セキュリティ十大ニュース選考委員会委員長 大木 栄二郎
サブプライムの問題は、多少の懸念はあったにせよ、年初の段階では我が国にこれほど大きな影響を与え、世界大不況をもたらすことになろうとは、思ってもいなかった。
リスクはいくら小手先で分散し見えにくくしても根本的な問題を解決しなければ決してなくなりはしない。現実を直視せずリスクを軽視する風潮に安易に乗ってしまうと、世界規模での大被害、大惨事に発展しかねないという教訓を頭に叩き込まなければならない。
「赤信号みんなで渡れば怖くない」式の戦略は、うまくいく場合もあり、みんなでリスクを分散して取れば多額の利益を得ることも可能かもしれない。しかしその反面、一度でもリスクが現実化してしまうと大多数が悲惨な結末に直面することになってしまう。これは、金融リスクのみならず、情報リスクについても変わらぬ真理のはずである。
そう考えて、今年の十大ニュースを眺めてみると、先行きが不安になるようなネガティブニュースが 7件、今後の取り組みを期待させるポジティブニュースが 3件で、現在の実情を象徴しているようでもある。救いはポジティブニュースの数が昨年に比べて増えていることであろうか。
さらに言えば、この十大ニュースは、不安な時代を象徴しているのであり、混乱が心配される世相において、情報セキュリティが明るさを取り戻すきっかけになると読み解くのが、我々の責務なのだろう。
未曾有の大不況に対して、あるいは、課題の多いセキュリティの取り組みに対して、まだ明確な答えは描けていない段階にあるが、これからますます本格化するであろう情報社会において、「情報セキュリティが先行きの明るい見通しを取り戻す魁としての役割を期待されている」ことを痛感する、2008年の年の瀬である。
- 【第1位】 裏ビジネス化するサイバー攻撃
- 〜カネ目当ての犯罪が激増〜
- 【第2位】 青少年ネット規制法が成立
- 〜割れ窓理論という規制強化のネット社会へ〜
- 【第3位】 問われる認証制度の在り方
- 〜繰り返される「お客様情報流出に関するお詫び」〜
- 【第4位】 日本でGoogleストリートビュー開始
- 〜新サービスがもたらす波紋の行方〜
- 【第5位】 偽セキュリティソフトの氾濫
- 〜狙いはソフト売り上げにあらず〜
- 【第6位】 総務省 地方公共団体ICT部門のBCPガイドライン公表
- 〜今にも必要な「その時」のための備え〜
- 【第7位】 悪用される有名企業のWebサイト
- 〜崩れる信頼、歯止めはないのか〜
- 【第8位】 情報漏えい いまだ尽きず
- 〜リスクにあったセキュリティ対策の必要性〜
- 【第9位】 改正・迷惑メール対策法が施行
- 〜抑止力はどこまで高まったのか、対策の実効性に期待〜
- 【第10位】 SQLインジェクション猛攻
- 〜絶えない悪と絶え間ない対策のせめぎ合い〜
<2008セキュリティ十大ニュース> 選定委員・解説
編集長・大木栄二郎/織茂昌之/片山幸久/川口哲成/岸田 明/小屋晋吾/
小山 覚/佐藤 淳/杉浦 昌/竹内和弘/諸橋昭夫/星山慶子/阿部裕美子
- 【第1位】 11月4日 裏ビジネス化するサイバー攻撃
〜カネ目当ての犯罪が激増〜 - 11月、サイバー犯罪者が集まる大規模なフォーラムが FBI の捜査の結果閉鎖された事が明らかになった。
このフォーラムには各国のサイバー犯罪の「精鋭」が集い、盗んだ個人情報や盗難クレジットカード等の金融情報、銀行カードの偽造機器などの売買を行っていたという。FBI はこのフォーラムに潜入捜査を行い、各国の捜査機関と協力して一挙に 56人を逮捕した。
最近のサイバー攻撃は、従来のような自己顕示を目的とするものや愉快犯によるものは少なく、純粋に金銭の詐取を目的としたものが多くなっている。コンピュータウイルスやボット(ネットワークを通して感染したコンピュータを外部から操作するソフトウェア)などのいわゆるマルウェア(悪意のあるソフトウェア)も、最近は不正な金儲けをするために作られたものがほとんどであるといわれる。
