Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

米国FTCのセキュリティ原則:複雑なシステムにおけるリスクの根本的な原因に対処する具体施策の対応状況を解説

2023-03-04 07:44:25 | 情報セキュリティの新課題

 筆者の手元に米連邦取引委員会(FTC)(注1)から セキュリティ原則:複雑なシステムにおけるリスクの根本的な原因に対処するための具体的施策についてのレポート(Tech@ FTC)が届いた。

 FTCはその救済策を強化するためにどのように取り組んできたかを説明すること、さらにデータセキュリティとプライバシーのケースからのFTCが行った最近の命令規定のいくつかを強調し、それらがどのように体系的にリスクに対処しようとしているのかを説明するというものである。

 その内容を概観したが極めて基本的な指摘であることは言うまでもない。しかし、多くの企業の実務はなおこの指摘に応えていないことも事実である。

 今回のブログはFTCレポートを仮訳するとともに、注書きを追加して、わが国の一般読者でも理解できるよう工夫してみた。

*********************************************************************************

 2022 年 12 月 14 日、「チーム CTO (注2)」 の技術者およびFTCの消費者保護局(Bureau of Consumer Protection :BCP )の弁護士と協力して、連邦取引委員会(FTC)の 12 月14日の公開委員会会議で、委員会の命令に見られるセキュリティへの体系的なアプローチについてプレゼンテーションを行った。

1.複雑なコンピュータ・システムにおけるリスクの根本原因への対処

 過去 10 年間、コンピューター・システムの回復力の実践者の中で最も重要な人物の 1 人は、その麻酔科医(anesthesiologist)であった。複雑系の第一人者であるリチャード・クック博士(Richard I. Cook, MD)は、送電網、緊急治療室、航空管制、サーバー・ファーム(注3)に共通するものは何か?などの質問を投げかけた。そして、これらのシステムを操作する人々と、システムを確実に機能させるために彼らが行っていることについて、何を学ぶことができるか? などを論じた。

 それらの教訓の 1 つは、システムは実際の人間によって操作されるように設計されなければならないということである。組織が事故を見て、根本原因を「人的ミス」と宣言することは極めて一般的である。クック氏と彼の同僚は、ヒューマンエラーは実際には調査の始まりに過ぎないと主張している。システムは人間が間違いを犯しやすくしたのだろうか、 人間は、彼らがしていることのリスクについて警告されたか? それらの警告は、人間を疲れさせてメッセージに麻痺させるほどの頻度であったか?

 安全なシステムは、当然これらのことを考慮に入れている。彼らは調査を個人のせいにするのではなく、FTC のデータ セキュリティ命令の目標であったシステムに焦点を当てている。FTC は、クック氏と彼の同僚が複雑なシステムを安全に運用する方法について特定した原則を実現する救済策を作成するよう努めている。

 複雑なシステムと安全工学からこれらの教訓を取り入れた組織・企業等があり、ユーザーのデータを保護するという責任を果たすために、より良い仕事をしている組織がある。しかし、残念なことに、多くの組織等はこれらのアプローチの価値をまだ認識していない。

 これまでのFTC 命令は、このギャップに対処する役割を果たしてきた。FTC の命令は、悪質な行為を是正するだけでなく、ユーザーデータを効果的に保護したいのであれば、これらの教訓を学ぶ必要があるというシグナルを市場参加者に送信するものである。

 本レポートは、最近の FTC 命令から得られた、データ セキュリティとプライバシーに関するケースで、これらの原則が組み込まれている 以下の3 つの実務慣例を紹介するものである。

①消費者に多要素認証 (MFA) を提供し、従業員にもそれを要求する。

②企業のシステム内の接続が暗号化され、認証されている必要があることを要求する 。

③データ保持スケジュールを作成し、それを公開し、それを遵守するよう企業に要求する。

 これらは、FTC が効果的なセキュリティ・プログラムに期待するすべての総計ではないが、根本的な原因を攻撃して独自の効果的な結果を生み出すという考えに直接言及している、最近目にした規則のサンプルである。

(1) 消費者に多要素認証 (Multi-factor authentication :MFA) を提供し、従業員にもMFAを要求する

 多要素認証は、侵害されたパスワードだけでは誰かのアカウントを乗っ取るのに十分ではないことを意味するため、重要なセキュリティ実践として広く認識されている。テキスト・メッセージ、ローテーション・ コードを生成する携帯電話アプリ、プッシュ通知を使用するモバイル・アプリ、セキュリティ・キーなど、消費者や企業が利用できるさまざまな形式の MFA がある。これらのうち、セキュリティ・キーだけがフィッシングやその他のソーシャル・エンジニアリング攻撃に耐性がある。ユーザーがだまされてユーザー名とパスワードを入力できる場合、だまされて電話からコードを入力するように仕向けられる可能性リスクがある。

 消費者のアカウントの場合、好みに基づいてさまざまな MFA タイプから選択できることは理にかなっている。また、企業独自の IT システムについては、従業員が最も強力な形式の MFA を使用する必要があるという決定を下すことができる。

 したがって、最近時の FTC の命令には、次の条項が含まれている。

①企業は、消費者が自分のアカウントで MFA を有効にする機能を提供する必要がある(注4)、 (注5)、(注6)、 (注7)

②セキュリティ・キーなどのフィッシング耐性のある MFA を自社の従業員に使用することを企業に要求する(注8)、 (注9)、 (注10)

 さらに、FTC 命令は、消費者アカウントを保護するために MFA をどのように使用する必要があるかについて、さらに進んだいくつかのことを実践する。

 このFTC命令により、企業は「セキュリティの質問」の使用などの従来の認証慣行を MFA に置き換える必要があった。例えば、セキュリティに関する質問 (たとえば、あなたの母親の旧姓は?) には、企業にさらに多くの個人情報を提供するなど、多くの弱点があった。さらに、これらの質問が要求する多くのデータが公開されているため、攻撃者にとっては破ることは簡単である。(注11)

 このFTC命令は、企業が電話番号を提供する必要のない形式の MFA を提供することも要求している。これにより、プライバシーが保護され、より安全な形式の MFA が利用できるようになる。(注12)

 最期に、この命令は企業が MFA のために収集した情報を他の目的で使用しないことを要求しており、業界の他の場所で見られる悪い慣行を防ぎ、セキュリティ・メカニズムがより多くのデータ収集の口実ではないという消費者の信頼を高める(注13)、(注14)

 (2) 企業のシステム内の接続は暗号化と認証の両方が必要であることを要求する

 FTC が最近の命令に含めたもう 1 つの要件は、企業のシステム内の接続は暗号化と認証の両方が必要であることである(注15)。この重要性を理解するには、従来の技術と比較する必要がある。長年にわたり、ほとんどの企業がセキュリティに対して採用していたアプローチは、企業ネットワークの外側に強力なファイアウォールを設置することであったが、攻撃者はいったん内部に入ると、自由に移動できた。拡大し続けるシステムでは、これは攻撃者がどこにでも 1 つの脆弱性を見つけただけで、王国への鍵を手に入れたことを意味する。

 「ゼロ・トラスト(Zero Trust)」とは、企業ネットワークに接続しているからといって、自動的に信頼されてすべてにアクセスできるという意味ではないという単純な考え方である。代わりに、「ゼロ [暗黙の] トラスト」をベースラインにする必要がある。システムにアクセスするには認証(authenticated)承認(authorized)が必要であり(注16)、攻撃者が正当な接続を簡単に詮索できないように接続を暗号化(encrypted)する必要がある。

 このアプローチは、企業のシステムにおける脆弱性に基づく爆発範囲を劇的に制限するのに役立つ。さらに、ゼロトラスト・システムは、フィッシング耐性のある MFA などの保護手段によって提供される強力なID に基づいて構築されるため、企業ネットワーク内のシステムが外部と同じ保護を受けるようにすることができる。

