NPO日本ネットワークセキュリティ協会
HOME JNSAについて 活動内容 イベント・セミナー 会員向け情報 成果物 リンク

セキュリティのプロが選ぶ! JNSA 2005 セキュリティ十大ニュース 〜2005年はセキュリティの基盤整備が動き始めた年/基盤の上にどんな戦略を描くかがこれからの課題〜

≪工学院大学 大木研究室からの転載(NRAメールマガジン抜粋)≫
2005年12月20日
セキュリティ十大ニュース選考委員会委員長 大木 栄二郎

 2005年は、この先どのような年であったと記憶されるのであろうか。一時の金融不安から脱却し、経済は先行きに明るさを取り戻し、株価は上昇を始めた。総選挙で小泉自民党が圧勝し、構造改革路線が国民の支持を得た。  このような中で、5回目の年末十大ニュースを識者とともに選んだが、その項目からこの年を総括してみたい。

 この年の特徴の第一は、社会基盤の整備にあるといえそうだ。個人情報保護法が施行され、情報セキュリティが法定義務になった年である。更には、内閣官房に国家情報セキュリティセンター(NISC)が発足し、情報セキュリティ政策会議も動き出した。情報セキュリティ対策の政府統一基準を発表し精力的に機能し始めるなど、社会基盤としてこれまで検討されてきたものが具体的に効果を表し始めた点が、2005年の大きな特徴であるといえよう。

 特徴の二として、情報セキュリティへの企業の取り組み不足や基本姿勢が問われる事態に関わるものが三つ、十大ニュースにランクインしたことがある。証券市場のシステム障害は、トップマネジメントの取り組み姿勢をあぶりだし、ウイルス対策事業者のチェックミスが社会に大きな衝撃を投げかけた。更には、音楽CD のデジタル著作権保護施策が、利用者の理解を得ることなく企業の独断で進められた結果が新たな脆弱性を生み出すなど、この分野における企業姿勢の難しさを浮き彫りにした事件がランクした。
 これらはいずれも、企業の基本戦略と密接にかかわる問題であり、情報セキュリティを企業戦略に明確に位置づけなければならなくなったことを如実に示したと理解すべきであろう。

 そのほかには、相変わらずのウイルス、スパム、ボットネットなど新たな脅威が次々と出てきて、対策の手薄なところで大きな被害を生じさせている実態が浮かび上がった。

 昨年の十大ニュース頭書きでは、2005年は淘汰の時代に入ると予言したが、実態はまだそこまでは進んでいないようだ。しかし、基盤の整備が着々と進み、その上に描く戦略が明確に見えてくるとすれば、来年こそは淘汰の時代が始まるとの予測が成り立つ。

 この十大ニュースが、明確な戦略を描いて、淘汰の時代を生き抜き、明るい高度情報社会を築く、その一助になれば幸いである。

 

<2005セキュリティ十大ニュース>

【第1位】 個人情報保護法全面施行とその効果
〜 保護法施行で顧客思考で 〜
【第2位】 東京証券取引所システム障害
〜 トウショそんな被害は想定せずに 〜
【第3位】 ウイルスバスターが原因でシステムダウン
〜 機能だけではなくテスト体制や開発体制も評価に 〜
【第4位】 SQLインジェクション、猛威を振るう
〜 盲点多くて手がモーウテン 〜
【第5位】 ボットネットの実態が明らかになる
〜 ぼ〜っとしていると、4分でボットに感染 〜
【第6位】 ソニーBMG社のrootkit CD問題
〜 デジタル著作権保護と利便性の狭間で 〜
【第7位】 迷惑メール(スパム)の急増
〜 対策難航、スパムはメイル 〜
【第8位】 期待のうちに内閣官房情報セキュリティセンター発足
〜 不断の努力と普段の努力と 〜
【第9位】 スパイウェアに新型ウイルス
〜 いろんな新種がアッタラシイ 〜
【第10位】 Winny利用PCのウイルス(ワーム)感染による
   情報漏えい事件、依然として高い水準で発生
〜 国内にはいまだに約30万台近くの感染PCが存在 〜
<2005セキュリティ十大ニュース> 選定委員・解説
編集長・大木栄二郎/飯田助尚/片山幸久/川口哲成/岸田 明/
小屋晋吾/小山 覚/杉浦 昌/竹内和弘/竹内秀夫/則包真一/
松岡重樹/村岡洋一/星山慶子/舛田 淳/村上 祥
【第1位】 4月1日  個人情報保護法全面施行とその効果
        〜 保護法施行で顧客思考で 〜
 2005年度、栄光ある第1位に輝いたのは、やはりというか、当然というか『個人情報保護法全面施行』である。
施行以前に比べて確かにプライバシーポリシーの公開や利用目的の明確化、問い合わせ窓口の設置、第三者提供の廃止等、個人情報保護法遵守に対する努力が払われていることは情報主体から目に見える効果として評価されることである。

