海の向こうの“セキュリティ”

第41回:クライアント証明書をハードディスクに保存してはダメ? ほか


 1月は、Googleに対するサイバー攻撃の話題や「いわゆるGumblar(ガンブラー)」の感染拡大とそれに伴うWeb改ざんの多発など、セキュリティ関連の話題に事欠かない1カ月でしたが、今回は目先を変えて韓国の話題をいくつか紹介します。

韓国、オークション顧客情報漏えい事件のその後

 2008年2月に発生した韓国の大手インターネットショッピングモール「Auction」の顧客情報漏えい事件を覚えている方も少なくないと思いますが、その後の話題を紹介します。

 当時、1081万人(韓国国民の5分の1以上)もの個人情報が漏えいしたということで日本でも大きく報道され、Auction側の顧客への告知の遅れなど対応の悪さが批判を受けました。

 そのようなこともあり、顧客らによる損害賠償請求の裁判は大規模なものとなり、原告は約14万5000人、請求額の合計は約1570億ウォン(約120億円、1人あたり平均8万円)にも上りました。もちろん韓国でも過去最大規模です。また、今回の裁判ではAuctionだけでなく、Auctionのセキュリティを担当していたセキュリティベンダー「インフォセック」の責任も問われており、今後の個人情報漏えい事故関連の裁判に与える影響も大きいことから、裁判の行方が注目を集めていました。

 ただし今回のケースは、1人あたりの賠償金額で見れば過去の韓国の判例(日本円で1万円から7万円程度)と比較して極端に高額ではなく、ポイントは「人数の多さ」と「セキュリティベンダーの責任の有無」にあったようです。

 1月14日、この裁判の第一審となる裁判が結審。ソウル中央地方民事合議21部は、原告側敗訴の判決を下しました。端的に言えば、Auction側に一切の非はないというのです。

 この裁判で、原告側が主張していたAuction側の問題点は次の通りです。


  • 電子メール管理サーバーが外部に露出していた
  • 保安装備であるWebファイアウォールを導入していなかった
  • 個人情報を暗号化していなかった
  • サーバー管理者のアカウント管理がずさんだった など

 これらの点に対して、裁判所は原告側の主張を棄却する理由として以下のように述べています。

  • 電子メール管理サーバーは多くの企業が外部に置いている
  • Webファイアウォールは選択可能な保安装置であって法的な義務事項ではない
  • 住民登録番号暗号化措置は今年から義務化されるもので当時は義務事項ではなかった

 法律の専門家ではなく、日本で生活している一技術者としての正直な感想を言えば、上記の棄却理由には疑問を感じざるを得ません。この程度の理由で事業者側の責任が「全く問われない」のはいかがなものかと思います。

 

 事実、これまでの同様の事例では概ね原告側の主張が認められていたことから、今回の裁判でも原告側の意識は「勝訴は当然。ポイントは賠償金額がどうなるか」にあったようです。そのため原告側の落胆は大きく、また、控訴するにしても再び裁判費用を出さねばならないことから、控訴するかどうかは(本稿執筆時点では)見えていない状況です。

 この判決に対する声は当然ながら大きく、Auctionは顧客に対して4万4000ウォン(約3500円)相当の有料ワクチンソフトを「慰謝料」として無償で配布することを決めたようです。ちなみに韓国では個人ユーザー向けのワクチンソフトのほとんどが無料なので、今回無償配布するワクチンソフトは、普通の個人ユーザーが使わないような「高級品」ということになります。

 一方、今回の判決の背景には、韓国ではこのようなセキュリティインシデントが年間約5000件以上発生しているにもかかわらず、自ら公表した企業がほとんどないという問題が関係しているのではないかとの指摘があります。

 確かにAuctionは顧客への告知が大幅に遅れたことで批判を受けましたが、それでも告知・公表しただけでも韓国では珍しいことであり、その点が裁判において「Auctionはやるべきことをやった」と示す結果になったようなのです。そこで、今回の判決を好意的に見る向きからは、これによりインシデント発生を隠さず、公表するようになるのではと期待する声も上がっています。

 もちろんその一方で、今回の判決が企業側を免責するものになりかねないと危惧する声もあり、あらためて現在国会で審議中の個人情報保護法の制定を急ぐべきとの意見が強まっています。

 なお、Auctionの事件があった2008年は、秋にGS Caltexでも同様の事件が発生し、こちらはAuctionの1081万人を超える1119万人の個人情報が漏えいしました。この件に関する裁判の結果にも今回の判決が影響を与えることは必至でしょう。

アイニュース24(2010年1月14日付記事)
http://itnews.inews24.com/php/news_view.php?g_serial=469875&g_menu=020200

