海の向こうの“セキュリティ”

　今回は韓国特集です。

●韓国警察、Google Koreaを電撃家宅捜索

　今年5月、Googleがストリートビュー撮影専用車で「意図せず」Wi-Fi無線LANネットワークの情報を収集していたことを認め、謝罪したことが話題になりましたが、その件に関して韓国で大きな動きがありました。

　韓国の警察庁サイバーテロ対応センターは8月10日、通信秘密保護法および情報通信網法違反の容疑でソウル江南（カンナム）区の駅三洞（ヨクサムドン）にあるGoogle Koreaのオフィスを家宅捜索し、関連資料を押収したと発表しました。

　すでに韓国放送通信委員会も独自に調査をしていたようですが、警察が本格的に捜査に入ったことから経過を見守ることにしたとの声明を発表しています。

　ちなみに韓国ではストリートビューのサービスは開始しておらず、その準備段階にありました。

　今回の電撃的な家宅捜索には、かねてより欧米をはじめ世界各国でプライバシー侵害が問題視されていたストリートビューに対して、韓国当局も以前から関心を持っていたという背景があったようです。

　韓国警察は、Googleによって収集された個人情報がどの程度の内容と量で、Google側にどの程度の故意性があったのかがポイントであるとしています。これに対しGoogle Koreaは、あくまで収集したのはミスであり、意図はなかったとしており、警察の捜査には積極的に協力するとしています。

　なお、収集されたデータ自体は米国のGoogle本社のサーバーにあるため、警察は当該データの提出を本社に要請する予定とのことです。また、データは莫大な量に及ぶと見られ、その分析には相当の時間がかかるだろうとしています。

　ところで、ストリートビューに関しては世界各国で問題になっていますが、警察当局がここまで強硬な姿勢で「電撃的に」捜査に出たのは珍しいと言えます。本稿執筆時点で、その後についての報道はありませんが、今後「イケイケ」の韓国でどのような展開を見せるか気になるところです。

■URL
　警察、グーグルコリア電撃押収捜索
　通信秘密保護法違反容疑…“Wi-Fi情報無断収集”
　（「アイニュース24」2010年8月10日付記事）
　http://itnews.inews24.com/php/news_view.php?g_menu=020300&g_serial=509324
　グーグルコリア押収捜索、どうなるのか？
　警察、本社データ要求するよう…グーグル“積極的に協力”
　（「アイニュース24」2010年8月11日付記事）
　http://itnews.inews24.com/php/news_view.php?g_serial=509526&g_menu=020300
　Google offices raided by Korean police
　（「BBC News」2010年8月10日付記事）
　http://www.bbc.co.uk/news/technology-10924682
　Korea Must Secure Its WiFi Networks
　（「朝鮮日報英語版」2010年8月12日付記事）
　http://english.chosun.com/site/data/html_dir/2010/08/12/2010081201046.html

■関連記事
　・Google、Wi-Fiの通信内容を「意図せず」収集～謝罪して運用を停止（2010/5/17）
　　http://internet.watch.impress.co.jp/docs/news/20100517_367555.html

●無線LANアクセスポイントに関するガイドライン策定へ

　無線LANに関して、またまた韓国らしい「イケイケ」のガイドラインが検討されているようです。

　放送通信委員会と関連業界は8月25日、政府が公衆無線LANのネットワーク識別システム（SSID）、ユーザー認証、セキュリティ設定などを網羅した無線LAN統合管理に関するガイドラインの策定に取りかかったことを明らかにしました。

　このガイドラインの目的は、利用可能な無線ネットワークの一覧から、信用できるアクセスポイントとそうでないものを利用者が識別できるようにすることで、偽アクセスポイントによる盗聴などの事故を防ぐというもの。

