• 2012年
• 2011年
• 2009年
• 2008年
• 2007年
• 2006年
• 2005年
• 2004年
• 2003年
• 2002年
• 2001年

　2010年の十大ニュースは、国内の情報流出とWikiLeaksが上位を占めた。今年を代表するキーワードは、「情報流出」と言わざるを得ない。

　警察内部資料とみられる国際テロ関係の情報がインターネットに流出した問題や、尖閣諸島沖で中国漁船が衝突した映像が流出した事件で海上保安官が流出を認めた事件など、いずれも情報漏洩と言わずに情報流出と表現されている。

　漏洩と流出はどのように使い分けられているのであろうか。漏洩した情報が流出するというような因果的な意味付けがあるのか、それとも同じ意味でつかわれているのであろうか。メディアで情報流出と報道されると、その責任追及があいまいな印象があり、現象面だけをとらえた表現のようにも思える。このような使い分けの曖昧さは、この問題の難しさと関係があるに違いない。

　情報流出は、機密性(Confidentiality)が損なわれたことを意味するが、この機密性とは情報そのものの本来の性質ではなく、その情報を使う人間側の都合によるものである。機密性の定義には、その情報に関わる人々や組織の価値観が色濃く反映されている。

　尖閣ビデオの流出では、機密情報といえる管理状況であったかどうかが起訴の判断に大きな影響を与え、WikiLeaksへの情報提供にも内部者が関与しているのは間違いない。米軍からの情報流出では、同時多発テロ以降にNeed to Know 原則からNeed to Shareの考え方にシフトしたことによりアクセス権者が大幅に増えたことも原因だとの指摘がある。いずれのニュースにおいても、組織の中における機密情報管理の課題と、アクセス権を持った内部者による内部通報意識にも似た情報流出の課題との二つの側面があり、民主主義の価値観とも絡んでこれからの情報セキュリティのあり方に大きな波紋を投げかけたと言えるであろう。

　一方、明るいニュースは第3位のクラウドしかない。第4位以降のニュースには、DOS濡れ衣の問題やスマートフォンのセキュリティ、あるいはウイルス作成罪など、さらに明確な取り組みが求められる分野が指摘されている。

　私個人的には、民主主義も資本主義も、情報社会が本格化すると根本的な制度の見直しをせまられると考えている。情報の伝達がメディアの報道と個人レベルの口コミに限定されていた時代に構築された選挙制度や市場制度を、本格的な情報社会に求められる仕組みとして、制度を再構築していく努力が求められてくるに違いない。

　そう思いながら今年の十大ニュースを眺めてみると、情報流出も、DOS濡れ衣も、イカタコも、それなりの歴史的必然があって登場してきたような気になる。2010年の十大ニュースは、このような大きな変革の兆しとして記録しておくべきであろう。

【第1位】 9月7日、10月28日　「深刻な情報流出続発」
　　　　　　　　〜海上保安庁から、警視庁から？〜

　9月7日尖閣諸島沖での中国漁船衝突事件のビデオ映像が11月5日動画サイトユーチュブに投稿された。10月28日警視庁の内部資料とみられる国際テロの捜査情報が流出、ウイニーネット上で拡散した。これらの問題を受け、政府は仙谷由人官房長官を委員長とする「情報保全に関する検討委員会」を設置、12月9日に初会合が開かれた。またそれを受けて「情報保全システムに関する有識者会議」が設置され、12月17日初会合が開かれた。

　先ず本問題は情報セキュリティ問題として取り扱わなければならない。その前提でスタートした時、類似した事件に見えるが、この2件は、本質的問題は全く異なった所に存在する事を我々は見逃してはならない。何故なら前者は元々機密情報として取り扱われていなかった可能性の高い情報の流出事件であり、後者は機密情報として取り扱われていた情報が内部犯行によって暴露され流出した可能性の高い事件であるからである。

　映像は情報セキュリティの対象になっていたのか、また情報セキュリティは媒体に固定された後の情報の取り扱いに関しては細かく規定していても、その発生段階からラベル付けをし重要度に見合った取り扱いの規定がされていないのではないか、或いは現在の情報セキュリティは外部からの脅威を主眼として書かれていて、内部犯行への十分な対策が書き込まれていないのではないか、等々素朴な疑問が次々と湧き上がってくる。

　しかし形が映像であれ、文書であれ、データであれ情報は情報である。政府は情報セキュリティポリシーを持ち、それが実施されていた筈である。今回の事件を契機に、情報セキュリティポリシーが何故機能しなかったのか、何処に問題があったのか、また対策の実装の何処に問題があったのか徹底的に検証して、お題目としての情報セキュリティポリシーと決別し、実効性のある情報セキュリティへと進化を図るべきである。そしてこの見直しこそマネジメントシステムの基本要求事項である。

追記（2010/12/27）
『警視庁は１２月２４日、ファイル交換ソフト「ウィニー」上に公開 されたテロ関連文書114件について、「内容などから警察職員が取り 扱った蓋然（がいぜん）性の高い情報が含まれていた」と表明した。』（時事通信）

---

【第2位】 11月30日　ウィキリークスを舞台に震撼が！？
　　　　　　〜正義の使者か？テロリストか？〜

　年の瀬も迫った11月30日、世界に衝撃が走った。アメリカの外交文書が次々と暴露されていった。内部告発をインターネット上で公開するという手法を用いたウィキリークスによってだ。
　それ以前にもアフガニスタン、イラク戦争に関する情報も公開していた。その際には、知られざる事実を公開し、民主主義下における知る権利を全うすることがインターネットという新たなメディアの利用することで実現したという称賛を得た。
　また一方で、事実を事実のまま全てをさらけ出すことで、関係者に人命の危険が迫る可能性があるという批判も受けた。年末間近の暴露は、以前の戦争での国家の醜さを暴くような内容ではなく、どちらかと言うと人をバカにしたような内容の「機密情報」がその目を引いた。

　この事件は、非常に多くの問題を我々に提起してくれた。
　「機密情報」の扱いについて、これほどいとも簡単に情報が提供されてしまうという情報管理の問題。これは、日本でも同じような事が起きている。
　次に「知る権利」と公開されるべき情報の境界線。どこまでを知るべきなのだろうか、どこからは秘匿すべきなのか、それを誰が判断するのだろうか。全ての情報は、「知る権利」のもと、白日のもとにさらけ出されて良いのだろうか？

　この問題が起きた時のさまざまな対応もそうだ。ウィキリークスの創設者の別件逮捕騒動、このサイトを締めだすための各企業の動きであったり、またそれら企業に対する反撃としてのサイバー攻撃であったり、資金提供の凍結のための動きだったり。これらの動きは、さらに、アメリカなどの強国とハッカーなどが協力した「有志」との間のサイバー戦争への発展の危機まではらんでいる。

　インターネットの出現によるパワーバランスの変化、インターネットによる世界の変化、それは確実に進んでいる。これからの時代を象徴するような問題を提起してくれる事件だった。

---

【第3位】 10月5日　クラウドセキュリティマネジメントの国際標準、日本発で検討スタート
　　　　　　　〜セキュリティを確保して、さあ、みんなでクラウドの果実を、食らうど！〜

　クラウドコンピューティングが大きな潮流となりつつある中、そのセキュリティ対策が重要な課題となっている。6月、「クラウド・コンピューティングと日本の競争力に関する研究会　報告書（案）」が経済産業省から公表された。同じく6月、独立行政法人情報処理推進機構（IPA）が米国のクラウドセキュリティアライアンス（CSA）との相互協力協定を締結し、世界と歩調を合わせたクラウドコンピューティングのセキュリティについての検討が開始された。

　そんな中、国際標準規格の分野において、日本発の大きな動きがあった。10月4日から8日にかけ、ベルリンでセキュリティの国際標準規格に関する会議が開催されたが、この中で、クラウドセキュリティの国際規格を制定する提案が、日本から出されたのである。提案は多くの専門家たちの支持を受けて認められ、今後、日本が中心となって作成の検討作業を進めることになった。ISO/IEC27002をベースとするクラウドコンピューティング利用におけるセキュリティマネジメントとプライバシーのガイドラインとすることを目標に、現在、多くの専門家たちによって精力的に検討作業が進められている。

　歩調を合わせる形で、国内ではクラウドセキュリティに関する監査の検討や、セキュリティマネジメントガイドラインの検討の動きもある。今後、クラウドセキュリティに関する活発な議論と発展が期待される。

