海の向こうの“セキュリティ”

　7月の話題といえば、Windowsのショートカットファイルの深刻な脆弱性が明らかになり、しかも、すでにSCADA（Supervisory Control And Data Acquisition＝制御監視システム）を対象とした攻撃が行われていたという事実は、世界中に大きな衝撃を与えました。SCADAに関してはかねてよりサイバーテロの危険性が指摘されていましたが、今回の件については「遂に来たか」というのが率直な感想です。

　さて、そのような深刻な話題があった7月ですが、今回はまず最初に、6月に行われたワークショップ「WEIS 2010」で発表された研究の中から、特に興味深いものを2つ紹介。そして最後に、SNS絡みのかなり「トホホ」な話題を紹介します。

●ポルノサイトは本当に危険？

　WEIS（Workshop on the Economics of Information Security）は、情報セキュリティの総合的研究に関する代表的なフォーラムで、対象は技術のみならず、経済学や社会科学、ビジネス、法律などのさまざまな分野にまたがっています。今回で9回目となるWEISのワークショップがハーバード大学で6月7日・8日の2日間に渡って開催されました。

◆WEIS 2010
http://weis2010.econinfosec.org/

　一般的に「ポルノサイトは危険」と言われることがあります。ポルノ画像でユーザーを引き寄せ、マルウェアに感染させたり、金銭をだまし取ったりするというわけです。確かに直感的には「そうかな」と思えますが、それを実際に実験して確かめたとの研究発表が「WEIS 2010」でありました。

　ウィーン工科大学などによる研究によると、26万9566のポルノサイトのページを調べたところ、その3.23％に、コードを実行させようとしたり、レジストリを書き変えようとしたり、実行ファイルをダウンロードさせようとしたりといった「問題」があったそうです。この3.23％という数字は、2008年の同様の研究から見積もられた0.6％という数字より5倍以上も大きい値です。

　また、ポルノサイトにはユーザーを「騙す」手法が使われていることも紹介されています。代表的な手法は以下の3つ。

・JavaScript Catchers
ユーザーが当該ウェブサイトから離れられないように細工するもので、アドレスバーに別のサイトのURLを入力しても、「戻る」ボタンをクリックしても、そのサイトから別のサイトに移動できなくなります。

・Blind Links
リンク先をブラウザーのステータスバーに表示させないことで、ユーザーをこっそり別のサイトに誘導します。

・Redirector Scripts
リダイレクトを使って真のリンク先をごまかし、ユーザーをこっそり別のサイトに誘導します。

　いずれもユーザーにとって好ましくないものですが、調査によると、有料サイトよりも無料サイトにこのような手法が使われているケースが多かったそうです。

　JavaScript Catchersは、無料サイトで3.9％だったのに対して、有料サイトでは1.2％でした。Blind Linksは、無料サイトで26.2％、有料サイトで10.9％。Redirector Scriptsは、無料サイトで23.6％、有料サイトで3.2％となっています。

　他にも、ポルノサイトそのものの危険性とは直接関係しませんが、ポルノサイトを実際に作り、そこにアクセスしてくるユーザーの傾向について調査した結果も紹介されました。

　これによると、約4万9000のユーザーのうち、2万以上のユーザー（のブラウザー）に少なくとも1つの脆弱性があることが分かりました。今回の調査で対象とした脆弱性はブラウザープラグインのFlash、PDF、MS Officeの脆弱性。いずれも最近のマルウェアがウェブ経由で感染する際に悪用する代表的な脆弱性です。その内訳を示したのが図1です。

図1

　アクセスして来たユーザーの4割がこれだけメジャーな脆弱性が残った状態でいるというのは少々ショッキングなデータかもしれません。

◆「Is the Internet for Porn? An Insight Into the Online Adult Industry」論文（PDF）
http://weis2010.econinfosec.org/papers/session2/weis2010_wondracek.pdf
◆プレゼンテーション資料（PDF）
http://weis2010.econinfosec.org/papers/session2/weis2010_wondracek_pres.pdf

●プライバシーにまつわる矛盾

　近年、個人情報の取り扱いがさまざまな形で取りざたされるようになったことで、一見、一般ユーザーのプライバシーに関する意識は高まっているように見えます。しかし、そこに実は大きな「矛盾」があるとの研究発表が「WEIS 2010」でありました。

　カーネギーメロン大学の研究によると、人は自分の個人情報の開示（公開）可否を決められる、つまり自分で自分の個人情報を管理できる（と言われる）と、それだけで普通ならば明かさないようなデリケートなプライバシー情報も明かしてしまいがちになるのだそうです。

　調査の対象はカーネギーメロン大学の学生で、調査は今年の春にウェブを通じて行われました。調査方法はプライバシーにかなり立ち入った内容を含む10個の質問にYes/Noで答えさせるというもので回答はすべて任意。つまり答えたくない質問には答えなくてもよいようになっています。

