〔125〕セキュリティ人材育成の場で起きたウイルス犯罪の教訓

ITpro

2008.02.12

　前回は，総務省の「郵便」「信書便」の個人情報保護ガイドライン案を取り上げた。総務省は2008年2月4日，平成19年度の旧日本郵政公社の業績評価を発表した（「第2期中期経営目標及び平成19年度に係る日本郵政公社の業績評価に関する郵政行政審議会からの答申」参照）。それを見ると，「情報システム対応」についてはB評価（平成19年度計画をおおむね達成）である一方，「コンプライアンスの徹底」及び「内部監査体制の整備」についてはC評価（平成19年度計画を下回っている）だった。

　郵便，貯金，保険のいずれの業務でも「顧客情報管理の徹底」の不備が指摘されている。技術的・物理的対策に比べると，人的・組織対策の遅れは否めない。日本全国の個人情報取扱事業者に共通の「委託先」として，日本郵政グループの事業活動がチェックされていることを認識してほしいものだ。

　さて，今回はコンピュータウイルスを介した情報漏えい事件を取り上げてみたい。

アニメ画像に仕掛けられたウイルス作成者は大学院生

　2008年1月24日，京都府警生活経済課ハイテク犯罪対策室と五条署は，アニメ画像を無断使用してコンピュータウイルスを作成したとして，著作権法違反容疑で大阪電気通信大学の大学院生を逮捕した（「大学院生の逮捕について」参照）。新聞報道によると，大学院生は2007年10～11月，ファイル交換ソフト「Winny」の共有ネットワークを介して感染を広げるウイルスである「W32/Antinny（IPAによるウイルスの概要説明）」の亜種ウイルスを作成，テレビの人気アニメの画像ファイルに仕掛けて改変し，インターネット上に流出させたという。

　「W32/Antinny」については，本連載の第2回で取り上げたことがある。いったん感染すると，パソコン内の送受信メール，ワープロや表計算ソフトのデータファイルを収集し，公開用のフォルダにコピーする亜種が存在し，ファイル交換ソフトを介した個人情報流出の一因となっている。

　大阪電気通信大学では，学内ネットワーク上における「Winny」ソフトの使用を不可としていた（「情報倫理教育の強化で学長らが記者会見」参照）。だが，大学院生は自宅のパソコン・通信機器からインターネットに接続してウイルスを流布していたという。同大学は，経済産業省などが推進する「セキュリティキャンプ」で，「セキュリティキャンプ・キャラバン with プログラミング－大阪－」を2007年12月に共催するなど，情報セキュリティ人材の育成に積極的な教育機関であっただけに，事件の衝撃は大きい。筆者も東京で「セキュリティキャンプ」を見学したことがあるので，残念だ。

大阪電気通信大学は人材育成につながる対策を

　ウイルス作成者の逮捕は今回が国内で初めてだが，日本にウイルス作成そのものを処罰する法律はなく，著作権法違反容疑が適用された。また，2008年1月25日付の朝日新聞関西版によると，逮捕された大学院生は，あるインターネット・ユーザー2人のIDを使用して，ウイルスを流布していた。この2人は新作アニメなどの動画ファイルを「Winny」の共有ネットワーク上に流すことで知られており，大学院生は彼ら2人のIDを使用することで，ウイルスを人気アニメのファイルに見せかけていた。この2人も，著作権のあるアニメ画像を無断でインターネット上に流したとして，著作権法違反容疑で逮捕されている。

　過去にも，第58回で取り上げたKDDIのケースのように，内部犯行に起因する個人情報漏えい事件で著作権法違反容疑が適用されたことがある。現行の法規制だけでは，個人情報漏えいに関わる類似犯罪を抑止する機能を果たしきれないのが実情のようだ。

　その後，京都府警の調べで，大学院生が約100種類のウイルス亜種を作成していたこと，ウイルス感染被害が韓国でも発生していたこと，2008年1月以降だけで24日に逮捕されるまでの間にウイルスによる情報流出被害が200件以上発生していたことなどが次々と明らかになっている。ウイルス感染したパソコンのアカウント名，感染日時，IPアドレスの他，ワープロや表計算ソフトで作成されたファイルなどが大学院生のホームページに転送され，感染者ごとに保存されていたという。常識から考えて，これらのデータには個人情報が含まれている確率は高いはずだ。

　大阪電気通信大学には，今回の事件の背景情報などを整理し，具体的なリスクを「見える化」するなどして，今後の情報セキュリティ人材の育成や情報法整備に関わる論議に役立ててほしいものである。

　次回は不正アクセスに起因する情報漏えい事件を取り上げてみたい。

■変更履歴
「セキュリティキャンプを共催した」としていましたが，大阪電気通信大学が共催したのは「セキュリティキャンプ・キャラバン with プログラミング－大阪－」でした。お詫びして訂正します。本文は修正済みです。 [2008/02/13 13:25]

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/