「ネットセキュリティニュース」執筆グループが選んだ、2007年のセキュリティ関連10大ニュースをお届けする。「P2P情報流出」が3年連続のトップで、自殺や損害賠償など大きな傷跡を残した。ゼロデイ攻撃が国産アプリを襲い、Storm Wormが手口を変えて大暴れ、企業や自治体の正規サイトが改ざんされ感染を広げる事件も相次いだ。「学校裏サイト」「ネットいじめ」「炎上・祭り」などの言葉が広く認知されるようになり、残虐画像公開や「裸の写真を送る少女たち」の存在など、人間の尊厳を失わせる画像問題も浮上。USBメモリ等による大量の情報流出問題とともに、最新鋭のIT機器を手にした人間が情報とどう向き合うか、大きな課題を突き付けている。
【1】 今年も止まらなかったP2P情報流出~自殺や損害賠償など大きな傷跡
【2】 横行する「ネットいじめ」~掲示板や「学校裏サイト」にあふれる中傷誹謗
【3】 相次ぐ「ゼロデイ攻撃」~「一太郎」「+Lhaca」など国産アプリも標的に
【4】 「炎上」「祭り」多発~軽い気持ちの書き込みや投稿がきっかけに
【5】 Storm Wormが手口を次々変えて大暴れ~巧妙に感染拡大を狙う
【6】 残虐画像公開サイト増加~児童遺体写真を集め公開した教師に有罪判決
【7】 企業や自治体の正規サイトでウイルス感染~「MPack」など攻撃ツールが流通
【8】 新品のHDDやプレーヤーにウイルス混入~PCを介して感染拡大のおそれも
【9】 情報流出、経路はさまざま~USBメモリ、MO、磁気テープ、PC、持ち出し
【10】 止まらない児童の性的被害~「裸の写真を送る少女たち」が意味するもの
【1】今年も止まらなかったP2P情報流出~自殺や損害賠償など大きな傷跡
国をあげての大騒動となり、あれほど自粛が叫ばれたにもかかわらず、今年も1年を通じ「Winny」や「Share」を介した情報流出が続いた。公表・報道されたものだけでも、その数150件あまり。年間を通じ最多のページビューを集めた1万名を越える警視庁の捜査情報流出では、警察関係初の免職処分が下ったほか、捜査情報を流出した三重県警の巡査、情報流出で停職中に女性の部屋をのぞいた北海道警の巡査長、保護者とのわいせつな写真などを流出した江戸川区立中の教諭が懲戒免職に。千葉県市原市立小の教諭は、流出報道直前に自殺していた。また、山口電子計算センターと麻生情報システムの社員夫婦のパソコンから5自治体の住民情報7万2千名分などが流出した問題では、多額の損害賠償も発生しており、流出した側された側ともに、大きな傷跡を残している。
【2】横行する「ネットいじめ」~掲示板や「学校裏サイト」にあふれる中傷誹謗
携帯電話やインターネットをいじめに使う風潮が広まっている。掲示板やホームページに、ターゲットとする相手を誹謗中傷する書き込みや、相手の恥となるような画像を掲示する、いわゆる「ネットいじめ」が深刻化した。6月には携帯サイトに投稿したいじめの動画が、ネット上に広まってしまう事件も起こった。いわゆる「学校裏サイト」の存在もクローズアップされた。パスワードが設定されたサイトや、学校名のつかない口コミサイトのような閉鎖空間が、いじめの温床となっている。フィルタリングサービスのネットスターが、中学1~3年生を対象に実施したインターネット利用の調査結果によると、ネットいじめに加担した経験がある生徒は5.4%、いじめられた経験がある生徒は9.1%、見聞きしたことがある生徒は42.1%だった。
【3】相次ぐ「ゼロデイ攻撃」~「一太郎」「+Lhaca」など国産アプリも標的に
昨年から頻発していた未修正の脆弱性を突く「ゼロデイ攻撃」は、総数こそやや減少したものの、今年に入ってからも大きな脅威をもたらした。中でも3月に見つかったWindowsのアニメーションカーソルの問題は、その後も長期にわたって悪用が続き、一般サイトを含む多くのサイトに攻撃コードや攻撃サイトに誘導するコードが仕掛けられた。標的は国産ソフトにもおよび、昨年の2件から3件に増えた「一太郎」に加え、フリーの圧縮解凍ソフト「+Lhaca」や「Lhaz」を狙うトロイの木馬も出現。動画ブームを反映してか、下半期には「RealPlayer」や「QuickTime」も標的となった。このほかにも、修正とほぼ同時に見つかったPDFの攻撃コードをはじめとする多数の脆弱性が、修正直後から次々と悪用された。
【4】「炎上」「祭り」多発~軽い気持ちの書き込みや投稿がきっかけに
「まさかこんなことになるなんて…」と、当事者たちは自分の行為を悔やんでいることだろう。軽率な書き込みや動画投稿がきっかけの「ブログ炎上」「祭り」が、今年も相次いだ。高校生は、いじめ行為の動画を携帯サイトに投稿。大学生は、日記でキセル行為を告白し、天然記念物・鳥取砂丘への落書き行為をブログに写真付きで掲載。アルバイト店員は、店の商品をネタにした動画を投稿したり、非常識な行為を日記に書き込んだ。炎上や祭りに巻き込まれると、個人情報を暴露され、時には停学や懲戒といった処分を受けるに至り、周囲にも大きな迷惑をかけてしまう。「炎上情報共有サイト」が、炎上を煽っていると非難を浴びて自ら炎上し、スピード閉鎖するという一件もあった。
