日本中央官庁ホームページ改ざん事件(2000年1月)


事件状況

2000年1月24日午後6時前、科学技術庁のウェブサイトが書き換えられたのを最初に,24もの中央官庁等のホームページが立て続けに改ざんされる事件が発生した。

科学技術庁改ざん画面
   第1回
   第2回

★1 FindX「中央省庁などへのハッキング事件の一覧表」2000/2/18
http://findx.nikkeibp.co.jp/ws/sp00huck2.html

米国有名サイト攻撃事件との違い

この事件の直後に米国では有名サイト攻撃事件が発生した。この二つの事件(簡単に「日」「米」とする)は,ともにインターネット犯罪の典型的なものであるが,原因や対処に大きな相違がある。

対象・目的の違い
「米」は民間企業を攻撃目標とした愉快犯的な感じがするが,「日」では国に対しての政治的攻撃の性格が濃厚である。
批判の対象
「米」では「被害者もしかるべき対策をしていたのに,それを上回る攻撃が行なわれた」との認識が一般的であるのに対して,「日」では「被害者のセキュリティ対策がいいかげんだ」との官庁批判が多い。
犯人追及
「米」ではFBIが威信をかけて対処し,カナダ警察の協力により2ヶ月で容疑者逮捕になったが,「日」では国の威信を傷つけられたのに,犯人追及は及び腰であり,1年以上経過したのに公表された進展がない。

これから,日本のセキュリティ感覚には次のような欠点があると思われる。

危機管理の認識
攻撃されたサイトのなかには,ファイアウォールがない,あっても設定が不適切,ソフトのバージョンが古いなど,最低限の対策すら行なっていないサイトもあったという。また数日の内に続けて攻撃されたサイトもある。危機管理の認識が甘いといえる。これは官庁に限ったことではない。
不正アクセスの認識
ホームページの改ざんは犯罪である。しかも,それをされたことは管理者のパスワードやセキュリティ上重要な情報も取られた危険すらある。万一,官庁サイトを踏み台にして他国の官庁を攻撃するようなことがれば政治問題にも発展しよう。犯人逮捕が遅れているのは(政治的問題もあるかもしれないが),不正アクセスに対する重大性を認識していないようにも思われる。