エフセキュアブログ

JVNVU#92002857とGoogle不正証明書事案のメモ

しばしば騒ぎになる証明書、認証局関連の事案ですが、先週より俄かに盛り上がってますね。
今週はJVNVU#92002857の問題。先週はGoogleがブログで報告した問題についてです。

前者はJVNの報告によれば、
複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われています。これにより、関連するドメイン の管理とは無関係な第三者によって SSL 証明書が取得され、クライアントのソフトウェア上で警告が発せられることなく HTTPS スプーフィングが行われる可能性があります。
とのことです。つまり、想定脅威としてはフィッシングサイトが立ち上げられたり、HTTPS通信の傍受等の可能性があるということになります。影響のあるシステムは、CERT/CCのVendor Informationを参考にしてください、とのことです。まだ、被害情報は耳にしていませんが、ある程度の影響はあるかもしれませんね。

また、後者については、Googleが複数のGoogleドメインの不正なデジタル証明書を発見しブロックしたことをブログで報告しています。記事によれば、この証明書はMCS Holdingの所有する中間認証局が発行しており、この中間証明書はCNNIC(中国インターネット情報センター)により発行されている、とのこと。この辺りは、GREATFIRE.orgars technica に詳細に記載されていますのでご参考までに。
尚、Googleのブログ投稿者は次のようなツイートをしています。内容から憶測すると、被害が発生していても不思議では無さそうな雰囲気です。

langley tweet

前者は認証局、後者は証明書(一部、中間認証局?)の問題の情報となります。
特に後者のような通信傍受目的(?)と推察される攻撃は、今後も目が離せません。
この種の攻撃は、比較的広範囲において影響を受ける可能性もあり、今後も続く脅威のひとつとしてみています。
実現性のある根本的対策が待たれるところですが、それまではひとつひとつの脅威に対処していくしか無さそうですね。
今後、国内の中間認証局がターゲットになるかは分かりません。とりあえずは節目の年である2020年まではウォッチし続けていこうと思った、今日この頃でした。。。


未来の安全を確保するために知っておくべき5つのこと



「未来の安全を確保する」というのはとても大きなトピックですが、エフセキュアの主席研究員であるミッコ・ヒッポネンは、先日行われたCeBIT会議の基調演説で2つの最も重要な問題に絞って話しました。こちらの動画を視聴して、明るい未来のために最も必要な2つの問題「セキュリティとプライバシー」について、マトリックスのワンシーンのように瞬時に頭に入れてみてください。




誰もが監視されている脅威のランドスケープでのデータプライバシーとデータセキュリティに関するミッコの洞察の中でもまず注目すべきポイントは、現在は何もかもがインターネットに接続されており、犯罪者がお金を稼げるものであれば何でも攻撃されるということです。

1. 犯罪者は、アフィリエイトモデルを使用しています。
約1カ月前、CTB Lockerの運営者の一人が、reddit AMAセッションを開催し、詐欺で30万ドルを稼ぐ方法を説明しました。CTB LockerはPCに感染するランサムウェアで、ファイルを人質に取ってビットコインを支払うまでファイルを解放しません。このセッションの数回のやりとりの後、投稿者はCTBの作成者ではなく、ロシアのギャングが開発したこのトロイの木馬とエクスプロイトキットに料金を支払ってアクセスしている、アフィリエイトであることを明かしました。

「彼らはなぜアフィリエイトモデルを運営しているのだろうか?」ミッコは問いかけました。

それは、作成者が法律違反の危険性を低くすることができるからです。エフセキュアのセキュリティ研究所では1日に25万件以上のサンプルが処理されています。当社アナリストはその中で、GameOver Zeusを含む銀行をターゲットとした最大規模のトロイの木馬ファミリーも同様のアフィリエイトモデルを使用していることに気づいています。ミッコは、これらのトロイの木馬も、ロシアで作られていると述べました。

