« 子供にあいさつをしてはいけない? | トップページ | 今日のぐり:「萬福食堂」 »

2015年3月21日 (土)

犯罪行為を厭わずネットの危険性を追求する朝日

先日ダイヤモンドオンラインに、匿名掲示板に書き込みをした件に関して後日照会を受けた実例についての記事が掲載され興味深く拝見したのですが、基本的に匿名掲示板なるものは実際には全く匿名ではないし、ましてや悪質なサイトによっては匿名風を装って積極的に個人情報を搾取することすらあり得ると言う認識は持っていた方がいいだろうと思います。
情報セキュリティのリスクに関しては近年ハードウェアレベルも含めて各方面でもたびたび話題になっていることで、何が危ないのかと言う情報はある程度末端利用者も把握しておかないと何が起こるかも判らないと言うことになってしまいますが、先日もデファクトスタンダードとも目されつつあるSNSアプリに関してこんな気になる記事が出ていました。

「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり(2015年3月16日サイバーインシデントレポート)

全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が存在していたことが判った。この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。

この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』発行元)が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)に報告したものだ。IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部についてサーバー側で対策。3月4日のアップデートで、アプリケーション側の抜本対策が完了したとしている。

LINEは詳細を明らかにしていないが、今回見つかったのは「クロスサイト・スクリプティング」と「マン・イン・ザ・ミドル(中間者)」と呼ばれるサイバー攻撃の標的になる複数の脆弱性だ。これらの脆弱性は、LINEがインストールされている「iPhone」や「Android」搭載の主要なスマートフォン上で確認されており、多くの利用者が危険な状態に置かれていたと言える(最新版にアップデートされていなければ現在も危険な状態だ)。

この脆弱性がある状態で前述の攻撃を受けると、LINE内で不正なプログラム・コード(JavaScript)が実行され、攻撃者が内部のデータに自由にアクセスできてしまう。非常に深刻なのは、攻撃者がアクセスできるデータの対象が広範囲なことだ。対象となるデータは、LINE内の全トーク履歴、写真、友達リスト、グループリスト、認証情報、プロファイル情報、位置情報に及ぶ。つまり、LINEの利用者が「安全」に保存されていると信じている殆どのデータが、実は危機に晒され続けていたことを意味する。影響がここまで広範囲に渡ったのは、攻撃者がJavaScriptを使って内部の様々な処理を実行できる仕様になっていたためだ。

想定される攻撃手法は大きく分けて2つある。ひとつは、攻撃者が駅やカフェといった公共の場所に偽の無線LANアクセスポイントを設置し、そこに不用意に接続した利用者がブラウザなどからインターネットに繋いだ瞬間に、前述のサイバー攻撃を仕掛けて不正なプログラム・コードを実行させるというものだ。あとは、それに従いLINEが動作すれば、いくつかの処理を経た後に利用者のLINEデータが攻撃者のサーバーに送信される。

もうひとつは、攻撃者がターゲットとする利用者に複数の「友だち申請」を行い、その「名前」に不正なプログラム・コードを埋め込む手法だ。その状態で、メッセージやリンクなどを通じて不正なプログラム・コードが実行されれば、後は同じように利用者のLINEデータが攻撃者のサーバーに送られる。名前やグループ名にプログラム・コードを埋め込まれないよう回避策を取るのはセキュリティ上必須だが、LINEにはそこに漏れがあった。

今回見つかった脆弱性は最新バージョンで修正されたものの、今後また似たような脆弱性が出てこないとも限らない。LINEに限らず、利用者がこういったサイバー攻撃から身を守るには、不用意に運営元が分からない公衆無線LANに接続しない、SNS(ソーシャル・ネットワーキングサービス)などで見知らぬ相手と繋がることを避ける、不審なリンク先に接続しない、重要なデータは安全性が確認されていないアプリやサービスではやり取りしない、といった基本的な自衛が必要だ。とはいえ、利用者側の自衛には限度がある。多くの利用者を抱えるLINEの様なサービス事業者には、多様化するサイバー攻撃から利用者を守るための様々な対策が求められる。

