北欧雑貨・食器通販の管理者ブログ

2009-08-18 13:02:36

2ch一部サーバが長期ダウン中　韓国からサイバー攻撃か

　掲示板サイト「2ちゃんねる」の一部ニュース系板を収容するサーバが8月16日未明にダウンし、その後故障が判明。約35時間が経過した17日正午時点でも復旧しない事態になっている。

　運営側の書き込みによると、サーバダウンの直前に韓国からサイバー攻撃を受けていたが、故障と関係があるかどうかは不明だ。

　正午時点でダウンしているのは、「ニュー速VIP」「芸スポ速報+」などを収容している「yutori7」。

　運営側の書き込みによると、終戦記念日の8月15日、ニュース系板を収容するサーバに対し、韓国からの集中アクセスによるサイバー攻撃が始まった。その後、攻撃を受けていたサーバの1つであるyutori7は16日午前1時ごろにダウン。その後故障が判明し、起動不能状態に陥ったため、現在は17日午後の復旧に向けて代替機を用意しているという。

　同サイトに対しては、同様にアクセスを集中させるDDoS（分散型サービス妨害）攻撃がこれまでもあり、大規模な障害が起きている。また芸能ニュースが相次いだ今月初頭にもサーバがダウンしている。

| comments(0) | trackbacks(0) |

2009-08-18 13:01:47

Winnyで情報漏えい、ネットに流出したらもう手遅れ？

●Winny事件が起きたある会社の出来事

A　「いったい誰がやったんだ！」

B　「総務部のS君のようです」

A　「まったく！　自宅でもWinnyを使うのは禁止されているはずだろう」

B　「確かにそうです。先月のセキュリティ教育でも話しています」

A　「マスコミ対応はどうなっているんだ」

B　「今、広報部と発表内容のチェックをしています」

A　「会社の責任問題になるのは必至だぞ。せめてSが勝手にしたという点を強調して、会社は逆に被害者の立場であることを世間に訴えるようにしてくれ」

B　「はい、もちろんそういう方向にしたいと思います。ただ、漏えいされたお客様の人数や内容はまだ調べ終えていません」

A　「そんなものは、今判明している情報だけでいい。それより、この責任は誰が取るのかということの方が心配だ。ところで、Sの身柄はどうなっているんだ？」

B　「取りあえず上司2人とコンプライアンス部の3人、システム部の人間が、Sの自宅で家族を含めたヒアリングとPCの内容を調べています」

A　「マスコミには誰が発表するんだ？」

B　「CIOの取締役、副社長、広報部長、人事部長の4人です」

A　「まあ、妥当な線かな。社長はどうするんだ？」

B　「はい、高齢ということもあり、“心臓が弱い”という理由で出席しません」

　WinnyなどのP2Pソフトを社内外で禁止している会社は相当数に上ります。しかし、自宅での使用を監視したり、トレースやチェックなどをきちんと行ったりしている企業はまだまだ少数派であり、特に中小企業では費用面からもなかなか実現できません。また、上記のようなやり取りをしてからマスコミ発表する企業も多々あると思われます。

　ここにはある視点が欠落している、もしくはあっても希薄になっている部分が見て取れます。本当の被害者は、会社でも担当役員でも上司でもなく、情報を漏えいされた「お客様」だということです。時々、上記のように漏えいされた個人情報を心配するのではなく、自分たちの状況や会社そのものの評判ばかり気にして、顧客の状況をまったく心配していないというシーンが見受けられます。

●流出した情報は救えない？

　会社の機密情報や顧客情報がWinnyの暴露ウイルスによって流出した場合、Winny漏えい対策専門家を自称する人には、「一度ネットワークに流出した情報は回収が不可能だ」と言います。この言葉は一般論としては確かに正しいものの、そうではない部分もあります。

　漏えいが発生してどのくらい時間が経ったのか、どの程度ネットワーク上に情報が広まっているのかによって実際は異なりますが、まず言えることは、企業がマスコミに漏えいの事実を発表してしまうと情報回収の手立てが完全に消えてしまういう点です。逆に1時間でも早く手立てを講じることで、拡散の被害を最小限に抑えることが可能です。

　ネットワーク上に漏えいした情報をほぼ回収できる可能性もあり、実際にわたしの会社ではそのサービスを提供しています。結果として、Winny上から漏えいした情報がほとんど無くなったというケースも多数あります。

