 |
 |
記事検索 |
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
| 海の向こうの“セキュリティ” | |||||||||||
 |
|||||||||||
|
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
■英国で国民のPCへの令状なし侵入捜査を許可する計画 国民のプライバシー侵害に繋がる危険性を強く感じさせる政策が次々と生まれているヨーロッパですが、年明け早々、英国では、警察が令状なしに国民のPCに侵入して捜査することを認める計画が密かに進んでいたことが明らかになり、当然のことながら人権団体などからの猛反発を受けています。 このような警察やMI5による「遠隔捜査(remote searching)」は、3年以上の禁固刑が科せられるような犯罪の抑止や検知をするのに「適切(proportionate)」かつ必要と、高官(senior officer) が「信じる(believe)」ものであれば認められるとしています。 また、フランスやドイツなど他のEU加盟国が、英国当局に対して、英国内のPCに侵入し、押収した証拠資料を引き渡すように要求することもできるようになるようです。 このような中、英国内の専門家は、このような遠隔捜査は非常にまれではあるが、1994年以降、行なわれる可能性があったとしています(実際行なわれたかどうかは明らかではありません)。 遠隔捜査の具体例としては、容疑者の家や職場にあるPCにキーロガーを仕込んだり、遠隔捜査を容易にするための「マルウェア」を添付したメールを送りつけ、感染させた後に無線経由で侵入してハードディスク内を調べるといったものが挙げられています。これは容疑者宅に隠しカメラを設置するのと同じだという認識がなされているようです。 それにしてもヨーロッパは一体どこまで行ってしまうのでしょうか……。 ■URLTimes Online(2009年1月4日付記事) Police set to step up hacking of home PCs http://www.timesonline.co.uk/tol/news/politics/article5439604.ece ■2007年のTJXデータ侵害犯のウクライナ人、トルコで禁固30年の判決 つい先日も、米国の大手カード決済処理会社のHeartland Payment Systemsが何者かによる侵入を受け、過去最大規模の個人情報が流出した可能性があるとの報道がありましたが、同じような事件が2年ほど前に発生したことを覚えている方もいらっしゃるでしょう。 それは2007年の初めに公になった、米国小売大手のTJX社から約4000万件ものクレジットカードやデビットカードの番号などが何者かによって盗まれた事件です。 そして2009年1月初旬、この事件の犯行グループの1人、ウクライナ人のMaksym Yastremskiy被告が「トルコで」禁固30年の判決を受けたのです。 TJX事件は、2005年7月から2007年1月までの約1年半にわたって断続的に行われた攻撃により、顧客の個人情報が流出したという事件です。その後明らかになったところでは、侵入には無線LANの脆弱性が悪用されたと言われています。また、犯行グループは米国人、中国人、ウクライナ人、エストニア人、ベラルーシ人など11人で構成され、その半数は事件発覚後の2007年8月の時点で身柄が米国当局に確保されていました。 その時点で米国では逮捕されなかったYastremskiy被告ですが、実は2007年7月にトルコで逮捕されていたのです。逮捕容疑は、TJX事件とは無関係の、トルコ銀行のオンラインシステムへの侵入。当時から米国当局はYastremskiy被告がTJX事件に関与していることは認識していたようですが、その時点で身柄の引き渡しなどは行なわれませんでした。 そして今回、Yastremskiy被告はTJX事件ではなく、トルコで起こした事件で禁固30年の判決を受けたのです。 30年というのは十分に重い判決ですが、 Yastremskiy被告はトルコで起こした別の事件の裁判が継続中であるため、最終的にどれくらいの刑罰が科せられるかは不明です。 その一方で、米国当局が身柄引き渡しの書類を既に提出しており、また、Yastremskiy被告が米国当局にとっては容疑者であるとともに重要な証人ともなりうることから、何らかの司法取り引きが行われ、実質的な「減刑」がなされる可能性も指摘されています。 サイバー犯罪を犯した者には厳罰を与えるべきとの意見も当然あり、最終的にどのような決着を見せるのか興味深いところです。 ■URLThe Register(2009年1月8日付記事) Carder linked to TJX hack jailed for 30 years by Turkish court http://www.theregister.co.uk/2009/01/08/hacker_30yr_jail_stretch_turkey/ CNET NEWS(2007年3月29日付記事) TJX says 45.7 million customer records were compromised http://news.cnet.com/TJX-says-45.7-million-customer-records-were-compromised/2100-1029_3-6171671.html ■関連記事 ・米カード処理会社が不正侵入被害、過去最大規模の流出の恐れも(2009/01/22) ■韓国でも「OP25B」導入へ 日本でもスパム対策の一環として、多くのISPで「OP25B(Outbound Port 25 Blocking)」が導入されていますが、韓国でも同様の動きが見られています。 韓国放送通信委員会は、KT、SKブロードバンド、LGDACOMなど基幹通信事業者3社と共同で、OP25Bを2009年上半期中に導入する方針であることを発表しました。 今回の背景には、韓国が世界第5位のスパム配信国という汚名を返上したいという意識が働いていたようです。 しかし韓国ではWebメールの利用が圧倒的大多数を占めており、Outlookなどの通常のメールソフトを利用していて送信ポートの設定を変更しなければならないような個人ユーザーは30万~40万人程度と見られています。 つまり、日本よりはOP25B導入による影響(混乱)は少ないと考えられるわけですが、それならば逆に、なぜ今まで導入されなかったのか、セキュリティ対策では常に「イケイケ」な韓国なだけに疑問が残ります。 ■URLソウル経済(2009年1月8日付記事、韓国語) 放送通信委「ゾンビPC」退治に出る http://economy.hankooki.com/lpage/industry/200901/e2009010817002670260.htm ■韓国KISA、Webアプリのセキュリティ強化ツール配布 近年、SQLインジェクション攻撃をはじめとするWebアプリケーションの脆弱性を悪用してWebサイトを改ざんし、マルウェア配布サイトにするといったインシデントが多発しています。 このような中、韓国情報保護振興院(KISA)は、Webアプリの脆弱性が悪用されないように「予防」するためのプログラム「キャッスル(CASTLE)」を公開しました。紹介文によれば「主要な脆弱性を攻撃する侵入の試みおよび攻撃コードを遮断することができる」とあります。簡単に言えば、既存のWebアプリにラップをかけることで攻撃から守るというイメージです。 このプログラムは、ASP、JSP、PHPで作成された既存のWebアプリに容易に組み込めるように設計されています。 しかし当然のことながら、既に侵入・改ざんを受けているサイトに組み込んでも無意味なことから、KISAでは2008年に公開したWebハッキングツール探知プログラム「ホイッスル(Whistl)」によってチェックしてから「キャッスル」を使用することを推奨しています。 「キャッスル」と「ホイッスル」はどちらもKrCERT/CCのサイト(http://www.krcert.or.kr/)で公開されています。「キャッスル」は自由にダウンロードできますが、「ホイッスル」は申し込み書に必要事項を記入し電子メールで使用申し込みをする必要があります。 技術レベルの高い業者とそうでない業者の差が極端に大きい韓国だけに、公的機関によるこのようなツールの開発はなかなか興味深いです。しかしこのツール自体に脆弱性がないか、その管理と運用に一抹の不安を感じているのは私だけではないでしょう。 ■URLデジタルデイリー(2009年1月20日付記事、韓国語) KISA,ホームページハッキング防止プログラム「キャッスル」普及 http://www.ddaily.co.kr/news/news_view.php?uid=46101 (2009/02/04)
- ページの先頭へ-
|
