海の向こうの“セキュリティ”

　1月も何かとセキュリティ関連の話題に事欠かない1カ月でしたが、日本国内では、フィッシングを処罰対象とする不正アクセス禁止法改正案が警察庁によって取りまとめられた件や、ウイルス作成罪を適用した初めての逮捕者が出たといった話題がありました。

■関連記事
　・「フィッシング」を処罰対象に、警察庁が不正アクセス禁止法改正案
　　http://internet.watch.impress.co.jp/docs/news/20120124_507005.html
　・コンピューターウイルス作成罪を初適用、知人に送りつけた男を大阪府警が逮捕
　　http://internet.watch.impress.co.jp/docs/news/20120126_507599.html

　一方、海外に目を向けると、著作権侵害コンテンツへのアクセスを遮断することを定めた米国の法案「SOPA（Stop Online Piracy Act：オンライン海賊行為防止法案）」や「PIPA（The PROTECT IP Act：知的財産保護法案）」に反発したハクティビストらによる米国政府サイトなどに対するサイバー攻撃、さらにそこから飛び火して、すでに日本も調印している「ACTA（Anti Counterfeiting Trade Agreement：模倣品・海賊版拡散防止条約）」への調印を予定しているポーランド政府へのサイバー攻撃なども話題になりました。

■関連記事
　・米国議会、著作権保護法案「SOPA」「PIPA」の審議を延期
　　http://internet.watch.impress.co.jp/docs/news/20120123_506776.html

■URL
　エフセキュアブログ（2012年1月24日付記事）
　ポールポジション：アンチACTAハッカーがポーランドを攻撃
　http://blog.f-secure.jp/archives/50649910.html

　今回は韓国の話題を紹介します。

●韓国インターネット振興院、「悪性コード危険指数」を開発

　韓国インターネット振興院（KISA）は、成均館大学情報通信工学部との共同研究により、悪性コード（マルウェア）の類型と危険度を数値化する「悪性コード危険指数」を開発したと発表しました。

　これは、まず主に以下の項目から測定されます。カッコ内の数字は「重み」です。

　・感染経路（1.5）
　　・感染利用媒体（掲示板、ネットワーク、ウェブハードなど）
　　・感染類型（権限上昇、悪性ファイル直接受信など）
　　・使用者依存度（使用者直接命令など）
　・実行主体（1.5）
　　・ブート領域（BIOSなど）
　　・OS（OSレベルでのマルウェア自動実行など）
　・攻撃対象（3）
　　・使用者情報（使用者入力情報など）
　　・システム使用者（経済的損失など）
　　・外部装置（サービスサーバーなど）
　・攻撃行為（4）
　　・ネットワーク（情報流出、サーバーアクセス、大量トラフィックなど）
　　・システム（システム設定変更、強制システム制御など）
　　・ファイルシステム（ファイル作成、ファイル破壊など）
　　・プロセス（モニタリングなど）

　さらに伝播チャネルの個数やマルウェアの自己防御能力、潜在的リスクの度合いに重みを付け、KISAによる悪性コード脅威分析ツール（MTAS）を使って最終的な危険指数を導き出します。

　この方法で昨年3月に韓国で起きた大規模DDoS攻撃に用いられたマルウェアを分析すると、その危険指数は「254.7」。一般的なトロイの木馬が「168」、IRCボットが「178.6」だそうなので、それらと比べるとかなり高い値です。

　マルウェアの危険指数としては、ワクチンベンダーなどがそれぞれ独自の基準でレベル付けをしている場合もありますが、それらとは視点が異なり、この危険指数はインシデント対応に重点を置いて危険度を定量化している点が特徴だとしています。また、KISAは、今後登場する可能性のあるマルウェアの「予測」に活用したいとしています。

　確かに面白い研究だと思いますし、詳細を具体的に知りたいと思える部分もあります。また、まだそのマルウェアによる被害を全く受けていない者（管理者含む）にとっては「心の準備」にもなるかもしれません。が、実際にそのマルウェアに感染してしまい、インシデント対応しなければならなくなった者にとって役に立つ数値なのかと言われると、微妙です。

　インシデント対応が終わってしばらく経った後に、「あのときのマルウェアは危険指数○○で実際に大変だったねぇ」とか、逆に「○○でしかなかったのに大変だったよなぁ」と振り返る以外に使うことはないような気がするのです（苦笑）。

　ただ、KISAのサイトで公開されている研究報告書そのものを読むと、印象はガラッと変わります。韓国メディアの報道では「危険指数」だけが注目されていますが、そもそもこの研究の中心は、マルウェアの分類にあり、危険指数はその応用に過ぎません。要は、マルウェアの挙動・性質などを細かく分類することで、マルウェアの分析結果を共有しやすくしようというわけです。

