海の向こうの“セキュリティ”

Appleは、どの国の当局にどれだけの情報を開示していたのか――「透明性レポート」を読む

Appleに対する情報開示請求/EUによるバグバウンティプログラム

Appleに対する情報開示請求

 Appleがかねてより定期的に公開している、法執行機関などから受けた情報開示請求についてまとめた「透明性レポート(Transparency Report)」の2018年上半期(1月から6月)版が公開されました。なお、一般的な報告書の形式(PDF)だけでなく、ウェブブラウザーで閲覧することを前提としたウェブ版も公開されています。また、統計データを過去のデータを含めてCSV形式で公開しています。

デバイス

 デバイスに関する情報開示請求の総数は3万2342件で、デバイス数では16万3823台。そのうち回答した件数は2万5829件で、全請求件数の80%に相当します。

 請求件数が最も多いのはドイツの1万3704件(デバイス数は2万6160台)で、その77%にあたる1万596件に回答しています。請求の多くは盗難デバイスの捜査が目的だったようです。次に多かったのは米国の4570件で、次いでオーストラリアの2357件、スペインの2276件となっています。

 請求件数に対して対象となるデバイス数が極端に多いのは中国、韓国、ポーランド、フィンランドです。韓国とフィンランドはどちらも盗難デバイスの捜査が多く、中国は盗難デバイスの捜査に加えて保険金詐欺の捜査も多いようです。一方、ポーランドは税金詐欺の捜査が多くを占めています。

ファイナンシャルID

 クレジットカードやデビットカード、iTunesギフトカードのようなファイナンシャルID(Financial Identifier)に関する情報開示請求の総数は3973件で、対象ID数は3万3505。そのうち回答した件数は3185件で、全請求件数の80%に相当します。

 請求件数が最も多いのはドイツの1229件、次いで米国の918件となっています。どちらもiTunesギフトカードやクレジットカード詐欺の捜査が多くを占めています。一方、請求件数に対して対象となるIDの数が極端に多いのはオーストラリア、カナダ、中国、インド、米国です。いずれもiTunesギフトカード詐欺の捜査が多いですが、オーストラリアとカナダはそれに加えてクレジットカード詐欺も多く、米国の場合は転売詐欺や金融詐欺も多いようです。

アカウント

 Apple IDやメールアドレスのようなアカウントに関する請求については以下の3つに分けてまとめられています。

  • 当該アカウントを保有している顧客の情報の開示:4177件(うち米国2397件)
  • 当該アカウントのデータの保全(コピー):1579件(うち米国1494件)
  • 当該アカウントの制限または削除:5件(うち米国4件)

 いずれも請求件数は米国が最も多いですが、顧客情報の開示については中国が特徴的で、開示請求自体は33件と少ないものの、請求対象となったアカウントの数は1万9908で、請求対象アカウント総数(4万641)の半数近くを占めています。なお、米国は恐喝や詐欺、アカウントへの無権限アクセスやフィッシングの容疑に関する捜査が多いですが、中国は詐欺の捜査が多いようです。

 その他にも、米国家安全保障局と米国の民間団体からの請求についてそれぞれまとめたものも公開されています。

 Appleという特定の企業の情報であり、Appleのシェアが低い国や地域もあるため、統計的な信頼性は決して高くありません。それでも、1回の請求あたりの対象となるデバイスやIDの数が地域ごとに大きく違っているのは興味深いものがあります。犯罪の傾向や法制度の違いなどさまざまな要素が関係していると思われますが、このあたりをもっと深く掘り下げたレポートが欲しくなります。今後のさらなる分析に期待しましょう。

EUによるバグバウンティプログラム

 世界中のさまざまなソフトウェアやハードウェアのベンダーが、自社製品の脆弱性を発見して報告してくれた人に対して報奨金を支給する、いわゆる「バグバウンティ」プログラムを実施するようになって久しいですが、そのような中、EUがオープンソースソフトウェア(以降、OSSと略)を対象とした報奨金総額約1億円のバグバウンティプログラムを始めることが明らかになりました。これは欧州議会議員であるジュリア・レダ氏が自身のブログで発表したもので、プログラムは2019年1月から始まり、すでに成果も出ていますが、対象のソフトウェアと期間は限定されています。

