海の向こうの“セキュリティ”

　本連載のテーマからは外れますが、まず最初に、前回の記事に関連した国内の話題を簡単に。

　野田首相に対する問責決議で国会が空転し、世間の目が民主党と自民党の党首選に向いている隙を狙ったかのように、8月31日、「ACTA（Anti Counterfeiting Trade Agreement：模倣品・海賊版拡散防止条約）」が衆議院外務委員会で承認されてしまいました。今回も大手メディアは完全無視。玄葉外相らはネットの規制強化は「誤解」と強調していますが、そもそも誤解が生まれるような曖昧さのある（拡大解釈が可能な）条約を締結すること自体がおかしいですし、誤解の生まれないような内容に修正し、国民に十分な説明をしてからが筋というもの。確かに、日本ではACTAに記された規制に関して法整備がほぼ済んでいる状態なので、今さら批准しようがしまいがどうでもいいと言えばどうでもいいのかもしれません。それでも、ごたごたにまぎれ、野党委員が欠席したまま、与党委員だけで採決が行なわれる異常ぶりには恐怖しか感じません。

■関連記事
　・衆議院外務委員会が「ACTA」承認、ネット規制強化は「誤解」と繰り返し否定
　　http://internet.watch.impress.co.jp/docs/news/20120831_556512.html

●サイバー犯罪対策、現在のコストのかけ方は極めて非効率的？

　「サイバー犯罪のコスト」には、実際の被害金額（≒犯罪者の収入）といった直接的な損失だけでなく、被害を受けた企業や組織の信用失墜などの間接的な損失をはじめ、防御にかかるコストなど、さまざまなものが含まれるため、全体の数字を見積もるのは、容易なことではありません。

　そのような中、イギリス国防省の支援の下、イギリスやドイツ、オランダ、アメリカの大学の研究者らによる、サイバー犯罪によって社会全体が負うコストを分析した論文が「Bloomberg Businessweek」で紹介されています。

　この論文は、今年6月にドイツ・ベルリンで開催された、情報セキュリティの総合的研究に関するフォーラム「WEIS（Workshop on the Economics of Information Security）」の年次会合「WEIS 2012」で発表されたもの。WEISの会合で発表される内容は、技術のみならず、経済学や社会科学、ビジネス、法律などのさまざまな分野にまたがっています。

　この論文では、コストに含まれるものを図1のように分類してます。

図1　サイバー犯罪のコストに含まれる項目（講演資料より）

　各々の項目をフィッシングの場合に当てはめると、具体的には図2のような内容になります。

図2　フィッシング詐欺のコストの内容（講演資料より）

　コストをこのように定義した上で、実際の被害（主にイギリスの事例）をもとに全世界のコスト（年間あたり）を見積もっています。

　数値の算出方法の詳細については論文を参照していただくとして、この論文では、現在のコストのかけ方はサイバー犯罪対策としては「極めて非効率的（extremely inefficient）」であると結論付けています。その上で、サイバー犯罪の被害を受けないようにアンチウイルスやファイアウォールなどの防御を導入することに汲々とするよりも、サイバー犯罪者を捕まえて牢屋に送り込むといった事後対応にもっと力を入れるべきであるとしています。

　「サイバー犯罪者を捕まえて牢屋に送り込む」というのは司法機関がやることなので、それは置いておくとして、どんなに対策しても100％の安全はありえないので、事後対応を速やかに、かつ適切に行なえるように準備しておくべきというのは至極まっとうな当たり前の結論。結局のところ、当たり前の結論を導くためにわざわざ手間をかけて数字を出しただけとも言えますが、その「当たり前のこと」を理解できない経営層に説明する資料としては、「使える」かもしれません。

　ただ、見積値の算出方法の有効性については、論文を読む限りではよく分かりませんでした（苦笑）。

　ちなみに、この論文で提示されている全世界のコスト見積は以下の通り。

サイバー犯罪による被害額（≒犯罪者の直接収入）
・偽アンチウイルスソフト　9700万ドル
・「ナイジェリア詐欺」などの前金詐欺（Advanced Fee Fraud） 10億ドル
・マルウェアによるオンラインバンキング詐欺　3億7000万ドル
・フィッシングによるオンラインバンキング詐欺　3億2000万ドル
など

防御にかかるコスト
・銀行による対策　10億ドル
・アンチウイルス　34億ドル
・脆弱性に対するパッチ適用　10億ドル
・企業の防御対策　100億ドル
など

被害後のコスト
・法執行機関によるコスト　4億ドル
・ISPによるクリーンアップ　4000万ドル
・ユーザーによるクリーンアップ　100億ドル
など

　上記以外の数値は論文を参照してください。

■URL
　Bloomberg Businessweek（2012年8月2日付記事）
　The Cost of Cyber Crime
　http://www.businessweek.com/articles/2012-08-02/the-cost-of-cyber-crime
　Measuring the Cost of Cybercrime（論文、PDF）
　http://weis2012.econinfosec.org/papers/Anderson_WEIS2012.pdf
　Measuring the Cost of Cybercrime（講演資料、PDF）
　http://weis2012.econinfosec.org/presentation/Moore_presentation_WEIS2012.pdf

■関連記事
　・第47回：プライバシーにまつわる矛盾、非実在美女にご注意!!　ほか
　　http://internet.watch.impress.co.jp/docs/column/security/20100802_384602.html

