ロシアと中国のハッキングコミュニティの違い／韓国の住民登録証から指紋の偽造は可能

ロシアと中国のハッキングコミュニティの違い

　西側諸国から何かとサイバー攻撃の当事者（関係者）として指摘されることの多いロシアや中国ですが、そのような中、米セキュリティ企業Recorded Futureは、ロシアと中国のいわゆる「ハッキングコミュニティ（Hacking Communities）」を比較分析した調査結果を発表しました。調査は、ロシア人や中国人になりすました架空の人物による「潜入捜査」のようなかたちで1年に渡って行われたそうです。

　ただし、厳密には「ロシア語話者」「中国語話者」によるコミュニティであり、必ずしも国籍や居住地がロシアや中国であるとは限らないということに注意が必要です。特に「ロシア語話者」については旧ソ連や旧共産圏（のロシア系の住民）なども含まれる可能性があります。

　調査の結果としてRecorded Futureは、ロシア語のフォーラムの文化は「Thief Spirit」であり、金儲けが何よりも優先されるとしています。一方、中国語のフォーラムは「Geek Spirit（極客精神：正確には「極」は簡体字の「木へんに及」）」であり、その根底には「愛国心（patriotism）」があるとしています。

　Executive Summaryとして挙げられているポイントは以下の通り。

• どちらのフォーラムも幅広くさまざまな国際的コンテンツを提供している。ロシア企業からのデータがロシア語のフォーラムで売りに出されることはめったにないが、中国企業起源のデータやマルウェアが見つかるのは基本的に中国語のフォーラムのみである。
  
• 中国語話者は中国語や英語、ロシア語のフォーラムで活動しているが、ロシア語や英語の話者が中国語のフォーラムを使うことはほとんどない。
  
• 中国語でないフォーラムでの中国語の投稿は今のところ中国の買い手向けのものではあるが、中国の買い手が中国語のフォーラム特有のサービスやデータ、マルウェアをより国際的に広めようとし始めていることを示しているとまでは、まだ断定できない。
  
• ロシア語のフォーラムは可能な限り多くの利益を生むためにインターネット上の幅広い層の買い手向けにコンテンツを今後も提供し続けるとみられる。
  
• ロシア語のフォーラムは商取引向けであるのに対し、中国語のフォーラムは中国のハッキングコミュニティを構築することに注力している。どちらのコミュニティも地域の利用者向けに商品やサービスを売っているが、中国のフォーラムの方がその傾向がかなり強い。
  
• 政治的に微妙な国際的出来事の結果として中国から起きるハクティビズムはまだ続いており、今後も継続していくと見られる。

　ロシアのコミュニティが金儲け至上主義というのは特に驚くに値しませんが、それでもロシア国内を攻撃対象とは（基本的に）しないという暗黙のマナーのようなものがあるというのは興味深いです。

　一方、中国のコミュニティが金儲けよりも愛国心を満たすことを重視しているのも興味深いところ。本連載2018年9月の記事で紹介した米セキュリティ企業IntSightsによる『アジアの「ダークウェブ」事情』でも示されているように、国を守るためであればサイバー攻撃を厭わない「サイバーナショナリズム」は確かに中国の特徴なのでしょう。

韓国の住民登録証から指紋の偽造は可能

　本連載の2007年の記事で、韓国の官公庁に設置された「無人民願発給機（自動証明書販売機）」が紙にコピーした指紋でも認証できてしまう問題があったことを紹介しました。それから10年以上が過ぎた今、粘土で偽造した指紋（いわゆる「グミ指」）でも認証できてしまう問題があることが明らかになりました。これは韓国のIT系メディア「電子新聞」の取材チームと生体認証専門企業「リアルアイデンティティ」傘下の生体認証研究所が共同で行なった実験によるものです。

　偽造は簡単。住民登録証の裏面に載せられている指紋をスマートフォンで撮影し、パソコン上でさまざまなスキャンプログラムなどを利用すれば10分ほどで複製した指紋の型を作ることができ、その型から粘土で作った偽造指紋を使って役所や駅などに設置された無人発給機で認証したところ、各種書類を手に入れることができてしまったのです。実際に、住民登録謄抄本はもちろん、印鑑証明などの各種証明書や金銭をやり取りすることができる書類までが入手可能だったそうです。さらに、同じ「グミ指」を使ってスマホの「簡単決済アプリ」やインターネットバンキング、政府ポータルでも（いくつかの前提条件が必要な場合があるものの）認証を突破できてしまったことが実験によって明らかになっています。

　この一連の報道を受けて、行政安全部は政府ポータルの指紋認証サービスを一時停止しました。なお、指紋認証サービスが停止されても、パスワードを利用しての認証は可能とのことです。

　ここで問題なのは、いわゆる「グミ指」でも認証できてしまうシステム上の欠陥はもちろん、住民登録証の裏面に指紋そのものが載せられているため、紛失や盗難によって他者に指紋情報が知られてしまう危険性が極めて高いという点です。実際に住民登録証の紛失は過去5年間で926万件に上っているそうです。

　指紋などの生体情報を公的な身分証明書に保存している国は韓国以外にもありますが、生体情報はICチップに保存するのが一般的であり、韓国のように指紋そのものを外から見られる状態で保存している（載せている）のは非常に珍しいと言えます。

　これらの問題に対しては、認証システムを改修し、指紋情報をICチップに保存すべしとの声が当然のことながらあるのですが、改修には莫大な費用がかかること、また、生体情報を収集することに対する市民団体の反発などがあり、容易には進まない状況があるようです。

　ところで今回の実験と報道は、回避策のない深刻な脆弱性を未修正の段階で悪用方法を含めて公にしてしまったわけで、日本の報道機関が同じことをした場合は問題視する声がセキュリティ専門家などからそれなりに上がると思うのですが、韓国では特にそういったことは（本稿執筆時点では）ないようです。ちなみに、2007年の件も公共放送のテレビ局（日本のNHKに相当）が実験を行ない、悪用方法を誰でも再現可能な形で具体的に報道していましたが、その際も「回避策のない未修正の脆弱性情報の公開」という観点で議論が起きたということは特にありませんでした。