■オペラハウスのWebサイトの「TERMS OF USE」

　オーストラリアのシドニーと聞いて、多くの人がまず最初に思い浮かべる建物と言えば、恐らくオペラハウスなのではないかと思います。国際的にも非常に有名なシドニーを代表する建造物であるこのオペラハウスのWebサイトにマルウェアが仕込まれ、最新のパッチが適用されていないブラウザでアクセスすると感染してしまう状態にあったことが明らかになりました。

　これは、以前の記事でも紹介したGoogleが新たに導入したMalware Warning機能について調べていた米国のセキュリティコンサルタントが、同機能を使って検索をしているときに偶然発見したことで明らかになりました。しかしその一方でオペラハウス側はこの事実に気付いていながら、「さほど深刻なものではない」との判断から、公表しなかったのです。

　実は、オペラハウスのWebには以下のような文言が掲載されています。

TERMS OF USE
Sydney Opera House Disclaimer Notice

4.
By logging on, you will be assuming all risks associated with use of the site, including risk of your computer, software or data being damaged by any virus which might be transmitted or activated via the Sydney Opera House site or your access to it.

　つまり、オペラハウスのWebにアクセスしてマルウェアに感染することがあっても責任は負わないと堂々と宣言しているわけです。

　リスク回避の意味でこのような文言を掲載する気持ちはわからないではないですが、こうやって責任を回避した上で、さらにマルウェアをばら撒いていた事実を公表しなかったオペラハウス側の姿勢に対しては、当然のことながら現地でも非難が集まっているようです。

　ちなみにその後、オペラハウスのWebは専門の第三者によるセキュリティ監査を受けているようです。

■「ハリーポッター」最新刊の内容が盗まれた？

　英国の報道によると、7月21日に発売される予定の「ハリーポッター」最新刊の重要部分が、Gabrielと名乗る者によって現地時間6月19日早朝にネット上に公開される事件が発生しました。

　Gabriel自身のコメントによると、出版社の社員宛にウイルスメールを送付し、感染させるという極めて簡単な方法で情報を盗み出したらしいのですが、本人も驚くほど多くの社員が原稿のコピーを持っていたと指摘しています。

　これに対し、出版社側は警察に届け出たかどうかについてはコメントを控えています。また、Gabrielが公開したハリーポッターのあらすじについても、既にたくさん流されている噂の1つとして、否定も肯定もしていません。

　真実が明らかになるのは、結局 7月21日に本が発売されてからになりそうです。

■韓国の自動証明書販売機、紙の偽造指紋でも認証

　韓国では、2000年から全国の官公庁に、戸籍謄本や医療証明書など約30種類の書類を発行する「無人民願発給機（自動証明書販売機）」が設置され、既に約1,500台が稼動しています。この機械による本人確認は住民登録番号と指紋のみで行なわれるのですが、今回、韓国のテレビ局の実験により、紙にコピーした指紋でも認証できてしまうことが明らかになりました。

　シリコンなどを使った偽造指紋でも認証できてしまう指紋認証システムの弱点は、日本においても以前から指摘されていました。しかし今回の韓国のテレビ局の実験では、そのような「偽造指紋」はもちろん、住民登録証の裏に押印された指紋を紙にコピーし、それを切り抜いたものでも認証できてしまい、実際に他人の書類が取得できてしまったのです。

　この件で興味深いのは、2点。まず、2000年から既に7年も使っているシステムについて、なぜ今までこの問題が指摘されなかったのかという点です。紙にコピーした指紋でも認証してしまうということは指紋の画像イメージだけで認証するシステムということであり、そのような「へなちょこ」なシステムがなぜ導入され、なぜ7年にも渡って放置されていたのか、この点についてもテレビ局には追求して欲しいところです。簡単に書類を取得できるということから年間で約600万人以上が利用していたシステムですので、既に多くの個人情報が盗み取られている可能性は否定できません。

　2点目は今回のテレビ局取材班による実験です。今回の実験は、実際に販売機が設置されている場所で一般の利用者がいる中で行なわれたのですが、このような偽造の方法を映像で詳細に紹介してしまうような取材に、なぜ当事者である官公庁が許可を出したのかという点です。韓国のメディアの場合は取材許可がなくても、イケイケどんどんで取材してしまう傾向があるので、そもそも許可は得ていないのかもしれませんが、それにしても、日本のNHKにあたるようなテレビ局のニュースで、官公庁の指紋認証システムの偽造方法を詳細に紹介してしまうとは驚きです。

■韓国ネットバンキング、5,000万ウォン以上の取引にOTP使用義務化へ

　インターネットバンキングが一般化している韓国では、電子取引の安全性向上を目的に、OTP（One Time Password）を普及させるための試験運用が6月29日から始まりました。早ければ10月にも、5,000万ウォン（約670万円）以上の取引にはOTPの使用が義務化されるようです。

　通常多くの国では、OTPを採用している金融機関がそれぞれ独自にOTP生成業務を管理するOTP認証センターを運営するのが一般的ですが、韓国では金融監督院の傘下にある金融保安研究院が、ほとんどの金融機関で共通して使えるOTP統合認証センターを設立し、試験運用を始めたそうです。この場合、インターネットバンキング利用者は、まずこの統合認証センターに登録して使用者識別番号を受け取ることではじめて使用権限を持ち、その上でOTPトークンの液晶画面で使い捨てパスワードを受け取ることになるわけです。

　今回のOTP義務化によって、韓国国内の関連業界は500億ウォン規模の市場が形成されると見込んでおり、また、この韓国独自スタイルの「OTP統合認証センター」が成功した暁には、このモデルを東南アジア各国に輸出する計画もあり、官民ともにかなり力を入れているようです。

　実は韓国では、一部の銀行（外国系銀行含む）が既に昨年あたりから独自にOTP を採用しており、今回の統合認証センター構築において互換性をどうするのかについては、今年1月時点の報道では、各ベンダーごとの固有の仕様を維持しながら「収容する」としていました。それが今回の試験運用に際して、実際にどこまでうまくいっているのかは本原稿執筆時点では不明です。現時点ではあくまで試験運用であり、また、義務化の対象となる5,000万ウォン以上の高額取引は、インターネット上の金融取引の90％を占める個人利用者にとっては、ごくわずかであるため、今回のOTP導入が成功したか否かが見えてくるのは当分先のことになるのではないかと思われます。

　とにかく、国を挙げて一気にOTP採用に動いたという点で、極めて韓国らしいやり方だなという印象を強く受けました。

(2007/07/11)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved.