Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか

 海外のセキュリティ関連情報の中から興味深いトピックをいくつかピックアップし、毎月紹介しているこの連載。秋から年末にかけては国際会議やセミナーなどが多い時期ですが、今回は、あまり日本では知られていないけれども、欧米を中心に実績のある国際会議などを紹介していきます。


ウイルス情報交換の国際会議「VB2006」がカナダで開催

Virus BulletinのWebサイト

 まず今回は、カナダのモントリオールで10月11~13日の3日間にわたって開催された「Virus Bulletin Conference 2006(VB2006)」を紹介します。

 Virus Bulletin Conferenceは、Virus Bulletinが1991年から毎年1回開催している国際会議で、現在ではワクチンベンダーやセキュリティベンダーなどによる国際的な情報交換の場になっています。以前はコンピュータウイルスやマルウェアの脅威に関する話題にフォーカスしていましたが、2004年以降はスパムも中心テーマの1つとして取り上げています。

 なお、Virus Bulletinは、PCユーザー向けにコンピュータウイルスに関する情報を中立な立場で提供することを目的に1989年から活動している組織です。パブリックサービスとして無償で提供している情報もありますが、主に有料で情報を提供しています。

 VB2006では、ワクチンベンダーやセキュリティベンダーを中心として、MicrosoftやIBMの研究者、さらには米国CERT/CCからも発表がなされ、全体として活況を呈したようです。また、今回の発表内容全般のキーワードとしては、ボットやユーザー教育、スパムといったものが挙げられます。ほかに全体として目立った点は、“敵”がプロになってきたという共通認識が国際的に形成されて来ていることや、Microsoftのウイルス対策への取り組みなどがあります。

 ところでこの会議は、プログラム内容をご覧になっていただいてもわかるように必ずしも「最新・最先端のテクノロジー」を深く学ぶ場というものではないようです。しかし、アンチウイルス関連の企業・組織の国際フォーラムとしての意味も持っており、関係者間の国際的な情報交換の場として有効に活用されています。

 一方、残念ながら日本からの参加者は知名度の低さからまだ極めて少ないようです。来年の「VB2007」はウィーンで9月19~21日の3日間開催されることが決まっていますので、興味のある方は参加を今からご検討されてみてはいかがでしょうか?

URL
 Virus Bulletin
 http://www.virusbtn.com/
 VB2006
 http://www.virusbtn.com/conference/vb2006/
 VB2006 conference programme
 http://www.virusbtn.com/conference/vb2006/programme/index.xml


CERT/CCが統計情報を更新、脆弱性の報告急増でCVSSによる評価が重要に

US-CERTによる脆弱性情報。CVSSのスコアが表記されている

 米国CERT/CCが活動報告として、2006年第3四半期(7~9月)の統計情報を公開しました。注目すべきは、脆弱性情報の報告件数が増えている点です。2004年から2005年にも大きく増えており、その増え方に比べれば今年の増え方は少なめではありますが、それでも2006年は3カ月を残して、既に2005年の1年間の報告件数5,990件に迫る5,340件の報告があったそうです。

 これだけの数の脆弱性情報のすべてを開発元との間で調整するのは事実上不可能と言えます。そこで実際には報告された脆弱性情報の1つ1つに対してリスク分析を行なって優先順位の高いものから処理しているわけですが、そのようなリスク分析の方法として「CVSS(Common Vulnerability Scoring System)」が国際的に標準となりつつあります。

 このようなリスク分析としては、Microsoftが自社製品の脆弱性情報に独自の方法で“緊急”“重要”“警告”“注意”といった分類をしていますが、CVSSとはこのような特定ベンダーによる独自の基準ではなく、脆弱性の深刻度を一定の基準で包括的かつ汎用的に評価する手法で、国際的な標準化が進められています。

 既に米国では、US-CERTがCVSSによる情報発信を行なっています。また、最近では Oracleが10月公開分のパッチ情報からCVSSによる評価結果を加えています。

