NPO日本ネットワークセキュリティ協会

≪工学院大学　大木研究室からの転載（NRAメールマガジン抜粋）≫

２００７年１２月１８日
セキュリティ十大ニュース選考委員会委員長　大木栄二郎

　2007年は、「食品偽装」と「ずさんな年金記録」が大きな特徴である。
　食品偽装が、食品そのものの偽装に加えて、食品の情報にかかわる偽装でさらに巧妙になってきている点が見逃せない。また、消えた年金にみられる情報処理のずさんさ、いい加減さは想像を絶するもので、その IT処理にかかわった技術者も贖罪を迫られなければなるまい。
　今年の十大ニュースのその他の項目は、見出しだけ見ると昨年のニュースと大きく変わるものではない。個人情報の漏えいは相変わらずで、重要機密の漏えいも深刻である。IT障害もひとたびおきると社会に大きな影響を与えることに大きな変化はない。

　しかし、十大ニュースとしてまとめてみると、大きな時代の流れが見えてくる。
　それは、情報が社会を動かす原動力となり、情報を取り扱う仕組みが社会基盤に組み込まれ、国民生活に直接の影響を与えるようになったことであり、その仕組みに不具合が生じ正常に動かなくなると、国民の生活に多大な影響を及ぼすという大きな流れである。
　つまり、今や国民の安心・安全は情報を取り扱う社会基盤のしくみに大きく依存するようになったが、この情報基盤には依存できるだけの規律が確立できているのかという根本的な疑問が、2007年の十大ニュースで我々につきつけられていると解釈するのが適当であろう。

　ここ当分は、このような事件事故のニュースに注目し、国民の疑問に答えることができているのか、我々の社会が望ましい方向へ舵を切れているのかどうかを見極めなければならないようだ。

【第1位】　食品偽装次々と明るみに: ―信頼できる情報が食の安全を支える―
【第2位】　とまらない個人情報漏えい: ―今こそ官民の枠を超えた社会全体の対応を―
【第3位】　消えた年金記録問題: ―ずさんな管理に国民の不信は増すばかり―
【第4位】　今年も起きた社会インフラのシステム障害: ―教訓は活かされたのか―
【第5位】　「迷惑メールへの対応の在り方に関する研究会」 中間とりまとめ案発表: ―あいかわらず増加するスパムメール、
　　　　　　　　　　　　　　　　　　　　海外発が９割以上―
【第6位】　サイト犯罪増加: ―いまだ有効な対策は見つからず―
【第7位】　おとりにされたYouTube: ―ワンクリックから始まる受動的攻撃―
【第8位】　サイバークリーンセンター本格稼動: ―本格稼動で評カドウ？―
【第9位】　国家重要機密情報自衛隊内部流出事件容疑者逮捕: ―情報セキュリティには一人一人の意識と牽制が重要―
【第10位】　日本語ワープロソフト「一太郎」に脆弱性: ―広がりつつあるゼロデイ攻撃の脅威―

＜２００７セキュリティ十大ニュース＞　選定委員・解説
編集長・大木栄二郎／片山幸久／川口哲成／岸田　明／小屋晋吾／
小山　覚／杉浦　昌／竹内和弘／村岡洋一／星山慶子／阿部裕美子

【第1位】 1月10日　食品偽装次々と明るみに ―信頼できる情報が食の安全を支える―: 　今年1月10日「不二家の期限切れ原材料使用問題」が発覚した。そして 6月に「ミートホープの食肉偽装」、8月に「石屋製菓白い恋人の賞味期限延長問題」、10月には「赤福」や「船場吉兆」など、消費者が信頼した老舗やブランド食品の偽装事件が次々に明るみになった。

　これまで国産牛の狂牛病(BSE)対策で、牛肉のみならず食の安全とトレーサビリティなど、万全を期す取り組みが展開されてきた。記憶に新しいところでは、2004年12月には牛肉トレーサビリティ法が施行、生産履歴とトレーサビリティさらに原産地表示などの表示方法が改善され、日本農林規格（JAS）では生産情報公表JAS として、牛肉、豚肉、野菜と生産履歴公表に関する規格が示された。店頭に並んだ食品表示をみて安心感を覚えた人もいるのではないだろうか。

　しかし、原産地表示やトレーサビリティの確保だけでは、食品加工段階などブラックボックス状態で行われる悪事には無力であることを露呈したのが、今年頻発した食品偽装事件である。まさに、食品原材料の生産から流通・加工・販売・消費に関わる全てのプロセスでのアカウンタビリティの必要性が改めて問い直された一年であると言える。

