そっと盗み続ける

小川 誉久

2003/03/27


 他人のネット銀行のユーザー・アカウントを悪用して、銀行口座から預金を不正送金するという詐欺事件が2003年3月に発覚した。被害金額は1600万円。容疑者は大手金融機関系シンクタンクの元社員だという。

 手口は巧妙だ。インターネット・カフェの端末にキーロガーと呼ばれるハッキング・プログラムを仕掛けておき、他人が利用したオンライン・バンキングオンライン・トレーディングの利用情報から、口座番号やユーザー名、パスワードなどを盗み取るというもの。この方法で容疑者は、1年ほどの間に700件を超える他人の銀行口座や証券口座情報を入手したとされる。

 被害額の大きさにも驚かされるが、純粋に金を目当てにして、長期にわたり巧妙かつ計画的に準備を進める様は、「ネット犯罪のプロ」を思わせる。金品目当てのネット犯罪といえば、これまではネット・オークションを舞台とする詐欺事件が多かった。しかしオークション詐欺は、コンピュータやネットワークを道具としては使っているものの、突き詰めれば人が人をだますという伝統的な詐欺事件でしかない。これに比べれば、今回の不正送金事件はより巧妙かつ狡猾である。

 CodeRedやNimda、I LOVE YOU、SQL Slammerなど、社会的に大きな影響を与えたコンピュータ・ワームウイルスは数あれど、これらはいずれも、クラッカーが愉快犯的に仕掛けたものという点で共通している。結果的には、ネットがまひするなど深刻な被害を及ぼし、被害金額も莫大に上ったケースも多いが、もともとの目的は金というわけでも、システムの破壊でも、情報窃取でもなく、クラッカーが自己の技量を試してみたいということにあると思われる。従って感染すると、それと分かるような自己主張をはばからずに行うものが多い。「ねずみ小僧参上」の張り紙を残すようなものだろう。

 これに対し前出の不正送金詐欺は、あくまで営利目的で、できるだけ見つからないように、静かに犯行を重ねるという点で従来のコンピュータ犯罪とは根本的に異なっている。考えようによっては、コンピュータ犯罪も、その目的や手口(発覚をまぬがれたり、発覚しても追及を免れたりしようとする)がそれ以外の犯罪のレベルに近づきつつあるということかもしれないが。

 ある企業の依頼を受けて、ネット犯罪のプロ集団が、競合他社のネットワーク・システムにこっそりと侵入し、企業機密を盗み続ける。侵入を受けた企業は、あの手この手で競合他社にビジネス上の戦いを挑むのだが、何をやっても相手に先を越され、先手を打たれる。そのうち競争力を失い、市場からの退場を余儀なくされる。前挙の不正送金詐欺事件は、こんなSFめいた未来を予感させる。いや、私たちの気付かないところで、もう現実のものになっているのかもしれない。

 「キズ物」を嫌う日本人のメンタリティからすると、優れたコンピュータ・セキュリティとは、一点の曇りもなく、セキュリティ・トラブルなど起こらないものということになるだろう。不正侵入やワーム感染などとんでもない。そうした事故が万に1つも起こらないのが、優れたコンピュータ・セキュリティのありようである。

 感覚的にはよく分かる。しかしそれは本当だろうか。セキュリティ・トラブルがないことを手放しで喜んでよいだろうか。実はトラブルを見つけられないだけではないか。トラブルを起こさないことに集中するあまり、いざトラブルに見舞われた場合の準備がおろそかになっていないだろうか。

 警察庁が発表した平成14年の「不正アクセス行為の発生状況(PDF)」によれば、不正アクセス禁止法違反事件の事件数は、平成13年の35件から、51件と約150%近くに増加した。このドキュメントにある検挙事例を見ると、業務上知りえた他人のアカウントを悪用する例が少なくない(顧客サポートや派遣先での作業で知りえた他人のアカウントを悪用するなど)。つまり、社員や派遣社員など、内部の人間が不正アクセスに手を染めているわけだ。これは、外部からの攻撃や侵入に神経を尖らすだけでは不十分だということを示している。

 ネットワーク犯罪があまり身近でなかったこれまでは、セキュリティ・トラブルが人ごとであるものこそ優れたシステムであり、そうしたシステムを設計・運用できる人間が優れたシステム管理者であった。しかしこれからは、本当にトラブルが起こっていないのか、起こっているのに見つけられないだけなのかを慎重に見極めないといけない。むしろシステム管理者としては「セキュリティ・トラブルが見つかることこそ、問題発見のシステムが正しく機能している証拠であり、安心できる」というくらいに積極的な意識を持つ必要がある。「事故を絶対に起こさない」から「万全なシステムなどなく、どうせ事故は起こるものだから、事故が起きても最小限の被害で収拾できるようにしよう」くらいの意識を持って、情報セキュリティに取り組むべき時代がやってきた。

 もう1つ、「ここまでやっておけばセキュリティは大丈夫」という境界はないという点も指摘しておきたい。ドア・ロックのピッキング対策が進むと、今度は「サムターン回し」がはびこるといったように、現実の犯罪対策は常にいたちごっこである。これと同様、ネット犯罪のセキュリティ対策にも終わりはない。間違ってもファイアウォールウイルス対策ソフトを導入しておけば大丈夫、などと勘違いしてはいけない。昨日は大丈夫だったが、新しいクラッキング方法が考案されたり、新しいセキュリティ・ホールが発覚したりして、今日は攻撃を受けるかもしれない。これも現実の犯罪と同じく、ネット犯罪についても、ダイナミズムを踏まえたセキュリティ対策を立てることが重要である。End of Article


小川 誉久(おがわ よしひさ)
株式会社デジタルアドバンテージ 代表取締役社長。東京農工大学 工学部 材料システム工学科卒。'86年 カシオ計算機株式会社 入社、オフコン向けのBASICインタープリタの開発、Cコンパイラのメンテナンスなどを行う。'89年 株式会社アスキー 出版局 第一書籍編集部入社、書籍編集者を経て、月刊スーパーアスキーの創刊に参画。'94年月刊スーパーアスキー デスク、'95年 同副編集長、'97年 同編集長に就任。'98年 月刊スーパーアスキーの休刊を機に株式会社アスキーを退職、デジタルアドバンテージを設立した。現Windows Server Insiderエディター。

「Opinion」



Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間