第1回 Web改ざんの実態(前編)

今回の主な内容
最初のWeb改ざん事件
ニュースサイトにおけるWeb改ざん事件報道
AlterNICのInterNIC乗っ取り
後編へ

office
2001/3/2

 2000年の1月末から2月にかけて、日本の官庁のWebサーバが次々とクラックされた事件[1]は、インターネットのみならず一般のマスメディアでも大きく報道され、世間一般に広く知られることになった。そして「危機管理能力のない政府の実態が露呈」、「技術大国日本の恥」といった批判も多くなされ、ひとたびWebが改ざんを被ると組織のイメージダウン、信頼度の低下を招くといったことを知った経営者や企業幹部の方々も少なくないはずだ。

[1]http://www.zdnet.co.jp/news/0002/04/haikei2.html

 Webが改ざんされてもそのデータ自身はバックアップから書き戻すだけであり、情報や資産を失うわけではない。失うのは信用だけだ。Web改ざんは、インターネットコミュニティの中で改ざんする側は威力を誇示し、改ざんされる側は信用を失うという社会性が問題になる事象だ。この記事ではWeb改ざんの実態について述べ、そこから垣間見える社会的側面について取り上げる。

   最初のWeb改ざん事件

 コンピュータ侵入事件は20年以上前から頻繁にあったが、Webがこの世に存在しなければWeb改ざんは不可能だ。またWebが改ざんされても、それが事件になるだけの環境、つまりWebというものが人々に浸透しなければ、クラッカーがWeb改ざんをして示威的な目的を果たすことはできない。

 WebがCERNにより公開された1991年から、Webシステムを開発する仲間同士でのいたずらなどはずっと行われてきたには違いないが、当然事件として記録には残っていない。Webがまず世界に広がった時期は、ブラウザの礎を築いたMosaic(編注)が無償公開された1993年以降と考えられる。日本では、初の商用インターネット接続が始まった1993年末から一般社会に普及しはじめた。

編注:NCSAで開発されて無償配布されたWebブラウザ。Netscape Navigatorが普及するまではWebブラウザの代名詞的存在だった。

 しかし、記録の中に最初のWeb改ざん事件が見いだされるのはそれから2年もたった後で、www.thespot.comが1995年6月12日に被害にあったことが知られている[2]。Web世界が一部のマニアやエリートの閉じられたコミュニティから、一般社会に開かれたメディアへと質的に変化し、Webでの事件が社会的な事件になるまでには、Web公開後4年の歳月を要したということだ。

[2]http://www.attrition.org/mirror/attrition/1995.html

 日本での最初のWeb改ざん事件がいつかを特定するのは難しい。公的なセキュリティ対策事業を行っている情報処理振興事業協会(IPA)に報告された日本最初のWeb改ざん事件は、1997年5月23日に農水省の掲示板にオウム真理教の音楽が流れるようになった事件だ[3][4]。下で述べるように、1996年末のゲリラWebサーバの件などほかの事件も知られているが、おおよそ米国に1〜2年遅れてWeb改ざんが事件と見なされるインターネット環境になったようだ。

[3]http://www.ipa.go.jp/security/ciadr/txt/19970627.txt
[4]http://www.asahi-net.or.jp/~wx7s-yngd/d/dnousui.html
   ニュースサイトにおけるWeb改ざん事件報道

 初のWeb改ざん事件記録とほぼ同時期に本格的な商業ニュースサイトのサービスが開始された。これらニュースサイトが取り上げるインターネット上の事件としてWeb改ざんは格好の話題であった。

 1995年6月に始まったCNET[5は1996年8月18日、司法省のサイトが正義を嘲る内容に書き換えられたことを最初に報道した[6]。また1996年4月に始まったCNN[7]は9月19日にCIAのサイトが改ざんされたことをスクリーンショットとともに報道した[8]。これを機にWeb改ざんはニュースサイトで頻々と取り上げられるようになり、それにつられるかのようにWeb改ざん件数は増加の一方をたどっている。

[5]http://news.cnet.com/
[6]http://news.cnet.com/news/0-1005-200-312170.html?tag=st.ne.ni.rnbot.rn.ni
[7]http://www.cnn.com/
[8]http://www.cnn.com/TECH/9609/19/cia.hacker/

 日本ではインプレス[9]が1997年1月より、毎日新聞JamJam(現毎日新聞)[10]が同年5月よりインターネット事件を特集して報道を始めた。Web改ざんに関する最初の報道は、1997年5月18日に朝日放送のページが改ざんされた事件[11]と、その犯人が5月23日に逮捕されたという内容だ[12]

[9]http://www.watch.impress.co.jp/internet/
[10]http://www.mainichi.co.jp/
[11]http://www.watch.impress.co.jp/internet/www/search/article/
9705/2003.htm

[12]
http://www.mainichi.co.jp/digital/netfile/jamjam/9705/0523-1.html

 この事件報道によって2つの事柄が日本で初めて明らかにされた。Web改ざんは電子計算機損壊等業務妨害となること。そして、インターネットは匿名などではなく、プロバイダや電話会社に残された記録から犯人を追跡可能だということである。

   AlterNICのInterNIC乗っ取り

 1997年7月14日ごろ、トップレベルドメイン管理組織であるInterNIC[13]のWebがAlterNIC[14]に乗っ取られるという事件が発生し、InterNICのURLへアクセスするとAlterNICのWebページが表示されるようになった[15]。AlterNICはこの乗っ取りを「プロテスタント」と称し、InterNICのドメイン名の独占的な管理に対する抵抗の1つとして位置付け、7月22日ごろにも乗っ取りが再度敢行された。

[13]http://www.internic.net/
[14]http://www.alternic.net/
[15]http://news.cnet.com/news/0-1004-200-320460.html?feed.cnetbriefs

 これは、技術的にはAlterNICがDNSシステムの弱点をついて、www.internic.netへのアクセスとしてwww.alternic.netのIPが返されるようにしたものであり、InterNICのWebサーバに侵入したわけではない。DNS乗っ取りは厳密にはWeb改ざんではないが、ユーザーから見ると区別がつかない。乗っ取られたサーバのURLにユーザーがアクセスすると、本来のWebとは異なる内容が表示されるからだ。

 つまりWebを乗っ取られないようにするためには、Webサーバの侵入だけを阻止するのみでなく、DNSサーバも同様に守らなければならないということだ。DNSを行う標準的なソフトウェアであるBINDはたびたびセキュリティホールが報告されているだけに注意が必要である。この乗っ取り事件の後にはBINDのバージョンを4.9.5-P1以降にすべき(編注)だと報道された[16]

[16]http://www.watch.impress.co.jp/internet/www/article/
970722/protest.htm

編注:2001年3月1日現在、BINDの最新バージョンは8.2.3。これ以前のバージョンには重大なセキュリティホールが存在するため、最新バージョンを利用するべきである。

 また、DNSは自サイト・自社だけの問題ではなく、ネットワークの上流のDNSを乗っ取られた場合にも大きな影響を被り、防衛が自サイトだけで完結しない難しさがある。最近問題となっている、登録されているドメイン所有者が勝手に変更されるというドメインジャック[17]を受けた場合にも自サイトのWebにユーザーがアクセスできなくなる。つまりWeb乗っ取りの問題はインターネットのドメイン管理システム全体とかかわっている。

[17]http://www.zdnet.co.jp/news/0006/01/domain.html
[17]http://www.zdnet.co.jp/news/0006/06/hijacking.html
「連載 Web改ざんの現状と対策」

コンテンツ提供:バガボンド
出典:Scan Security Handbook Vol.5
2000/10/11発行


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間