海の向こうの“セキュリティ”

第50回:韓国政府が中小企業用「DDoSサイバー待避所」を運用 ほか


ブラックマーケットで求められている個人情報

 カナダのバンクーバーで9月29日から10月1日の3日間に渡り、Virus Bulletinの国際会議「vb2010」が開催されました。毎年1回行われているこの会議は、今回で20回目となります。

 Virus Bulletinは1989年からPCユーザー向けにコンピューターウィルスに関する情報を中立な立場で提供することを目的に活動している組織です。パブリックサービスとして無償で提供している情報もありますが、主に有料で情報を提供しています。

 今回は、このイベントの中でKaspersky LabのDmitry Bestuzhev氏が初日9月29日の昼に発表したプレゼンテーションを紹介します。

 このプレゼンテーションの主目的は、いわゆる「ブラックマーケット」における個人情報の値段がどれくらいかを紹介するものです。しかし、実際のプレゼンテーションの内容 (スライド上) では、どの国の人の情報なのかで違ってくる金額そのものよりも、どういった情報が狙われているかを示す図が印象的です。

 例えば、狙われているクレジットカードのブランド別の割合(図1)や、同じく狙われているアカウント情報(図2、図3)などは、それぞれの背景にある正確な原因や理由は明らかではありませんが、興味深く見ることができます。

図1 2010年に狙われたクレジットカードのブランド(Dmitry Bestuzhev氏のプレゼンテーション資料より)
図2 2010年に狙われてたソーシャルネットワーク上位10社(Dmitry Bestuzhev氏のプレゼンテーション資料より)
図3 2010年に狙われたブランド上位10社(Dmitry Bestuzhev氏のプレゼンテーション使用より)

 まずクレジットカード。日経新聞が7月に発表したクレジットカードの世界シェアは、Visaが6割を超えて断トツのトップであり、2位以下のMasterCard(3割弱)やAmerican Expess(1割以下)などを圧倒しています。ところが攻撃対象としてはMasterCardが半数以上を占めており、シェアトップのVisaは2割程度。この違いがどこから来るものなのか、興味を惹かれる人は少なくないでしょう。

 次にSNSに関しては、世界各国でトップシェアとなっているFacebookが攻撃対象としてもトップであり、Facebookの普及度合いが実感できる結果を見せていますが、Twitterが攻撃対象の上位に入っていません。

 シェアが大きければ大きいほど狙われやすくはなりますが、個人情報のブラックマーケットにおける「価値」としては、プラスαとして別の要素・要因があるのでしょう。

URL
 How much do you cost? The black market price of your digital data
 http://www.virusbtn.com/conference/vb2010/abstracts/Bestuzhev.xml
 日本経済新聞(2010年7月25日付記事)
 世界26品目シェア、薄れる日本勢の存在感
 http://www.nikkei.com/news/headline/related-article/g=96958A9C93819696E3E7E296EB8DE0E2E2E5E0E2E3E29FE3E2EAE2E2

Googleストリートビューのプライバシー侵害問題の近況

 Googleストリートビューのプライバシー侵害問題の話題をまとめて紹介します。

 まず今年の5月に明らかになった、ストリートビューの撮影車が無線LANを通じて個人情報を「誤って」収集していた事件の続報です。

 前々回の本連載でも紹介したように、8月には韓国警察がGoogle Koreaを家宅捜索し、関連資料を押収しました。そして10月19日、カナダのプライバシー監視機関(Office of the Privacy Commissioner of Canada)が調査結果を発表し、Googleがカナダのプライバシー保護に関する法律に違反しているとの公式見解を出しました。調査結果によると、Googleが収集してしまった個人情報には、電子メールアドレス、ユーザー名、パスワード、氏名、自宅の電話番号と住所、健康状態の詳細などが含まれており、Googleが当初説明していた以上の機微な情報が収集されていたのです。

 この件についてGoogleは10月22日、公式ブログにおいて、カナダ側が発表した内容を大筋で認め、謝罪しました。これを踏まえ、Googleによるプライバシー侵害に対して、各国当局がどのような対応を見せるか注目されます。

 前回の連載でも紹介しましたが、つい先日、Googleのエンジニアが、自らの権限を悪用して手に入れたユーザーの個人情報をもとに脅迫事件を起こして解雇されていたことが報道されました。今回、このような形で「誤って」収集された個人情報がGoogle社内でどのように扱われる、または扱われてきたのか不安に感じる人は少なくないでしょう。

 しかし別の見方をすれば、今回の件は、無線LAN経由で簡単に個人情報が収集できてしまうことを実証したとも言えます。Googleを責めることは簡単ですが、それよりも、最低限のセキュリティ設定すら施されていない無線LANの危険性を広く啓発し、対応を促す方がはるかに有益でしょう。

 一方、年内にストリートビューのサービスが始められる予定のドイツでは、サービス開始前でありながら、すでに約24万4000世帯がストリートビューから自分の家の写真を削除するように要求していることが分かりました。

