この章では,社外の悪意を持つ第三者が社内のネットワークに不正にアクセスすることによる被害と,それを防御するための対策について考えます。
多くの企業などが,自社内のネットワークと社外のインターネットを接続して,社内と社外で電子メールの交換をしたり,社内から外部のページを見たり,自社で作成したホームページを社外の人に公開したりしています。
このとき,社外の人に公開しているホームページを不法に書き変えたり,社内のネットワークにまで侵入されて情報を盗まれたりウイルスを仕掛けたり,同時に大量なメッセージを送りつけてシステムをダウンするような悪事をする者がいます。このような悪事を不正アクセスといい,それを行なう者をハッカー(注)といっています。
(注)本来はハッカー(hacker)とはコンピュータの高度技術を持つ者のことで,悪いことをする者のことはクラッカー(cracker)といいます。混乱を防ぐために、サイバー攻撃への対処をする高度技術者をホワイトハッカー、違法行為者をブラックハッカーといい分けることもあります。でも,一般に悪意の「ハッカー」がポピュラになっているので,ここではハッカーとしておきます。
インターネットでの不正アクセスは日常的な事件になってしまいました。特に2000年頃には、政治的関与が疑われる集団的な事件が頻出して社会問題になりました。
明らかに不正アクセス行為は犯罪ですのに,対象がモノでないためにそれを罰するのに適切な法律がありませんでした。その不備を解消するために,1999年8月に「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)が成立し,2000年2月から施行されました。同法では,不正アクセス行為を禁止するだけでなく,不正アクセス行為を助長する行為も禁止しています。また,アクセス管理者は不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとされています。
不正アクセス禁止法より以前(1996年)に,通産省(産業経済省)は「コンピュータ不正アクセス対策基準」を策定しています。これは法律のような強制的なものではなく,「コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策をとりまとめたもの」です。たとえば利用者に関しては,「パスワードは随時変更すること」とか「重要な情報は,パスワード,暗号化等の対策を図ること」というような内容が体系的に列挙されています。
不正アクセスから自社システムを守るには,社外のインターネットと社内のネットワークシステムとの間にファイアウォールを設置するのが基本です。ファイアウォールとは,防火壁の意味ですが,インターネットからアクセスしてくるときに,ユーザIDやパスワード,メッセージの内容などをチェックして,アクセスする権限を持つ人が与えられた権限の処理をするときだけ受付け,そうではないメッセージは通さないという仕組みです。
ファイアウォールで判断するルールをあまり厳しくすると正規の利用ができなくなるので緩くすることもありますし,ファイアウォールやネットワーク管理システムに不備があることもあります。そのような抜け穴をセキュリティホールといいます。ハッカーはアングラなルートで抜け穴の情報を入手しておりますので,システム管理者も常に最新情報を入手して抜け穴を塞ぐ努力をしています。
不正アクセスにより侵入されても重要な情報にたどり着けないように,外部とのネットワークから切り離す(ネットワーク・コントロール)とか,重要な情報には特定のID・パスワードをつけたり情報が盗まれても解読できないように暗号化する(アクセス・コントロール)ことも必要です。
いかにファイアウォールやファイル保護などの技術的な対処をしても,ハッカーがアクセスできる権限を持つ社員になりすまされたら防御する手段がありません。なりすましをされないための最も基本的なことはパスワードを知られないようにすることです。なお,パスワード管理については別章で詳しく取扱います。
不正アクセスから自社のシステムを守るのは,自社のためだけではなく,自社のサーバを通して他社のシステムを攻撃を防ぐ目的もあります。また,自分のパスワードを秘密にするのは,自分の属する組織のシステムを守ることにもなります。
ある電話番号に向けて大勢の人がいっせいに電話をかけたら,話中になってしまい,正当な事情でその電話番号にかける人が使えなくなりますし,さらに大量に集中すれば,電話局全体がかかりにくくなってしまいます。DoS(Denial of Service:サービス拒否)攻撃とは,攻撃するサイトに短時間に大量のメッセージを送りつけることにより,そのサイトが正常なサービスができなくしてしまう攻撃です。単に応答が遅くなるだけではなく,予定していなかった事態により,システムがダウンしてしまいます☆。
DDoS(Distributed DoS)攻撃とは,あらかじめ多数の他社サーバに潜入して,一種のウイルスを仕掛けておき,攻撃をするときにそれらのサーバに対して攻撃目標への攻撃命令を出すことによって,多数のサーバからいっせいにDoS攻撃を仕掛けるのです。このようにサーバを利用されることを「踏み台」にされるといいます。
攻撃を受けたサイトからみると踏み台にされたサーバが攻撃をかけてきたようにみえます。すなわち,踏み台にされることは自分が被害者になるだけではなく,他社への加害者にもなるのです。
上述のように,ハッカーにパスワードを知られたら簡単に内部に潜入されてしまいます。技術力のあるハッカーなら,内部のシステムを調べることにより,システム管理者のユーザIDやパスワードを知ることができます。それをアングラのルートで広く知らせることもできます。
システム管理者はシステムに関して万能の権限を持っていますので,ハッカーがシステム管理者になりすますことができたら,システム全体がハッカーの管理下に置かれることになります。DDoS攻撃の踏み台にするとかホームページを改ざんするなどは容易ですし,システム全体を破壊することもできるのです。
この場合も,システム管理者からみればパスワードを持っている本人が内部で不正を行なっているようにみえます。すなわち,パスワードを他人に知られることは,組織に対する裏切りであり,不正アクセスを支援する反社会的行為でもあるのです。