---

【第4位】 12月6日　ガンブラーウイルス改め「ドライブ・バイ・ダウンロード」攻撃
　　　　　　　〜地味にセキュリティ対策をガンブラないと・・・〜

　Webサイトを閲覧しただけでウイルスに感染する被害が止まらない。IPA(独立行政法人情報処理推進機構)が12月6日に今年3回目の注意喚起を発している。

　2009年の前半から広まったこの攻撃は、当初はガンブラーウイルスなどと呼ばれたが、現在では攻撃手法の特徴から「ドライブ・バイ・ダウンロード」攻撃と言われることが多い。この攻撃により感染させられるウイルスはFTPのアカウントを盗み取るものから、お金を騙し取ろうとする詐欺ソフトまで様々だ。攻撃手法としては、Webサイトに攻撃ツールを埋め込み、アクセスしたパソコンにインストールされている一般的なソフトウェアの脆弱性を突いてウイルスを侵入させる手口が用いられる。Flash Player、Adobe Reader/Acrobat、Windows、MS-Office、Javaなどの脆弱性が狙われるため、攻撃を避けることは難しい。

　パソコン側の対策としては、これらソフトウェアを常に最新の状態に保ち、ウイルス対策ソフトを適切に運用することで感染防止は可能であるが、言うは易し行うは難しである。パソコンを起動したときに、目当てのWebサイトを閲覧する前に、これら様々なソフトウェアのアップデートを実行しなければならない。更に、有名企業のWebサイトや通販サイトが見た目に分からぬように改ざんされ、攻撃に加担させられている事例も多いため、怪しいサイトを訪問しないといった自衛策も通用しない場合がある。

　このように特効薬的な対策が無いのが「ドライブ・バイ・ダウンロード」攻撃であるが、基本的な対策を地道にやっていれば過度の心配は不要である。もし自分のパソコンソフトが最新かどうか確認したい場合は、IPAの「脆弱性対策情報収集ツール」の利用をお勧めしたい。

---

【第5位】 5月25日 「図書館システムのDoS濡れ衣」
　　　　　　　〜システムの仕様不良がもたらす冤罪〜

　5月25日、一人のITエンジニアが岡崎市中央図書館システムへ過度のアクセスを継続的に繰り返したとして、偽計業務妨害の疑いで逮捕されるという事件が起こった。

　このエンジニアは新着図書を検索するプログラムを作成しアクセスしていたという。このアクセスで図書館システムがダウンしたため、図書館側が被害届を出したのが逮捕のきっかけである。 　逮捕当時、システムを開発していたSIベンダーはシステムには問題がないと発言していたが、同様システムによる個人情報漏洩事故のお詫びの際に、当該事件に対するシステムの仕様不良を認めた。

　1秒に1回のアクセスがDoS攻撃かといえば、違うというのが大方の見方であり筆者もそう思う。この事件はWeb内でもいろいろ議論されているので、少し違った視点でこの事件の教訓を挙げてみたい。

1. システムのインターネット適合度の把握
　インターネットにシステムを公開するということがもたらすセキュリティ・リスクの適切な把握と対応が重要であることを改めて教えてくれたと思う。今回のシステムの構築は2005年であるが、万人がアクセスできるインターネットにさらすことの意識が不足していたのではないかと思われる。

2. 組織におけるセキュリティ専門家の存在
　今回、図書館、警察、SIベンダーの中にキュリティ専門家というかセキュリティ・リスクを正しく評価・対応できる者がいれば、異なる展開になったのではないかと思われる。少なくともそのようなスキルを持った人間、組織と連携できることは重要である。

3. プログラム・コードのセキュリティ・レビュー
　プログラムのセキュリティ視点でのコードレビューの重要性を改めて感じた。ITエンジニアの作ったプログラムもしくは図書館システムのプログラムにもし数行のセキュリティ・コードが書き加えられていたら、このような問題は発生しなかったと思われる。

インターネットで情報提供、情報共有することによって、企業、組織の存在価値を高めている現代だからこそ、再度インターネット・セキュリティに注目してもよいのではないだろうか。

---

【第6位】 10月28日　スマートフォンのセキュリティ悩み
　　　　　　　〜機種本体だけでなくサイトのセキュリティ対策も重要〜

　10月28日、ドコモから最新のAndroid OS搭載スマートフォンが発売された。続々と市場に投入されているスマートフォンではあるが従来の携帯とは異なったセキュリティ対策が必要になるのか。
　従来の携帯ではウイルス対策ソフトをインストールする事は無かったがスマートフォンではどうだろう。

