海の向こうの“セキュリティ”

第67回:英国では合法なサイト運営の英国人、米国法で裁かれることに ほか


 今年の3月はいつも以上にセキュリティ関連の話題が豊富で追いかけるのがやっとでしたが、印象としてはGoogle ChromeやAdobe Flash Playerといったメジャーなアプリケーションの(脆弱性公開に伴う)更新が多かったように思います。

 それとも関連がありますが、今回は毎年恒例のクラッキングコンテスト「Pwn2Own」の話題から紹介します。

恒例のクラッキングコンテスト「Pwn2Own」とGoogle独自のコンテスト「Pwnium」

 CanSecWestの年次会合「CanSecWest Vancouver 2012」が3月7日から9日までカナダのバンクーバーで開催されました。この会合の開催に際して毎年注目を集めるのは、同会合と並行して行われるクラッキングコンテスト「Pwn2Own」。

 毎回、このコンテストでは未公開の脆弱性が明らかにされるため、セキュリティ関係者から強い関心が寄せられてきましたが、年々、新鮮味や面白味が減ってきていたことも事実。特に昨年は、Chromeを攻略した参加者にGoogleが自ら2万ドルの賞金を出すと発表したにもかかわらず、誰もChromeを(本気で)ターゲットにしないなど、「賞金を得やすい楽な方を狙う」傾向が見られ、本来のクラッキング技術を競うという面が薄れてしまっていました。また、そもそもこれまでのPwn2Ownは、参加者によるターゲットの選択において公平とは言い難い部分があり、そこに疑問を感じていた人も少なくないでしょう。

 そのような中、今年はルールが大きく変更され、より公平にターゲットを選択できるようになり、また得点を重ねて行くという形態に変わったことで、本来のクラッキング技術を競うコンテストらしさが取り戻せたように思われます。そのため、今回のコンテストの結果には大いに注目(期待)していました。

 その一方で、Pwn2Ownにおいて明らかにされた(攻略に使われた)脆弱性の取り扱い方針が変更されたことから、GoogleがPwn2Ownとは別にChromeだけを対象とした独自のコンテスト「Pwnium」を並行して開催するなど、少々混沌とした状況を呈していました。

 このような中で開催された今回のPwn2Ownの結果は、世界中のメディアの注目を大きく集めるものとなりました。それはこれまでPwn2Ownにおいて攻略されたことのなかったChromeが最初に攻略されたからです。

 これを、一部のメディアやTwitterなどでは「最も安全なブラウザーChromeが真っ先に陥落」のような表現で伝えていましたが、これには明らかな誤解があります。確かに、Chromeは過去のPwn2Ownで攻略されたことはありませんでしたが、これまでもChromeの脆弱性を発見した者に対してGoogleが賞金を払ってきた事実から明らかなように、Chromeにも昔から脆弱性はあるのです。ただ、これまでのPwn2OwnではChromeよりも簡単に攻略できるターゲットが他にいくらでもあったことから「賞金を得るために」楽なターゲットが選ばれ、その結果、Chromeを本気で攻略しようとする参加者がいなかっただけのこと。これだけでChromeを「最も安全(≒脆弱性がない)」ブラウザーと称するのは明らかに間違いです。昨年のPwn2OwnでChromeが攻略されなかったという結果のみが一人歩きしてしまったことが、Chromeに対して過大な評価・評判が流布するきっかけを与えてしまったのでしょう。

 もちろん、Chromeのサンドボックスはセキュリティ面で非常に優れた技術であることは確かですし、Chromeが比較的安全なブラウザーであることは間違いありません。しかし、あくまで「比較的安全」でしかなく、「絶対安全」ではありません。そんな当たり前のことを今回の結果が改めて示してくれたわけです。

 今回、Chromeを攻略したVUPENのChaouki Bekrar氏も(インタビューを読む限りでは)同じように感じていたことが「本気で狙おう」との動機に繋がったようです。

 一方、Pwn2Ownと並行して行なわれたGoogle独自コンテストのPwniumについては、参加者がわずか2名でしたが、両名ともに攻略に成功、賞金を獲得しました。また、うち1名が10代の少年(ハンドル名:Pinkie Pie)だったことも注目を集めました。

 来年も同じようにPwn2OwnとPwniumが並行して行われるなら、どちらが「より興味深い」結果を出すのか、今から楽しみです。

URL
 Pwn2Own 2012
 http://pwn2own.zerodayinitiative.com/
 Pwnium
 https://pwnium.appspot.com/
 Wired.com(2012年3月9日付記事)
 Teen Exploits Three Zero-Day Vulns for $60K Win in Google Chrome Hack Contest
 http://www.wired.com/threatlevel/2012/03/zero-days-for-chrome/

関連記事
 ・毎年恒例のクラッキングコンテスト「Pwn2Own 2011」
  http://internet.watch.impress.co.jp/docs/column/security/20110404_436955.html
 ・Google、Chromeのエクスプロイトコンテスト、合計100万ドルの賞金
  http://internet.watch.impress.co.jp/docs/news/20120229_515309.html
 ・Google Chrome、コンテストで見つかった賞金6万ドルの脆弱性を修正
  http://internet.watch.impress.co.jp/docs/news/20120309_517754.html
 ・Mozilla、「Firefox 11」のリリースを少し延期
  http://internet.watch.impress.co.jp/docs/news/20120313_518446.html
 ・「Google Chrome」安定版がアップデート、脆弱性9件を修正
  http://internet.watch.impress.co.jp/docs/news/20120322_520609.html

英国では合法なサイト運営の英国人、米国法で裁かれることに

 米国の著作権で保護されたテレビ番組を不正に流通させている動画サイトなどへのリンクサイト「TVShack.net」を運営していた英国の23歳の学生が、米国に引き渡されることになったとの報道がありました。最悪の場合、禁錮5年の判決を受ける可能性もあるとのことです。

 この件が強烈なインパクトを与えているのは、英国では彼のした行為(違法コンテンツへのリンク)が違法でないにもかかわらず、.net という「米国のドメイン」が使われ、米国側に直接の被害が発生しているという理由で、英米間の犯人引き渡し条約に基づき、英国の裁判所が米国への引き渡しを認めたという点です。しかも、彼は米国に行ったこともなければ、彼の運営していたサイトのサーバーも物理的には米国外に置かれていたにもかかわらず、です。

 これはすなわち、たとえ自分の国において合法なサイトを運営していても、.com/.net/.orgのような「米国のドメイン」を使い、米国に何らかの被害をもたらしたと判断されれば、米国の法律によって裁かれる可能性があるということです。

 今回の件に限って言えば、たとえ英国内では合法でも、違法コンテンツへのリンクは「幇助」と見なされる可能性のある行為であり、彼の行為自体は決して褒められたものではありません。しかし、今回の件が前例となり、それが徐々に拡大解釈されていくうちに、「容疑者」の国籍や居住地によらず、米国の法律によって裁かれるのが当たり前となるような時代が来るのではないかと、(少々大げさかもしれませんが)不安に感じるのは私だけではないでしょう。当然ながら英国内でも反発の声が高まっています。

 なお、TVShack.netドメインは米国当局により既に差し押さえられています。

URL
 TorrentFreak(2012年3月13日付記事)
 “Pirating” UK Student to be Extradited to the US
 http://torrentfreak.com/pirating-uk-student-to-be-extradited-to-the-us-120313/
 BBC News(2012年3月13日付記事)
 Richard O'Dwyer case: TVShack creator's US extradition approved
 http://www.bbc.co.uk/news/uk-england-south-yorkshire-17355203
 BBC News(2012年3月22日付記事)
 Richard O'Dwyer case: Lawyers lodge extradition appeal
 http://www.bbc.co.uk/news/uk-england-south-yorkshire-17472142
 BBC News(2012年3月29日付記事)
 Richard O'Dwyer case: Extradition 'injustice' attacked
 http://www.bbc.co.uk/news/uk-england-south-yorkshire-17539141

韓国、個人情報保護法施行後の施行令改正案

 韓国放送通信委員会は、民間企業を対象とした「情報通信網利用促進および情報保護等に関する法律」の施行令改正案を発表しました。同委員会によれば、この改正案を5月までに立法予告し、7月に閣僚会議での議決を経た後に施行する予定とのことです。

 改正案の骨子は以下の通り。

  • 加入者100万人以上の個人情報を扱う情報通信サービス事業者は、個人情報取扱者のコンピューターを外部インターネットと遮断すること
  • 個人情報流出事故が発生した場合、Eメール、書面、ファックス、電話などの方法で利用者に通知して放送通信委員会に報告すること
  • 3年以上サービスを利用していない個人の情報は破棄するか、他の個人情報とは別に分離し、保管すること
  • 100万人以上の利用者の個人情報を保有した情報通信サービス提供者などは、年1回以上、利用者にEメールなどの方法でサービス利用内訳を通知すること

  この中では「3年以上サービスを利用していない個人の情報」の取り扱いが明記されている点が目を引きます。保管しているデータの保存期間や破棄はなかなか悩ましい問題ですが、ここまで明記されているのは事業者にとってはむしろありがたいことかもしれません。

URL
 デジタルタイムス(2012年3月18日付記事、韓国語)
 100万人以上の個人情報取扱者のPCのインターネット遮断義務化推進
 http://www.dt.co.kr/contents.html?article_no=2012031802019960785002

関連記事
 ・韓国で9月30日に施行された「個人情報保護法」の中身
  http://internet.watch.impress.co.jp/docs/column/security/20111006_481956.html


2012/4/6 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。