　質問の内容は大きく以下の3つに分けられます。

・かなりプライバシーに立ち入った質問
Q2）雇用主から解雇されたことがありますか？
Q3）店舗や個人などから何か盗みをはたらいたことはありますか？
Q4）マリファナやヘロイン、コカインなどの薬物を使用したことはありますか？
Q6）美容整形をしたことがありますか？
Q8）クラブや飛行機のトイレなどの公衆の場でセックスしたことがありますか？

・さほど立ち入っていない質問
Q10）消えないタトゥーを入れてますか？

・立ち入っていない質問
Q1）結婚していますか？
Q5）自分の年齢を偽ったことがありますか？
Q7）何らかの奉仕活動をしたことがありますか？
Q9）非営利団体への寄付をしたことがありますか？

　左端の質問番号が示しているようにプライバシーへの立ち入りの度合いが異なる質問を混ぜて並べてあります。次に、この10の質問を5つの異なる条件で提示します。

・条件1
質問に回答することが、そのまま調査員に対して回答結果の公開許可を与えたことになる（ユーザー側で個人情報の公開可否を制御できない）。

条件1での質問画面

・条件2
調査員に対して回答結果の公開許可を与えるには、個々の質問ごとに用意されたチェックボックスにチェックを入れる（ユーザー側で個人情報の公開可否を完全に制御できる）。

条件2での質問画面

・条件3
調査員に対して回答結果の公開許可を与えるには、最初に用意された1つのチェックボックスにチェックを入れる（選択肢はすべて公開可とするかすべて公開不可とするかどちらかのみ）。

条件3での質問画面

・条件4
調査員に対して回答結果の公開を許可しないためには、個々の質問ごとに用意されたチェックボックスにチェックを入れる（条件2と基本的に同じだが、デフォルトが公開可になっている）。

条件4での質問画面

・条件5
条件3と同じく質問の回答については、すべて公開可とするか、すべて公開不可とするかのどちらかのみだが、別途尋ねていた年齢、性別、出身地について個別に公開可否を問う。

条件5での質問画面

　実験結果を示したのが表1です。ここで注目すべきは、すべての質問に答えた人数の割合です。明らかに条件2と条件4が抜き出ています。つまり、ユーザー側で個人情報の公開可否を完全に制御できる場合はプライバシーに立ち入った質問にも答えてしまう傾向があるわけです。

表1

　これはすなわち、人は自分で個人情報を制御できないと自分のプライバシーが守られていないと感じて慎重になるのに対し、逆に制御できると（思わせられると）自分のプライバシーが守られていると感じ、積極的に情報を共有しようとするのだと考えられます。

　もちろんこれは調査する側への信頼度にも依存すると思いますし、文化的な違いも影響するでしょう。日本ではちょっと違う結果が出そうな気がしますが、なかなか興味深い実験結果です。

◆「Misplaced Confidences: Privacy and the Control Paradox」論文（PDF）
http://weis2010.econinfosec.org/papers/session2/weis2010_brandimarte.pdf
◆プレゼンテーション資料（PDF）
http://weis2010.econinfosec.org/papers/session2/weis2010_brandimarte_pres.pdf

●非実在美女にご注意!!

　かねてより、SNSによる安易な友人関係の構築に対しては危険性が指摘されていましたが、それを実際に示す「実験」が行なわれました。

　その名も「ロビン・セージ実験（Robin Sage Experiment）」。

　これは、Provide Security社の共同創業者でもある研究者トーマス・ライアン氏が架空の美人エンジニア「ロビン・セージ」を名乗って FacebookやTwitterなどで「友人」を作るというもの。

　アダルトサイトから借りた「美女」の写真を使った「彼女」のプロフィールには、MIT卒、25歳で10年の職歴（明らかに変！）、現在は海軍のサイバー攻撃の脅威に関する分析官と記載されていました。

　このプロフィールをどこまで信じたのかは不明ですが、「友人」になったのは数百人。中には、セキュリティのカンファレンスでの講演依頼やGoogleなどへの就職の勧誘をしてきた人もいたそうです。

　この実験で注目すべきは、「友人」の中に、米海兵隊の情報機関高官や米下院議員の首席補佐官、防衛関連の納入業者の役員らが含まれていた点。しかも「彼女」と公私に渡る情報や写真を共有していたのだそうです。これらの共有情報の中には企業や国家のセキュリティをも脅かす危険性のある重大なものも含まれていたようです。

　こんなに簡単に引っかかってしまう人が少なくないことに、驚く以上に呆れる気持ちの方が強いですが、予想通り「友人」の82％は男性。「非実在美女にご注意!!」ですね。

◆The Dangers of Friending Strangers: the Robin Sage Experiment（「Armed with Science」2010年7月21日付記事）
http://science.dodlive.mil/2010/07/21/the-dangers-of-friending-strangers-the-robin-sage-experiment/
◆Fake femme fatale shows social network risks（「Computerworld」2010年7月22日付記事）
http://www.computerworld.com/s/article/9179507/Fake_i_femme_fatale_i_shows_social_network_risks
◆US security chiefs tricked in social networking experiment（「Guardian」2010年7月24日付記事）
http://www.guardian.co.uk/media/2010/jul/24/social-networking-spy-robin-sage