Yuriko Seki Hiroshi Monoshiri Neruo Hiru Hisomu Kuraka わかりすぎる 情報セキュリティ の教科書 いい人も悪い人もいるインターネットの世界 わかりすぎる 情報セキュリティ の教科書 いい人も悪い人もいるインターネットの世界 はじめに コンピュータシステムは、企業活動において重要な情報を大量に扱うものと なりました。これら情報資産には、機密情報や顧客の個人情報など、厳密な扱 いを求められるものが少なくありません。ところが、ウイルス感染、データの 盗難、不正アクセスなどによる情報漏えい事件が後を絶ちません。 個人・企業を問わず、インターネットを利用した活動も非常に盛んになり、 Web サイトを通じた情報の公開や電子メールの使用は日常のことになってい ます。その一方で、サーバは侵入や Web ページ改ざんを試みる悪意の者たちに 狙われています。悪質業者、詐欺師らが暗躍しています。そして、全てのコン ピュータはウイルス、スパイウェアなどマルウェアの脅威にさらされています。 近年、大企業を含む企業等において、コンピュータシステムの安全性が脅か される事件・事故(情報セキュリティインシデント)が頻発しています。当事 者となった企業は社会的な信頼を失ってしまいます。そして、例えば顧客情報 漏えい等では、対象となった多数の個人に多大な迷惑がかかり、かつ不安を与 える結果となっています。 本書は、日常的にインターネットなどを利用する個人の方や、これから企業 で情報処理技術者を目指す方、また、現に企業等において情報を扱う業務に携 わっている社会人の方を対象にした情報セキュリティのテキストです。個人と して、あるいは組織の一員としてパソコンを利用する人、サーバ管理者、ネッ トワーク管理者など、それぞれの立場から、情報セキュリティ対策を学びます。 一方、企業としての情報セキュリティ対策は単に技術的な知識を得るだけに 留まりません。企業の情報セキュリティ方針は、企業がその社会的責任を果た すための経営理念に基づいて決定されます。企業は、顧客に信用され、顧客の 大切な情報を預かりながら商品やサービスを提供し地域社会に貢献していきま す。個人として、あるいは組織の一員としてパソコンを利用する人には、単に 利用者としての立場に留まらず、管理者、経営者の目線で情報セキュリティを 考えてください。 本書が皆さんの情報セキュリティ対策の一助になれば幸いです。 編著者 本書の構成 本書は「全 14 章」です。各章は、それぞれ以下の内容で構成されています。 [関由利子の波乱万丈]は、各章の導入として位置づけられており、関由利 子さんの周りで起きる事件などを物語風に紹介しています。 そして、続く[なるほどセキュリティ]で、具体的な解説を記述しています。 情報セキュリティインシデントをはじめ、インター 関由利子の波乱万丈 ネット利用者が直面する課題(事件など)を物語風 に紹介します。なお、ここでは、実際に起きた事件 や事故をヒントに構成しています。 上記の[関由利子の波乱万丈]で紹介した事がらを なるほどセキュリティ テーマとした情報セキュリティについて、具体的に 解説しています。 セキュリティ・ ワンポイント 付録 情報セキュリティ関連 の主な法律 情報セキュリティ関連の用語や事件の中から、よく 話題に上るものを、本文中に囲み枠で詳しく説明し ています。 本書で紹介した法律のうち、主なものを巻末に「付録」 として掲載しています。 主な登場人物 [関由利子の波乱万丈]に登場する主な人物を紹介します。 せき ゆ り こ 関 由利子 Yuriko Seki 情報処理を学ぶため専門学校に入学。就職活動を経て、卒業後はパイン 自動車販売に入社し、ネットワーク管理部に所属している。サイバー犯 罪被害に遭うたびに情報セキュリティに強くなっていく。 く ら か ひそむ 倉加 潜 Hisomu Kuraka 関由利子のクラスメイト。卒業後は同じパイン自動車販売に い 入社し、販売部に所属している。同じ販売部で性格の悪い井 やみ 闇を嫌っている。そして、営業成績の良い佐々木には密かに 嫉妬心を持っている。 ひる ね る お 昼 寝男 Neruo Hiru 関由利子のクラスメイトで就職先も同じ。ぼーっとして いるので、コンピュータウイルスを撒き散らしてしまう。 会社でアダルトサイトを見て袋叩きにあったこともある。 も の し り ひろし 模野尻 博士 Hiroshi Monoshiri パイン自動車販売ネットワーク管理部に所属する 関由利子の先輩。頼りになる。 [注意] 本書に例示されているIPアドレス、ホスト名、メールアドレス、個人名、企業・団 体等の設定は、実在のものとは関係ありません。 