オンライン犯罪は、このように最も収益性の高いITビジネスになっているのです。

2. 「スマート」であることは、攻撃に利用できるという意味です。
スマートTV、スマートフォン、スマートウォッチ、スマートカーはオンライン犯罪者のターゲットであるため、「スマート」という言葉は、攻撃に利用できるという意味であることを思い出すべきだと、ミッコは提言しています。

なぜ最近出てきた「モノのインターネット(IoT)」がターゲットになるのですしょうか?ミッコは、その動機を考えるべきだと言います。それはもちろん、お金です。スマート冷蔵庫がハッキングされる心配はまだありませんが、それを利用してお金を稼ぐ方法が出てくれば話は変わります。

IoTはどうやって収入源になるのでしょうか?犯罪者があなたの車をハッキングして、身代金が支払われるまでエンジンをかけることができなくなることを想像してみてください、とミッコは言います。これはまだ現実になっていませんが、もし実行が可能になれば、いつか起こります。

3. 犯罪者はあなたのコンピュータの処理能力を求めています。
犯罪者は、あなたに身代金を払わせることができなくても、コンピュータの処理能力を求めてPC、冷蔵庫、腕時計に侵入したがっています。たとえば、去年のクリスマスに発生したXbox Liveとプレイステーション・ネットワークに対するDoS攻撃は、おそらくモバイルデバイスを含むボットネットを使用していました。

ビットコインからドルへ、そして「さらにはルーブルに」換金可能な暗号通貨をマイニングするために、IoTデバイスがハイジャックされた事例がすでに報告されています。

4. セキュリティの問題を解決したければ、セキュリティをデバイスに組み込む必要があります。
ほぼすべてのものがインターネットに接続可能になることを考えれば、セキュリティベンダーとメーカーがもっと効果的に協力し合うことが必要です。ミッコは、たとえばトースターメーカーのような、これまでセキュリティを心配する必要がなかった企業が、IoTの世界に参入していることに対して懸念を表明しました。安い製品ほどよく売れることを考えると、企業はセキュリティを搭載した適切な設計にお金を使おうとは考えないでしょう。

5. 政府は、私たちのプライバシーに対する脅威です。
インターネットの成功により、政府はインターネットを監視ツールとしてますます利用するようになっています。ミッコが一番懸念しているのは、「何もかも収集する」という考え方です。ミッコの講演の前日にCeBITでグレン・グリーンウォルドとエドワード・スノーデンが指摘したように、政府は通信やロケーションデータなど、あらゆる人のあらゆるデータを、容疑者でない人についても、万一に備えて収集しているようです。

誰にも何らかの隠し事があることを考えれば、その情報が今から10年後どのように使用されるかは、誰にも分かりません。

それでは
サンドラ

>>原文へのリンク

最強の情報分析者を目指して

情報収集担当者と情報分析担当者、どちらに適性があるかを評価してくれるサイト「INTELLIGENCE SKILLS CHALLENGE」を公安調査庁が開設しました。

サイバーディフェンス研究所の情報分析部としては当然、圧倒的な情報分析者適性を持っている必要があります。
そこで、まずは念入りに情報を分析しながら100%の情報分析担当者を目指します。

ISC1

途中で苦渋の選択をせざるを得ない質問もありましたが、100%を達成しました。しかしその結果をよく見ると適性の割合だけではなく、点数も表示されるようです。200点満点中50点くらいしか取れていないようで、これでは情報分析部失格です。

では次は、200点満点を目指してみましょう。

ISC2

200点満点を取れたのはいいんですが、今度は逆に適性の割合が大きく下がってしまいました。

サイバーディフェンス研究所情報分析部に求められる能力はこんなものではありません。情報収集能力、情報分析能力ともに満点かつ情報分析者適性が100%である必要があります。

ところがこのサイトでは、情報収集能力の点数が高ければ高いほど情報分析者適性が下がる(情報収集者適性が上がる)というロジックになっているようです。
世の中に両方の能力を兼ね備えた情報分析者は存在しないのでしょうか?