(3)データ保持スケジュールを作成し、公開し、それを遵守するよう企業に要求する-

 最終規定は、データ保持スケジュールを策定し、それを公開し、それを遵守するための要件である(注17)(注18)。これは、最も安全なデータはまったく保存されていないデータであるという前提を取り入れている。さらに、この要件を実装するには、必然的に、企業が保存するすべてのデータの強力な内部カタログ(注19)を用意する必要がある。これにより、ユーザーからのデータ削除要求に包括的に対応できるようになり、保存しているデータの種類に基づいて保護の優先順位を付けるために必要な情報を入手できるようになるなど、他の利点も得られる。

結論

 これらの原則は、技術の発展に歩調を合わせ、過去の経験から学び、技術が進化しても根本原因に対処するための改善策を強化することに同委員会が重点を置いていることを反映している。今後、委員会内の技術者は、セキュリティ・コミュニティとの関わりを継続し、最新の開発に遅れないようにすることを約束する。

 FTCの消費者保護局(Bureau of Consumer Protection)、特にプライバシーおよび個人情報保護部門と執行部門の専門スタッフが、この作業の多くを主導してきた。我々の技術者チームは、監督機関全体のスタッフと引き続き協力して、進化する技術と脅威に対応できるようにする。

 この投稿の作成に貢献してくれた方々に感謝する。

 12 月の公開委員会会議セッションの完全な記録を聞くには、https: //www.ftc.gov/media/open-commission-meeting-december-14-2022 にアクセスされたい。

*******************************************************

(注1)連邦取引委員会、連邦司法省、州の法執行機関の権限についての一覧がFTCの「 連邦取引委員会の調査、法執行、および規則制定機関の概要」付録 A

「FTC、クレイトン、およびシャーマン法に基づく反トラスト法執行機関の概要」で以下のとおり、整理されている。参照されたい。

(注2) リチャード.I.クック(Richard I. Cook,)、MD(シカゴ大学 認知技術研究所)著「複雑なシステムの失敗」

(注3) サーバファームとは、ネットワークを通じて外部に情報やサービスを提供するサーバコンピュータを大量に集積している施設。また、そのように一箇所で集中管理された大量のサーバ群そのもの。(IT 用語辞典から抜粋)

(注4) 最終更新日 2022年5月25日

・ケース・ステータス 保留中

・裁判:原告:アメリカ合衆国、v.被告:Twitter、Inc.

・FTCファイル番号: 2023062

・法施行タイプ: 民事罰

・係属裁判所: カリフォルニア州北部地区連邦裁判所

【ケースの概要】

FTCは、Twitterによるユーザーのメールアドレスと電話番号の不正な使用がFTC法と2011年委員会の命令に違反したと主張した。

(注5) 最終更新日 2022年6月24日

ケースステータス 保留中

・被告:Residual Pumpkin Entity, LLC, a limited liability company, formerly (商号 CafePress);およびPlanetArt LLC, a limited liability company( 商号 CafePress)

・FTCファイル番号: 1923209

【ケースの概要】

FTCは、CafePressが、プレーンテキストの社会保障番号、不適切に暗号化されたパスワードなど、ネットワークに保存されている機密情報を保護するための合理的なセキュリティ対策を実装できなかったと主張し、 パスワードへの回答は質問をリセットしていた。同委員会の提案された命令は、被告会社にデータセキュリティを強化することを要求し、以前の所有者に中小企業を補償するために50万ドルを支払うことを要求した。

(注6) 最終更新  2023年1月10日

・事案状況:  保留中

・有限責任会社 Drizly, LLC と Drizly, LLC の役員個人として James Cory Rellas

・FTCファイル番号:  2023185

【ケースの概要】

連邦取引委員会は、オンラインのアルコール市場である Drizly とその CEO である James Cory Rellas に対して、共同のセキュリティの対策失敗が約 250 万人の消費者の個人情報を漏えいさせたデータ侵害につながったという問題に対して、告訴行動を起こしている。

(注7) 最終更新  2023年1月26日

事案状況: 保留中

被告・:法人であるCHEGG, INC.

【ケースの概要】

FTC は、社会保障番号、電子アドレス、パスワードなど、何万人もの顧客と従業員に関する機密情報を漏洩したとして、教育テクノロジーのプライバシー Chegg Inc. に対してその手ぬるいデータセキュリティ慣行に対して告訴行動を起こした。

(注8) これらは、実装する標準の名前である「パスキー」、または WebAuthn または FIDO と呼ばれることもある。

(注9) 最終更新  2023年1月26日

事案の状況: 保留中

被告:法人であるCHEGG, INC.

【ケースの概要】

FTC は、社会保障番号、電子アドレス、パスワードなど、何万人もの顧客と従業員に関する機密情報を公開した、教育テクノロジーのプライバシー Chegg Inc. に対してそのぬるいデータセキュリティ慣行に対して告訴。

(注10) 最終更新  2023年1月10日

・事案状況:  保留中

・有限責任会社 Drizly, LLC と Drizly, LLC の役員個人として James Cory Rellas

・FTCファイル番号:  2023185

【ケースの概要】

連邦取引委員会は、オンラインのアルコール市場である Drizly とその CEO である James Cory Rellas に対して、共同のセキュリティの対策失敗が約 250 万人の消費者の個人情報を漏えいさせたデータ侵害につながったという問題に対して、告訴行動を起こしている。

(注11) 最終更新日 2022年6月24日

ケースステータス 保留中

・被告:Residual Pumpkin Entity, LLC, a limited liability company, formerly (商号 CafePress);およびPlanetArt LLC, a limited liability company( 商号 CafePress)

・FTCファイル番号: 1923209

【ケースの概要】

FTCは、CafePressが、暗号化していないプレーンテキストの社会保障番号、不適切に暗号化されたパスワードなど、ネットワークに保存されている機密情報を保護するための合理的なセキュリティ対策を実装できなかったと主張し、 パスワードへの回答は質問をリセットしていたのみであった。同委員会の提案された命令は、被告会社にデータセキュリティを強化することを要求し、以前の所有者に中小企業を補償するために50万ドルを支払うことを要求した。

(注12) (注4)と同一内容。

(注13) (注10)と同一内容。

(注14) (注9)と同一内容。

(注15) (注10)と同一内容。

(注16) 認証とは、ユーザーが本人の主張どおりの人物であることを検証する行為である。これは、セキュリティプロセスの最初のステップである。

 認証の例には、サーバー上の特定のファイルをダウンロードする許可を特定のユーザーに付与したり、個々のユーザーにアプリケーションへの管理アクセス制御を提供したりすることが含まれる。

 認証プロセスは、次の手順で行われる。

パスワード:ユーザー名とパスワードは、最も一般的な認証要素です。ユーザーが正しいデータを入力すると、システムはそのアイデンティティが有効であるとみなし、アクセス権を付与する。

ワンタイムPIN: 1つのセッションまたはトランザクションに対してのみアクセス権を付与する。

認証アプリ:アクセス権を付与するサードパーティ経由でセキュリティコードを生成する。

バイオメトリクス:ユーザーは、指紋または網膜スキャンを使用して認証、システムにアクセスする。

 システムによっては、アクセス権を付与する前に、複数の要素の検証を完了する必要がある。多くの場合、パスワード単体の機能を超えてセキュリティを強化するために、この多要素認証(MFA)要件が配備される。

 一方、システムセキュリティにおける承認とは、特定のリソースまたは機能にアクセスする許可をユーザーに付与するプロセスをいう。この用語は、アクセス制御やクライアント特権と同じ意味でしばしば使用される。

安全な環境では、承認は必ず認証の後に行われる。最初にユーザーが自分のアイデンティティが本物であることを証明し、その後に組織の管理者が要求されたリソースへのアクセス権を付与する。(Oktaサイト解説から抜粋 )

(注17) (注10)と同一内容。

(注18) (注10)と同一内容。

(注19) セキュリティチーム向けのセキュリティサービスカタログの作成は、説明責任とサービスの範囲を確立することにより、ビジネス全体の価値を高め始める。セキュリティ・サービスカタログは、情報セキュリティチームが提供するビジネス・カスタマーサービスを明確に表現しながら、特定された各領域に対してサービスと責任者のレベルを提供することにより、戦略を可能にする。このケーススタディは NIST 800-35 "「ITセキュリティサービスのガイド」"参照。(https://trustsds.com/cyber-security-services-catalog-enables-strategy/から抜粋、仮訳)

***********************************************************

Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

 


警察庁「サイバーセキュリティ対策会議」が警察によるISPに対する“Tor”利用行為の通信遮断要請の具体化を勧奨する報告書(改訂・補追版)

2020-07-05 16:15:32 | 情報セキュリティの新課題

 

 筆者は2013年4月21日付けのブログで、このテーマに関する警察庁の動向や“Tor project .org”の活動内容等について簡単に紹介した。その時点で詳細な材料が不足しており、きわめて不本意なまま載せた。

 しかし、現時点で改めて読み直すとどうしても言及せざるを得ない点、警察庁の有識者会議である「サイバーセキュリティ対策会議」の報告書(注1)の内容やわが国の関係法執行機関や業界団体の具体的取組みにおいていまだにある実効性、脆弱性対策問題や、とりわけ“Tor Project” の活動内容の解析は具体的に言及せざるを得ない重要な点と考え、この補追原稿を書くことにした。()の箇所が今回追加した箇所である。

 オーストラリアの人権擁護NPO団体“Electronic Frontiers Australia Inc.(EFA)” から手元に届いたニュースに、毎日新聞英字版日経新聞の記事(注2)に基づく警察庁の有識者会議の提言内容が紹介されていた(注3)。有識者会議の報告書の内容は非公開(注4)なため、不本意ながらその内容はメデイア記事のみに頼らざるを得ない。

 今回のブログは、この問題に関するEFAのプライバシーに対する懸念・問題指摘をまず紹介するとともに、Torの実施・運用NPO団体である“Tor project .org”(注5)が欧米主要国の法執行機関・警察や関係機関との相互認識強化に関する情報を改めて提供するものである。特に後者の問題は有識者が“Tor system”につき、いかほど正確に把握しているか不透明であり、その意味でも各報告書の内容、専門性等の検証が急務である。

1.Tor(トーア)とは

 日本語版のWikipedia から関係個所を中心に抜粋する。なお、このブログの執筆者は例えばいまだに警察庁に「有識者会議」を使う等必ずしも各情報につき原データにあたるという基本原則は守っていない点が気がかりであるが、参考までに引用する。

Tor(トーア)とは、TCP/IPにおける接続経路の匿名化を実現するための規格、及びそのリファレンス実装であるソフトウェアの名称である。通常、ユーザーはローカルにSOCKSプロキシ(オニオン・プロキシ)を立て、そのプロキシ経由で通信を行うことになる。Torという名称はオリジナルのソフトウェア開発プロジェクトの名称である「The Onion Router」の頭文字を取ったものである。

 当初はオニオンルーティングの開発元でもあるアメリカ海軍調査研究所 によって支援されていたが、2004年以降は米国サンフランシスコに本拠を置く言論の自由等を擁護する非営利団体「電子フロンティア財団 (Electronic Frontier Foundation) 」により支援されるプロジェクトとなった。2005年11月以降はEFFによる金銭の支援は終了したが、ウェブホスティングは継続されている。(筆者の追記;匿名でブラウジングできる Tor 内臓のウェブブラウザー: フリーソフトのダウンロード画面 もともとの提供先は Tor Project Inc.であり、最新バージョンは9.5.1)

*Torの応用

 政府機関や軍隊が安全な通信を行うため、あるいは通信の秘密やプライバシーを重視する個人や活動家などがネット検閲回避のため使用する。使用例については、ダークネット#使用の項が詳しい。公式サイトから入手する必要あり。ただし、国際的監視網の形成やPRISMの導入が行われ、情報機関や治安当局に把握される可能性があり、公式サイトの閲覧やブラウザ等の入手・使用は自己責任かつ工夫の上行うこと。また、個人サイトやアップローダーなど第三者によって公開されているものは、改竄やマルウェアなどの混入の可能性がある。 

*サイト管理者へのTor規制要請

 日本で2012年にパソコン遠隔操作事件が発生してTorの存在がマスコミにより連日報道された。近年はTorを悪用した犯罪行為が発生しており、殺人予告やオンラインバンキング等への不正アクセス、2010年の警視庁国際テロ捜査情報流出事件でも使用が確認されている。

 警察庁の有識者会議は、2013年4月18日の報告書で「国内外で犯罪に使われている状況に鑑みると対策が必要」として、末端となるTorノードのIPアドレスからアクセスがあった場合は通信を遮断するよう、国内のウェブサイト管理者に自主的な取り組みを要請する構えを見せている。

 2014年7月に「Tor」を管理する非営利団体は、Torのネットワーク上で5か月間にわたり密かにトラフィックに変更を加え、「秘匿サービス」と呼ばれるサイトにアクセスしているTorユーザーの身元を探ろうとしていたコンピュータの存在が確認されたとして、秘匿サイトを利用しているTorユーザーの多くが政府が支援する研究者によって身元を特定された可能性があると発表した。

 国際ハッカー集団「アノニマス」は、Torの検閲への動きを撤廃することを望む動画を、YouTubeにアップロードした

以下略す。


2.EFAの課題指摘の内容
 同レポートを仮訳しておく。

・日本の警察庁(National Police Agency:NPA)は、自国のISPに「自発的に」Tor(インターネットを匿名でサーフィンするため広く利用されている有名なシステム)の使用を妨害するよう、明らかに依頼している。

 NPA(それはTorシステムを悪用している犯罪を防止するための措置を調べていた)に向けた専門家による議論は、4月18日のレポートでサイト管理者の裁量のブロッキング・パソコン通信がそのような犯罪を防止することに効果的であるとしていると編集した。同会議の推奨に基づいて、NPAはインターネット・プロバイダー産業界や他の団体にその旨を自発的な努力をするよう求める。

 これは、極端に危険な過剰反応といえる。確かに、一部の人々は、違法な行為の目的で、Torの匿名性を悪用する。まさに一部の人々が悪いことをするために「現金の匿名性」を悪用するのと同じである。

 しかし、そうであるからといって、我々はこのため「現金」を非合法化しない。人々には彼らの個人識別(アイデンティティ)を保護するためのTorのような匿名化(anonymizing)しているツールを捜す多くの正当な理由がある。彼らが警察で組織犯罪または汚職に関して警告を鳴らすホイッスルブロアーであるならば、どうであろうか?。それが犯罪行為のために使われているという恐れに関しては、それは、警察が他の手段によって彼らを特定することができないことを意味しない。我々は、彼らが犯罪を犯しているとき、再三再四、人々がデジタル・トラック情報を他の方向に向け混乱させる事例を見た。事実、それは生命を警察にとってより難しくする。そして、それは彼らが実際の捜査活動をしなければならないことを意味するが、まさに、それが彼らの仕事なのである。

3.Torの国際的は法執行機関等との深まる協議の内容
(1)ここからが、本ブログで筆者が言いたいポイントである。有識者会議がこれらの各国の法執行機関との協議内容を十分に検証した上での今回の勧奨報告であればまだしも、いかに「拙速のそしり」という非難を指摘されることはいうまでもない。

 他方、筆者はこの問題に対する極めて多くの「2チャンネル」での非難を支持するものではない。まさに冷静な対応が必要な問題であると思うのである。したがって、ここでは、Tor systemにつき詳しく論じることは行わないが、少なくとも彼らが行う欧米主要国の警察や法執行機関、関係機関等の会議、研究会への積極的な参加や意見交換の概要につき紹介する。
 少なくとも、わが国でもこれらに準じた手続きを経たうえでの勧奨行為が当然と考える。

(2) Tor systemの運営幹部であるロジャー・デングルディン(Roger Dingledine)のブログ解説がやや冗長かつ専門家向けのため、説明不足の感はあるが、具体的な内容なので概要を仮訳する。

Roger Dingledine氏

 2013年 1月、ジェイク(Jacob Appelbaum, Advocate, Security Researcher, and Developer)と私(Roger Dingledine, Project Leader, Director, Researcher) (注6)は、オランダの地方警察や国家警察、およびベルギーの国家警察と間でTor system につき説明や協議を行った。また「Bits of Freedom」に対する短いが感動的な対話だけでなく、オランダの国家サイバーセキュリティ・センター(National Cyber Security Centre :NCSC)の2013年次会議の閉会の基調講演を行った。

 あなたは私の側の得意な点の一つとして、最近のTorに関する法律の施行方法を教えてきたことを思い出すかもしれない。我々は、2012年10月にはTorについてFBIの会議で説明するとともに、過去では2008年3月にドイツでのデータ保持について議論されたときにドイツ・シュトゥットガルト警察の訪問については、私の以前のエントリーしたブログを参照してほしい。

 この「Torブログ」を始める前、Torにつき私は米国司法省と数回にわたり、またノルウェー警察の特別犯罪捜査局(Kripos)との協議を行った。

 今、オランダ警察は第一に2011年に起きた「DigiNotar被害」(注7)でぴりぴりしているので、オランダ警察に対しTorの話を進める良いタイミングである。しかし、彼らはどの国かわからない外国のコンピュータに侵入し合法化する彼らの2012年の法規制強化の野望があった(私は、彼らはすでにそれをやったので、合法的であると言う!)

