海の向こうの“セキュリティ”

第60回:韓国、金融機関のITセキュリティ担当者「5%ルール」 ほか


 8月のセキュリティの話題と言えば、何と言ってもApache Killerでしょう。これまでにもApacheの深刻な脆弱性が公開されたことはありましたが、今回のような「誰でも使える攻撃ツール」が脆弱性の修正前に大々的に公開されてしまったのは極めて珍しいと言えます。実際にこれを使ったと思われる攻撃も発生しており、対応に追われた方も多いでしょうし、この記事が掲載される、今この瞬間も対応中の方は少なくないでしょう。

 一方、毎年夏に開催されるクラッキングコンテスト「DEFCON CTF」に、今年は「日本人グループ」として初めてsutegoma2が参加しました。本戦は残念な結果に終わりましたが、予選を2位で通過したことは日本の存在を強くアピールできたのではないかと思います。4月に韓国で行なわれた「CODEGATE」でも予選を1位で通過、本戦では惜しくも入賞は逃しましたが4位と健闘したsutegoma2の今後のさらなる活躍に期待するとともに、国を挙げてバックアップしている韓国レベルとまでは言わないまでも、「十分な支援」を安定的に得られるようにできないものかと願ってやみません。

関連記事
 ・第56回:韓国で「CODEGATE 2011」開催 ほか
  http://internet.watch.impress.co.jp/docs/column/security/20110509_444199.html

 では、今回はいくつかの小ネタをまとめて紹介します。

マルウェア感染Androidアプリ、6月までに400個

 モバイルセキュリティの専門業者である米Lookoutが、Androidフォンなどのモバイル端末に対する脅威についてまとめた報告書を発表しました。

 これは、70万を超えるスマートフォンアプリ(AndroidおよびiPhone)のデータベースと1000万以上のLookoutユーザーからなる「Lookout Mobile Threat Network」から収集したデータを分析した結果をまとめたものです。

 それによると、今年初めに比べて7月の時点でマルウェアに感染する確率が2.5倍に高まり、しかも今年の上半期だけで50万台から100万台のAndroidフォンがマルウェアに感染したのだそうです。

 さらにマルウェアに感染した(マルウェアが含まれている)Androidアプリの数が1月の時点では80個だったものが、6月には400個にまで増えていたそうです(図1参照)。

図1:マルウェアに感染したAndroidアプリの数

 また、国や地域ごとのマルウェア感染率を示したのが図2です。

図2:国・地域ごとのモバイルマルウェア感染率

 報告書の内容自体はセキュリティ屋から見ると特に目新しいものはないのですが、さまざまな話題(ネタ)を広く紹介していますので、スマートフォンのセキュリティをこれから勉強しようという人にとっては、まとめて読める「いい資料」でしょう。

URL
 Lookout Mobile Security
 Mobile Threat Report
 https://www.mylookout.com/mobile-threat-report
 CNET News(2011年8月2日付記事)
 Android users twice as likely to see malware than six months ago
 http://news.cnet.com/8301-27080_3-20087265-245/android-users-twice-as-likely-to-see-malware-than-six-months-ago/

米NIST、国家サイバーセキュリティ教育戦略計画「NICE」の草案を発表

 NIST(National Institute of Standards and Technology:米国標準技術局)は、米国全体のセキュリティレベル向上を目的とした「国家サイバーセキュリティ教育戦略計画(NICE=National Initiative for Cybersecurity Education Strategic Plan)」の草案を発表しました。現在はパブリックコメントを受け付けている段階です(締め切りは9月12日)。

 NICEは以下の3つを目標に掲げています。

  1)オンライン活動の危険性に対する米国一般大衆の意識の向上
  2)サイバーセキュアな国家を支える有能な人材プールの拡大
  3)最高の国際競争力を持つサイバーセキュリティ人材の育成と維持

 この中で2)と3)に関しては、まずK-12(幼稚園から高校までの12年間)における科学(Science)、技術(Technology)、工学(Engineering)、数学(Mathematics)(=STEM)教育を改善し、数学的(論理的)思考の重要性を強調するとしています。

 また、コンピューター技術やセキュリティ関連の学位の量と質を高め、大学院レベルのサイバーセキュリティ研究開発に対しては助成金(奨学金など)を出すなどの計画が含まれています。さらにそのような人材の能力を発展・維持させるためにサイバーセキュリティに関する資格認定やライセンスの適用なども検討されているようです。

 なお、NICEには国土安全保障省(DHS)、教育省(DoED)、全米科学財団(NSF)、国防総省(DoD)などが参画しています。

 次世代の若手人材育成に関心のある者としては非常に興味深い内容なのですが、長期計画の大まかな「絵」に過ぎないので具体性がなく、ただ「夢」が書かれているだけなので、現時点では実現可能性はよく分かりません。

 それでも、まずは「夢」でも語らないことには始まりませんし、このような、はっきり言ってしまえば「ノーテンキ」な夢を語れるだけでも羨ましく感じます。

 少なくとも理系離れが問題視されている日本でも同じような国家戦略をまずは「語る=発信する」ところから始めないといけないのかもしれません。ちなみにお隣の韓国は国としてこの草案に注目しているようです。