そんなはずはありませんよね。どこかに見落としている情報があるはずだということで、改めて隅々まで情報を分析し直し、彼らのロジックの矛盾に挑戦した結果、無事に両方で満点かつ情報分析者適性100%を達成することができました。

ISC3

同じように判定された方はぜひサイバーディフェンス研究所の求人にご応募ください。

不正DNSから身を守るためにすべきことは?

オンラインセキュリティのリーディングカンパニーであるエフセキュアの新しいワンタッチツールで、インターネットトラフィックが不正なサイトに誘導されることを防ぎます。

インターネットの動作は多くの人にとって不可解なものであり、その不可解性こそ攻撃者が都合よく利用できるものです。しかし、今ならインターネットユーザは操作が簡単なツールを使って、オンライン詐欺に巻き込まれるのを防ぐことができます。エフセキュアが開発したワンタッチツールのRouter Checkerは、ユーザのインターネットの設定をチェックして、マルウェアを拡散したり、個人情報を詐取する可能性があるウェブサイトに、トラフィックが誘導されるのを未然に防止します。

Router Checkerを使用すれば、オンライン上におけるユーザの閲覧内容や行動を攻撃者が操作できるように変更されたインターネットの設定を容易に特定できます。ルータやインターネットの設定を変える攻撃は、気づかれることなく多くの人にアクセスできるため、ハッカーの間で人気のある攻撃です。エフセキュア セキュリティ研究所によれば、2014年に、30万を超える家庭用またはオフィス用ルータの設定が変更されていたことがわかりました。このとき、それぞれのルータは、複数のコンピュータや携帯電話などのデバイスに作用する可能性がありました。

攻撃者はとても巧妙にユーザを操作することができるため、こうした攻撃に気づくことは困難です。エフセキュアのセキュリティ・アドバイザーを務めるショーン・サリバンは次のように述べています。「インターネット設定を標的とした攻撃には、それとわかるような明確な変化がないため、多くの場合、気づかないまま進行してしまいます。その場合、ユーザは突然、これまでより多くの広告を見るようになったり、安全に見える危険なサイトに誘導されたりすることになります。このことからわかるのは、この問題を特定することが重要であるということです。Router Checkerにより、この問題を簡単に特定できるようになるため、ユーザは攻撃について心配する必要がなくなります。」

攻撃者は、ユーザのインターネット設定を変更し、「不正DNSサーバ」を介してトラフィックを誘導することにより、ユーザのオンライン上の挙動を操作しようとします。DNAサーバは、コンピュータなどのデバイスがインターネット上で互いの存在を認識できるようにするものです。攻撃者は、不正サーバを設置してインターネットユーザを誘導し、不正なウェブサイトに接続することで収入を得ています。こうした不正なサイトには、詐欺まがいの広告が含まれていたり、マルウェアを拡散したり、あるいは、個人情報を公開するように仕向けるようなものさえあります。Router Checkerは、ユーザのコンピュータや携帯電話、ルータの設定が、ユーザやインターネットサービスプロバイダが選択した安全なDNSサーバに接続されるようになっているか確認します。

サリバンによれば、1つのボタンをクリックするだけでユーザがこの情報を入手できるようにすることで、ユーザはコンピュータの状態が正常であること簡単に確認できます。「インターネット上で何かを行う場合、ユーザはDNSサーバに依存しているのですが、ほとんどの人は、自分が使っているDNSサーバについて何も知りません。これらを信用できるようにならなければ、オンラインを楽しむことはできません。Router Checkerは、ユーザのインターネットトラフィックを操作している人をユーザに明らかにすることで、こうした信用を構築します」とサリバンは述べています。

アクセシビリティは、Router Checkerの大きな特色となっています。これにより、ユーザはインターネットの設定が正常であることをストレスなく確認することができるからです。設定に異常がある場合は通常、ソフトウェアのアップデートやルータの再設定によって修正されますが、問題に気づかないままでいると、深刻な事態となる可能性があります。サリバンは、春の大掃除の一環として、あるいは問題があると感じた場合は頼りになるソリューションとしてRouter Checkerを実行し、このツールのメリットを活用することを勧めています。Router Checkerは無料で使用でき、現在、www.f-secure.com/router-checkerで入手可能です。