　具体的には、SSIDの文字列を、以下の点が識別・判断できるようなアルファベットと数字の組み合わせで構成するといった内容が含まれます。

　1）公共か私設か
　2）アクセスポイントの管理主体の固有名称
　3）有料か無料か

　例えば、図書館で提供する公共無料無線LANならば、「SSID-Public_Lib_xxx」と言った文字列にするというわけです。

　また、韓国政府はこのガイドラインとともに、全国の公共施設の無線LANに関する会員管理システムと認証情報の統合管理についても検討を始めることを明らかにしました。これにより、統合IDとパスワードなどの標準化された利用システムを通じて韓国国内どこでも同じように無線LANサービスを利用できるようになるとしています。

　さて、公共施設の無線LANに関する管理システムの統合化は良いのですが、SSIDの構成文字列を決めることで「偽アクセスポイント」を使った事故を防げるという発想は意味が全く分かりません。偽物が本物のようなSSIDを名乗ってしまえばいいだけで、むしろ偽物におびき寄せやすくするだけでしょう。

　SSIDの件はあくまでガイドラインの一部に過ぎないのでしょうし、事故防止という点では、ユーザー認証やセキュリティ設定の方がメインなのだと思いますが、わざわざSSIDの件がクローズアップされてしまっているところに疑問を感じます。

　今年の5月にドイツで、無線LANのアクセスポイントにセキュリティ設定を施さなかった設置者に対し、管理義務を怠ったとして有罪判決が下されたケースがありました。今回のガイドライン策定には、このドイツの事例を念頭に、ユーザー認証やセキュリティ設定に何らかの基準や規定を定める意図があるのではないかと思われます。SSIDの件は「おまけ」だと信じたいです（苦笑）。

■URL
　政府、偽物無線APハッキング事故防ぐ
　（「etnews.co.kr」2010年8月26日付記事）
　http://www.etnews.co.kr/news/detail.html?id=201008250181
　［社説］無線APセキュリティさらに強化しなさい
　（「etnews.co.kr」2010年8月27日付記事）
　http://www.etnews.co.kr/news/detail.html?id=201008260170

■関連記事
　・海の向こうの“セキュリティ”第45回
　　「無線LAN設置者にパスワード設定の義務あり」ドイツで判決　ほか（2010/6/2）
　　http://internet.watch.impress.co.jp/docs/column/security/20100602_371506.html

●公認認証書制度改正案

　韓国ではオンラインバンキングの利用に際して公認認証書（クライアント証明書）の利用が義務付けられていますが、その制度の改正案が発表されました。

　韓国行政安全部は8月10日、公認認証制度の安全性強化を目的とした電子署名法改正案を発表しました。今回の改正案によって何が変わり、何が強化されるのか、代表的なポイントを紹介します。

1）公認認証書加入者身分変動時の公認認証書廃止義務規定を新設

　現在の電子署名法では、加入者の死亡や失踪、法人の解散などを公認認証機関が知った場合に認証書が失効します。しかし、こういった加入者の状態の変更について公認認証機関が知るまでは有効なままであるため、その間は不正な利用が可能であるという問題がありました。

　今回の改正案では、公認認証機関が行政情報を国家機関から提供してもらい、失効理由が発生するとすぐに失効できるようにしています。

2）公認認証書有効性リアルタイム確認義務化

　現在、金融機関以外の多くの公認認証サービス利用業者は、公認認証機関に対して顧客の公認認証書の有効性をリアルタイムで確認していません。そのため、実際には認証書が失効していても有効であると見なされて正常に使えてしまう場合があります。

　そこで改正案では、認証書の有効性をリアルタイムで確認することを義務化するとしています。

3）公認認証書の種類多様化

　現在の公認認証書は1種類ですが、IT環境の変化に対応し、利用分野を拡大することを目的に、改正案では本人確認用、電子決済用、保安用の3種類を設けることにしています。

　まず「電子決済用」は文字通り、電子決済に用いるもの。また「本人確認用」は小・中・高校生などの単なる本人確認用で電子署名機能が除かれています。最後に「保安用」は高いセキュリティレベルが要求されるもので指紋などによる認証を追加することができます。

