海外のセキュリティ関連情報の中から興味深いトピックをいくつかピックアップし、毎月紹介しているこの連載。秋から年末にかけては国際会議やセミナーなどが多い時期ですが、今回は、あまり日本では知られていないけれども、欧米を中心に実績のある国際会議などを紹介していきます。

■ウイルス情報交換の国際会議「VB2006」がカナダで開催

　まず今回は、カナダのモントリオールで10月11～13日の3日間にわたって開催された「Virus Bulletin Conference 2006（VB2006）」を紹介します。

　Virus Bulletin Conferenceは、Virus Bulletinが1991年から毎年1回開催している国際会議で、現在ではワクチンベンダーやセキュリティベンダーなどによる国際的な情報交換の場になっています。以前はコンピュータウイルスやマルウェアの脅威に関する話題にフォーカスしていましたが、2004年以降はスパムも中心テーマの1つとして取り上げています。

　なお、Virus Bulletinは、PCユーザー向けにコンピュータウイルスに関する情報を中立な立場で提供することを目的に1989年から活動している組織です。パブリックサービスとして無償で提供している情報もありますが、主に有料で情報を提供しています。

　VB2006では、ワクチンベンダーやセキュリティベンダーを中心として、MicrosoftやIBMの研究者、さらには米国CERT/CCからも発表がなされ、全体として活況を呈したようです。また、今回の発表内容全般のキーワードとしては、ボットやユーザー教育、スパムといったものが挙げられます。ほかに全体として目立った点は、“敵”がプロになってきたという共通認識が国際的に形成されて来ていることや、Microsoftのウイルス対策への取り組みなどがあります。

　ところでこの会議は、プログラム内容をご覧になっていただいてもわかるように必ずしも「最新・最先端のテクノロジー」を深く学ぶ場というものではないようです。しかし、アンチウイルス関連の企業・組織の国際フォーラムとしての意味も持っており、関係者間の国際的な情報交換の場として有効に活用されています。

　一方、残念ながら日本からの参加者は知名度の低さからまだ極めて少ないようです。来年の「VB2007」はウィーンで9月19～21日の3日間開催されることが決まっていますので、興味のある方は参加を今からご検討されてみてはいかがでしょうか？

■CERT/CCが統計情報を更新、脆弱性の報告急増でCVSSによる評価が重要に

　米国CERT/CCが活動報告として、2006年第3四半期（7～9月）の統計情報を公開しました。注目すべきは、脆弱性情報の報告件数が増えている点です。2004年から2005年にも大きく増えており、その増え方に比べれば今年の増え方は少なめではありますが、それでも2006年は3カ月を残して、既に2005年の1年間の報告件数5,990件に迫る5,340件の報告があったそうです。

　これだけの数の脆弱性情報のすべてを開発元との間で調整するのは事実上不可能と言えます。そこで実際には報告された脆弱性情報の1つ1つに対してリスク分析を行なって優先順位の高いものから処理しているわけですが、そのようなリスク分析の方法として「CVSS（Common Vulnerability Scoring System）」が国際的に標準となりつつあります。

　このようなリスク分析としては、Microsoftが自社製品の脆弱性情報に独自の方法で“緊急”“重要”“警告”“注意”といった分類をしていますが、CVSSとはこのような特定ベンダーによる独自の基準ではなく、脆弱性の深刻度を一定の基準で包括的かつ汎用的に評価する手法で、国際的な標準化が進められています。

　既に米国では、US-CERTがCVSSによる情報発信を行なっています。また、最近では Oracleが10月公開分のパッチ情報からCVSSによる評価結果を加えています。

　CVSSを使うことによって、個々のサイトのシステムやネットワーク構成等によって当然変わってくる“リスク”を個別に算出できます。つまり、脆弱性情報などのさまざまな脅威情報が、それぞれ自社のシステムにどの程度のリスクになるのかをCVSSで点数化することができるわけです。

　まだまだ発展途上の技術ではありますが、興味のある方はぜひその動向に注目してみてください。

■韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」

　韓国情報保護振興院（KISA） は、自ら開発・配布している「スパム簡便申告プログラム SpamCop」のダウンロード件数が、2005年の10,866件から増加し、2006年上半期だけで既に24,462件に及んでいることを発表しました。これにより韓国国民のスパム対策意識の向上がうかがわれるとしています。

　SpamCopは、各種スパム（メール、携帯電話、BBSなど）を手軽にKISAに通報できるソフトウェアです。今回ダウンロード件数が増えた理由としては、かつてのバージョンではメールスパムのみ対応していたものが、4月に公開したバージョン4.0でサポート対象が増えたことや、メールのスパムならばクリック1つで本文などの証拠資料を自動添付して通報できるようになるなど（Outlookを使っている場合）、利便性が高まった点が挙げられるようです。

　ところでこのSpamCopですが、確かに使用方法のページを見ると使い方はとても簡単です。しかし実際に通報する時の設定内容に私は強い違和感を覚えました。まず「個人情報環境設定ウィンドウ」というもので基本設定をするのですが、ここに書いてある内容を読んでみましょう.

申告時に基本的に必要な最小限の個人情報です。
一度入力して保存すれば次回の申告時に再入力する必要はありません。
　申告人名
　E-Mail
　電話番号
　携帯電話番号
　通信社
　住民登録番号

　これほどの個人情報が届出時に必要というのはとても疑問なのですが、とりあえず、ここまではよしとしましょう。恐るべしと思うのは、実際に申告処理をする際のウィンドウに書かれている内容です（*の項目は必須項目と思われる）。

不法スパム申告
* 姓名
* 住民登録番号
* 電話番号
* E-mail
　パスワード
　パスワード確認
　※ホームページで請願受付内容と処理進行状況を確認したい場合は
　　必ずパスワード及び住民登録番号を入力してください。
* 内容（1,500字以内で作成）
* スパムメール添付

　確かにWebで自分の申告した内容の処理状況がわかるシステムは便利だと思います。しかし、なぜ住民登録番号まで必要なのでしょうか？　理解に苦しみます。もちろんこのウィンドウの下の方には赤い字で「個人情報移管に同意しますか？」というチェック項目がありますが、これに「いいえ」と答えた場合にどうなるかについての説明はありません。

　何でも住民登録番号で処理できてしまう韓国ですが、たかがスパムを申告するだけでここまでの個人情報を要求する必要性が理解できません。このあたりは“お国柄”ということで“納得”しなければいけないのでしょうが、少なくとも私は使いたくないツールです。ただ、このような簡単なツールで届出ができるという仕組み自体は日本でも採用してよいのではないかと思います。もちろん韓国のように不要な個人情報を集めることだけはしないということが必須要件ですが。

(2006/11/06)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2006 Impress Watch Corporation, an Impress Group company. All rights reserved.