NPO日本ネットワークセキュリティ協会
HOME JNSAについて 活動内容 イベント・セミナー 会員向け情報 成果物 リンク

セキュリティのプロが選ぶ! JNSA 2001 セキュリティ十大ニュース 〜プロの目で見るセキュリティ 2001〜

≪工学院大学 大木研究室からの転載(NRAメールマガジン抜粋)≫
2001年12月25日
セキュリティ十大ニュース選考委員会委員長 大木 栄二郎

  小泉改革にそれなりの期待を抱きながらも、ままならぬ経済状況、じりじり増えつづける失業、消費低迷にぬぐえぬ金融不安など 21 世紀最初の年は明るい展望が開けないままに暮れようとしている。

 当マガジンは 10 月に「警鐘・啓発・契機」をコンセプトとして創刊、まだ3 ヶ月目ではあるが、セキュリティ十大ニュースで 2001 年を振り返ることとした。社会に与えた影響の大きさやマスコミ等での取り上げ頻度などを基準に、NRA会員企業の有志を選定委員として、言わばセキュリティ・プロフェッショナルが選んだ今年の十大ニュースと理解いただければ幸いである。

 結果は、e-Japan 構想の始動という明るいニュースも同時多発テロやコンピュータウイルス、セキュリティホールのニュースにかき消されて、世相を反映してか暗い話題ばかりの十大ニュースになってしまった。日本の情報セキュリティはまだまだ問題が多いことも明白であり、やるべきことは多い。

 日本全体が大変革の時期にあることだけは間違いがなく、情報のセキュリティに対する姿勢も大変革を遂げて安心できる 21 世紀を作れるように祈りたいものである。

 

<2001セキュリティ十大ニュース>

【第1位】 NYワールドトレードセンタービル崩壊
同時多発テロで激変した米国のセキュリティ意識
― 日本で起きたらどうなるのか? ―
【第2位】 「W32/CodeRed」世界に蔓延。まさに無差別テロ
― パンドラの箱を開けてしまったのか? ―
【第3位】 危機管理の甘さ露呈 リコール隠し/食中毒/情報漏洩
取り組みが急務。日本企業の危機管理
― リスクマネジメントが経営の重要課題 ―
【第4位】 大手ベンダー ユーザ支援の枠組みを発表
消えないセキュリティホールの憂鬱
― 大手ベンダーもユーザも本腰が必要 ―
【第5位】 多発した日本(JP)サイトへのクラッキング事件
― ターゲットとなる日本のあまいセキュリティ ―
【第6位】 感染力も被害も桁違い「W32/Nimda」
― ウイルスの進化に、対策も進化を ―
【第7位】 38 万人分の百貨店のカード会員名簿が流出
ネットに迷い出る個人情報
― 故意? ミス? あなたの情報は大丈夫? ―
【第8位】 ずさんな管理で大手企業からのウイルス流出あいつぐ
― 知らなかったでは済まされない ―
【第9位】 セキュリティ対策チームに DoS 攻撃の皮肉
すぐそこまで来た不正アクセス
― 件数増加、内容悪質化。
  セキュリティポリシーがあれば防げるものも ―
【第10位】 サイバー犯罪条約、日本も署名
― サイバーセキュリティ対策の制度化進む。
                   実効性には疑問も ―
<2001セキュリティ十大ニュース> 選定委員・解説
編集長・大木栄二郎/伊東秀郎/片山幸久/川口哲成/
小屋晋吾/小山覚/櫻井弥生/竹内和弘/竹内秀夫/
村岡洋一/星山慶子
【第1位】 9月11日 NYワールドトレードセンタービル崩壊
        同時多発テロで激変した米国のセキュリティ意識
        ― 日本で起きたらどうなるのか? ―
 ハイジャックされた旅客機がワールドトレードセンターに衝突するシーンの強烈なショックを忘れ得ない読者が多かろう。この未曾有の大事件がそれまで自由の国と呼ばれた米国のセキュリティに対する意識を激変させたことが、2001年のニュース第一位に選ばれた理由である。

 事件前の、自由が第一義で個人のプライバシーを尊重しつつ社会のセキュリティの確保と言う米国民の意識が、事件後はセキュリティの確保が第一義で、その上で個人のプライバシーを確保と180度変わってしまった。まさに、自由の国 アメリカはどこへ行ってしまったのかと憂慮させられるほどの変わり様である。ここに、危機に敢然と立ち向かうアメリカ、団結するアメリカの姿を見ることもできる。

