Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか

米ペイリン副大統領候補のメールアカウントが盗まれる

 米共和党の副大統領候補であり、現アラスカ州知事のサラ・ペイリン氏がプライベートで使用しているYahoo! Mailのアカウントが盗まれ、メールの内容などがインターネット上に公開される事件が発生しました。

 アカウントの乗っ取りが行われたのは9月16日夜(米国時間)と見られています。その後、18日に画像掲示板サイトに掲載された数枚のスクリーンショットがきっかけとなり、容疑者としてテネシー州に住む大学生が浮上したのですが、この大学生の父親が民主党所属の州議会議員であったことが大きな波紋を広げました。

 このように事件そのものは、副次的騒動を引き起こしつつも、比較的スムーズに解決の方向に進んでいるようですが、この事件は重要な「教訓」を含んでいます。

 まず1点めは、メールアカウントにおける公私の区別です。今回盗まれたプライベートなメールアカウントが公務で使われていた可能性が指摘され、問題視されています。

 米国では州知事の公務に関する文書はたとえメールであってもすべて保存し、開示請求に備えなければならないのですが、それを避ける目的で、あえてプライベートなメールアカウントを使って公務に関するやり取りを行なっていたのではないかとの疑惑が持たれているのです。

 米国での事情がどのようなものであるにしろ、メールアカウントに公私の区別を付けないことが、情報管理上、大きな問題に繋がることはセキュリティに携わる者にとっては常識と言えます。しかし現実には、公私の区別を付けず、業務でやり取りするメールをプライベートのメールアカウントに転送するなどして、外出先や自宅でも業務メールを読めるようにしている人も少なくありません。

 プライベートのメールアカウントを用いるということは、メールの内容もアカウントも、その管理のすべてが自社(自組織)の管理下から外れることを意味し、これが情報セキュリティポリシーに違反する可能性があることをどれだけの人が認識しているのでしょうか。

 まず、この点からの啓発が必要でしょう。

 2点めは、フリーメールサービスをはじめとするアカウント管理の脆弱性です。今回のアカウント乗っ取りには、パスワード再発行時の本人確認の仕組みが悪用されたと見られています。

 比較的よくある本人確認の仕組みとして、本人ならば確実に答えられる(はずの)質問に答えさせるといったものがあります。例えば「母親の旧姓は?」「好きな食べ物は?」「ペットの名前は?」といった質問に正確に答えられれば本人であると認められます。

 確かに、本人ならば確実に答えられるでしょう。しかし、ペイリン氏のような著名人の場合、Googleなどの一般的な検索エンジンで検索するだけで、これらの質問には比較的容易に答えられてしまう可能性があるのです。

 しかし、これは著名人に限ったことではありません。特にブロガーの多い日本では、このような質問の「正解」そのものや「ヒント」になるような情報を不用意にブログに掲載してしまう人が少なくないからです。

 パスワード再発行時における本人確認の仕組みに改良の余地はありますが、それだけでなく、本当に「本人だけが答えられる質問」を設定し、その回答のヒントになるような情報を決して漏らさないように注意するという「意識の啓発」も求められるでしょう。

URL
 USA TODAY(2008年9月19日付記事)
 「Companies can learn from hacking of Palin's e-mail」
 http://www.usatoday.com/tech/news/computersecurity/hacking/2008-09-18-palin-yahoo-hack_N.htm

韓国GS Caltex社、顧客1119万人の個人情報漏えい事件

 韓国では9月5日、大手石油会社「GS Caltex」の顧客1119万人の個人情報が収められたDVDがソウル繁華街の道ばたに落ちているのが発見されたとの報道がありました。そのDVDに収録された個人情報の件数が2月に発生したAuctionの情報漏えい事件での件数1081万よりも多く、また漏洩した情報の中に政治家などの情報が含まれていたことから大きな騒ぎを生むことになりました。

 その後、韓国警察庁サイバーテロ対応センターの調査により、漏えいした情報には特定の者だけがアクセス可能であったこと、またシステム上に侵入の痕跡がなかったことから内部犯行であることがすぐに判明しました。

 今回の事件で逮捕された容疑者は4名。うち2名はGS Caltexの子会社の社員でした。

 逮捕された子会社社員チョン容疑者は、まず業務上有していた顧客データベースのアクセス権限を使って、氏名、住民登録番号、住所、携帯電話番号などの個人情報を抜き出し、同僚のペ容疑者に依頼してエクセル形式のファイルにしたものをDVDに収録しました。そのDVDはチョン容疑者から高校時代の友人であるワン容疑者を経由して、マスコミとつながりのあるキム容疑者の手に渡り、キム容疑者はそのDVDを道ばたで拾ったと偽って記者やテレビ局のプロデューサーに提供する一方、DVDの複製を作っていたようです。なお、複製のうち何枚かはすでに第三者の手に渡っていると見られています。

 容疑者らがメディアに情報を提供した理由について警察は、GS Caltexの顧客情報が大量に漏えいしたことが世間に知られれば、情報を欲しがる者が増え、結果として売買価格が上がると考えたからではないかとしています。

 今回の事件については、内部犯行であり、また犯行に用いられた業務用パソコンのハードディスクが交換されているなどの証拠隠滅が図られていたこともあって、GS Caltexはメディアが報道するまで全く気付いていなかったようです。

 その一方でGS Caltexは、メディアによる報道があった直後に警察に調査を依頼するとともに、社長をチーム長とする「非常対策タスクフォース」を設置。そしてDVDに収録された情報と顧客情報データベースを比較し、その内容が同じであったことを、メディアの報道があった当日9月5日の午後3時に記者会見を開いて発表しました。その際に、すべての比較が完了した後に記者会見を開くべきとの意見も社内にはあったそうですが、一刻も早く知らせるべきとの意見が多かったことから、比較分析作業が70%ほど済んだ時点で会見を開いたそうです。

 その後、週末は休んでいるカスタマーサービスセンターを9月6日・7日の両日ともに開き、顧客からの質問に答えられるようにする一方、FAQをまとめてWebサイトに掲載。また、事件発覚の翌日6日付の新聞各紙に謝罪広告を載せるとともに、謝罪文をWebサイトに掲載しました。

 さらに、自分の情報がDVDに収録されていたか否かを顧客自身で確認できるサイトも設置しました。

 技術的な対策もすぐに発表されました。10月末までに顧客データベースを暗号化するとともに、指定された媒体以外での社外への持ち出しをできなくするといった対策のほか、顧客情報の登録時に住民登録番号を必要としない方法を検討中とのことです。

 2月のAuctionの事件では、顧客への告知が大幅に遅れるなどAuction側の対応の悪さに批判が集中したのに対し、こうしたGS Caltexの迅速かつ開かれた対応は、韓国国内で「良い対応」として評価されているようです。

 ところで韓国では昨年来、大規模な顧客情報漏えい事件が発生し、被害者である顧客による損害賠償請求が多数起こっています。

 すでに確定判決が出ているケースにおける被害者1人あたりの賠償金は、リネージュ事件で10万ウォン(約1万円)、国民銀行事件では20万ウォン(約2万円)、さらLG事件では70万ウォン(約7万円)となっています。

 しかし、今回のGS Caltexの事件に関しては、内部犯行であることやすでに個人情報を収録したDVDが第三者に渡っている可能性があることから、1人あたりの賠償請求額は200万ウォン(約20万円)になるのではないかとの見方もあるようです。

URL
 東亜日報(2008年9月7日付記事)
 「GSカルテックス『パニック』…『集団訴訟額4兆ウォン超える可能性も』」
 http://www.donga.com/fbin/output?n=200809070092
 東亜日報(2008年9月8日付記事)
 「GSカルテックス情報流出容疑者は子会社職員」
 http://www.donga.com/fbin/output?n=200809080096
 東亜日報(2008年9月8日付記事)
 「GSカルテックス『後暴風最小化』」
 http://www.donga.com/fbin/output?n=200809080098

(2008/10/08)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.