Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金〜韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング〜検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念〜米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか

オペラハウスのWebサイトの「TERMS OF USE」

オペラハウスのWebサイトに掲載されている「TERMS OF USE」

 オーストラリアのシドニーと聞いて、多くの人がまず最初に思い浮かべる建物と言えば、恐らくオペラハウスなのではないかと思います。国際的にも非常に有名なシドニーを代表する建造物であるこのオペラハウスのWebサイトにマルウェアが仕込まれ、最新のパッチが適用されていないブラウザでアクセスすると感染してしまう状態にあったことが明らかになりました。

 これは、以前の記事でも紹介したGoogleが新たに導入したMalware Warning機能について調べていた米国のセキュリティコンサルタントが、同機能を使って検索をしているときに偶然発見したことで明らかになりました。しかしその一方でオペラハウス側はこの事実に気付いていながら、「さほど深刻なものではない」との判断から、公表しなかったのです。

 実は、オペラハウスのWebには以下のような文言が掲載されています。

TERMS OF USE
Sydney Opera House Disclaimer Notice

4.
By logging on, you will be assuming all risks associated with use of the site, including risk of your computer, software or data being damaged by any virus which might be transmitted or activated via the Sydney Opera House site or your access to it.

 つまり、オペラハウスのWebにアクセスしてマルウェアに感染することがあっても責任は負わないと堂々と宣言しているわけです。

 リスク回避の意味でこのような文言を掲載する気持ちはわからないではないですが、こうやって責任を回避した上で、さらにマルウェアをばら撒いていた事実を公表しなかったオペラハウス側の姿勢に対しては、当然のことながら現地でも非難が集まっているようです。

 ちなみにその後、オペラハウスのWebは専門の第三者によるセキュリティ監査を受けているようです。

URL
 オペラハウスのWebサイトに掲載されている「TERMS OF USE」
 http://www.sydneyoperahouse.com/sections/home/terms_of_use/
 「Brisbane Times」2007年6月11日付記事
 「Hackers leave nasty surprise on Opera House website」
 http://www.brisbanetimes.com.au/articles/2007/06/11/1181414255970.html
 「ZDNet Australia」2007年6月12日付記事
 「Don't fear Sydney Opera House trojan」
 http://www.zdnet.com.au/news/security/soa/Don-t-fear-Sydney-Opera-House-trojan/0,130061744,339278476,00.htm


「ハリーポッター」最新刊の内容が盗まれた?

 英国の報道によると、7月21日に発売される予定の「ハリーポッター」最新刊の重要部分が、Gabrielと名乗る者によって現地時間6月19日早朝にネット上に公開される事件が発生しました。

 Gabriel自身のコメントによると、出版社の社員宛にウイルスメールを送付し、感染させるという極めて簡単な方法で情報を盗み出したらしいのですが、本人も驚くほど多くの社員が原稿のコピーを持っていたと指摘しています。

 これに対し、出版社側は警察に届け出たかどうかについてはコメントを控えています。また、Gabrielが公開したハリーポッターのあらすじについても、既にたくさん流されている噂の1つとして、否定も肯定もしていません。

 真実が明らかになるのは、結局 7月21日に本が発売されてからになりそうです。

URL
 「Telegraph newspaper online」2007年6月21日付記事
 「Harry Potter 'hacker' posts plot on internet」
 http://www.telegraph.co.uk/news/main.jhtml?xml=/news/2007/06/21/npotter121.xml


韓国の自動証明書販売機、紙の偽造指紋でも認証

 韓国では、2000年から全国の官公庁に、戸籍謄本や医療証明書など約30種類の書類を発行する「無人民願発給機(自動証明書販売機)」が設置され、既に約1,500台が稼動しています。この機械による本人確認は住民登録番号と指紋のみで行なわれるのですが、今回、韓国のテレビ局の実験により、紙にコピーした指紋でも認証できてしまうことが明らかになりました。

 シリコンなどを使った偽造指紋でも認証できてしまう指紋認証システムの弱点は、日本においても以前から指摘されていました。しかし今回の韓国のテレビ局の実験では、そのような「偽造指紋」はもちろん、住民登録証の裏に押印された指紋を紙にコピーし、それを切り抜いたものでも認証できてしまい、実際に他人の書類が取得できてしまったのです。

 この件で興味深いのは、2点。まず、2000年から既に7年も使っているシステムについて、なぜ今までこの問題が指摘されなかったのかという点です。紙にコピーした指紋でも認証してしまうということは指紋の画像イメージだけで認証するシステムということであり、そのような「へなちょこ」なシステムがなぜ導入され、なぜ7年にも渡って放置されていたのか、この点についてもテレビ局には追求して欲しいところです。簡単に書類を取得できるということから年間で約600万人以上が利用していたシステムですので、既に多くの個人情報が盗み取られている可能性は否定できません。

 2点目は今回のテレビ局取材班による実験です。今回の実験は、実際に販売機が設置されている場所で一般の利用者がいる中で行なわれたのですが、このような偽造の方法を映像で詳細に紹介してしまうような取材に、なぜ当事者である官公庁が許可を出したのかという点です。韓国のメディアの場合は取材許可がなくても、イケイケどんどんで取材してしまう傾向があるので、そもそも許可は得ていないのかもしれませんが、それにしても、日本のNHKにあたるようなテレビ局のニュースで、官公庁の指紋認証システムの偽造方法を詳細に紹介してしまうとは驚きです。

URL
 「KBS NEWS」2007年6月20日付記事
 「民願発給機、『偽造指紋』も通過……個人情報非常」
 http://news.kbs.co.kr/article/local/200706/20070620/1376682.html


韓国ネットバンキング、5,000万ウォン以上の取引にOTP使用義務化へ

 インターネットバンキングが一般化している韓国では、電子取引の安全性向上を目的に、OTP(One Time Password)を普及させるための試験運用が6月29日から始まりました。早ければ10月にも、5,000万ウォン(約670万円)以上の取引にはOTPの使用が義務化されるようです。

 通常多くの国では、OTPを採用している金融機関がそれぞれ独自にOTP生成業務を管理するOTP認証センターを運営するのが一般的ですが、韓国では金融監督院の傘下にある金融保安研究院が、ほとんどの金融機関で共通して使えるOTP統合認証センターを設立し、試験運用を始めたそうです。この場合、インターネットバンキング利用者は、まずこの統合認証センターに登録して使用者識別番号を受け取ることではじめて使用権限を持ち、その上でOTPトークンの液晶画面で使い捨てパスワードを受け取ることになるわけです。

 今回のOTP義務化によって、韓国国内の関連業界は500億ウォン規模の市場が形成されると見込んでおり、また、この韓国独自スタイルの「OTP統合認証センター」が成功した暁には、このモデルを東南アジア各国に輸出する計画もあり、官民ともにかなり力を入れているようです。

 実は韓国では、一部の銀行(外国系銀行含む)が既に昨年あたりから独自にOTP を採用しており、今回の統合認証センター構築において互換性をどうするのかについては、今年1月時点の報道では、各ベンダーごとの固有の仕様を維持しながら「収容する」としていました。それが今回の試験運用に際して、実際にどこまでうまくいっているのかは本原稿執筆時点では不明です。現時点ではあくまで試験運用であり、また、義務化の対象となる5,000万ウォン以上の高額取引は、インターネット上の金融取引の90%を占める個人利用者にとっては、ごくわずかであるため、今回のOTP導入が成功したか否かが見えてくるのは当分先のことになるのではないかと思われます。

 とにかく、国を挙げて一気にOTP採用に動いたという点で、極めて韓国らしいやり方だなという印象を強く受けました。

URL
 「ETNEWS 電子新聞 ビズテック」2007年7月2付記事
 「OTP、これから1つほど新調してください」
 http://www.etnews.co.kr/news/detail.html?id=200706290049
 「eWEEK 韓国版」2007年1月8日付記事
 「金融取引義務適用でOTP市場に期待」
 http://www.eweekkorea.com/02_contents/contents_view.asp?num=16209&num_c=3

(2007/07/11)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved.