Comments
Description
Transcript
NATO heads hail end of Cold War
FBI: Internet fraud complaints tripled in 2002 CNN April 5, 2003 2003.5.1 文科一類 2 年 大波多 真希 ヨーロッパ地域担当 Ⅰ 要約 FBI より 48,000 件にのぼる苦情の報告がなされたことで、インターネット上の不正行為は 2002 年度に 急激に上昇し、前年の三倍を数えた。もっとも一般的な苦情はインターネット・オークションにおける 商品の不配達やクレジットカード関係の不正行為などである。インターネット上の不正行為によるドル 損失は 5400 万ドルにのぼり、前年度の 1700 万ドルと比較して約三倍になっている。これらは報告され たもののみであり、実際生じているとされるインターネット犯罪の量のほんの一部に過ぎない。更に、 不正行為として数えられてはいないが、ダイレクトメールやスパムなどの迷惑メール、児童ポルノグラ フィー、ハッキングなどのコンピュータ侵入などに関して、2002 年度のみで 37,000 件の苦情が寄せら れている。インターネット利用人口が増えるにつれて不正行為は増加し続けるが、苦情を受け付ける被 害者救済のためのウェブサイトが有名になることで見かけ上の苦情の上昇が生じる可能性もあると当局 は述べている。 Ⅱ 論点 インターネットを利用した犯罪、特に不正アクセスについて分析し、インターネットセキュリティに対 する姿勢を再考する。 Ⅲ 分析 0.はじめに コンピュータを利用したインターネット・ネットワークの普及に伴って、情報通信社会は新たな局面を 迎えていると言っていい。2005 年にはインターネットが社会のインフラとなり、あらゆる産業の活動が インターネットベースに移行すると予測されている。インフラ整備とともに課題となるのはそのセキュ リティの確保である。かつては個別に構築されていた情報システムが、インターネットを利用した相互 接続により、世界中からのアクセスを可能にし、サイバースペースを全世界的なものへと拡大した。し かし同時に、グローバル化した情報システムの負の側面としてさまざまなハイテク犯罪、特に各種不正 アクセスが大きな問題となっている。以下、サイバースペース内で起こっているハイテク犯罪、特に不 正アクセスの実態について調べ、その対策を検討したいと思う。 1.定義 サイバースペース コンピュータによってつくりだされる空間という意味。サイバースペース内で行われる犯罪には以下の 二種類がある。 a. コンピュータ、特にインターネットをメディアとして利用した犯罪。従来の犯罪類型に含まれる。 ex.著作権侵害、プライバシー侵害、名誉毀損、詐欺行為、わいせつ表現 b. コンピュータ、特にインターネットそれ自体の機能(信用や安全性)を阻害する犯罪 ex.不正アクセス、データの不正使用、コンピュータウィルスの送信等 ここでは、b の犯罪類型を「ハイテク犯罪」として見ていくことにする。 ハイテク犯罪 コンピュータ(特にインターネット)、情報システムにかかわる犯罪を「ハイテク犯罪」と総称する。ハ イテク犯罪の発生件数は、ここ数年急増する傾向にある。 不正アクセス システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを 介して意図的に行うこと。すなわち、侵入者や攻撃者が企業、団体、個人などのシステムを権限もない のに不正に利用したり、盗聴したり、運用を妨害したり、破壊(クラック)したりすることである。 2.不正アクセスの実態 ここでは企業内などの個別のネットワークについては触れず、インターネットにおける不正アクセスの みに限定する。 2.1.不正アクセスによる匿名性 ネットワークを利用して行われるコミュニケーションの特徴 :相手方の本人確認が、専らID・パスワード等の識別情報依存 →識別情報が盗用され不正にネットワークが利用された場合、ほぼ完全な「なりすまし」を行うことが 可能(極めて高度な匿名性) 「なりすまし」 =アクセス権限を有する者の識別情報を盗用するなどして権限外のアクセスを行うこと =不正アクセスそのもの いったん「なりすまし」によりシステムに侵入すれば、その者はどのような犯罪を行おうとも、発覚し ないという状況に置かれることとなる。 2.2.不正アクセスの事例 なりすまし、すなわち不正アクセスによる匿名性に目を付け、それを手段としたものが多数。 ・電子メール配送プログラム(sendmail)を悪用した攻撃 ・トロイの木馬プログラム ・パスワード破り ・コンピュータウィルスによる攻撃 ・DDoS(分散型サービス妨害攻撃) ・バッファ・オーバーフローを利用した進入 2.3.一般における不正アクセスの危険性 :踏み台として利用 ・ダイヤルアップ接続よりADSLやケーブルテレビなどの常時接続タイプのインターネットの方が侵 入される可能性が高い ・サーバー管理者も通常はアクセスログを保管しているため、普通にサーバーを攻撃したらすぐに身元 が判明する →無関係な一般人のパソコンに攻撃プログラムを仕込み、そのパソコンに他のサーバーを攻撃させる 2.4.不正アクセスの手段 大きく以下の二種に大別される。 a. 正常アクセス手順 アクセスやメール送信など企業や大学などが「表向きに公開している」部分から侵入するもの b. 異常アクセス手順 スキャニングやパスワードクラックを用いて、本来表向きには見せていない部分から侵入してくるもの 2.5.不正アクセスの実際の手順例(ホームページ改ざんの場合) 1.ポートスキャン等で侵入できそうなサイトが無いかランダムに調べる。企業や大学等の名前にこだわ らず対策の弱そうなところを選定。 2.侵入ツールを使用して不正侵入のルートを確立、主にシステム管理者のパスワードを不正入手し、管 理者権限を取得。 3.再び侵入し、Web データを改ざん。侵入後はアクセスの経路(ログ)を消去。 