 以下に、私に印象を与えたそこでのいくつかの論点がある。

•私は、オランダの地域警察署から約80人に対話を開始した。どうやら各地域の警察グループは、基本的に1人以上のサイバー犯罪者を抱えており、ほとんどすべてのそのためTorを学ぶようになった。これらには、Torのケースを処理する方法についての彼らは警察グループの助言人なので、正確にExoneraTorのようなサービスについて知っておく必要があるのである (それは彼らの仕事が簡単になったため、その後、国家警察の一つはTorについて地域警察を教えたことに心から我々に感謝した)。

・オランダ警察との対話中に繰り返し登場した1つの問題は、次のような内容である。
:悪い男が、誰かが彼のドアのところに現れたときにもっともらしい否認を行うため、Torの「出口ノード(Exit relays)」(注8)を実行したらどうなるか?

 私が最初に考えたのは警察の注目を減らすためTorの出口ノードを実行することは狂気の沙汰である。
 あなたは無視したい場合、あなたは悪いことをするボットネットか何かを利用する必要があり、誰もそれを学びませんし、それは、あなたにとってすべての終わりです。
 我々はTorにつきおよそ地球上のすべての法執行者を教育するまでは、常にこれまでのTorが何であるかを知らなくても、容疑者リスト上のすべてのIPアドレスを襲撃する人々が存在する。彼らについての興味深い発見の第二点は、Torのリレーがディスクにすべてのトラフィックを書き込むことはないということであった。もし容疑者は彼のハードドライブ上の悪いものを持っており、それがためにTorリレーのせいであるというのはうそである。もちろん、ディスクの暗号化は、状況を複雑にする(我々は、出口に関しディスクの暗号化の使用は勧めない)。

・私は、ベルギーの警察との間で彼らのインターネットのフィルタリング行為は "検閲"ではないという問題に関し議論に入った。私の経験では、それが起動する方法は、幾人の議員は、インターネット上でフィルタリングを正当化する非常に恐ろしい何かを決めることである。その次に、彼らは禁止事項のURLのリスト(一部完全に非透過的な方法で)を用意すべく準政府組織に委譲する。必然的に、このリストにはフィルタリングを設定するための元々の理由よりも、コンテンツのより多くの種類が含まれている。そして必然的に、あなたがそれにあってはならない場合は、リストから降りるメカニズムの救済システムは全くない。ベルギーの警察はURLのみの小さなセットをフィルタリングすること、これらの問題の各々は、議論され、透過的に民主的な方法で決定されていること、さらに、警察は準政府機関にリストについて何を教えていないだろう私に保証した。

4.“Tor”に関するわが国のある程度専門的視点からの解説例

一般的なものとしては次の2つのレポートがあげられよう。なお、冒頭で引用した平成24年度総合セキュリティ対策会議報告書「官民が連携した違法・有害情報対策の更なる推進について」では、Torに関する具体的記載はない。平成27年度報告書「サイバー犯罪捜査及び被害防止対策における官民連携の更なる推進」3頁「通信匿名化技術」で初めて出てくる。本文、資料編(はっきり言って関係団体による説明会資料の域をでたものではない)について読んだが、技術的な解説、具体的な問題指摘はない。

(1)2020年1月JETRO ニューヨークだより:中沢潔氏「ダークウェブに関する現状」

 その中でダークウェブの発生とともに生まれた匿名化通信ツールの1つである「Tor」について、匿名通信を実現させる基本的な仕組み(6頁以下で図解入りで説明)、これまでの連邦法執行関係機関や人権擁護団体等との関係、さらには資金源等につき詳細な解説を行っている。

 なお、このレポートの中でNATOのNATO認定のサイバー防御ハブ機関である「Cooperative Cyber Defence Centre of Excellence(CCDCOE)」の報告書「Technical and Legal Overview of the Tor Anonymity Network (全32頁)」から基本的な図などを引用、翻訳等を行っている。

 

 そもそも、わが国ではCCDCOE自体の説明がないので、ここで併せて解説しておく。

 CCDCOEの中心は、加盟国25か国(オーストリア、ベルギー、ブルガリア、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、イタリア、ラトビア、リトアニア、オランダ、ノルウェー、 ポーランド、ポルトガル、ルーマニア、スロバキア、スペイン、スウェーデン、トルコ、イギリス、アメリカ)の多様な専門家グループからなり、我々は軍、政府、学界、産業界からの研究者、アナリスト、教育者を結集し、①テクノロジー、②戦略、③実践運用、④法律の4つのコア領域で研究、トレーニング、演習を行っている。

その組織図を以下引用しておく。

(2)2019.6.5「Tor ネットワークでも IP アドレスを特定される可能性」

短いレポートであるが、ワシントに本部を置くネットワーク・セキュリティ装置の開発・販売会社のアナリストであるEMIL HOZAN氏がTorプロジェクトの内容を詳しく論じている。

*************************************************************************************:****

(注1) 2013年(平成25年)4月の時点では、警察庁の有識者会議である「サイバーセキュリティ対策会議」の名前さえ公表されていなかった。しかし、この対策会議の委員名、審議内容、配布資料、報告書は警察庁サイトで公表されている。当時のメデイアの情報収集不足のせいか。

 ただし、2013年4月の筆者ブログの(注2)で指摘したとおり、委員の顔ぶれを見るとサイバー問題の専門家とは言い難い。筆者がこの点につき断定的な発言をすると理由は、かつてK大学の教授会でやり取りしたり、JSSM学会で席を並べて議論した経緯を知っているからである。

 ところで、わが国のサイバーセキュリティ問題の官による検討に係る問題につき、内閣サイバーセキュリティセンター(NISC)は2014年(平成26年)11月、サイバーセキュリティ基本法が成立した。同法に基づき、2015年1月、内閣に「サイバーセキュリティ戦略本部」が設置され、同時に、内閣官房に「内閣サイバーセキュリティセンター(NISC※)」が設置された。

 サイバーセキュリティ対策推進会議(CISO等連絡会議)は平成27年4月サイバーセキュリティ戦略本部令(平成26年政令第400号)4/21(62)第4条の規定に基づき、関係行政機関の最高情報セキュリティ責任者(CISO)等相互の緊密な連携の下、政府機関におけるサイバーセキュリティ対策の推進を図るため、サイバーセキュリティ戦略本部(以下「本部」という。)に、サイバーセキュリティ対策推進会議(以下「推進会議」という。)を置いた。この会議の内容は都度メデイアにも公開している。しかし、果たしてわが国のサイバー問題の中心的機能を果たしているかどうかについては、改めて関係者の意見を求めたい。

(注2)Tort Projectに関するネットワーク・セキュリテイの専門家の解説例としては、ワシントに本部を置くネットワーク・セキュリティ装置の開発・販売会社(日本法人もある)である“WatchGuard Technologies, Inc.”のアナリストEMIL HOGAN氏の2019.6.5「Tor ネットワークでも IP アドレスを特定される可能性ものがある」があげられる。

(注3) このようサイバー犯罪からみの問題をいつも真っ先に取り上げる夏井教授主催グループのブログ(Cyberlaw)は、4月22日付けでこの問題を取り上げ、有識者会議の姿勢を批判している。
 なお、英国のIT専門メディア”Wired co.uk”が4月9日の記事、やフランスのIT専門メディア“ZDNet.fr”が4月22日の記事でこの問題を取り上げているが、いずれも毎日新聞の記事を引用しているのみである。

(注4)筆者は、なぜがゆえに警察庁が有識者会議の報告内容をあえて 非公開とするのかが不明である。この程度の内容が非公開とすべきであるとも思えないし、そもそも有識者会議の目的や意図は何かさらには専門委員構成等、大いに疑問である。

 弁護士(元検事)の落合洋司氏の「日々是好日」の4月18日付けのブログが「警察庁がISPに対し“Tor”の通信遮断を要請」と題してこの問題を取り上げている。落合氏が指摘しているとおり、「どこの『有識』者が、こういうことを提言しているのか知りませんが、警察の提灯持ちや露払いに堕するのもいい加減にしておかないと、せっかくの『有識』(何の有識か知りませんが)が世界的な物笑いの種になりかねません(こんなもの(報告書)を出してくるようでは、そうなったほうが良いような気もしますが)」は、納得のいく的確な指摘であると思う。

(注5) 毎日新聞は“Tor”記事の中で、次のとおり簡単な用語解説を行っている。
「◇の略で、タマネギ(onion)の皮のように何重にも暗号がかけられていることから名付けられた。90年代に米海軍の研究機関が秘密裏に情報交換するために開発。このシステムを使う世界中のパソコンの中から無作為に選ばれた3台が経由地になる。通信記録が残らないように設計されているため発信元の追跡は不可能とされる。」

(注6) Roger Dingledine氏は、TorのProject Leader, Director, Researcherである。外部に向けたアグレッシブな活動内容は興味を引くものである。例えば、YouTube:29C3: The Tor software ecosystem (EN)(2013年1月19日録画)を見てほしい。プログラム参照。なお、“29C3”は、2012年12月27日から30日にかけてドイツ・ハンブルグで開催されたカンファレンスである「29th Chaos Communication Congress(29C3)をさす。

(注7) オランダの認証局DigiNotarが不正アクセスを受け、偽のSSL証明書を発行していた問題は、さまざまなところに影響を及ぼしている。

 この被害は2011年8月29日に明らかになった。米Googleのメールサービス「Gmail」のユーザーに対する中間者攻撃の動きがあったことを機に、DigiNotarが不正なSSL証明書を発行していたことが発覚。詳しく調査した結果、DigiNotarの認証局インフラが7月19日に不正アクセスを受け、管理者権限でアクセスされて500以上の偽証明書を発行していたことが明らかになってきた。その中には、google.comのほか、skype.com、twitter.com、www.facebook.comや*.windowsupdate.com、*.wordpress.comなど、広く利用されるドメインが含まれている。またDigiNotarの証明書は、オランダ政府でも利用されていた。
 SSL証明書は、自分がアクセスしている先が確かに「本物である」ことを確認するために利用される。もし証明書そのものが不正に発行されれば、本物のサイトと不正なサイト、フィッシングサイトなどを見分けることができない。通信を暗号化していても、それが第三者に筒抜けになってしまう可能性があるし、アクセス先を信用して、ユーザーIDやパスワード情報を入力してしまったり、マルウェアをインストールしてしまう恐れがある。
 この事態を受け、ブラウザベンダは即座に対策した。DigiNotarの証明書を信頼リストから外し、無効化した新バージョンを相次いでリリースしている。」 @IT記事から一部抜粋。
 
(注8)Torの「出口ノード(Exit Relay)」に関しては「ネットワーク経路を複雑化・追跡困難にするTorってどんなもの?」(netbuffalo)が図解入りで説明している。また、Tor自身がLegal FAQ で詳しく説明している。

 同FAQの主要部分のみ仮訳する。
「出口ノード」とは、それらからの出口でノードのIPアドレスにまで遡ることができるトラフィックから 脱出できるという特殊な問題を引き起こす。(出口ノードは目的のWebサイトからすると、アクセス元のIPアドレスとして見えるが、もちろん本来のトラフィック送信元アドレスではない)

 我々は出口を実行することは合法であると信じるが、それは出口ノードがいくつかの点で民事訴訟や法執行機関の注目を集めることが違法な目的に使用されることを統計的には認めねばならぬ可能性がある。
 出口ノードは非合法とみなされ、トラフィックが中継のオペレータに起因する可能性があるためトラフィックを転送してもよい。あなたはそのリスクに対処することを望まない場合、ブリッジまたは中間リレーはあなたのためのより良い方法といえるかもしれない。これらのノードは、インターネット上で直接トラフィックを転送しないし、そう簡単に伝えられるところでは違法コンテンツの起源元と誤解されることはない。

 Torのプロジェクト・ブログでは、できるだけ少ないリスクと終了を実行するためのいくつかの優れた提言をしている。我々は、あなたが出口ノードを設定する前に、これらのアドバイスを確認することを示唆する。

*私は私の家からの出口ノードを実行する必要があるか?

いいえ。もし法執行機関等は、出口ノードのトラフィックに興味がなくなった場合、官吏あなたが使用するコンピュータを押収することが可能である。そのため、それはあなたの家またはご自宅のインターネット接続を使用して、出口ノードを実行するのは最善ではない。その代わりに、Torを支持している商業施設で、出口ノードを実行することを検討してほしい。あなたの出口ノードのために別々のIPアドレスを持っているし、それを通るルート独自のトラフィックのため、別々のIPアドレスを持つべきである。もちろん、あなたの出口ノードをホストしているコンピュータ上に機密情報や個人情報を保持することは避けるべきであり、またあなたは違法目的のためにそのマシンを使うべきでない。

*私は、出口ノードを実行していることを私のISPに伝えるべきか?

はい。あなたは、出口ノードを実行していることを知っていて、その目標に関しあなたをサポートしてTorに理解があるISPがあることを確認してください。これは、あなたのインターネット・アクセスが原因で虐待の苦情にカットオフされていないことを確認するのに役立つ。 Torの支持グループ特にTorに精通しているISPは、同様ではないものとともに仲間のリストを保有している。
(以下、略す)

**********************************************************************************************************************
Copyright © 2006-2020 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.


英国のビジネスに役立つフランスCNILのGDPRブロックチェーン・ガイダンスを読んでみる(blockchainと欧州における情報保護(GDPR ) )

2020-05-20 17:36:21 | 情報セキュリティの新課題

 筆者の手元に5月13日付けの英国大手ローファームPinsent Masons LLPのレポート“French GDPR blockchain guidance useful for UK businesses”が届いた。すなわち、英国のブロックチェーン・ユーザーは、EUの一般データ保護規則(GDPR)や英国の1998年データ保護法の遵守を支援するためにフランスで開発された「よく書かれかつ有用な」ガイダンスとして2018年9月24日にCNILが公表した“Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ?”(同年11月6日に英語版が公表)に対し保護当局である情報保護コミッショナーズ事務局(ICO)は大手ローファームである Masons LLPのOut-Law編集者に語ったとある。

 つまり、英国ICOは「他国(フランス)の規制当局のガイダンス」を正式に承認するものではないが、英国は「近い将来」のブロックチェーンおよびデータ保護法の使用に固有のガイダンスを公開する予定はないとし、フランスのデータ保護機関であるCNILが作成した英文ガイダンスは、「この分野で働く人々に役立つ」と説明した。

 一方、ブロックチェーンとGDPRの関係に関する研究は欧州議会STOA研究報告が2019年7月に公表されているほか、世界的企業コンサルタント会社であるOneTrust DataGuidance Limited.などが解説を試みている。

 他方、わが国でブロックチェーン技術とGDPRについて正面から取り組んだレポート(注1)は皆無に近いが、欧米では研究者の専門論文(SSNR)(注2)かなりのレポートが見られる。その意味で今回のブログではCNILガイダンス概要を概観するにとどめるが、後日改めてSTOA報告やSSRNの詳しい内容について解説を試みたい。

