EPNetFan 2004 年度座学編第 21 回 Internet Week 2004 報告

[C3] Security Day ～右手に技術, 左手にポリシー, 心に愛～

2004/01/14 小高正嗣

C3「Security Day」での主要の話題は

であった. ここでは上記の話題から, 特に興味を引いたものをいくつか紹介する. 詳細は当日のメモを参照のこと.

変化するセキュリティ管理の実情

個人情報保護法の施行にむけて経済産業省, 総務省, 金融庁, 厚生労働省がガイドラインを作成. 経済産業省のガイドラインが厳しいものだったため, 経済界は過剰に反応, 個人情報特需(?)が起こっている.

セキュリティ管理の目標が, 「システムを守る」から「情報資産を守る」へと変化.
- ノート PC の持ち出し禁止
- メール送信の許可性
- 社内での PC の利用を中止 (某 H 社).
を行うような企業が出てきている.
情報機器の多様化: 「外部から守る」から「どこでも守る」へ

これまでのセキュリティ対策は「外部との境界で守る」だった. 例えば,
- ホームページの改ざんを防ぐ
- ウィルス対策
- 組織外の人間による情報の漏洩 (Yahoo Japan の事例)
  - 派遣社員受難時代: 情報漏れはすべて派遣社員だと思われる
など.

しかし, 情報機器の発達とともに「外部との境界」では守りきれなくなってきた.
- 昔: デスクトップ PC の盗難を防ぐ. 情報は机に貼り付いていた.
- 今: 情報は人に貼り付いて貼り付ついて動く
  - ノート PC, 携帯電話, デジカメ, …
たとえばとあるコールセンターでは, 玄関で
- ノート PC, 携帯電話, デジカメ持ち込み不可
- USB 機器のコネクタにはフタ
という対策を行っている.
VOIP (Voice Over IP)

便利だが, トラブった時どうするか?
- 問い合わせ先は誰?
- 盗聴の危険
  - アナログ電話では, 基幹配線に触れる人は限定的だった(盗聴を防ぐため)
  - 組織内ネットワークは触りたい放題. VOIP を使うと盗聴天国(?).

3 年前の常識は忘れましょう.

一見コンピュータとは思えない装置が攻撃元になる.

最近の特徴は実空間の犯罪がネットワークを用いて行われる」ということにある. 検挙数も年々増加. 以下のような最近の検挙事例が紹介された.

不正アクセス防止法違反
- セキュリティーホールをつく
- 学内端末にキーロガーをしかけパスワードを不正に入手
- 不正入手した他人の ID を使いネットオークションに虚偽の出品, 詐欺行為
コンピュータ・電磁的記録対象犯罪
- オンラインバンクに不正アクセスし, 口座送金操作
ネットワーク利用犯罪
- インターネットカフェに接続した端末から児童ポルノ DVD を販売
- アダルトサイトの未納料金の債券回収をかたり, 架空請求(おれおれ詐欺)
- インターネットオークションに虚偽の出品情報, 詐欺を行う.
- ゲームソフトを不正に販売
- 銃器, 薬物の販売
- 名誉既存などなど

警察に寄せられる相談事例は H14 から H15 にかけて倍増 (19,329 件 --> 41,754 件) した. 内容は詐欺, 悪質商法, 架空請求など金銭に関する相談が (20,338 件) が急増.

フィッシングとは, 「銀行等の企業からのメールを装い偽のホームページにアクセスさせるよう仕向け, 個人情報, 金融情報を入力させて情報を不正に入手する」犯罪 (詳細な用語解説はこちら).

米国を中心に被害が拡大中, JCB, Yahoo!Japan などでも被害が生じている. ただし手口は古典的で, 媒体が紙から電子メール等になっただけ.

利用者側の対応としては,

インシデントの早期把握, 電子的攻撃の傾向分析を目的として, 複数のグループがインターネット定点観測を行うようになってきた.

現在以下のグループで定点観測が行われている.

警察庁:

57 地点で観測 (基本的に各県 1 つ, 北海道は 4 つ) @police にて統計情報をリアルタイム提供
IPA (情報処理推進機構)

情報公開準備中. TALOT と TALOT2 の 2 系統で観測.
WCLSCAN

インターネット上の攻撃を自動観測するシステム. 携帯電話でも閲覧可能.
ISDAS

JPCERT/CCが運用, 送信元 IP, ポート番号と送信先 IP, ポート番号を収集. 観測データ(CSV 形式)を 2004/12/01 より提供開始.