　今年の8月にはiPhoneの脆弱性（iOSアップデートで対策）を狙った悪意のあるPDFファイルの存在が確認されている。このPDFファイルを開くとウイルス等に感染したり外部から操作される可能性がある。アンドロイド携帯では任意のアプリケーションを手軽にインストールできてしまう。このような事を考えるとウイルス対策ソフトはPC同様に必須となるが、ウイルス対策ソフトの種類も少なく利用者が認知していないのが現状である。

　また、携帯サイトやWebサイトの運営／構築側にもセキュリティ対策の課題を与えた。
　10月にヤマト運輸の会員制サービスの携帯版「クロネコメンバーズのWebサービス」に特定のスマートフォンから特定のアプリケーションを利用し「クイックログイン機能」を使ってログインした場合に他人のユーザページにログインできてしまう問題である。
　この問題はスマートフォン側の問題なのか。実は携帯の契約者固有IDを認証IDとして使用していた事が問題になった。これは従来の携帯のみの利用を考えた仕組みになっていたためであるようだが、悪意をもってPCから同様のアクセスをすれば簡単に他人になりすます事が可能であることからも、本来はWebサイトを構築する時に考慮する事項である。

　スマートフォン本体に対するセキュリティ対策とともに既存の携帯サイトやWebサイトの見直しも必要に迫られてきており、早急な対策が求められる。

---

【第7位】 7月   「制御システムを狙ったウイルス発生」
　　　　　　　〜感染の入り口は監視制御PCへのUSB接続〜

　7月中旬に制御システムを狙ったウイルス、スタクスネット（Stuxnet）が出現した。

　これまでも制御システムがウイルスに感染し影響を受けたという報道はなされているが、情報システムに蔓延したウイルスが工場などで監視制御などに用いられているWindows PCにも感染してしまったという、ある意味では偶発的な感染であった。これに対しスタクスネットは、監視制御システムのWindows PCで動作する独シーメンス社製ソフトウェアを悪用して、実際の設備などの制御を行うPLC (プログラマブルロジックコントローラ) に悪質なコードを書き込むという、制御システムそのものを狙ったこれまでにないウイルスである。

　制御システムは重要インフラで用いられており、9月には新聞などでも、発電所や工場を標的としたシステムを乗っ取るウイルス拡大、というようなセンセーショナルな報道がなされた。また、11月にはイランのウラン濃縮施設の遠心分離機がこのウイルスにより停止したとの報道がなされている。

　誰が何の目的でこのようなウイルスを作成しばらまいたかは、いろいろと憶測はなされているが今のところ分かっていない。このウイルスは特定企業の制御向け製品を狙ったものであり、また非常に巧妙に作られたものなので、情報システムで蔓延している通常のウイルスとは状況が異なると考えられる。しかし、これまではありえないと考えられていたものが現実問題として出現したということは、しっかりと捉えることが必要だろう。

　今回の感染経路は、USB 経由でWindowsの脆弱性を悪用して、まず、監視制御システムのWindows PC に感染するというものであった。これまで情報系で培われてきたセキュリティ対策のノウハウを、制御システムの特質に合わせてうまく活用してゆくことも一つの有効な対策と成り得るのではないだろうか。

---

【第8位】 3月22日　Google、中国から撤退
　　　　　　　〜現実の超大国とネットの巨人が激しく火花を散らす〜

　3月22日、Googleが中国本土からの撤退を発表した。
理由は中国が行う情報の検閲に反対してとのことである。Googleは中国の検索サイト等を停止し、香港のサイトにリダイレクトすることで検閲の無いサービス提供を続けた。
　Google撤退の影響は大きく、中国政府やアメリカ政府がGoogleの撤退に関してコメントするなど、国家を巻き込んでの外交問題までに発展している。

　この撤退は突然起きたものではなく、予兆は1月からあった。Googleは1月12日付けの公式ブログでサイバー攻撃が行われたことを公表したのだ。中国を発信源とする「高度なサイバー攻撃（後日オペレーション“Aurora”と名づけられた）」を受けたことによりGoogleの知的財産が盗まれ、また、中国人権活動家のGmailアカウントが狙われたことも同ブログで明らかとなった。

　現実社会の問題がネットへ波及し、ネット上の問題が現実社会に影響を及ぼすという、これからの時代を象徴する事件として印象深い。

　いまやインターネット利用者が4億人とも言われる中国。情報の検閲は依然続いているが、そんなことはなんのその、ネットの世界でも中国ユーザの影響力は大きい。今後の中国の動向には注目していきたい。

