2012年1月版 ユーザーの履歴情報は誰のもの?
山本洋介山
bogus.jp
2012/2/14
お正月の記憶も遠い彼方へと去り、東京では久しぶりに雪が積もったりもした1月ですが、セキュリティクラスタは相変わらずです。
スマートフォンアプリの自分勝手な情報収集にたくさんの異議の声が上がり、海外では、過剰な検閲につながりかねない法案に対し、抗議のDDoS攻撃が行われました。また、まとめサイト同士のいさかいがヒートアップし、不正指令電磁的記録罪による初の摘発者が出るなど、ことインターネットセキュリティに関しては、熱い話題が続きました。
アプリがユーザーの閲覧履歴を根こそぎ送信?
スマートフォン関係では、1月に入っても引き続き、携帯電話会社の障害をはじめトラブルがたくさん起こりました。皆さんも記憶に新しいのではないでしょうか。
中でも、スマートフォン向けアプリによるユーザー情報の収集活動は、まだまだお盛んなようです。いくつかのアプリが過剰に情報を収集していることが発覚し、Twitterでやり玉に挙がっていました。
正月早々問題となったのは、iPhoneやAndroidで、雑誌やニュースなどを閲覧できる電子書籍アプリ「ビューン」です。このアプリは、ユーザーがどのページを見ているかという履歴情報などを無断で取得し、サーバに送信していることが明らかになりました。さらに別の電子書籍アプリ「マガストア」も同様に、ユーザーの履歴情報をサーバに送っていたことが明らかになりました。
タイムライン(TL)では、履歴情報の勝手な送信自体を問題ととらえる意見が多数派でした。しかし、ビューン側としては、UDID(Unique Device Identifier、デバイス固有の識別子)と閲覧履歴の取得は「個人情報には当たらない」という判断の下、収集を続けていくようです。
| 【関連記事】 「ビューン」アプリのユーザー閲覧履歴取得、運営会社が説明(@ITNews) http://www.atmarkit.co.jp/news/201201/13/viewn.html |
アプリによる情報収集に関する意見の中には、「Webサイトへアクセスする時だってログが取られるのだから、電子書籍アプリが履歴を取っても別に構わないじゃないか」という擁護の声もありました。しかし、“自分で購入し、自分の手元に置かれているアプリが閲覧情報を送信すること”と、“ユーザーが能動的にアクセスしに行くWebサイトがログを記録すること”の違いは大きいと考えている人が多いようです。
@HiromitsuTakagi
Hiromitsu Takagi 電子書籍のページ閲覧操作履歴を、Webのアクセスログと同一視して「何がいけないの?」という声が僅かながらあるようだが、Webは実現手段として当初からそれが必然であったために、歴史的に黙示の同意があると言えるのに対し、アプリはそうではない。
Favorite Retweet
1月24日には、「家庭の医学」アプリが突然、アップデートを行いました。このアップデートでは、唐突に、情報収集の許諾を求める画面が表示されるようになりました。このため、実はこのアプリも閲覧履歴の収集を行っているのではないかという疑問の声が上がりました。もし、どの症状に関するページを見ていたかという履歴が送信されていれば、症例と個人が結び付くことから、プライバシー的に大きな問題となる可能性があります。しかしこのアプリについては、過去もこれからも履歴の収集は行わないと、公式には否定されています。
さらに、通信キャリアであるau自体が、Android端末にプリインストールされている「au one Marketアプリ」の「通知バー」に、行動履歴や属性情報を利用したプッシュ広告を配信するという事件もありました。ユーザーの猛反発を受け、結局は停止してしまいました。
Megauploadの摘発、閉鎖に抗議のDDoS攻撃
米議会に提出されていた著作権保護法案、SOPA/PIPAは、著作権侵害の可能性があるとの申し立てがあったサイトを、司法省が閉鎖できるようにするという法案です。しかし、インターネットに対する過剰な検閲の恐れがあるという理由から、反対の声も広がっていました。
1月18日には「SOPA反対デー」(SOPA Blackout Day)として、英語版Wikipediaが丸一日サービスを止めるなど、数多くの海外サイトが抗議活動に踏み切りました。セキュリティ関係でも、いくつも停止したサイトがあったようです。
| 【関連記事】 なぜWikipediaは停止するのか――SOPA抗議活動をひもとく http://www.atmarkit.co.jp/news/analysis/201201/18/sopa.html |
インターネットでは、米国のサーバや米国企業のサービスにアクセスするのが当たり前になっていることもあり、日本でも、SOPAは他人事ではないと心配するツイートも多数見られました。一連の抗議が功を奏したのか、審議はひとまず延期となった模様です。Webサイトがある日いきなり閉鎖されることは当面はなさそうで、一安心といったところです。
@MasafumiNegishi
Masafumi Negishi 昨日の Megaupload事件と Anonymousによる攻撃についてまとめてみました。 「Anonymousによる大規模な DDoS攻撃 Operation Megaupload」 http://t.co/TDEbbknS
Favorite Retweet
しかしながらタイミングがいいのか悪いのか、SOPA反対デーの翌日、世界最大級のファイル共有サイトであるMegauploadが、違法アップロードの温床になっていたという理由で捜索を受け、サイトは閉鎖、関係者が多数逮捕されることになりました。まるで抗議活動への当てつけとも取れるタイミングです。
| 【関連記事】 米司法省とFBI、MEGAUPLOADを著作権侵害容疑で遮断 関係者を逮捕(@ITNews) http://www.atmarkit.co.jp/news/201201/20/megaupload.html |
この件に抗議したのが、この1年ですっかり有名になったAnonymousです。#OpMegauploadというミッション名で、RIAAをはじめとする著作権保護に関わる団体や音楽関連企業、FBIやホワイトハウスといった政府機関など、SOPA/PIPAに関係がありそうな団体に対してDDoS攻撃を行った結果、多数のサイトがアクセスできない状態になりました。
@MasafumiNegishi
Masafumi Negishi OpMegauploadは依然として攻撃を継続中。Anonymousによるチュートリアルでは、攻撃ツールとして、LOIC/HOIC/Pentbox/Slowloris/hping2/thc-ssl-dosなどをオススメ。http://t.co/NXUeKRZs
Favorite Retweet
ただし、今回の#OpMegauploadのDDoS攻撃に関しては、自らの意思ではなく、リンクをクリックしただけで攻撃に荷担させられた一般ユーザーがいたという報道もありました。この行動に対しては、Anonymousの行動に理解を示すことの多いTwitterユーザーの間でも、否定的な意見が多かったです。
またMegaupload閉鎖後、インターネットトラフィックの分析が発表された結果、そのかなりの割合をMegauploadが占めていたことが明らかになりました。この割合の大きさに驚いたというツイートも見かけました。
まとめサイト管理人にウイルス作成罪が初適用
2011年6月に成立した改正刑法における「不正指令電磁的記録罪」、いわゆる「ウイルス作成罪」による逮捕者が出てしまいました。
| 【関連記事】 アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕(ITmediaニュース) http://www.itmedia.co.jp/news/articles/1201/26/news079.html |
この事件には、ウイルス作成罪初適用というインパクトもさることながら、まとめサイトの人間関係のごたごたが絡んでいました。「今日もやられやく」という人気まとめサイトの管理人が、別のまとめサイトの管理人に攻撃を仕掛け、脅していたというのです。こうした経緯から、セキュリティに興味がない人まで巻き込んで、TLはさらに賑わうことになりました。
@tentama_go
てんたま ウィルス作成罪の初適用の件、「今日もやられやく」の管理人が「やらおん」の管理人に罪を着せようとしたということみたい。まとめブログの世界ってとんでもないことになってる雰囲気? http://t.co/GZu0WrQF
Favorite Retweet
また、逮捕理由についての報道がいまひとつあいまいなことに加え、犯行内容がいわゆる「ウイルス」とはあまり関係ないように見えたことから、経緯を考察するツイートも目立ちました。
結局、Webアプリケーションの不備であるクロスサイトリクエストフォージェリ(CSRF)の脆弱性を悪用して相手にリンクを踏ませ、掲示板に書き込みを行わせ、これを使って相手を脅していたのだろう……という見方にまとまりました。しかし、「一般的なウイルスの作成や配布でなく、CSRFで逮捕されるのだろうか?」「となると、CSRFはウイルスなのだろうか?」という疑問を、たくさんの人が抱いたようです。
そこで、さらにさまざまな意見が出てきました。結局のところ、手段がウイルスかどうかは関係なく、社会倫理に反する使われ方がなされた場合、不正指令供用罪に問われる可能性はあるとのことです。また今回の件では、CSRFという手法だけではなく、「脅迫」の手段として使われたことが問題だったようです。
関連して、「不正指令電磁的記録罪を『ウイルス罪』と置き換えて報道してしまうマスコミが悪いのではないか」というツイートや、適用の判断が警察に委ねられている点を懸念するツイートも多く見かけました。
@komiyaguchi
Ko Miyaguchi そもそもの話をすると、この手の罪で逮捕された人間がやったことを見ると、不正指令電磁的記録を「コンピュータウイルス」と言い換えること自体が変なんだよな。ウイルスも含むけどもっと上の方のものを指してる。端的に言えば「マルウェア」全般。マルウェア罪と聞いたらすんなり頭に入ってくる。
Favorite Retweet
セキュリティクラスタ、1月の小ネタ
この他にも1月のセキュリティクラスタでは以下のようなことが話題となりました。2月はいったいどのようなことがTLを賑わせるのか楽しみですね。
- Linuxカーネルに権限昇格の脆弱性、Androidにも影響あり!?
- Android Marketの売上レポートに購入者の個人情報が思いっきり入るようになってしまった件
- Amazonのバグで、ウィッシュリストを公開していると、他人から「砂」など好きなものを送り付けられるだけでなく、個人情報が抜かれてしまう
- PINクラックで無線LANのパスワードが抜かれてしまう!
- 宇宙航空研究開発機構(JAXA)が標的型攻撃にやられてNASAのパスワードも流出!?
- 攻撃を逆探知し無力化する、防衛省の「対サイバー兵器」ってどうよ?
- ビューティートークで有名なヴァーナルがSQLインジェクションでカード情報をまき散らされる
- 大阪府警のサイトにXSSがあり、ここぞとばかりに大きくさらされる
| Profile |
| 山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。 |
| 2011年12月版へ |
 |
セキュリティクラスタまとめのまとめ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
