Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか

英国で国民のPCへの令状なし侵入捜査を許可する計画

 国民のプライバシー侵害に繋がる危険性を強く感じさせる政策が次々と生まれているヨーロッパですが、年明け早々、英国では、警察が令状なしに国民のPCに侵入して捜査することを認める計画が密かに進んでいたことが明らかになり、当然のことながら人権団体などからの猛反発を受けています。

 このような警察やMI5による「遠隔捜査(remote searching)」は、3年以上の禁固刑が科せられるような犯罪の抑止や検知をするのに「適切(proportionate)」かつ必要と、高官(senior officer) が「信じる(believe)」ものであれば認められるとしています。

 また、フランスやドイツなど他のEU加盟国が、英国当局に対して、英国内のPCに侵入し、押収した証拠資料を引き渡すように要求することもできるようになるようです。

 このような中、英国内の専門家は、このような遠隔捜査は非常にまれではあるが、1994年以降、行なわれる可能性があったとしています(実際行なわれたかどうかは明らかではありません)。

 遠隔捜査の具体例としては、容疑者の家や職場にあるPCにキーロガーを仕込んだり、遠隔捜査を容易にするための「マルウェア」を添付したメールを送りつけ、感染させた後に無線経由で侵入してハードディスク内を調べるといったものが挙げられています。これは容疑者宅に隠しカメラを設置するのと同じだという認識がなされているようです。

 それにしてもヨーロッパは一体どこまで行ってしまうのでしょうか……。

URL
 Times Online(2009年1月4日付記事)
 Police set to step up hacking of home PCs
 http://www.timesonline.co.uk/tol/news/politics/article5439604.ece

2007年のTJXデータ侵害犯のウクライナ人、トルコで禁固30年の判決

 つい先日も、米国の大手カード決済処理会社のHeartland Payment Systemsが何者かによる侵入を受け、過去最大規模の個人情報が流出した可能性があるとの報道がありましたが、同じような事件が2年ほど前に発生したことを覚えている方もいらっしゃるでしょう。

 それは2007年の初めに公になった、米国小売大手のTJX社から約4000万件ものクレジットカードやデビットカードの番号などが何者かによって盗まれた事件です。

 そして2009年1月初旬、この事件の犯行グループの1人、ウクライナ人のMaksym Yastremskiy被告が「トルコで」禁固30年の判決を受けたのです。

 TJX事件は、2005年7月から2007年1月までの約1年半にわたって断続的に行われた攻撃により、顧客の個人情報が流出したという事件です。その後明らかになったところでは、侵入には無線LANの脆弱性が悪用されたと言われています。また、犯行グループは米国人、中国人、ウクライナ人、エストニア人、ベラルーシ人など11人で構成され、その半数は事件発覚後の2007年8月の時点で身柄が米国当局に確保されていました。

 その時点で米国では逮捕されなかったYastremskiy被告ですが、実は2007年7月にトルコで逮捕されていたのです。逮捕容疑は、TJX事件とは無関係の、トルコ銀行のオンラインシステムへの侵入。当時から米国当局はYastremskiy被告がTJX事件に関与していることは認識していたようですが、その時点で身柄の引き渡しなどは行なわれませんでした。

 そして今回、Yastremskiy被告はTJX事件ではなく、トルコで起こした事件で禁固30年の判決を受けたのです。

 30年というのは十分に重い判決ですが、 Yastremskiy被告はトルコで起こした別の事件の裁判が継続中であるため、最終的にどれくらいの刑罰が科せられるかは不明です。

 その一方で、米国当局が身柄引き渡しの書類を既に提出しており、また、Yastremskiy被告が米国当局にとっては容疑者であるとともに重要な証人ともなりうることから、何らかの司法取り引きが行われ、実質的な「減刑」がなされる可能性も指摘されています。

 サイバー犯罪を犯した者には厳罰を与えるべきとの意見も当然あり、最終的にどのような決着を見せるのか興味深いところです。

URL
 The Register(2009年1月8日付記事)
 Carder linked to TJX hack jailed for 30 years by Turkish court
 http://www.theregister.co.uk/2009/01/08/hacker_30yr_jail_stretch_turkey/
 CNET NEWS(2007年3月29日付記事)
 TJX says 45.7 million customer records were compromised
 http://news.cnet.com/TJX-says-45.7-million-customer-records-were-compromised/2100-1029_3-6171671.html

関連記事
 ・米カード処理会社が不正侵入被害、過去最大規模の流出の恐れも(2009/01/22)

韓国でも「OP25B」導入へ

 日本でもスパム対策の一環として、多くのISPで「OP25B(Outbound Port 25 Blocking)」が導入されていますが、韓国でも同様の動きが見られています。

 韓国放送通信委員会は、KT、SKブロードバンド、LGDACOMなど基幹通信事業者3社と共同で、OP25Bを2009年上半期中に導入する方針であることを発表しました。

 今回の背景には、韓国が世界第5位のスパム配信国という汚名を返上したいという意識が働いていたようです。

 しかし韓国ではWebメールの利用が圧倒的大多数を占めており、Outlookなどの通常のメールソフトを利用していて送信ポートの設定を変更しなければならないような個人ユーザーは30万~40万人程度と見られています。

 つまり、日本よりはOP25B導入による影響(混乱)は少ないと考えられるわけですが、それならば逆に、なぜ今まで導入されなかったのか、セキュリティ対策では常に「イケイケ」な韓国なだけに疑問が残ります。

URL
 ソウル経済(2009年1月8日付記事、韓国語)
 放送通信委「ゾンビPC」退治に出る
 http://economy.hankooki.com/lpage/industry/200901/e2009010817002670260.htm

韓国KISA、Webアプリのセキュリティ強化ツール配布

 近年、SQLインジェクション攻撃をはじめとするWebアプリケーションの脆弱性を悪用してWebサイトを改ざんし、マルウェア配布サイトにするといったインシデントが多発しています。

 このような中、韓国情報保護振興院(KISA)は、Webアプリの脆弱性が悪用されないように「予防」するためのプログラム「キャッスル(CASTLE)」を公開しました。紹介文によれば「主要な脆弱性を攻撃する侵入の試みおよび攻撃コードを遮断することができる」とあります。簡単に言えば、既存のWebアプリにラップをかけることで攻撃から守るというイメージです。

 このプログラムは、ASP、JSP、PHPで作成された既存のWebアプリに容易に組み込めるように設計されています。

 しかし当然のことながら、既に侵入・改ざんを受けているサイトに組み込んでも無意味なことから、KISAでは2008年に公開したWebハッキングツール探知プログラム「ホイッスル(Whistl)」によってチェックしてから「キャッスル」を使用することを推奨しています。

 「キャッスル」と「ホイッスル」はどちらもKrCERT/CCのサイト(http://www.krcert.or.kr/)で公開されています。「キャッスル」は自由にダウンロードできますが、「ホイッスル」は申し込み書に必要事項を記入し電子メールで使用申し込みをする必要があります。

 技術レベルの高い業者とそうでない業者の差が極端に大きい韓国だけに、公的機関によるこのようなツールの開発はなかなか興味深いです。しかしこのツール自体に脆弱性がないか、その管理と運用に一抹の不安を感じているのは私だけではないでしょう。

URL
 デジタルデイリー(2009年1月20日付記事、韓国語)
 KISA,ホームページハッキング防止プログラム「キャッスル」普及
 http://www.ddaily.co.kr/news/news_view.php?uid=46101

(2009/02/04)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2009 Impress Watch Corporation, an Impress Group company. All rights reserved.