海の向こうの“セキュリティ”

　6月のセキュリティ関連の話題と言えば、何と言ってもLinkedInのパスワード流出事件でしょう。ビジネスでの利用が主であるSNSで規模が大きかったこともあり、大きく報道されました。

■関連記事
　・米LinkedIn、パスワード約650万件が漏えいか～至急パスワード変更を
　　http://internet.watch.impress.co.jp/docs/news/20120607_538391.html
　・米LinkedIn「メールアドレス漏えいは確認できない」、PW変更をお願い
　　http://internet.watch.impress.co.jp/docs/news/20120608_538764.html
　・米LinkedInパスワード漏えい事件、「会員情報漏えいは確認されていない」
　　http://internet.watch.impress.co.jp/docs/news/20120611_539337.html

　また、「Stuxnet」に続き、「Flame」の開発にも米国とイスラエルが政府レベルで関与しているとの報道がありました。報道内容に対しては驚きよりも「やはり」との感想を抱く人の方が多かったせいか、さほど大きな話題にはならなかったようです。

　ほかには、FBIがおとり捜査のために用意した掲示板上で、盗んだカードなどの情報を売買していた24人が世界8カ国で一斉に摘発され、中には日本に居住していた者も含まれていたとの報道もありました。

■URL
　CIO Online（2012年6月21日付記事）
　【Washington Post報道】「Flame」マルウェアも米国とイスラエルが開発関与か
　対イラン秘密サイバー作戦の“武器”だったと匿名の関係者が語る
　http://www.ciojp.com/technology/n/28/12198

　一方、国内に目を向けると、DVDのリッピング違法化と違法ダウンロードの刑罰化を定めた改正著作権法が可決・成立したことは、注目すべき話題です。ただ、重大な法改正だったにもかかわらず、世間一般（メディア含む）の関心が少々低いように見受けられたのは気になります。

　むしろ、この話題そのものよりも、法改正への抗議を意図したAnonymousによるサイバー攻撃の方が大きな話題として扱われていたような印象があります。

■関連記事
　・10月1日からDVDリッピング違法化＆違法DL刑罰化、改正著作権法が可決・成立
　　http://internet.watch.impress.co.jp/docs/news/20120620_541251.html

　また、スマートフォン向けのウイルスによる国内初の摘発がありました。報道では「初」であることが若干強調されていたようです。

　ほかには、セキュリティの話題ではありませんが、ファーストサーバの障害については、クラウドの信頼性が問われる問題として大きな注目を集めました。データのバックアップのあり方を含め、今後のクラウドの利用形態に大きな影響を与える事件となったのではないでしょうか。

■URL
　時事ドットコム（2012年6月14日付記事）
　スマホ向けウイルス初摘発＝勝手にアダルトサイト請求画面に－IT会社役員ら逮捕
　http://www.jiji.com/jc/c?g=soc_30&k=2012061400118

■関連記事
　・ファーストサーバのレンタルサーバーに障害、ユーザーデータの消失も
　　http://internet.watch.impress.co.jp/docs/news/20120622_541894.html

　それでは今回は、スマートフォン関連の話題を中心に紹介します。

●位置だけでなく「行動」「状態」まで分かる位置情報サービス

　GPS機能付きケータイやスマートフォンの普及で、「位置情報」に基づいた情報サービスが一般的になりつつある中、単なる「位置」だけでなく、その時のユーザーの状態（ふるまい）まで認識できる技術を使ったモバイルアプリの開発環境が公開されました。

　これは、米Alohar Mobileによるもので、同社が特許出願中のセンシング技術をベースにしています。具体的には、GPS受信機とWi-Fiホットスポットの三角測量を使うだけでなく、加速度計とコンパスのようなセンサーや、「そのユーザーがどこにいることが多いか」といった統計データを使うことで、位置だけでなく、歩いているか、車に乗っているか、立っているか、座っているかなど、そのユーザーのさまざまな「状態」までも認識することができるそうです。

　技術的には確かに可能な話で、それ自体に驚きはありませんし、何らかの事故に遭った時などの非常事態において十分に役立つ技術ではあります。

　しかし、こうやってますます個人のプライバシーが携帯端末に蓄積されるようになり、それを（たとえユーザーの同意に基づくものであったとしても）第三者が利用（閲覧）できるようになることを「気味悪い（creepy）」と感じるのは、少なくとも現時点では少数派ではないと思えるだけに、この技術がどの程度普及するのかは分かりません。

■URL
　CNET News（2012年6月2日付記事）
　Cool or creepy? Alohar tracks your location, always
　http://news.cnet.com/8301-32973_3-57445927-296/cool-or-creepy-alohar-tracks-your-location-always/
　PCWorld（2012年6月2日付記事）
　Location Tracking of Mobile Devices Gets Really Nosy
　http://www.pcworld.com/article/256695/location_tracking_of_mobile_devices_gets_really_nosy.html

●「Google Bouncer」による不正アプリ自動検出に穴

　Google Play（旧Android Market）にアップロードされたアプリがマルウェアでないか自動的にスキャンする機能「Bouncer」による検知を回避して、不正アプリを配信できてしまうことを、ある研究者が実証したとの報道がありました。

　報道によると、セキュリティ企業Duo SecurityのCTOジョン・オーバーハイデ氏と、セキュリティ研究者のチャーリー・ミラー氏が、ニューヨークで開催されたセキュリティカンファレンス「SummerCon」で実証デモを行なったそうです。

　結果だけを聞いて「えっ？」となった人も、内容を知れば「なるほど、そりゃそうだ」と納得するはず。

　彼らはまず、あるアプリをGoogle Playにアップロードして、Bouncerがそのアプリをスキャンしている間にBouncerの仕組みを調べ上げました。その結果、Bouncerがある有名なエミュレーターを使って、その環境内で実際にアプリを実行させて怪しい動作をしないかどうかチェックしていることを突き止めたのです。

　後は簡単。そのエミュレーターのバグを使って検知を回避するという方法もありますが、一般的なPCのマルウェアと同様に、仮想マシン（エミュレーター）上で実行された場合には怪しい動きをしないようにプログラムすればいいだけ。最近のPC向けマルウェアが当たり前のように持っている検知回避機能の考え方をそのままAndroidアプリに導入しただけなので理屈としては単純です。また、その対策としては、エミュレーター環境を実際のスマートフォン環境に100％完全に見せかけることができればOKということになりますが、それは現実的にそう簡単ではないので、Googleが具体的にどのような対応をするのかは興味深いです。

　ちなみに、先の研究者らはすでにAndroidのセキュリティチームに情報を提供し、対応に協力しているそうです。

■URL
　SummerCon.org
　http://www.summercon.org/
　Informationweek（2012年6月7日付記事）
　Google Play Exploits Bypass Malware Checks
　http://www.informationweek.com/news/security/app-security/240001691

●韓国、スマホアプリ用プライバシーマーク導入へ

　韓国インターネット振興院（KISA）は、放送通信委員会による「安全な位置情報利用環境造成事業」の一環として、スマートフォン用個人情報保護マーク（プライバシーマーク）を開発すると発表しました。年末までに開発を完了し、試験運用の後、来年には本格的に運用を始めるとのことです。

　報道によると、該当アプリが個人情報保護法規を遵守しているかをKISAが綿密にチェックして、現在ウェブサイトに付与している「eプライバシー」マークと似た形態のアプリ個人情報保護マークを付与するというものです。

　考え方としてはアリだと思うのですが、単に「個人情報保護法規を遵守している」ことを保証するだけのプライバシーマークを、ユーザーが無条件に信頼してしまう危険性をはらんでいるように感じます。たとえ法規を遵守していても使い方によってはプライバシー侵害に繋がるアプリはいくらでもある（と思える）ので、そのあたりをどのように評価するのか、興味深く見守りたいです。

■URL
　etnews.com（2012年6月27日付記事、韓国語）
　スマートフォンアプリの「個人情報保護マーク」登場へ
　http://www.etnews.com/news/computing/security/2606734_1477.html

●韓国のセキュリティ人材事情

　韓国ではセキュリティ人材の流出が深刻化しているとの報道がありました。

　中小のセキュリティベンダーが2、3年かけて育成した人材が、より良い待遇を求めて大手に転職するというのは、韓国に限らず、どこの国にでもある「人材流出」であり、それ自体は「致し方ない」ものと言えるかもしれませんが、韓国の場合は、事情が少々違うようです。

　韓国におけるセキュリティ人材の流出は中小だけの問題ではなく、大企業でも状況は同じ。韓国におけるセキュリティ人材のキャリアパスとしては、中小セキュリティベンダー→大手セキュリティベンダー→金融業界・大企業・捜査機関といった流れがすでに一般化しており、毎年、年俸交渉の季節である年末年始には、セキュリティベンダーの経営陣が「今度は誰が出て行ってしまうのか」とヤキモキするという状況がすでに何年も繰り返されているのだそうです。

　韓国も昔は日本と同様の終身雇用制が一般的だったのですが、1990年代の通貨危機をきっかけに制度は崩壊、「契約社員」が一般化し、社会風土として転職に抵抗がなくなったことが、この問題の背景にはあります。

　確かにセキュリティ業界から見れば深刻な人材流出ですが、見方を変えれば、金融業界や大企業（非IT系）など、自らセキュリティ人材を育成することはできない（もしくは難しい）が、セキュリティ人材が必須である企業にセキュリティ人材が流れて行くというのは、社会全体で見ればむしろ「望ましい」ことのようにも思えます。

　実際に韓国では、この数年の間に大規模な情報流出事件を起こしてしまった企業などで、セキュリティ人材を大量に採用して「情報保護チーム」を編成するなどしていますし、民間企業だけでなく、捜査機関もサイバー捜査要員として民間で十分な経験を積んだ優秀なエンジニアを採用しています。

　このような状況を一歩引いた目で見れば、セキュリティベンダーに対しては、セキュリティ人材の育成機関としての役割が求められているとも解釈でき、その前提で、人材育成に対する社会全体としての何らかの「援助」「支援」が必要になって来ているとも言えます。単に国が支援するというのではない、民間を含めた支援体制が整備されれば、それは日本にとっても大いに参考になるのではないでしょうか。

■URL
　デジタルタイムス（2012年6月6日付記事、韓国語）
　保安業界核心人材離脱頭痛、上位圏業者で離職毎年繰り返し……処遇改善努力至急
　http://www.dt.co.kr/contents.html?article_no=2012060702011060785007