海の向こうの“セキュリティ”

　Googleの中国撤退の話題が大きく報道された3月ですが、今回は毎年恒例の「Pwn2Own」の話題と、韓国で続けざまに発生した個人情報の大規模流出に関する話題を紹介します。

●「CanSecWest 2010」で今年もクラッキングコンテスト「Pwn2Own」

　CanSecWestの11回目となる年次会合「CanSecWest Vancouver 2010」が3月24日から26日までカナダのバンクーバーで開催されました。

◆CanSecWest
http://cansecwest.com/

◆Pwn2Own 2010
http://dvlabs.tippingpoint.com/blog/2010/02/15/pwn2own-2010

　今回も、いわゆる「クラッキングコンテスト」である「Pwn2Own」が3日間行われました。昨年に引き続き、Webブラウザーと携帯電話を対象としています。

• Webブラウザー：IE8（IE7）、Firefox 3、Google Chrome 4、Safari 4
  
• 携帯電話：iPhone、BlackBerry、Nokia（Symbian）、Nexus One（Android）
  

　ちなみに昨年は、Google Chrome以外のブラウザーすべてで初日にクラッキングに成功しましたが、携帯電話は最後まで1つも成功せずに終わりました。

 

　今年もクジで決まった順番に従い、1スロット30分間でコンテストが始まりました。クジの模様を映した動画がブログで公開されていますが、そこで使われている曲がRick Astleyの1987年のヒット曲「Never Gonna Give You Up」なのは、この数年来流行っている（？）「Rickroll」といういたずらネタから来ているんでしょう（笑）。

　結論から言えば、iPhoneのクラッキングに成功したことを除けば、昨年とほぼ同じ結果でした。初日にほぼ片がついてしまい、ブラウザーはGoogle Chrome以外のすべてで成功。一方、携帯電話はiPhone以外で成功したものはありませんでした。

　ただ、昨年は全く成功しなかった携帯電話の、それも特に人気の高いiPhoneのクラッキングに成功したことは、当然ながら「大きな問題」として受け止められ、世界中の多くのメディアがセンセーショナルに報道しました。

　また、IE8についても、Windows 7の2大セキュリティ機能、DEP（Data Execution Prevention）とASLR（Address Space Layout Randomization）を回避する方法が使われたことから、IT系のメディアを中心に大きく報道されたようです。

　参考までに、今回クラッキングに成功したメンツの中で、SafariをクラッキングしたCharlie Miller氏は、一昨年も昨年もMacの攻略に成功した人物。また、Firefoxを攻略した「Nils」氏は、昨年もFirefoxのクラッキングに成功した人物です。

　このように「いつものメンツ」が活躍するのは、お祭りとしては悪くないのですが、少々物足りなさも感じます。また、コンテスト参加者がさほど多くないのも残念。来年はもっと多くの参加者、もっと新しい顔ぶれでの「お祭り」になることを期待します。

◆InfoWorld（2010年3月25日付記事）
Pwn2Own: Hacker busts IE8 on Windows 7 in 2 minutes
http://www.infoworld.com/d/security-central/pwn2own-hacker-busts-ie8-windows-7-in-2-minutes-815?source=rss_infoworld_news

◆Apple World（2010年3月26日付記事）
Dispatches from Pwn2Own
http://www.apple-world.info/dispatches-from-pwn2own/

●韓国で個人情報の大規模流出が続発

　2008年にAuctionの1081万人、GS Caltexの1119万人という2つの大規模な個人情報流出が発生した韓国ですが、再び大規模な流出が立て続けに発覚しました。

　3月9日、大田（テジョン）警察は、有名デパートのサイトなどから盗まれた650万人の個人情報を販売した容疑者を逮捕したと発表しました。

　この容疑者は昨年11月、デパートや賭博サイトなど複数のサイトから何らかの方法で盗み出された個人情報（ID、パスワード、氏名、住民登録番号、メールアドレス、電話番号など）650万件を、中国のネット犯罪者らから70万ウォンで購入し、それを韓国内のインターネットポータルサイトなどを通じて4人に転売、600万ウォンを手に入れていたそうです。

◆ZDNet Korea（2010年3月9日付記事）
有名デパート650万人個人情報流出（韓国語）
http://www.zdnet.co.kr/Contents/2010/03/09/zdnet20100309191730.htm

◆保安ニュース（2010年3月10日付記事）
650万人個人情報不法流通の被疑者検挙（韓国語）
http://www.boannews.com/media/view.asp?idx=19820

◆デジタルデイリー（2010年3月10日付記事）
650万人個人情報流出～市中流通（韓国語）
http://www.ddaily.co.kr/news/news_view.php?uid=60565

　次に3月11日、仁川（インチョン）警察は、同じく有名デパートのサイトなどから盗まれた2000万件もの個人情報を販売した容疑者3名を逮捕したと発表しました。

　この容疑者は、昨年11月から100万ウォンを中国のネット犯罪者らに支払い、韓国国内の25カ所のサイトから盗まれた個人情報2000万件を購入、インターネットを介して知り合った人々に1億5000万ウォンで転売したそうです。2000万件には重複もあるようですが、それでも個人情報流出の被害者は1500万人を超えるものと見られています。いずれにせよ、これは2008年に発生したAuctionやGS Caltexでの流出規模を超える規模です。

◆デジタルデイリー（2010年3月12日付記事）
2000万件個人情報流出～史上最大（韓国語）
http://www.ddaily.co.kr/news/news_view.php?uid=60671

◆アイニュース24（2010年3月12日付記事）
個人情報2000万件流通摘発（韓国語）
http://itnews.inews24.com/php/news_view.php?g_menu=020300&g_serial=480218

