■「米国交渉団のノートPCからファイルをコピー」中国当局に疑惑報道

　AP通信の報道によると、Carlos M. Gutierrez米商務長官が2007年12月に通常問題協議のため北京を訪問した際に、米国交渉団が持ち込んだノートPCから中国当局がこっそりファイルをコピーし、さらにその情報をもとに商務省のコンピュータに侵入を試みたとの疑いがあり、米国捜査当局が調査を進めているそうです。

　コピーは交渉団のメンバーがノートPCを置いたまま席を離れたわずかな隙に行なわれたと見られていますが、これに対し、Gutierrez長官は「捜査中のためコメントはできない」としていますし、商務省のスポークスマンも今回の事件が中国で発生したことについては肯定も否定もできないとしています。

　ノートPCを置いたまま席を離れたことが米国政府のルールに反しているかははっきりしませんが、米国国土安全保障省などのいくつかの省庁では、海外に出張する際には「サニタイズされた」ノートPCが用意され、機密情報が含まれている可能性がある通常業務で使用しているノートPCは米国内から持ち出さないことになっているそうです。また、商務省の元職員は、中国出張時にはノートPCなどの電子機器は常に肌身離さず持ち歩いていたと語っています。

　果たして今回の事件が事実か否かは現時点ではっきりしませんが、もしこれが事実なら、北京オリンピックを前に外交問題に発展する可能性もあります。しかし、その一方で米国政府関係者の情報管理意識の甘さも強く非難されてしかるべきでしょう。

　この事件と関連して、Joel F. Brenner米情報機関高官は、中国出張した米国ビジネスマンの持ち込んだPDAにスパイウェアが仕込まれそうになった事件があったことを引き合いに出し、中国出張の際には使い捨て（レンタル）携帯電話を使うことを推奨するなど、注意を喚起しています。

■FBIが摘発した“多国籍”フィッシング詐欺

　米連邦捜査局（FBI）は5月19日、ルーマニア司法当局とともに、米国とルーマニアをベースにフィッシング詐欺を行なっていた38人を逮捕・起訴したことを発表しました。

　詐欺の手口としては、まず銀行を騙った130万通以上のフィッシングメールを送信。そこから偽サイトに誘導し、銀行口座に関する個人情報を入手。そしてルーマニアをベースとした「supplier」が被害者の情報を収集し、そのデータを、米国をベースとした「cashier」にチャットメッセージを経由して送信。「cashier」はそのデータを使ってカードを偽造し、そのカードが実際に「cashable（＝現金引き出し可能）」かどうかを、「runner」にATMなどから小額を引き出させるなどして試させ、OKならば限度額いっぱいまで引き出し、手に入れた金の一部を「supplier」に送金していたようです。

　今回の発表で注目すべきは、逮捕・起訴された容疑者たちの多国籍ぶりです。米国人やルーマニア人はもちろん、ベトナム人、コロンビア人、パキスタン人やメキシコ人がおり、実際の「犯行」が行なわれた場所も米国やルーマニアだけでなく、カナダ、パキスタン、ポルトガルと広範囲に渡っており、まさに国境のないインターネット上で行なわれた犯罪らしさを如実に示しています。

　今回の事件の手口自体はさほど目新しいものではないですが、FBIの発表の背景には、今回のような「国境のない犯罪」に対して米司法当局が国際的な連携を積極的に行なっているという事実をアピールする目的もあったようです。

■チリで600万人の個人情報が流出、ブログなどで公開される

　セキュリティ絡みの話題というと、米国や中国、ロシアの話題が多く、南米の話題が出ることはこれまでほとんどありませんでしたが、5月11日、南米チリで起こった大規模情報流出事件が大きく報道されました。

　今回の事件で注目すべきなのは、600万人の個人情報が流出したという規模の大きさのみならず、それが紛失といった「事故」に起因するものではなく、「意図」を持った犯人によって侵入された教育省や軍のサーバーから盗み出され、その情報がWebサイト（ブログなど）で公開されてしまったという点です。

　情報が盗まれたのは5月9日と見られ、その後、5月10日の早朝に、公開されているのを発見したあるサイトの管理者が警察に通報したことで事件が発覚しました。

　公開された情報は警察から通報を受けた当該サイトの管理者によって、当日の朝のうちに削除されたものの、削除までの間にダウンロードされた可能性もあり、当局が捜査を進めているようです。

　「Anonymous Coward」と名乗る犯人の目的は、チリにおける情報管理レベルの低さを示すことだったようですが、盗まれた情報には個人のIDカード番号、住所、電話番号、メールアドレスだけでなく、学歴なども含まれていたことから、（ある意味）犯人の思惑通り大きな問題となっています。

　また、公開されてしまった情報には、公共交通機関の優待パスを取得している学生のリストもあり、その中にMichelle Bachelet大統領の2人の娘が含まれていたことも報道されています。なお、優待パスには写真と学校名が載っているそうですが、それ以外の機密情報は含まれていないとのことです。

■通話記録などすべてデータベース化？　英国で通信データ法案

　英国内務省が通信データ法案（Communications Data Bill）を公開しました。これは、テロ対策と犯罪捜査のために、政府や司法当局が国民の通話記録やインターネットの使用記録を利用できるようにするというものです。

　この法案に関連して、英国でやり取りされる通話記録および電子メールに関するすべての情報をデータベースにして保存することを大臣が検討していると報道されたことで反発を招いています。

　すでに英国では2006年に承認されたEUデータ保持指令（EU Data RetentionDirective）に基づいて、携帯電話を含む電話の通話記録を保存することが業界の自発的合意によって行なわれていますが、今回公開された法案は、この通話記録の保存を政府や司法当局にとって都合のよいものに拡大するだけのものではないかというのです。

　しかも、2007年10月に歳入関税局が起こした約2,500万人分の個人情報が収録されたCD-ROMの紛失事件をはじめ、数々の個人情報紛失が明らかになり、すっかり国民からの信頼を失ってしまった英国政府が、このような法案を出すというのも驚きです。

　少なくとも「データベース」などというのは間違いなく国民から「No」を突きつけられるのではないかと思います。

■“1日最大1,000通制限”など拡大、韓国でスパム防止ガイドライン改訂へ

　韓国放送通信委員会と韓国情報保護振興院（KISA）が5月29日に開かれた「2008年スパム防止ガイドライン（案）改訂公聴会」で、現在改訂を進めているガイドラインの案を発表しました。その中で興味深い点だけを取り上げて紹介します。

1）既存取り引き関係期間制限
　過去に一度でも取り引き関係があった相手には事前同意なしに無制限に広告メールを送信することができたのを、事前同意なしに広告メールを送ることができるのは過去6カ月以内に取り引き関係のあった相手のみに制限。

2）スパム配信業者情報保持
　現在は携帯電話会社にのみ制限的に施行している「不法広告性情報送信」によって契約を解約された顧客の情報（氏名、住民番号、電話番号、解約事由）を1年間保管できる制度を、すべての情報通信サービスプロバイダーに拡大。

3）メール送信量1日最大1,000通制限
　すでに2006年8月から、携帯電話の番号あたりで送信できるメールを「1日最大1,000通」としている制限を、ポータルサイト運営業者や発送代行業者にまで拡大することを推進。

　相変わらず「イケイケ」な韓国らしいガイドラインですが、KISAは、この案に対する関連事業者および利用者などの意見をとりまとめた後、6月中にはガイドラインを定める予定とのことです。

(2008/06/05)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.