インターネットに潜む危険
2001年8月19日 改定
インターネットに潜む危険
インターネット上の危険の種類
インターネットを利用する上で考慮しておくべき必要がある危険の主なものは以下の通り。
1.侵入
2.ウィルス・Worm(ワーム)
3.ネットワークサービス妨害(DoS)
4.中傷
5.詐欺
6.プライバシー漏洩
1.侵入 (セキュリティアタック)
侵入は、サイト上にある各種ネットワーク機器のセキュリティ上の弱点を付くことで、それら機器の管理権を取得する攻撃です。インターネット上のクラッカーやハッカーによる攻撃の中ではもっともポピュラーな種類の攻撃であり、サイト管理者にとっては厄介な攻撃といえます。
特に、使われている機器(マシン)のOS(オペレーティングシスム)のセキュリティホールを攻撃したり、インターネット用に用意したメールサーバ等のサービスプログラムを攻撃する種類のアタックが良く利用されます。 これらの攻撃の目的のほとんどはそのマシンの管理権限を入手することなので、万一アタックに成功されてしまうと今度はこのアタックされたマシンを足がかりに他のマシンを攻撃するために利用されてしまったりするのでかなり厄介な攻撃といえます。 また、管理権限を取られているので、そのマシンの情報にすべてアクセス可能となっている上、そのマシンにアクセスしてきた相手の情報を盗まれたりする可能性が高く、セキュリティ確保のためには絶対に許してはならないものといえます。
セキュリティアタックの手口の代表的な手法は、
サイトに侵入された場合には、データの盗難や改ざん・破壊など直接的な被害を与えられる場合以外に、クラッキンングツールをそのサイトに組み込まれて他のサイトの攻撃に利用されてしまう事があります。
他のサイトを攻撃するツールをして良く利用されるものとしては、
Topへ
2.ウィルス・Worm(ワーム)
ウィルスはPCの利用者に、「何らかの目的を持たせたオブジェクトコードを送りつけ、そのコードを実行させる」事で利用者の予期しない動作をそのPCにとらせる事を目的にしています。
OSがMS-DOS時代においては、これらオブジェクトコードはプログラムの中に仕込まれ、PCの利用者が気を引きそうな名前のソフトとしてBBS(電子掲示板:初期のNiftyのようなサイト)上に登録され、それをダウンロードして使うことでPCの中の他のプログラムにそのオブジェクトを感染させるとともに、ある時期がくると発症するというタイプのものがほとんどでした。 Windows3.1時代でもウィルスというとこのタイプのものでしたが、インターネットが普及し、電子メール(e-Mail)が普及しだした頃から、それらの悪意を持ったオブジェクトコードはワープやスプレッドシートのマクロに仕込まれるようになり、その影響範囲が急速に広がりました。 また、最近ではWebブラウザ(IE4.x、IE5.x、Netscape等)の弱点を突いて、ホームページ上に仕込まれたコードを実行させたり、メールを読んだだけで感染するタイプのウィルスまで開発されており、PCへの脅威はますます強まっています。
Worm(ワーム)は自己増殖を目的としたもので、感染した相手を利用してさらに多くの感染者を作っていくウィルスの一種です。 基本的は自己増殖が目的ですが、最近では増殖とともにデータの破壊などを伴うケースもあるのあるのウィルスとの境界が曖昧になってきているような気がします。
2001/7にはIISを狙ったCode Redワームによって推定30万のサーバがこのワームに感染したといわれています。
3.ネットワークサービス妨害(DoSアタック)
DoSアタックは2000年初頭の米国Yahooへの攻撃がそれであったように、あるサイトのサーバへ大量のパケットを送りつけることでそのサイトのサービスが第三者が利用できないようにしてしまう攻撃です。攻撃者の目的は攻撃対象のサイトへの妨害が目的で侵入に比べると被害は軽微かもしれませんが、妨害が数時間〜数日に及ぶため、例えば電子決済を行っているサイトがこの攻撃にあうと決済ができなくなり大きな損失を蒙る可能性もあります。
この攻撃は「攻撃」されているという判断を自動的に行う事が難しいのと、仮に攻撃だと判明しても攻撃パケットを拒否する事が難しいため厄介です。(プロパイダが協力してくれないと防御は困難です)