◆etnews.co.kr（2010年3月16日付記事）
2000万件顧客情報流出、中国ハッカーの仕業（韓国語）
http://www.etnews.co.kr/news/detail.html?portal=001_00001&id=201003160304

　さらに3月16日、ソウル警察は、15カ所のサイトから盗まれた1000万件の個人情報を転売するなどして、1000万ウォンを不正に手に入れた容疑者を逮捕したと発表しました。この容疑者はネット上で「44カ所から盗んだ3100万件の個人情報を販売する」と謳っていたようです。

　これら3つの事件はいずれも、中国のネット犯罪者らが何らかの方法で韓国のサイトから個人情報を盗み出し、それを韓国人が購入・転売したというものであり、被害を受けたサイトにも、流出した個人情報にもかなり重複があったようです。つまり、実質的には1つの事件と言っても過言ではありません。

　また、このような個人情報を中国のネット犯罪者らから購入すること自体は特に難しいものではなく、中国国内の朝鮮族の人々が作ったと見られる韓国語のサイトで、韓国のサイトから盗んだ個人情報が韓国人向けに売られており、誰でも購入できるようになっているのだそうです。ほかにも韓国人向けに、迷惑メール配信やDDoS攻撃を代行したり、依頼に基づき韓国のサイトに侵入して情報を盗み出したりする業者などが中国には当たり前のように存在しているとの報道もありました。

　中国から韓国のサイトが攻撃される事例は以前から数多くありましたが、ここまで大規模な事件が立て続けに明らかになったのは初めてのことでしょう。

　一方、上記3件の事件に関しては、3つの警察がそれぞれ自らの功績をアピールすることに汲々とするあまり、個人情報を流出させられた被害者の保護が後回しにされているとの指摘もあります。3つの事件には互いに重複があることから、1つの事件として3者が協力して捜査にあたり、被害状況の確認を行なうべきなのに、それが全くできていないというのです。ありがちな話です。

◆デジタルタイムス（2010年3月10日付記事）
ハッキング代行など「サイバー威嚇」請負業者頭をもたげる、個人情報販売越えてハッキング代行まで～企業化傾向（韓国語）
http://www.dt.co.kr/contents.html?article_no=2010031102010151739001

◆etnews.co.kr（2010年3月15日付記事）
中国ハッカー、韓国Webサイトは遊び場！（韓国語）
http://www.etnews.co.kr/news/detail.html?id=201003150224

◆デジタルタイムス（2010年3月17日付記事）
警察は情報流出事件の実績積むことに汲々、地方庁ら犯人検挙先を争って発表～事件重複・被害者保護は後回し（韓国語）
http://www.dt.co.kr/contents.html?article_no=2010031802010351739002

　このような中、昨年4月に発生した51万件の個人情報流出事件に関して、顧客情報の保護義務をおろそかにしたとの容疑で、当該業者2社が起訴されたとの報道もありました。これは、韓国でも初めてのことであり、上記3件の大規模情報流出の捜査に影響を与えることは必至と見られています。

◆etnews.co.kr（2010年3月16日付記事）
個人情報流出インターネット業者、初めての刑事処罰（韓国語）
http://www.etnews.co.kr/news/detail.html?id=201003160301

　また、3月17日には韓国放送通信委員会が、個人情報保護関連法規に違反した482事業者に対して、4月30日までに是正するよう命令を下しました。これらの事業者のうち、個人情報収集時同意義務違反は210事業者、取り扱い方針公開義務違反は363事業者、個人情報に対する保安措置義務違反は399事業者、2つ以上の重複違反は331事業者に上りました。今回、是正命令を受けた事業者の名前は公表されませんでしたが、再度違反が発覚した場合は名前が公表されるそうです。

　このような法的な縛りで、今回のような大規模流出が確実に防げるわけではありませんが、それでも多少は改善されるのではないかと期待したいところです。

◆デジタルデイリー（2010年3月18日付記事）
放送通信委員会、個人情報保護法規違反482事業者に是正命令（韓国語）
http://www.ddaily.co.kr/news/news_view.php?uid=60904

　それにしても、今回の一連の事件は流出の規模が大きすぎて、もはや驚くというレベルを超えていますが、韓国国内の空気も冷めているようです。これには、本連載の第41回で紹介したAuction事件の被害者らによる損害賠償請求が裁判で棄却されたことも関連しているようで、2年前のAuctionやGS Caltexの事件当時に比べると「盛り上がり」はほとんどないようです。熱しやすく冷めやすい国民性もあるかもしれませんが、最近の韓国世論の傾向からすると、少々意外な反応ではあります。

　ちなみに、Auctionの事件については、これまで被害者数が1081万人と言われていましたが、データ転送の中継点に使われたサーバーを調査した結果、さらに782万人の被害者があったことが判明しました。これにより、Auctionの情報流出事件の被害者は合計1863万人に及んでいたことになります。ここまでの規模になると、数が大きすぎて、もはやピンと来ません（苦笑）。

◆アイニュース24（2010年3月25日付記事）
警察「オークション個人情報流通事例は発見できていない」、中間サーバー分析か～782万人の追加データ確認（韓国語）
http://itnews.inews24.com/php/news_view.php?g_serial=482619&g_menu=020300

◆アイニュース24（2010年3月26日付記事）
オークション個人情報流出「ぬるい後暴風」、相次いだ流出事故～鈍感になった保安意識原因（韓国語）
http://itnews.inews24.com/php/news_view.php?g_serial=482787&g_menu=020300