海外における個人情報流出事件とその対応 第207回 米下院が問題視するP2Pのリスク  (2)注目されるP2P対策の動向 | ScanNetSecurity
2024.05.06(月)

海外における個人情報流出事件とその対応 第207回 米下院が問題視するP2Pのリスク  (2)注目されるP2P対策の動向

●提出された政府機関でのP2P禁止法案

国際 海外情報
facebookLINE
●提出された政府機関でのP2P禁止法案

 このような事態を受けて、P2Pソフトを通じてのファイル共有の問題について、米下院監査政府改革委員会(House Government Oversight & Government Reform Committee) の公聴会で取り上げている。7月に行われた公聴会で、TiversaのBoback CEOが米国陸軍における全ての曹長の社会保険番号と家族の情報をLimeWire上で見つけたと証言している。

 LimeWireやBearshareをはじめとするP2Pソフトは、コンピュータ間を直接つなぎ、映画や音楽、ファイルを共有できるようにする。ただし、特定フォルダにある映画や音楽以外のファイルも共有されている、つまり他のユーザにアクセスを許しているが、そのことに気付いていないユーザも多数いる。例えば、ユーザが知らないうちに、コンピュータ内にある、メディアファイル以外のpdf形式の法律上および個人的なファイルや、csv形式の財務データなども共有されている。

 Boback CEOは「軍人の家族は個人情報盗難犯にとっての主要ターゲットだ」と証言している。それは、「軍人はおそらく業務の関係上、クレジットカードの使用記録や、金融機関の口座明細を詳しくチェックすることはできないと、犯罪者が知っているからだ」と警告する。そして、Tiversaが20万人以上の軍人の極秘情報を見つけたことを明らかにしている。

 下院監査政府改革委員会議論は、委員長、Edolphus Towns議員が、全ての政府機関や委託業者のコンピュータやネットワークで、P2Pソフト使用を禁止する法案を7月に提出したためだ。Towns議員は「重要な政府情報に関して、リスクが大きすぎて無視できない」と主張する。これはP2Pソフトの開発業者が、P2Pユーザのセキュリティ確保を"しようとしない"もしくは確保"できない"ことに業を煮やしたためということだ。

●賛否両論のP2P禁止法案

 Towns議員の法案に対しては賛否両論で、さまざまな反応がある。例えば、『The Industry Standard』では、シンクタンク、Progress & Freedom FoundationのThomas Sydnor所長から話を聞いている。Sydnor所長は法案を"すばらしい"と高く評価している。データ漏えいの恐れから、過去数年にわたって議会でも、政府ネットワークでのP2Pソフトウェア使用規制の必要性について議論してきたためだという。

 ただし、Sydnor所長はこの法案では、誰がどのように施行するかが問題だとする。例えば、大統領府次期予算管理局2004年指令(2004 directive from the White House Office of Management and Budget )では、連邦政府関係機関と、政府機関から委託を受ける企業でP2Pソフト使用を統制する法案を勧めている。

 問題は指令を議会が監視する正式な法律にする時が来たか、あるいは強制せずに各組織に任せておくという現状を残すかだ。つまり、法律とするか、指令に留めるかということになる。Sydnor所長は、いずれにせよ政府職員が自宅から職場のネットワークへログインするケースが増えていることから、ファイル共有ツール使用の監視を強める必要が高まっているという考えだ。

 ファイル共有ツールについては、政府機関以外でも問題視していて、例えば、セーフハウスの情報が漏えいした際、セキュリティ企業SophosのGraham Cluleyがブログで、Sophosが行ったシステム管理者への調査で、86.5%の回答者が、P2Pアプリケーションの禁止を希望していると述べている。それも79%については、ブロックすることが不可欠だという強い姿勢だ。

 民間でも重大視されているP2Pツール使用の禁止だが、『The Industry Standard』ではさらに、P2P使用を禁ずることに懐疑的な意見についても紹介している。Electronic Frontier Foundation のFred von Lohmannは、「E-mailやWebブラウザを賢明に使用しないことによる漏えいも、(P2P使用による漏えいと)同じぐらい起こっているはずだ」として、P2Pだけを槍玉に挙げることに反対する姿勢だ。一方で、P2Pは効果的に使用すると便利なツールだと弁護する。

 P2Pネットワークのリスクについては2007年にも下院監査政府改革委員会で話し合われている。その際には、IPアドレスを含む、ペンタゴンのネットワークインフラストラクチャの全体図や、イラクの即席爆発装置(IED)に関する受託業者のデータ、米国主要3都市のテロリズム脅威監査の結果などが流出していることが指摘されていた。

 また2003年には陸軍が権限なしのP2Pソフト使用を禁止する政策を制定した。2004年には国防省も…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  7. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP