今回は、2月初旬に行なわれた国際会議、米国CERT/CCの教育カリキュラム、韓国で新たに施行された「褒賞金」制度の3つの話題を紹介します。

■APCERTの年次会合が開催

　アジア太平洋地域のセキュリティチーム（CSIRT：Computer Emergency Response Team）による国際フォーラム「APCERT（Asia-Pacific Computer Emergency Response Team）」の年次会合がマレーシアで開催されました。今回は、APCERT事務局を担当しているJPCERT/CCへの取材に基づき、まずAPCERTについて簡単に紹介するとともに、年次会合の内容とその中で行なわれた発表で特に興味深いものを紹介します。

1）APCERTとは

　APCERTとは、アジア太平洋地域のCSIRTによる国際フォーラムであり、現在のような形で活動を始めるきっかけは、JPCERT/CCの呼びかけで2002年3月に東京で開催された会合「APSIRC（Asia Pacific Security Incident Response Coordination Conference）」です。その後、2003年2月に台北で行なわれた「APSIRC 2003」から本格的な活動を開始し、現在に至っています。現在は14の地域から19のチーム（Full Memberが14、General Memberが5）が加盟しており、日本からはJPCERT/CCのみが加盟しています。なお、JPCERT/CCはAPCERTの設立時から事務局を担当しています。

　CSIRTの国際フォーラムとしては「FIRST（Forum of Incident Response and Security Teams）」がありますが、FIRSTはあまりに多数のチーム加盟しているために（既に170を超えている）、緊急なインシデント対応に必要な緊密かつ迅速な情報交換が難しくなってきています。また、現在のセキュリティインシデントの地域性（時差およびアドレスブロックによる局在化）も併せて鑑みれば、より「地域」に根ざした枠組みとその中での協力体制が必要とされます。

　このような中でAPCERTはチームメンバーによるインシデント対応の演習を行なうといった「ローカル」な活動だけでなく、アジア太平洋地域以外の地域（ヨーロッパなど）における同様の活動とも協力し合うなど活発な活動を展開しています。

2）APCERT Annual General Meeting 2007

　APCERTの年次会合（AGM：Annual General Meeting）が去る2月7日から9日までマレーシアのランカウイ島で開催されました。今回のAGMでは新たに以下の3チームの加盟が承認されました。

・CERT-In（Indian Computer Emergency Response Team、インド）
・BP DSIRT（BP Digital Security Incident Response Team、シンガポール）
・NUSCERT（National University of Singapore Computer Emergency Response Team、シンガポール）

　また、チェアの任期満了に伴い、設立以来チェアを務めてきたオーストラリアのAusCERTに代わり、マレーシアのMyCERTがチェアとなりました。なお、JPCERT/CCは引き続き事務局を担当し、また、Steering Committeeメンバーに再選されました。

3）TWNCERTによるソーシャルエンジニアリングのドリル

　AGMでは毎回、参加チームによる活動報告などのプレゼンが行なわれますが、今回この中で台湾の政府系CSIRTであるTWNCERTが行なったソーシャルエンジニアリングに関する実験報告がたいへん興味深い内容でしたので、ここで紹介します。

　この中でTWNCERTは、最近では特定の人や組織を対象とした、いわゆる「標的型攻撃（Targeted Attack）」が増えてきているが、その攻撃ではソーシャルエンジニアリングの手法と未公開の脆弱性を使った攻撃（ゼロデイ攻撃）が組み合わされてきており、極めて深刻な状況になってきていると指摘しています。つまり、このような攻撃に対しては既存の防御手法（ウイルス対策ソフトなど）はほとんど役に立たないため、よりエンドユーザー側に寄った防御が必要になるということを意味しています。

　その観点からTWNCERTは「ソーシャルエンジニアリング攻撃」の脅威に対する意識の啓発を目的に、2006年11月末から12月初旬にかけて「ある実験」を行ないました。それは、民間企業の8,550人に対して偽のメール（1人に対して6種類、計51,300通）を送信し、その中でどれだけの人がメールを開いてしまったか、さらにそのメールに書かれたURLにアクセスしたり、添付ファイルを開いたりする人がどれくらいいたかを調べた実験です。このプレゼンに用いられた資料（公開中）には、実際に実験に用いたWebページや画像などが掲載されています。

　まず人数で見た場合、メールを送信された8,550人のうち、43.0％にあたる3,678人がメールを開いてしまい、23.9％にあたる2,044人がリンクをクリックしてしまった、または添付ファイルを開いてしまったという実験結果が出ています。

　また、メール単位で見た場合は、51,300通のうち、17.2％にあたる8,828通が開かれてしまい、6.1％にあたる3,107通に対して、記載されたURLをクリックしたり、添付されたファイルを開いたりしてしまったそうです。

　この実験に対してTWNCERTは、啓発に役立つ良い方法だとしています。確かに「人がいかにソーシャルエンジニアリング攻撃に弱いか」を実際に「体験」させることで脅威や危機感を実感させるというのは1つの方法ではあります。しかし同様のことを仮に日本で行なうことを想像した場合、このような方法が「許される」ものとは思えません。台湾の政府系CSIRTとして「権限のある」TWNCERT だからこそできた実験ですし、また、そのような実験を許容する大らかな国民性もあるのでしょう。

■CERT/CCの技術者向けビジネス教育Podcasting

　2006年12月の本連載で紹介した米国CERT/CCのPodcastingサービスで、2007年3月6日付で新たなコンテンツ「A New Look at the Business of IT Education」が追加されました。

　このPodcastingの内容自体はCERT/CCの技術スタッフであるLarry Rogers氏へのインタビューで、CERT/CCが作成した教育プログラム「Survivability and Information Assurance Curriculum（以降、SIA）」を紹介したものです。

　CERT/CCは、CSIRT構築支援などを目的に数々の教育プログラムを開発し、そのプログラムを用いて実際に教育を行なう「トレーニングコース」を有償で提供しています。このSIAもそのような教育プログラムの1つで、カリキュラムの資料がCERT/CCのWebサイトから無償でダウンロードできます。

　SIAは、「システム管理者は技術だけでなくビジネスに関する知識（常識）も身につけておく必要がある」との考えから、主に以下のような技術者を対象にしたカリキュラムです。

・経験豊富なシステムおよびネットワーク管理者
・単なる技術にとどまらない知識を身につけたい者
・マネージメント能力とビジネスセンスを持っている者
・型にはまらない発想ができる者

　簡単に言えば、技術者が技術的な視点だけではなく、ビジネスの視点からでも的確に物事を説明できるようなコミュニケーション能力を身につけることを目的としています。具体的な例として、このPodcastingでは3、4年前の某大手コンピュータメーカーのCMを紹介しています。このCMは日本でも放送されていましたが、内容は次のような内容でした。

　ある会社のシステム管理者グループがシステムのバージョンアップ作業を終え、週末だったこともあり、オフィス内でパーティを開いていました。そこにマネージャーがやって来て「何でパーティしてるんだ？」と尋ねると、1人のシステム管理者がシステムの更新が終わったことを伝えます。するとそのマネージャーは表情をこわばらせ、気まずい空気が流れます。そこでその管理者は言い直します。「これで1回のトランザクションあたり5セントずつの節約になるんです」。するとそのマネージャーは喜んでシステム管理者たちのパーティーに加わりました。

　つまり、技術者は自分たちの行なっている業務や個々の作業が企業・組織の事業においてどのような位置付けでどのような意味があるのかを理解し、そしてそれを的確に説明できなければいけないということを示しています。

　ダウンロードできる資料がとても多いので、すべてに目を通すことはたいへんですが、概要資料などもありますので「次の一歩」を考えている技術者の皆さんは一度目を通してみるといいと思います。

■韓国「サイバー脅威申告奨励金制度」

　韓国では、ウイルスやワームを作成したり流布した人物に関する情報など、セキュリティ上の脅威に関わる情報を届け出れば、最高で500万ウォン（約65万円）の褒賞金を受け取ることができるという「サイバー脅威申告奨励金制度」が施行されました。

　「連合ニュース」2007年3月27日付記事によると、申告の対象となるのは、1）コンピュータに侵入して重要文書を窃取する行為、2）国家、公共機関の主要ネットワークおよび情報通信基盤施設の麻痺をもたらす侵入行為、3）ワーム、ウイルスなどの「悪性コード」の作成および流布行為、4）侵入に使われうる脆弱性──などです。

　届出方法としてWebサイト（国家サイバー安全センター、http://www.ncsc.go.kr/）や電話（国政院）が用意されています。情報提供内容は毎月国政院が審査し、2万ウォン（約2,500円）から500万ウォン（約65万円）の褒賞金を支給するそうです。

　この制度の導入に関して「国政院は、国家基盤を狙うサイバーテロと徐々に現実化されつつある国家間サイバー情報戦への対策を用意するなど、すべての形態のサイバー攻撃に対する全方向防衛体制を構築していく」としています。

　さて、この「奨励金制度」。前回紹介した「インターネット掲示板利用に本人確認義務化」もそうですが、このような考えは日本でも「アイディア」や「思いつき」のレベルでは出てきます。しかし実施に伴う弊害や運用上の問題などさまざまな点を検討すれば実現が極めて困難なことは明らかで、それゆえ日本では実施されていないわけです。一方、韓国ではこういったものが比較的簡単にあっさりと実現してしまっている（ように見える）のが興味深いところです。まずは制度を実施してみて問題が発生したらそのときに考えるという姿勢は日本人との国民性の違いを強く感じます。

　しかし、例えば脆弱性情報の届出に関して言えば、既にアンダーグラウンドで高額で情報が売買されている現実を考えると、果たして「褒賞金」で情報が適切に届けられるようになるとは考えにくいです。お金が目的なら高額で買ってくれるところに売ってしまうでしょう。この点については、日本のように、公的機関に届け出れば本人の希望に基づき情報公開時に「謝辞」に名前が載るというような届出者（発見者）の「名誉」に繋がるような枠組みの方が速効性はなくても長期的には効果が期待できるのではないかと思います。

　なお、日本では脆弱性情報の取り扱いについて 2004年7月に経済産業省から告示が出ており、IPAに届けられた情報をJPCERT/CCが調整し、JVN（http://jvn.jp/）にて公開することになっています。

(2007/04/04)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved.