“なりすまし”は個人、公人、法人、すべての人格が対象になる――JIPDECカンファレンス
ブロードバンド
セキュリティ
/
セミナーは、経済産業省 商務情報政策局 情報セキュリティ政策室 室長 山田安秀氏の挨拶から始まった。山田氏は、政府が進める「セキュアジャパン2010」でも電子署名や個人認証などの活用が盛り込まれており、なりすまし対策も重要な課題となっているとし、折しもネットを利用した選挙活動を解禁すべきかの議論が高まっている現在、ネット上の情報の正しさや本人の真正性の確認などに関するリテラシー向上やトレーニングは重要であり、このようなカンファレンスは有意義であり、歓迎すると述べた。
◆なりすましはツイッターに限らずブログでもメールでも起きている
次に登壇したのはJIPDEC常務理事 小林正彦氏だ。小林氏によれば、近年のインターネット上の脅威は、標的型攻撃、フィッシングなど何らかの形でなりすましの要素を含んでおり、このような被害は、技術的な防衛だけでなく情報を発信する側、受信する側双方に対策の知識やリテラシー、真贋を見極めるスキルが重要になってきているという。
確かにツイッターのアカウントには本人であることを示すものがなく、有名人のなりすましが頻発している。公認アカウントというしくみは用意されているが、本人であってもツイッターの公認アカウントでないこともある。たとえば、Twitter利用に積極的な国会議員でも公認アカウントを利用していないこともある。この問題はツイッターに限ったものではない。インターネット上では、メールやウェブ、ブログ、SNSに対して、登録と認証というメカニズムを実装することで相手や本人の確認を行うが、どれも確実な方法はないということだ。
小林氏は、この問題を「なりすまし」という手法を切り口に、ウェブ、ブログ、ツイッター、メールという4つのネットメディアにおける、それぞれの現状や対策について取り上げ、受講者のリテラシー向上、スキル向上につなげたいと、今回のカンファレンスの背景と狙いを説明し、続く各論のスピーカーにマイクを渡した。
◆ウェブサイトのなりすまし=フィッシングサイト
4つの各論について、最初は「WEBサイトなりすまし問題と対策」として、JPCERTコーディネーションセンター アナリスト CISSP 小宮山功一朗氏が講演した。JPCERT/CCでは、2009年よりフィッシング対策協議会の運営を担当しており、会員企業にフィッシング情報を提供したり、被害の届け出の窓口業務、フィッシングサイトの実際の閉鎖処理などを行っている。その活動を踏まえて、2010年4月には「フィッシング対策ガイドライン」の最新版を公開し、協議会に加盟する金融機関やプロバイダにどのような対策が有効か、その優先順位はどうか、など組織ごとの施策や運用に役立てるための指標を提供しているそうだ。
フィッシングの被害は日本でも増加傾向にあり、これまでは個人のクレジットカード情報やオンラインゲームのアカウントなどが主な攻撃対象だったが、たとえばCO2排出権の取引を装ったもの、中古車の取引を装ったものと、企業や業者を狙ったフィッシングも増えているという。
フィッシング対策の基本は、まず、ソフトウェアのセキュリティアップデート(Windows Updateなど)やウイルス対策ソフトであって、これを怠るとすべてのセキュリティ対策の効果が期待できないとした。さらに、ウェブサイト管理者とユーザーの双方の努力が必要だと述べた。ウェブサイト側は、ユーザーへの情報提供や啓発活動、SSL、EV SSLなど証明書を使った通信といったシステム上の対策の導入が重要であり、ユーザー側もたとえばログインシールやワンタイムパスワードなど二要素認証を面倒がらずに活用することが重要との認識を示した。
続けて小宮山氏は、一部の金融機関やサービスプロバイダは、自社のフィッシングサイトを立てられると、それをあまり公表したがらないことがある事実を指摘し、ユーザー(顧客)の被害拡大を防止するためには、このようなスタンスは好ましくないと述べた。フィッシングサイトを立てられてしまったのは、自社のセキュリティ対策が十分でないからという誤解があるのかもしれないが、フィッシングサイトは、本物に似せてまったく別のサーバーに構築されるため、そのサイトのセキュリティをいくら厳重にしても防げるものではない。したがって、フィッシングサイトの存在を確認したら、その存在を隠すのではなく、むしろ積極的にユーザーや顧客に注意を促すことが、被害を最小限に抑え、企業イメージも高まると認識してほしいとアピールした。