ZDNet Korea(2010年1月14日付記事)
http://www.zdnet.co.kr/Contents/2010/01/14/zdnet20100114121503.htm

ZDNet Korea(2010年1月14日付記事)
http://www.zdnet.co.kr/Contents/2010/01/14/zdnet20100114112614.htm

etnews.co.kr(2010年1月15日付記事)
http://www.etnews.co.kr/news/detail.html?id=201001140232

アイニュース24(2010年1月25日付記事)
http://itnews.inews24.com/php/news_view.php?g_serial=471706&g_menu=020300

関連記事
 ・第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
  http://internet.watch.impress.co.jp/static/column/security/2008/10/08/index.htm

韓国、OTP統合認証センター活動実績

 インターネットバンキングが普及している韓国では、高額の取り引きにOTP(One Time Password:使い捨てパスワード)の利用が義務化されており、OTP生成業務を管理するOTP認証センターとして、韓国内の多くの金融機関で共通して利用できる「一回用秘密番号 (OTP)統合認証センター」が2007年から公的機関として設けられています。その活動実績が発表されました。

 発表時点(2010年1月18日)での加入金融機関は合計61。内訳は銀行が19、証券が37、その他が5。

 2009年1年間に発行されたOTPは105万9454件。2009年末時点での累積利用者数は343万3275人。

 利用登録者数は2009年の1年間で急増しているそうで、同センターを運営している金融保安研究院は「今後1、2年のうちに500万以上のOTPが電子金融に使われるだろう」としています。

 短い準備期間でいつもの韓国らしい「イケイケドンドン」で設立された同センターですが、想像よりは「ちゃんと」運用されているようですね。

アイニュース24(2010年1月18日付記事)
http://itnews.inews24.com/php/news_view.php?g_serial=470455&g_menu=020200

関連記事
 ・第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
  http://internet.watch.impress.co.jp/static/column/security/2007/07/11/index.htm

クライアント証明書をハードディスクに保存してはダメ?

 またまた「イケイケ」の韓国らしい話題です。

 韓国では、主にインターネットバンキングで利用される公認認証書(クライアント証明書)のハードディスクへの保存を禁止するとの政府方針が波紋を呼んでいます。

 韓国行政安全部は1月19日、「安全な公認認証書の利用方法」を確立するために、KISA(インターネット振興院)や金融業界らと対策会議を行う計画であることを明らかにしました。報道によると、公認認証書をハードディスクに保存すると外部から盗まれる危険性が高くなるので、ハードディスクに保存できないようにすればよい、そのためにはどんな方法があるか、またどうすればセキュリティと利便性の両方を保てるかを議論するのだそうです。

 昨年9月、政府は、ハードディスクではなくUSBメモリーに保存すべきとの考えを推し進める計画だったそうですが、金融業界などからの反発が大きかったため、あらためて関係者との議論を経てから、ということになったのだそうです。つまり、本来「ハードディスク保存禁止」はあくまで「安全な公認認証書の利用方法」の一例に過ぎないはずなのですが、明らかに「ハードディスク保存禁止」ありきで議論が進められるということです。

 常識的に考えて、ハードディスク保存を禁止しても、何も問題が解決しないことは明らかです。なぜこのような考えが出てくるのか不思議でなりません。

 当然ながら韓国でも反発の声が上がっており、ハードディスク保存禁止の前に、そもそも金融決済院が発行する公認認証書がActiveXを前提にしていることの方が問題だとの指摘がなされています。

 韓国ではほとんど(95%以上と言われている)のWebサイトがActiveXを使っていることもあり、金融決済院も当たり前のようにActiveXを採用しています。しかし、ActiveXについてはセキュリティ上の問題を指摘する声は多く、今回もこの点が問題視されています。

 しかし、ActiveXのセキュリティ上の問題を抜きにしても、公的機関の発行する証明書が特定のベンダーの技術に依存し過ぎていること自体も問題です。これもまた、Windowsで構築されたシステムが大多数を占めている「韓国インターネットの問題点」の1つと言えます。もちろん、Windowsに依存した公的機関のシステムという点では日本も大して変わらないとも言えますが。

 果たして、今回の件がどのような展開を見せるか、これまでの「イケイケ韓国」らしく、合理的な裏付けのない突拍子のない法律が作られるのではないかと、ある意味で「ワクワク」して状況を見守っています。

アイニュース24(2010年1月19日付記事)
http://itnews.inews24.com/php/news_view.php?g_serial=470722&g_menu=020200

アイニュース24(2010年1月20日付記事)
http://itnews.inews24.com/php/news_view.php?g_serial=471021&g_menu=020200


2010/2/4 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。