1.Pinsent Masons のCNILのブロックチェーンの使用時のGDRP遵守の関するガイダンスの解説要旨
 ブロックチェーン技術の使用が「一般データ保護規則(GDPR)」に準拠していることを確認するためのCNILガイダンスは、フランス情報保護当局(CNIL)によって英語に翻訳(2018.11.6:Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data)された。(注3)

 Out-Lawサイトの運営法律事務所であるPinsent Masonsのデータ保護法の専門家であるRif Kapadi氏は、次のように述べている。「ICOはCNILのブロックチェーン・ガイダンスを正式に承認していないが、それが多くの異なる組織がブロックチェーン・テクノロジーを使用することは、データ保護コンプライアンスの問題に対処するのに役立つものである。このガイダンスは、コア・コンプライアンス・ガバナンスの質問を含む、ブロックチェーン開発に中心的なGDPR要件がどのように適用されるかについての歓迎の意思と分析を提供する。また、ビジネスが直面している主な落とし穴にフラグを立てます個人データが関係するブロックチェーンを使用する」

 パリのPinsent Masonsオフィスのアナベル・リシャール(Annabelle Richard)とポーリン・ビネリ(Pauline Binelli)は、ブロックチェーンに関するCNILのガイダンスは、保健機関や金融機関を含む多くの組織・団体からの要求によって促されたと2018年10月に説明している。

 すべてのブロックチェーンプロジェクトが個人データの処理に関与するわけではないが、個人データに関与するブロックチェーン・プロジェクトの場合、CNILはデータ保護のリスクに対処するために「設計によるプライバシー」の原則を提唱している。

 また、CNILは、ブロックチェーンを使用している企業は、データ管理者が誰であるかを特定し、データ主体のさまざまな権利を提供し、処理に関する適切な保護手段を確立し、データセキュリティに関する義務を果たす必要があると述べ、下請契約に関連するGDPR義務の実施と個人データの国際転送を管理するルールは、特にパブリック・ブロックチェーンが使用されている場合は特に注意が必要であると述べている。

****************************************************************************
(注1) 西村あさひ法律事務所「ヨーロッパニューズレター」2018年11月号 の該当箇所を以下、引用する。
(2)BlockchainとGDPRに関するガイドラインの公表  2018年9月24日、CNILは、ブロックチェーンとGDPRの関係に関するガイドラインを公表した20。その中では、どのようなブロックチェーンであればGDPRに抵触するリスクが生じ得るのか、ブロックチェーンに参加するどの主体がGDPR上の責任を負い得るのか、どのようにGDPRに抵触するリスクを低減できるか等について検討がなされている。欧州委員会でも2018年2月1日にEU  Blockchain  Observatory  and  Forumが設置され21、2018年6月8日にはブロックチェーンとGDPRとの関係等についてのWorkshopが開催されるなど、議論が進んでいる22。  EUに限らず、特定の主体が個人情報を管理することと、個人データの訂正・削除を求めることができることとを特徴とする各国の個人情報保護法制と、分散管理とデータの削除を認めないこととを特徴とするブロックチェーンとの間には相容れないように見える点がある。両者の間でどのような調和が目指されるべきかについては、今後世界各国で議論が活発化するものと思われる。

(注2) Pinsent Masons LLPのレポートにspelling errorがあった。以下の赤字箇所である。同事務所には筆者は連絡する予定である。
The CNIL guidance, which seeks to ensure the use of blockchain technology complies with the General Data Protection Regulation (GDPR), has been translated into English by the French authority.

(注3) SSRNはオープンアクセスのオンライン前刷りコミュニティで、主要な学術団体や政府機関に貴重なサービスを提供している。SSRNは主に経済学、法学、コーポレートガバナンス、人文科学などの社会科学を専門としていたが、他の科学分野も対象とするようになっている。学者に対して、初期の研究を掲載し、理論や発見についてコラボレーションし、査読前にアイディアに対して評価を受けられる機会を提供している。
SSRNは博士号過程履修者、教授、機関職員が、学術ジャーナルに出版する前に、初期段階の研究を掲載する開始地点として役に立っている。

********************************************************************
Copyright © 2006-2020 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 


ドイツ連邦政府はマクロソフトが立法措置に基づきNSAにTMPキーを密かに引渡すことを強制する動きを懸念

2013-08-30 10:22:42 | 情報セキュリティの新課題



 ドイツのメディア ”Die Zeit(時)”は、さる8月20日、マイクロソフトの扱いの難しい(touchy)OSであるWindows 8は、詮索好きなハッカーに対しきわめて脆弱を持つことから、ドイツの民間企業や政府は利用すべきでないとするドイツ連邦内務省「情報セキュリテイ庁(Bundesamt für Sicherheit in der Informationstechnik:BSI)」(注1)が発した一連の通達内容を引用・紹介した。

 この問題を詳しく報じたのは英国ITメディア”The Register”や英米、EUを中心とする専門誌”Infosecurity Magazine”等である。本ブログでは専門的な内容につき比較的にわかりやすく論じている両者をベースにBSIレポートの内容につき解説する。

1.デジタル著作権やセキュリティ対策からみた問題の核心
(1)BSIが指摘する懸念とその背景
 すなわち、米国が独占的に管理・支配する「トラステッド プラットフォーム モジュール(Trusted Platform Module v 2.0:TPM 2.0)」において同モジュールにつき旧バージョンと異なりユーザーが非活性化(deactivated:オプトアウト)することができないことからユーザーの立場から見たコントロール権侵害問題を例示をあげて取り上げてた。

 そもそもTPMはいかなる意義をもって登場したのであろうか。その前に、"Trusted Computing Group:TCG"および”TPM”につきNTTデータの解説から一部抜粋し、概観する。
「TCGとは、コンピュータの信頼性と安全性を向上させるための標準技術を策定する業界団体の名称である。米AMD、Hewlett-Packard、IBM、Intel、Microsoftの5社によって2003年4月8日に設立された。
 TCGでは、ハードウェアやソフトウェアの区別を超えてセキュリティ性を向上させるための標準技術を策定し、その標準仕様を実際にハードウェアやソフトウェアに搭載するための指針の策定などを行っている。

 不正なソフトウェアなど、コンピュータ内部からの攻撃に対する防御のために導入が始まったセキュリティ・チップについて、その代表的な標準化団体であるTrusted Computing Group(TCG)が取り組んでいる。

 すなわち、コンピュータにソフトウェアからの不正ができないような耐タンパ領域をセキュリティチップという形で設け、そこにコンピュータ固有の情報、暗号鍵、ユーザの秘密データを格納、管理しようという取り組みが活発となっている。その取り組みを行う業界団体の動きの結果がTPMである。

 その中心企業はAMD、HP、IBM、Intel、Microsoft、Sun Microsystems等、現在のコンピュータ産業を支える中心的企業である。このことは、今後のTCGの仕様に準拠したコンピュータプラットフォームの普及が加速していくと予想される大きな理由である。  ソフトウェアは常に改竄や偽造の恐れがあり、ソフトウェアで実現される信頼性には自ずと限界がある。その限界を克服するため、TPM(Trusted Platform Module)と呼ばれるセキュリティチップが、TCGでは定義されている。TPMに基づく信頼を実現することにより、初めて信頼可能なプラットフォームが実現する。」

2.BSIのWindows 8 OSとトラステッド・プラットフォーム・モジュール( TPM)導入に対する問題指摘
 8月21日、BSIは次の内容の指摘リリースを行った。仮訳する。

 メディアは、現時点で連邦政府はWindows 8 OSと TPMについての警告ならす旨の報告を行った。その報告記事によると、「ドイツ連邦のWindows 8のIT専門家は紛れもなく危険であると指摘し続けている」。メディアは「ドイツ連邦経済技術省(BMWi)」による次の文書を引用している。「連邦省の適格な専門家、連邦およびBSIの警告としてドイツ当局は新しいIT世代技術であるトラステッド·コンピューティングの使用に対し、明確に反対する」 BSIは、この点に関し次のとおり説明した。: BSIは、Windows 8の展開に先立ってドイツ連邦機関や民間会社に対する警告としてWindows 8がTPM 2.0を有するハードウェアとの組合わせで動作させる特定のシナリオに関連するいくつかの重要な問題点に現在直面している。(BMWiと連邦内務省(Bundesministerium des Innern:BMI)は2007年9月4日に「連邦政府のトラステッド·コンピューティング"に関する主要な問題指摘レポート(Eckpunktepapier „Trusted Computing“ der Bundesregierung)」を公表している)。

