関する情報が盗まれたとされる件については一切触れられていないのが気になるところです。

朝鮮日報(2009年11月4日付記事)
http://news.chosun.com/site/data/html_dir/2009/11/04/2009110400116.html

 次に 7月に発生したDDoS攻撃の話題です。この件について、先日、秋葉原で開催された「Internet Week 2009」のプログラム「インターネットセキュリティ2009」において、韓国KrCERTにヒアリングした内容を紹介したJPCERTコーディネーションセンターの鎌田敬介氏によれば、つい最近になっても新たな事実が発覚するなど、いまだに全容が明らかになっていないそうです。

 そのような中、気になる報道がありましたので紹介します。

 まず、DDoSに使われた中国のIPアドレスの中に北朝鮮の逓信庁が使用していたものがあったらしく、この件について韓国警察が中国の公安当局と共同で捜査を行なったそうです。その後の詳細は不明ですが、11月初旬の時点ではそのIPアドレスを使って北朝鮮が直接攻撃を行なったという事実は確認されていなかったようです。

 また、11月17日、McAfeeは同日公開した「Virtual Criminology Report 2009」の中で、「もし攻撃が本当に北朝鮮によるものだとしたら」という前提の下、この攻撃は米韓間のインターネット通信を妨害できるかどうかを試していたのだろうとの見解を発表しました。この見解自体は特に驚くような内容ではないのですが、驚いたのは、このMcAfeeの見解について韓国のメディアがあたかもMcAfeeが北朝鮮の関与を断定した上で述べた見解であるかのようなニュアンスで報道したのです。要は「世界的に有名なセキュリティベンダーが断定した」と言いたいのでしょう。北朝鮮がらみの韓国の報道に偏りがあることは今に始まったことではありませんが、その傾向を顕著に示した例と言えるかもしれません。

NATEニュース(2009年11月2日付記事)
http://news.nate.com/view/20091102n11893

McAfeeの発表資料(2009年11月17日付)
http://newsroom.mcafee.com/article_display.cfm?article_id=3594

ニューデイリー(2009年11月18日付記事)<
http://www.newdaily.co.kr/html/article/2009/11/18/ARTnhn36443.html

関連記事
 ・Gumblar、中国のDDoS事情など「脅威のトレンド」振り返る
  http://internet.watch.impress.co.jp/docs/event/iw2009/20091124_331127.html


2009/12/3 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。