記事を読んでいただいても判る通り、東京五輪等々も見越して近年普及が進んでいる公衆無線LANの類はセキュリティリスクを考える上では非常に危ないものであると言う認識が必要ですが、悪質なアクセスポイントでは通信内容を抜き取ったりウイルスを仕込んだりと言ったこともあるようですから、銀行情報などを抜かれると無料で使い放題と喜んでいたのにかえって高くつくと言うことにもなりかねませんよね。
もちろん匿名掲示板やSNSなどでは利用者本人が無自覚なまま個人情報を発信してしまうと言うリスクの方がはるかに高いわけで、気楽に写真などを投稿していると大変なことになりかねないのは馬鹿発見器に絡んだ炎上騒動のたびに実感されるところですが、最近この方面で問題視されているのがウェブカメラの危険性だと言います。
公共の場に設置されたカメラでもパスワードさえ設定されずに映像が垂れ流しと言うケースが思いの外多いそうなのですが、この問題を検証した先日の朝日新聞の記事が思わぬことで話題になっているようです。

朝日新聞がウェブカメラのセキュリティを指摘し実際に検証 「不正アクセスじゃないのか」と問題に(2015年3月16日ゴゴ通信)

朝日新聞が“ウェブカメラ、ネットで丸見え3割 パスワード設定せず”という見出しで市販のセキュリティウェブカメラに侵入出来てしまうという記事を公開した。記事によると購入時のままの設定だとIPアドレスを入力するだけでカメラにアクセスし、カメラ映像を閲覧出来るだけでなく、操作もできてしまうと言う。

実際にとある美容室のウェブカメラに進入し検証している動画が朝日新聞に公開されている。その美容室の映像は許可を得ているとして、そのほかにも2163台のネットワーク接続されているウェブカメラの内、769台がパスワードを設定していないと公表。その方法とは「朝日新聞は昨秋以降、これらのIPアドレスを無作為にたどる方法で調べ、約125万のアドレスを抽出」と書かれている。

これが不正アクセスではないのかと指摘されている。つまり実際にウェブカメラに侵入し、その数を公表。
不正アクセスとはIDとパスワードを不正に利用した場合に使われる言葉に思われがちだが、本来はIDとパスワード関係無くプロトコルごとに認証機能の有無では判断しないという判例が出ている。つまり今回の朝日新聞の調査も不正アクセスに該当するのだ。つまり管理者の想定外のアクセスを不正アクセスと見なすのが一般である。

ちなみに朝日の元記事ではわざわざ「今回の調査は公益性があり、意義深い。」と言う識者談話まで掲載しているくらいで、「公共性もあって意義もあるんだから正当化されるでしょう?」と言う朝日の見解が示唆されるところなんですが、この種の犯罪行為も厭わない取材スタイルはKY事件等でも見られる通り、朝日の伝統と言っていいやり方と言う意味では意外性はない話ですよね。
ちなみに同じく識者談として「相手が同意していないのにカメラで顔を撮影する行為は、原則として肖像権・プライバシー権を侵害します。犯罪捜査が目的として許される場合でも、現行犯や濃厚な嫌疑がある相手などに限定されるというのが裁判所の考え方です。」と書いているのですが、この裁判所の考え方と言う視点で見ると不正アクセスに関しても興味深い司法判断がでています。
京大の研究員がコンピュータソフトウェア著作権協会のサイトに脆弱性を発見、個人情報を引き出せることをセキュリティイベントでプレゼンしたと言う一件で不正アクセス禁止法違反で起訴され、こちらも「プログラムの修正を促し、ネット社会の安全性を高めるため」だと言う被告の主張は退けられ検察の主張をほぼ全面的に認めた有罪判決が下されています。
検察側がサーバ管理者に脆弱性を知らせる前にプレゼンで手法を公開したのは「いたずらに摸倣犯を増やすだけで正当な問題指摘とはいえない」と主張したことが判決でも認められた点から類推するに、今回の朝日の記事においても同じロジックが成立するかとも思いますが、この場合朝日としてはまず無作為抽出したカメラの所有者一人一人に問題点を指摘し、対策を促してから記事にすべきだったと言うことでしょうか。

|

« 子供にあいさつをしてはいけない? | トップページ | 今日のぐり:「萬福食堂」 »

