米英IT担当者の64％が脅威を経営陣に報告しないとの調査結果　ほか

　9月も引き続き米NSAの盗聴問題に関連したさまざまな話題が世界各国で報道されました。そんな中、ブラジルのハクティビストがNASAのサイトをNSAと勘違いして攻撃したとの報道や、Linus Torvalds氏がかつて米国政府からLinuxにバックドアを仕掛けるように要請されたことがあったことを「暗に認めた」との話題は一種の「面白ネタ」として広まりました。

　また、より身近な話題としては、Microsoft Internet Explorerの未公開の脆弱性を悪用したゼロデイ攻撃、しかも日本の組織を対象とした攻撃が確認されたとの報道があったほか、発売されたばかりのiPhone 5sの指紋認証を複製した指紋で突破する様子を示す動画が公開されるなどしました。

ENISA、2013年中期のセキュリティ脅威状況報告

　ENISA（European Network and Information Security Agency：欧州ネットワーク情報セキュリティ庁）がセキュリティ脅威に関する2013年中期の状況に関する簡単なレポートを公開しました。

　脅威のトップ5は2012年の状況と変わらない（図1参照）ものの、全体としていくつかの注目すべきポイントを挙げています。

図1　ENISAが上位に挙げた脅威

• 攻撃元を辿れないように、かつテイクダウンされにくくするため、匿名化技術やP2Pのような分散技術が使われている。
• モバイルおよびSNSへの脅威が増大している。
• マルウェアや攻撃用ツール、サービスが一般消費者向けに提供され、サイバー犯罪を実行する際の敷居が低くなっている。

　また、個々の脅威についても最近の傾向を紹介しています。

［Drive-by-exploits］
　マルウェアの配布手段として、ボットネットから「malicious URL」へのシフトが見られる。Javaが最大の攻撃対象である状況に変化はない。

［ボットネット］
　テイクダウンが難しいP2P型のボットネットが増えている。また、Torをベースにしたボットネットも観測されている。

［DoS］
　昔ながらのDNSリフレクション攻撃が流行している。

［偽セキュリティソフト］
　Androidを対象としたものが増加している。

［標的型攻撃］
　モバイルデバイスが対象になってきている。

［アカウント窃取］
　モバイルデバイス向けで2要素認証を狙ったトロイの木馬による金融詐欺が目立っている。また、SNSアカウントを盗むことを目的としたブラウザーの拡張機能の登録が増えてきている。

［検索エンジンポイズニング］
　かなり減ってきており、その原因としてはGoogleによる対策が功を奏している可能性がある。その一方で、モバイルデバイス向けのアプリにポイズニングを行うものが見つかっている。

　特に意外な内容ではありませんが、全5ページで簡潔にまとまっています。セキュリティ脅威に関する資料を作成する際の参考資料にはちょうど良いでしょう。

米英IT担当者の64％が脅威を経営陣に報告しないとの調査結果

　米TripwireとPonemonは、米英のITセキュリティにかかわる各分野のプロ（担当者）に対して行なったセキュリティマネジメントに関する調査の結果を公開しました。

　この調査は、ITセキュリティやIT運用、ITリスク管理、事業運営、コンプライアンス／内部監査、全社的リスク管理といった分野のプロ1320名（米：749名、英：571名）を対象に行われています。

　調査結果は以下の通り。

• セキュリティリスクについて経営陣とのコミュニケーションはない、または深刻なセキュリティリスクが明らかになったときのみ行なっている――64％
• セキュリティリスクの管理と経営との間の連携は乏しいか、全くない、または敵対している――47％
• 関連のあるセキュリティリスクを経営陣に報告・相談しても意味がない――51％

　また、「意味がない」理由として以下の4点が挙げられています。

• コミュニケーションがあまりに「サイロ化」している――68％
• コミュニケ―ションのレベルががあまりに低い――61％
• 情報が技術的過ぎて非技術者であるマネジメント層が理解できない――61％
• ネガティブな事実は上級管理者やCEOに明かされる前にフィルタリングされてしまう――59％

　上記に並べた結果だけを見ると、残念な結果としか言えませんが、「現実にはこんなものだろうな」と感じている人は少なくない、というよりも「ウチと同じだ」と思われている方も多いのではないでしょうか。

　しかし、だからと言ってこのままで良いわけではありません。非常に厳しい言い方をすれば、「努力が足りない」と言われても仕方のないケースもあるように思います。特に「情報が技術的過ぎて非技術者であるマネジメント層が理解できない」というのは、心情としてはもちろん理解できますが、それを言い訳にしてはいけません。そもそも企業や組織内でITセキュリティに携わる者として、現場の技術的な話を経営陣が分かる言葉に「翻訳」するのは必須の義務です。それができないのなら、できる人を（外部から引き抜いてでも）担当者に据えるべきなのです。

　ちなみに、この「翻訳」を行なうのが、CSIRT（シーサート、Computer Security Incident Response Team）の最も重要な役割の1つであることを、改めてここで強調しておきます。

スリーストライク制度にさほど効果はないとする研究論文

　著作権侵害を行っている利用者に対する警告が一定回数を超えると、インターネット接続を遮断するなどの強制的な対応を行なう、いわゆる「スリーストライク（graduated response）」制度について、オーストラリアのモナシュ大学法学部のRebecca Giblin氏は調査論文の中で「意図した効果はさほどない」との結論を発表しました。

　これはフランス、ニュージーランド、台湾、韓国、イギリス、アイルランド、米国について以下の観点で調査したものです。

1. To what extent does graduated response reduce infringement?
2. To what extent does graduated response maximize authorized uses?
3. To what extent does graduated response promote learning and culture by encouraging the creation and dissemination of a wide variety of creative materials?

　2009年ころからさまざまな国で導入された制度ですが、その目的は著作権侵害を減らし、著作権者の権利を保護することにあります。ところがGiblin氏の調査では、制度の導入による影響（因果関係）はほとんど見られなかったのだそうです。

　一方、日本でも2012年10月に「違法ダウンロード」が刑罰化されましたが、その影響を調査したIIJの報告書によれば、施行後3カ月間程度はトラフィックが減ったものの、その後は元に戻った、すなわち一時的な心理効果しかなかったとしています。

　スリーストライク制度については、以前から効果に対して疑問の声はありました。接続が遮断されたとしても他のISPに変えればいいだけですし、暗号化など、すり抜ける方法はいくらでもあります。また、国境を越えて行われるものに対して全世界で連携するならともかく、一部の国だけで取り締まっても意味はありません。これらの点を鑑みれば、今回の論文の内容は、驚くに値するものではありません。

　しかし、この論文が制度の有効性をいくら否定しても、既に制度を導入した国が制度を見直して廃止するということはないでしょう。むしろ、より一段と取り締まりを強化し、他の国に対しても制度の導入を促すことで国際的な連携を強めようとする方向にしか行かないと考えられます。

　致し方ないとは言え、それはとても恐ろしいことです。「著作権侵害」が取り締まられるべきものであることを否定するつもりはありませんが、これは必然的に曖昧さを含むものであり、拡大解釈されて為政者の都合の良い形で取り締まることができてしまうものであるという「危機意識」を我々は常に持ち続けていなければなりません。