Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか

「捕獲再捕獲法」でフィッシングサイトを調査

 米国CERT/CCのNetSA(Network Situational Awareness)によるフィッシングに対する研究分析結果が、10月にピッツバーグで開催された「APWG eCrime Researchers Summit」で発表されました。

 この研究のキモは、フィッシングサイトの状況を把握するのに、個体群生態学で用いられる「捕獲再捕獲法」を使った点です。

 「捕獲再捕獲法(Capture-Recapture method)」とは、「標識再捕獲法(Mark and recapture method)」とも呼ばれ、野生生物の個体数を推定する方法で、捕獲した生物に何らかの標識を付けてから、元の環境に放し、次の捕獲時に標識を付けたものがどれだけ混じっているかで、全個体数を推定する方法です。

 この着眼点は、フィッシングの特徴に合っており、とても興味深いです。

 まずフィッシングは、フィッシングサイトに1人でも多くのユーザーを誘導するために、大量のフィッシングメールがばら撒かれます。そのため、フィッシングメールを収集すれば、どのようなフィッシングサイトがどこに存在するか、かなり正確に把握できるという特徴があります。つまり、そのようなフィッシングメールの報告を受け付けている、相互に独立した複数のグループからデータを取得することで「捕獲」と「再捕獲」が簡単にできるわけです。

 今回は、Netcraftと、CastleCopsのPhishing Incident Reporting and Termination Squiadのデータが使われています。また、調査対象は上記2サイトに「報告」された日付が2007年1月1日から3月21日までの80日間のものに限定されています。

 分析の結果、フィッシングサイトとして/24のネットブロックを単位とした場合、NetcraftとCastleCopsの2つに報告されたデータだけで全フィッシングサイトの80%をカバーしていることがわかりました。また、「同種」のフィッシングサイトを1つにまとめ、それを単位に分析すると、現存しているフィッシングサイトの40%をカバーしているようです。

 ただ、この結果をどう判断するかは難しいところです。まずフィッシングサイトを識別する「単位」として、IPアドレスそのものではなく、/24のネットブロックに精度を下げている点で、結果の80%の信頼性はかなり低いものと言えます。また、複数のフィッシングサイト(URL)を「同種」として 1つにまとめるアルゴリズムもまだ改良の余地があるようです。

 とにかく今回の結果は、「捕獲再捕獲法」でフィッシングサイトの状況を把握できるかもしれないという「可能性」を示したという点が重要であり、まずは今後のさらなる研究に期待したいところです。

URL
 APWG eCrime Researchers Summit
 http://www.antiphishing.org/ecrimeresearch/2007/program.html
 FISHING FOR PHISHES: APPLYING CAPTURE-RECAPTURE TO PHISHING(PDF)
 http://www.antiphishing.org/ecrimeresearch/2007/proceedings/p14_weaver.pdf
 CERT/CC Network Situational Awareness(NetSA)
 http://www.cert.org/netsa/
 Netcraft
 http://news.netcraft.com/
 CastleCops Phishing Incident Reporting and Termination Squad
 http://www.castlecops.com/pirt

ドイツで通信記録6カ月保存義務化

 つい先日、いわゆる「アンチハッカー法」で話題になったドイツですが、11月9日、通信事業者に対して、すべての通信記録を6カ月間保持することを義務付ける法律が議会で承認されたことが、波紋を広げています。

 この法律は、2006年に承認されたEUデータ保持指令(EU Data Retention Directive)に基づいて制定されたもので、この指令(条例)では、メンバー各国が通信記録を一定期間(6カ月から2年の間で各国が自由に定めてよい)保存することを義務付ける法律を制定することになっています。

 今回のドイツの法律で保存を義務付けられた項目は以下のようになっています。

 電話
 ・日付、時刻、通話時間、電話番号
 ・携帯電話の場合は通話時の場所やSMSの接続データなど

 インターネット
・IP アドレス、日付、時刻、接続時間、回線の種類

 電子メール
 ・電子メールアドレス、メールヘッダ

 いずれも通信の内容は含まれないそうです。

 一方、この法律に対してはドイツ国民の間で反対の声が大きく、各地でデモも行なわれたようです。また、そのようなデモ活動の一環として、ランダムな単語で自動的にGoogle検索をし続けることで、通信を無駄に増やし、通信記録の保持の意味を薄めることを目的としたツールがGPLで公開されるといった、若干、過激な動きも見られています。