 ドイツは歴史的な理由もあり、プライバシー保護の意識がとても高い国として知られています。すでにヨーロッパの10カ国(全世界では32カ国)でサービスされているストリートビューがドイツで始められていないのもそのためと思われます。そのようなわけで、2010年中のサービス開始が発表された直後から、ドイツでは反発の声が上がり、Googleは、サービス開始前に自宅の写真削除要求を受け付けるという他の国では実施していない異例の対応を行なってきました。

 そして10月21日、Googleは、すでに約24万4000世帯から削除要求を受けていること、また削除要求に対応するためにハンブルグとミュンヘンで合わせて200人を雇用したことを明らかにしました。

 Googleは、この「24万4000世帯」という数字について、対象となる20の大都市・850万世帯の「わずか」2.9%に過ぎず、ストリートビューのサービス開始に何ら影響がないことを強調しています。

 24万4000世帯という数字が多いのか少ないのか、判断は難しいです。そもそもストリートビューで写される可能性がある、それなりに大きな通りに面した家がどれくらいあるのか、また、そのような家のうち、ストリートビューを知っている世帯がどれくらいなのかが分からなければ、正確な判断はできないでしょう。

 それでも、感覚的にはサービス開始前の時点で24万4000もの世帯が削除要求をしているというのは、十分に「多い」ように感じます。また、Googleが削除要求対応に200人ものスタッフを雇用したということは「今後も削除要求が増え続ける」とGoogle自身も認識しているのでしょう。

URL
 The New York Times(2010年10月15日付記事)
 Many Germans Opt Out of Google’s Street View
 http://www.nytimes.com/2010/10/16/technology/16streetview.html
 The New York Times(2010年10月21日付記事)
 244,000 Germans Opt Out of Google Mapping Service
 http://www.nytimes.com/2010/10/21/technology/21google.html
 CBC News(2010年10月19日付記事)
 Google breached Canada's privacy laws
 http://www.cbc.ca/technology/story/2010/10/19/google-street-view-privacy.html
 Reuters(2010年10月22日付記事)
 Google says its cars grabbed emails, passwords
 http://www.reuters.com/article/idUSTRE69L4KW20101022
 The Official Google Blog(2010年10月22日付記事)
 Creating stronger privacy controls inside Google
 http://googleblog.blogspot.com/2010/10/creating-stronger-privacy-controls.html

関連記事
 ・韓国警察、Google Koreaを電撃家宅捜索(2010/09/03)
  http://internet.watch.impress.co.jp/docs/column/security/20100903_391250.html
 ・ユーザーの個人情報にアクセスしたGoogle社員解雇(2010/10/07)
  http://internet.watch.impress.co.jp/docs/column/security/20101007_398483.html
 ・ストリートビュー車両が収集したWi-Fiデータ、中にはメールやパスワードも(2010/10/25)
  http://internet.watch.impress.co.jp/docs/news/20101025_402424.html

韓国政府が中小企業用「DDoSサイバー待避所」を運用

 韓国では昨年7月に発生した大規模DDoS攻撃以降、国家を挙げてのDDoS対策が進められています。そのような中、今年の5月に発表された「DDoSサイバー待避所」が9月28日から稼働を開始しました。

 これは、本格的なDDoS対策を行うことが経済的に難しい中小企業や非営利団体を対象に、DDoS攻撃を受けているサイトを、十分なDDoS対策を講じたネットワークに「待避(一時的に避難)」させ、運用を継続することを可能にするものです。

 「待避所」のネットワークのDDoS防御可能量は40Gbpsであり、DDoS攻撃の規模にもよりますが、同時に40から100あまりのサイトを防御できるとしています。また、防御可能量を超えた攻撃に対しては、ISPと協調して攻撃元からの接続を遮断することになっているそうです。

 なお、待避所を利用するには、韓国インターネット振興院(KISA)に申込書を提出し、サービス利用適格審査を受ける必要があります。

 ところで、DDoS対策の技術はかなりのレベルまで進歩しており、日本でも導入している企業や官公庁は増えて来ています。しかし、導入にかかる費用は決して「手頃」なものではなく、経済的な理由で導入できない中小企業や団体は少なくありません。

 このような「待避所」が実際にどれだけの効果を得られるかはまだ分かりませんが、なかなか興味深いアイデアです。成果に注目です。

URL
 デジタルタイムス(2010年9月29日付記事)
 放送通信委員会、「DDoSサイバー待避所」稼動、中小ベンチャー被害予防の役割(韓国語)
 http://www.dt.co.kr/contents.html?article_no=2010093002010631693002
 財経日報(2010年9月29日付記事)
 放送通信委員会、「DDoSサイバー待避所」開所(韓国語)
 http://news.jkn.co.kr/article/news/20100929/6033766.htm
 デジタルデイリー(2010年5月26日付記事)
 DDoSサイバー待避所・ゾンビPC治療体系構築事業本格化(韓国語)
 http://www.ddaily.co.kr/news/news_view.php?uid=63762


2010/11/1 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。