 TPMとの組合わせにより、Windows 8の使用中において特定のユーザー・グループのためによく、安全性の向上を意味するかもしれない。つまり、これは安全なソリューションを提供し、維持している様々な理由のためのシステムの製造元に、セキュリティの世話を行うことや、信用できないユーザーの排除が含まれる。これは有効なTMPの使用例であるが、そのためにはメーカーが提供するアーキテクチャーおよび使用可能な結果の可能性の限界について十分な透明性を提供する必要がある。 BSIの立場からいうと、 TPM v2.0との組み合わせによるWindows 8の使用は、使用するオペレーティング・システムとハードウェア上の制御権の損失を伴う。このことは、結果として特に連邦政府と重要インフラ等ユーザーにとって、新たなリスクをもたらす。

 特に、ハードウェアやオペレーティング·システムの製造業者の偶発的なエラーによるWindows 8とTPM v 2.0で動作させるハードウェアにおいて、また、システムのさらなる誤動作を防止すべくITシステムのエラー状態の所有者にとって、使用するオペレーティングシステムおよびハードウェアに加えて、エラーが発生した場合に恒久的に使用できなくなる結果を引き起こす可能性がある。このような状況は、連邦政府だけでなく他のユーザのために許容されないことである。また、この新設されTMPメカニズムにより、第三者の破壊行為に使用することができるため、ユーザーはこれらのリスクに対処する必要もある。

 BSIは、ユーザーによる意識的な「オプトイン」と「オプトアウト」、後続の可能性がハードウェアおよびオペレーティング·システムの責任ある使用のための基本的な条件として、含まれている技術的に使用される情報を完全に制御すべき点につき検討を行った。オペレーティング·システムおよびハードウェア上の結果的に要求条件はトラステッド·コンピューティングとセキュア・ブート(注2)に関する問題点として連邦政府が策定している。
 一般的には、ITユーザーに自己決定およびIT技術に伴う自律的取引を維持することを可能となるべきである。その例としては、裁量により、代替のオペレーティング・システムとアプリケーションを使用する能力を備えられるべきである。

 したがって、これらの条件は、Windowsおよびトラステッド・プラット・フォームで達成することができるモジュールにおいても継続されるべきであり、BSIは、連邦政府や重要インフラで使用するためにユーザーと引き換えに、トラステッド·コンピューティング·グループ(TCG)に対すると同様にオペレーティングシステムやハードウェアのメーカーに適切な解決策を見つける努力を行っている。

3.Zeit記事の要点
 前述Zeit記事は上記BSI等のリリース内容を3つの重要な問題としてさらに整理している。
・TPMは義務違反である。
・TPMはオプトアウトができない。
・ユーザーはOSに関し、常にWindows8とマイクロソフトに制御される。

 また、感知されたさらなる危険性を示す点は「機密キー」をNSAに引き渡すことを可能にすることである。決して閉じることのないすべてのWindows 8 PCへの裏口(backdoor)をNSAに引き渡すことである。
 
 さらなる問題を”Zeit”は取り上げている。ベルリンのボイト工科大学(Beuth Hochschule für Technik Berlin )の暗号化問題の専門家ルディガー・ヴァイス教授(Rüdiger Weis)の「すべてのマイクロソフトのチップTPMの生産工場は中華人民共和国にあることを忘れてはならない」というコメントである。すなわち中国の諜報機関へのユーザーの情報流出のリスク問題である。

4.その他のセキュリティ・メディアの警告
 8月22日の”emptywheel. net”は上記の指摘事項のほかに次のようなマイクロソフト・ビジネスのセキュリティへの脆弱性問題を取り上げている。

 Trusted Computing Platformは、もともと”Trusted Computing Group”と いう技術企業との協力により開発された。マイクロソフトの”Windows Genuine Advantage”は技術的にみて最初から問題がある。(注3)
 その内容をよく見ると、一度法的に認証された合法的認証のように見せる内容、ファームウェアやドライバー・ソフトウェアのアップデート、また1ヶ月に1回(第二火曜日)または緊急時のパッチ・プログラムの挿入等の方式は、とりわけNSAのモニタリング・スクリプトの挿入ベクトルときわめて類似している。

 セキュリティ開発企業はマクロソフトの毎月の火曜日の「セキュリティ・パッチ(月例パッチ)」コード8/26(28)の1行ごとの情報収集内容の照合・チェックを行う。その情報はどのようなものか?
 何人のユーザーが非マイクロソフト周辺機器に関するどドライバーの最新情報を要求するものを含み、わざわざパッチ、アップデートやアップグレードの正当性を尋ねるであろうか?
 
 マイクロソフトとNSAは彼らの技術画広がることを確実にするためデフォルトの偏在のみに質問することの不便さに依存した。
 製造の標準規格として Win 8とTPM 2.0の使用で、マイクロソフトとNSAは統一された規格の類似にもとづく保証されたシステムの遵守しうることになる。
 さらに、Win8とTPMに関するシステムの準拠性に関するもう1つの手段として、マイクロソフトの企業体質に関する再調整として述べられていることがある。

 すなわちすべてのシステムが同一の標準に従うため、すべてのハードウェアプラットフォーム(同じOSで動かすPC、ネットブック、携帯電話)に関する問題とがただ人のWindows Managerに報告する形となっている。

 唯一の疑問が残る。マイクロソフトのXboxプラットホームはTPM2.0に関し同じWindows標準にいつまでに移行するのか、また、したがってXboxから離れるために新たなゲームコミュニティを要することになるのか?

*********************************************************************************************************************
(注1)BSIについては、筆者ブログ「ドイツの国家情報セキュリティ機関(BSI)の概要」で詳しく解説している。

(注2)「Secure Boot(セキュアブート)」とは、コンピューターの起動時にあらかじめデジタル署名のあるソフトウェアしか実行できないようにする技術のこと。ファームウェアのインターフェース仕様である「UEFI(Unified Extensible Firmware Interface)」によって策定されており、trusted boot(トラステッドブート)、verified boot(ベリファイドブート)といった別名がある。
 従来のBIOSに代わる技術として、ハードウェアがOSの立ち上げ過程を検証することで、無署名のソフトウェアの実行を禁止する。これにより、マスターブートレコードに感染するタイプのマルウェアなどがOSよりも前に読み込まれ、実行されることを防ぎ、セキュリティをより向上させる効果が期待される。

 マイクロソフト社の新OSである「Windows 8」では、起動時の技術にSecure Bootが採用されることになった。一方で、起動に必要な認証キーがメーカーのプリインストールPCに組み込まれて出荷されるケースが見込まれるため、結果的に純正のWindows 8マシンでは、Linuxなど他のオープンソースOSの利用が不可能になるのではないかという話も上がっている。(Security blogの解説から一部抜粋)

 2011年12月にMicrosoftが発表した、Windows 8のハードウェア仕様に関する文書(Hardware Design and Development for Windows 8)では、Windows 8の起動時の技術にセキュア・ブートが導入されることが具体的に記されている。

(注3) Windows Genuine Advantage (WGA) プログラムについてマイクロソフト社のサイト説明から一部抜粋する。
 「Windows Genuine Advantage (WGA) プログラムは、教育、エンジニアリング、および政策法規の実施により、お客様やパートナーを偽造者から保護するという、マイクロソフトの取り組みの一環です。WGA は偽造ソフトウェアを識別し、正規の Windows ソフトウェアの価値を高めます。これにより、お客様に本来の機能を活用していただくこと、お使いのソフトウェアが正規のものであるという確信を持っていただくこと、パーソナル コンピュータでより多くのことを実行できるシステムの機能強化を継続的に行うことが可能になります。 WGA は、正規の Windows のユーザーに、より良い Windows を使用していただくためのプログラムです。正規の Microsoft ソフトウェアを使用すると、最新の機能、セキュリティ、およびサポートに確実にアクセスできます。これは、ユーザーの生産性を高め、お使いのコンピュータの機能を拡張するのに役立ちます。また、正規品の Microsoft ソフトウェアを所有するお客様だけが使用できる新機能とサポートにアクセスすることもできます。このプログラムには、違法ソフトウェアを受け取ってしまったことがわかっているユーザー向けに推奨事項とヘルプが用意されています。」

(注4)ネットブックとは、ノートPCの分類のうち、もっぱらインターネット関連のサービスを利用するために特化された、小型、シンプル、低価格なノートPCの総称である。
 ネットブックは、Webブラウザを用いたWebサイトの閲覧や、電子メール、その他基本的なアプリケーションの利用といった比較的簡単なPC利用のために特化された端末であるといえる。大まかな共通点として、インターネットが充分に利用できる最低限のスペックを持ち、キーボードや、OSにはWindowsといったPCとして利用できる最低限のインターフェースを備えている。「IT用語辞典バイナリー」から抜粋

(注5) Xbox(エックスボックス)とは、マイクロソフトが開発および販売を行った家庭用ゲーム機である。

*****************************************************************************************************************
Copyright © 2006-2013 星野英二(Eiji Hoshino).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.


米国マイクロソフト社が中国のPC生産ラインに組み込まれたボットネット破壊を裁判所許可命令を踏まえ実現

2012-09-15 19:18:52 | 情報セキュリティの新課題



 去る9月10日、ヴァージニア州東部地区連邦地地方裁判所はマイクロソフト社のデジタル犯罪部(Digital Crimes Unit)に対し、無実の数百万人を標的とする500以上の異種のマルウェアの拡大を破壊すべく許可を与えた。

 そのマルウェア破壊戦略のコードネームは“Operation b70”と呼ばれ、広くユーザーのPCな安全性の損壊を目的とするマルウェアの組込み目的の偽のマルウェアを安全性を欠くサプライチェーン過程において浸入させたとする同社の研究成果に基づく今回の訴訟および技術的被害阻止のためのボットネット破壊許可を行ったものである。

 このニュースは、IT関連メディアだけでなくニューヨークタイムズやBBC(注1)等多くの海外一般メディアも取り上げた。

 本件について、筆者なりに正確な情報入手に勤めたが、やはり一番正確なものはマイクロソフト社デジタル犯罪部の副法務顧問(Assistant General Counsel)リチャード・ドミンゲス・ボスコヴィッチ(Richard Domingues Boscovich)がまとめた9月13日付け公式ブログであろうことから、その内容の仮訳を中心としつつその要旨をまとめてみた。

Richard Dimingues Bascovich氏


1.マイクロソフト社の公式ブログの要旨
(1)同社が実施してきたマルウェアの異種によるボットネット破壊戦略に関し、今回の拡大阻止のための破壊措置は過去6ヶ月間行ってきた第2弾にあたる(第1弾は2012年7月2日に同社ブログで公表した“Zeus”対策)。

(2)PCの販売業者や再販業者は詳しく知らないまたは無権限の提供者から受け取ったり販売を受けた場合、製造業者と消費者の間のサプライチェーンの安全性は欠如する。“Operation b70” (注2)によりマイクロソフトは小売業者が有害なマルウェアを埋め込んだ偽のウィンドウズ・ソフト・バージョンを搭載したコンピュータを販売している事実を検出した。この犯罪者等は被害者の個人情報を盗み取り、かつe-mail、ソーシャルネットワークのアカウントやオンライン・バンクの口座情報を悪用した。その悪用例としては、マルウェアを利用して偽のe-mailを被害者の家族、友達や仕事仲間に送信し、金銭を騙し取ったり危険な偽の薬を売ったりさらに彼らのPCにマルウェアに感染させたりした。

(3)マイクロソフトは、偽造ソフトの配布阻止に全力を挙げて取り組むとともに政府、法執行機関や他の産業界とともに緊密に連携をとってきた。同社の「Nitol ボットネット」破壊作戦は、さらに顧客を保護し犯罪者が偽のソフトウェアを使い顧客を騙すことを思いとどまるようあらゆる必要な手段をとるという決意を表すものである。
 サプライチェーンにおけるPCやソフトウェアの供給者、再販業者、販売業者や小売業者が購入、転売に当たり信頼できる提供者からの取得するためには引き締め政策を取りかつその実践を行うことが必要である。

(4)マイクロソフトは、サイバー犯罪者が罪なき人々へのPC等の販売に当たり偽造ソフトをプレ・ロードし、感染させた事実を確認した。事実、安全性を欠くサプライチェーンから購入されたPC研究者のPCの20%はマルウェアに汚染されていた。事態をますます悪化させたことは、同マルウェアはUSBフラッシュ・ドライブ等を介して伝染病のように拡大したことである。

(5)Nitolの問題を暴露すべくマイクロソフトの研究は、2008年以来悪意ある犯罪行為にリンクするドメインの主催者を問題視した。この研究では“b70”を主催することに加え、“3322.org”が7万以上のサブドメインが驚異的な500以上の異種マルウェアを含んでいることを明らかにした。この調査にあたり、マイクロソフトは感染したPCのマイクロフォンやビデオカメラを遠隔でスィッチオンし、まるで潜在的に犠牲者の家庭や事務所に目や耳があるがごとく、情報をサイバー犯に与えているという事実を明らかにした。
 「Nitolボットネットマルウェア」は、それ自身インターネット・トラフィックに過剰負荷をかけ大規模ネットワークを無能力化する“DDoS(Distributed Denial of Service)”を実行するとともに、さらに被害者のPCにマルウェアのための隠れたアクセスポイントを作り出す役目を持った。

 マイクロソフトは、わが社の顧客やクラウド・ベース・サービスを標的とするマルウェアの脅威を先見的に排除するMARS(Microsoft Active Response for Security)プロジェクトの一部としてNitol ボットネットに対する裁判行動を起こすべく、訴えを提起した。

 これらの調査結果を元にマイクロソフトはこれらの犯罪行為が“Waledac”“Rustock”“Kelihos”の運営者により行われているとしてヴァージニア州東部地区連邦地裁に訴訟を起こした。

(6)2012年9月10日、同裁判所は被告たる彭勇(Peng Yong)の所有会社および“John Does” (注3)に対する一方的一時差止め命令(ex parte temporary restraining order)を求めるマイクロソフト社の申立を承認した。この訴訟にかかるすべての法律文書は9月13日付けで公開されている。
 同命令においてマイクロソフトはNitolボットネットを主催していた“3322.org domain”を同社の新たなDNS(Domain Name System)の創設を通じて主催することが認められた。この新システムは、正当なサブドメインが分裂せずに作動する他のすべてのトラフィックを許容する一方で、マイクロソフトが“3322.org domain”上で機能する約7万近い他の悪意あるサブドメインを防護することを可能とする。

 これ対抗措置は本件のみでなく現在なお進行中であり、さらに必要に応じてアップデートする。

(7)PCユーザーが、仮に自身のPCがマルウェアに感染していると信じる場合、マイクロソフトは無料でセキュリティの解析とクリーニングするための専用サイトhttp://support.microsoft.com/botnetsを用意した。

2.関連解説記事
 9月14日付けのフォレンジック専門サイト“Digital Forensic Investigator”が裁判所の公開文書をもとに他のメディアより詳しく解説している。

****************************************************************************************************************

(注1) わが国でBBCの記事を仮訳している例がある。しかし、訳語の不正確やさらに言えばマイクロソフト社の公式ブログを読んでいないことなどから読者にとって決して有用とは思えないことから本ブログをまとめた。

(注2) “Operation b70”(全18頁)の内容は公式ブログからリンク可である。

(注3) 米国の裁判では、被告を特定できなくても提訴ができるが、その場合、次のような匿名の表示“John Does”を使用する。

*******************************************************************************************************************:

Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.