4）公認認証書用ソフトウェア審査評価義務化

　現行法では、公認認証機関が開発した公認認証書用ソフトウェアはセキュリティを担保するために適合性審査が義務付けられていますが、一般の業者が開発したソフトウェアには規定がありませんでした。そこで改正案では一般業者が開発した公認認証書用ソフトウェアに対しても審査を義務付けています。

　他にも改正点はありますが、今回は主に「そんなことも決まっていなかったの？」というものを中心に挙げてみました。

■URL
　新しい公認認証書、どのように変わるか
　公認認証書3種で多様化、安全性・信頼性↑
　（「アイニュース24」2010年8月10日付記事）
　http://itnews.inews24.com/php/news_view.php?g_serial=509220&g_menu=020200

●韓国でも著作権法改正で「ダウンロード違法化」へ

　日本では2010年1月1日に施行された改正著作権法により、違法ファイルと知りながらダウンロードする行為が違法と見なされるようになりました。

　一方、日本に比べて著作権に関する意識が低いと言われる韓国でも、日本と同じような「ダウンロード違法化」を盛り込んだ著作権法改正案が議決されました。

　韓国政府は8月16日、イ・ミョンバク大統領主催の閣僚会議において、著作権が侵害された複製物であることを知りながら複製する行為に対して民事上の処罰の対象とできるとする著作権法改正案を審議、議決しました。

　ただし、著作権に対する国民的認識がまだ低い状況であることから、罰金や拘束などの刑事処罰は今回の改正案から除外されています。

　「知りながら」を証明することが実際には甚だ難しい点など、概ね日本と同じようです。

■URL
　不法複製物ダウンロードだけでも弁償
　（「etnews.co.kr」2010年8月17日付記事）
　http://www.etnews.co.kr/news/detail.html?id=201008160107

■関連記事
　・ダウンロード違法化、どこまで合法？　福井弁護士に聞く（2010/1/8）
　　http://internet.watch.impress.co.jp/docs/special/20100108_340934.html

●韓国ではいまだにIE6が主流、シェア40％

　韓国ではオンラインバンキングをはじめ、ウェブサービスの多くがActiveX、つまりMicrosoft Windowsを前提に構築されています。特にIE6でなければ正しく利用できないサイトも珍しくなく、そのため韓国におけるIE6の使用率は他の国に比べて極端に高いことが知られています。その点について韓国では「インターネット強国として恥ずかしい」との問題提起がなされています。

　韓国の報道ではMicrosoftの調査結果を引用していますが、それとは別に今年の6月1日に、米国のアクセス解析調査会社StatCounterが発表したデータでもほぼ同じ結果が出ています。StatCounterが発表した今年の5月の時点での使用率をまとめると以下のようになっています。

　IE6のシェアが大きいアジア全体と比較しても、韓国におけるIE6のシェア40％は異常に高いことが分かります。

　ActiveXなどという特定ベンダーの特定技術を「標準」と見なして積極的に導入をすすめた「イケイケ」韓国政府の失策がこんなところにも如実に現れています。

　それでも、ここに中国のデータを加えると、韓国の方がマシに見えて来ます（苦笑）。

■URL
　最先端ネチズン、ブラウザーは10年前バージョン、なぜ？
　（「etnews.co.kr」2010年8月30日付記事）
　http://www.etnews.co.kr/news/detail.html?&id=201008270121
　StatCounter Global Stats
　Top 12 Browser Versions in South Korea from May 09 to May 10
　http://gs.statcounter.com/#browser_version-KR-monthly-200905-201005
　StatCounter Global Stats
　Top 12 Browser Versions in Japan from May 09 to May 10
　http://gs.statcounter.com/#browser_version-JP-monthly-200905-201005
　StatCounter Global Stats
　Top 12 Browser Versions from May 09 to May 10
　http://gs.statcounter.com/#browser_version-ww-monthly-200905-201005

■関連記事
　・IE6のシェアが欧米で初めて5％を切る、日本では8％台（2010/6/2）
　　http://internet.watch.impress.co.jp/docs/news/20100602_371617.html