今回は韓国の話題を中心に紹介します。

■韓国で「知能型サイバー攻撃監視・追跡システム」開発

　韓国電子通信研究院（Electronics and Telecommunications Research Institute：ETRI）は10月6日、ネットワークの異常現象をリアルタイムに探知・分析し、ネットワークに侵入した攻撃者がどの国のどの場所にいるかを示すことができる「知能型サイバー攻撃監視・追跡システム（Attack Monitoring & Tracing：AMTRAC）」を開発したと発表しました。

　このシステムは、攻撃行為を可視化し、トラフィックを監視するなどして、リアルタイムに攻撃の状況を表示したり、攻撃元の国や場所を追跡して表示できるようです。また AMTRACは以下の3つの技術で構成されています。

1）VisCat（Visualization of Cyber Attack）
　視覚化基盤保安状況認知技術。ファイアウォール、ルータ、IDS/IPSなどのネットワーク機器やPCからセキュリティイベントを受信し、ネットワークとホストの保安状況を視覚化して分析する。

2）Scout
　サイバー攻撃をリンク基盤で追跡する、サイバー攻撃追跡技術。

3）VisZla
　ネットワークインフラ管理技術。追跡した攻撃元がどの国のどこにあるかがわかる。

　残念ながら、AMTRACのWebサイトがまだ十分に整理されておらず混沌とした内容になっているため、例えば、具体的に「何（どこ）を」「どのように」監視しているのかといった詳細は不明です。それでも、掲載されているスクリーンショットなどを見る限りでは、なかなか「カッコ良く」作られたシステムのようです。

　報道によると、AMTRACが追跡できる対象（クライアント）を拡大し、2008年末までに完成させる計画だそうですので、今後のETRIによる発表にも注目です。

■韓国アンラボ、第3四半期セキュリティ状況を発表

　韓国の安哲秀研究所（アンラボ）は10月10日、第3四半期の「7大セキュリティイシュー」を発表しました。「7」という中途半端な数であるのが不思議ですが、（主に）韓国の状況を示すものとして簡単に紹介します。

1）外国製偽ワクチンソフト奇勝
　偽ワクチンソフトとして具体的に名前が挙げられているのは、AntivirusXP 2008、AntivirusXP 2009、VistaAntivirus 2008、WinXSecurityCenter、XPProtector2009です。この中で最も被害が大きかったのは、AntivirusXP 2008（Win-Trojan/Fakeav.variant）だそうです。

2）外国製スパイウェア急増
　1月の時点で韓国製のスパイウェアは全体の60％を占めていたそうですが、9月には11％にとどまっていたそうです。その原因としては、上半期に国内スパイウェア製作者が取り締まられたこと、また2007年末からユーザーの同意なしにインストールされるActiveXもスパイウェアと分類されるようになったことのようです。

3）Webサイト攻撃の知能化
　Webサイトが侵入され、マルウェア配布サイトにされたり、その経由地にされた数は、第3四半期までで2876件。すでに2007年通年の2183件を超えています。攻撃の内容は、SQLインジェクションのほかに、Adobe FlashPlayerの脆弱性やMicrosoft Access Snapshot Viewerの脆弱性が使われているようです。

4）PDF、DOC、PPTファイルの脆弱性を悪用するマルウェア増加
　一般的なPDF、DOC、PPTファイルのほかに、韓国でトップシェアを誇っているワープロソフトであるHAANSOFT社製「アレアハングル 2007」のファイル形式「HWP（Hangul Word Processor）」ファイルの処理に含まれる脆弱性が悪用されるケースもあったそうです。

5）DDoS誘発するボットネットの活動力増加

6）DNSキャッシュポイズニング脆弱性攻撃コード初報告
　Dan Kaminsky氏が発表したものです。

7）伝統的なウイルスの被害継続中
　実行ファイル（.exe、.scr）に感染する「伝統的なウイルス」も相変わらず被害が多いようです。

　基本的には韓国に限らない話題が多いですが、4）のHWPファイルの件は興味深いです。日本でも国産のワープロソフト「一太郎」の脆弱性を悪用した攻撃が発生していますが、韓国でも官民そろって最もシェアの大きい韓国独自のワープロソフトの脆弱性が悪用されているんですね。