詳細情報:
Router Checker
2014年上半期脅威レポート

プライバシーに対するFreedomeのアプローチ



最近、Freedomeがプライベートデータを保護する方法について、TorrentFreak.comから一連の質問を受けました。私たちは、透明性と暗号化がオンラインフリーダムの鍵であると信じています。このため、当社が最高のプライバシーアプリの開発を実現するためにどのように取り組んでいるかを説明した回答をここで共有いたします。

1. IPアドレスおよびタイムスタンプと、貴社サービスのユーザを照合できるログを保存していますか?その場合、どんな情報をどれだけの期間保存しているかを具体的に教えてください。
当社は、そのようなログを保存していません。法的管轄区域で法律により義務づけられることがあれば、そのようなシステムを導入することになりますが、該当する法的管轄区域の法律で義務付けられている部分についてのみ保存し、保存期間は最短期間にします。当社のサービスの利用には登録が不要ですので、どのログ情報も、ほとんどの場合匿名のランダムユーザID(UUID)とユーザのパブリックIPアドレスにマッピングされることになります。

2. どのような法的管轄区域で事業を運営していますか?
Freedomeはフィンランド企業によりフィンランドから提供されているサービスで、フィンランドの法令に準拠して製造および提供されています。

3. 貴社サービスの不正使用を監視および軽減するためにどんなツールを使用していますか?
当社は、一部のゲートウェイサイト上でのピアツーピア・トラフィックを制限する目的で、完全に自動化された自社開発ツールを使用して、一部のDPIを含むトラフィックパターン分析を行っています。当社の利用規約と一致しないアクティビティを検出すると、デバイスからのトラフィックに帯域制限を加えることも、VPNサービスへアクセスできないようにデバイスをブロックすることもあります。この作業はすべて自動化されており、ローカルVPNゲートウェイ上で処理されます。

4. 外部の電子メールプロバイダ(たとえばGoogle Apps)、またはユーザによって提供される情報を保存するサポートツール(たとえばライブサポート、Zendesk)を使用していますか?
当社では外部電子メールプロバイダを使用していませんが、ユーザは、たとえば、自分のメールアドレスを使用してベータプログラムにサインアップすることも、電子メールでフィードバックを送信することもできます。電子メールアドレスは、製品の発売情報などを伝えるためにのみ使用されます。

将来的に、実際に購入したお客様は、当社のサポートサービスおよびチャットなどのツールを使用していただけるようになります。この場合、お客様が自発的に提供した情報を保存します。この情報はインシデントベースであり(サポートリクエストにひも付け)、他のデータ(たとえば顧客情報、マーケティング、ライセンス、購入、またはすべてのFreedomeデータ)にはひも付けされません。このデータは、管理およびサポート案件の解決にのみ使用されます。

5. DMCAテイクダウン通知またはヨーロッパにおける同等の通知を受け取った場合、どのように処理されますか?
当サービスにはテイクダウンするコンテンツはありません。Freedomeは、データパイプラインであり、サービス使用時にアクセスされたユーザコンテンツから金銭的な利益を直接得るものではありません。DMCA(または欧州の同等システム)の他の免責条項の一部が適用されますが、テイクダウンプロセス自体はこのVPNサービスに適用されません。

6. 有効な裁判所命令によって貴社サービスのアクティブユーザを特定することが必要になった場合、どのような措置がとられますか?今までこのようなことが起きたことはありますか?
法執行機関のデータ要求は、フィンランドのエフセキュア・コーポレーションに直接行われたものだけが有効になります。フィンランド国外の当局がエフセキュアにそのようなデータを要求する場合、外国当局からフィンランド警察に直接要求を提出するか、国際条約に定められた手続きに従ってインターポールを通じて要求されます。今まで、このようなことがFreedomeサービスに起きたことはありません。

7. 貴社は、「令状のカナリア」または、口外禁止命令を顧客に警告するその他の類似ソルーションを用意していますか?
当社には「令状カナリア」システムはありません。その代わり、Freedomeは保存するデータができるだけ少なくなるよう構築されています。

一般的に「令状のカナリア」は、個別ユーザに関する法執行機関の要求によって引き起こされるものであるため、法執行機関の目から見て、顧客基盤のサイズやサービスのデータがどれだけ興味深いものであるかを反映しています。創意あふれる優れた指標ですが、特定のユーザのデータに関するリスクを実際に測定できるものではありません。

8. すべてのサーバでBitTorrentなどのファイル共有トラフィックは許可されていますか?そうでない場合、それはなぜですか?
BitTorrentやその他のピアツーピアファイル共有は、当社のネットワークプロバイダの利用規約により、一部のゲートウェイサーバで帯域制限/ブロックがかけられています。一部のプロバイダは、大量のDMCAテイクダウン要求を快く思っていません。当社は複数のプロバイダ(質問#12を参照)を使用しており、これらのブロックはすべてのサーバで設定されているわけではありません。

9. どのような支払いシステムを採用していますか?また、支払い情報は個別ユーザカウントにどのようにひも付けされていますか?
支払いには複数のオプションがあります。最も匿名性の高い購入方法は、小売店のクーポンコードを購入する方法です。現金で支払えば、その店舗は支払った人が誰かを知ることはありません。お客様がFreedomeアプリケーション内で匿名のバウチャーコードを入力すると、当社が小売チャネルで販売するために提供した有効なクーポンであることが、当社データベースを参照して確認されます。小売店舗は、販売されたクーポンの総数に関する情報以外の情報を当社に提供しないため、クレジットカードで支払った場合でも、個別の支払いに関する情報を当社が受け取ることはありません。

アプリ内(たとえば、Apple App Store、Google play)で購入する際、ほとんどの場合はお客様の詳細情報を入力する必要がありますが、当社にそうした情報は一切届かず、匿名の領収書だけが届きます。主要なアプリストアは、アプリケーション・ベンダーにエンドユーザの連絡先情報を提供していません。

当社のオンラインショップで購入された場合、支払いと注文処理はオンラインリセラーであるドイツのcleverbridge AGにより処理されます。当社のパートナーは名前、電子メール、住所等とともに支払い情報を収集して保存しますが、Freedomeとは別のシステムに保存します。この場合、誰がFreedomeライセンスを購入したかに関する記録が保存されますが、Freedomeの利用内容を特定の人と照合することは、意図的に困難にされている上、当社方針に反します。また、当社は実際の使用状況ログを作成していないため、どちらにしても特定は不可能です。

10. 貴社がユーザに推奨する最も安全なVPN接続と暗号化アルゴリズムは何ですか?接続が切断された場合の「キルスイッチ」およびDNSリーク保護のようなツールを提供していますか?
当社のアプリケーションは、ユーザが選択できる暗号化アルゴリズムを提供していません。サーバとクライアントは、2048ビットRSA鍵とSHA-256署名を使用したX.509証明書によって認証されています。iOSクライアントはAES-128ビット暗号化によりIPSECを使用しています。他のクライアント(Android、Windows、OS X)は、AES-128ビット暗号化でOpenVPNを使用しています。PFS(前方秘匿性)が有効になっています(ディフィー・ヘルマン鍵共有)。

当社は、デフォルトでDNSリーク保護を提供しています。また、IPv6トラフィックがVPNをバイパスしないように、VPN接続を経由したIPv6も提供しています。キルスイッチは提供していません。iOS IPSECクライアントは、VPNが接続されていない限り、またはVPNがユーザによって明示的にオフにされていない限り、トラフィックが流れることを許可しません。Androidアプリは「保護ON」状態の間、ネットワークまたはVPN接続が切断されてもインターネット・トラフィックをキャプチャし続けます。このため、接続の切断中にトラフィックまたはDNSリークは発生しません。Freedomeアプリケーション・プロセスがAndroidシステムによって再起動された場合、理論的には、トラフィックがVPNの外にリークする可能性があります。Android 4.xを起動するデバイスでは、VPNアプリがトラフィックのキャプチャを開始する前にユーザの同意が必要です。それまでの間は、理論的にはトラフィックのリークが発生する可能性があります(Android 5はデバイスの再起動時にもユーザコンテンツを忘れないため、これは起こりません)。

11. 自社のDNSサーバを使用していますか?(そうでない場合、どのサーバを使用していますか?)
当社は、自社DNSサーバを所有しています。

12. 貴社は、VPNサーバおよびネットワークを物理的に管理していますか?またはサードパーティによってホスティングされていますか(もしそうなら、どこですか)?貴社のサーバはどこにありますか?
当社はほとんどのロケーションで、専門のホスティングベンダーが運用する共有ハードウェアを使用していますが、一部ロケーションでは当社専用のハードウェアも運用しています。プロバイダは、国によって、そして時とともに変化します。一部の国では、冗長性を向上するために、同時に複数のプロバイダを使用することもあります。プロバイダの例としては、当社が複数のロケーションで使用している、IBM傘下のSoftlayerがあります。

>>原文へのリンク

携帯電話のICE。聞こえはいいですが、本当に良いアイデアでしょうか?



インターネット上のサイトやFacebookのチェーンメールで皆さんもきっと目にしたことがあると思います。携帯電話のICEという連絡先情報を入力しておくことが救急医療士に推奨されています。ICEとはIn Case of Emergency(緊急時)の略語で、携帯電話の所有者が事故に遭った際の近親者への連絡に役立つものです。便利そうに聞こえますが、まずは、実際にどういうものなのか詳しく見てみましょう。

実際、これは事実に基づいており、よくあるいたずらのチェーンメールではありません。ICEは2005年に英国で生まれ、実際に救急医療士たちに導入されました。性善説に基づいた斬新なアイデアで、スマートフォンが出る前の時代ならうまくいったかもしれません。しかし、今ではひどく時代遅れです。10年前の発想をそのまま当てはめようとするのではなく、時代に合わせて利用するようにしてほしいと心から思います。

その理由は以下のとおりです。
  • まず、ICEは考え方としては正しいものだと思います。しかし、これは救急医療士にとっての一番の関心事ではありません。救急医療士の仕事は、人の命を救うことです。現場では人の携帯電話を操作するよりも、人の命を救うことに集中するでしょう。そうは言いましたが、その後一段落して病院に着いてからでも、ICEの情報は役に立つと思われます。
  • 疾患に関する情報は、外傷患者を助ける救急隊員にとって重要です。疾患のある人は医療用の特別なIDペンダント、ブレスレットなどを身に付けており、救急医療士はそれがあるか確認するよう教育されています。これはICEとは関係がありません。
  • スマートフォンは、オンラインアカウント、電子メール、Facebook、Twitter、クラウドストレージなどありとあらゆるものへの手掛かりとなります。ですから、安全なパスワードでロックをかけておかなければなりません。そうしないと、莫大なデジタルリスクを負うことになります。しかし、そうなると残念ながら、携帯電話の電話帳にICE情報を入力しても意味がなくなってしまいます。ICE情報のために携帯電話を保護しないということになれば、それは本末転倒です。そんなことは決して考えないようにしてください!
  • 場合によっては、ローテクの優れたソリューションの方がデジタル技術よりはるかにうまくいくこともあります。これはそんなケースのひとつです。シールにICE情報を書いて、携帯電話など自分が持ち歩くものに貼っておきます。病院に運ばれたときでも携帯している可能性が高い運転免許証のような身分証明書がおそらく一番良いでしょう。
  • もしも私のようなオタク系であれば、それでもデジタルソリューションが欲しいと感じるかもしれません。そのような方は、ロック画面上でフリーフォームテキストを入力できる機能かアプリをチェックして、ICE用に使ってみてはどうでしょうか。今ではICE機能を独立させている携帯電話もあります。しかし、だからと言って、そのような携帯を完全にシールの代わりとして使うことは避けた方がよいでしょう。シールを補完するものとして使うようにしてください。

では、まとめましょう。ICEは理論上では素晴らしい考えですが、実際のところ救命になくてはならないというものではありません。そのために携帯電話の安全性を犠牲にする価値はありません。ペンと紙を使ってICE情報を作成するだけで済むなら、その方が信頼性も安全性も使い勝手も優れています!

安全なネットサーフィンを。
 Micke

追伸 少なくともAndroidとiPhoneであれば、ロック画面上に完全な医療用IDを表示することもできます。これが良いことなのかどうかはわかりません。なんとなくですが、ステンレススチール製の医療用IDペンダントの方が、生死を分ける瀬戸際の際に使われるアイテムとしてはふさわしい気がします。この医療用IDは、ペンダントを補完するものとして使うのであればもちろん問題はありませんが、実際に医療用IDを必要とする人が、携帯電話の医療用IDだけを頼りにすることがないことを心から願っています!

>>原文へのリンク

サイバー検閲との闘いに参加




表現の自由は誰にとっても重要な課題です。この一年の出来事によって、この課題がいかに難しいものであるかが浮き彫りになりました。表現の自由は、国や文化といった枠を大きく越えてはいますが、世界中の人々にとって、そうした枠により表現の自由という問題はそれぞれ違った形で形成されているのです。表現の自由が、私たち全員にとっての課題である一方で、これが意味することは、人によって異なるということです。

国境なき記者団は、2008年に世界反サイバー検閲デーを定めました。その目的は、私たちが本当に思っていることを口にする権利は、当然のものとして考えるべきものではないという意識を高めることにあります。言論の自由は、その普及を脅かすような変化に直面する中で、絶えず成長と縮小を繰り返す動的な概念です。インターネットによって、世界中の多くの人が効果的に発言できるようになった一方で、このインターネットというかけがえのない資源に対抗して発生する脅威が常に存在しています。世界反サイバー検閲デーはこうした闘いに注意を向けています。

昨年、国境なき記者団は、年次イベントの一環として「インターネットの敵」と呼ばれるリストの作成を行いました。このリストを見ると、世界各国の政府機関が挙げられていることがわかります。私たちのデジタル・フリーダムのもろさを浮き彫りにしている事例の多くの原因はこうした政府機関にあり、例えば、数百万件におよぶ通話への暗号化キーがNSAとその共謀者によって盗まれたジェムアルトのハッキング事件もその一例です。また、監視などはまだ序の口に過ぎず、事例の中には、こうした機関が自分たちの標的を確認したら、行動をエスカレートさせ、標的を抑圧するといったこともあります。香港の抗議団体は、地元の民主化運動ウェブサイトがマルウェアに感染した際にこれを経験しました。また、トルコでも国民がツイッターの取り締まりにおいてこれを経験しています。

インターネットの敵としてこうした機関に注目することは、「敵と味方」という大きな二分化の中での闘いを生み出します。敵・味方というのは、この対立を指すには少々ありふれた、単純化し過ぎた表現かもしれませんが、それでもこれが示すのは、自分たちが持つ権利を結集し主張する機会が人々にはまだあるということです。そして、この闘いにおいて、誰ひとり孤独な人はいません。この闘いの中では、すべての人に敵も味方もいるのです。

ここまで色々述べてきましたが、世界反サイバー検閲デーは悲観的なことばかりではありません。国境なき記者団は、政府によってブロックされた多くのウェブサイトの抜け道を見つけるべく努力をしています。また、電子フロンティア団体は、引き続き情報の提供や教育、また開かれた自由なインターネットを求める声の代表としての取り組みを続けています。そして、エフセキュアは、プライバシーおよびセキュリティ対策を世界中の人々にとって簡単で身近なものにしていくことで、貢献したいと考えています。

>>原文へのリンク



バックナンバー
新着記事

セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード