| 1.発生状況について
(1)4省庁のWebサイトが不正アクセスされ、データ書き換えの被害
−−科学技術庁 、総務庁・同庁統計局 、運輸省 、通産省
(2)各省庁の9関連機関(団体・法人)のWebサイトが不正アクセスされ、データ書き換えの被害
−−総合研究開発機構 、人事院近畿事務局 、参議院サイト 、 政府資料等普及調査会 、沖縄郵政管理事務所 、科学技術振興事業団 、
基盤技術研究促進センター 、自動車事故対策センター 、宇宙科学研究所
(3)2省庁は再度、Webサイトが不正アクセスされ、データ書き換えの被害
−−科学技術庁 、総務庁統計局
(4)10省庁のWebサイトで、不正アクセスの形跡が確認
−−人事院 、防衛庁 、金融監督庁 、外務省 、大蔵省 、文部省 、 農水省 、郵政省 、建設省 、最高裁
2.政府及び各省庁の対応について
(1)政府は、直前の21日に「ハッカー対策等の基盤整備に係る行動計画」を決定していた。
コンピューター・ネットワークを狙ったサイバーテロ対策を検討してきた政府は関係省庁の局長級で構成する「情報セキュリティ関係省庁局長等会議」開き、決定。
・通商産業省は、情報機器等の政府調達におけるセキュリティ関連国際規格 (ISO/IEC15408)の活用等の方針について、平成13年5月までを目途に検討。
・平成12年12月までを目途に、各省庁向けの「情報セキュリティポリシーに関するガイドライン」(仮称)を策定する。
・平成12年12月を目途に「サイバーテロ対策に係る特別行動計画」をまとめる。
(2)ハッカー対策・行動計画実施早める――政府方針
政府は25日、科学技術庁と総務庁のホームページが相次いでハッカー被害に遭った問題を重視、「行動計画」に盛り込まれた対策実施のスピードを早め、情報セキュリティー強化を急ぐ方針
(3)セキュリティ技術で国家試験 来秋、第1回実施へ(通産省)
中央官庁などへのハッカー被害が相次ぐ中、セキュリテイー対策の技術者試験が、情報処理関連の14番目の国家試験として創設されることになった。
(4)電気通信事業におけるサイバーテロ対策検討会の開催(郵政省)
「ハッカー対策等の基盤整備に係る行動計画」や中央省庁等のホームページの改ざん事案を踏まえ、電気通信分野のサイバーテロ対策及びサイバーテロが発生した場合の緊急対応体制等について本年2月3日から検討を開始することとしました。
(5)情報通信ネットワークセキュリティ推進企画室を設置(郵政省)
セキュリティ政策を迅速かつ効率的に推進するための体制を確立するのが狙い。
(6)ネット取引、本人確認の仕組み法制化警察庁要請、「なりすまし」防止へ
警察庁は4日、インターネットを利用した電子商取引に電子認証制度を導入する「電子署名及び認証業務に関する法律(仮称)案」を策定中の郵政、通産、法務各省に、認証制度の利用者が本人かどうかを確認する仕組みを盛り込むよう要請
(7)ハッカー対策、情報保全で国際規格導入「ISO15408」(通産省)
通産省はパソコンなどの情報機器や情報通信システムの安全性を客観的に評価するために欧米諸国で用いられている国際規格を、今夏をめどに日本工業規格JIS)として採用する。まず中央省庁が2001年度以降に購入する情報機器やシステムに関し、基準を満たすことを義務付け、「電子政府」構想に役立てる。
(8)警視庁「ハイテク犯罪対策センター」が常設機関に格上げ
「不正アクセス禁止法」が13日に施行されるのに合わせて、「ハイテク犯罪対策センター」を、生活安全部の常設機関に格上げした。省庁や関係団体のホームページが改ざんされる事件について、同センターや麹町署などの捜査本部はこのうち14件を確認し、電子計算機損壊等業務妨害の疑いで、不正侵入経路などの捜査を進めている。
13日以降に同様の不正侵入事件が起きた場合は、不正アクセス禁止法も適用される。
3.問題点分析と対応方法について
(1)ファイアーウオール(防火壁)なし
今回の侵入事件は、それほど高度な技術を持っていなくても実行できたとみられる。
科学技術庁などのシステムに、ファイアーウオールが設置されていなかった。
(2)セキュリティ・ホールを放置
Webサーバー・ソフトのCGI(コモン・ゲートウエイ・インタフェース)プログラムのバグが悪用された可能性は非常に高い。Webサーバー・ソフトのセキュリティ・ホールは、ソフト・メーカーが提供している修正ソフトを導入するか、最新版のソフトにバージョンアップすることで対処できる場合がほとんどだ。改ざんなどの被害を受けた省庁は、こうしたセキュリティ・ホールを放置していた可能性がある。
(3)管理者のパスワードを解読された
科学技術庁の場合、システム管理者のIDやパスワードが、ハッカーによって盗まれたうえ、新しいパスワードに変えられていたことが判明。「総合研究開発機構」では、サーバー設置時には設定されていなかったシステム管理者用ID・パスワードをハッカーが新たに設定、システム管理者になりすましていた。いずれも犯人を突き止める唯一の記録であるログがシステム管理者の権限で消去されていた。
