 |
 |
記事検索 |
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
| 海の向こうの“セキュリティ” | |||||||||||
 |
|||||||||||
|
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
世界的にバカンスシーズンだった8月。ネットの世界も表面的には「バカンス」モードでしたが、それでもちょこちょこと地味ながらも興味深い出来事がありました。 ■独「アンチハッカー法」施行に伴う研究者らの動き 今年の春にドイツ議会で承認された、いわゆる「アンチハッカー法」が8月10日から施行されました。この新しい(厳密に言うと改訂された) 法律のキモは「攻撃ツール」の作成・販売のみならず、所持や配布までを禁じている点にあります。しかしその一方で「攻撃ツール」の定義が非常に曖昧であるとの問題点が、議会での承認以前から指摘されていました。 ご存知の通り、セキュリティ関連の技術者は脆弱性診断を目的として様々な「攻撃ツール」を利用します。しかし今回のドイツの法規制によれば、そのような脆弱性診断に広く用いられている「nmap」や「nessus」などのツールも、「攻撃に利用可能である」という理由で規制の対象となる「可能性がある」のです。 そのため、この法律の施行直前には、ドイツ国内のセキュリティ関連の研究者や技術者などが法律施行に反対するデモ活動を行なったり、規制の対象となりうるツールを公開したサイトを閉鎖もしくはドイツ国外のサイトに移行したりといった動きを見せています。 この「極端な規制」が、今後どのような展開を見せるか、興味深く見守りたいと思います。 ■URL「SecurityFocus」2007年8月13日付記事 German sites close, as anti-hacking law arrives http://www.securityfocus.com/brief/567 ■韓国インターネットバンキングに不信感? 7月の記事でも紹介したように、ワンタイムパスワード(OTP)使用が義務化された韓国のインターネットバンキングですが、その後、OTPの使用うんぬん以前に、インターネットバンキングのシステムそのものに致命的な欠陥があることが韓国のテレビ局KBSの取材により明らかになりました。 KBSの報道によると、あるツールが仕込まれたPCからインターネットバンキングを利用して送金処理を行なうと、PCの利用者からは正常に送金が行なわれたように見えるにもかかわらず、実際には無関係の第三者に送金されてしまい、しかも実際に送金された金額もPC利用者が指定した金額とは全く異なる金額に改竄されてしまうのだそうです。 これは、PCに仕込まれたツールがメモリ上のデータを改竄することで実現されるものらしく、このツールの作成は、対象となる銀行のインターネットバンキングシステムによって多少は異なるものの、比較的簡単に作成できてしまうとのことです。 韓国は、日本と比べてインターネットバンキングの利用者が多いことで知られていますが、それは先日のOTP義務化をはじめ、韓国政府が積極的にインターネットバンキングの安全性確保に取り組むことで、国民からの信頼を得ていたからだと思われます。そのような中での今回の報道は、インターネットバンキングに対する信頼性を根底から覆すことにもなりかねないだけに大きな問題になる可能性があります。 そのような中、このKBSの報道の翌日には、ウリ銀行のインターネットバンキングが終日不安定な状態になる事件も発生しました。ウリ銀行の事件はKBSが指摘した脆弱性とは関係ないと思われますが、立て続けにインターネットバンキングへの信頼を揺らがす報道がなされたことで、韓国国民のインターネットバンキングの利用に何らかの影響が出る可能性があるのではないかと思われます。 ■URL「KBS NEWS」2007年8月26日付記事 インターネットバンキングにも“穴” http://news.kbs.co.kr/article/economic/200708/20070826/1414564.html 「韓国経済」2007年8月27日付記事 ウリ銀行インターネットバンキング「復旧されたといったが……」相変らず不便 http://www.hankyung.com/news/app/newsview.php?aid=2007082719567 ■独政府のPCにトロイの木馬、中国人民軍が関与? ドイツの雑誌「SPIEGEL」は、ドイツ政府のPCにトロイの木馬が設置され、これに中国人民軍が関係している可能性があると報道しました。 この報道の翌日には、中国外交部が、中国人民軍の関与を全面的に否定する声明文を発行しましたが、そもそもSPIEGEL誌がなぜ中国人民軍の関与を報じたのかは不明です。 F-Secureによれば、今回のトロイの木馬は、DOCファイルやPPTファイルとして電子メールで送付され、PCの利用者がそれらのファイルを開くことで感染します。その後、PC内のデータを中国に設置されたサーバーを経由してどこかに送信するとのことですが、もしこれだけの理由でSPIEGEL誌が中国人民軍の関与を報じたのだとすれば、報道機関としていかがなものかと思います。 確かに中国人民軍の中には、サイバー攻撃を行なう強力な部隊が存在することが、かねてから米国などを中心に報道されており、そのような背景があっての報道なのかもしれませんが、今回の件については根拠が希薄。「思い込み」だけで報道されたと言われても仕方のないことだと思われます(それとも公になっていない、何か隠された証拠でもあるのでしょうか?)。 中国外交部の声明文には、この問題についてドイツ側に協力すると述べていることもあり、ドイツと中国の間にこれ以上の問題は起こらないと思われますが、まかり間違えば国際問題にも繋がりかねないマスコミの不用意な報道という点で興味深い話題でした。 ■URL「SPIEGEL ONLINE」2007年8月25日付記事 官庁のPCに中国のトロイの木馬 http://www.spiegel.de/netzwelt/tech/0,1518,501954,00.html 中国外交部の声明文 http://www.fmprc.gov.cn/chn/xwfw/fyrth/t355446.htm 「F-Secure :News from the Lab」2007年8月26日付記事 Targeted trojan attacks against German government http://www.f-secure.com/weblog/archives/archive-082007.html#00001262 ■CERT/CC開発のC言語ライブラリ バッファオーバーフローの脆弱性は主に文字列(char型データ)の処理において発生し、そのような文字列処理を行なうC言語の標準関数を「安全な」関数に置き換えるライブラリとして「libsafe」などが既に広く知られています。 このような中、米CERT/CCも独自に同様のライブラリ(の仕様)「Managed String」 を開発しており、そのベータ実装が公開されています。 基本的にはC言語の標準関数「str*()」を「str*_m()」という関数に置き換えるものなのですが、Cの標準関数「str*()」がchar型のポインタを引数に取るのに対して、Managed Stringでは新たに導入された構造体「string_m」を引数に取ります。 このstring_m型は、要素として文字列の最大長や文字セットなどを含むことで、脆弱性を生みにくくするための工夫が施されており、また、初めからワイドキャラクターについても考慮されているなど、技術的な仕様そのものはなかなか興味深いものがあります。 しかしその一方で複雑過ぎて利用は面倒との批判もあり、確かにここまで複雑な構造体を使うくらいなら、そもそもC言語以外のプログラミング言語を使ったほうがよいのではないかとも思えます。 CERT/CCはこの仕様を標準化するための活動を行なっており、仕様をはじめ、いくつかの文書も公開されていますので、興味のある方はぜひご参照ください。 ■URLManaged String Library http://www.cert.org/secure-coding/managedstring.html (2007/09/06)
- ページの先頭へ-
|