さらに、この事件の舞台となったフォーラムの存在が示すように、犯罪者側は分業体制ができている。ウイルスや攻撃ツールを作る者、ウイルスをばらまいたり攻撃を行ったりするためのコンピュータを提供する者、実際にそれを実行する者、不正に得られた情報を収集する者、その情報を換金する者と、細かく役割が分かれていて、お互いに「商品」を売買しあっている。サイバー攻撃は、まさに一つの裏ビジネスとなっているのである。
【第2位】 6月11日 青少年ネット規制法が成立
〜割れ窓理論という規制強化のネット社会へ〜- 犯罪や自殺に結びつく可能性のあるネット上の違法・有害サイトから青少年を保護することを目的とした「有害サイト規制法」が 6月11日に成立した。同法では、携帯電話事業者、ISP事業者やパソコンメーカーに対して、有害サイトへのアクセスを遮断する“フィルタリングサービス”を提供することを義務
づけた。
この10年、急激に無法なネット社会を迎えている。光の部分が大きい反面、影の部分が目立ち始める。パソコン・携帯電話の利用者が急増、特に小中学生の増加に伴い、有害サイトをフィルタリングサービスで保護しよう、という法律が成立した。ネット社会の表現の自由を認めつつ、“法規制の下でのネット社会(割れ窓理論という規制強化)”の時代が到来した 2008年である。6月11日には、「迷惑メール法」が改正されたことも規制強化の象徴的な年である。
2001年以降、「電子署名法」「不正アクセス禁止法」「個人情報保護法」「プロバイダ責任制限法」そして「迷惑メール法」などが制定された。ネット上の表現の自由を国民の権利と認めつつも、しかし、ネット上のリスクが恒常的に発生している現状を鑑みると、更なる法規制も止むなし!と思われる。
健全なるネット社会の実現は、法規制(割れ窓理論策)だけではなく、そこに介在する人の問題であることも再認識させられた年であった。
【第3位】 11月13日 問われる認証制度の在り方
〜繰り返される「お客様情報流出に関するお詫び」〜- 今年もプライバシーマークや ISMS認証取得企業からの情報漏えいが止むことはなかった。
2月には A製造関係が Winny で情報漏えいし、3月には B金融関係が顧客情報の入った USBメモリを紛失、5月には C通信関係の委託先がファイル交換ソフトで流出、そして 11月にも D情報関係が情報漏えいを引き起こした。
6月に公表された JIPDEC の報告では、2007年度の Pマーク取得企業からの事故が 2006年度の約2倍になったとしている。とりわけ、同報告の中で事故発生の原因として「個人情報保護マネジメントシステム(PMS) の内容や運用に問題がある」と指摘されている点に留意すべきかもしれない。
2008年の終わりにあたり、認証取得企業は改めて「認証取得がゴールとなっていないか、経営の一部としてマネジメントサイクルを回していくことができているか」再考すべきであるといえる。
同様に、認証を行う側も、認証という仕組みの信頼維持に向けて、現在のチェックの方法や内容など再検討する必要があるのではないだろうか。
2009年こそは、認証取得企業から事故が起こらないようになってほしいものである。
【第4位】 8月5日 日本でGoogleストリートビュー開始
〜新サービスがもたらす波紋の行方〜- 2008年8月、日本でも Googleストリートビューが開始された。このサービスを初めて利用した時、ソフトウェア的によくできていると感嘆した。その一方で、これは不特定多数に広く公開してよいものだろうかと感じた。
ストリートビューでは、屋根の上にカメラを取付けた乗用車で街中を走行し、自動収集した画像を利用した街並画像が都市単位でまるごと公開されている。公道から撮影された画像であるとの理由のもと、自宅の写真がその地図上の位置とともに、住人の知らないうちに世界中に公開されていることになる。また、車のナンバープレート、表札、個人の顔(自動抽出によるぼかし処理あり)等が写っている画像や、塀の上から家の中をのぞきこむような画像もある。このような事情から開始当初からプライバシー侵害ではないかと論議をよんでいる。