 CVSSを使うことによって、個々のサイトのシステムやネットワーク構成等によって当然変わってくる“リスク”を個別に算出できます。つまり、脆弱性情報などのさまざまな脅威情報が、それぞれ自社のシステムにどの程度のリスクになるのかをCVSSで点数化することができるわけです。

 まだまだ発展途上の技術ではありますが、興味のある方はぜひその動向に注目してみてください。

URL
 CERT/CC Statistics 1988-2006
 http://www.cert.org/stats/cert_stats.html
 National Vulnerability Database CVSS Support
 http://nvd.nist.gov/cvss.cfm
 US-CERT Cyber Security Bulletins
 http://www.us-cert.gov/cas/bulletins/
 Oracle Critical Patch Update - October 2006
 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html


韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」

 韓国情報保護振興院(KISA) は、自ら開発・配布している「スパム簡便申告プログラム SpamCop」のダウンロード件数が、2005年の10,866件から増加し、2006年上半期だけで既に24,462件に及んでいることを発表しました。これにより韓国国民のスパム対策意識の向上がうかがわれるとしています。

 SpamCopは、各種スパム(メール、携帯電話、BBSなど)を手軽にKISAに通報できるソフトウェアです。今回ダウンロード件数が増えた理由としては、かつてのバージョンではメールスパムのみ対応していたものが、4月に公開したバージョン4.0でサポート対象が増えたことや、メールのスパムならばクリック1つで本文などの証拠資料を自動添付して通報できるようになるなど(Outlookを使っている場合)、利便性が高まった点が挙げられるようです。

 ところでこのSpamCopですが、確かに使用方法のページを見ると使い方はとても簡単です。しかし実際に通報する時の設定内容に私は強い違和感を覚えました。まず「個人情報環境設定ウィンドウ」というもので基本設定をするのですが、ここに書いてある内容を読んでみましょう.

申告時に基本的に必要な最小限の個人情報です。
一度入力して保存すれば次回の申告時に再入力する必要はありません。
 申告人名
 E-Mail
 電話番号
 携帯電話番号
 通信社
 住民登録番号

 これほどの個人情報が届出時に必要というのはとても疑問なのですが、とりあえず、ここまではよしとしましょう。恐るべしと思うのは、実際に申告処理をする際のウィンドウに書かれている内容です(*の項目は必須項目と思われる)。

不法スパム申告
* 姓名
* 住民登録番号
* 電話番号
* E-mail
 パスワード
 パスワード確認
 ※ホームページで請願受付内容と処理進行状況を確認したい場合は
  必ずパスワード及び住民登録番号を入力してください。
* 内容(1,500字以内で作成)
* スパムメール添付

個人情報環境設定ウィンドウ スパムの申告ウィンドウ

 確かにWebで自分の申告した内容の処理状況がわかるシステムは便利だと思います。しかし、なぜ住民登録番号まで必要なのでしょうか? 理解に苦しみます。もちろんこのウィンドウの下の方には赤い字で「個人情報移管に同意しますか?」というチェック項目がありますが、これに「いいえ」と答えた場合にどうなるかについての説明はありません。

 何でも住民登録番号で処理できてしまう韓国ですが、たかがスパムを申告するだけでここまでの個人情報を要求する必要性が理解できません。このあたりは“お国柄”ということで“納得”しなければいけないのでしょうが、少なくとも私は使いたくないツールです。ただ、このような簡単なツールで届出ができるという仕組み自体は日本でも採用してよいのではないかと思います。もちろん韓国のように不要な個人情報を集めることだけはしないということが必須要件ですが。

URL
 「韓国デジタルタイムス」10月23日付記事(韓国語)
 http://www.dt.co.kr/contents.htm?article_no=2006102302010251713002
 KISA不法スパム対応センター(韓国語)
 http://www.spamcop.or.kr/
 SpamCopの使用方法(韓国語)
 http://www.spamcop.or.kr/kisa/spam/jsp/spam_5010_01.jsp

(2006/11/06)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2006 Impress Watch Corporation, an Impress Group company. All rights reserved.