○
参考人(
前川徹君)
情報処理振興事業協会セキュリティ
センターの
前川でございます。
本日は
ネットワークのセキュリティーの面から
意見を述べさせていただきたいと思います。
お手元にレジュメがあるかと思いますけれども、そこに書いてある順番で
お話をさせていただきたいと思います。(OHP映写)
まず最初に、不正アクセスとは何かということでございますけれども、これは通産省の告示であります不正アクセス対策基準の定義ですが、
システムを
利用する者が、その者に与えられた権限によって許された行為以外の行為を意図的に行うこと、こういうふうに書かれてございます。
ここには二つありまして、
一つは
本人以外の人間が
利用する。例えば、私が
利用している
コンピューターをだれかが
前川だと偽って
利用するということでございます。普通はユーザーIDとパスワードでユーザーを識別しておりますので、私のユーザーIDとパスワードを知ってしまえば、
コンピューターは第三者を私だというふうに思ってしまうわけであります。
それから
二つ目は、許可されていない資源にアクセスをする。これは、私は
システムの管理者ではありませんから
システムの管理者が扱っている領域には入ってはいけないわけですけれども、その壁を乗り越えて入ればこれも不正アクセス、こういうことになります。
次は、不正アクセスの現状ですけれども、これはJPCERTと言いまして、日本の
コンピューター緊急対応
センター、不正アクセスの被害届け出あるいは相談を受け付けている組織でございまして、九六年の秋から活動しているボランタリーな組織でございます。レジュメの方の
名前をちょっと私ミスタイプをしてしまいまして、正式にはJPCERT/CCでございます。
ここに届けられた不正アクセスの件数をグラフにしたものでございますが、九七年度を合計いたしますと四百二十九件、九八年度の合計が千三十九件ということで、昨年度は一昨年度の二・五倍と伸びているわけですが、四半期ごとに見ますと、ここ最近少しちょっと落ちついてきているかなという感じが見受けられます。
このJPCERTはアメリカのCERTという組織をまねてつくられたわけですけれども、アメリカには幾つか緊急対応
センターがあるわけですが、一番有名なのがこのCERT/CCでございます。八八年に設立をされたんですけれども、これで見ていただきますと、九四年に二千件を超えまして、それからしばらく落ちついていたんですが、九八年に三千七百件と大変大きな数字になっております。
これらJPCERTにしろCERTにしろ、ここに届けない人あるいは企業というのもございますので、一応これは氷山の一角だということも言われております。ただ、ここに届けられたものがすべて本当に
コンピューターの中まで入ってファイルを改ざんしたり盗んだりしたかというと、そうではございませんでして、未遂のもの、入り口まで来たもの、怪しげな行為があったということだけのものも入っておりますので、それをお含みおきいただければと思います。
次は、どういう人がどういう
目的でそういう不正アクセスをするかということなんですけれども、クラッカー、いわゆる悪意を持ったハッカー、これは多くは不正アクセス行為自体が
目的であることが多いというふうに考えられます。そのほかにも、産業スパイならば恐らく
情報入手であるとかあるいは妨害行為を
目的とするでありましょうし、あるいはここには書いてございませんけれども、テロリストであれば国家の転覆であるとか社会の騒乱をねらって重要な社会インフラに不正アクセスをするということももちろん考えられるわけでございます。
次は、不正アクセスの手段でございますけれども、非常にベーシックなのが一番最初に書いてありますソーシャルエンジニアリングと言われる方法でございます。訳すと社会工学と言うことになってしまいますけれども、実際には、人をだまして不正アクセスに必要な
情報を入手するというものでございます。
例えば、セキュリティーに疎そうな会社の役員の人に
電話をかけて、私は
システム管理者です、ただいま
システムに障害が発生しました、あなたのパスワードを復旧のために必要なのですぐ教えてくださいと言われて、うっかりパスワードを口にしてしまう、こういうこともあり得ます。あるいは逆に、今度は出張中の役員のふりをして、今広島から
