海の向こうの“セキュリティ”

　昨年末以降、いろいろとセキュリティに絡む話題には事欠かない1カ月でした。気になったものだけ簡単に列挙します。

　そのような中、韓国でも興味深い話題がありましたので、今回はそれらをまとめて紹介します。

●2011年から変更された情報保護関連制度

　情報セキュリティに関連した制度については何かと「イケイケ」のイメージのある韓国。2011年から導入された、または改訂された制度がいくつかあります。その中で特に興味深いものをピックアップして紹介します。

1）スパム配信、1回でアウト

　これまで韓国では、送信者を偽るなどの詐欺性の高い違法なスパム配信を行った事業者に対して2回までは注意勧告、3回目で契約解除およびネットワーク接続断が実施されてきました。それが2011年1月からは1回でもスパム配信が摘発されたら、その時点で接続を切るという「1ストライクアウト」制度が導入されることになりました。

　これは韓国放送通信委員会が目標として掲げている「スパム発送件数30％縮小」に基づき、事業者らに「積極的な自主規制」を促したもの。実施に伴う補償もあるようです。

　「1回でアウト」というのはかなり厳しいような気もしますが、今回の規制強化には、これまで「3回でアウト」になっても通信事業者と新たな契約を結ぶことでスパム配信を継続している常習業者が存在していること、またスパム受信の申告件数が飛躍的に増え続けているなどの背景があるようです。

■URL
　デジタルタイムス（2010年12月29日付記事）
　携帯電話不法スパム“ワンアウト制”導入
　クリーンモバイル協議会、来年から発送摘発時は事業中止措置
　http://www.dt.co.kr/contents.html?article_no=2010123002010531742004
　デジタルタイムス（2011年1月23日付記事）
　不法スパム“永久退出”
　放送通信委員会、事業者処罰強化……“今年30％縮小”
　http://www.dt.co.kr/contents.html?article_no=2011012402010351693001

2）eコールセンター「118」でクライアント証明書紛失申告が可能に

　韓国インターネット振興院（KISA）がこれまでインターネットセキュリティに関する報告や相談の受付窓口として運用して来た電話番号「118」で、1月31日から公認認証書（クライアント証明書）を紛失した場合の届出も受け付けるようになりました。これは5つの公認認証機関と連動しており、どの公認認証機関から発給を受けた公認認証書か分からなくても、また深夜時間帯などの公認認証機関の業務時間外でも公認認証書効力停止や廃止処理などの対応をしてくれるというもの。

　オンラインバンキングなどで公認認証書の利用を義務付けている韓国ならではとも言えますが、法律で義務化しているのであれば、むしろこのような公的サービスで対応できるようにするのは当然とも言え、少々「今さら」な印象もありますが、いずれにせよ、利用者にとってはかなりありがたいサービスでしょう。しかし、そもそも証明書の紛失（盗難）時にすぐに届け出なければならないという意識をどの程度の利用者が持っているかが気になるところです。

3）クライアント証明書の安全性強化

　鍵長がこれまでの1024bitから2048bitに、ハッシュアルゴリズムがSHA-1からSHA-256に強化された新しい公認認証書（クライアント証明書）が4月1日から発給されるそうです。

　当然と言えば当然の流れですが、残念ながら対応が遅過ぎます。なぜ2010年のうちに新しい公認認証書の発給が行なわれなかったのか、甚だ疑問ではあります。

■URL
　デジタルデイリー（2011年1月3日付記事）
　今年変わる情報保護制度
　http://www.ddaily.co.kr/news/news_view.php?uid=72935

●Google vs. 韓国当局、その後の顛末

　Googleストリートビューの撮影車がWi-Fi無線LANネットワークの情報を「誤って」収集していた件で、昨年8月、韓国当局がGoogle Koreaのオフィスを家宅捜索し、関連資料を押収したことは以前の記事でも紹介しました。ストリートビューに関してはさまざまな国で問題になっていますが、警察当局がここまで強硬な姿勢で捜査したのは（その時点で）国際的にも珍しかったこともあり、この件は当時多くの国で報道されたようです。

　その後の顛末です。

　韓国警察の調査分析により、Googleが個人情報を無断収集していたことが立証されたことを受け、韓国当局はGoogle本社を刑事立件しました。しかし、個人情報を収集するようにプログラムを作ったGoogleのプログラマー（身元不詳）の起訴は見送ったようです。

　これらを受け、1月6日、Google Koreaは公式に謝罪しましたが、その一方で、あくまで「過失」であり、これまでも韓国放送通信委員会および警察による調査にも積極的に協力しており、意図的なものではなかったことを強調しています。

　米国やドイツなど、韓国以外の国でも同様の調査が行われていますが、司法当局の動きとしては韓国が先んじているようです。韓国メディアの報道では「世界に先んじていること」ばかりが強調され、「何でも世界で一番」が大好きな韓国人気質が露骨に現れていて少々呆れてしまう部分もありますが、「先んじている」ことは確かなので、これからの展開にも注目すべきではあります。しかしそれ以上に、今のところ表立った動きを全く見せていない日本の司法当局が、海外の動向を踏まえてどのような動きを見せるか（または見せないか）という点にも関心を寄せる必要がありそうです。

■URL
　ZDNet Korea（2011年1月6日付記事）
　グーグル“個人情報無断収集陳謝”
　http://www.zdnet.co.kr/news/news_view.asp?artice_id=20110106172754
　デジタルタイムス（2011年1月13日付記事）
　個人情報無断収集“グーグル、韓国法廷立つ”　警察、グーグル本社立件
　http://www.dt.co.kr/contents.html?article_no=2011011402010151699002

■関連記事
　Google、Wi-Fiの通信内容を「意図せず」収集～謝罪して運用を停止
　http://internet.watch.impress.co.jp/docs/news/20100517_367555.html
　海の向こうの“セキュリティ”　第48回
　韓国警察、Google Koreaを電撃家宅捜索
　http://internet.watch.impress.co.jp/docs/column/security/20100903_391250.html

●韓国で流行りのオンライン詐欺

　フィッシング詐欺や振り込め詐欺は手を変え品を変え、次々と新たな手法が生まれてくるものですが、最近韓国で被害を広めているオンライン詐欺を紹介します。

1）「消費者賞受賞」で騙す

　ネットで買いものをする場合、あなたはそのオンラインショッピングサイトが信用できるかどうかを何で判断しますか？　例えば、次のようなサイトがあったらあなたは信用しますか？

　有名なポータルサイトで検索して見つけたサイト。そこにはそれなりに名のある報道機関が認定した「消費者賞受賞」の文字。実際にその報道機関のサイトを見ると、「価格も安くて信用できる業者」と宣伝されている……。

　私の個人的な感覚では、これだけで信用してしまうのはちょっと危なっかしい気がしますが、実際にはこれで信用してしまう人は少なくないと思います。

　韓国ではこのような形で利用者を信用させたサイトが実は偽サイトだったという事件が発生し、実際に被害が発生しています。韓国の報道によると、すでに判明しているだけでも被害者は600人を超え、被害総額は数億ウォンに達すると見られています。

　この事件は、被害者の注意不足という面もありますが、広告費を出した業者に対して報道機関がその実態を調べることなく安易に「消費者賞」を与えてしまったために起こった事件と言えます。

　怪しい業者から広告費を受け取り、その実態をろくに調べもせずに、広告として載せるのも報道機関として無責任ですが、「消費者賞」などと言った賞を与えるなど「ありえない」としか思えません。いくら広告収入が生命線とは言え、呆れるしかないですし、報道機関としてのプライドがないのかと強い憤りを感じます。

　■URL
　保安ニュース（2011年1月10日付記事）
　詐欺サイトもお金を出せば“消費者賞”……被害者続出
　ソウルYMCAオンラインショッピングモールKマート被害者集中告発窓口開設
　http://www.boannews.com/media/view.asp?idx=24368