●エフセキュア2012年上半期脅威レポート

　エフセキュアが2012年上半期脅威レポートを公開しました。このレポートでは、Zeus/SpyeyeやFlashback、Blackholeなどのケーススタディに多くのページが割かれています。今回はこの中で「Mobile Threats」のケーススタディを中心に紹介します。

　まず、Android系のデバイスに対する脅威として注目すべきは、ドライブバイダウンロードを使ったAndroidマルウェアが初めて見つかったという点。ドライブバイダウンロードは、パソコンに対するマルウェア感染手法としては一般的ですが、モバイル系端末に対してはこれまで見つかっていなかったのです。この「Trojan-Proxy:Android/NotCompatible.A」と名付けられたマルウェアは、一般的なAndroidマルウェアとは異なり、個人情報を盗んだり、勝手にメッセージを送ったりといったことはせず、ボットとして機能するのが特徴的です。このあたりもパソコンのマルウェアに近いと言えるかもしれません。

　2012年第2四半期（4～6月）に、Android系デバイスに対する脅威を、エフセキュアの検知システムで調べた結果を国別にまとめたのが図3です。韓国が多数を占めているのは納得ですが、その後に続くのがオランダと南アフリカというのは意外です。

図3　Android系デバイスに対する脅威の国別内訳（「F-Secure Threat Report H1 2012」より）

　また、同じAndroid系に対するマルウェアでも地域ごとに違いがあり、例えば中国では「プレミアムSMS送信プログラム」が多くを占めているのに対し、スペインでは銀行関連のものがメインなのだそうです。

　ちなみに、Androidの陰に隠れがちですが、Symbianをターゲットとしたマルウェアもまだまだ健在であることも紹介されています。

　他にも、モバイル系の話題ではありませんが、ユーザーのデータを「人質」にとってデータ回復のために金銭を要求する、いわゆる「ランサムウェア（ransomware）」について、以前はその被害が主にロシアだったのに対し、最近はヨーロッパ各国に被害が広がっていることが紹介されています。図4は「Reveton」というランサムウェアの広まりを国別に示した図です。

図4　ランサムウェア被害の国別内訳（「F-Secure Threat Report H1 2012」より）

■URL
　F-Secure Threat Report H1 2012（PDF）
　http://www.f-secure.com/static/doc/labs_global/Research/Threat_Report_H1_2012.pdf
　エフセキュアブログ（2012年8月21日付記事）
　ダウンロード：脅威レポート H1 2012
　http://blog.f-secure.jp/archives/50676640.html

●脆弱性に対してソフトウェア開発者を告訴すべきか？

　製品の欠陥が原因で発生した被害に対して、メーカー側が責任を負うというのは、例えば日本では「製造物責任法（PL法）」で定められているなど、世界的にも当たり前のことですが、これがソフトウェアとなると責任が完全に放棄されているというのも、世界的に当たり前のことになっています。もちろん、これは一般的にソフトウェアの使用許諾契約（EULA）に責任を負わないことが明記されているからですが、それだけで利用者が完全に納得できるかというと、それはなかなか難しいでしょう。

　このような状況に、ケンブリッジ大学のセキュリティ研究者であるリチャード・クレイトン博士が、回避可能なセキュリティ欠陥によって発生した損害に対してメーカーに責任を負わせるべきとの声を上げているとの報道がありました。

　この手の議論はこれまでも何度もあり、実際に法制化の動きがなかったわけではありませんし、個別の案件ではメーカーが損害賠償を支払ったケースもあったようです。しかし、結局、法制化にまで至らなかったのは、責任の所在（回避可能性など）を特定することが「一般的に」難しいことや、損害賠償額がソフトウェアメーカー1社でカバーし切れないほど莫大になる可能性もあることなどが原因とされています。

　被害を受けた原因が、十分な動作確認（脆弱性検査含む）も行なわずに、いい加減なプログラミングで作られたソフトウェアと知れば、利用者がメーカーを訴えたくなるのは当然ですし、今回のクレイトン博士の主張も、その内容自体はこれまで散々言われて来た意見と特に違いがあるわけではありません。

　しかし、コンピューターと家電の境界が曖昧になり、スマートフォンの性能がますますパソコンに近づいていく中で、メーカー側の責任を問う声が大きくなるのは当然の流れ。今の「責任完全放棄」がいつまでも通用するとは思えません。

　その一方、「ではどうすればいいのか？」という疑問に対して、明確な解を誰も持ち合わせていないのも事実。消費者団体などの第三者機関による脆弱性診断を受けたソフトウェアには「安全保証マーク」を付けると言った、従来の考えに基づいた案もありますが、これも現実的ではありません。市場に出回っているソフトウェアのすべてを診断するには莫大なコストがかかりますし、たとえそれだけのコストをかけたとしても、そもそも複雑かつ巨大化したソフトウェアの脆弱性をすべて見つけ出すことなど到底不可能です。また、オープンソースのように「コミュニティ」によって開発されているものに対しては誰が責任を負うのかといった問題もあります。

　結局のところ、クレイトン博士の今回の主張は、それなりに問題提起にはなりましたが、今のところはこれまでの議論を蒸し返しただけで、何か目に見える形での新たな進展があったわけではないようです。

　現時点では、JPCERT/CCなどが行なっているように、「セキュアなコーディング」をソフトウェア開発者に対して地道に啓発して行く以外にないように思います。

■URL
　TechRepublic（2012年8月23日付記事）
　Should developers be sued for security holes?
　http://www.techrepublic.com/blog/european-technology/should-developers-be-sued-for-security-holes/1109