 また、金融センターの壊滅と言う非常事態にも、対岸のニュージャージーでのバックアップオフィスでの迅速な業務再開で、決済をとどこおることなく機能させつづけた危機管理の見事さも浮き彫りにしたとも言える。日ごろの危機管理に備えた地道な活動が見事に生かされたのである。

 米国企業は、この事件を教訓にセキュリティ対策費を数倍に積みまして、さらに万全の備えに踏み出した企業が多いと聞く。これに対して、喉もとすぎれば何とやらの我が日本。自衛隊の米軍後方支援に口角泡を飛ばす議論は良いとしても、仮に東京で同種のテロが起きた場合を想定した危機管理がどの程度できているのか、不安で仕方がない。サイバーテロ対策を進めるアメリカ、効果が見えないものには投資がしづらく、目の前の危険しか感知できずその日暮らしに追われる日本。世界のネットワークに組み込まれ、次第に存在感の薄れる日本になりはしないか。

【第2位】 8月1日 「W32/CodeRed」世界に蔓延。まさに無差別テロ
      ― パンドラの箱を開けてしまったのか? ―
 2001 年下半期、セキュリティホールを利用しインターネットで感染を急速に拡大するタイプのウイルス感染拡大の口火を切ったのは、7 月 19 日に米国のセキュリティ団体 CERT が警告を出した「W32/CodeRed(コード・レッド)」ウイルスである。

 感染したサーバは、米東部時間毎月 1 日より 19 日まで、他のセキュリティホールをもつ WWW サーバ(IIS)へ感染を拡大しホームページを改ざんする活動を行うほか、毎月 20 日から 28 日の期間は米ホワイトハウスのサーバに対し大量のデータを送信し攻撃する仕組みが仕掛けられていた。ホワイトハウスはアドレス変更などで対応、FBI は 24 時間警戒態勢をとった。感染したパソコンは、処理速度が落ちたり社内ネットワークなどに負担がかかるなどの副作用もある。

 サイバーテロの予兆を感じさせる「W32/CodeRed」には、その後多くの変種・亜種が出現し、また「W32/Nimda」や「W32/Badtrans」など、感染力の強い悪質なウイルスがその後相次いだ。

 コンピュータ・エコノミクス社は、「W32/CodeRed」の感染は世界各国で 100 万件を超え、被害額は 26 億ドルに達したとの推計を発表している。

【第3位】 7月 危機管理の甘さ露呈 リコール隠し/食中毒/情報漏洩
      取り組みが急務。日本企業の危機管理〜
      ― リスクマネジメントが経営の重要課題 ―
 2001 年を振り返ると、残念ながら多くの日本を代表する企業が危機管理能力の弱さを露呈した1年であったといえる。

 三菱自工のリコール隠しでは安全を最優先すべき立場を完全に見失い、事実の隠蔽や事後対応など目を覆いたくなるような危機管理であった。また、雪印乳業の食中毒事故では、トップの不用意な発言により、信頼回復に努めてきたすべての活動を無に帰した。また、情報セキュリティの世界でも、大手百貨店の顧客情報 5,000人分が社員によって持ち出される事件が発生するなど数多くの事件が発生した。

 これらの事件の多くが、もっとも大切であるはずの「安全」「信頼」といった企業ブランドの根本を自ら忘れ、事故を未然に防ぐ予防策が組織内で機能しない、事後の危機対応を重要視せず原因究明を疎かにしたために発生するのである。

 長年苦労して築き上げてきた社会的信用(ブランド)を守りさらに育てることが経営者の重要な経営課題であるとすれば、それらを守るためのリスクマネジメント(予防策と危機対応)を平時から準備しておくことがいかに重要かがご理解頂けるであろう。

【第4位】 10月4日 大手ベンダー ユーザ支援の枠組みを発表
      消えないセキュリティホールの憂鬱
        ― 大手ベンダーもユーザも本腰が必要 ―
 セキュリティに関する警告を発令している JPCERT/CC の緊急報告件数が 2000 年は 12 件であったが、2001 年はすでに 24 件に上り、昨年の倍になっている。これらの報告は、インシデント報告にもとづくものであり、実際の被害件数は、IPA に届け出がされたものでも 500 件以上であり、被害があっても届出がされていないものまで含めると、さらにその数が増える。脆弱性の報告件数は、多いときで、1 ヶ月 300 件に上るとも言われている。

