■「捕獲再捕獲法」でフィッシングサイトを調査
米国CERT/CCのNetSA(Network Situational Awareness)によるフィッシングに対する研究分析結果が、10月にピッツバーグで開催された「APWG eCrime Researchers Summit」で発表されました。
この研究のキモは、フィッシングサイトの状況を把握するのに、個体群生態学で用いられる「捕獲再捕獲法」を使った点です。
「捕獲再捕獲法(Capture-Recapture method)」とは、「標識再捕獲法(Mark and recapture method)」とも呼ばれ、野生生物の個体数を推定する方法で、捕獲した生物に何らかの標識を付けてから、元の環境に放し、次の捕獲時に標識を付けたものがどれだけ混じっているかで、全個体数を推定する方法です。
この着眼点は、フィッシングの特徴に合っており、とても興味深いです。
まずフィッシングは、フィッシングサイトに1人でも多くのユーザーを誘導するために、大量のフィッシングメールがばら撒かれます。そのため、フィッシングメールを収集すれば、どのようなフィッシングサイトがどこに存在するか、かなり正確に把握できるという特徴があります。つまり、そのようなフィッシングメールの報告を受け付けている、相互に独立した複数のグループからデータを取得することで「捕獲」と「再捕獲」が簡単にできるわけです。
今回は、Netcraftと、CastleCopsのPhishing Incident Reporting and Termination Squiadのデータが使われています。また、調査対象は上記2サイトに「報告」された日付が2007年1月1日から3月21日までの80日間のものに限定されています。
分析の結果、フィッシングサイトとして/24のネットブロックを単位とした場合、NetcraftとCastleCopsの2つに報告されたデータだけで全フィッシングサイトの80%をカバーしていることがわかりました。また、「同種」のフィッシングサイトを1つにまとめ、それを単位に分析すると、現存しているフィッシングサイトの40%をカバーしているようです。
ただ、この結果をどう判断するかは難しいところです。まずフィッシングサイトを識別する「単位」として、IPアドレスそのものではなく、/24のネットブロックに精度を下げている点で、結果の80%の信頼性はかなり低いものと言えます。また、複数のフィッシングサイト(URL)を「同種」として 1つにまとめるアルゴリズムもまだ改良の余地があるようです。
とにかく今回の結果は、「捕獲再捕獲法」でフィッシングサイトの状況を把握できるかもしれないという「可能性」を示したという点が重要であり、まずは今後のさらなる研究に期待したいところです。
■URL
APWG eCrime Researchers Summit
http://www.antiphishing.org/ecrimeresearch/2007/program.html
FISHING FOR PHISHES: APPLYING CAPTURE-RECAPTURE TO PHISHING(PDF)
http://www.antiphishing.org/ecrimeresearch/2007/proceedings/p14_weaver.pdf
CERT/CC Network Situational Awareness(NetSA)
http://www.cert.org/netsa/
Netcraft
http://news.netcraft.com/
CastleCops Phishing Incident Reporting and Termination Squad
http://www.castlecops.com/pirt
■ドイツで通信記録6カ月保存義務化
つい先日、いわゆる「アンチハッカー法」で話題になったドイツですが、11月9日、通信事業者に対して、すべての通信記録を6カ月間保持することを義務付ける法律が議会で承認されたことが、波紋を広げています。
この法律は、2006年に承認されたEUデータ保持指令(EU Data Retention Directive)に基づいて制定されたもので、この指令(条例)では、メンバー各国が通信記録を一定期間(6カ月から2年の間で各国が自由に定めてよい)保存することを義務付ける法律を制定することになっています。
今回のドイツの法律で保存を義務付けられた項目は以下のようになっています。
電話
・日付、時刻、通話時間、電話番号
・携帯電話の場合は通話時の場所やSMSの接続データなど
インターネット
・IP アドレス、日付、時刻、接続時間、回線の種類
電子メール
・電子メールアドレス、メールヘッダ
いずれも通信の内容は含まれないそうです。
一方、この法律に対してはドイツ国民の間で反対の声が大きく、各地でデモも行なわれたようです。また、そのようなデモ活動の一環として、ランダムな単語で自動的にGoogle検索をし続けることで、通信を無駄に増やし、通信記録の保持の意味を薄めることを目的としたツールがGPLで公開されるといった、若干、過激な動きも見られています。
今回の法律の背景にあるEU指令では、2007年9月までに法律を定めるようにとなっていますが、法律制定までにこぎつけている国はまだ少ないようです。そこで今後、新たに法律が制定される国でも、同様の動きが見られる可能性があります。特に今回ドイツで見られたような「ツール」が大々的に用いられるような事態が発生した場合には注意が必要かもしれません。