 今回の法律の背景にあるEU指令では、2007年9月までに法律を定めるようにとなっていますが、法律制定までにこぎつけている国はまだ少ないようです。そこで今後、新たに法律が制定される国でも、同様の動きが見られる可能性があります。特に今回ドイツで見られたような「ツール」が大々的に用いられるような事態が発生した場合には注意が必要かもしれません。

 もちろん、ヨーロッパのネットワークとアジア太平洋地域のネットワークは物理的に離れているだけでなく、(基本的に)論理的にも離れているので、日本に直接の影響はないと思われますが、何らかの弊害が発生しないとも限りません。例えば、先ほど紹介したGoogle検索をし続けるツールは、ヨーロッパ内で一斉に使用されれば、それはGoogleに対する一種のDDoS攻撃になります。また、そのツールはソースも公開されていますから、書き換えることで他の検索サイトが対象になる可能性もあるのです。今後も注目しておいた方がよいかもしれません。

URL
 Wikipedia「Data retention in the European Union」
 http://en.wikipedia.org/wiki/Data_retention#Data_retention_in_the_European_Union
 tagesschau.de(2007年11月9日付記事)
 Bundestag stimmt umstrittener Datenspeicherung zu
 http://www.tagesschau.de/inland/vorratsdatenspeicherung22.html
 heise online(2007年11月9日付記事)
 Bundestag verabschiedet Gesetz zur Vorratsdatenspeicherung und TK-Uberwachung
 http://www.heise.de/newsticker/meldung/98747
 golem.de(2007年11月9日付記事)
 Bundestag stimmt fur Vorratsdatenspeicherung
 http://www.golem.de/0711/55924.html

セキュリティの甘いPCに濡れ衣を着せられるかも?

 少々古い話題ですが、今年の上半期に物議を醸した話題です。

 米コネチカットの中学の代用教員だった女性が授業で使っている教師用端末にポルノ画像を表示させ、生徒の目に触れさせたことで逮捕され、今年の1月、未成年者を「傷つけた」罪で有罪判決を受けました。

 事件は2004年10月、正教員が不在中の教室で、教師用端末の画面に生徒たち(日本の中学1年生に相当)がアクセスしている状態で、代用教員が教師用端末を操作し始めたとたん、ポルノ画像が次々とポップアップ表示され、生徒がそれらの画像を目にしてしまったというものです。

 問題とされているのは、彼女が意図的にポルノサイトにアクセスしていた可能性がある点、また、「事故」が発生した時に生徒の目に触れさせないためにPCの電源を抜いたり、着ていたセーターを脱いで画面にかぶせたりするなどの物理的な対応をしなかった点です。特に警察は、「意図的にポルノサイトにアクセスした」ことについて、彼女が教師用端末のブラウザにポルノサイトのURLを「タイプ入力した」痕跡があるとしています。

 一方、被告弁護側は、PCにインストールされていたフィルタリングソフトがライセンス切れで更新されていないために、ポルノサイトのポップアップをブロックできなかったと主張しています。

 また専門家は、当該PCがメンテナンスされていない状態であるためにマルウェアに感染して勝手にポルノサイトにアクセスした可能性を指摘しています。

 このような中、警察側が主張している「タイプ入力の痕跡」が、単なるブラウザのアクセス履歴に過ぎず、ユーザーがキーボードから意図して入力したものであるとは限らないとの指摘がなされています。さらに、今回有罪とされた「未成年者に対する犯罪」に伴う量刑が最長で禁固40年と、あまりに重過ぎるということもあり、被告を支援する動きが活発化しました。

 その結果、有罪判決後の量刑の宣告が何度も延期され、結局6月になって被告側の申し立てが認められ、新たな裁判が行なわれることになりましたが、本原稿執筆時点で日程は不明です。

 今回の事件は(係争中のため、「事実」はまだわかりませんが)セキュリティ対策が不充分なPCを使用することで、「濡れ衣」を着せられる可能性があることを示したという点で、教育関係者らにかなりの波紋を広げたようです。

 それにしても、事件が起きた 2004年の秋から判決が下るまで2年以上もかかった点や、再審が認められてから半年近く経っても進展がない点には疑問が残ります。

URL
 Network World(2007年3月12日付記事)
 Crime and punishment and technology
 http://www.networkworld.com/columnists/2007/031207backspin.html
 NBC32.com(2007年3月6日付記事)
 Professors Defend Teacher Accused Of Exposing Students To Pornography
 http://www.nbc30.com/news/11185863/detail.html?dl=headlineclick
 Wikipedia「State of Connecticut v. Julie Amero」
 http://en.wikipedia.org/wiki/Julie_Amero

(2007/12/05)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved.