98年6月 JEIDA駐在員・・・長谷川英一
米国における情報セキュリティー問題の現状-1- |
● はじめに
米国において最近、情報セキュリティ侵害の事件報道や、それに対する政府の対応などについて目にすることが多くなっている。特にこの2月から3月にかけて、国防総省のコンピュータ・システムへの不正アクセス事件が大きく報道され、世間の注目を浴びることとなった。一方で、これに呼応するかのように、司法省は2月末、コンピュータ犯罪と戦うための新機関として「National Infrastructure Protection Center(NIPC)」の設置を発表している。今回は、このような不正アクセスの実態やそれに対する政府等の対応策などについて、今月と来月の2回に分けて報告することとしたい。なお、本報告はワシントン・コア社がこの3月に作成した「米国における情報セキュリティ問題と保護対策」と題する調査報告を基にするものである。 最近のセキュリティ侵害事件 まず、上述の2月から3月にかけて起きた、国防総省(DOD)他への不正アクセス事件について経過を追って見てみよう。 2月25日、DODのジョン・ハムレ副長官は、「今月、DODの11のコンピュータ・システムが、ペンタゴンがこれまで見てきた中で最も組織的かつ体系的な違法侵入を受けた」と発表した。侵入を許した情報は、いずれも人事・給与などの非機密レベルの情報で深刻な影響はないとした。その2日後、サンフランシスコ北のクローバーデールという小さな町で、2人の高校生がFBIにより捕えられ、未成年のため逮捕はされなかったものの、PCなどが押収された。ハッカー達は追跡を免れるために何カ所かのポイントを経由していたが、その一つがクローバーデールの南のサンタローザにある小さなプロバイダー、Netdex Internet Servicesであった。Netdexオーナーのビル・ゼーン氏は、1月半ばにハッカー達が同社のサーバーのOSに変更を加えたことを発見していて以来、FBIに協力してハッカー達の追跡を行っていたが、彼によれば、別のはるかに洗練された手口が見られることから、より高度なハッカーが関係していると確信していると言う。 その言葉通り、3月2日の前後、全米のNASA、海軍及び大学の各施設で、ウィンドウズ・ベースのコンピュータが、「Denaial of Service」の攻撃を受けてクラッシュした。この攻撃には、「Teardrop2」と呼ばれる、OSのセキュリティー・ホールを狙った手法が用いられた(1月にマイクロソフトはパッチを配布していたが)。3日には、コード名「Analyzer」と名乗るハッカーが、Netdexのホームページが書き換えられ、DODのシステムに侵入したのは自分であって「Makaveli」(上述の高校生の一人)ではない旨のメッセージを残した。
|