●拡散防止システムとは？

　Winnyネットワークに接続しているPCは、誰がどのファイルを持っているかという情報をお互いに交換しています。この情報は「ファイルキー情報」と呼ばれ、ファイルに関連するあらゆる情報がこの中に格納されています。ネットワークに参加しているPCは、自分が持っているファイルの一覧を含めたファイルキー情報をネットワークに参加しているほかのPCへ送信します。これをバケツリレーのように繰り返すことで、ファイルキー情報はネットワーク全体に広がっていきます。

　調査機関などが自前のシステムでWinnyネットワークを監視したり、干渉したりしている場合を除いて、一般のPCユーザーやマスコミなどが取材目的で安易にWinnyを使ってネットワークへ参加することは、知らず知らずにこのバケツリレーに参加してしまうということであり、参加行為そのものが「加害者」になるという意味になります。

　「拡散防止システム」とは、防止したいファイルデータが記載されている駆除キー情報（つまり、偽物のキー情報）を専用システムから大量に拡散します。その結果、本物のキー情報を入手することが極めて困難になり、ファイルをダウンロードすることが実質できなくなってしまうものです。実際に本物のキー情報を入手できる可能性は100分の1～1000分の1以下になるといいます。

　仕組みを簡単に紹介しましたが、現実的にはWinnyが暗号化されていることもあり、駆除キーの情報を送信専用マシンでネットワーク全体へ短時間で配信するのはなかなか難しいといえます。しかし、計測値では2～3時間もあればWinnyネットワーク全体に流通できるようになっており、その結果マスコミ発表した直後は接続数が急増しますが、結果として本物のファイルにたどりつけるユーザーはほとんどいません。

●正しい証拠を確保するには

　前述した会社での対応で、もう一つ致命的な事象があります。それはシステム部の人間がSの自宅でPCを調べるという行為です。

　どの会社にも「PCオタク」がいます。特にシステム部ではそれを仕事としている人も多く、情報漏えいのような場合は正義感も伴って、「何とか証拠をつかんでやる」という気概でPCのレジストリなどを調べたがります。

　しかし、そのような行為をすればするほど証拠が希薄になり、消滅してしまうので、絶対にやめていただきたいと思います。例えば、自宅のPCの電源をつけただけで数百、数千というファイルのタイムスタンプが変わってしまいます。HDDだけを抜き取って別のPCにつないだだけでもHDDの内容は変化してしまいます。もし、そういう状況で「やっていない」と否認し、裁判に持ち込んだらどうなるでしょうか。

　少なくともそのPCを証拠物件とするには相当の覚悟が必要です。米国ならまず無理でしょう。もし調査を行う場合には専門会社に連絡し、フォレンジック調査を依頼することが重要です。Sが全面的に非を認めて、文書で宣誓してから補足調査をする程度ならいいのですが、そうではないようであれば、調査会社に依頼して証拠を確実に保全して内容を分析することがベストです。フォレンジック調査では、使用状況を隠ぺいしたと思ってもほぼ丸裸にしてしまうことが可能です。

●いざ起きた場合に備える

　企業は、不特定多数の人間に顧客の個人情報や機密情報、患者情報などを絶対に渡してはいけません。そのために情報セキュリティ管理者や担当者が日々努力しています。

　それでも漏えいしてしまった場合の「コンティンジェンシープラン」（緊急時対応計画）について、きちんと議論や検討したものとして策定している企業は、大企業の場合であってもあまり見受けられません。

　しかし、現在ではセキュリティ企業からも自宅でのPC利用を監視するツールや、エージェントソフトなどさまざまな製品が販売されるようになり、費用が少ないという場合でもそれなりの対応ができるようになっています。

　さらには米国のように退職者が使用したPCを回収してフォレンジック調査を行い、社則に違反した行為をしていなかったかどうか定期的に調べるサービスを提供する専門会社もあります。このようなサービスは安価（フォレンジック調査の定型作業版という形態であるため）に請け負っている場合が多く、こうした会社と定期契約を結んで調査を行っているということを社内に公開するのも効果的でしょう。公開することで、よほどの覚悟がない限りそこで悪いことをしようと思う社員はいなくなると期待されます。

　最後にわたしの会社では情報漏えい対策ガイドを無償公開しています。こうした資料も参考にしていただき、読者の会社にとって一番に実効性のある対応策を実現してほしいと思います。情報漏えいの被害者の悲しい顔をもう見たくないというのが、わたしの気持ちです。

| comments(0) | trackbacks(0) |