■McAfee Avert Labsの年次研究報告書「Sage Vol.3」

　2月19日、McAfee Avert Labsの年次研究報告書「Sage Vol.3」が公開されました。Sageは最近のセキュリティに関する話題を一般ユーザー向けにまとめた読み物で、今回公開されたVol.3では、マルウェアについてMcAfee Avert Labsの各国の研究者が記事を書いています。記事で紹介されているのは、日本、中国、ロシア、ドイツ、ブラジル、米国の最近の状況とその背景です。

　この報告書によると、マルウェアなどのセキュリティ上の脅威が、かつてのCodeRedやNimda、Blasterのような世界規模ではなく、「局地化」している状況が非常によくわかります。

　まず、日本の状況としてはWinnyやShareなどのP2Pファイル共有ソフトウェアを介した、いわゆる暴露ウイルスによる情報漏洩の話題と、一太郎やLhaca、Lhazといった日本固有のアプリケーションの脆弱性を悪用したゼロデイ攻撃および標的型攻撃の話題が紹介されています。

　次に中国の状況としては、オンラインゲームで使われているバーチャルなアイテムを実際の貨幣で取り引きするリアルマネートレード（RMT）を狙った「パスワードスティーラー」がマルウェアの半数を超えている状況が紹介されています。

　また、中国においてRMTが広まり、そして同時に狙われている理由として、オンラインの支払いにプリペイドカードとインターネットカフェが使われるという中国ならではの状況が背景にあることも紹介されています。この仕組みにより、不正取り引きやサイバー犯罪の追跡が複雑化してしまっていることも問題に拍車をかけているようです。

　他にも、関連する興味深い話題として、中国政府が導入した「ゲーム疲労規制」が紹介されています。中国のインターネットユーザーは既に1億人を超えていますが、その4分の1がオンラインゲームプレイヤーです。このオンラインゲーム熱のあまりの急激な広まりに対して中国政府が導入したゲーム疲労規制とは、若年層のゲーマーが1日に3時間以上プレイするとゲームの経験ポイントを失い、5時間以上プレイするとポイントがすべてなくなるというシステムなのだそうです。

　続けて、ロシアからの報告内容で目を引くのは、McAfee Avert Labsの観点では、旧ソ連からのマルウェアやスパム、フィッシング攻撃の増加の影に、ロシアマフィアや秘密警察はおらず、あくまで主原因は経済的要素にあると結論付けている点です。また、販売されているボットとボットビルダーの値段や「スパム関連サービス」の値段なども具体的に紹介されています。

　このほか、ドイツとブラジルからはオンラインバンキングの話題、米国からは、米国で起こるものは他の国でも起こりうるが、逆は必ずしも成立しないという特徴と、その背景に「島国根性を持つ国民性」がある点などが紹介されています。

　このレポートは日本語版も公開されていますし、非常に平易な文体でわかりやすく書かれていますので、広く多くの方に読んでいただきたいです。

■韓国で裁判所を騙ったフィッシングメール

　フィッシングメールというと、銀行やカード会社を騙ったものをイメージしがちですが、韓国では裁判所を騙ったフィッシングメールが登場したそうです。韓国KBS（日本のNHKに相当）の報道によると、このフィッシングは次のような流れになります。

　まず、法院（裁判所）を騙ったメールが送られてきます。そのメールに添付されたファイルを開くと「罰金が科せられたので、ソウル高等法院のホームページにアクセスしろ」という文章が表示され、同時にマルウェアに感染。このマルウェア感染により、正規のソウル高等法院のURLにアクセスしても偽サイトにアクセスさせられてしまいます。

　次に、アクセスした偽サイトで住民登録番号を入力すると、「性売買特別法に違反したので罰金を払え」という内容が表示され、さらにそこで入力した個人情報が盗まれるのだそうです。

