買いたたかれるセキュリティ人材は本当に不足しているのか？：セキュリティクラスタ まとめのまとめ 2016年7月版（1/3 ページ）

連載目次

　2016年7月のセキュリティクラスタは、世間と同じように「ポケモンGO」の話題で持ちきりでした。とはいえやはり、ゲームの内容だけではなく偽アプリやユーザー権限など、セキュリティまわりの問題を気にしている人も多かったようです。

　脆弱（ぜいじゃく）性については、WebサーバのCGIアプリケーションに関する脆弱性である「httpoxy」が話題となりました。また、セキュリティスペシャリストを“日給8000円”で募集する省庁が現れ、物議を醸しました。

「ポケモンGO」でセキュリティクラスタも大騒ぎ

　2016年7月6日に、「ポケモンGO」という街へ繰り出してポケモンを捕まえたり、アイテムを獲得したりするというコンセプトのスマホアプリが公開されました。このアプリは世界中で熱狂的な歓迎を受け、たくさんの人がさまざまな場所にポケモンを捕まえに行きましたが、時には不法侵入などの問題を引き起こしたり、通信量の多さにデータセンターのリソースが不足しそうになったりするなど大騒ぎを巻き起こしました。

　当初アプリが先行的に公開されていたのは米国と欧州の数カ国で、日本ではプレイできなかったのですが、待ち切れない人たちを攻撃者が見逃すはずがありませんでした。大量の“偽アプリ”がストアに公開され、誤ってインストールしてしまった人たちがマルウェアに感染するという被害が発生しました。

　また当初、ログインに使用するGoogleアカウントの設定に不備があり、情報が抜き取られるのではないかという疑惑も生まれました（後にデータは抜き取られていないことが判明し、権限設定の不備は修正されました）。あるいは軍事施設など、「機密が存在する場所にはポケモンが居ない」ということから、「逆に機密の場所が漏えいしてしまうのでは？」という懸念も持たれていました。

　そんな中、公開前にもかかわらず内閣官房セキュリティセンターが「ポケモントレーナーのみんなへのおねがい♪」と異例の注意喚起を行うなど、大々的に注目を浴びながら、ついに22日には日本からもアプリがダウンロードできるようになります。セキュリティクラスタでも、筆者を含めてたくさんの人が街に繰り出したようです。

　今のところ「ポケモンGO」自体に関する大きなセキュリティインシデントは起きていませんが、本名などのアカウントを使うことによる“身バレ”の問題や、画面を公開することで自身の居場所を明かすことになるといったリスクが懸念されています。また、引き続き偽アプリもたくさん公開されていることに加え、攻撃者によって盗まれたアカウントの売買も行われているようです。