【5】Storm Wormが手口を次々変えて大暴れ~巧妙に感染拡大を狙う
ウイルス「Storm Worm」が今年1月、暴風雨(Storm)のニュースを装うメールに添付されてばらまかれ、猛威をふるった。感染するとPCを乗っ取られ、ウイルスメール大量配信に利用されたり、個人情報漏えいなど、ネット経由で入り込む別ウイルスの被害を受けることになる。Storm Wormはデマメールや偽ラブレターの添付ファイルとして感染を広げ、やがて、ウイルス検出を逃れるために、ZIP形式やRAR形式で圧縮されて添付されるようになった。6月頃には、メール内のリンクをクリックさせて、Storm Wormが置かれたサイトへ誘導する手口が登場。偽グリーティングカードや、YouTubeビデオ視聴を誘うメールなど、いろいろなパターンが確認されている。
【6】残虐画像公開サイト増加~児童遺体写真を集め公開した教師に有罪判決
痛めつけられた弱者の画像を公開するという、理解しがたい趣旨のサイトが増加している。不慮の死をとげた児童の遺体写真を収集し、自身のホームページで公開し、侮辱容疑と児童買春・ポルノ禁止法違反容疑で告訴された小学校教師に今年2月、有罪判決が下った。4月には、イタチ科の小動物フェレットを虐殺した画像をネット上にアップロードし、匿名の掲示板にそのURLを貼り付けて公開した会社員の男が動物愛護法違反で逮捕された。児童を虐待した画像を公開する、いわゆる「児童虐待」サイトの増加も問題となっており、インターネット・ホットラインセンターによると、今年1月に寄せられた通報5,441件のうち、42件が児童ポルノ公然陳列にあたるものと判断された。
【7】企業や自治体の正規サイトでウイルス感染~「MPack」など攻撃ツールが流通
メールのウイルス対策やスパム対策が進むにつれて、攻撃の主戦場はWebサイトへと移行。悪質なプログラム本体を攻撃用のサイトに置き、誘導メールで誘き寄せたり、人気のサイトを改ざんして誘導する手法が目立つようになった。アンダーグラウンドの世界では、さまざまな脆弱性攻撃を仕掛ける「MPack」を代表とする攻撃ツールが広く流通するようになり、攻撃コードを読み込ませるためのIFRAMEタグが埋め込まれたWebサイトが、世界中で大量に発見された。特に下半期には、国内でも企業や自治体の正規サイトが改ざんされ、閲覧者がウイルス感染の危機にさらされる事例が多数報告されており、「怪しいサイトを開かない」では、もはやウイルス攻撃は防げない状況になってしまった。
【8】新品のHDDやプレーヤーにウイルス混入~PCを介して感染拡大のおそれも
安全であるはずの新品のリムーバブルメディアに、ウイルスが混入する事故が相次いで発生した。2月にはロジテックのHDD、3月にはエプソンのフォトビュワー、7月にはツインバードの防水SDオーディオプレーヤーと、ウイルスが混入したメディアの種類も多様化している。混入したウイルスはパソコンに感染するのみならず、パソコンを介して他のリムーバブルメディアにも感染する。2次感染したメディアを他のパソコンで使用すると、そのパソコンも感染し…と、被害が連鎖して拡大するおそれも指摘された。これからは新品のメディアであっても、使用前にウイルスチェックを行うことを心がけたい。
【9】情報流出、経路はさまざま~USBメモリ、MO、磁気テープ、PC、持ち出し
情報流出事故は、Winnyなどのファイル共有ソフトを介したものばかりではない。(旧)日本郵政公社では2月、顧客情報29万件を記録したUSBメモリが盗まれた。KDDIでは、au解約者の個人情報22万件が入った光磁気ディスク(MO)の紛失を2月に発表。丸善では10月、顧客情報65万件を含むバックアップ用磁気テープを紛失。NTT西日本は4月、社員情報6万件を保存したパソコンの紛失を、国会で批判を受けた後に公表。大日本印刷は3月、業務委託先の元社員の男が顧客企業から預かった個人情報864万件を持ち出して詐欺グループに売り渡していたことを明らかにした。この件ではクレジットカード情報も流出し、不正使用により667万円の被害が発生している。
【10】止まらない児童の性的被害~「裸の写真を送る少女たち」が意味するもの
今年もまた、多数の大人たち-会社員、教師や教授、医師、警官等々が出会い系サイトを利用して児童買春を行ったとして逮捕された。2007年上半期の出会い系サイトに関係した事件の被害者数は708件で、被害者全体の85%を18歳未満の少女が占める。出会い系サイトへのアクセス手段には携帯電話が使われることがほとんどであり、「裸の写真を送る少女たち」の行為を可能にしているのも、撮影や送信が簡単にできる携帯電話の存在だ。携帯のゲームサイトでは性犯罪が多発しており、11月にはついに女子高生殺害事件まで起きてしまった。こうした子どもの携帯利用は社会問題ともなっており、12月、携帯大手4社は未成年者の携帯にはフィルタリング加入を原則とすることを発表した。ネットやIT機器が増大させた性被害から子どもたちを守るために、真剣な取組みが求められている。
(構成/文:現代フォーラム「ネットセキュリティニュース」執筆グループ)