Internet Watch logo
記事検索
バックナンバー
第33回:FIRSTが異例の一般向け注意喚起、実は…… ほか
[2009/06/04]
第32回:「APCERT」とアジア太平洋地域の新しいCSIRTたち ほか
[2009/05/12]
第31回:「CanSecWest 2009」のクラッキングコンテスト「PWN2OWN」 ほか
[2009/04/07]
第30回:デンマークのISPに「The Pirate Bay」へのアクセス遮断命令 ほか
[2009/03/03]
第29回:英国で国民のPCへの令状なし侵入捜査を許可する計画 ほか
[2009/02/04]
第28回:2008年のセキュリティを振り返る ほか
[2009/01/08]
第27回:韓国でもボット対策サービス、感染の有無を調べて治療も ほか
[2008/12/02]
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか
[2008/11/05]
第25回:米ペイリン副大統領候補のメールアカウントが盗まれる ほか
[2008/10/08]
第24回:セキュリティ業界のイグノーベル賞? ラズベリー賞? ほか
[2008/09/02]
第23回:マルウェア配布サイト、放置すると罰金~韓国で法改正の動き ほか
[2008/08/06]
第22回:データ侵害の発生源、リスクが最も高いのは取引先? ほか
[2008/07/02]
第21回:通話記録などすべてデータベース化? 英国で通信データ法案 ほか
[2008/06/05]
第20回:米国の2007年ネット犯罪レポート ほか
[2008/05/01]
第19回:Vista vs Mac OS X vs Ubuntuクラッキングコンテスト ほか
[2008/04/09]
第18回:欧州におけるフィルタリング~検閲への動き ほか
[2008/03/04]
第17回:韓国で「DDoS攻撃を防げるUSBメモリ」販売!? ほか
[2008/02/08]
第16回:中国の「悪性Webサイト」に関する研究 ほか
[2008/01/08]
第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか
[2007/12/05]
第14回:韓国で「偽ウイルス検知ソフト」企業を複数摘発 ほか
[2007/11/05]
第13回:企業のCSOにおける「過信」を懸念~米E-Crime Watch Survey ほか
[2007/10/03]
第12回:独「アンチハッカー法」施行に伴う研究者らの動き ほか
[2007/09/06]
第11回:韓国の上半期セキュリティ10大ニュース ほか
[2007/08/08]
第10回:韓国の自動証明書販売機、紙の偽造指紋でも認証 ほか
[2007/07/11]
第9回:韓国でポイントキャッシュバック詐欺が発覚 ほか
[2007/06/12]
第8回:「ハイブリッドP2P型」ボットネットの脅威 ほか
[2007/05/08]
第7回:TWNCERTによるソーシャルエンジニアリングのドリル ほか
[2007/04/04]
第6回:韓国、インターネット掲示板利用に本人確認義務化へ ほか
[2007/03/06]
第5回:アンチフィッシングツールの検知能力、米大学が比較実験 ほか
[2007/02/06]
第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか
[2007/01/18]
第3回:米国CERT/CCがPodcastingでセキュリティ講座 ほか
[2006/12/07]
第2回:韓国情報保護振興院が配布するスパム通報ソフト「SpamCop」 ほか
[2006/11/06]
第1回:あなたのID管理は何点? IDの信頼指数をクイズで測定するサイト ほか
[2006/10/12]
海の向こうの“セキュリティ”
第26回:韓国で「知能型サイバー攻撃監視・追跡システム」開発 ほか

 今回は韓国の話題を中心に紹介します。

韓国で「知能型サイバー攻撃監視・追跡システム」開発

AMTRACのWebサイトで公開しているスクリーンショットの1つ

 韓国電子通信研究院(Electronics and Telecommunications Research Institute:ETRI)は10月6日、ネットワークの異常現象をリアルタイムに探知・分析し、ネットワークに侵入した攻撃者がどの国のどの場所にいるかを示すことができる「知能型サイバー攻撃監視・追跡システム(Attack Monitoring & Tracing:AMTRAC)」を開発したと発表しました。

 このシステムは、攻撃行為を可視化し、トラフィックを監視するなどして、リアルタイムに攻撃の状況を表示したり、攻撃元の国や場所を追跡して表示できるようです。また AMTRACは以下の3つの技術で構成されています。

1)VisCat(Visualization of Cyber Attack)
 視覚化基盤保安状況認知技術。ファイアウォール、ルータ、IDS/IPSなどのネットワーク機器やPCからセキュリティイベントを受信し、ネットワークとホストの保安状況を視覚化して分析する。

2)Scout
 サイバー攻撃をリンク基盤で追跡する、サイバー攻撃追跡技術。

3)VisZla
 ネットワークインフラ管理技術。追跡した攻撃元がどの国のどこにあるかがわかる。

 残念ながら、AMTRACのWebサイトがまだ十分に整理されておらず混沌とした内容になっているため、例えば、具体的に「何(どこ)を」「どのように」監視しているのかといった詳細は不明です。それでも、掲載されているスクリーンショットなどを見る限りでは、なかなか「カッコ良く」作られたシステムのようです。

 報道によると、AMTRACが追跡できる対象(クライアント)を拡大し、2008年末までに完成させる計画だそうですので、今後のETRIによる発表にも注目です。

URL
 AMTRAC
 http://amtrac.etri.re.kr/(ハングル)
 http://amtrac.etri.re.kr/eng/main.html(英文)
 ETNEWS(2008年10月6日付記事)
 ETRI、地理情報保安技術開発「ハッカー動くな」
 http://www.etnews.co.kr/news/detail.html?id=200810060016

韓国アンラボ、第3四半期セキュリティ状況を発表

 韓国の安哲秀研究所(アンラボ)は10月10日、第3四半期の「7大セキュリティイシュー」を発表しました。「7」という中途半端な数であるのが不思議ですが、(主に)韓国の状況を示すものとして簡単に紹介します。

1)外国製偽ワクチンソフト奇勝
 偽ワクチンソフトとして具体的に名前が挙げられているのは、AntivirusXP 2008、AntivirusXP 2009、VistaAntivirus 2008、WinXSecurityCenter、XPProtector2009です。この中で最も被害が大きかったのは、AntivirusXP 2008(Win-Trojan/Fakeav.variant)だそうです。

2)外国製スパイウェア急増
 1月の時点で韓国製のスパイウェアは全体の60%を占めていたそうですが、9月には11%にとどまっていたそうです。その原因としては、上半期に国内スパイウェア製作者が取り締まられたこと、また2007年末からユーザーの同意なしにインストールされるActiveXもスパイウェアと分類されるようになったことのようです。

3)Webサイト攻撃の知能化
 Webサイトが侵入され、マルウェア配布サイトにされたり、その経由地にされた数は、第3四半期までで2876件。すでに2007年通年の2183件を超えています。攻撃の内容は、SQLインジェクションのほかに、Adobe FlashPlayerの脆弱性やMicrosoft Access Snapshot Viewerの脆弱性が使われているようです。

4)PDF、DOC、PPTファイルの脆弱性を悪用するマルウェア増加
 一般的なPDF、DOC、PPTファイルのほかに、韓国でトップシェアを誇っているワープロソフトであるHAANSOFT社製「アレアハングル 2007」のファイル形式「HWP(Hangul Word Processor)」ファイルの処理に含まれる脆弱性が悪用されるケースもあったそうです。

5)DDoS誘発するボットネットの活動力増加

6)DNSキャッシュポイズニング脆弱性攻撃コード初報告
 Dan Kaminsky氏が発表したものです。

7)伝統的なウイルスの被害継続中
 実行ファイル(.exe、.scr)に感染する「伝統的なウイルス」も相変わらず被害が多いようです。

 基本的には韓国に限らない話題が多いですが、4)のHWPファイルの件は興味深いです。日本でも国産のワープロソフト「一太郎」の脆弱性を悪用した攻撃が発生していますが、韓国でも官民そろって最もシェアの大きい韓国独自のワープロソフトの脆弱性が悪用されているんですね。

URL
 アンラボのニュースリリース
 http://kr.ahnlab.com/company/pr/comIntroKoNDView.ahn?B_SEQ=143178
 Empasニュース(2008年10月12日付記事)
 安哲秀研究所、第3四半期7大セキュリティイシュー発表
 http://news.empas.com/show.tsp/20081012n02738/

韓国で「サイバー侮辱罪」新設の動き

 韓国では、国民的人気女優のチェ・ジンシルさんの自殺をきっかけに韓国政府が押し進めている、インターネットにおける侮辱行為を処罰するサイバー侮辱罪の新設や、すでに2007年から施行されているインターネット実名制(本人確認制度)を拡大・強化する案に対し、議論が巻き起こっています。

 まず、サイバー侮辱罪については、これまでの「侮辱罪」と異なり、被害者が訴えなくても警察や検察が捜査できるというのが最大の論点です。これに対しては、煩わしい告訴手続きが省けて良いという賛成意見と、被害者の私生活に対する侵害にあたるとする反対意見があります。

 一方、インターネット実名制の拡大とは、利用者の多いサイト(1日の訪問者数が30万人以上のポータルサイトや20万人以上のインターネットメディア)に対して、ユーザーの掲示板への書き込みに際して、本人確認を義務付ける現行の制度を、訪問者数10万人以上のサイトに拡大するというものです。これにより、適用対象は37サイトから178サイトに増えることになります。

 これに関しては、制度の拡大だけでなく、実効性の観点から真の「実名制」を導入すべきとの意見も出てきています。

 そもそもこの制度は、ユーザー登録時の本人確認を義務化するだけで、実際にユーザーが掲示板に書き込む際に本名を使うことを義務付けるものではありません。そこで、より実効性のある制度として、書き込みの際にも実名を書くことを義務付ける、真の意味での「実名制」を導入しようという意見が増えてきているのだそうです。

 このような中で行われたある世論調査によると、国民の半数以上が「サイバー侮辱罪の導入」「インターネット実名制の導入」に賛成しているという結果が出ています。

 「熱しやすい」国民性の韓国で、人気女優の突然の自殺というショッキングな事件に対して、多少熱くなり過ぎている印象を受けないではないのですが、最終的にどういう形に落ち着くのか、動向を見守りたいと思います。

URL
 朝鮮日報(2008年10月26日付記事)
 悪質書き込み:処罰めぐり賛否両論(上)
 http://www.chosunonline.com/article/20081026000005
 朝鮮日報(2008年10月26日付記事)
 悪質書き込み:処罰めぐり賛否両論(下)
 http://www.chosunonline.com/article/20081026000006
 朝鮮日報(2008年10月26日付記事)
 悪質書き込み:「実名制」導入に賛成63.1%
 http://www.chosunonline.com/article/20081026000007

ハードディスク暗号鍵の黙秘は法律違反、英国で裁定

 最後に韓国以外の話題として、英国の話題を紹介します。

 これは、自分の立場を不利にする証言を拒むことができる、いわゆる「黙秘権」はどこまで行使できるかという問題に繋がっています。

 英国では10月、被疑者が自らの不利になる可能性がある情報が収められたハードディスクの暗号鍵(パスワード)を明かさない行為が法律違反になるとの裁定が下されました。

 裁定の根拠となったのは、ハードディスクの暗号鍵とタンスや金庫の鍵のような物理鍵は基本的に同じであるという考えにあるようです。つまり、鍵そのものが被疑者を不利にするのではなく、その鍵で守られた中身が不利にする可能性があるだけだというわけです。

 また別の根拠として、適切な手続きに基づいた命令がある場合に被疑者がDNAの提供を拒めないように、黙秘権にはそもそも制限があるという考えもあるようです。

 テロ対策に敏感な英国と日本ではそもそも法律が違うので、この事例が日本にどう影響するかはわかりませんし、この裁定の善し悪しをここで論じるつもりもありません。それよりも、暗号鍵が法的に物理鍵と完全に同じように扱われる(ことがある)ということに改めて気付かされた事例でした。

 ただ、今回の事例の場合は、逮捕時に被疑者の1人が暗号鍵を入力してハードディスクの内容を暗号化するところが警察に目撃されていたことから、暗号化されていることがわかり、それゆえに暗号鍵を明かすように被疑者に命令することができましたが、果たして今回のような命令が常に出せるかは疑問です。また、場合によってはそのような命令に従っても無意味である可能性もあるのです。

 例えば、「暗号化されていると思われるハードディスク」が証拠品として押収されても、それが本当に暗号化されているのか、ただのランダムな(もしくは壊れた)データが収められているだけか、厳密に区別することは難しいのではないかと思います。ほかにも、複数の鍵を用意して1つの鍵では一部しか復号できないようにするなど、命令に従って暗号鍵を明らかにしても肝心のデータを隠したままにするという回避策も技術的に不可能ではありません。

 こういった事例は今後も様々なパターンで出てくるかもしれません。

URL
 The Register(2008年10月14日付記事)
 RIPA ruling closes encryption key loophole
 No pleas against self-incrimination allowed
 http://www.theregister.co.uk/2008/10/14/ripa_self_incrimination_ruling/
 LinuxWorld(2008年10月15日付記事)
 UK appeals court rejects encryption key disclosure defense
 http://www.linuxworld.com.au/index.php/id;897277082

(2008/11/05)


  山賀正人(やまが まさひと)
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ
 Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.