海の向こうの“セキュリティ”

第73回:韓国「インターネット実名制」への違憲判決に伴う動き ほか


 日中関係の悪化に伴ってサイバー攻撃が多発し、Internet Explorer(IE)の未修整の脆弱性を使った標的型攻撃が確認されたりと、9月はセキュリティ関連の話題にこと欠かず、多くのセキュリティ関係者は対応に苦労されたのではないかと思います。また、IEに対する緊急のセキュリティ更新プログラムが日本時間で土曜日の未明に公開されたために、週末を潰されてしまった方も少なくないでしょう。

 その一方で、発売開始されたばかりのiPhone 5が早速Jailbreakされた話題や、これまでマルウェアの感染が少ない「安全な国」と言われていた日本で、「ZeroAccess」への感染が米国に次いで世界第2位となる1万件を超えているとの話題もありました。

URL
 RBB TODAY(2012年9月20日付記事)
 サイバー攻撃:尖閣問題に関連したとみられるサイバー攻撃、約300の日本の組織が対象に……警察庁
 http://www.rbbtoday.com/article/2012/09/20/94689.html
 JPCERT/CC Alert 2012-09-20
 2012年9月 Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
 https://www.jpcert.or.jp/at/2012/at120030.html
 TechCrunch(2012年9月22日付記事)
 iPhone 5 Jailbroken According To iOS Hacker @chpwn
 http://techcrunch.com/2012/09/22/iphone-5-jailbroken-according-to-ios-hacker-chpwn/
 エフセキュアブログ(2012年9月24日付記事)
 日本は今でも安全な国か?
 http://blog.f-secure.jp/archives/50680035.html

東欧と東アジアの攻撃者およびその攻撃手法の比較

 トレンドマイクロのサイバーセキュリティ担当副社長トム・ケラーマン氏によるレポート「ピョートル大帝 vs. 孫子(Peter the Great Versus Sun Tzu)」を紹介します。

 これは最近の攻撃者らの攻撃手法などを、東欧と東アジアで比較したレポートです。ただし、注意すべきは、レポート内ではっきりと限定はされていないものの、このレポートにおける「東欧」「東アジア」とは、それぞれ主にロシア (旧ソ連圏) と中国を指しており、必ずしもすべての東欧諸国や東アジア諸国が対象となっているわけではないという点です。特に「東アジア」に日本が含まれていないのは明らかでしょう。

 レポートの結論は以下の6点。

・より洗練されたマルウェア
東欧の攻撃者は特注の複雑なマルウェアを使うのに対し、東アジアは粘着的だが、既成のマルウェアと単純なテクニックを使う。

・より洗練されたインフラ
東欧は独自に構築したインフラを使うことが多く、外部リソースを使う場合も注意深く選んだ(さまざまな意味で)堅牢な(bulletproof)ホスティング会社を使うが、東アジアは多数のホスティングを行なっている安価で簡単に使えるプロバイダーを使う。

・傭兵部隊 vs. 組織化された歩兵
東欧は、独立した小規模のプロ専門チームで、都度雇われ、自分たちの活動に対して直接利益を得ている「傭兵部隊」。一方、東アジアは、スポンサーとなる大きな組織の指示の下に動く(大きめの)部署(部隊)に属する「歩兵」。

・顕著に異なる対象
盗む対象は、東欧では認証情報、東アジアでは機微な企業情報。

・評判が大事
東欧では個人の能力に対する評判が仕事のオファーの有無を左右するが、東アジアではスポンサーの援助があるので個人の評判はさほど重要ではない。

・検知が困難
東欧では、攻撃者同士の競争が厳しいので、自らの評判を高め、それを維持するために自らの活動をカモフラージュすることに手間暇をかける。東アジアではただの1歩兵に過ぎないという自覚があるので侵入行為の発覚をさほど気にしない。