URL
 The National Initiative for Cybersecurity Education(NICE)
 http://csrc.nist.gov/nice/
 National Initiative for Cybersecurity Education Strategic Plan(Draft)
 http://csrc.nist.gov/nice/documents/nicestratplan/Draft_NICE-Strategic-Plan_Aug2011.pdf
 Government Computer News(2011年8月12日付記事)
 Can the nation get smart about cybersecurity?
 http://gcn.com/articles/2011/08/12/nice-plan-for-cybersecurity-awareness-education.aspx
 デジタルタイムス(2011年8月23日付記事、韓国語)
 米、サイバーセキュリティ人材養成で大きい絵を用意
 NICE戦略草案発表…国内も汎政府次元の対策至急
 http://www.dt.co.kr/contents.html?article_no=2011082402011160746002

韓国の話題

 久しぶりに韓国の話題を簡単に紹介します。

1)金融機関のITセキュリティ担当者「5%ルール」

 今年に入って現代キャピタルや農協などの金融機関が攻撃を受けて顧客情報が盗まれたり、システム障害を起こされたりといった事件がありましたが、これに対して韓国政府が金融機関のIT予算や人材に関するガイドラインを法制化することにしたとの報道がありました。これまでは監督省庁である金融監督院の勧告にとどまっていたものを、さらに強化した内容にした上で強制化するというわけです。

 内容の大半はごく当たり前のもので特に気になるところはなかったのですが、唯一、目を奪われたのが「5%ルール」。

 改正案では、金融機関のIT部門スタッフは総従業員数の5%以上、情報保護担当者はIT部門担当者の5%以上を確保せよというのです。

 ある程度の人数を用意することを必須にするのはいいのですが、「5%」という数字の根拠がどこにあるのかは不明ですし、感覚的にもピンと来るような来ないような「微妙な」数字です(苦笑)。

URL
 デジタルタイムス(2011年8月9日付記事、韓国語)
 金融会社のITセキュリティ人材“5%ルール”適用
 http://www.dt.co.kr/contents.html?article_no=2011081002010557741004

2)韓国国内のマルウェア配布サイト

 今年の3月にも大規模なDDoS攻撃が起きた韓国では、DDoS攻撃に使われるボット感染PC(韓国ではゾンビPCと呼ばれる)対策として「ゾンビPC防止法」の制定に向けた動きが進んでいます。

 そのような中、アンラボは韓国国内のマルウェア配布サイトについての調査結果を発表しました。これによると、韓国内でアクセス数の多い上位500のウェブサイトのうち、半分以上の272サイト(54.4%)がマルウェア配布サイトであることが分かりました。

 また、韓国ではマルウェアの配布にウェブハードと呼ばれるオンラインストレージサービスが使われることが多いのですが、これについて韓国インターネット振興院(KISA)が調査結果を発表しました。それによると、1カ月間、毎週末に韓国国内のウェブハード業者をモニタリングした結果、金曜の夜から日曜の明け方までの間に平均10以上のウェブハードサイトがマルウェアの配布に悪用されていたのだそうです。

 ウェブハードについてはどれくらいのユーザー数の業者に対する調査で、母数がどれくらいかは分からないのですが、アクセス数の多いサイトに関してはシャレにならない多さですね。

URL
 電子新聞(2011年8月9日付記事、韓国語)
 [火曜企画]“ゾンビPCあなたを狙う”
 http://www.etnews.com/201108080020

3)クライアント証明書の紛失届出は118番に

 韓国インターネット振興院(KISA)が、インシデントをはじめとするインターネットに関する相談を受け付けている電話番号118番で、今度はクライアント証明書の紛失届出も受け付けるようになるそうです。

 これにより、韓国の5つの証明書発行機関(韓国情報認証、コスコム、金融決済院、韓国電子認証、韓国貿易情報通信)が発行した証明書であれば24時間365日、いつでも電話1本で証明書を失効することができるようになります。また、特徴としては5つのどの機関から発行されたものかが不明であってもOKであるという点が挙げられます。

 これは確かに便利です。ただ、5つの機関の連携における個人情報の管理に若干の不安を感じてしまいます。

URL
 保安ニュース(2011年8月30日付記事、韓国語)
 公認認証書の紛失申告が容易に...電話一本で終わり!
 KISA、公認認証5機関の紛失申告業務協約締結
 http://www.boannews.com/media/view.asp?idx=27470

4)韓国、スマートフォン用独自OSの開発へ

 最後に、セキュリティの話題ではないのですが、興味深い話題があったので紹介します。

 携帯電話やスマートフォンに関して国際的に大きなシェアを誇っている韓国ですが、韓国メーカーのスマートフォンの多くは、OSとしてAndroidが使われています。

 そのような中、韓国では政府とサムスン電子、LG電子などがコンソーシアムを作り、AppleやGoogleに対抗できる韓国型「モバイルウェブOS」を独自開発するとの報道がありました。

 サムスンではすでに独自OSとして「パダ(=海)」を開発していますが、そのようなクローズなものではなく、Androidのようなオープンなものを開発し、国際的に広めようというわけです。

 今のところ、HTML5を基盤にし、かつOSをクライアントではなくサーバーに設置してネットワーク接続して使う方式が検討されているようです。

 話としては面白いんですが、どういうOSが開発され、どういう展開を見せるのか今の時点では全く分からないので、取りあえずは生温かく見守りたいと思います。

 個人的な趣味で言えば、Linuxベースなら「もういいや」ですけどね(苦笑)。

URL
 デジタルタイムス(2011年8月22日付記事、韓国語)
 韓国型“モバイル ウェブOS”作る
 政府・サムスン・LGなどコンソーシアム構成…韓国型モバイルウェブOS推進
 http://www.dt.co.kr/contents.html?article_no=2011082302010151614002


2011/9/5 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。