 以前は、OS やアプリケーションはユーザが使い易いような初期設定とされていた。そのため、安全性より利便性が重視されており、その設定がセキュリティホールとなるケースがあった。最近では、それらの反省もあり、セキュリティに気を使った設定になりだしている。それでも、なお設定だけではどうにもならない不具合が原因での事件が減少するどころか逆に増加している。このような状況の中で、ベンダーは自社の商品のセキュリティホールに対して、真剣に取り組む姿勢が見え出した。セキュリティホールを減らすよう、今後より一層の取り組み努力が必要になる。



【第5位】 2月 多発した日本(JP)サイトへのクラッキング事件
       ― ターゲットとなる日本のあまいセキュリティ ―
 今年 2 月、日本のドメイン(jp)の WWW サーバが主に国外のホストからホームページの改ざんなど、絨毯爆撃的な不正アクセスを受けた。攻撃の手口は既知のセキュリティホールや甘いセキュリティ設定を狙ったものだが、今までにない二つの特徴を持つ。一つ目は、従来のホームページ改ざん事件は大企業等の有名サイトが狙われていたが、今回は日本のドメイン(jp)名のアルファベット順に無差別攻撃されている。二つ目は、日本の歴史教科書問題など、日本と諸外国との歴史的経緯などによる外交摩擦の高まりと、日本に対する不正アクセスの傾向に密接な関係が認められたことだ。

 日本政府や自治体の電子化が進むと、彼らに魅力的な攻撃対象と写るかもしれない。今まで以上にセキュリティ対策を徹底しないと、否応なく被害者となり踏み台となって気付いたときは加害者になりかねない。

【第6位】 9月19日 感染力も被害も桁違い「W32/Nimda」
       ― ウイルスの進化に、対策も進化を ―
 「W32/Nimda(ニムダ)」ウイルスは、9 月 19 日頃よりそれまで例を見ないほどの非常に強い感染力により急速に感染を拡大、世界中で猛威をふるい、20 日の夜までに世界で約 10 万台以上のパソコンが感染したと報じられた。

 国内では、企業、官公庁、報道機関、地方自治体など多数のホームページ感染が相次いで報道され、米同時多発テロの直後の時期であったことも手伝い、ユーザの不安感を呼び起こし大きな社会問題となった。

 感染方法としては、@ Internet Explorer のセキュリティホールを利用しメールプレビューだけで感染しウイルス付きメールを自動送信、A ホームページを見ただけで感染、B ネットワークのファイル共有を利用して感染、C セキュリティホールのある WWW サーバ(IIS)へ不正アクセスし感染、と複数の感染経路があり、一度企業ネットワークに入り込むと、一部駆除してもまた再感染を繰り返すなど、根絶するのが難しいのも特徴である。

 ネットワーク型ウイルス脅威の時代の到来を社会に知らしめ、総合的なセキュリティ対策を行わなければ、ウイルスから身を守れない時代になったと新たに認識させられた。

【第7位】 8月15日 38 万人分の百貨店のカード会員名簿が流出
      ネットに迷い出る個人情報
       ― 故意? ミス? あなたの情報は大丈夫? ―
 8 月 15 日某百貨店のカード会員約 38 万 2,000 人の顧客名簿が社員の手によって外部に売られていた。これは過去最大規模の流出事件であった。この事件のように内部犯行による情報漏洩は後をたたず、本来取り締まるべき警察からも様々な情報が外部に漏れるといった不祥事も発覚した。

 2 月にはスイスで開催された「世界経済フォーラム」のコンピュータ・システムがハッカーに侵入され、世界の経済界の要人 2 万 7,000 人の個人情報データが盗まれ、新聞社に送付された。その中にはクリントン前米大統領やマイクロソフト社のビル・ゲイツ氏のクレジットカード番号も含まれていたという。

 さらに今年は、ネットに個人情報の流出が相次いだ。多くは、セキュリティホールやサーバの設定ミスによって、メールアドレスを始めとする個人情報が第三者へ配信されてしまったり、閲覧可能となってしまったものだ。ざっと数えただけでもこの一年で 10 万以上のメールアドレスや名前、住所等がネットワークに流出したことになる。出所は官民を問わないが、メールマガジンを介して流出することが多かったのが特徴である。

 個人情報を預かる組織は、その重要性を再認識しなければならない。

【第8位】 1,2 月 ずさんな管理で大手企業からのウイルス流出あいつぐ
       ― 知らなかったでは済まされない ―
 2001 年に猛威をふるったワーム型ウイルス。感染し拡大元となったのは、個人ユーザだけではなかった。数多くの官公庁、企業、大学のコンピュータが感染し、ウイルス付きメールをばらまいた。中には、企業からの情報お知らせのメルマガにウイルス付きメールが流れた例が続出した。また、ウイルス感染ではないが、官公庁のメールサーバが電子メールの不正中継に利用された事件もある。このような失態は、その組織の信頼をおとしめたことは言うまでもない。

 ウイルスの多くは既知のセキュリティホールを悪用したものであり、ソフトウェアへの修正プログラム適用などの対策を行っていれば、ほとんどの場合、感染被害を未然に防ぐことができる。このような対策を組織全体で確実に行うことがセキュリティ管理の第一歩である。Web サーバ、メルマガ配信をアウトソースする場合も多いが、アウトソース先のセキュリティ対策にも自組織と同様な配慮をはらう必要がある。

 もはや知らなかったではすまされない。すべての企業は、ウイルス対策を含めたネットワークセキュリティ管理が、組織の生命線の一つであると再認識すべきであろう。


【第9位】 5月24日 セキュリティ対策チームにDoS 攻撃の皮肉
      すぐそこまで来た不正アクセス
       ― 件数増加、内容悪質化。セキュリティポリシーがあれば防げるものも ―
 IPA(情報処理振興事業協会)によると、不正アクセスの届出件数が 2000 年 1 月〜 11 月の 126 件に対して 2001 年 1 〜 11 月は 520 件で急増している。これは、不正アクセス機能を持つワームの蔓延やクラッキングツールの利用などに起因しているところが大きい。これまで不正アクセスの対象となっていたのは、主に企業や団体であったがワームやツールによる被害は、常時接続環境の普及に伴い、家庭にまで拡がってきている。企業や団体でも被害件数は増加しており、被害を拡大させたのは、バージョンアップやセキュリティパッチを施すなど、既知の脆弱性に対して何ら対応がなされていなかったことによる。これらの対策が明示されたセキュリティポリシーがあれば、未然に防げたものも多かった。

 一方、セキュリティに関する警告を発令している CERT のサイトに対してサービス不能(DoS)攻撃があり、アクセスできなくなるという事件もおきている。セキュリティに関し、一目置かれていた団体が攻撃の餌食になってしまうとは、皮肉なことである。

【第10位】 11月23日 サイバー犯罪条約、日本も署名
        ― サイバーセキュリティ対策の制度化進む。実効性には疑問も ―
 全世界で増加しているインターネット犯罪。その対処ためにできた初めての国際条約が「サイバー犯罪条約」だ。日本政府も 11 月 23 日に署名した。

 インターネット犯罪の特徴は、コンピュータウイルスやサイバーテロのように、被害が瞬時に国境を越え、全世界に広がるという点だ。このため、サイバー犯罪条約には、処罰すべき犯罪類型、証拠収集などの捜査手続き、そして国境を越えた犯罪に対処するための国際捜査協力などの内容が盛り込まれた。しかしながら、この条約については色々な論議をよんでいる。特に論議の対象となっているのは捜査権限と「通信の秘密」の兼ね合いだ。現行法では通信の内容とともに
「通信の秘密」として保護されるものが条約では、通信の最中まで通信記録を収集する手続きも定めている。2 年前の通信傍受法は対象犯罪を限定した上で、電話などの内容の傍受手続きを定めている。しかし、通信記録のみの収集については、特段の規定はなくプライバシー侵害の恐れをはらむ。

 このように、日本だけでなく各国の法制度や国民性の違いで対処できない部分や、プロバイダ企業等の負担が増加するなど等、慎重な検討を要する課題は多い。

 今後は国内法整備が急務となると思われるが、人権も守って頂きたいものだ。
◆本内容は、必ずしもNPO日本ネットワークセキュリティ協会(JNSA)の見解を示すものではありません。
↑このページの先頭へ