 簡単に言えば、東欧の攻撃者らの手法の方が洗練されていて技術的にレベルが高く、そこには攻撃者らの背景の違いが大きくかかわっているということのようです。確かに、歴史的・文化的な背景から考えても「さもありなん」と思える内容ではあります。

 しかし、東アジアが東欧に比べて技術的にレベルが低いとは言っても、それをもって東アジアからの攻撃は気にしなくてもいいと言っているわけではないことに注意が必要です。東アジアからの攻撃は粘着的で「穴」を執拗に探してそこを責めてくるわけですから、技術的に防ぐことが可能な攻撃でも、「抜け」や「漏れ」があれば、やられてしまうわけです。言うまでもなく、引き続き注意は必要です。

URL
 Peter the Great Versus Sun Tzu(PDF)
 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/spotlight-articles/op_kellermann_peter-the-great-vs-sun-tzu.pdf
 SecurityWeek.Com(2012年9月18日付記事)
 Report Examines Eastern European Hackers Vs. East Asian Hackers
 http://www.securityweek.com/report-examines-eastern-european-hackers-vs-east-asian-hackers
 ウォール・ストリート・ジャーナル(2012年9月19日付記事)
 東欧のハッカー、アジアよりも洗練されている=トレンドマイクロ
 http://jp.wsj.com/World/Europe/node_514919

韓国「インターネット実名制」への違憲判決に伴う動き

 韓国のインターネットと言えば、特に詳しい人でなくても、いわゆる「インターネット実名制」は知っているのではないかと思います。

 ただし、韓国の「インターネット実名制」とは、常に実名で書き込みを行うことを義務化するものではなく、利用者の多い掲示板やポータルサイトなどを対象に、ユーザー登録の際に本人確認を厳密に行うことを義務付けるというもので、「制限的本人確認制」とも呼ばれています。

 この制度は、有名芸能人がインターネット上の誹謗中傷により自殺した事件を直接のきっかけに、悪質な書き込みを防ぐことを目的として 2007年に導入されたのですが、実際には施行後も悪質な書き込みが減ることはなく、この制度によって義務化された個人情報の収集が、大量の個人情報流出事故・事件の原因になっているとの指摘もあり、制度の有効性が疑問視されていました。

 そのような中、8月23日、韓国の憲法裁判所が、同制度に対して違憲判決を下しました。

 施行から5年も経っての判決にいろいろ疑問は感じますが、今回の判決の背景には、住民登録番号が大量に流出してしまっている今となっては、偽称は容易で、本人の識別が難しく、インターネット実名制に実効性がないという判断があったようです。

 これにより、いわゆる「インターネット実名制」は廃止の方向で法改正が行なわれることになりました。

 さて、この違憲判決で「実名制」が完全になくなるとかと言うと、事はそう簡単ではありません。すでにこの連載でも紹介した、子供たちの深夜のオンラインゲーム利用を禁止する「シャットダウン制」をはじめ、実名登録を義務付けた規制が他にもあるからです。

 その中で特に韓国で問題となっているのは公職選挙法。

 今回、違憲判決が出た「インターネット実名制」が施行される前から、韓国では世論形成に強い影響を与える報道機関が運営する掲示板で、選挙時期に選挙に関する書き込みを行なう場合には実名での本人確認が義務付けられていたのです。

 この制度に対しては、当然ながら表現の自由を奪うものとして反対意見が多く、すでに2回、憲法審査にかけられていますが、2回とも憲法裁判所は合憲の判決を出しているのです。

 しかし、すでにTwitterやFacebookなどの海外企業であるために本人確認を義務付けられていないSNSで情報交換や世論形成が行なわれている今となっては、韓国国内企業のみを対象とした規制に意味がないことは明らか。それゆえに「インターネット実名制」が違憲と判断されたとも言えることから、公職選挙法における実名制も廃止に向かうのではないかとみられています。