---

【第9位】 8月4日　イカタコウイルス作者　器物損壊容疑で逮捕
　　　　　　　〜遅れるIT関連法整備、容疑者は無罪主張
　　　　　　　　　　　イカタコウイルス作者逮捕、ギョーカイルイをみない器物損壊容疑で〜

　8月4日　コンピュータウイルスをファイル共有ネットワークに流し、感染者のパソコンを破壊させたとして、器物損壊の容疑で「イカタコウイルス」の作者が逮捕された。

　この作者は平成20年にも「原田ウイルス」とよばれるウイルスを作成・配布し、当該ウイルスプログラムで使用した画像についての著作権法違反などの罪で有罪判決を受けており、執行猶予期間中であった。「イカタコウイルス」では自筆の画像を使っており、前回の判決を受けて他者の画像を使用しないウイルスをばら撒いたのではないかと推測する。12月の初公判では器物損壊には当たらないと無罪を主張し争う姿勢でいる。

　コンピュータウイルスが確認されてから２０数年の歳月が過ぎているが、ウイルス作成や配布を禁じる法律は日本ではまだ成立していない。

　法律ですべてが解決するとは思っていないが、今回のようなケースを見ると刑罰の持つ一般予防・特別予防の効果に期待をしてしまう。もはやコンピュータ使用者のモラルや道徳だけでは解決しない多くの現実的な問題がネットワークの中にははびこっているのである。

---

【第10位】 9月21日　検察による証拠改ざん
　　　　　　　〜デジタル鑑識が証拠改ざんもあばく〜

　9月21日　最高検察庁は、大阪地検特捜部主任検事を、証拠品として押収したフロッピーディスク内の電子データの原本を改ざんしたとして、証拠隠滅の疑いで逮捕した。

　本来、原本である電子データを調査する場合は、変更されないように、その原本と同一であるという保証ができる複製を作成してから、その複製に対して行うことが基本である。ところが、主任検事が、この基本を無視して原本を、私有のパソコンで直接操作して電子データの改ざんを行い、起訴の裏付け資料として利用しようとしたのである。

　この原本の改ざんは、持ち主から押収された時点にフロッピーディスク内の電子データを記録した捜査報告書の内容と、原本の持ち主に返却されたフロッピーディスク内の電子データが異なるということが、デジタル鑑識によって証明され、あばかれたのである。
　事件の真相を明らかにする捜査機関が捜査資料に手を加えたことは、捜査機関への国民の信頼を大きく失墜させたといえる。

　この事件からわかることは、原本の取り扱いの重要性と、デジタル鑑識により、改ざんされやすい電子データでもその完全性をチェックできることがあるということである。デジタル鑑識は、電子データの完全性のチェック以外にも、一般的な操作では見ることができない電子データを可視化して、より正確な事実を導き出すためにも使われている。

　電子データによる重要な情報のやりとりが増えている中、デジタル鑑識は、捜査機関だけではなく、企業の監査や各種証明のためなど、企業で利用できる範囲は広がっており、その重要性が注目されている。

今年も十大ニュースを発表することができました。ありがとうございます。と言っても、感謝しているのは、(1)選ぶべきニュースが選定するに足りるほど十分にあったから（発表した十大ニュースの他に26件総数36件）、(2)めでたく選者の方々の意見を調整できたから、はたまた、(3)今年も無事に発表できたから、どれでしょうか。
　(1)ならば情報セキュリティとは良いニュースもあるが悪いニュースも多く複雑な感情をいだきます、(2)ならば選定方法に選者一人あたりの投票数の上限を設定した大木委員長に感謝（過去にいち押しに持ち点全数投票した選者がいたそうな）、(3)ならば批判されかねないリスクを容認して発表する大胆不敵な小心者のJNSAに感謝でしょうか。

　さてさて、選定状況の情報漏洩をひとつ。単純投票数からの一位は岡崎図書館でした。やっぱり、IT関係の人は怒っているのでしょうか。選外となったものでは、「はやぶさの帰還、究極のリスクマネジメント」「偽ウイルスチェックソフト」があります。やっぱり、これもセキュリティ屋らしい目線かも知れません。その他に「暗号2010年問題はどうなったの？」と言うのもありました。
　ではでは、良いお年をお迎えください。なお、過去の十大ニュースも掲載しましたので、寝正月のおかずに利用していただければ幸いです。