20年前に予想された現代ネット社会の諸問題 ~今と変わらない?、ネットセキュリティとその意識~
LINE詐欺、それにマルウェア(コンピュータウイルス)によるネットバンク不正送金、不正アクセスによる情報漏洩、さらにパスワードリスト攻撃等、ネットセキュリティの脅威は尽きない。また、ツイッターやFacebook、あるいはLINE等の利用でのトラブルも頻発している。しかし、これは今に始まった事ではない。インターネットが一般に公開されて間もない1995年、すでにネットセキュリティ、あるいはネットの利用によるマナーやルールに始まる情報通信倫理については議論が行われていたのである。以下は1995年9月に開催された電子情報通信学会 情報システムソサイエティ大会での講演要旨をまとめた拙稿である。
マルチメディア社会と情報通信倫理 ーネットワーク÷プライバシー=セキュリティー
1.はじめに
平成7年4月 17 日付けの日本経済新聞紙上で、インターネット上で「ネットワーク仮想都市」を積築し、企業や団体、大学等の研究教育機関、 さらに住民の募集を始めると報じられている。現実がSFを越えた感のある、この「ネットワーク仮想都市」に寄せる期待は大きい反面、様々な問題点が議論されつつある[Hara95]。本稿ではマルチメディア社会の試金石としてインターネットを捉え、その抱える現在の問題点を議論する。
2.ネットワークとセキュリティ
1995年1月に実施された総理府の「暮らしと情報通信に関する世論調査」においてマルチメディアに対して高い関心が寄せられている一方、 プライバシーの侵害の問題を指摘する人が多数であると報告されている。すなわち、一般にはマ ルチメディア社会があらゆる情報の容易な授受を可能にすると理解され、その負のイメージが露呈される結果となった。
かつて開放的な学術ネットワークとしてインターネットは発展してきた経緯から現在でもそのセキュリティを疑問視する声が少なくない。 確かに古くは1988年のARPANETを襲ったInternet Worm事件から、最近では盗聴によってパスワードを盗む、いわゆる Password Monitoring Attack、さらにIPアドレスを偽造し、なりすまし(masquerade) を行うことによってrootのパスワ一ド等の重要な情報を盗み出したMintnick等が起こっている。しかしながら、これらの攻撃 (クラック) のほとんどはかつてから指摘されていたプロトコルの不備(セキュリティホール) を利用したものであり、細心の注意によって防ぐことが可能である。また、いくつかの事件はセキュリティに対する注意を喚起する結果となって、 新しい洗練した技術をいくつも生み出している。 例えばInternet Wormからはプログラムのバグと同様、プロトコル (あるいはOS) のセキュリティホールを一つ一つ塞ぐことの必要性を痛感させるとともに、プログラムを自己増殖させる技術を転用させ、ネットワーク内の個々のコンピュータのセキュリティチェックを行う技術を生み出している。Password Monitoring Attackからは従来より問題視されていた、パスワードを裸のままでネットワークに流す、特に自ネットワーク外に流す危険性を再認議させ、一方向性関数を利用した使い捨て暗号鍵の利用や認証システムとしてのKerberosの開発改良を促した。 最近ではWWWの利用等、積極的にネッ トワーク外のIPパケットを授受する必要性から、出島に例えられるFirewallマシンを利用したセキュリティ管理技術が整えられている。
Password Monitoring Attack: 通常、セキュリティ意識の低い一人のユーザのアカウントを乗っ取り、そこからシステムの脆弱生を利用して、権限を拡張する事により、最終的に管理者権限を得て、システムとユーザとのパケット通信を傍受し、パスワードを抜き出す事によって多くのアクティブユーザのパスワードを収集する攻撃
上記を含めて現在まで報告されているネットワーククラックの突破口はユーザ、さらにroot のパスワードの露呈、搾取によるものである。 ユーザ自身のパスワードの用心深い管理は最大効果のセキュリティを提供する。 反面、安易に設定したパスワードは容易に解析可能である。例えばアルファベット26文字だけを任意の順序で8文字並べたパスワードは現実的な計算機の使用で、10時間程度で推測可龍であると報告されている[Yama95]。 また筆者に近いユーザ数百人親媒のネットワークのパスワードをCrackと呼ばれるパスワード解析ツールで調査したところ、 約70%のパスワードが解析可能であった。なお、その半分はユーザ名と同一であった[SAM94]。