これは広範囲の街並という物理世界の情報を、ネットワーク世界において画像の形で不特定多数に公開するという、今までにないサービスである。それゆえに、ユーザの需要度も不明だし、法的に曖昧な点が残るのもやむをえず、リスクテイクした上で提供することになる。上記の反応も、ストリートビューの公開前に十分予測されるものだ。サービス開始に際して、プライバシーに関する配慮を含めた検討や対策をグーグル株式会社は行ったのだろうか? ネット上での記事や議論を読むかぎり、見切り発車でサービスを開始したという感触をもつのは筆者だけではないだろう。開始後のグーグル社の対応に対する指摘や不満からも、準備不足が伺える。
コンピューティングパワーとネットワーク技術の進化に伴い、物理世界の情報とネットワーク世界の情報の融合をすすめた新しいサービスが、今後も次々とでてくるだろう。その時、物理世界とネットワーク世界が疎な関係であった時には想定していなかった、従来の価値観では受け入れ難いような新しい課題が生じてくる。サービス提供者は、利用者の意見を真摯にうけとめつつ、新たな価値観を創造する努力により、よりよい形態を模索していく必要がある。利用者もまた、従来の価値観だけで否定するのではなく、どう変えていくとよりハッピーになれるか考えていくべきではなかろうか。そして、そのような議論を深める船頭役をメディアに期待したいものだ。
【第5位】 8月 偽セキュリティソフトの氾濫
〜狙いはソフト売り上げにあらず〜- 8月頃から、偽セキュリティソフトにより多くの被害が出ていると複数の報道が行われた。偽セキュリティソフトとは不正プログラムやコンピュータの脆弱性を検査するソフトを装い、チェックをするふりをして虚偽の検査結果を表示し、駆除・対策が可能と謳った有料版の購入を勧めるソフトであるが、本来の目的は購入に際し使用したクレジットカード番号を盗用することである。
ここ数年来、偽セキュリティソフトの存在は確認されていたが本年に入り急速に被害が拡大している。最近のものは非常に手が込んだつくりとなっており、ユーザーインターフェースも市販のセキュリティソフトに勝るとも劣らない位精巧で、Windows の壁紙を感染警告が表示されたものに変更したり、スクリーンセーバーを PC のハングアップ画面に変更し、PC の不調を演出したりすることにより、購入、すなわちクレジット番号の入力を促すものも確認されている。
先人は「人を見たら泥棒と思え」という言葉を残したが、現代に当てはめると「ダウンロードしたらマルウェアと思え」となるのであろうか。いかにも世知辛い世の中であるが、今日のインターネットユーザーは使用するソフトウェアの真贋を見極める目を持ち、自分の身は自分で守らなければならない時代に生きているのである。
【第6位】 8月21日 総務省 地方公共団体ICT部門のBCPガイドライン公表
〜今にも必要な「その時」のための備え〜- 本年8月21日、総務省より「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」が公表された。BCP/BCM の必要性が唱えられてから久しいが、具体的に且つ詳細にサンプル迄含めて BCP を解説した文書は少なく、非常に利用価値の高い文書である。詳細は本NRAダイジェスト177号から特集にて解説されているので、参照願いたい。
ただ同時に発表された「20年7月段階での各地方公共団体における業務継続計画の策定状況」によれば、策定済み都道府県は 3団体(6.4%)、市区町村は 41団体(2.3%) と僅少で、地震大国の日本としては甚だお寒い状態である。加えて本ガイドライン公表により策定を検討すると答えた都道府県は 15団体(44.1%)、市区町村は 372団体(21.3%) で、それ以外は未定との事である。地震はいつやってくるか分からない、一刻も早い策定が必要で、それを決めるのは首長の責務だと言えるであろう。