システムを使おうとしているんだけれどもつながらない、おれのパスワードわからなくなっちゃった、急いで仮のアカウント、口座をつくってIDとパスワードを発行してくれ、こう言いますと、気の弱い
システム管理者だとはいはいわかりました、すぐつくりますと言って、知らない人のために入り口をあけてしまうということもあり得るわけでございます。
それから、簡単な方法として、簡単でもないんですけれども、盗聴をするという方法もございますし、あるいはパスワードが不適切なパスワード、例えば大変短いパスワードでありますとか、あるいは自分の
名前、ペットの
名前、奥さんの
名前、あるいは数字だけ、あるいは辞書に載っているような単語、あるいはそれを組み合わせたものを使っておりますと簡単に破られてしまいます。パスワードは八文字、それも英数字、英文字、大文字、小文字、英記号を合わせて、辞書に載っていないようなそういうものをつけていただくというのが適切かというふうに思います。
また、ここにはいろいろな方法が書いてございますけれども、主にはソーシャルエンジニアリングあるいは辞書攻撃等によりまして人のパスワードを手に入れて、成り済ましによって
コンピューターに入ってくる。通常、プロですと
コンピューターに入ってきますとパスワードファイルを取得します。ルート権限をとると言いまして、管理者になってパスワードファイルをとる、ファイルを改ざんするあるいは不正コピーをするというようなことをした上で、自分の足跡が残らないように、ログと言いまして
コンピューターがとっている記録ですけれども、それを改ざんあるいは破棄して、それで
コンピューターから出ていく、こういうことをやるわけであります。
次は、不正アクセスの最近の傾向でございますけれども、三つほど挙げました。
一つは、ツールと言いまして専用のプログラム、それを
利用した攻撃が大変多く起きております。
一つには、そういうツール、プログラムがインターネット上にあって、それを簡単にダウンロード、自分のところに持ってきてしまえる。あるいは最近CD—ROMといいまして、これは大変大容量の記憶媒体ですけれども、市販の図書がそういうものをつけておりまして、その中にこうしたツール、専用のプログラムが入っているものがございます。そうやって簡単に手に入るようになったものですから、おもしろ半分でやっている人が結構多いのではないかというふうに思っております。ただ、ツールを使って攻撃をする方法というのはもう世間に知れ渡っていますので、それに対する対処方法も十分わかっているということでもございます。
それから
二つ目の傾向としては、ポートスキャン、これもツールを
利用するわけです。ポートスキャンといいますのは、
コンピューターはいろんなサービスを提供できるものですから、そのサービスごとに窓といいますか、ドアがあると思っていただければいいんですけれども、
一つの家に幾つかドアがあるようなイメージで考えていただければいいんですが、使わないドアは閉めておけばいいんですけれども、うっかりあけている
ケースがあります。ですから、ポートスキャンというのはその家の周りをドンドンとノックをしてあいているドアがないか探すというプログラムでございます。これをもちろん自動で走らせることが今はできるようになっております。
それからもう
一つ、
三つ目の傾向として、ウェブページの改ざん、これが多発しております。なぜウェブページがねらわれるかということなんですけれども、この五月から六月にかけまして、アメリカでかなりウェブへの攻撃が発生いたしました。六月にも毎日新聞のマイニチインタラクティブあるいは朝日新聞のアサヒ・ドット・コムがページの一部を改ざんされたというふうにマスコミで伝えられております。
なぜウェブサイトがねらわれるかといいますと、
一つは
情報提供を
目的にしておりますので、外部からアクセス可能なところに置かないといけません。したがって見つけやすい、ねらいやすいということになります。だからといって、簡単に改ざんできるわけではございません。そんなことだったら大変なことになりますので、普通は改ざんできないようにきちっと設定をしているわけであります。
それから、クラッカーは自分がどこかのサイトを改ざんしたというのをやっぱり自慢したいわけでございまして、そういう
