簡単なパスワードは危険!

「辞書攻撃」というものがあります。これは、パスワードの特徴を計算式により解読する方法です。パスワードファイルの中には、暗号化されたユーザIDとパスワードが記述されて配列が分からないようになっています。しかし、パスワードファイルの中でも短いパスワードや英語の辞書に載っているなどの良く使われる単語のパスワードがあると特殊なソフトで分析し、推測できるのです。このようなプログラムはたくさんありますが、これらのプログラムをハッカー関連のサイトから入手して実行しておくことで、解読することができるかどうかを知ることもできます。もしも、パスワードが分かると、次のようなことを実行されるのです。

・あなたになりすましてのネットワークを利用
・メール盗聴
・あなたになりすましてメールを送付

などが考えられます。数字のみ、英文字のみではなく、記号や大文字小文字を組み合わせたり、ユーザIDと同じものや、辞書に載っているような単語は絶対に避けてください。

 家庭での高速化によるネット常時接続の危険。

ADSLや光通信によるインターネットの常時接続が家庭でも広がり始めていますが、そこには思わぬ落とし穴が待ち構えています。今までのダイアルアップ接続の場合は、IPアドレスがアクセスするたびに異なったものが表示されますが、常時接続の場合は、IPアドレスが固定されます。固定されるということは、場所を特定しやすくなり悪意のもった人物の標的に遭う可能性も増大します。しかも事業者は、高速接続を歌い文句にしてセキュリティーなどの安全性に対しては、後回しになっているのが現状です。家庭では24時間常時監視は無理です。ネットに繋ぎっぱなしにせずに、必要のない場合には、パソコンの電源を切ってください。もしもの時に備えて、重要な個人情報は、パソコンのハードディスクに保存せずにMOやフロッピーに保存することを心がけてください。

 電磁波防止用フィルターを利用して電磁波によるパスワード漏れ対策が必要。

パソコンや周辺のコードなどから漏れる電磁波から、あなたのパソコンに入力した情報を盗むことができるようになりました。電磁波は主に稼働しているパソコン本体のほか、プリンターとつなぐケーブルから発生します。電磁波受信用アンテナと受信機を使って電磁波を受信すると、100mほど離れたところからでも、パソコンの画面が読むことができます。パソコン側がビルの高台などにある場合には、500mほど離れた地点からも、受信できます。特に、パスワードの解析もできるので、パスワード情報が盗まれることに気を付けてください。不正アクセスと違って、情報を盗まれても、ログやジャーナルなどの証拠が残りません。現在の電波法では、電磁波から情報を盗まれても取り締まることはできません。また、情報が盗まれたと気付くときは、被害にあってからになります。

 「リストの○人の口座に○○○○円ずつ送った後、自分の口座を加えたメールを多くの人に送るだけで、数カ月後には、あなたにも、大金を手にできる」と勧誘メールが頻繁に何度も届きます。本当に大金を手に入れることはできるのでしょうか。違法なのでしょうか。

複数の方から、このような相談がありました。確認したところ、昨年末から43通を超えています。「ネズミ講の疑いがあるので、絶対に実行しないように」と返信していましたが、この電子メールを発信していた容疑者が無限連鎖講防止法違反(開設)の疑いで、逮捕されました。電子メールを使ったネズミ講の摘発は、国内で初めてになると思います。今後も、同類のメールには注意してください。

 以前の情報で「サービス拒否攻撃の脅威」とありますが、サービス拒否攻撃について、専門用語を使わずに簡単に説明してください。

おなたが、有名アーチストのコンサートチケットを電話予約するときに、たとえば、○月○日、○時から受け付けだとします。当然、複数の方がチケットを入手するために、特定の電話番号に電話を掛けます。すると、システムの負荷を超えてしまい、必ず電話が掛からない状態になります。サービス拒否攻撃も、この構造がよく似ています。複数のコンピューターを同時に作動させて特定のホームページに大量のメッセージを送り込んで麻痺させるやり方です。ただ、電話の場合と違うところは、特殊なプログラムで、その複数の方が一斉にアクセスするのではなく、あらかじめ○月○日、○時○分と仕掛けておくと、数人や一人でも攻撃できることが可能になってしまうことです。

 ネット犯罪の種類を理解しておく

「スパムメール」「ウィルス」「カードの不正使用」 「誹謗中傷」「 不正アクセス」 「掲示板荒らし」 「メール爆弾」「メールの盗聴」「 著作権侵害」「ネットストーキング」 「アダルトサイト入会詐欺」「Q2ソフトの無断ダウンロード」「国際電話加電」「個人情報漏洩」「ねずみ講」など、インターネットを利用して悪さをすることです。

 不正アクセスのアクセスログを確認する

不正にアクセスした履歴を確認する方法は一般的には、アクセスログを確認することからはじまります。最低限、あなたのサーバーにアクセスログを確認できるように設定しておく必要があります。IPが生ログの場合にはそこのサーバーに直接、確認すれば分かりますが、悪事を働こうとする人はプロクシ経由がほとんどです。プロクシ経由の場合でも経由されたプロクシサーバーに連絡を取って不正アクセスされた経緯のアクセスログを送信し、協力を求めます。そのプロクシサーバーの生ログからIPが確認できる次第です。複数のプロクシサーバーを経由している場合の手間は2重、3重になります。ただ、ポイントとしてはプロクシサーバーもログを1ヶ月間保管しているところは少なく、ログ保管を3〜4日で自動削除しているところもあります。不正アクセスに遭遇したらすぐに実行することだと私は思います。