 本稿執筆時点で対象となるソフトウェアと報奨金の総額はそれぞれ以下のようになっています。この情報を掲載しているレダ氏のブログは随時更新されるとのことです。

ジュリア・レダ氏のブログにある表を、日本語および日本での表記形式で再現

ソフトウェアプロジェクト報奨金総額(ユーロ)契約開始日契約終了日バグバウンティプラットフォーム
Filezilla58,000.002019-01-072019-08-15HackerOne
Apache Kafka58,000.002019-01-072019-08-15HackerOne
Notepad++71,000.002019-01-072019-08-15HackerOne
PuTTY90,000.002019-01-072019-12-15HackerOne
VLC Media Player58,000.002019-01-072019-08-15HackerOne
FLUX TL34,000.002019-01-152019-10-15Intigriti/Deloitte
KeePass71,000.002019-01-152019-07-31Intigriti/Deloitte
7-zip58,000.002019-01-302020-04-15Intigriti/Deloitte
Digital Signature Services(DSS)25 000,002019-01-302019-10-15Intigriti/Deloitte
Drupal89,000.002019-01-302020-10-15Intigriti/Deloitte
GNU C Library(glibc)45,000.002019-01-302019-12-15Intigriti/Deloitte
PHP Symfony39,000.002019-01-302019-10-15Intigriti/Deloitte
Apache Tomcat39,000.002019-01-302019-10-15Intigriti/Deloitte
WSO258,000.002019-01-302020-04-15Intigriti/Deloitte
midPoint58,000.002019-03-012019-08-15HackerOne

 今回のバグバウンティプログラムのきっかけは、2014年4月に公になったOSSのライブラリ「OpenSSL」の脆弱性「Heartbleed」にさかのぼります。OpenSSLはSSL/TLS通信を行うさまざまなアプリケーションで使われてきた、事実上の「標準」ライブラリだったのですが、Heartbleedが公になったことで、OpenSSLの開発体制自体の脆弱さが明らかになるとともに、OpenSSLのような広く使われているOSSの脆弱性が社会全体に与える影響の深刻さに注目が集まりました。これを踏まえ、レダ氏とマックス・アンダーソン氏が2014年に始めたのが「FOSSA:Free and Open Source Software Audit」プロジェクトです。このプロジェクトは「インターネットのセキュリティ全般の改善(improve the overall security of the Internet)」を支援することを目的としています。

 まず、FOSSAの試験的プロジェクトとして2015年から2016年にかけて行われたのが、欧州委員会や欧州議会で使用されているOSSの目録作りです。そして、特に多く使われていたKeePassとApache HTTP Serverに対してセキュリティ監査が行われました。この試験的プロジェクトの結果、セキュリティ監査だけではセキュリティを向上させるのに十分でないとの考えに至り、次のフェーズへと進むことになりました。

 2017年にプロジェクトは3年間の延長が決まり、第2フェーズ「FOSSA 2」の一環としてバグバウンティプログラム開始に向けた準備を始めました。そして、2017年11月には欧州委員会として初となるバグバウンティプログラムを実施しています。このときの対象は「VLC Media Player」です。この実績を踏まえ、2019年1月から規模を拡大して運営開始となったわけです。

 今回始まったバグバウンティプログラムは上記の表が示すように期間が限定されています。その後どうなるのか、継続的に行われるのかはまだ明らかになっていませんが、FOSSAプロジェクトとしては(バグバウンティに限らず)OSSのセキュリティに関する項目がEUの予算に永続的に組み込まれるようにすることを目指しているようです。一方、報奨金の総額が約1億円というのは少々心許ない印象があるので、継続するのであれば報奨金の額が今後どうなっていくのかについても注目したいです。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。