　韓国でも最近はフィッシングの被害が増えてきており、金融機関からのメールに対しては利用者も警戒するようになってきているようです。そのため「犯人」は利用者が警戒しないような公的機関を使うことを考えたのでしょう。今回の事件については、実際に被害にあった人がどれくらいいるかについては報道されていませんが、司法機関を騙り、しかも「性売買特別法違反」と言ってくるなど、（特に男性にとっては）痛いところをついてくる手法ですね。

■オーストラリア、85億円かけたフィルターが大失敗

　子供たちを不適切なサイトにアクセスさせないようにする「フィルタリング」はもはや世界的に「当たり前のこと」になっており、既に多くの国で政府がフィルタリングに関して多くの金額を投入しています。

　そんな中でオーストラリア政府が8,500万オーストラリアドル（約85億円）をかけて用意したフィルターが「大失敗」に終わったようです。このフィルターが公開された直後、ある子供がフィルターを破る手法を見つけてその方法を公開してしまったからです。

　オーストラリア政府も、このような事態は全く予想していなかったわけではなかったようですが、ここまですぐに破られてしまうとは想定しなかったようです。これに対し、フィルターの公開7カ月後、政府は公式に「失敗だった」と認め、今後は、ISPベースのフィルタリングなど包括的な方法を計画していると発表したそうです。

　それにしても、たかがフィルタリングになぜ85億円もかかったのかが不思議でなりません。

■欧州におけるフィルタリング～検閲への動き

　欧州では、インターネットのフィルタリング、さらに言えば「検閲」への動きが各国で活発化し始めたことに対して、激しい反発と議論が生まれているようです。

　フィンランドでは、Matti Nikkiというプログラマーが、フィンランド当局が児童ポルノ拡散防止を目的に検閲していたとされるドメインの秘密のリストを公開したことで取り調べを受けています。彼の目的は検閲のシステムが悪用できてしまうことを証明することだったようですが、この事件をきっかけに検閲に対する不満の声が起こっています。

　フィンランド当局が行なった検閲は、用意したリストを国内20の大手ISPに配り、それに従いISPがアクセスをブロックするというものです。しかし、大手以外の200あまりのISPにはアクセスをブロックするための技術がないため、結果的に検閲とは言っても完璧には程遠いものだったようです。

　また、Nikkiが公開したリストにあるサイトの中には、児童ポルノへのリンクだけでなく、通常のポルノへのリンクが含まれており、すべてを無条件に検閲してしまうことへの問題点も指摘されています。

　一方、デンマークでは、当局がISPに対して特定のファイル共有サイトへのアクセスをブロックすることを決めたようですが、これに対して大手ISPが裁判所の命令に対して争う姿勢を示しています。

　このような中、スウェーデンのある専門家は、児童ポルノのような国際的に嫌悪されているものについてはフィルタリングの負の側面を無視することは容易だが、検閲を一度認めてしまうと、際限がなくなる恐れがあるとコメントしています。

　例えば、2007年9月に、EUがISPに対して、爆弾製造に関する情報を掲載しているWebサイトへのアクセスをブロックするように呼びかけたり、2008年1月には英国政府がテロを誘発するサイト（SNSを含む）への対策をとる方針を示したりといったことは記憶に新しいところです。これ自体は問題があるように見えませんが、もしEUが本格的に著作権侵害やテロ、児童ポルノに関連したサイトをフィルタリングするようになれば、通信の自由に深刻な影響を及ぼす可能性があると危惧しているようです。

　「フィルタリング＝検閲」は確かに大雑把で短絡的な方法ですし、これが最善の方法だと思っている人はいないのではないかと思います（思いたいです）。しかし現状では他に適切な手段が見当たらないことから、「とりあえず」安易な方法で目先の問題を解決しようと考えるヨーロッパ各国の当局の考えも理解できないわけではありません。

　しかし、一度これを認めてしまった後のことを考えれば、その運用において（一般利用者にとって）悪い方向に流れていく可能性は否定できず、フィルタリングの導入にあたっては、十分な議論と国民の理解（納得）が必要があることは間違いないでしょう。

(2008/03/04)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.