パソコン・インターネット」カテゴリの記事

コメント

病院→NPOや介護施設の流れ作業の時に個人情報が抜かれてますね。
NPOは個人情報抜くのが目的になってますし。
民主党関係者は、赦さない。これが日本国民のマニフェストだ!

投稿: | 2015年3月21日 (土) 08時15分

朝日はネトウヨに損害賠償請求すべき
経営妨害甚だしい

投稿: | 2015年3月21日 (土) 10時31分

今の時代はインターネットにアクセスしたら何らかの形で個人情報を抜かれる、という前提で対策をとっておいたほうがいいのでしょう。
電子カルテとして利用するPCからインターネットにアクセスできるのは個人情報保護の観点から非常に不安ですが、業者が大丈夫って言うんですよね。どうやってセキュリティを守っているのか、私は詳しくないので分かりませんが・・・

投稿: クマ | 2015年3月21日 (土) 11時31分

それ業者嘘ついてますよ
信用できない業者と思っていい

投稿: | 2015年3月21日 (土) 13時23分

朝日新聞はやっぱり日本がお嫌い?(下)
降旗 学 [ノンフィクションライター] 【第109回】 2015年3月21日

ダイヤル……、もとい、ニュースQ3では、昭和五四年の宮崎国体に昭和天皇が出席した際、県立平和台公園にある「平和の塔」で
歓迎を受けるはずだったが、塔に「八紘一宇」と刻まれていたため、陛下の意向で場所を変更された――、との記述もある。とどのつまり、
陛下でさえ八紘一宇をお気にされたのにセクシーナイト三原はどうして国会でその言葉を使うのだ、というようなことを言いたいのだろう。

八紘一宇の由来は「日本書紀」にあるのだそうだ。神武天皇が大和橿原に都を定めたとき「八紘(あめのした)をおいて宇(いえ)に為(せ)んこと、
またよからずや」と語ったのが大本らしい。地の果てまで一つの家とすることは良いことではないか、という意味になる。

これを、国柱会という宗教団体の創設者・田中智学が「八紘一宇」の造語にした。
三原議員の発言は、迂闊だった。彼女自身の考えで発言したのか、それとも側近が用意した原稿を棒読みしただけなのかは定かではないが、
誤解を招く言葉くらいの判断は事前にできたはずだ。さらに言えば、八紘一宇なんて言おうものなら朝日新聞が我先に食いつくだろうことも。

『ニュースQ3』という、かつてのダイヤルQ2みたいなタイトルのコーナーは、朝日新聞の「本音」が実によく見え隠れするコーナーでもあるのだ。
嫌中嫌韓がブームになれば「親中友韓」な朝日新聞はそれとなくヘイトスピーチまがいの偏向思想を危惧し、
未熟な議員が未熟な知識で戦時中を仄めかすような発言をすればすぐに飛びつく。

そして、「最近、日本の文化を外国人にほめてもらったり、海外での日本人の活躍ぶりを紹介したりするテレビ番組が増えている。「数字」もいいらしい」
とダイヤルQ……、もとい、ニュースQ3は書き、「どうして?」と続ける。

いかんのか、日本が褒められちゃ。いかんようだな、朝日的には。

http://diamond.jp/articles/-/68857?page=3

投稿: | 2015年3月21日 (土) 18時24分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/519753/61311869

この記事へのトラックバック一覧です: 犯罪行為を厭わずネットの危険性を追求する朝日:

« 子供にあいさつをしてはいけない? | トップページ | 今日のぐり:「萬福食堂」 »