 しかしながら、個人情報漏洩事件事故そのものについてはどうだろう。内閣府国民生活局が11月30日発表した資料[※]によれば、4月から9月までに事業者が公表した漏洩事案は 894件であり、半年で平成16年度1年間の 405件の倍以上となっている。これは法律により、事件事故に対し事業者が積極的に公開した結果とみることができるが、その報告内容を鑑みるとまだまだ、対策としてやるべきことが残されていることがわかる。特に盗難、紛失といったケースはいつでも発生し得るものとして対応することが求められているのがわかる。また、今まで「個人情報漏洩事件は内部から」という定説を覆すような不正アクセスによる漏洩事件も増えてきている。6月にアメリカで発生したクレジット処理会社への不正アクセスによる 4,000万件に上る漏洩事件は日本にも大きな影響を与えた。

 もう一つ、個人情報保護法施行で今後考えていかなければならない課題としては、事業者、個人双方に存在している過剰反応である。このままでは、本来の高度情報化社会への道を一部閉ざしかねない程、過敏になっているように見受けられる。この法律に対して期待と現実に差があるということであろうか。今一度この法律の真意を事業者も個人も確認するときがきているのではないだろうか。個人情報保護法第一条で謳われている「個人情報の有用性に配慮しつつ、個人の権利利益を保護すること」とは何であるかを。

※内閣府国民生活局(第20次 国民生活審議会 個人情報保護部会 資料)
http://www5.cao.go.jp/seikatsu/shingikai/kojin/20th/20051130kojin3-2.pdf

【第2位】 11月1日  東京証券取引所システム障害
      〜 トウショそんな被害は想定せずに 〜
 第2位は、記憶にも新しい、日本経済が回復傾向を受け、株式市場が活気を帯びる中、11月1日午前に世界の金融センターの一角を担う、東京証券取引所で発生した事故である。システム障害に全銘柄取引停止。この史上初のニュースよって、多くの方々の背筋に冷たいものが走ったのではないだろうか。
 障害の原因は、障害発生後、二転三転したが、どうやら、売買システムの開発・保守を担当する業者が作成した作業指示書の記載漏れであったようだ。その記載漏れを受けた、東証コンピュータシステム社が「正確に」作業を進め「不完全な」プログラムがシステムに搭載され、前代未聞の大規模トラブルは発生したのである。

 専門家の多くは、実際に運用する前に行う「動作試験」が不十分だったことに言及している。確かに「プログラムにバグはつきもの」というIT業界の常識があるように動作試験を二重三重に行うことが望ましい。しかしながら、「納期・コストを優先すると、真っ先に削られるプロセスが動作試験である」ことも、また、業界の1つの常識である。
 この2つの業界常識の連鎖を断ち切らない限り、いくら体制を見直してもシステム不安は払拭できないだろう。
 今後、業者は、客にとって、ブラックボックス化しがちである開発行程を「見える」化し、相互にプロセスの理解と認識を進めることが必要なのではないだろうか。全てを「見せる」、その行為は、今の常識ではリスクだと判断されることであるかもしれないが、きっと、その「攻めの」行為が結果として、バグや作業ミスを減らし、信頼を獲得していくことだろう。

【第3位】4月23日  ウイルスバスターが原因でシステムダウン
      〜 機能だけではなくテスト体制や開発体制も評価に 〜
 4月23日、トレンドマイクロ社のウイルス対策ソフトウェアのパターンファイルに不具合があり、このファイルをダウンロードしたコンピュータは一定の条件で実質的に利用不能になってしまった。ウイルス対策ソフトウェアがウイルスのようになってしまった、という皮肉な話である。

 直面した現場の混乱は大きかったであろうが、同社の比較的早い初期対処に加え、土曜日であったことが幸いした。新聞社などで一部混乱が生じたものの、結果としては社会的な混乱は小規模にとどまったようである。もしこれが平日であったら、相当な規模の混乱が生じていただろう。