2）公共機関を騙った偽サイトに電話で誘導

　フィッシング詐欺と振り込め詐欺を組み合わせたような新手の詐欺が韓国で発生しました。こんな電話がかかって来たら、あなたはどうしますか？

　検察庁職員を名乗る人物が電話をかけて来ます。

　「最近、詐欺グループを検挙したところ、A銀行とB銀行のあなたの口座が犯罪に利用されたようです。もしかして通帳を他人に譲り渡したりしていませんか？　その場合、○○法違反で○百万円の罰金が課せられますよ。」

　いきなりこんなことを言われたら、多少なりとも慌てますよね。ここで当然のごとく否認すると、今度は次のように言ってきます。

　「だとすると個人情報が流出して名義が盗用された可能性がありますね。ではすぐに検察庁のホームページにアクセスして、個人情報侵害申告を行なってください。URLは http://○○○/～です。」

　この時点ですでにパニクっている人ならば、無条件に言う通りのURLにアクセスしてしまうのではないでしょうか。ところがそのURLで示されるサイトは検察庁のホームページを装った偽サイト。そしてそこでは名前や銀行名、口座番号や暗証番号などの情報を入力するように促しており、その指示に従って入力してしまうと……。

　これは実際に韓国で起こった事件です。

　日本でも警察などを名乗った人物からの電話で誘導される振り込め詐欺がありましたが、誘導先がATMではなく、偽サイトというのは、公共サービスでのインターネット利用が普及している韓国らしい事件と言えるかもしれません。しかし、日本でも近いうちにこのような詐欺が行われる可能性はないとは言えません。対岸の火事と思うことなく、とにかく「不意の電話」に対して、何を言われようとも常に冷静に対応することが必要でしょう。

　この韓国の事例も、電話で告げられた内容を鵜呑みにせずに、正しい検察庁のページにアクセスするなどして、改めて検察庁に事実関係を確認していれば、被害に遭わずに済んだはず。不意にギョッとするようなことを言われると、冷静な判断力を失ってしまうことを示す典型的な事例とも言えます。

　■URL
　デジタルタイムス（2011年1月19日付記事）
　走るボイスフィッシングの上に私は“サイトフィッシング”
　http://www.dt.co.kr/contents.html?article_no=2011011902019957741004

●「延坪島北朝鮮挑発ギャラリー」をDDoS攻撃した犯人は？

　北朝鮮による延坪島砲撃事件に絡んで、北朝鮮の対韓国窓口機関が運営するサイトが改ざんされたり、逆に「韓国の2ちゃんねる」に相当する巨大掲示板が北朝鮮発と思われるDDoS攻撃を受けたりといった事件が続いています。

　ところが、その「韓国版2ちゃんねる」の「延坪島北朝鮮挑発ギャラリー」（「ギャラリー」は2ちゃんねるの「板」に相当）が受けた DDoS攻撃が、実は北朝鮮からのものではなく、韓国ソウル在住の19歳（数え年）の男性による「自演」だったことが判明しました。

　彼は自作のDDoS攻撃用マルウェアを、他人のIDを使って有名ポータルサイトやブログを通じてばらまき、それに感染してボット化した255台のPCを使って攻撃を実行したのだそうです。

　動機は単なる好奇心と社会的関心を集めたかっただけ。北朝鮮のシンパだったわけではないそうです。

　事件発生当時の韓国メディアが事実関係を確認せずに北朝鮮からの攻撃と決めつけた報道をしていたことは、ある意味、イケイケの韓国らしいとも言えますが、同様の事件は今後も続きそうです。

　■URL
　デジタルタイムス（2011年1月30日付記事）
　延坪島北朝鮮挑発ギャラリーをDDoS攻撃した犯人は北朝鮮でなく我が国10代男性
　http://www.dt.co.kr/contents.html?article_no=2011013102010560746004

山賀 正人

セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。