スタートページWeb教材一覧情報セキュリティ

不正アクセスとその対処

この章では,社外の悪意を持つ第三者が社内のネットワークに不正にアクセスすることによる被害と,それを防御するための対策について考えます。


不正アクセスの概要

不正アクセスとは

多くの企業などが,自社内のネットワークと社外のインターネットを接続して,社内と社外で電子メールの交換をしたり,社内から外部のページを見たり,自社で作成したホームページを社外の人に公開したりしています。

このとき,社外の人に公開しているホームページを不法に書き変えたり,社内のネットワークにまで侵入されて情報を盗まれたりウイルスを仕掛けたり,同時に大量なメッセージを送りつけてシステムをダウンするような悪事をする者がいます。このような悪事を不正アクセスといい,それを行なう者をハッカーといっています。

本来は「ハッカー」とはコンピュータの高度技術を持つ者のことで,悪いことをする者のことは「クラッカー」というのだそうです。でも,一般に「ハッカー」がポピュラになっているので,ここではハッカーとしておきます。

不正アクセスの例

インターネットでの不正アクセスは日常的な事件になってしまいました。最近話題になった事件を列挙します。

米国ペンタゴン等への侵入
米国の国防総省や安全保障局などは,世界でも最高な機密情報を持ち最高の防御体制をとっていると思われるのですが,ときどき内部に侵入されています。
日本中央省庁ホームページ改ざん事件
2000年1月24日,科学技術庁のホームページが何者かにより書き変えられました。これを最初として2月上旬までに,総務庁,総合研究開発機構,参議院など官庁や関連機関のページが次々と改ざんされました
米国大手サイトDDoS攻撃事件
同年2月には,米国のYahoo,eBay,Amazon.comなどの有名なサイトが,DDoS攻撃という大量にメッセージを送りつけられる攻撃にあい,サービス停止に追い込まれました。これによる被害は直接被害だけで12億ドルになったそうです
マイクロソフト社攻撃事件
2000年10月には,マイクロソフト社の内部に侵入する事件がありました。同社は否定していますが,同社の開発しているソフトウェアの内部仕様を盗まれたり細工される可能性もあります。万一そのようなことになれば,同社のソフトウェアは世界中の大多数の人が利用しますので,非常に危険なことになります。
ハッカー集団による日本サイト攻撃事件
2001年2月には,海外のハッカー集団が日本の企業を対象に集中的な攻撃を行ない,ホームページの改ざんをする事件が発生しました。

不正アクセスへの対処

法律・基準

不正アクセス禁止法

明らかに不正アクセス行為は犯罪ですのに,対象がモノでないためにそれを罰するのに適切な法律がありませんでした。その不備を解消するために,1999年8月に「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)が成立し,2000年2月から施行されました。同法では,不正アクセス行為を禁止するだけでなく,不正アクセス行為を助長する行為も禁止しています。また,アクセス管理者は不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとされています

コンピュータ不正アクセス対策基準

不正アクセス禁止法より以前(1996年)に,通産省(産業経済省)は「コンピュータ不正アクセス対策基準」を策定しています。これは法律のような強制的なものではなく,「コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策をとりまとめたもの」です。たとえば利用者に関しては,「パスワードは随時変更すること」とか「重要な情報は,パスワード,暗号化等の対策を図ること」というような内容が体系的に列挙されています。

不正アクセス対策

ファイアウォール

不正アクセスから自社システムを守るには,社外のインターネットと社内のネットワークシステムとの間にファイアウォールを設置するのが基本です。ファイアウォールとは,防火壁の意味ですが,インターネットからアクセスしてくるときに,ユーザIDやパスワード,メッセージの内容などをチェックして,アクセスする権限を持つ人が与えられた権限の処理をするときだけ受付け,そうではないメッセージは通さないという仕組みです

ファイアウォールで判断するルールをあまり厳しくすると正規の利用ができなくなるので緩くすることもありますし,ファイアウォールやネットワーク管理システムに不備があることもあります。そのような抜け穴をセキュリティホールといいます。ハッカーはアングラなルートで抜け穴の情報を入手しておりますので,システム管理者も常に最新情報を入手して抜け穴を塞ぐ努力をしています。

ファイル保護

不正アクセスにより侵入されても重要な情報にたどり着けないように,外部とのネットワークから切り離す(ネットワーク・コントロール)とか,重要な情報には特定のID・パスワードをつけたり情報が盗まれても解読できないように暗号化する(アクセス・コントロール)ことも必要です。

パスワード管理

いかにファイアウォールやファイル保護などの技術的な対処をしても,ハッカーがアクセスできる権限を持つ社員になりすまされたら防御する手段がありません。なりすましをされないための最も基本的なことはパスワードを知られないようにすることです。なお,パスワード管理については別章で詳しく取扱います。

不正アクセス対策は社会的責任

不正アクセスから自社のシステムを守るのは,自社のためだけではなく,自社のサーバを通して他社のシステムを攻撃を防ぐ目的もあります。また,自分のパスワードを秘密にするのは,自分の属する組織のシステムを守ることにもなります。

DDoS攻撃

ある電話番号に向けて大勢の人がいっせいに電話をかけたら,話中になってしまい,正当な事情でその電話番号にかける人が使えなくなりますし,さらに大量に集中すれば,電話局全体がかかりにくくなってしまいます。DoS(Denial of Service:サービス拒否)攻撃とは,攻撃するサイトに短時間に大量のメッセージを送りつけることにより,そのサイトが正常なサービスができなくしてしまう攻撃です。単に応答が遅くなるだけではなく,予定していなかった事態により,システムがダウンしてしまいます

DDoS(Distributed DoS)攻撃とは,あらかじめ多数の他社サーバに潜入して,一種のウイルスを仕掛けておき,攻撃をするときにそれらのサーバに対して攻撃目標への攻撃命令を出すことによって,多数のサーバからいっせいにDoS攻撃を仕掛けるのです。このようにサーバを利用されることを「踏み台」にされるといいます。

攻撃を受けたサイトからみると踏み台にされたサーバが攻撃をかけてきたようにみえます。すなわち,踏み台にされることは自分が被害者になるだけではなく,他社への加害者にもなるのです。

パスワード

上述のように,ハッカーにパスワードを知られたら簡単に内部に潜入されてしまいます。技術力のあるハッカーなら,内部のシステムを調べることにより,システム管理者のユーザIDやパスワードを知ることができます。それをアングラのルートで広く知らせることもできます。

システム管理者はシステムに関して万能の権限を持っていますので,ハッカーがシステム管理者になりすますことができたら,システム全体がハッカーの管理下に置かれることになります。DDoS攻撃の踏み台にするとかホームページを改ざんするなどは容易ですし,システム全体を破壊することもできるのです。

この場合も,システム管理者からみればパスワードを持っている本人が内部で不正を行なっているようにみえます。すなわち,パスワードを他人に知られることは,組織に対する裏切りであり,不正アクセスを支援する反社会的行為でもあるのです。


考えよう

第1問
「コンピュータ不正アクセス対策基準」のシステムユーザ基準の個所を読み,あなたが「なぜこれが必要なのか」と思う事項があれば,それを列挙して,みんなで考えましょう。
第2問
あなたが不正アクセス対策の提案をしたところ,A氏からは「当社には他人のほしがるような情報はないので,不正アクセスがあってもかまわない」,B氏からは「どんなに対策をしても,優秀なハッカーにはかなわないので,やるだけ無駄だ」といわれました。あなたはこれらの意見にどう反論しますか。