意味で、ウェブサイトというのは外からいつでもアクセスできるようになっていますので、改ざんをすればその事実がすぐに世間に知れ渡る、こういうことで自己顕示欲の強いクラッカーの標的になりやすいということが言えるのではないかというふうに思います。
具体的な事例を少しお見せしたいと思います。
これはニューヨーク・タイムズの普通の紙面でございます。これが一九九八年の九月にクラッカーに襲われまして、どうなったかといいますと、こんな画面にされてしまいました。あるいは、次にお見せするのは司法省のウェブサイトですけれども、司法省のウェブサイトも九六年の八月に襲われまして、ユナイテッド・ステーツ・デパートメント・オブ・インジャスティスというふうに書きかえられてしまっております。あるいはアメリカのCIAも、九六年の九月ですけれども、CIAのはずがセントラル・スチュピディティー・エージェンシーと、もう完全にばかにされていますけれども、そういうふうに書きかえを行われてしまっております。
では、こういったものにどういうふうにして対処すればいいのかということですけれども、技術的な対策と管理的な対策の二つに分けられるのではないかというふうに思っております。
技術的な対策としましては、ファイアウオールあるいは監視ツールを
利用する。それから、セキュリティーホールといいまして、ソフトウエアの中にはセキュリティー上の欠陥が発見される場合があります。言ってみれば建物を囲っている塀に穴があいているようなものでございまして、ですから穴が見つかったらすぐふさげばいいんです。セキュリティーホールを見つけたらそれをすぐにふさぐ。そういう
情報というのは、やはり一般に出回っていますインターネットあるいはJPCERT、CERTからそういうアドバイザリーが出ておりますので、そういう
情報を見て穴をすぐにふさぐ。
それから、接続
対象の制限といいますのは、その
システムを本当に
利用する人だけが
利用できるように
利用者を制限する、あるいは不用意に
電話回線をつながない。
電話回線をつなぎますと、外からパソコンと
電話回線を持ったクラッカーがどこからでも入ってこれますから、そういう
電話回線を不用意に口をあけないということです。
それから暗号技術の
利用、これは通信中に盗聴された場合に
内容がわからないようにスクランブルをしてしまう。こういう技術を使えば、万が一通信中に盗聴されても
内容がばれる、他人に知れることがないということになります。
それから認証技術、これは普通の
コンピューターですとIDとパスワードということになりますけれども、そのほかにもデジタル署名でありますとかIC
カードを使った形での
本人認証という方法を行うことができます。
それから
二つ目でございますけれども、管理的対策と書きましたが、組織としてのセキュリティーポリシーをきちっと決めていただく、そのマニュアルを整備する、そしてそれをみんなで守っていくということが大事であります。
それから、非常に基本的なことなんですが、パスワードの管理を徹底する。先ほども申し上げましたように、短いパスワードでありますとか、あるいは辞書に載っているような単語は決して使ってはいけないんです。理想としては大文字、小文字、数字、英記号をまぜまして、八文字以上の
意味のない文字列をつくっていただく。しかし、そういうのをつくっては覚えられないからといって、紙に書いてパソコンの近くに張ってしまっては全く
意味がございません。メモをするなら、せいぜい命の次に大事な自分の手帳か何かに書いていただくのが一番いいのかなというふうに思います。
それから、不正アクセス対策技術というのはたくさん出ておりますので、そういう技術をきちっと正しく使う。ファイアウオールとかを買ってきて設置してあります、ちゃんと設定しましたか、いや買ってきたままです、これでは大変危険なんです。ですから、ちゃんと技術を知って正しく使うということが大切であります。
それから、クラッカーは一番弱い人をねらってきます。弱いところから入ってくるんです。組織としてのセキュリティーの高さというのは平均値ではありません、一番低いところがそのセキュリティーレベルになります。そういう
意味では、
利用者全員にセキュリティー対策の重要性を知っていただいて、パスワード管理なりいろんなものをきちっと守っていただく。
最後に書いてあるのは、そういうことをしなかったら、あるいは何か起きたら、内部