さて過日、東京ミッドタウンで「事業継続と企業価値」と題したカンファレンスが開催された。そこで話題となった脅威は、この「地震」に加えて「新型インフルエンザ」であった。新型インフルエンザ対応の BCP は、「地震」を対象とした BCP の流用が効く部分もあるが、(1) 地震は物的な被害であるが、新型インフルエンザは人的な被害である、(2) 地震は地域限定的であるが、新型インフルエンザは全世界的である、(3) 地震は災害が起きてからの事業復旧に主眼が置かれるのに対し、新型インフルエンザは事業縮退に主眼が置かれる、などの違いがある。新型インフルエンザはいつパンデミック(世界的規模での流行)になっても不思議ではなく、こちらは地震以上に喫緊の課題である。
【第7位】 10月20日 悪用される有名企業のWebサイト
〜崩れる信頼、歯止めはないのか〜- マルウェアの感染被害が相次いでいる。その勢いはとどまるところを知らず、2007年に比べても 3倍のペースで増加しているとのこと。
2006年以降全脆弱性の内、実に 51%が Webアプリケーションの脆弱性が占めるに至っている。これらの脆弱性を、今ではすっかり有名になってしまった、「SQLインジェクション」攻撃などでサイトを変更できるようにしてしまう。有名な企業のサイトまでもがその被害にあっている。
フィッシングサイトをたてられたり、マルウェアの配布に利用されたり、また、他のサイトへ誘導するためのおとりサイトに仕立てられたりする。そしてさらに、マルウェア感染を増やし、カード番号などの情報を不正に取得したり、新たなフィッシングサイトとして利用されてしまう。
このような拡がりの背景には、不正取得した情報がビジネスとして成立していることが指摘されているが、ビジネスとして成立しているのはそれだけにとどまらず、マルウェアの開発キットまでもが販売され、通常のソフトウェアのようなビジネスとして成り立ってきているという状況がある。これがマルウェアそのものの数を増やすことを大きく手助けしているのは間違いない。
有名なサイトだからと言って、迂闊に信じることも出来ない。信じられるのは自分だけという気持ちで、自分の PC のセキュリティ状態を今一度見直してみてはいかがだろうか。
【第8位】 12月15日 情報漏えい いまだ尽きず
〜リスクにあったセキュリティ対策の必要性〜- 2008年、セキュリティ対策よりも J-SOX に代表される内部統制、IT統制といったコンプライアンス対応に追われていたというのが、この一年の実感ではないだろうか。
それでは、この一年、セキュリティ事故・事件が収まっていてくれたかというとそんなことはなかったようだ。セキュリティ事故を継続的にまとめているウェブサイトの情報をもとに 2008年の情報漏えい件数をざっと数え上げると 700件強あった。多くは個人情報漏えいの報告であり、メールの誤配信、PC含む媒体の紛失、盗難が原因の多くであった。Winny を始めとする P2Pソフトの被害も相変わらずだが前年に比べると減っている。
今年もっとも気になったのは、Webシステムの不正アクセスと改ざんである。これは、攻撃者が正規のサイトを改ざんして、おとりサイトにする、正規サイトにウイルスや情報漏えいのコードを仕込む等によって、そのサイトにアクセスしたシステムにセキュリティ事故を発生させる目的で行われたものが多かった。この一年でこの手の Web からの攻撃が 8倍になったとの報告も出ている。
今まで述べてきたようにセキュリティリスクは時代や環境、技術により変化している。不況になると不正アクセスや情報漏えいが増えるといわれている。ましてこの世界的に厳しい状況下、組織内外で人が大きく動かざるを得なくなっている。人が動けば情報も動くことが想定される。本人の望まない人事は、組織に対する忠誠心や意識なども低下していくことが想像できる。このような環境だからこそセキュリティリスクについて再度、脅威を想定しなおし積極的に対応策を実施していくことが必要になるのではないだろうか。
※参照:「漏れたら大変!個人情報」を公開 (IPA 2008-12-15)
http://www.ipa.go.jp/security/kojinjoho/index.html
【第9位】 12月1日 改正・迷惑メール対策法が施行