なお、これらの攻撃は必ずしもインターネットからくると思わず、場合においては組織内からも攻撃される可能性があることに注意を払ってください。
Topへ
4.中傷
インターネットで厄介な問題の一つに中傷があります。 ありもしない事を言いふらして他人を傷つけたり、信用を貶めるために自分に都合の良いように事実をねじ曲げた情報を第三者に伝えたりすることです。 中傷はネットワーク的な危害は直接は有りませんが、被害者になるだけではなく知らない内に加害者にされてしまう危険性があり、社会的制裁を受ける可能性があるという意味では前の2つとは違った意味で危険な攻撃といえます。中傷の問題は以下のように分類できます。
■被害者的立場
- 曲解した事柄を並び立て攻撃してくる。特に第三者を曲解した事象によって丸め込め攻撃してくることがある。
- いわれのない事柄をメールやWebで発信される
■加害者的立場
- 自分の組織上の人間が第三者を中傷している
- 乗っ取られたサーバを使って中傷の記事を発信している
問題なのは被害者的立場より加害者的立場になってしまっている場合で、この場合、会社などから第三者を中傷するような情報を発信してしまうと組織として制裁を受ける可能性が有ることでしょう。
事実、以前に大手のプロパイダーが主催しているフォーラム内おいて、ある人間が別の人間を中傷するといった事があり、その際に有効な対策を取らなかったそのフォーラムの管理者とその主催会社が訴えられたことがあり、一審では法人としてのプロパイダが有罪の判決を受けたことがありました。
では組織としてどのような防衛が考えられるでしょうか。
残念ながら効果的に防衛する方法は今のところはありません、 特にメールなどはその機構上発信者が自分のアドレスを隠蔽する事が可能なので組織内に悪意を持った人物がいるとこれを阻止することはほぼ困難です。
しかし、組織として十分啓蒙活動を行って、かつ、被害者からの連絡があった場合に十分な対応をすることで法律的な責任は回避することが可能と思われますので、組織にはおいては十分な啓蒙活動を行っておいた方が良いでしょう。 また、組織内のメールに関してはその検閲を会社や組織に許すという解釈が一般的になりそうですの、もし被害者からの連絡があった場合には、検閲を含めて対応を考えてみると良いでしょう。
中傷においてもう一つ注意しないといけないのは、1.のセキュリティアタックの結果、サーバマシンの管理権を乗っ取られていることを気づかず、そのサーバを使って乗っ取った人間が第三者を中傷するようなケースです。この場合には、直ちにそのサーバを発見し運用を停止すると共に、対応を行うようにしてください。その際、もちろん1.の攻撃で再度サーバが乗っ取られないようなセキュリティを確保した設計が必要なことはいうまでもありません。
Topへ
5.詐欺
インターネット上のサイトやe-mailの情報の中には、すばらしく有益な情報以外にもジョークや全く役に立たない情報など色々な情報がありますが、悪意を持った人間が発信している情報もあるので注意が必要です。
中でも悪質なものに、インターネットを使った「ねずみ講」や「詐欺」には注意してください。
また最近では「インターネット上のオークションページ」での詐欺事件も多発しております。
特にクレジット番号の入力を求めてくるようなWebサイトの場合には、そのサイトが信用できるサイトでない限り、入力しないほうが無難です。
それと、あるサイトに接続するためにはそのサイトから入手する専用のプログラムを使う必要がある場合にも注意が必要です。(エッチ系のサイトに多く見受けられます)これらすべてが詐欺目的ではありませんが、相手のサイトが信用できない場合には不用意にこれらの接続ソフトを使うと、年間に渡って不必要な費用を請求されたり、身に覚えのない回線使用料を要求されることもある、ということを気をつけてください。
「ねずみ講」 は、多くは”すばらしい情報をお知らせします。xxxという理論に基づいた・・・、これに参加するのは簡単・・・、xxxx円(もしくは$)を払い込んで5人の人間にこのメールを送ってください・・・ 数週間後にはあなたの元にはxxxxxx万円(もしくは$)を入手できます・・”といったようなメッセージが並んでおり、要は指定された金額を振り込んだ後、同じメッセージを数人の人間に送ると億万長者になれるいう内容です。 このようなメールが来た場合には無視し、間違っても知り合いなどに送ってはいけません。これらの対策は個人々々が行うしかありませんが、要は『怪しきものには手を出さず(類義語:ただ程高いものはない)』を守ればまず大丈夫です。
- (社)テレコムサービス協会 (インターネットにおける苦情事例) --- http://www.telesa.or.jp/
オークションでの被害の多くは、落札した物件の代金を入金したのにものが送ってこられない事や、代金引換で発送してきたので安心したら中身にガラクタや雑誌が入っていたというケースが多いようです。
相手同士が互いを一意に認証できる方法がないと今後もこのような事件が多発する事と思います。たとえばYahooのオークションのように認証方法がサーバー側にまったく無いようなオークションページでは、利用する個人が相手を確実に判断する事は困難なので、相手との取引では十分な情報を入手する必要があります。(2001/5よりYahooは個人認証システムを導入します)
特に、相手がフリーメールを使っていたり、固定電話の番号を教えてくれないような場合にはその取引を避ける方が無難です。 また、最近では固定電話や住所を知らせてきたが詐欺にあったというケースも見受けられるようなので、かなり組織的な詐欺集団がオークションに参加している気配もあるので利用にあたってはそういった危険性が付きまとうことに十分な注意を払ってください。
今後は信販会社や銀行などが認証システムを作るか、オークションサイト側に独自な認証システムを作らない限りは、このような詐欺に合う方は減らないのではないかと筆者は考えております。
最近になってYahooでは「エスクローサービス」と称するサービスが開始されました。これは運送業者と提携した銀行が商品の発送ならびに代金回収を代行するサービスで、これを利用することで大幅に詐欺の被害を低減できるように思われます。今後、オークションを利用されるかたは相手がこのサービスを利用可能にしているかどうかを相手を信頼する1つの指針にすると良いでしょう。
詐欺の被害に合われたかたは、取り敢えず(あまり期待はできませんが..)次のページを参照して「ハイテク犯罪について」ということで対応して貰ってみては如何でしょうか。
(警察庁ハイテク犯罪相談窓口 : http://www.npa.go.jp/police_j.htm)
Topへ
6.プライバシー漏洩
Webを使った情報を個人が作れるようになった事で、マス・メディア以外の方法で情報が入手できるようになったインターネットの世界では、個人としてのプライバシーが不用意に漏洩してしまう危険があります。
特に、個人が作成したホームページの中には個人を特定できてしまうような情報が記載されている事があり、これらの情報を基に個人情報が推定されてしまう危険性があります。「個人情報なんて漏れても大丈夫じゃないか?」などと安易に考えるのは危険です。
実例では、自分のホームページに住所と名前を載せていたAさんは、その後ほとんどインターネットを使っていなかったのですがある日プロパイダから数万円の銀行引き落としが来てびっくりしました。 調べてもらうと、Aさんが使っているよりも多くの時間をAさんが使っている記録が残っておりましたが、そんな記憶はAさんにはありませんでした。
実はこれはAさんのホームページを見たBが、その情報を基にAさんのパスワードを変更してしまい、Aさんになりすましてプロパイダにアクセスしていたのです。(Bは当然捕まりましたけどね。)
詳しい手口は載せませんが、これはプロパイダ側の運用システムの盲点を突いた手口で、現在は大手のプロパイダであればこの手口では取れないと思いますが、中小のプロパイダの中にはこの盲点を突ける可能性はあると思います。
これ以外にも、「アンケートを送ると景品をプレゼントする」といったようなホームページがありますが、この中にも単に個人情報を集めることが目的のページが無いとは言い切れません。
インターネット利用者は、相手のサイトが信頼できる場合を除いて個人情報に関する内容を相手に知られないようにする方が無難といえます。
Topへ
ホームページへ