犯罪というのは実はアメリカの場合八割、九割と言われているんです。不正アクセス
犯罪の八割、九割は中の人あるいは元中の人が関与しているというふうに言われているんです。そういう
意味では、罰則というのも大変大事なのかなというふうに思います。
それで、これはもう
安田先生から
お話がありましたけれども、インターネットというのはぐんぐん伸びておりまして、これは
世界につながっている接続ホスト
コンピューターの台数でございます。五年前と比べますと、これは全
世界ですけれども、大体二十倍ぐらいになっているということになります。このホスト
コンピューターというのは、例えば私が家で使っているパソコンとかオフィスで使っているパソコンは含まれておりません。いわゆるほとんどがサーバーだと思っていただければいいんですけれども、こちらは最後にjpとついたホストを数えたものですけれども、jpというのは日本ですが、九九年一月時点で百六十八万七千台に達しておりまして、五年前と比べますと約四十倍に伸びている、大変な勢いで伸びているわけでございます。
それで、これも
安田先生から電子商取引は広がっているんだよという
お話がありましたけれども、ちょっと具体例を御紹介したいと思います。
もうアメリカではインターネット上で物やサービスを買うというのが当たり前になってきております。例えば、パソコンの直接販売で有名なデルコンピュータ、インターネット上での売り上げは一日一千八百万ドル、何かけた数を間違えているんじゃないかというふうにお思いの方がいらっしゃるかもしれませんけれども、二十一・六億円を毎日売り上げております。あるいはアマゾン・ドット・コム、これも
世界最大の本屋ということで大変有名になりましたけれども、ここは昨年九八年に、本だけではなくてCDあるいはビデオも売っておりますけれども、六・一億ドル、七百三十二億円の商品をインターネット上で売っております。あるいはチケットマスターといいまして、これはスポーツの試合とかショーとかイベントのチケットを売っているところですけれども、この二月、一カ月で一千万ドル相当のチケットをネット上で販売しているそうであります。また、エクスペディア、これはいわゆるトラベルサービスといいまして、航空券あるいはホテルあるいはレンタカーの予約ができるサイトなんですけれども、一週間で一千六百万ドル、十九・二億円相当の旅行
関係の予約を取り扱っている、これはことしの四月の数字でございます。
こうやって、もう既にインターネットの上で大変いろんなビジネスが行われるようになってきております。
インターネットは安全なんですかとよく聞かれるわけですけれども、今までずっと私はインターネットは危険ですと、セキュリティ
センターの所長でございますので、立場上危険ですと言い続けてきたんですが、最近少し反省をしております。といいますのは、アメリカではああやって電子商取引が盛んになって、ほとんどクレジット
カードで決済が行われているんです。日本でクレジット
カードを入れるのは大変危険だというふうに思われているのは、どうも我々が危険だ危険だと言い過ぎたせいではないかというふうに思っておりまして、対策をとらなければ、不十分であれば危険、対策をきちんとすれば安全だと。最後に一言申し上げますけれども、人間系の方に実は問題があることが多いということを覚えておいていただければと思います。
それから最後に、済みません、ちょっと時間が超過しておりますけれども、インターネットと専用線を比べますと、今回の
住民基本台帳の
システムというのはインターネットを使うわけではございませんでして専用線を使うということになっております。インターネットというのはだれでもできるオープンな
システムですし、パソコンと
電話線があればだれでもすぐに使えますが、セキュリティーレベルは大変低いわけです。専用線になりますと、
関係者のみが
利用する大変クローズドな閉鎖的な
システムになります。専用線に接続されている
コンピューターでないと
利用はできません。したがって、セキュリティーレベルは大変高い。その上にファイアウオールを設置し、認証
システムを入れ、あるいはデータを暗号化し、アクセス監視をしますということが書いてございますので、私はここまでやればまず技術面から見れば安全だろう、こういうふうに思っております。
以上でございます。ありがとうございました。