〜抑止力はどこまで高まったのか、対策の実効性に期待〜- 毎日大量に届く迷惑メール。メール本文に書かれているホームページのアドレスをクリックして詐欺の被害にあう人、違法有害情報にアクセスし犯罪に巻き込まれる人、ウイルスに感染し第三者に迷惑をかける人が後を絶たない。単に迷惑なだけでなくネット犯罪など社会問題の入り口ともいえる迷惑メール。広く国民に影響するだけに政府も比較的踏み込んだ取り組みを行ってきた。しかし一向に減らない迷惑メール対策を加速するため、12月1日に迷惑メール対策の二つの法律が施行された。
改正されたのは、総務省の「特定電子メールの送信の適正化等に関する法律(特電法)」と、経済産業省の「特定商取引に関する法律(特定商取引法)」である。主な改正点としては「受信者の承諾なく送信する広告・宣伝メールは原則禁止」とする「オプトイン規制」が採用されたほか、法人への罰金額を 100万円以下から3000万円以下に引き上げるなど、メール送信者する業者や個人だけでなく、メール送信を依頼した人(広告主) に対する罰則や規制も強化された。
昨今の迷惑メールは、主に海外の迷惑メール送信基地のような悪質業者から送信されることが多い。現在はプロバイダによるフィルタリングなど迷惑メール対策が施されているが、逆に言えばメール送信に必要な技術的要件を満たしていれば迷惑電子メールの送信は可能である。つまり、正々堂々?と迷惑メールを送信しつづける業者には、摘発しメールの送信を停止させる実行力を世界中が連携し高めていくことが重要なのである。
一つの例として、今年11月11日に米国の大手プロバイダが、世界中の迷惑メール配信の多くに関わっていたホスティング業者の回線を遮断した。回線を遮断する行為の是非については議論を残したが、その結果全世界で迷惑メールが激減し、国内のプロバイダでも迷惑メールが半減したという。回線遮断から約1ヶ月が経過したいま、迷惑メール送信業者の中には既に他のサイトに移動し、迷惑メールの送信を再開しているものもいるそうだ。どこまで迷惑メール対策の実効性を高めることができるのか、官民が連携した取り組みに期待したい。
【第10位】 3月12日 SQLインジェクション猛攻
〜絶えない悪と絶え間ない対策のせめぎ合い〜- 今年前半から、SQLインジェクション攻撃によるWeb改ざんが急激に増加し、IPA や JPCERT/CC、セキュリティ専門企業などからの注意喚起が相次いだ。攻撃内容も、攻撃対象サイトからの顧客情報などの不正取得を狙ったものから、攻撃対象サイトを改ざんし、そのサイトにアクセスする一般利用者を標的とするように変化する傾向が見られる。改ざんされたサイトにアクセスした利用者を悪意あるサイトに誘導し、利用者のパソコンにウイルスなど不正プログラムを送り込むというように悪質さが増している。
このような状況の中、脆弱性を作りこまない、自サイトへの攻撃の監視・検知・対応などのアプリケーション開発やサービス提供側の対応はもちろんのこと、一般利用者における基本的なセキュリティ対策実施の徹底がますます重要となり、これをどのように実現するかが重要なポイントになると考えられる。また、被害拡大防止のために、このような攻撃の発生を早期に検知しサービス提供側への情報提供及び迅速な対応の促進、一般利用者への注意喚起や啓発を可能とする、統制の取れた情報提供・共有体制の確立も、今後ますます重要となるであろう。
また、今回の攻撃は複数の国にわたる広範囲な地域からなされているとの情報もあり、このような攻撃の発生を防止することは現在のインターネット社会では不可能ではあるが、攻撃元探査など犯人特定のための技術・体制、法的責任追求などの、攻撃抑制のための世界規模での環境の整備も望まれる。
■おまけ【2008年のセキュリティ<番外>ニュース】■- 標的型攻撃の増加/J-SOX施行、自治体版SOX法/情報を持ち出す仕事熱心な社員たち/ドメイン名管理組織サイトの乗っ取り/次期情報セキュリティ基本計画策定/無線LANのWPA解読/偽企業名をかたるフィッシング詐欺/住基ネットの最高裁判決/脅迫ウイルス出現/OpenIDの業界団体設立/スパム対策総額8000億・・・
引き続き要注意な標的型攻撃を筆頭に、こんな出来事あり、あんなニュースあり、警戒は怠れない!