 悪人は、あなたのとなりにもいる

情報漏洩や不正アクセスというと、特別な人が特別な手段でよるものというイメージが強いと思われている人が多いと思いますが、そうではありません。特に会社では、不特定多数の人物や取引先の人が出入りします。最近では、それらの人によって社内機密情報や不正アクセスの弱点を外部に持ち出される被害が多くなってます。その中で特に顧客情報が流失することは会社生命も危険にさらされる場合もあります。リモート・アクセス、アクセス権の設定、セキュリティ・ホールなとのチェック体制があたりまえのように改善されているのですが、この人によるチェック体制がおろそかになっています。一度損なった信用を回復するには、何年、いや何十年かかります。注意したいものですね。

 サービス拒否攻撃の脅威

某サーバーがクラッシュされアクセス不能に陥りました。多くのサイトでは『サービス拒否』攻撃には弱く、ターゲットとなるネットワークを複数のアクセスにより、つまるようにもっていく行為のことで多大な影響を与えます。攻撃を実行する裏ソフトかあります。そのソフトを入手することから始まります。予防は、処理能力を増大させるか、または、サービス要求を無視するように設定する。複数攻撃の場合でも加わる数十台から数百台ものコンピューターを無視するようにする設定するのは不可能ですが、すべてに、サービス拒否が行えないように設定すれば収まります。しかし、新手の方法もありますから100%防御することは難しいと思います。

 2月13日に施行。不正アクセス禁止法について

ネットワークへの不正通信や侵入を取り締まる「不正アクセス禁止法」が13日、施行されました。これまでは、不正な手段を悪用してネットワークに侵入しても、プログラム改ざんやデータを盗むなどの行為を行わない限り、法律では取り締まることができない状態。しかし、今後は不正アクセスを実行した時点で1年以下の懲役または50万円以下の罰金が科せられることになりました。いままで趣味で侵入していた人は特に気をつけてください。ただ、不正アクセスを実行した時のログの保管をプロバイダーやネットワーク管理者に対して、使用コンピュータ、アクセス者ID、IPアドレスを3カ月間の保存義務を盛り込むことを主張していますが、3カ月間のログを管理する場合には、特にアクセスの多いプロバイダーなどでは、ログの保存量が多く、今とは別の保存用のシステムを組み直したり、構築しないと対応できないでしょう。この費用は10万、20万円という費用では済まず、最低、数百万はかかるでしょう。このログ保存義務の問題ともう一つの問題として通信の秘密は今後、どうなるのか・・・・・ちなみに海外では、この手の法律についてすでに実行されています。これで国境を超えた不正アクセスにも対応できるようになりました。

「諸外国の不正アクセス禁止関連の法律成立年度」

ヌアメリカ=1986年
ヌイギリス=1990年
ヌフランス=1998年
ヌドイツ =1986年

 EC企業などで不正アクセスなどの攻撃を受けてシステムが落ちた場合の損害補償保険について

悪意のある一部の人からアタックを受けホームページの改変やシステム妨害などの被害でサーバーがダウンすれば、企業にとっては顧客との信頼関係が薄れ今後の売上などに影響します。そこで、利用したいのが「ネットワーク保険」というものがあります。次を参考にしてください。

某保険会社の企業向けコンピューターネットワーク保険の特徴

■賠償項目

・通信用ケーブルの損傷
・火災、落雷、水漏れ、破損等の事故
・停電による電源遮断
・コンピューターウイルス
・不正アクセス
・プログラムの破壊

価格については、以下の項目などの細分化したリストよりチェックを受け、AからFまでランク付けを行い保険料を算出しています。価格は保険会社や企業のシステムによって算出方法は違っています。まだ、普通の保険に比べれば高価なのが残念。しかし、これからの未知の世界にどのような事件が発生するか分からないので見積りを依頼して企業存続のために検討しましょう。

■システム監査担当者がいる
■定期的にリスクに対するレポートを作成している
■ログファイルを定期的にチェックしているか
■システムを外部に委託している
■定期的にバックアップしているか
■社員が定期的にパスワードを変更しているか
■重要書類は暗号化を実施しているか

 盗通信傍受法が成立されても電子メールを傍受されない方法はある

インターネットへの接続方法は、電話回線だと通信業者や接続業者では簡単に傍受が可能なので、たとえば人工衛星や無線LANを使えば100%ではないが、傍受しにくい。独自で開発した暗号を用いると解読されるまでは、ビットにもよりますが、すぐには解読できません。何百代のコンピューターを用意しても最低2〜3年はかかります。一般に普及されている暗号でも事前に暗号方式が判明しないと解読ができません。

 電子メール転送サービスを利用したい

学校や会社などからあたえられた電子メールアドレスには必ず学校名や会社名のドメインが付くことになるのが一般的です。あやしい商品の申込やアダルトページなどには登録しづらいのが本音。そこで電子メール転送サービスというものが威力を発揮します。検索エンジンを利用し「メール転送」などで検索すれば50〜60件はヒットするのでそこからどこの転送サービスに登録するのか規約などを閲覧してサービスのよいところに絞り込みます。無料でサービスが受けられるところがほとんどですが、電子メールが転送されるとバナー広告もいっしょにメールを受け取ることになる会社もあります。サービスの料金は無料のところもあります。無料にしているのは企業から新商品やサービスの情報を提供することで情報掲載料企業からの広告料金をとって運営しているためで、しかも新しい好きなメールアドレスも与えられ、プロバイダを変えても転勤、転居してもそのアドレスが変わらない仕組。新しい転送サービスのメール○○○○@転送サービス会社.ne.jpなどの転送用のメールアドレスになります。またメールソフトの個人情報 にある「返信先アドレス」に、○○○○@転送サービス会社.ne.jpと設定を変更すれば学校や企業などのアドレスを相手に分かることなく送信ができます。サービス会社によって異なるが、自宅や会社、ホテルなどのFAXにメールを転送できるサービスを実施している会社も。このサービスを利用すれば、会社や学校に新しい転送サービスのメールで送信されれば、設定を自宅やホテルなどのFAXに転送されるので、1ヶ月の出張や長期休暇の場合でも内容がFAXで送信されてくるのと自宅にパソコンがなくてもFAXがあればメールの内容が分かる便利なサービス。

 気をつけたい信頼マーク盗用

第三者協会などが発行している認証印というものがありますが、この認証印の使用を認めている会社以外で認証印が使用されていることが多くなっています。この認証印はパソコン上で簡単にコピーして張り付けることができるため、無断でコピーした認証印を使う業者が現れるようになった。いくら認証印がおっても現段階では、注意しましょう。

 SPAMメールは受け取り拒否ができるようになりつつある

アダルト関連などのSPAMメールが頻繁に何通も届いた場合、本来のメールを確認するのにも時間がかかるようになります。最近のプロバイダでは技術の進歩で、そのようなSPAMメールを受信拒否ができる場合が多くなってきてます。本文とヘッダを保存し、加入しているプロバイダに相談してみよう。無理な場合はダメもとで発信されているプロバイダと交渉してみましょう。ちなみにヘッダが偽装されている場合も多く、偽装されていた場合には、最新のメールソフトでは、受信拒否が可能なので、すぐに最新のメールソフトにバージョンアップして防ぐこと。

 Webページの改変に気をつけよ

個人のWebページが改変されたとしてもあまり問題が発生しないと思われます。・・・が、それが電子商取引をWebページ上で行っている企業では死活問題になります。踏み台に利用されるた場合は最悪。しかし、セキュリティーを強化してしまえばHPはだれもアクセスできないようになってしまいます。予防は監視を強化するしかありません。

1、アクセス状況を常に監視、攻撃状況を確認する
2、常に最新のWebサーバー・ソフトを使用する
3、コンテンツを置くマシンをWebサーバーとは別に用意する
4、CGIスクリプトが原因で侵入される場合もあるのでCGIスクリプトに適切に注意する

一度、Webページを書き替えられた場合、システムの破壊やほかのマシンを踏み台として攻撃することも可能です。パスワード情報が流出している場合も考えられますのでシステムを再構築することを薦めます。

 アクセスログから不正アクセスを分析する

Webサーバーからアクセスログを確認すると
「www10/Feb/1999:0:55:04 attol.com "get /etc/passwd/" 404」
「www10/Feb/1999:0:55:23 attol.com "get /etc/passwd/" 404」
「www10/Feb/1999:0:55:48 attol.com "get /etc/passwd/" 404」
「www10/Feb/1999:0:56:02 attol.com "get /etc/passwd/" 404」
というログがある場合

この場合には、「1999年2月10日午前0時55分4秒」から「1999年2月10日午前0時56分2秒」まで計4回、連続してパスワードファイルをダウンロードしようと試み失敗した情報を確認できます。最終的には、不正アクセスはログの管理から始めます。このログにより、捜査機関に調査依頼するのでログは最低3ヶ月は保存しておきたましょう。ちなみにこのような不正アクセスは、管理者がいない深夜や正月、盆、ゴールデンウィーク期間が最も多い。

 セキュリティー教育は現時点ではどうなっていますか

セキュリティー教育は実施されていない学校が多いようです。特に小、中、高では最近、このテーマで学校教育関係より講演を多く頼まれますが、美しい薔薇の花にはトゲがあるようにインターネットは楽しいが使い方を間違えると 自分に不利益が生じたり、他人に迷惑をかけたりすることがあることを認識させることから始めています。実社会にも存在するように悪意を持った人もネット上にも存在しています。簡単な不正アクセス技術、パスワード管理の重要度、コンピューターウィルス、 データ改竄、メールアドレスの重要性、プライバシー、ソフトウェアのコピー問題などに関して悪いことの事例を紹介して、このような事について何が良くて、何が悪いという認識をさせることからはじめています。