■韓国で「サイバー侮辱罪」新設の動き

　韓国では、国民的人気女優のチェ・ジンシルさんの自殺をきっかけに韓国政府が押し進めている、インターネットにおける侮辱行為を処罰するサイバー侮辱罪の新設や、すでに2007年から施行されているインターネット実名制（本人確認制度）を拡大・強化する案に対し、議論が巻き起こっています。

　まず、サイバー侮辱罪については、これまでの「侮辱罪」と異なり、被害者が訴えなくても警察や検察が捜査できるというのが最大の論点です。これに対しては、煩わしい告訴手続きが省けて良いという賛成意見と、被害者の私生活に対する侵害にあたるとする反対意見があります。

　一方、インターネット実名制の拡大とは、利用者の多いサイト（1日の訪問者数が30万人以上のポータルサイトや20万人以上のインターネットメディア）に対して、ユーザーの掲示板への書き込みに際して、本人確認を義務付ける現行の制度を、訪問者数10万人以上のサイトに拡大するというものです。これにより、適用対象は37サイトから178サイトに増えることになります。

　これに関しては、制度の拡大だけでなく、実効性の観点から真の「実名制」を導入すべきとの意見も出てきています。

　そもそもこの制度は、ユーザー登録時の本人確認を義務化するだけで、実際にユーザーが掲示板に書き込む際に本名を使うことを義務付けるものではありません。そこで、より実効性のある制度として、書き込みの際にも実名を書くことを義務付ける、真の意味での「実名制」を導入しようという意見が増えてきているのだそうです。

　このような中で行われたある世論調査によると、国民の半数以上が「サイバー侮辱罪の導入」「インターネット実名制の導入」に賛成しているという結果が出ています。

　「熱しやすい」国民性の韓国で、人気女優の突然の自殺というショッキングな事件に対して、多少熱くなり過ぎている印象を受けないではないのですが、最終的にどういう形に落ち着くのか、動向を見守りたいと思います。

■ハードディスク暗号鍵の黙秘は法律違反、英国で裁定

　最後に韓国以外の話題として、英国の話題を紹介します。

　これは、自分の立場を不利にする証言を拒むことができる、いわゆる「黙秘権」はどこまで行使できるかという問題に繋がっています。

　英国では10月、被疑者が自らの不利になる可能性がある情報が収められたハードディスクの暗号鍵（パスワード）を明かさない行為が法律違反になるとの裁定が下されました。

　裁定の根拠となったのは、ハードディスクの暗号鍵とタンスや金庫の鍵のような物理鍵は基本的に同じであるという考えにあるようです。つまり、鍵そのものが被疑者を不利にするのではなく、その鍵で守られた中身が不利にする可能性があるだけだというわけです。

　また別の根拠として、適切な手続きに基づいた命令がある場合に被疑者がDNAの提供を拒めないように、黙秘権にはそもそも制限があるという考えもあるようです。

　テロ対策に敏感な英国と日本ではそもそも法律が違うので、この事例が日本にどう影響するかはわかりませんし、この裁定の善し悪しをここで論じるつもりもありません。それよりも、暗号鍵が法的に物理鍵と完全に同じように扱われる（ことがある）ということに改めて気付かされた事例でした。

　ただ、今回の事例の場合は、逮捕時に被疑者の1人が暗号鍵を入力してハードディスクの内容を暗号化するところが警察に目撃されていたことから、暗号化されていることがわかり、それゆえに暗号鍵を明かすように被疑者に命令することができましたが、果たして今回のような命令が常に出せるかは疑問です。また、場合によってはそのような命令に従っても無意味である可能性もあるのです。

　例えば、「暗号化されていると思われるハードディスク」が証拠品として押収されても、それが本当に暗号化されているのか、ただのランダムな（もしくは壊れた）データが収められているだけか、厳密に区別することは難しいのではないかと思います。ほかにも、複数の鍵を用意して1つの鍵では一部しか復号できないようにするなど、命令に従って暗号鍵を明らかにしても肝心のデータを隠したままにするという回避策も技術的に不可能ではありません。

　こういった事例は今後も様々なパターンで出てくるかもしれません。

(2008/11/05)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.