ユーザー側のリテラシー向上には、「フィッシングフィル」というゲーム形式の学習プログラムを紹介した。フィッシングサイトは、ページデザインや内容だけでは本物と区別がつかないくらい精巧にできている。唯一、真贋を見分けるポイントはブラウザのアドレスバーに表示されるURLだ。フィッシングサイトは、SSL通信の鍵マークを表示させることはできても、本物と同じURLを使うことはできない。フィッシングフィルは、表示されるURLを本物かどうか判断するゲームだ。これによって、本物のURLやあやしいURLを区別する目を養うことができるという。
◆だれでも開設できるブログはなりすましも容易
ブログのなりすまし問題については、日本ネットワークセキュリティ協会 河野省二氏が講演を行った。
河野氏は、ブログの特徴について、HTMLによってホームページを作るよりも手軽に情報発信が可能であり、一定のコミュニケーション機能も備えており、個人から企業まで幅広く浸透した新しいメディアであると説明し、またこれも「なりすまし」の問題を抱えているとした。本人以外のなりすましブログによる被害は、企業であれば誤った情報による信用の失墜、その対応のためのサポート費用や人的リソースが割かれることにある。著名人や公人なども信用被害や名誉棄損、個人であれば名誉棄損、プライバシー侵害などが挙げられる。
このような被害は、ブログの管理者ページが簡単にログインできてしまうことに原因があるそうだ。管理画面といっても、携帯電話などから簡単に記事をアップロードしたり、設定変更ができるようになっているシステムが多く、IDとパスワードだけの保護では十分とはいえない。河野氏は、自分のブログの記事公開は、PCから別途許可を与えないと公開できないようにしているという。ブログサービス自体も多種多様で、本人がブログを開設していなければ、だれでも本人になりすましてブログを登録し、開設することができる。また、開設後放置したり、更新が止まっているといつの間にかアカウントを乗っ取られ改ざんされていたという被害も起きている。
ここで河野氏は、実社会でもパスポート、住民基本台帳カード、免許証など本人確認に有効とされているものでさえ、偽造されることがあり、特にパスポート以外は作成したり更新したことを本人に通知するしくみが備わっていないため、どこかでだれかになりすましをされてもわからない状態であることを例に挙げ、ネット社会での本人確認の困難さを示した。そのうえで、ブログを安全に利用するためには、だれもがなりすましをできるサービスであることを理解し、パスワードの定期的な変更を行いブログを放置しない(更新しなくてもチェックを行う)、コメントや記事の公開に承認ステップを取り入れる、引用・転載・トラックバックの危険性を考慮した書き込みを行う、などのポイントを挙げた。
◆ツイッターのアカウントを取得してもなりすまし防止にはならない
ツイッターについては、情報処理推進機構(IPA)セキュリティセンター ウイルス・不正アクセス対策グループ 松坂志氏の講演となる。ツイッターはマイクロブログ、またはミニブログと呼ばれるサービスのひとつで、マイクロブログに分類されるサービスには、Googleバズ、mixiボイス、friendfeed、Amebaなう他が存在しているが、松坂志は、このセッションでは、おもにツイッターを例として、なりすまし問題を解説したいとした。
ツイッターはブランディングツール、プロモーションツールとしても有効なため、企業が使い始めているが、利用規約違反やマイナスイメージになった失敗事例もあり、企業ごとに「ソーシャルメディアポリシー」を策定し、社内向けの利用ルール、対外向けの公開ポリシーを明確にしておく必要があるとした。特に「なりすまし」は要注意で、対策も考えていたほうがよい段階になっているとのことだ。