2.6.最近の傾向 従来は、国外からの事案が多かったものの、最近では国内が発信元と思われる事案が増加しており、そ の攻撃も組織化・大規模化する傾向にある。 不正アクセスの大部分はファイアウォールの設定ミスやサーバソフトのパッチ未適用などのセキュリテ ィホールを突いての侵入である。それ以外にも従業員によるデータ持ち出し等の内部犯行によるものや バックドアによるものがある。 今後、ネットワーク上において、大きな価値が流通するようになるにつれて、不正アクセスの手口も更 に高度かつ複雑なものとなることが予想される。 3.対策 3.1.法と不正アクセス 不正アクセス行為の禁止等に関する法律が 2000 年 2 月 13 日施行 →不正アクセスは、以前の刑法では処罰の対象とされていなかった (不正アクセスを手段として犯罪を実行すれば処罰されるが、不正アクセス自体は罰せられなかった) 一方で下のように、管理者やユーザー側も不正アクセスへの対策を取るべきとの意見も聞かれる。 ・不正アクセスは本来、事業者やネットワークをかかえる企業の自発的なセキュリティ対策の向上で防止 すべきものであり、罰則や勧告で防止できるとは思えない ・刑法の問題と言うよりセキュリティなど技術面でほとんど解消される問題 ・ID の不正使用もユーザーの管理の不十分さが原因の大半 3.2.我々が講ずることのできる対策 不正アクセスを防止するためにエンドユーザーとして我々が取るべき対策をあげる。 サーバの OS/ソフト最新化(バージョンアップ) ・OS/ソフトの提供元からの修正プログラムの提供や、バージョンレベルのアップを適切に行う。 パスワードの管理 ・メモを残さないなど、パスワードの秘匿に努める。 ・他者が容易に推測できる語句をパスワードとして使 用しない。 ・適切な期間ごとにパスワードを変更する。 端末の管理 ・端末から離れるときは、電源を切る・ログアウトする・パスワード付きスクリーン・セーバを使用する のいずれかの措置を取る。 バックアップ ・バックアップは、定期的に、かつ、可能な限り頻繁に行う。 ・バックアップ・ファイルは、適切な保存方法・期間を定め、原本と異なる場所に保管する。 ウィルス対策、個人情報の保護などに関しての対策は 4 で述べることとする。 3.3.今後の技術動向 暗号化技術の応用 ユーザID・パスワード以外の本人認証手段として機能することが期待されるものとしては暗号鍵がある。 暗号とは一定の規則に従って文章・数などを他の表現に変えて、その規則を知らない人には元が何かは判 らなくするためのものである。暗号は伝達内容の秘匿という機能を担ってきたが、公開鍵暗号方式が開発 されてからは、その本人認証機能等が着目され、実用化された。 ファイアウォール ファイアウォールはまず内部ネットワークと外部インターネットとの間に一定の仕切りを加えるものであ るから、個別的というよりは抜本的な対処法となり得る。 4.基本的なインターネットセキュリティ 当日補足資料として配布します。 Ⅳ 資料 不正アクセス行為の禁止等に関する法律 2000 年 2 月 13 日施行 不正アクセス禁止法第 3 条 2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。 (1) アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識 別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用 をし得る状態にさせる行為 (当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号 に係る利用権者の承諾を得てするものを除く。) (2) アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用 の制限を免れることができる情報(識別符号であるものを除く。) 又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる 行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得て するものを除く。次号において同じ。) (3) 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制 限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力 して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(不正アク セス行為を助長する行為の禁止) 第 4 条(不正アクセス行為を助長する行為の禁止) 何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係 るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係る アクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし、当該アクセス 管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでな い。 ・スキャニング 攻撃対象のシステム/ネットワーク構成、導入ソフト、OS 等の情報を探り攻撃の糸口を探る。 ・DNS ゾーン攻撃 スキャニング同様に、踏み台に利用できそうなサーバ情報を一括して探る。 (DNS:Domain Name Service) ・DMZ 構成/非武装セグメント DeMilitarized Zone、非武装セグメントとも呼ばれる。ファイアウォールによって外部(インターネット) からも内部(企業内イントラ)からも隔離された区域のこと。DMZ 構成ではこの隔離された区域に外部に 公開するサーバを置くことで、不正アクセスより守ることができる。 