　工場などお客様が直接見えない生産現場では「後工程はお客様」という考え方が浸透している。後工程をお客様と思って品質や効率を追求することで全体最適を図るためのスローガンである。食の安全に関わる最終消費者までのプロセスは、複数の企業間で分業が進んでいるため、情報の共有・監視評価・改善策の検討と実施など、PDCA が回る仕組みが作りにくい。実はアウトソーシングが進んだ IT環境でも同じことが言えるのではないだろうか。

　人の命に直結する「食の安全」への取り組みが、情報セキュリティ対策の手本となることを期待したい。
【第2位】 3月12日　とまらない個人情報漏えい ―今こそ官民の枠を超えた社会全体の対応を―: 　残念ながら今年も、個人情報の漏えい事件・事故の絶えない一年であった。3月に発覚した、大手印刷社の従業員による 863万件にも及ぶ個人情報の持ち出しのような犯罪性のある事件以外にも、15万人分の顧客情報の入った携帯用PC の盗難事件、そして、相変わらず減らない Winny利用者による個人情報の暴露等、状況に改善の兆しが見えない。また、海外に目を転じれば、英国の歳入関税庁による 2,500万人分の個人情報の入った CD-ROM の紛失という前代未聞の事故も発生した。いまだに個人情報保護の重要性に対する意識の甘さと対応の不備があらたまっていないのは、日本のみならず世界的な傾向ということであろうか。

　しかしその一方で、一部の官公庁や病院において、個人情報の保護を楯にして情報公開を拒むような事態も発生している。個人情報保護の本来の目的と意図、法的内容をいまいちど確認し理解を深める必要があろう。

　もっとも、このような混乱がおこるのはやむをえない部分もある。そもそも個人情報保護の考え方と重要性が明確になってきたのは最近のことであり、それ以前は、ODA のガイドラインにみられるように概念としては存在したものの、具体的な対応までは明確になっていなかった。いわば、最近になってパラダイムシフト的な変化が発生した領域なのである。

　このため今後は、個人情報保護の本来の目的とその制約事項を再確認した上でその理解を社会全体に広める必要がある。また、現実的かつ効果的、具体的な対応策の内容を明確にし、それにしたがって社会全体で対応を進める必要もある。これらは、一企業や一団体だけで行えるものではない。官民の枠を超えたさらなる連携体制の構築とその推進が重要であろう。
【第3位】 7月5日　　消えた年金記録問題 ―ずさんな管理に国民の不信は増すばかり―: 　7月5日、政府は、誰のものか特定できていない宙に浮いた年金記録およそ5,000万件について、2008年3月までに照合・通知を完了すると発表した。
　全国の社会保険事務所や Webサイトに殺到する問合せで混雑は続き、その上コールセンターの要員がアルバイトだったことも露呈するなど、不信の上に不信を募らせた。そして、12月11日に厚生労働省は 5,000万件のうち約四割が名寄せ作業での特定が困難であるとの調査結果を公表した。

　情報処理という観点でいえば、この問題は、昭和37年に電算処理を始めたころからのデータの入力ミスであり、入力データ照合のチェック体制の不備であり、入力ミスを防ぐ機能の未導入といったことの結果であるが、それがどんな事態を招くことになるかに思い至らず、どんな対処をすべきなのかに手を打ってこなかったことへの大きなツケの露呈である。
　我々の社会は、情報が間違いなく処理されているだろうとの信頼の上に成り立っていたが、それが幻想だったということを突きつけられたのだ。

　年金問題はまさしく情報＝生活基盤だからなおさら深刻で、情報の安全安心は、人の生活や人生、時には命に直結する問題であることを改めて考えさせられる。
　官でも民でもどこの組織でも、個人に紐付く情報は大切に正確に扱わなければならないというタスクを実行するために、システム、環境、体制等の定期的な見直し・改善、それを徹底する人づくりという基本を忘れてはならない。地道でも一つ一つの問題を着実に、厳密に、丹念に解消するのだという意志を持って臨んでほしい。

　これまで個人情報といえば、漏えいに目が向くことが多かったが、今後は大切な情報がどのように扱われ、正確性が担保され、保護されているかというプロセスのあり方に、組織そして情報の主体者である我々個々人ももっと関心を持つべきだろう。
【第4位】 5月27日　今年も起きた社会インフラのシステム障害 ―教訓は活かされたのか―: 　本年5月27日、全日空の情報システムで障害が発生し、国内便130便が欠航、464便が 30分以上遅延するなど約7万人の影響が生じた。また 10月12日朝には、JR東日本や東京メトロなどの 8都県662駅で自動改札機が起動ぜず、260万人に影響を及ぼした。

　我国における情報セキュリティ対策が、2002年4月みずほ銀行のシステム障害、2003年3月の航空管制システム障害を契機に、更に遡れば 1997年の東証システム障害等を教訓に、所謂ハッカー対策から、情報システムの安定稼動に軸足を移した事は周知の事実である。システムのサービスインに先立っては、十分な障害テストが必要な事は火を見るよりも明らかで、関係者に対しては再度強く念を押しておきたい。

　実は全日空は 2003年3月21日に通信回線がパンクするシステム障害を起こしている。また自動改札機に関しては、10月12日に続いて 18日に同様の原因で窓口処理機の不具合が生じている。ここで問題になるのは、障害が起きた時のビジネス継続性の確保（BCM）である。報道によれば全日空は 2003年の事故を教訓として初動の見直しを行い、顧客にかかる迷惑を最小限にするべく、今回は 9時17分に 14時迄の全便欠航を早々と決めたそうである。一応 BCM はあった模様だ。一方日本信号に関しては、少なくともプレスリリースからはそれが読み取れない。未だ障害から日にちが経ていないのでそれを求めるのは酷かも分からないが、鉄道業者を含めて早急に BCM の確立を求めたい。
【第5位】 10月30日「迷惑メールへの対応の在り方に関する研究会」中間とりまとめ案発表 ―あいかわらず増加するスパムメール、海外発が９割以上―: 　いまだ ISP に届くスパムメールはメール流量全体の７割をしめ、あいかわらずスパムメールは増加している。最近は、海外発が急増傾向で、日本にとどくスパムメールの９割が海外発とのデータがある[*1]。このような状況をうけ、総務省は「迷惑メールへの対応の在り方に関する研究会」で今後の対策を検討しており、その中間とりまとめ案を発表した[*2]。

　日本においては、2002年7月に特定電子メール法が制定され、先進国の中でも比較的早くから立法化の取組みを始めている。2005年11月には罰則強化、対象行為や対象メールの範囲拡大、ISP による役務提供拒否事由の拡大等の改正が実施された。また、2005年2月には迷惑メール追放支援プロジェクトが開始され、総務省・経産省と ISP等が連携し、情報収集・分析にもとづく対策を実施してきた。多くの ISP がドメイン指定受信機能やフィルタリングサービスの提供に加え、Outbound Port 25 Blocking や送信ドメイン認証などの、スパムメール送信対策なども導入してきている。[*2,3]
2005年9月にはワースト9位であった日本のスパムメール発信国順位が、2007年6月には 20位と低下してきた[*4]のも、こうした、官民の連携した取組みによる効果でもあろう。

　一方、冒頭で書いたように、海外発のスパムメールが急増しており、しかも、海外からとはいえその７割が日本語メールとのことだ。国内だけの対策では不十分なのがインターネットの世界である。世界中の国が海外への発信を含めて規制するなど、国際的な連携をさらに強めていく必要がある。

　もちろん国や ISP のさらなる継続した取組みは必要だ。が、ウイルス／ボット対策を行い、スパムメールが届いてもクリックしない、インターネットや IT の仕組を理解し騙されないこと。これにより、スパム送信業者に効果をあげさせないことが、スパムメール撲滅の一番の対策ではなかろうか。

*1 日本産業協会による迷惑メール調査データ
http://www.nissankyo.or.jp/mail/index/index.html
*2 総務省迷惑メール関係施策
http://www.soumu.go.jp/joho_tsusin/d_syohi/m_mail.html
*3 迷惑メール相談センタ(日本データ通信協会)
http://www.dekyo.or.jp/soudan/index.html
*4 ソフォス、最新の「スパム送信国ワースト12」を発表
(2007年7月18日)
http://www.sophos.co.jp/pressoffice/news/articles/2007/07/dirtydozjul07.html
(2005年10月12日)
http://www.sophos.co.jp/pressoffice/news/articles/2005/10/sa_dirtydozoct05.html
【第6位】 8月24日　サイト犯罪増加 ―いまだ有効な対策は見つからず―: 　8月24日、名古屋市内で女性が拉致され殺害されるという事件が起きた。犯人達は「闇サイト」と呼ばれるホームページを接点とした見ず知らずの人間の集まりであり、逮捕の当日にほかの犯行も計画していたという。同様の事件は他にも数件発生しており、決して一過性のものとは言い切れない。
　また、「学校裏サイト」と呼ばれるホームページも存在する。正式な学校のホームページとは違い特定の個人が立ち上げたホームページで、実名による誹謗中傷が行われ新たないじめの温床となっていると聞く。

　インターネット上で広く利用されるサービスに「SNS」（ソーシャル　ネットワーキング　サービス）がある。これは人と人のつながりを促進する WEBサービスで、会員同士のコミュニケーションの場として利用される。趣味や思考、所属団体や学校などの共通項を持つ人同士があつまりコミュニケーションを行っている。多くの人がこのサービスを利用し新たな人間関係を築いたり、多くの知識を吸収したりしている。
　しかし同時にそれは不正なことにも利用され、今回のケースでは見ず知らずの「罪を犯したい者」同士をつなげる役割を果たしたり、誹謗中傷を行う場を提供したりした。

　罪を犯した人間の心理や彼らを生み出した社会背景などをここで述べることはできないが、インターネットの匿名性を利用した事件は今後も注意を要するひとつの事象として、その対策について検討していかなければいけない。残念ながら現在の法律ではこれら闇サイトや学校裏サイトすべて閉鎖させることはできないのが現実である。ただし各都道府県警は掲示板の巡回を強化していると聞く。

　有効な対応も確立していないが、「怪しいホームページを見つけたらインターネット・ホットラインセンターなどへ届け出る」「URLフィルタリングソフトを利用し青少年にそれらのサイトを見せないようにする」くらいのことは実施すべきではないだろうか。
【第7位】 11月6日　おとりにされたYouTube ―ワンクリックから始まる受動的攻撃―: 　YouTube の動画解説にあるリンクをクリックするとマルウェアダウンロードページへ誘導されてしまう。今年このような事例が報告された。誘導されたリンク先では動画が視聴可能で、動画を表示しようと指示に従いクリックしていくと不当な料金請求を行う悪質なソフトウェアがインストールされるのである。この事例は今年のインターネットの脅威を象徴する受動的攻撃といえる。

　受動的攻撃の主なものは、不正な Webサイトへユーザーを誘導し、マルウェアに感染させる攻撃である。同様の攻撃は以前から存在していた。しかし、これまでのようにいかにも怪しげなサイトで攻撃が行われるのではなく、一般のサイトが「おとり」として利用されるケースが増えている。普段利用するサイトに攻撃を仕込まれては、セキュリティ意識の高いユーザーでさえも被害を受ける可能性がある。このような攻撃が増加した背景には、海外を中心に被害をもたらしている Mpack や IcePack といった攻撃ツールの存在が考えられる。これらのツールはマルウェアを感染させる「おとり」サイトの作成・管理を自動で行うことができる機能が備わっているのである。

　受動的攻撃の脅威を軽減するためには、パッチの適用やウイルス対策ソフトの更新といった基本的な対策の徹底が必須ではあるが、自らがクリックすることにより攻撃が始まるという仕組みそのものが技術的対策を上回り、攻撃を成功させてしまうポイントとなっている。しかし、そうした利用者側の心の隙をつく攻撃は、有名だとか、慣れ親しんでいると言う理由で心を許してしまうサイトが利用されるケースも多い。そのため、サービス提供側も、自身のウェブサイトが受動的攻撃の「おとり」として利用されていないか常に厳しく目を光らせておく必要がある。
【第8位】 2月　サイバークリーンセンター本格稼動 ―本格稼動で評カドウ？―: 　本年2月、総務省・経済産業省共同の国家プロジェクト「サイバークリーンセンター」（以下 CCC）が本格稼動を開始した。
　国内のインターネットプロバイダーやセキュリティベンダーが協力して BOT に感染しているコンピュータを減らしていこうというこの取り組みは、使用者のモラルや主体性のみに頼っていたウイルスセキュリティに大きな影響を与えるものになるに違いないと思われる。

　本格稼動を開始して以来、11月の CCC の発表によれば、累積で約12万種の BOT を収集、そのうち未知ウイルスとして確認されたものが約7,100種、駆除ツールを作成し提供した種類は約5,600種類と膨大だ。
　CCC の特徴として感染ユーザーに感染を告知し駆除を促すことがあるが、実に約3万4千人に対し、15万通ものメールでの喚起を行ったと報告されている。そのうち駆除ツールをダウンロードしたのは 31％と報告されている。協力ISP も開始当時の 8社から 65社へと大幅に増加しており、活動の活発さを表しているといえる。

　対象とされる BOTウイルスは根絶されるには到底いたっていないが、この CCC の活動はセキュリティのあるべき姿の転換を示唆しているのではないか。
　これまでセキュリティは、企業・団体それぞれがそれぞれの力のみでポリシーを制定し製品を導入し社員・職員を教育して実現してきた。しかし CCC は国、ISP、セキュリティベンダーと複数のプレイヤーが協力し社会のセキュリティの底上げを図ろうとしている。

　物理的な世界では、個別の家、ビル毎のセキュリティのほかにも、地域での防犯や（最近はやや薄れた感はあるものの）隣近所の声かけ挨拶運動なども犯罪の抑止には効果があるといわれる。ITセキュリティの世界でも、もっと広い範囲でさまざまなプレイヤーが連携してセキュリティの底上げを図る時代が来ているのではないだろうか。
【第9位】 2月13日　国家重要機密情報自衛隊内部流出事件容疑者逮捕 ―情報セキュリティには一人一人の意識と牽制が重要―: 　この年末に来て、自衛隊のイージス艦機密情報内部漏えい事件が再びマスコミでクローズアップされている。もともとは、1月に発覚した事件であったがここへ来て容疑者が逮捕され、また、流出していた情報にイージス艦の性能そのものを示すデータが含まれていたからである。
ご存知のように米国の技術の粋を集められて作られた艦艇であるイージス艦は当然のように最先端技術、言い換えれば機密情報の塊である。今回はイージス艦のミサイル性能、レーダー性能等艦艇の根幹ともいえるような情報をイージス艦とは何の関わりもない隊員が保有していたのだ。

　米国は他諸外国に機密情報が流出することを強く懸念し、日本も慎重に捜査を進めてきた。そして年末の秘密保護法違反での３佐逮捕へとなった。
この３佐は直接、情報をばら撒いたわけではない。一人の知人に渡しただけである。その知人が自衛隊学校の教官であったことから、教材としてその学生達に渡り、また、異動後の仲間にも渡していた。

　今回の流出の背景にはいくつかの原因が見え隠れしているのだが、重要なのは、一人人が自分の持っている情報の価値、重要性を常に意識しなければいけない、また、情報は Need to know の原則に従い、利用されなければいけないということである。

　また、2月には自動車部品メーカーで社内中国人技術者によって最高機密情報を含む 13万5千枚分もの設計図が外部に持ち出されている。

　情報漏えい事件が内部のしかもアクセス権を持った人間によって引き起こされていることが多い現在、各自のセキュリティ意識と共に、その行為を（できればシステム的に）チェックする仕組みが重要になってきているといえるのではないだろうか。
【第10位】 12月13日　日本語ワープロソフト「一太郎」に脆弱性 ―広がりつつあるゼロデイ攻撃の脅威―: 　ゼロデイアタックとは、システムやアプリケーションの脆弱性が発見され、その問題を解決するためのパッチが公開される前に行われる攻撃のことである。
　通常は、システムやアプリケーションにパッチをより早い段階で適用することが被害を受けないためのセキュリティ対策の基本である。しかし、この攻撃では、対策が公開される前に攻撃が行われるため、防ぐ事が非常に難しい。このタイプの攻撃が最近目立ってきている。
　例えば、12月13日には、ワープロソフト「一太郎」に脆弱性が発見されたが、パッチが公開される前に攻撃が確認されている。これ以外にも複数のゼロデイアタックが確認されており、決して珍しい攻撃ではなくなって来てしまっている。

　攻撃の背景には、システムに保存されているデータやパスワードの情報を不正に収集して、不正利用や転売などが行われているという現状がある。最近では、英国で三万人分のクレジットカード番号を一人当たり一ポンド（約230円）で販売されたという事件があり、パソコンから情報が盗み出された可能性があると指摘されている。また、ある企業の社員を騙し、保存されている未公開情報を密かに収集し、株式市場でのインサイダー取引に悪用するケースも確認されている。
　ゼロデイアタックは、最新のパッチを適用していても、それでも対策ができていないため、被害に遭ってしまう。

　このような事態が脅威となってきた。そのため、重要な情報を保存する場合は、パスワードの設定や暗号化を行うなど、被害を最小限に抑える処置などでのリスク低減、また、他の方法での攻撃検知についても検討する必要がある。

◆本内容は、必ずしもNPO日本ネットワークセキュリティ協会（JNSA）の見解を示すものではありません。

↑このページの先頭へ