松坂志も、ツイッターのなりすましの問題は、ソーシャルメディア全般にいえる共通の問題でもあると前置きし、利用や更新のしやすさはなりすましのしやすさでもあり、インターネットが本質的にアイデンティティに対する考え方がゆるく、各種のサービス設計がそれを引き継いでいると述べた。日本では、大手IT企業社長のツイッターアカウントを堀江貴文氏が偽物と気付かずフォローしていたり、海外ではダライ・ラマ14世の偽アカウントが問題となり、Twitter社が「認証済みアカウント」制度を導入していると紹介した。日本ではアカウントが本人であることを証明するサービス(ついなび)なども出現している。
しかし、それぞれの認証レベルが整理されていないこと、ツイッターの本サービスを含め私企業による運営であること、本人であるが、これらの認証サービスを利用していないアカウントが多いことなどから、なりすましの対策は、最終的に利用者のリテラシーに委ねられている状態だ。一部に、偽物を防ぐためにアカウントを取得すればよいという意見があるが、松坂氏によれば、自分のアカウントを作るだけでは、前述のもろもろの理由により、なりすまし防止には有効とはいえなく、両者は別に扱うべき事柄だとした。さらに問題を複雑にしているのは、ボット、パロディ、ファンと呼ばれる半ば公認、あるいは許容された「偽」アカウントの存在だ。第三者が有名人やキャラクターを装い、格言や自動応答などで発言を発信している。利用者も偽物であることやボットであることを理解している前提だが、中には本人の承認なしに作られるボットやアカウントもあるという。
松坂氏は、ソーシャルメディアは、それらの持つリアルタイム性やあいまいな信頼関係ということに留意しながら利用することが重要で、個別の対策はウェブやメール、SNSなどとそれほど変わらないとの認識を示した。企業や著名人の場合は、自社のホームページや公式ホームページに、自分が開設した正式ツイッターアカウントを公表し、リンクを貼ることを勧めるとした。そして、ツイッターなどのマイクロブログは、マルウェア拡散のプラットフォームとして利用できる可能性があること。そして、個人や企業の評価・信用・コネクションといったソーシャル資産を攻撃するインフラともなりえるとして、リスク管理の対象とすべきではないかと今後の課題をまとめた。
◆議員や政治家は電子署名をつけるくらいの意識が必要
最後はJIPDEC 電子署名・認証センター長 亀田繁氏が、電子メールのなりすまし問題についての講演となった。
メールは、今回のメディアの中でもっとも古くからあるものだが、その脅威として盗聴・改ざん・なりすましの3つが代表的だ。スパムやマルウェアの問題もあるが、これらもなりすましや改ざんと無関係ではない。そして、これまでの議論で指摘されていたように、メールのなりすましや偽造に対しては、受信したユーザーの判断に依存する部分が大きい。このように電子メールに関する現状を説明し、亀田氏は、ヘッダー情報など技術的に確認できるポイントは存在するが、メールの改ざんやなりすましに対しては、電子署名が一定の効果を発揮するとした。
昨今、選挙運動にインターネットを活用しようという動きがあり、ツイッターとメールは除くという議論がなされている点についても言及した。まず、選挙期間中だけ利用や更新を制限したり解禁しても無意味であると述べた。なりすましはいつでも可能であり、期間やツールで切り分けることに意義があるとは思えないとの意見だ。それよりは、政治家ならばすべてのメールに電子署名をつけるだけで、かなりのレベルでなりすましや改ざんとの区別をつけることができるとした。電子署名には多少のコストが発生するが、信用や信頼を重視するならROIで考えても導入すべきだという認識だ。
しかし、電子署名については、コストの問題だけでなく、設定方法がよくわからない、そもそも認知度が決して高くない、名前は知っていても機能や効果への認識が十分ではないといった、利用者への「リーチ」の問題があるとし、これは改善していきたい部分と認識していると述べ、対応を強化したいとした。
これを受けて、JIPDECの小林氏は、電子署名を含めて、ネットメディアに対するリテラシー向上には今回ようなセミナーだけでなく、周辺ドキュメントの整備は必要だと思っていると同調し、各種のマニュアルの作成に力を入れていきたいと各パネラーにも呼びかけ、セミナーを終了した。
《RBB TODAY》
特集
この記事の写真
/