人事院近畿事務局は「インターネット上で出回っているパスワード解読ソフトなどを使って、パスワードが破られた可能性が高い」(近畿事務局広報)と分析する。沖縄郵政管理事務所も、「ユーザーIDとパスワードを解読されたようだ」(システム担当者)と話す。
(4)被害のあった官公庁のWebサイトの復旧に時間がかかっている
ウェブの停止時間をどれだけ短く出来るかは、そのサイトのセキュリティ対策度合の水準を示しているといえよう。何日も停止するようでは実はみっともないことで、セキュティ対策の低さを露呈している
(5)官公庁サイトハッキングの一部は、大学コンピュータが踏み台
中央省庁などのホームページの不正書き換え事件で、16件の被害のうち5件は、東京大学本郷キャンパス(東京都文京区)や米中両国内のサーバーコンピューター経由で侵入されていたことが判明。なお、1月24日の科学技術庁、26日の総合研究開発機構は東大本郷キャンパスのコンピュータが踏み台。
(6)Webページ改ざんの対策方法 IPAとJPCERT/CCが相次いで公開
IPA(情報処理振興事業協会)のセキュリティセンターが2000年2月7日に,JPCERT/CC(コンピュータ緊急対応センター)が2月14日に,その対策方法を公開した。
どちらの対策でも,まず実施すべき項目として,「Webサーバー上の不要なサービスの停止」や不適切なCGIスクリプトの削除」などを挙げている。
このほかの対策には,
(1)サーバー・ソフトのバージョン・アップ,パッチの適用,
(2)ログの監視,
(3)バックアップの確保などを挙げている。
4.まとめ&所感
(1)官公庁の一部情報システムは、セキュリティにかなり弱く、特にファイヤーフォールの未設置、管理者パスワードが盗まれた件については、システム構築上、最低限のセキュリティ対策さえ実施されていない。システム構築方法も官公庁間で不統一である。
(2)今回の事件により、政府及び各省庁のサイバーテロを含んだセキュリティ対応が
加速される。政府は、今回の事件がスタートする直前に、いみじくも、「ハッカー対策等の基盤整備に係る行動計画」を発表していたが、今回の事件で、この行動計画に示されていた、セキュリティ関連国際規格(ISO/IEC15408)の導入等が早期に実現される見込み。
(3)今回の事件は、情報・通信に関する関連協会・団体のセキュリティ対策活動を加速。
IPA(情報処理振興事業協会)、JPCERT/CC(コンピュータ緊急対応センター)、通信事業者の団体であるテレコムサービス協会(テレサ協)
(4)セキュリティ試験については、現在の情報処理試験の各区分と、どう関係するのか
不透明である。セキュリティ対策については、企画・設計・開発・運用・保守のそれぞれの段階で必要なものであり、特別な試験区分を設けなくても、システム監査、アプリケーションエンジニア 等々の、他の試験区分でも重要な課題であるはず。
(5)システム監査技術者として、今回の不正アクセスの事件の様な、セキュリティに関する問題についての情報及び課題分析をすることで、セキュリティに関しての知識を深める事ができると感じた。
(6)今回の事件をまとめる中で、自分自身の技術力不足を痛感した。特に、Webシステム等のネットワーク技術、及び最新セキュリティ対策に関する技術についての理解不足。様々なリスクに対抗するためには、最新の技術動向を的確に掴む必要がある。
(7)改めて、情報システムに関して、企画・設計・開発・運用・保守それぞれの段階でのシステム監査の必要性を感じた。もし、官公庁のシステムについても、ある程度のシステム監査を実施していたら、これほどひどい被害は発生しかったと考える。
5.リンク集
(注)2000.3.1段階で,記事が参照可能なホームページのみ示す
(1)発生状況について
・科技庁サイトでハッキング 米男性誌にリンクも
http://www.mainichi.co.jp/digital/netfile/archive/200001/24-4.html
・科技庁に続き総務庁HPも 不正書き換え、対策強化へ
http://www.mainichi.co.jp/digital/netfile/archive/200001/25-1.html
・被害後も外部アクセス可能に 甘い危機管理意識--科技庁
http://www.mainichi.co.jp/digital/netfile/archive/200001/26-3.html
・「サイバー戦争の襲来」 省庁サイト改ざん
http://www.mainichi.co.jp/digital/netfile/archive/200001/28-5.html
・ハッカー対策特別委を設置/テレコムサービス協会
http://www.yomiuri.co.jp/bitbybit/bbb01/013101.htm
・不正アクセスアンケート 省庁・政府機関、危機意識低く
http://www.mainichi.co.jp/digital/netfile/archive/200002/02-1.html
・省庁HPハッカー ◇管理者になりすます◇
http://www.yomiuri.co.jp/bitbybit/bbb07/020201.htm
・”怪しい侵入騒ぎ一覧表”
http://www.zdnet.co.jp/news/0002/04/haikei2.html
・東大が踏み台だった 官庁サイトハッキングで
http://www.mainichi.co.jp/digital/netfile/archive/200002/17-1.html
(2)政府及び各省庁の対応について
・ミレニアム・プロジェクト(新しい千年紀プロジェクト)の基本的な枠組みと構築方針について
http://www.kantei.go.jp/jp/mille/991020millpro.html
・「ハッカー対策等の基盤整備に係る行動計画」
http://www.kantei.go.jp/jp/kakugikettei/2000/hacker/keikaku.html
・セキュリティ技術で国家試験 来秋、第1回実施へ
http://www.mainichi.co.jp/digital/netfile/archive/200002/01-3.html
・「電気通信事業におけるサイバーテロ対策検討会」の開催
http://www.mpt.go.jp/pressrelease/japanese/denki/000202j601.html
・ネット取引、本人確認の仕組み法制化警察庁要請、「なりすまし」防止へ
http://www.asahi.com/tech/news/20000205a.html
・不正アクセス禁止法、13日施行
http://www.mainichi.co.jp/digital/netfile/archive/200002/10-3.html
(3)問題点分析と対応方法について
・特報!ハッカーに狙われた日本の官公庁ホームページ
http://www.internetclub.ne.jp/TECH/Ztoday/2000/000129.html
・技術より運用に課題 続く官庁の不正侵入被害
http://www.asahi.com/tech/special/20000203b.html
・「政府のセキュリティ管理は甘過ぎる」官庁サイト不正侵入を緊急討論
http://www4.nikkeibp.co.jp/NCC/ncctop10/f_ncc1314.html
・前代未聞の連続不正アクセス事件
http://biztech.nikkeibp.co.jp/wcs/show/leaf?CID=onair/biztech/gen/93633
・専門家、不正アクセス禁止法の抑制効果を疑問視 「警察は常に最先端技術を」
http://www.mainichi.co.jp/digital/netfile/archive/200002/10-4.html
・Webページ改ざんの対策方法 IPAとJPCERT/CCが相次いで公開
http://nit.nikkeibp.co.jp/news/448.shtml
・Web 改ざんの防止を目的として行う価値のある対策
http://www.ipa.go.jp/SECURITY/ciadr/webjack.htm
・技術メモ - Web ページの改竄に対する防衛
http://www.jpcert.or.jp/ed/2000/ED000001.txt
・セキュリティは何故,破られるのか?
http://bizit.nikkeibp.co.jp/it/top/view/future/backnum/2000/1h/
20000131.html
・FAQ: Network Intrusion Detection Systems[日本語版]
”ネットワークを通じてシステムを攻撃する侵入者の発見”
http://www.sfc.keio.ac.jp/~keiji/ids/ids-faq-j.html
6.セキュリティ情報関連入手サイト
・IPAセキュリティセンター
http://www.ipa.go.jp/SECURITY/index-j.html
・毎日新聞「INTERACTIVE DIGITAL トゥデイ」
http://www.mainichi.co.jp/digital/index.html
・日経BP BizIT『セキュリティ』サイト
http://bizit.nikkeibp.co.jp/it/sec/index.html
・朝日新聞「ネット最前線」
http://www.asahi.com/tech/news/
・読売新聞「Bit by Bit」
http://www.yomiuri.co.jp/bitbybit/
・日経新聞「NIKKEI NET −ITニュースforビジネス」
http://it.nikkei.co.jp/it/
以上
|