ユーザ個々のセキュリティに関する意識を高めるとともに、ネットワーク管理者個々の努力は量要である。 さらに重要なのはネットワーク管理者の労苦を評価することである。 我が国でも1990年の不正競争防止法の改正によって、情報を知的所有物とみな し、保護されるように なった。 しかしこの保護を受けるためには不正競争防止法第1条3項の 「秘密トシテ管理セラルル」という一文により、十分なセキュリティ対策を施す必要がある。
インターネットメールに対してその経路上ノードの各管理者が閲読可能であることはよく知られた事実である。インターネットの拡大に伴い、 その各管理者を信頼することが不可能であることから、暗号化メールが使われるようになってきた。さらにメールの改ざんやなりすましを 防ぐために電子署名 (ディジタル馨名) も使われつつある。特に電子署名に関しては、係争が起こった場合、信頼のおける調停者(CA; Certification Authority)を介することになるが、その調停者の選出と認知は今後の問題となろう。米国では通信等の暗号化に政府が介入し、 政府のみ場合によって盗聴 (不正解読) 可能な暗号方式 (スキップジャック) を提唱し、大きな議論となっている。
スキップジャック(skipjack):1993年、アメリカが提唱したキーエスクロウ(鍵預託)方式を取り入れたクリッパーチップと呼ばれる暗号チップに採用された米国国家安全保障局(NSA)が開発した暗号アルゴリズム。キーエスクロー方式はアメリカ政府が解読できる事を前提とした為、大きな議論となった。
3.マルチメディア社会と倫理
マルチメディア社会はネットワークによって物理的な距離を克服することは自明である。しかもイ ンターネットの例から誰でもが情報発信者 となりうる。従来、情報を広範囲に流布させるためには個々のメディアのフィルタを通過する必要があった。イ ンターネットの特徴であり、 最大の利点はインターネット全体を統括する管理者を必要としないことである。 すなわちフィルタを通すことなく直接情報は受け手に届けられる。このインターネットの特徴は正の現象として、個々のネットワークの緩やかな結び付きを生み、大きな発展を遂げることとなったのであるが、最近になってその負の現象が大きく問題視されるようになった。負の現象とはあいまいな表現であるが、「情報の一人歩き」である。 虚偽情報はもちろんのこと、不注意な発言は社会全体を震撼させうるのである。Pentiumマイクロプロセッサの一件を始め、つい最近ではSATAN(Security Administrator Tool for Analyzing Networks) に関する騒動が挙げられる。 SATANはそのフルスペルからも理解されるように COPSやISS同様、セキュリティをチェックする管理者にとって有用なツールなのであるが、そのリリースアナウンスが「一人歩き」し、詳細を知らないユーザを混乱に陥れた。確かにセキュリティチェックツールはクラックと「諸刃の刃」ではあるが、何という皮肉なことであろうか。 最近までのインターネットユーザはインターネットを築き育て上げてきた人々、 およびその周辺が中心であった。現在の急激な拡大は様々なタイプのユーザを取り込み、必ずしも彼等ば常識的なルールやマナーさえ遵守しない。セキュリティを確立してきた経緯と同様、多かれ少なかれ情報の管理、ユーザ教育の問題は転換期にある。
Pentiumマイクロプロセッサ事件:PentiumIIIでは、PSN(Processor Serial Number)と呼ばれるCPUに固有の番号を付け、結果的にユーザの識別、および特定の可能性が指摘された。事実上、PentiumIIIでもPC実装レベルで無効化され、後継のPentium4では削除された。
参考文献
- [Hara95] 原島博, 仮想メディア都市の社会的課題,信学技報, FACE95-2,pp.7-14(1995-05).
- [Yama95] 山本和彦, パスワー ド, UNIX MAGAZINE,1995 年 2 月号, pp.122-131(1995-02).
- [SAM94] 曽根直人、秋元英二、 森井昌克,UNIXネッ トワーク環境におけるセキュリティ監査しシステム(COPS)の運用について,愛媛大学 工学部紀要,pp.527-536(1994-02).