 原因は、パターンファイルの動作チェックミスという人為的な問題であった。配布ファイルの迅速な修正、影響・対策と原因の公表、ユーザ対応と再発防止策の展開と、同社による迅速な事後の対応[※]はなされたものの、ウイルス対策ソフトウェアの導入が必須な今日、社会的な影響を考えればセキュリティソフトベンダがおかしてはならないミスであった。

 一方でソフトウェアの不具合を完全になくすことはできない。同様な事態を発生させないための努力が、全てのベンダに要求されることは当然であるが、生じる可能性はゼロにはならない。それを意識した利用する側の危機対策も必要である。影響を排除できるような体制やいざという時の対処方策の構築に加え、利用しているソフトウェアやベンダの評価と見直し等も恒常的に実施し、端末を含むシステム全体の重要度に応じたユーザ側のリスク管理もわすれてはならない。
 今回の事件は、ソフトウェアやベンダの選択の際の指標の一つとして、テスト体制や開発体制、サポート体制も重視する必要があるという教訓を示したといえるだろう。

※トレンドマイクロ社の発表より
http://www.trendmicro.com/jp/about/news/pr/archive/2005/news050424.htm
http://www.trendmicro.com/jp/about/news/pr/archive/2005/news050623.htm


【第4位】5月14日  SQLインジェクション、猛威を振るう
      〜 盲点多くて手がモーウテン 〜
 5月14日、価格.com のサイトが閉鎖に追い込まれた。いくつかの手口で不正アクセスを受けたようだが、手口の中で最もクローズアップされたのが「SQLインジェクション」と呼ばれるものであった。SQLインジェクションとは、データベースのアクセス言語である SQL に正しくないパラメータを挿入することにより、不正にデータベースを操作できるようにするものである。
 不正とは言うもののシステムとしては正しい動作であり、操作される側から見た場合、の不正であり、まさしく、アプリケーションの脆弱性と言うべき問題であった。この事件を通して、様々な問題を考えさせられた。

 もっとも大きな問題は、「最高レベルのセキュリティ対策を施した」とコメントされていたが、実は、それは思い違いでセキュリティ対策に対する経営者の認識の低さが露呈された。
さらには、手口としての「SQLインジェクション」にスポットがあたり、結果、目的としての不正アクセスというポイントに及ばず、「Webセキュリティ」に目が行ってしまった。不正アクセスが目的であれば、手口は何でもよく、たまたまそれが SQL を利用した可能性もある。

 アプリケーションが正常に動作することは重要なことであるが、正常に動作させ続けるためにセキュリティ対策のあり方をもう一度再考するのによい機会と考え、契機とすべき事件と捉えると、少し違った見方ができるかも知れない。
例えば、アプリケーションの検収条件に、動作チェックだけではなく、脆弱性の有無などを追加してみるのも一つの手かも知れない。

【第5位】 7月27日  ボットネットの実態が明らかになる
      〜 ぼ〜っとしていると、4分でボットに感染 〜
 昨年から大規模なワームの感染被害もなく、インターネットが平和になったと錯覚するような1年間だった。しかし、その裏側では犯罪組織が暗躍しボットネットを使って悪事を働いている事実が明らかになってきている。

 ボットネットとはロボットネットワークの略称である。ボットと呼ばれるウイルスの一種に感染した PC群は遠隔から命令を出すことで自由に操作することができる。海外では迷惑メールやフィッシング詐欺の大半は、ボットネットを使って行われているという。また、感染した PC から情報を抜き出して犯罪組織に送信する機能を持つことから極めて危険なウイルスである。

 極論すれば、従来のウイルスは愉快犯の自己顕示ツールであり、発見され世間を騒がせることが目的だったが、ボットネットは静かに深く潜伏し、アンチウイルスソフトの無効化など、発見されないための対策技術を実装し、周辺の PC をボットネットに組み込む動作を続け、犯罪組織の資金源となる活動を続けている。

 パッチ未対策の PC をネットに繋ぐと平均4分で感染するほど猛威を振るっており、亜種が多いためアンチウイルスソフトも間に合わない可能性があるそうだ。このボットに対する対策は以外に単純である、PC のセキュリティホールを無くし、知らないメールは開かない、怪しい Webサイトはアクセスしないなどの基本を徹底すればまず感染する恐れはない。ぜひ実践していただきたい。

【第6位】 10月31日 ソニーBMG社のrootkit CD問題
      〜 デジタル著作権保護と利便性の狭間で 〜
 デジタル著作権管理DRM(Digital Rights Management)を巡った論争は、ソニーBMG社の rootkit を皮切りに激しい様相を呈している。
 ソニーBMG社から販売された 2,400万枚を超える問題の音楽CD では、再生しようとした際にユーザの知らないところで rootkit と呼ばれるようなソフトウェアがインストールされてしまう。このツールは通常のソフトウェアとは異なり、PCプログラムの最深部に近いところで動作するソフトウェアのため、削除が非常に困難であった。rootkit ソフトウェアはそれ自身の発見が極めて難しいことから、ハッカーやウイルス作成者にソースコードを悪用され、自身の悪質なソフトウェアを隠せるようになってしまうと語られている。

 ソニーBMG はすぐにこのソフトウェアを取除くためのツールの作成、配布を行ったが、またしても PC をリモートで操作されてしまうような重大な脆弱性を含んでしまうという結果となった。

 レコード会社や映画会社は、保持するコンテンツの知的財産権が複製行為やPtoP を利用して侵害され続けていることに以前から強い懸念を示している。そこで、これらの自社利益が侵害される行為を抑止するべく、コピーコントロールソフトなどによる対策を講じている。しかし、ソフトウェアの意図しないインストールやデジタルコンテンツ利用の際の所有者認証など、ユーザの利便性といった利益が損なわれることも否定できない。
 双方の利益を損なうことなくコンテンツの不正利用を認めないような着地点を探す時期に来ている。


【第7位】 1月27日  迷惑メール(スパム)の急増
      〜 対策難航、スパムはメイル 〜
 昨年迄はスパムと言えば米国を中心とする外国の話であったが、本年に入って国内スパーマの急増により事情は急変した。組織の活動ドメインにより多少の差異はあると思われるが、個人を含めて本年に入ってからのスパム受信急増には、ほとほと手を焼いているのではないだろうか。現在日本において、組織のメール受信件数の半分以上はスパムと思われる。本来的な業務連絡のメール数は増加していることはあっても減少はしていないから、組織のメール受信数は2倍以上に膨れ上がり、メールサーバの能力にも相当の影響を与えている筈である。また大量のメールに埋もれて、重要なメールの見落とし、あるいは誤削除等の実害も出ている。
 現在一般的な対策としては、自衛/プロバイダーによる削除/振り分け・識別ヘッダー挿入が一般的である。メルマガ編集委員としても、決定的な対策を申し上げられない点、非常に歯がゆく思う。しかし、多分スパムとは永遠に付き合わなければならないであろうから、新たな対策技術の開発を期待するとともに、実害が出ない様各組織における日々の対策、構成員への教育も不可欠である。なお一部の国では法制化が効を奏しているが、日本でも実効ある法制度を推進し、また国際協調の取り締まりによる撲滅作戦展開も必要である。

※総務省(報道資料「迷惑メール追放支援プロジェクト」の実施)
http://www.soumu.go.jp/s-news/2005/050127_1.html
※迷惑メール相談センター(財団法人日本データ通信協会)
http://www.dekyo.or.jp/soudan/top.htm


【第8位】 4月25日  期待のうちに内閣官房情報セキュリティセンター発足
       〜 不断の努力と普段の努力と 〜
 本年4月、内閣官房情報セキュリティセンター(NISC)が発足し、またその活動のバックボーンとなる情報セキュリティ政策会議が5月IT戦略本部の下に設置された。日本の情報セキュリティ対策は 2000年の省庁ホームページ改ざん事件を発端として本格的な取り組みに着手、種々の施策が採られつつも最近若干の閉塞感があったが、これをブレークスルーする動きとして NISC および情報セキュリティ政策会議への期待は大きい。全国家的な取り組みとして、欧米に一歩先んずる活動と評価できる。
 各種報告書・検討資料が、昨年度の第一次提言、本年4月の第二次提言以降順次発行されており、本年は重要インフラ保護の推進、および個人・一般企業を対象としたセキュリティ文化の推進等幅広い活動が行われている。また12月13日には中長期戦略として第一次情報セキュリティ基本計画(案)が公開され、意見募集を行っているところであり、注目したい。
 ただし、報告・検討内容を実体のあるものにするには、直接的に関係する省庁/業界/団体/個人のみならず、間接的に関係するそれ等の巻き込みが不可欠であり、また全国家的なコンセンサス創りと、それを実現する鉄の意思と不断の努力が必要である。

【第9位】 11月1日  スパイウェアに新型ウイルス
      〜 いろんな新種がアッタラシイ 〜
 11月1日、ある銀行から1通のニュースリリースが出された。当該銀行の名をかたる CD が送付され、その中に仕組まれたスパイウェアにより不正送金される可能性があるというものである。このスパイウェアはいくつかの日本に存在する銀行のオンラインバンキングサイトにアクセスするとキーロギングを行い、ID・パスワードを盗み不正な送金を可能にするものであった。スパイウェアは最新のものではなく、容疑者も検挙されたが、フィジカルな手段とサイバーな手段を組み合わせた高度なソーシャルエンジニアリングに実際の不正送金の被害も出た。
 今月の初めにはインターネットメッセンジャーで会話を行うウイルスも出ている。
 また、ヨーロッパでは携帯のウイルスも新型がいくつも発生した。

 インターネットが経済活動に直結した現在、不正を行おうとするものは以前にもまして手口を巧妙化させ危険度を増加させている。相手はプロフェッショナルなのだ。我々も常に細心の注意を払い、英知を結集し、ITを運用するプロフェッショナルとしてリスクの回避を行わなければならない時代になっているのであろう。

【第10位】 11月21日 Winny利用PCのウイルス(ワーム)感染による
       情報漏えい事件、依然として高い水準で発生
       〜 国内にはいまだに約30万台近くの感染PCが存在 〜
 社会インフラ施設の設計情報や官公庁の内部情報、企業内情報、顧客の個人情報等、重要な情報が漏えいする事件・事故が頻発する中、11月21日、日本データ通信協会テレコム・アイザック推進会議とマイクロソフトは、Winny等の匿名性の高い P2Pファイル交換ソフトを介して重大な情報漏えいを引き起こすウイルス(ワーム)に感染した PC が、いまだに国内に約30万台存在することが予想されると発表した。
 この悪質なウイルスは、感染した PC内のファイルを、P2Pのファイル交換用データとしてインターネット上に流出させる。これによって、多くの重要な情報が不特定多数の人の目にさらされる事故が続出している。このウイルスにはさまざまな亜種があり、現在も新たな新種が次々に登場している。
 もちろん、企業や団体においては、業務用PC の上でこのような P2Pソフトを動作させることを禁止しているのが普通であろう。しかし、実際の事故を見てみると、業務データを自宅に持ち帰って P2Pソフトが載っている個人用のPC で作業を行ってしまい、そのデータが流出した例が非常に多い。

 このような事態を招かないようにするためには、個人利用の PC と業務用のPC との区分を正しく行うことが必要である。そのためには、組織内のルールで、業務データを絶対に個人の PC内に持ち込まないように規定する必要があ
る。
そもそも個人が私物の PC で業務を行うのは、情報漏えい以外の観点からも、問題が多い。もしも自宅で業務をしなければならないような事態が想定されるのであれば、自宅で業務を行うための PC を貸し与え、個人のPC とはっきり区別させるべきである。

 次に、ウイルス対策を正しく行うことが必要である。ウイルス対策ソフトを導入して適切に運用するのはもちろんだが、過去のこれらの事故例を見ると、ウイルス対策ソフトのパターンファイルの更新が追いつかず、ウイルスの検出が遅れるような事態も多々発生している。ウイルス対策ソフトを過信することなく、出所のはっきりしないファイルを不用意に実行したり開いたりしない習慣を身につけることが重要である。

 最後に、P2Pソフトの利用には細心の注意と節度が必要である。現在のところ、P2Pソフトの利用自体は違法ではないが、そこでやりとりされるデータには、著作権法違反のファイルや非合法なファイル、きわめてプライベートな個人情報などが多く含まれている。利用者の業務データや自分自身の個人情報がさらにそれに追加されるようなことのないよう、P2Pソフトの危険性と、情報漏えいを起こしてしまった時に本人や組織が受ける破滅的な被害の大きさを十分に認識することも重要である。
◆本内容は、必ずしもNPO日本ネットワークセキュリティ協会(JNSA)の見解を示すものではありません。
↑このページの先頭へ