ネット戦争の話
「Japanese? As all people know, It's a folk which has no courageface to truth of history it's the disgrace of Asian!」。インターネットの戦争は既に始まっているのかもしれない。着々と種を植えられているのかもしれない。1月24日の科学技術庁のホームページ改竄を皮切りに、中央官庁や政府のホームページが相次いでクラッキング(改竄)されるという事件があった。この事件は今は落ち着いているが、またいつ起きるかは分からない。なぜなら、日本の中央官庁があまりにもこの問題を大きくとりあげてしまったからだ。これまで、日本の政府機関のホームページがクラッカー(日本ではハッカーとクラッカーをひとくくりにハッカーとよぶが、本来ハッカーは天才プログラマーの敬称であり、クラッカーはその知識を悪用して他人のコンピュータに侵入して、データを盗み、破壊する人物のことを言う)に狙われなかったのは、セキュリティーが高く技術的に難しいからではなく、クラッカーの興味が無かったからと思われる。ハッカーの話によると、そもそもパソコンやインターネットは、セキュリティーを念頭に置いて開発されたものではなく、ホームページを掲載するWEBサーバなどというものは、セキュリティーホールだらけと言っても過言ではないそうである。確かにWEBサーバというものは情報の公開を念頭に置かれたものであり、機密情報を置く方が間違いではないだろうか。それであれば、公開されるべく情報を置いているサーバのセキュリティーが問われるのはおかしな話とも思える。WEBサーバは利便性を真っ先に考え、FTP(ファイル転送のルール)を許したり、ID/PWレベルのセキュリティーに留まったりしているのではないだろうか。インターネットの登場によってようやく、行政情報が入手できる世の中になったのに、セキュリティーの名の下に、せっかく公開された情報が隠されてしまうのでは本末転倒ではないだろうか。しかしながら、私が今回の事件で一番怖いと思ったのは、情報の改竄である。今回は明らかに「改竄しました」というべくメッセージが書いてあったが、これが情報の一部修正となったらどうだろう。政府機関やマスコミのページは「信頼できるもの」という念頭が日本人にはある。もし、情報の書き換えにより嘘が流された場合、そこにある秩序は破壊される。「正しい情報を載せる」という目に見えない信頼からインターネットの世界は成り立っているものと私は思う。嘘をついたサイトはその事実が判明されるとそこで信頼性は無くなりつぶれるであろう。しかし、今回のような改竄は真実を載せたサイトにもおこりうるものである。信用を無くしたサイトが再び信用を取り戻すのは難しい。ハッカー事情通の話によるとアメリカではシステムの乗っ取りなどと比べるとホームページの書き換えのような子供だましでは、新聞のネタにもならず、ハッカー仲間でもスクリプト・キティーズ(ツールを使うガキ)と呼ばれバカにされるそうである。クラッカーというのは結局、世間の注目を浴びたいというのが目的なのだから、アメリカの様に騒がず、事件が起きたら早急に復旧しセキュリティーホールを認識して埋めれば、2度、3度と起きることでは無いと思う。しかし、今回の日本のマスコミの対応は大きく取り上げてしまい、連日連夜、新聞に載せてしまった。これを面白がったクラッカーが、さらにターゲットを変えアタックを続けたものと思う。日本人というのはそもそも後の祭りというか、起きてから騒ぐ人種である。今回の事件も「起きうるもの」ということが念頭にあっても、起きてしまえば大騒ぎするという傾向が見られた。悪いことに、日本人はこのクラッカーの責任を問う前に、システム管理者の責任を問う。つまり目先のことを考え、「良い」「悪い」を決めなくては気が済まないという傾向がある。今回の事件も多くのシステム管理者が苦しんだものと思われる。WEBサーバの世界では、「1度目の失敗は教訓」と思って戴きたところだが、日本の政府はそうはいかないのが現状である。契約書を見直して、セキュリティーについて記載が漏れていないか調べ、甲(契約側)が悪いのか、乙(管理者代行側)が悪いのか決めている場面に疑問を抱く。どちらも被害者なのではないのだろうか。今回の場合、こと政治問題として利用されてしまうケースがあるのでたちが悪いのは事実である。ホームページの委託をうけた会社にたいして「名誉毀損」とまで言う始末。「結果責任」「始末書」「損害賠償」と言っているようだが、果たして毀損したのは委託会社なのだろうか。委託会社に全く落ち度が無いという訳ではないだろうが、この事件によって契約会社を変えたところで、セキュリティーを保証できる会社は存在するのだろうか。イタチゴッコに過ぎないセキュリティー会社とクラッカーとの対立を100%保証できる会社などありえない。ようは秩序を守らなかったものをいかに処罰するかにあるのではないだろうか。通り魔に刺されて、刺された人に、「何故、防弾チョッキを着なかった?」と責めてるようなものである。