DDoS 攻撃 (Distributed Denial of Service attacks) 標的となるコンピュータに対し、ネットワーク的に大きな負荷を加えることで、サービスをダウンさせた り、実質的にサービスを利用不能にしたりする不正アクセス手法の 1 つ。単独の攻撃元が標的に対して攻 撃を加えるものは DoS 攻撃と呼ばれるが、この DDoS 攻撃では、セキュリティ的に脆弱なサイトに DoS 攻撃用のツールを忍び込ませておき、これら第三者のサイトを使って、複数の攻撃元から、標的となるコ ンピュータに対して DoS 攻撃を加える。 ・SPAM メール 業務やサービスに全く関係の無い、広告宣伝/勧誘のメールを送りつけ相手業務を混乱させる攻撃。 ・メール爆弾 自動化ツールや踏み台を利用し、大量(数千∼数万通)または大容量のメールを送信しサーバ の機能やメ ールアカウントを麻痺させる攻撃。 ・バッファオーバーフロー 特に管理者権限で動作するプログラムのメモリ領域に侵入。故意に長いデータを送りつけメモリにオーバ ーフローさせプログラムを誤動作させる攻撃 ・ウイルス プログラムやファイルに埋め込まれた悪意の有るプログラム、多くの種類が出回っており、メールやデー タ転送等により感染する。 ・パスワードクラック パスワードとして使用されがちな単語や文字の辞書を用意し、ツールにて総当たりを行いパスワードを解 読する。 ・データ持出し マシンから人手により機密データを持ち出し、主に営利目的により第三者に売りつける。 ・ゴミ箱あさり 社内の人間または清掃業者などに成り済まし、文字通り、破棄された文書、メモ等から機密情報、パスワ ードに繋がる情報を見つけ出す。 ・トロイの木馬 有益な情報やツールに見せかけてプログラムをダウンロードさせてインストール後、ファイル破壊等の悪 意有る動作を実行する。ウイルスとは異なり他への感染は無い。 ・バックドア 公開ホームページ等の正規のルートではなく、本来不特定の外部には見せていない入り口(専用線含む) を見つけ出し、攻撃の入り口にする。 ・SSL(Secure Sockets Layer) WWW ブラウザと Web サーバの間に行き来する情報を、暗号化するための通信手段。 ・暗号化 情報の表現を組替えて第三者が利用できないようにすること。大きく「共通鍵方式」と「公開鍵方式」に 分けられる。(逆:復号)。 ・共通鍵(暗号)方式 「公開鍵」、「秘密鍵」といわれる 2 種類の鍵を使用する方式。「秘密鍵」は常に自分の手元に起き、「公開 鍵」は相手も取得できるようにしておく。「公開鍵/秘密鍵」は常にペアで存在し「公開鍵」で暗号化した ものはペアの「秘密鍵」でしか復号できない仕掛け(逆も有り)となる。 ・公開鍵(暗号)方式 暗号化する側、復号化する側で共通の鍵を使用する方式。実際には暗号化されるデータに加え、 「鍵」も別 送し、復号する側で配送された鍵を受け取り、平文に直す。高速でデータ送受信が行えるメリットはある が、その安全性は「鍵」をいかに安全に配送するかに大きく依存される。 ・セキュリティホール プログラムの仕様ミスや、設定ミスなどにより生じたセキュリティ上の弱点のこと。セキュリティホール を糸口として、本来、システムが想定していない悪意有る動作を引き起こされ、ホームページ改ざん、機 密情報漏洩、踏み台などの被害を受ける。 Ⅴ 参考資料 記事引用元 CNN.com http://www.cnn.com/ 文献 「インターネットと法 第二版」高橋和之・松井茂記 「オンライン・ロー」トーマス・J・スミーディングホフ 「コンピュータセキュリティの基礎」Deborah Russell, G.T.Gangemi Sr 「IT 社会の法と倫理」サラ・バーズ Website 警察庁 http://www.npa.go.jp/ Hotwired Japan http://www.hotwired.co.jp/ FBI: Internet fraud complaints tripled in 2002 Wednesday, April 9, 2003 WASHINGTON (AP) -- Fraud on the Internet rose sharply in 2002, with the FBI reporting more than 48,000 complaints referred to prosecutors -- triple the number of the year before. By far the most common complaint was auction fraud, followed by non-delivery of promised merchandise, credit card fraud and fake investments, according to the report Wednesday from Internet Fraud Complaint Center, run by the FBI and the National White Collar Crime Center based in Richmond, Virginia. The total dollar loss of Internet fraud reported to the center in 2002 was $54 million, compared with $17 million the year before. The 48,252 complaints referred for prosecution were far more than the 16,755 such complaints referred in 2001, but they still represent only a fraction of the crimes authorities believe are occurring. The center also received almost 37,000 other complaints in 2002 that did not constitute fraud but involved such things as unsolicited e-mail or SPAM, illegal child pornography and computer intrusions. As more people do business on the Internet, fraud is expected to continue to increase, officials said. They also said the rise in complaints could stem from greater awareness of the Internet fraud center as a site for victims to fight back. The center "helps victims by putting fraud information into the hands of law enforcement ... so these complaints are responded to quickly," said Jana Monroe, assistant FBI director in charge of the Cyber Division. The report provides a glimpse into common types of fraud, its perpetrators and victims. For instance, almost 80 percent of known perpetrators are male and about 71 percent of those bringing complaints are also male. Fraud complaints came from all over the United States, with a third filed in highly-populated California, Florida, Texas and New York. Complaints also came from Canada, Australia, Britain, Germany and Japan. 'Nigerian letter' scam While online auction fraud accounted for 46 percent of complaints, the average amount lost in these cases was just $320. By comparison, victims of Internet identity theft averaged $2,000 in losses, with check fraud losses averaging $1,000. One persistent scam described in the report is the so-called "Nigerian letter," complaints for which rose from 2,600 in 2001 to 16,000 in 2002. Victims are presented with an opportunity to receive nonexistent government money, often from the "Government of Nigeria," as long as they pay an upfront fee often characterized as a bribe to that government. The report did not include statistics on how many complaints received by the Internet fraud center resulted in criminal convictions last year, but it did detail high-profile examples. One case involved $800,000 in losses by 300 people in a scheme to sell computers online and never deliver the merchandise. The perpetrator in this case, Teresa Smith of Worcester, Massachusetts, used several identities to prevent authorities from catching her. Smith pleaded guilty in December to federal mail fraud and wire fraud charges and is awaiting sentencing. In California, Raj Trivedi of San Diego pleaded guilty in December to a 96-count federal indictment and was sentenced to three years in prison for using the Internet to peddle computers, camcorders and other electronic gear but delivering none of the goods. More than 700 people worldwide were swindled of some $922,000 in that case.