Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか

 世界的にバカンスシーズンだった8月。ネットの世界も表面的には「バカンス」モードでしたが、それでもちょこちょこと地味ながらも興味深い出来事がありました。


独「アンチハッカー法」施行に伴う研究者らの動き

 今年の春にドイツ議会で承認された、いわゆる「アンチハッカー法」が8月10日から施行されました。この新しい(厳密に言うと改訂された) 法律のキモは「攻撃ツール」の作成・販売のみならず、所持や配布までを禁じている点にあります。しかしその一方で「攻撃ツール」の定義が非常に曖昧であるとの問題点が、議会での承認以前から指摘されていました。

 ご存知の通り、セキュリティ関連の技術者は脆弱性診断を目的として様々な「攻撃ツール」を利用します。しかし今回のドイツの法規制によれば、そのような脆弱性診断に広く用いられている「nmap」や「nessus」などのツールも、「攻撃に利用可能である」という理由で規制の対象となる「可能性がある」のです。

 そのため、この法律の施行直前には、ドイツ国内のセキュリティ関連の研究者や技術者などが法律施行に反対するデモ活動を行なったり、規制の対象となりうるツールを公開したサイトを閉鎖もしくはドイツ国外のサイトに移行したりといった動きを見せています。

 この「極端な規制」が、今後どのような展開を見せるか、興味深く見守りたいと思います。

URL
 「SecurityFocus」2007年8月13日付記事
 German sites close, as anti-hacking law arrives
 http://www.securityfocus.com/brief/567


韓国インターネットバンキングに不信感?

 7月の記事でも紹介したように、ワンタイムパスワード(OTP)使用が義務化された韓国のインターネットバンキングですが、その後、OTPの使用うんぬん以前に、インターネットバンキングのシステムそのものに致命的な欠陥があることが韓国のテレビ局KBSの取材により明らかになりました。

 KBSの報道によると、あるツールが仕込まれたPCからインターネットバンキングを利用して送金処理を行なうと、PCの利用者からは正常に送金が行なわれたように見えるにもかかわらず、実際には無関係の第三者に送金されてしまい、しかも実際に送金された金額もPC利用者が指定した金額とは全く異なる金額に改竄されてしまうのだそうです。

 これは、PCに仕込まれたツールがメモリ上のデータを改竄することで実現されるものらしく、このツールの作成は、対象となる銀行のインターネットバンキングシステムによって多少は異なるものの、比較的簡単に作成できてしまうとのことです。

 韓国は、日本と比べてインターネットバンキングの利用者が多いことで知られていますが、それは先日のOTP義務化をはじめ、韓国政府が積極的にインターネットバンキングの安全性確保に取り組むことで、国民からの信頼を得ていたからだと思われます。そのような中での今回の報道は、インターネットバンキングに対する信頼性を根底から覆すことにもなりかねないだけに大きな問題になる可能性があります。

 そのような中、このKBSの報道の翌日には、ウリ銀行のインターネットバンキングが終日不安定な状態になる事件も発生しました。ウリ銀行の事件はKBSが指摘した脆弱性とは関係ないと思われますが、立て続けにインターネットバンキングへの信頼を揺らがす報道がなされたことで、韓国国民のインターネットバンキングの利用に何らかの影響が出る可能性があるのではないかと思われます。

URL
 「KBS NEWS」2007年8月26日付記事
 インターネットバンキングにも“穴”
 http://news.kbs.co.kr/article/economic/200708/20070826/1414564.html
 「韓国経済」2007年8月27日付記事
 ウリ銀行インターネットバンキング「復旧されたといったが……」相変らず不便
 http://www.hankyung.com/news/app/newsview.php?aid=2007082719567


独政府のPCにトロイの木馬、中国人民軍が関与?

 ドイツの雑誌「SPIEGEL」は、ドイツ政府のPCにトロイの木馬が設置され、これに中国人民軍が関係している可能性があると報道しました。

 この報道の翌日には、中国外交部が、中国人民軍の関与を全面的に否定する声明文を発行しましたが、そもそもSPIEGEL誌がなぜ中国人民軍の関与を報じたのかは不明です。

 F-Secureによれば、今回のトロイの木馬は、DOCファイルやPPTファイルとして電子メールで送付され、PCの利用者がそれらのファイルを開くことで感染します。その後、PC内のデータを中国に設置されたサーバーを経由してどこかに送信するとのことですが、もしこれだけの理由でSPIEGEL誌が中国人民軍の関与を報じたのだとすれば、報道機関としていかがなものかと思います。

 確かに中国人民軍の中には、サイバー攻撃を行なう強力な部隊が存在することが、かねてから米国などを中心に報道されており、そのような背景があっての報道なのかもしれませんが、今回の件については根拠が希薄。「思い込み」だけで報道されたと言われても仕方のないことだと思われます(それとも公になっていない、何か隠された証拠でもあるのでしょうか?)。

 中国外交部の声明文には、この問題についてドイツ側に協力すると述べていることもあり、ドイツと中国の間にこれ以上の問題は起こらないと思われますが、まかり間違えば国際問題にも繋がりかねないマスコミの不用意な報道という点で興味深い話題でした。

URL
 「SPIEGEL ONLINE」2007年8月25日付記事
 官庁のPCに中国のトロイの木馬
 http://www.spiegel.de/netzwelt/tech/0,1518,501954,00.html
 中国外交部の声明文
 http://www.fmprc.gov.cn/chn/xwfw/fyrth/t355446.htm
 「F-Secure :News from the Lab」2007年8月26日付記事
 Targeted trojan attacks against German government
 http://www.f-secure.com/weblog/archives/archive-082007.html#00001262


CERT/CC開発のC言語ライブラリ

 バッファオーバーフローの脆弱性は主に文字列(char型データ)の処理において発生し、そのような文字列処理を行なうC言語の標準関数を「安全な」関数に置き換えるライブラリとして「libsafe」などが既に広く知られています。

 このような中、米CERT/CCも独自に同様のライブラリ(の仕様)「Managed String」 を開発しており、そのベータ実装が公開されています。

 基本的にはC言語の標準関数「str*()」を「str*_m()」という関数に置き換えるものなのですが、Cの標準関数「str*()」がchar型のポインタを引数に取るのに対して、Managed Stringでは新たに導入された構造体「string_m」を引数に取ります。

 このstring_m型は、要素として文字列の最大長や文字セットなどを含むことで、脆弱性を生みにくくするための工夫が施されており、また、初めからワイドキャラクターについても考慮されているなど、技術的な仕様そのものはなかなか興味深いものがあります。

 しかしその一方で複雑過ぎて利用は面倒との批判もあり、確かにここまで複雑な構造体を使うくらいなら、そもそもC言語以外のプログラミング言語を使ったほうがよいのではないかとも思えます。

 CERT/CCはこの仕様を標準化するための活動を行なっており、仕様をはじめ、いくつかの文書も公開されていますので、興味のある方はぜひご参照ください。

URL
 Managed String Library
 http://www.cert.org/secure-coding/managedstring.html

(2007/09/06)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved.