Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか

企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey

 9月11日、米CERT/CC、Secret Service(財務省検察局)、CSOマガジンおよびMicrosoftが連名で、2007年の「E-Crime Watch Survey」の結果を公表しました。これは、企業組織のCSOや法執行機関の職員などを対象に、セキュリティに関する様々なトピックについて調査したアンケートの結果をまとめたものです。

 アンケート調査は、CSOマガジンの読者15,000人と、Secret ServiceのElectronic Crime Task Forcesのメンバーに電子メールでアンケートシステムのURLを紹介する形で行なわれ、有効回答数は671名。調査期間は2007年7月26日から8月13日で、調査対象期間は2006年7月から2007年6月、誤差は±3.79%となっています。

 調査項目は、セキュリティへの関わりの度合いから、実際に経験したコンピュータ犯罪(E-Crime)や攻撃方法、さらに攻撃から守るのに採用した方法や攻撃された後に取った法的手順などです。

 調査結果のサマリーによると、セキュリティインシデントやコンピュータ犯罪は昨年の調査結果と比較して変化はないが、その一方で企業組織のセキュリティに責任のある経営層(CSOなど)に「過信」が生まれつつあるのではないかとの懸念が示されています。

 調査によると、57%の回答者がコンピュータ犯罪に対する危機感を以前より感じていると回答しており、実際に49%の回答者(前年調査では38%)がコンピュータ犯罪を経験しているようです。この57%という数字は一見「普通」のように思えますが、逆に考えると、残りの43%は危機感を以前より感じていない、さらに言えば「セキュリティ」に対する優先度が前年よりも下がっている可能性を「示唆」しているわけです。

 この調査結果自体は、あくまでアンケートに応じてくれた人たちの回答を集計したに過ぎませんし、そもそも米国内に限られた調査ですので、この結果をもって全体を判断するのは早計だと思われます。しかし、近年の「攻撃」の多くが標的型攻撃(Targeted Attack)であり、メディアなどを通じて具体的に公表されることがないことから、実際に攻撃の被害を受ければ危機感を感じるが、被害を受けなければ危機感を感じないという、人間の心理としては極めて当たり前の結果を具体的に示すものだと思われます。

 今回の調査結果には、特に際立って興味深いデータがあったわけではありませんが、来年以降もこの調査は行なわれると思われますので、引き続き、調査結果には注目していく必要があると思います。

URL
 2007 E-Crime Watch Survey(PDF)
 http://www.cert.org/archive/pdf/ecrimesummary07.pdf

今度はフランス? またも中国人民軍の関与疑惑

 ドイツの政府機関のPCにトロイの木馬が設置された事件に、中国人民軍が関与しているのではないかとの報道があったばかり(本連載第12回を参照)ですが、今度はフランスの政府機関が攻撃されるという事件が発生しました。

 9月8日付のフランス「ルモンド」紙によると、フランス政府のネットワークが中国を発信元とするサイバー攻撃を受けたことを、フランスの国防総事務局(SGDN)が明らかにしたそうです。

 もちろんフランス政府の公式見解としては、中国政府の関与を断言する立場にないとしているようですが、報道内容のニュアンスとしては「疑惑」の存在をほのめかしています。

 また同日、英「タイムズ」紙は、中国人民軍が米軍への大々的なサイバー攻撃を準備しているとの米国防省の文書を入手したと報道しました。報道によると、2005年には米国防省への侵入の試みが79,000件以上観測され、そのうち約1,300件が成功したとのことです。

 前回の記事でも触れたように、中国人民軍にサイバー攻撃部隊が存在することはかねてより報道されていましたが、なぜ最近(8月から9月にかけて)になってこのような報道が立て続けに起こっているのか、非常に疑問です。報道されていない何かがあると考えるのは自然なことだと思われますが、本原稿執筆時点で詳細は不明です。

URL
 「Le Monde.fr」2007年9月8日付記事
 La France, cible de hackers chinois
 http://www.lemonde.fr/web/article/0,1-0@2-3224,36-952776,0.html
 「Times」2007年9月8日付記事
 China's cyber army is preparing to march on America, says Pentagon
 http://technology.timesonline.co.uk/tol/news/tech_and_web/the_web/article2409865.ece

米国土安全保障省のシステムの安全性、責任を問われたUnisysが反発

 9月24日、米国土安全保障委員会は5カ月にわたる調査結果から、米国土安全保障省(以下、DHS)のセキュリティ管理を外部委託している業者に重大な問題があることを指摘するとともに、DHSの監査官に対して、過去のセキュリティインシデントについて調査するように要請したことを明らかにしました。

 9月21日付で同委員会からDHSの監査官であるRichard L. Skinner氏宛に送られた要請書によると、2005年度および2006年度の間にDHSが844回もの「サイバーセキュリティインシデント」を経験していたことが今回の調査により判明したそうです。また、業者が適切な対応を取っていれば未然に防ぐことができたであろうインシデントの存在や、DHSに対して適切な情報提供を業者が怠っていたことも指摘されており、業者の責任が強く追及されています。

 一方、セキュリティ管理の委託を受けているUnisysは、当然のことながら今回の指摘に対して猛反発しており、今回の件が今後どのように展開するのか注目されるところです。

 ちなみに、公開されている要請書にも、DHSへの攻撃に関して「中国」という国名が明記されています。もちろん中国政府による諜報活動の可能性については「ほのめかす」程度にとどまっています。

URL
 米国土安全保障委員会のプレスリリース
 http://hsc-democrats.house.gov/press/index.asp?ID=268
 Unisysのプレスリリース
 http://www.unisys.com/about__unisys/news_a_events/09248817.htm

「お祈りパンダ」ウイルス作成者に禁固4年の判決、でも将来は安泰?

 以前の記事でも紹介した、「お祈りパンダ(熊猫焼香)」ウイルスを作成してばらまいた犯人とその関係者に判決が下りました。

 お祈りパンダは、2006年後半から主に中国で被害が広がり、最終的には100万台を超えるWindows PCに感染したと言われています。また、これだけの大規模な被害が中国で発生したのは初めてであることから、現地では「ウイルスの王」とまで言われていたようです。

 セキュリティベンダーSophosの情報によると、中国湖北省仙桃市の裁判所は、主犯であるリ・ジュン被告(25歳)に禁固4年、関係者3名に禁固1年から2年半の判決を下したとのことです。

 この判決内容自体が「甘い」か「厳しい」かは判断の分かれるところでしょうが、ウイルスなどマルウェアの「発生地」と呼ばれることの多い中国において、ウイルス作成者が「きちんと」処罰されたという意味では、非常に興味深い話題と言えるでしょう。

 ところが判決の翌日、中国国内の10社ほどの企業がリ・ジュン被告に対して 100万元(約1,500万円)で採用したいとの申し出をしているとの報道がありました。それらの企業の中には「お祈りパンダ」の被害を受けた企業もあるとのことです。

 これまでもこのような「犯罪」を犯した人物を採用した企業は国際的に見ても珍しくはありません。しかしそれでも、そもそも職を得られない腹いせにウイルスを作ってばらまき、金儲けをしたような犯人を採用するということは、「ウイルスを作れば高給で雇ってもらえる」とのイメージを世間に広めることにもなりかねず、企業の社会的な責任や「倫理観」が問われる問題なのではないかと思われます。

URL
 Sophosのプレスリリース
 http://www.sophos.com/pressoffice/news/articles/2007/09/fujacks-jail.html
 Sophosのプレスリリース
 http://www.sophos.com/pressoffice/news/articles/2007/09/pandajob.html
 「上海日報」2007年9月25日付記事
 Million yuan job awaits jailed worm author
 http://www.shanghaidaily.com/sp/article/2007/200709/20070925/article_332460.htm

(2007/10/03)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2007 Impress Watch Corporation, an Impress Group company. All rights reserved.