包丁が悪いのではない、包丁の使い方を誤ったものが悪いのではないだろうか。1秒でも早くクラッカーを逮捕して欲しいものである。このように私が逮捕を願う一方で、悲しいことに警察の対応は古典ともいうべき調査をしているようである。今回の事件で被害者の訴えを受けた警察がまず情報収集をするのはあたりまえのことだ。しかし、その方法はハイテク犯罪課とは名ばかりの聞き込み調査。第一発見者に事情聴取をするのである。第一発見者などというものは、インターネットの世界なのだから、ログ(パソコンのタイムスタンプ)を調べなくては本当の発見者の訳はない。しかし、被害者に報告した人を第一発見者とし聴取を続けるのである。当本人の名前、会社名、発見した状況を聞くまでは許すとして、奥さんの名前、年齢を聞くことに何の意味があるのだろうか。事情調書が正確であることを示すためらしいが、そんなことをしてる時間があるならログの解析及び追跡に時間を使って欲しいものだ。次に現場100回とは言わないものの、現場へ足を運ぶ。新聞によるとプロバイダーに電子計算機損壊等業務妨害容疑で、家宅捜査し、ホームページの記録履歴のあるハードディスクを押収したそうであるが、ある意味ヤクザな行為ではないだろうか。このプロバイダーは、個人のプライバシー保護などや通信の機密を理由にハードディスクの任意提出を拒否していたそうであるが、むしろ私は賞賛したい。裏を返せば、このプロバイダー以外は、個人のプライバシーデータの載っているものを、警察が来たというだけで渡してしまっているということだ。新聞紙上では悪者のような書き方をされているが、捜査令状がくるまで、反抗したプロバイダーを私は信頼のおけるプロバイダーだと思う。それにしても、ハードディスクを押収することにいったいどんな意味があるのだろうか。ある意味、職権乱用ではないだろうか。プロバイダーというのは、アクセスポイントの住所だって知られてはいけないものである。極端な話、知られたら爆弾を仕掛けられる可能性だってあるからだ。今回、やられたプロバイダーは多々あると思うがその名前を出さないのは、クラッカーの愉快犯が増えるのが目に見えているからだと思う。それを阻止する為に、プロバイダーは大変な苦労をしたのではないだろうか。その住所を知られてはいけない程のプロバイダーに乗り込み、情報の入っているハードディスクを没収していくのだから、人として疑問を持たずにはいられない。記録媒体を持って行きコピーさせてもらうというならまだ分かる。プロバイダーだって馬鹿じゃないんだからログを解析してるに決まっている。この没収したハードディスクからそれ以上の証拠をつかまなければ、ただの嫌がらせにすぎない。期待したいが、今の警察の状況(警視庁ハイテク犯罪対策センターに高スペックパソコンが無いような状況)では、とても追跡はできないだろう。現状、東大を経由したことが発覚したらしく、そこからもハードディスクを押収したそうだ。しかし、それ以降は共産圏が含まれ捜査を難関にするだろう。もっとも中国のプロバイダー監視は厳しいそうなので、それも経由に過ぎないと思うが。また、今回の事件が起きたのをきっかけに、官公庁・自治体から、急遽セキュリティーに関するアンケートをプロバイダーになげたようであるが、プロバイダーというのは機密義務があるので、「これこれこういうセキュリティーを確保しています。」などと言ったら、それこそセキュリティーホール暴露の第一歩だ。その点を日本の官庁は理解していないのが実状なのだろう。今回の「Little Internet Wars」は、「Internet Wars of Wrold」の布石なのかもしれない。今回は「go」ドメインを中心に狙われたが、次は「co」「ne」の番かもしれない。アメリカでは既にサイバーテロということで、コンピュータでの侵入、破壊による軍事戦略を有力視しているらしく、これにより一般市民への被害は減ると報じているとのことであるが、果たして本当に一般市民へ被害は減るのだろうか。ライフラインや原子力の制御がコンピュータで行われているこの時代でのコンピュータへのサイバーテロが一般市民へ影響しないとはとても思えない。もっとも、悲惨度を考えるとウィルス兵器よりはましかもしれないが。いずれにせよ、大切なのは、こんなものを使わないですむ秩序のある社会を作ることであろう。日本では2月13日に「不正アクセス禁止法」という法律を条令化した。その内容は、「他人のIDやパスワードを無断に使ってコンピューター・ネットワークに不正にアクセスする行為を禁止する。違反すれば1年以下の懲役か50万円以下の罰金が科せられる。」というものである。これはあくまでも国内での条例であり、世界で通じるものではない。日本からの便乗犯はいなくなるにしても海外からの不正アクセスを止められるものではない。日本は今回の事件を「教訓」と見て、事実を理解し、秩序を守るべくInternetの世界を作るよう努力する必要があると思う。(参考:「週刊現代」「毎日新聞」「読売新聞」「朝日新聞」)('00/3/1)
エッセイのホームページに
戻る
戻る
satoru@sumadore.com