もちろん、ヨーロッパのネットワークとアジア太平洋地域のネットワークは物理的に離れているだけでなく、(基本的に)論理的にも離れているので、日本に直接の影響はないと思われますが、何らかの弊害が発生しないとも限りません。例えば、先ほど紹介したGoogle検索をし続けるツールは、ヨーロッパ内で一斉に使用されれば、それはGoogleに対する一種のDDoS攻撃になります。また、そのツールはソースも公開されていますから、書き換えることで他の検索サイトが対象になる可能性もあるのです。今後も注目しておいた方がよいかもしれません。
■URL
Wikipedia「Data retention in the European Union」
http://en.wikipedia.org/wiki/Data_retention#Data_retention_in_the_European_Union
tagesschau.de(2007年11月9日付記事)
Bundestag stimmt umstrittener Datenspeicherung zu
http://www.tagesschau.de/inland/vorratsdatenspeicherung22.html
heise online(2007年11月9日付記事)
Bundestag verabschiedet Gesetz zur Vorratsdatenspeicherung und TK-Uberwachung
http://www.heise.de/newsticker/meldung/98747
golem.de(2007年11月9日付記事)
Bundestag stimmt fur Vorratsdatenspeicherung
http://www.golem.de/0711/55924.html
■セキュリティの甘いPCに濡れ衣を着せられるかも?
少々古い話題ですが、今年の上半期に物議を醸した話題です。
米コネチカットの中学の代用教員だった女性が授業で使っている教師用端末にポルノ画像を表示させ、生徒の目に触れさせたことで逮捕され、今年の1月、未成年者を「傷つけた」罪で有罪判決を受けました。
事件は2004年10月、正教員が不在中の教室で、教師用端末の画面に生徒たち(日本の中学1年生に相当)がアクセスしている状態で、代用教員が教師用端末を操作し始めたとたん、ポルノ画像が次々とポップアップ表示され、生徒がそれらの画像を目にしてしまったというものです。
問題とされているのは、彼女が意図的にポルノサイトにアクセスしていた可能性がある点、また、「事故」が発生した時に生徒の目に触れさせないためにPCの電源を抜いたり、着ていたセーターを脱いで画面にかぶせたりするなどの物理的な対応をしなかった点です。特に警察は、「意図的にポルノサイトにアクセスした」ことについて、彼女が教師用端末のブラウザにポルノサイトのURLを「タイプ入力した」痕跡があるとしています。
一方、被告弁護側は、PCにインストールされていたフィルタリングソフトがライセンス切れで更新されていないために、ポルノサイトのポップアップをブロックできなかったと主張しています。
また専門家は、当該PCがメンテナンスされていない状態であるためにマルウェアに感染して勝手にポルノサイトにアクセスした可能性を指摘しています。
このような中、警察側が主張している「タイプ入力の痕跡」が、単なるブラウザのアクセス履歴に過ぎず、ユーザーがキーボードから意図して入力したものであるとは限らないとの指摘がなされています。さらに、今回有罪とされた「未成年者に対する犯罪」に伴う量刑が最長で禁固40年と、あまりに重過ぎるということもあり、被告を支援する動きが活発化しました。
その結果、有罪判決後の量刑の宣告が何度も延期され、結局6月になって被告側の申し立てが認められ、新たな裁判が行なわれることになりましたが、本原稿執筆時点で日程は不明です。
今回の事件は(係争中のため、「事実」はまだわかりませんが)セキュリティ対策が不充分なPCを使用することで、「濡れ衣」を着せられる可能性があることを示したという点で、教育関係者らにかなりの波紋を広げたようです。
それにしても、事件が起きた 2004年の秋から判決が下るまで2年以上もかかった点や、再審が認められてから半年近く経っても進展がない点には疑問が残ります。
■URL
Network World(2007年3月12日付記事)
Crime and punishment and technology
http://www.networkworld.com/columnists/2007/031207backspin.html
NBC32.com(2007年3月6日付記事)
Professors Defend Teacher Accused Of Exposing Students To Pornography
http://www.nbc30.com/news/11185863/detail.html?dl=headlineclick
Wikipedia「State of Connecticut v. Julie Amero」
http://en.wikipedia.org/wiki/Julie_Amero
(2007/12/05)
|
|
山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。
|
- ページの先頭へ-
|
|
|
Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved. |
|