 どの国の為政者も一度は考えるであろう「インターネット実名制」。世界に先駆けて導入した韓国による「実験」は、こうして終焉を迎えることになりました。

URL
 国立国会図書館 外国の立法 No.227(2006年2月)
 韓国の公職選挙法におけるインターネット関連規定(PDF)
 http://www.ndl.go.jp/jp/data/publication/legis/227/022706.pdf
 韓国公職選挙法上のインターネット選挙掲示板実名制に関する憲法的小考(PDF)
 http://www.ritsumei.ac.jp/acd/cg/law/lex/06-5/hwang.pdf
 聯合ニュース(2012年8月23日付記事)
 インターネット実名制に憲法裁判所が「違憲」=韓国
 http://japanese.yonhapnews.co.kr/society/2012/08/23/0800000000AJP20120823004400882.HTML
 KBS World(2012年8月24日付記事)
 インターネット実名制に違憲判決 憲法裁判所
 http://world.kbs.co.kr/japanese/news/news_Dm_detail.htm?No=44994
 中央日報(2012年8月24日付記事)
 【社説】インターネット実名制違憲、自浄機能回復の契機に=韓国
 http://japanese.joins.com/article/150/158150.html
 KBS World(2012年8月27日付記事)
 第215話 インターネット実名制度が違憲、今後は?
 http://world.kbs.co.kr/japanese/program/program_aunt_detail.htm?No=425

関連記事
 ・第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
  http://internet.watch.impress.co.jp/static/column/security/2007/03/06/
 ・第49回:韓国インターネット実名制が個人情報流出の主犯? ほか
  http://internet.watch.impress.co.jp/docs/column/security/20101007_398483.html
 ・第54回:韓国オンラインゲーム「シャットダウン制」導入へ ほか
  http://internet.watch.impress.co.jp/docs/column/security/20110307_431186.html
 ・第64回:韓国、子供たちを対象としたオンラインゲーム規制のその後
  http://internet.watch.impress.co.jp/docs/column/security/20120105_502564.html
 ・第68回:韓国、住民登録番号の収集が原則禁止に ほか
  http://internet.watch.impress.co.jp/docs/column/security/20120507_530953.html

韓国の大規模個人情報流出は国家安全保障の脅威

 これまでにも韓国では大規模な個人情報流出事件が何度も起きていますが、これが国家安全保障の脅威になる可能性があるとの報道がありました。

 今回報道されたのは、あくまで仮想のシナリオに過ぎませんが、それなりに現実味があります。

 紹介されているのは、流出した個人情報に含まれている住所が軍の宿舎など軍関連施設になっている者をピックアップすることで軍関係者を割り出し、その携帯電話に侵入して緊急時の連絡システムを無力化するというシナリオ。

 昨年、韓国で施行された個人情報保護法により、住民番号、パスポート番号、運転免許証番号などの主要識別番号は暗号化やマスキングなどで必ず保護するよう義務付けられていますが、その義務から外れている住所と電話番号は平文で漏れてしまっている場合が多いことから、住所に基づいた軍関係者の割り出しと電話番号の抽出は十分に可能なわけです。

 これに対して国防省の関係者は、「個人情報の流出を懸念し、数年前に加入書類の作成時に詳細な個人情報は記載しない方向にルールが変わった」としていますが、それでも結局のところは「個人の携帯電話の加入まで軍が管理することはできないので、個々人の注意が必要」としか言えないのが現実。

 韓国の場合は北朝鮮という実在する敵国(現在は休戦中)があることから、これは切迫した問題ですが、同じことは日本にも言えます。防衛省関係に限らず、官舎に住んでいる公務員は、一般国民以上に個人情報の扱いに慎重を期する必要があるでしょう。

URL
 etnews(2012年9月20日付記事、韓国語)
 流出した個人情報、国家安保威嚇することも……
 http://www.etnews.com/news/computing/security/2650284_1477.html


2012/10/4 06:00


山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。