コンサルタントコラム

「ハッカーの思考から探る情報セキュリティ対策」

2010年07月21日

プリンシパルコンサルタント

内海 良

プリンシパルコンサルタント 内海 良
こんにちは。ニュートン・コンサルティングの内海です。

とうとう梅雨明けも宣言され猛暑が続いていますが、皆さんは夏バテ対策は万全でしょうか。

私は6年ぶりの日本の夏にだいぶ体力を削られています。何か東南アジアの国々に降り立った時と同じような肌にまとわりつく熱気。もはや日本は温暖湿潤気候の枠を飛び出して熱帯雨林気候のような印象を受けています。多大な被害を及ぼしたゲリラ豪雨(このネーミングセンスには疑問を感じませんか?)もスコールに輪をかけたような印象もあります。

ということで改めて温暖化についていろいろと調べていたところ、クライメートゲート事件に行き着きました。イギリスのUEA大学のシステムがハッキングされ、地球温暖化の研究に関連した機密データが公開された事件です。かなり重要なデータが含まれているようですが、事件に興味のある方は最後にリンクを貼っておきますのでご覧ください。

今回はちょうど7月1日から東京都がネットカフェ規制条例を施行したこともあり、ハッキングと情報セキュリティをテーマとして取り上げたいと思います。

情報セキュリティは皆さまの企業でも最優先で取り組みをされていることと思います。情報セキュリティのISO規格であるISMSは広く浸透していますし、我々がITガバナンス構築サービスを提供する際に参照する業界標準のベストプラクティス、CobitやITILでもそれぞれ「DS5システムセキュリティの保証」、「情報セキュリティ管理」プロセスとして当然のように含まれています。CobitやITILを挙げるまでもなく、世の中には攻撃者から守るための対策・手段に関する情報は溢れています。

それではそもそもハッキングの数を減らす対策としてはどのようなものがあるのか、皆さんご存じですか?

まず我が国では2002年5月27日施行にプロバイダ責任法が施行されています。

この法律が施行されたことにより、有事の際には、インターネット接続サービスを提供するISP(インターネットサービスプロバイダー)や掲示板管理業者に情報開示を求めることが可能となりました。ISPなどが管理するIDやメールアドレス、IPアドレス(インターネットの住所のようなもの)を辿っていけば比較的簡単に個人が特定ができます。

そして今月1日より東京都が施行したネットカフェ規制。

利用したことがあるもない人も、ネットカフェや漫画喫茶には自由に利用できるパソコンがあることはご存知でしょう。これまではネットカフェの利用には特に身分証明等不要だったため、このパソコンを利用すれば、いろいろな犯罪行為が可能でした。ダウンロードに時間のかかる情報を盗んだり、企業のシステムをダウンさせるハッキング行為以外にも、容易にできる掲示板等への誹謗・中傷の書き込みなどにも、ネットカフェのパソコンはIPアドレスは特定できても利用者が特定不可だったため、犯罪行為の温床となっていました。今回のネットカフェ規制で身分証明を求めることで、少なくとも東京都内のネットカフェでは利用者の絞り込みが可能となり、プロバイダ責任法のみではカバーできなかった部分を補完することができるようになりました。

では、この規制がどれほど効果があるのか、ハッカーの思考で考えてみましょう。

まずハッカーが第一に優先することとして自分の痕跡を残さないことが挙げられます。残すとしたらそれは未熟な半人前のハッカーです。彼らは標的がアメリカ国防省にしろ、フォーブスのベスト10に入るような企業にしろ、単純にクレジットカード情報を不特定多数の個人から盗むにしろ、自分のPCからダイレクトにハッキングを試みるようなことはしません。

彼らはまずインターネットでつながっている世界中のPCから脆弱性のある(アンチウィルスが未導入であったり、セキュリティホールがある)ハッキングが容易なPCを探し出し、踏み台として利用するために、そのPCをハッキングすることから試みます。ライオンが狩りをする際に怪我を負ったものや子供を標的とするのと同様、ハッカーも最初のターゲットは常に弱者です。

標的となったPCはゾンビPCと呼ばれるのですが、このゾンビPCがさらに別のPCを標的にしてゾンビ化することでゾンビPCネットワークが形成されます。ゾンビネットワークは世界各国をまたがる形となり、追跡が非常に困難になるのです。

たとえば、ルーマニアのハッカーがロシアにあるPCをゾンビ化して、さらに中国のゾンビPCを経由して、アメリカ国防省のシステムへ侵入を試みたり、クレジットカード情報を盗むコードが書かれたメールを世界中にばらまいたりします。このルーマニアのハッカーが最初にゾンビ化したPCが身分証明の不要なネットカフェのPCであれば、もう犯人の特定は不可能でしょう。しかし、ネットカフェでもID情報が記録されるようになれば犯人を特定できる可能性が出てくるのです。

つまり、こうした規制はネットの悪用を減らすには効果的なものであると言えます。今回は東京都のみの条例ですが、今後全国的に広まっていくことを期待します。

また、ここから考えたい企業としての有効な対策としてはやはり弱者にならないことです。弱者にならないためには既存のセキュリティ対策に加え、外部の専門家に依頼してセキュリティ監査や脆弱性調査を実施するのも効果的です。

守る側の視点だけではなく、攻撃者の視点に立つとより効果的な対策が打てるはずです。