　研究報告書をざっと見た限りでは、そのまま日本でも使える（意味がある）かどうか、確実なところは分かりませんでしたが、なかなか興味深い内容です。マルウェアの分析などを業務として行っているのであれば一読の価値はあるのではないでしょうか。ただ残念ながら英語で書かれているのは概要や目次などのごく一部だけで、具体的な部分は韓国語のみ。英訳版の公開を期待したいところです。

■URL
　デジタルタイムス（2012年1月8日付記事、韓国語）
　KISA‘悪性コード危険指数’開発
　ハッキング類型・危険も数値化……変動型ウイルスの予測に期待
　http://www.dt.co.kr/contents.html?article_no=2012010902010860785002
　韓国インターネット振興院研究報告（2011年12月30日、韓国語）
　悪性コード類似および変種類型予測方法研究
　http://www.kisa.or.kr/public/library/reportView.jsp?regno=018799

●韓国、機能不足のワクチンソフトが多数存在

　偽ワクチンソフトによる詐欺事件が世界的に多発し続けている中、韓国放送通信委員会と韓国インターネット振興院（KISA）がワクチンソフトの実態調査を行った結果を発表しました。

　それによると、77の業者による202のワクチンソフトのうち、半分以上の118（58％）が「性能未達」だったそうです。

　ここで「性能未達」とは、3000種のマルウェアのサンプルに対して、ワクチンとして機能したものが1000種に満たないものを指します。また、対応しているマルウェアが10種しかなかったワクチンソフトが82（41％）もあったそうです。

　他にも、正常なファイルをマルウェアと誤検知する製品が105（52％）もあり、2010年に同様の調査を206のワクチンソフトに対して行った際の27.7％と比べて2倍近くにも達しています。

　これらの結果を踏まえ、放送通信委員会は「不良ワクチン」を製造・販売している56の業者に対して調査結果を通知して改善を要請したそうです。また、同委員会の関係者は「不良業者のワクチンが大量に流通しているが、実態把握と対応が難しいので、放送通信委員会が直接規制できるように悪性プログラム拡散防止等に関する法律を制定する必要がある」としています。

　何かと規制が好きな韓国ですが、どんな規制があろうとも、いくらでもインターネット上で「性能未達ワクチンソフト」を流通させることは可能なので、規制に効果を期待するのは無理があるでしょう。それよりも（ワクチンソフトに限りませんが）インストールするソフトの選択を慎重に行うようにユーザーに啓発する方が遥かに重要です。

　ちなみに、今回の調査で「良かった点」もあります。

　2010年の調査では、2000種以上のマルウェアに対応しているワクチンソフトは17.5％（36）に過ぎませんでしたが、今回の調査では31.2％（63）に増えているそうです。これをもって性能が向上しているとは言いがたいですが。

■URL
　デジタルタイムス（2012年1月15日付記事、韓国語）
　正常プログラム―悪性コード変身、含有量未達ワクチン‘多数’
　http://www.dt.co.kr/contents.html?article_no=2012011602010631693001

●韓国、データベースセキュリティ認証制度導入へ

　韓国の文化体育観光部韓国DB振興院は、早ければ3月にも「データ保安認証制度（データベース認証制）」を施行する計画であることを発表しました。

　これには、2011年に韓国で相次いで発生したデータ流出事故（事件）の92％がデータベースのセキュリティ管理の不備に原因があったという背景があります。

　この認証制度は、企業や組織が管理するデータベースを評価し、データ流出の可能性を分析するもので、以下の項目を評価して4等級で認証します。

1）アクセス制御
　・アクセス制御ポリシーの作成
　・アクセス制御の設計
　・アクセス制御の導入
　・アクセス制御の操作

2）暗号化
　・暗号化ポリシーの作成
　・暗号化の設計
　・暗号化の構築
　・暗号化の運用

3）作業決裁（承認）
　・作業承認ポリシーの作成
　・作業承認手順の設計
　・作業承認手順の導入
　・作業承認手順の運用

4）脆弱性分析
　・脆弱性分析ポリシーの策定
　・脆弱性分析の設計
　・脆弱性分析の構築
　・脆弱性分析の操作

　韓国で昨年9月30日に施行された「個人情報保護法」を後押しする制度ですが、現在報道されている範囲の評価項目を見る限り、具体的な評価基準が分からないこともあって、これらの評価項目で高評価を得ることに果たして本当に意味があるのか疑問を感じます。

　あくまでまだ案の段階ですが、これで3月から導入とは「イケイケ韓国」らしいとは言え、「もうちょっと慎重に検討した方がいいんじゃないの?」と言いたくなります。

■URL
　電子新聞（2012年1月17日付記事、韓国語）
　DB保安認証制、今年導入
　http://www.etnews.com/201201170187