目 次 目 次 はじめに 本書の構成/主な要登場人物 第1章 ドクロの Web ページ………………………………………………………………………… 1 ──不正侵入が引き起こす Web ページの改ざん 関由利子の波乱万丈………………………………………………………………………………… 1 なるほどセキュリティ……………………………………………………………………………… 4 1-1 なぜ Web ページが改ざんされるのか………………………………………………… 4 1-2 侵入や Web ページ改ざんの2つの方法……………………………………………… 9 1-3 Web ページ改ざんは、まだマシなほう… ………………………………………… 13 1-4 どうしたら侵入を防ぐことができるのか………………………………………… 13 1-5 侵入されるサーバがこれほど多いのはなぜか…………………………………… 16 第2章 私が内定を辞退したですって!?… ……………………………………………………… 19 ──急増するサイバー犯罪と法律 関由利子の波乱万丈……………………………………………………………………………… 19 なるほどセキュリティ…………………………………………………………………………… 22 2-1 サイバー犯罪の急増………………………………………………………………… 22 2-2 サイバー犯罪と法律………………………………………………………………… 22 第3章 裏切られた気持ちでいっぱい…………………………………………………………… 30 ──個人情報流出事件と個人情報保護 関由利子の波乱万丈……………………………………………………………………………… 30 なるほどセキュリティ…………………………………………………………………………… 33 3-1 個人情報流出の被害………………………………………………………………… 33 3-2 Web サーバからなぜ顧客情報が漏れたのか… …………………………………… 33 3-3 顧客情報を漏らさない設定をするには…………………………………………… 36 3-4 中古パソコンや廃棄パソコンから情報流出……………………………………… 37 3-5 送信先アドレスを表示させて電子メールを同報送信することによる流出…… 38 3-6 内部の者が顧客情報を売っている場合も………………………………………… 39 3-7 必要のない個人情報まで集めてしまうこと……………………………………… 41 3-8 顧客のプライバシー保護…………………………………………………………… 41 3-9 個人情報保護法……………………………………………………………………… 47 ■■ i ■■ 目 次 第4章 怪しいメールは開くなって言ったのに!……………………………………………… 51 ──ウイルス対策 関由利子の波乱万丈……………………………………………………………………………… 51 なるほどセキュリティ…………………………………………………………………………… 56 4-1 コンピュータウイルスと近年の傾向、マルウェア……………………………… 56 4-2 電子メール悪用型ウイルス、セキュリティホール悪用型ウイルスの防止策…… 58 4-3 標的型メール攻撃…………………………………………………………………… 62 4-4 暴露ウイルス、ボットの防止策…………………………………………………… 63 4-5 ネットワーク管理者としてのウイルス対策……………………………………… 68 4-6 パソコンがウイルスに感染したときの対処……………………………………… 70 第5章 うちの社員に限って……………………………………………………………………… 73 ──情報資産とリスク評価 関由利子の波乱万丈……………………………………………………………………………… 73 なるほどセキュリティ…………………………………………………………………………… 76 5-1 情報セキュリティとは何を守ることか…………………………………………… 76 5-2 情報資産……………………………………………………………………………… 76 5-3 情報セキュリティの3つの基本概念……………………………………………… 77 5-4 脅威と危機管理の発想転換………………………………………………………… 78 5-5 リスク評価…………………………………………………………………………… 79 5-6 リスクコントロールとリスクファイナンス……………………………………… 80 第6章 セクハラ会社はいやだ…………………………………………………………………… 83 ──セキュリティポリシー 関由利子の波乱万丈……………………………………………………………………………… 83 なるほどセキュリティ…………………………………………………………………………… 86 6-1 適正な職場環境と業務効率低下の防止…………………………………………… 86 6-2 腹を立てる顧客と信用を失う企業………………………………………………… 86 6-3 なぜ不正コピーは発覚するのか…………………………………………………… 87 6-4 セキュリティポリシーとは………………………………………………………… 90 6-5 セキュリティポリシー策定………………………………………………………… 90 6-6 他社と契約するときには…………………………………………………………… 95 6-7 セキュリティポリシー管理体制…………………………………………………… 95 6-8 公的規格、認証制度、モデルの活用……………………………………………… 96 6-9 情報セキュリティ監査……………………………………………………………… 98 ii ■■ ■■ 目 次 第7章 アングラサイトの住人がパスワードを狙ってる……………………………………… 100 ──不正アクセスの動機と主体 関由利子の波乱万丈……………………………………………………………………………… 100 なるほどセキュリティ…………………………………………………………………………… 104 7−1 迷惑メールやメール爆弾の不正中継……………………………………………… 104 7−2 メールの送信元の調べ方…………………………………………………………… 106 7−3 不正中継の防止……………………………………………………………………… 106 7−4 迷惑メールを取り締まる法律……………………………………………………… 108 第8章 「もしもし、パスワードを忘れちゃったんですけど…」………………………………… 109 ──ソーシャルエンジニアリング、プライバシーポリシー 関由利子の波乱万丈……………………………………………………………………………… 109 なるほどセキュリティ…………………………………………………………………………… 111 8-1 ソーシャルエンジニアリング……………………………………………………… 111 8-2 本人確認の必要性…………………………………………………………………… 116 第9章 インターネットの罠……………………………………………………………………… 117 ──危ない Web サイトと TCP / IP の仕組み 関由利子の波乱万丈……………………………………………………………………………… 117 なるほどセキュリティ…………………………………………………………………………… 124 9-1 ネットワークの私的利用による情報漏えい防止………………………………… 124 9-2 クッキー(Cookie)…………………………………………………………………… 128 9-3 クッキーの安全な使い方…………………………………………………………… 129 9-4 html メールを開くことによる企業情報の漏えい… ……………………………… 130 9-5 コンテンツフィルタとプロキシサーバ…………………………………………… 131 9-6 プロトコル…………………………………………………………………………… 133 第10章 サイバー攻撃? 受けて立とうじゃないの!…………………………………………… 141 ── DoS 攻撃と防御 関由利子の波乱万丈……………………………………………………………………………… 141 なるほどセキュリティ…………………………………………………………………………… 146 10-1 誰がどんな動機で攻撃を行うのか……………………………………………… 146 10-2 スパイウェア……………………………………………………………………… 147 10-3 パスワードクラック……………………………………………………………… 148 10-4 クロスサイトスクリプティング脆弱性………………………………………… 150 10-5 サービス妨害攻撃………………………………………………………………… 153 10-6 安全なアカウント管理…………………………………………………………… 156 10-7 パスワードファイルの暗号化と保護…………………………………………… 158 iii ■■ ■■ 目 次 第11章 謎は全て解けた。犯人はお前だ。… …………………………………………………… 160 ──アクセス主体をみつけるネットワーク構成 関由利子の波乱万丈……………………………………………………………………………… 160 なるほどセキュリティ…………………………………………………………………………… 164 11-1 外部侵入者の手口………………………………………………………………… 164 11-2 侵入者を特定するネットワーク構成…………………………………………… 171 11-3 不正アクセス行為の特徴………………………………………………………… 176 第12章 パスワードが見えました… ……………………………………………………………… 177 ──有線/無線 LAN とインターネットの盗聴対策 関由利子の波乱万丈……………………………………………………………………………… 177 なるほどセキュリティ…………………………………………………………………………… 180 12-1 LAN の盗聴流出の被害… ………………………………………………………… 180 12-2 スイッチング HUB の利用………………………………………………………… 181 12-3 通信の暗号化……………………………………………………………………… 182 12-4 無線 LAN(ワイヤレスネットワーク)の盗聴と暗号化… …………………… 184 12-5 認証のセキュリティ……………………………………………………………… 187 12-6 VPN… ……………………………………………………………………………… 188 第13章 その注文は本物?… ……………………………………………………………………… 190 ──公開鍵暗号方式と PKI 関由利子の波乱万丈……………………………………………………………………………… 190 なるほどセキュリティ…………………………………………………………………………… 196 13-1 共通鍵暗号方式と公開鍵暗号方式……………………………………………… 196 13-2 公開鍵の正しさをどう証明するか……………………………………………… 199 13-3 Web サーバとクライアントの通信の機密性確保… …………………………… 200 第14章 スマホやタブレットの利用… …………………………………………………………… 202 ──スマホやタブレットの普及 関由利子の波乱万丈……………………………………………………………………………… 202 なるほどセキュリティ…………………………………………………………………………… 205 14-1 スマホやタブレットの普及……………………………………………………… 205 14-2 SNS の利用… ……………………………………………………………………… 205 14-3 スマホアプリに潜む罠…………………………………………………………… 207 14-4 BYOD………………………………………………………………………………… 208 14-5 公衆無線 LAN の利用……………………………………………………………… 209 iv ■■ ■■ 目 次 付録 情報セキュリティ関連の主な法律………………………………………………………… 211 付録1 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)……………… 212 付録2 特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の 開示に関する法律(プロバイダ責任制限法)……………………………………… 216 付録3 不正競争防止法……………………………………………………………………… 219 付録4 刑法…………………………………………………………………………………… 222 付録5 個人情報の保護に関する法律(個人情報保護法)………………………………… 224 参考文献……………………………………………………………………………………………… 239 参考・参照サイト…………………………………………………………………………………… 240 索引…………………………………………………………………………………………………… 243 ■コラム【セキュリティ・ワンポイント】 ・遠隔操作機能を持つバックドアソフト………………………………………………………… 15 ・フルディスクロージャー(Full Disclosure)… ……………………………………………… 18 ・ゼロデイ(Zero − day)攻撃… ……………………………………………………………… 18 ・生体(バイオメトリックス)認証……………………………………………………………… 22 ・パスワードリマインダ機能……………………………………………………………………… 23 ・PIN コード……………………………………………………………………………………… 24 ・通信傍受法………………………………………………………………………………………… 25 ・サイバー犯罪の分類……………………………………………………………………………… 28 ・CGI(Common Gateway Interface)…………………………………………………………… 35 ・名簿ビジネス……………………………………………………………………………………… 40 ・ドライブバイダウンロード……………………………………………………………………… 55 ・オートランウイルス……………………………………………………………………………… 69 ・偽のセキュリティ対策ソフト…………………………………………………………………… 72 ・リスク……………………………………………………………………………………………… 82 ・Business Software Alliance(BSA)…………………………………………………………… 87 ・一般社団法人コンピュータソフトウェア著作権協会(ACCS)… ………………………… 88 ・P2P(Peer to Peer)とファイル交換ソフト… ……………………………………………… 89 ・ISO15408(JIS X 5070)と IT セキュリティ評価・認証制度……………………………… 97 ・シングルサインオン(Single Sign On:SSO)… ……………………………………………… 104 ・迷惑メールが spam(スパム)な理由………………………………………………………… 105 ・送信ドメイン認証………………………………………………………………………………… 107 ・CSRF(Cross- Site Request Forgeries)脆弱性… ………………………………………… 139 ・DNS キャッシュポイズニング… ……………………………………………………………… 140 v ■■ ■■ 目 次 ・SNMP(Simple Network Management Protocol)…………………………………………… 144 ・グローバル IP アドレスとプライベート IP アドレス………………………………………… 145 ・セッションハイジャックと中間者攻撃………………………………………………………… 152 ・ワンタイムパスワードとトークン……………………………………………………………… 158 ・ルータとファイアウォール……………………………………………………………………… 166 ・ステルススキャン………………………………………………………………………………… 167 ・プロキシサーバを使えばプライバシーが守られますか ?…………………………………… 170 ・プロバイダをも守るプロバイダ責任制限法…………………………………………………… 173 ・IPv4 と IPv6……………………………………………………………………………………… 174 ・コンピュータ・フォレンジックス(Computer Forensics)………………………………… 174 ・画像認証…………………………………………………………………………………………… 176 ・MAC アドレスの調べ方………………………………………………………………………… 180 ・IP アドレスと MAC アドレス… ……………………………………………………………… 183 ・IEEE802.11… …………………………………………………………………………………… 186 ・PPP(Point to Point Protocol)………………………………………………………………… 187 ・電子署名法………………………………………………………………………………………… 198 ・ネットワーク管理定番ソフト改ざん事件……………………………………………………… 198 vi ■■ ■■ 第1章 ドクロの Web ページ 1章 ドクロのWebページ ──不正侵入が引き起こすWeb ページの改ざん 関由利子の波乱万丈 学生食堂でお昼ご飯を食べているときに、関由利子の携帯電話にメールの着信があっ た。今は学校が別々になったが仲の良い友達からだった。 由利子の学校のホームページ、たいへん だよ!すぐに見て。 関には何のことかわからなかったが、とにかくパソコンが使える実習室に行ってみた。 すると、他にもたくさんの人が集まっていてすでに大騒ぎ。理由はすぐにわかった。関 の学校がインターネットで公開している Web サイトのトップページが変なのだ。真っ黒の ページに数行の文字と不気味なドクロのイラストが表示されている。 関由利子 「なに!これ!」 倉加 潜 「サイト改ざんだよ。GreetD と名乗ってる。地獄に落ちろだってさ。」 関 「ひどい。どうして私たちの学校だけが…。」 倉加 「この学校だけじゃないよ。ほかにも、毎日たくさんのサイトが改ざんされてるんだ。 」 ■■ 1 ■■ 第 1 章 第 第1章 ドクロの Web ページ クラスメイトの倉加はインターネットにとても詳しい。彼は、大騒ぎしているみんなか ら離れて実習室の一番後ろのパソコンに関を案内し、慣れた様子で改ざん情報が載って いるサイトを検索した。改ざんされたホームページの記録が関の目に次々と飛び込んでき た。中には関もよく知っている有名な企業や学校のアドレスが含まれている。 関 「ええっ、びっくり。日本のサイトだけでも1ヶ月に 100 件以上の改ざんがあるわね。 改ざんは珍しいことじゃないってことなの?」 倉加 「ほかにも、おもしろいものがあるよ。先生に言わないと約束する?」 関 「う、うん、言わないけど…。」 倉加はにやっと笑うと、ブラウザを起動した。そしてアドレス欄に見慣れない文字列 を打ち込み、得意げにリターンキーを叩く。あっという間にブラウザに表示された文字列 (図 1.1)が一体何を意味するのか、関にはすぐに理解できなかった。 図 1.1 外部からのコマンドでファイル一覧が表示された例 関 「Program Files や WINNT とかがあるけど、これは何?」 倉加 「どこかのサーバの C ドライブが見えちゃったってことだね。あはは。」 関 「ええっ。どこのサーバなの? サーバの持ち主はこのこと知ってるの?」 倉加 「知っていたらこんな状態でインターネッ トにつないだりしないでしょう。気づいて いないと思うよ。これ、D ドライブや CD なんかも見ることができるんだよ。フォ ルダの中にもアクセスできるしね。もちろん見るだけじゃなくてファイルのコピー や削除だって。やってみる?」 ■■ 2 ■■ 第1章 ドクロの Web ページ 関 「やめてやめて! これって犯罪にならないの!?」 実習室に担当の先生が血相を変えて飛び込んできた。すぐに Web サーバから LAN ケーブルを引き抜いたが、呆然としていた。 これ何? サイト改竄 ■■ 3 ■■ 第 1 章 倉加 「そんなに悪いことかなあ」 第1章 ドクロの Web ページ なるほどセキュリティ 1-1 なぜ Web ページが改ざんされるのか 正当な権限を持たない者がコンピュータのアクセス権を奪うことを侵入といい、権限 を持たない者による情報の書き換えを改ざんといいます。例えば、Web ページはその権 限を持つ管理者だけが作成・修正して公開すべきものです。ところが、毎日非常に多く の Web ページが悪意に満ちた内容のページに改ざんされています。Web サーバへの侵 入や Web ページ改ざんはどのように行われているのでしょうか。 Web ページ改ざんの手口 (1)管理用パスワードを入手する (2)設定ミスを探す (3)ソフトウェアのセキュリティホールがあれば悪用する (4)バックドアまたはトロイの木馬が仕込まれていれば使う ろう (1)管理用パスワードの漏えい Web ページの改ざんは、それほど複雑な手法によるものではありません。なんらかの 方法で管理者の ID とパスワードを入手すれば簡単です。 (2)設定ミス 正当な権限を持つ者だけにアクセス権を与えるのは、オペレーティングシステム(OS) やサーバソフトなどの設定によりますが、これが間違っていれば侵入や改ざんが可能で す。 (3)セキュリティホール 正しい設定をしても、なんらかの方法によって権限外の者にアクセス権を与える可能 ぜいじゃくせい 性を、セキュリティホールまたはシステムが持つ脆弱性と呼びます。たいていは開発側の テスト不足によるソフトウェアの不具合が原因で、開発者が想定していないユーザの行 動により権限外のアクセスができてしまうものです。 ■■ 4 ■■ 第1章 ドクロの Web ページ ソフトウェアのセキュリティホールで代表的なものにバッファオーバーフロー(スタック のための変数を主記憶装置内に確保し、入力された文字列を格納しています。このよう に、一時的にデータを格納する領域のことをバッファと呼び、プログラムによってはオペ レーティングシステムが提供するスタック(積み上げ方式で確保される領域のこと)を利 用しています。 図 1.2 は、プログラムが 100 バイトの入力用バッファを確保しているときの主記憶装置 内を表したものです。入力用バッファに隣接する領域は、例えば他の変数やプログラム コードの格納に使用されています。スタック領域であればサブルーチンを実行した後に 再開するべきプログラムの戻り番地も格納されています。このプログラムでは、ユーザが 100 バイト以内の文字列を入力する場合には特に問題は起こりません。しかし、確保し た領域を越える長さの文字列をプログラムがそのまま受け付けてしまうと、入力文字列 でほかの領域を書き換える現象が起こります。これがバッファオーバーフローです。ユー ザは入力する文字列によって、プログラムの戻り番地やプログラムコードを自由に変更す ることができることとなり、結果的に管理者が想定しないアクセスが可能になります。 問題が起こらない例 バッファオーバーフローの例 入力用バッファ 100 バイト以内の 100 バイトを超える (100 バイト) 入力データ 入力データ (例)別の変数 変わらず 上書き (例)プログラムの戻り番地 変わらず 上書き (例)プログラムコード 変わらず 上書き 図 1.2 バッファオーバーフロー バッファオーバーフローによるセキュリティホールは、 か つては、Apache や、 Microsoft 社の IIS(Internet Information Services)など Web サーバソフトにも発見 されており、その攻撃方法や exploit コード(脆弱性を攻撃するプログラムコード)もイ ンターネット上で公開されています。 ■■ 5 ■■ 第 1 章 オーバーフロー)の脆弱性があります。ユーザからの入力を受け付けるプログラムは、そ 第1章 ドクロの Web ページ 以下は、Web サーバのアクセスログの一部で、ネットワーム型のコンピュータウイルス CodeRed による攻撃を受けた記録です(資料 1.1)。長い文字列によるアクセスでバッファ オーバーフローの発生を狙ったことがわかります。 210.***.***.*** - -[19/Sep/2015:11:12:40 +0900]"GET/default.IDa?XXXXXXXXXXXXX XXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX %u9090 %u6858 %ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u 9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u 53ff%u0078%u0000%u0 0=a HTTP/1.0" 404 215 資料 1.1 210.***.***.*** は IP アドレスを一部伏せたもの データベースを扱う Web アプリケーションには、SQL インジェクション攻撃を可能に するセキュリティホールが存在する可能性があります。SQL インジェクションは、ブラウ ザの入力フォームから、不正な文字列を入力し、データベースを不正に操作する手口です。 例えば、ユーザ ID とパスワードを入力させ、SELECT 文で、該当するユーザの情報 だけを取り出す Web アプリケーションの SQL 文と入力フィールドの関係は次のようにな ります。 $userID、$pass は変数名の例です。 SELECT * FROM 顧客表 WHERE userID='$userID' AND pass='$pass' ユーザID パスワード 図 1.3 SQL 文と入力フィールドの対応の例 ■■ 6 ■■ 第1章 ドクロの Web ページ 設計者は、以下のように一般的なユーザ ID とパスワードによる SQL 文の実行を期待 第 1 章 しています。 SELECT * FROM 顧客表 WHERE userID='hata' AND pass='apkU987d22' 例えば、この場合、パスワードの欄に ’ ; DELETE FROM 顧客表 WHERE 'A'='A と入力するのが、SQL インジェクション攻撃です。 この攻撃が成功すると顧客表の全デー タが削除されます。 ( ’シングルクォーテーション)と、;(セミコロン)で、SELECT 文は終了します。悪意 のユーザは、その後に続けた SQL 文を実行させることができるのです。 1行目の SQL 文 SELECT 文を終了させる 2行目の SQL 文 ’ A’=’ A’のレコード(つまり全部) を削除する DELETE 文 SELECT*FROM 顧客表 WHERE jouken1=' ダミー ' AND jouken2=''; DELETE FROM 顧客表 WHERE 'A'='A 図 1.4 SQL インジェクション攻撃で実行される SQL 文 ディレクトリトラバーサル脆弱性は、相対パス指定1 を含む文字列を受け付けてしまう ことで、想定外のファイルを流出させてしまうセキュリティホールです。図 1.5 は、 “確認 問題”をダウンロードさせるつもりの Web アプリケーションの例です。しかし、ディレク トリパスを含む入力を受け付けて、公開するつもりのなかった“試験問題”をダウンロー ドされます。 アプリケーション側で使用する前に、入力文字列を検査することで SQL インジェクショ ン攻撃やディレクトリトラバーサル攻撃を防止できます。クロスサイトスクリプティング攻 撃2 を招く html タグにも検査が必要です。処理に悪影響を与えるような文字列がユーザ から入力されたときに、それを削除したり無害な文字列に置き換えたりすることをサニタ イジング(サニタイズ、無害化)といいます。 様々な脆弱性を知り、セキュリティホールを作らないようにして、安全なアプリケーショ ンを開発する技術をセキュアプログラミングといいます。 1 ../ はファイルの相対パス指定で一つ上の階層を示します。 「第 7 章」参照 2 ■■ 7 ■■ 第1章 ドクロの Web ページ 設計者の意図どおりファイル名を入力されたときの、プログラム処理 ひとつ上の ディレクトリを意味する パス指定 ../ データ /kakunin/ 確認問題2.doc を表示 他のディレクトリのファイルを表示してしまうときの処理 データ /kakunin/../siken/ 試験問題 .doc を表示 図 1.5 ディレクトリトラバーサル攻撃の一例 (4)バックドアやマルウェア 侵入者は、本来は権限のないコンピュータになんらかの方法で侵入を成功させたと き、次回はもっと簡単に侵入できるような仕掛けをコンピュータに残すことがあります。 これをバックドア(Backdoor)といいます。今回は、倉加くんがブラウザのアドレス欄 からコマンドを打ち込んで、他人のコンピュータのハードディスクにアクセスして見せま したが、これは Microsoft 社の IIS に Web アクセス経由で感染するコンピュータウイル ス CodeRed の亜種が残したバックドアを悪用する方法です。バックドアは侵入者やコン ピュータウイルスの置き土産です。 伝染機能がなく、無害なソフトウェアに見せかけて実行させるマルウェアはトロイの木 馬(Trojan Horse)と呼ばれます。ダウンロードサイトに置かれていたり、電子メールに 添付されて送り込まれたりします。パソコンを外部から操るために作られたマルウェアを ボット(bot)といいます。ボットに感染したパソコンはクラッカーの踏み台にされてしま います。 ■■ 8 ■■ 第1章 ドクロの Web ページ 1-2 侵入や Web ページ改ざんの2つの方法 セキュリティホール、バックドアとマルウェアをあげてきましたが、実際の侵入や改ざん には大きく2つのパターンがあります。1つ目はクラッカーによる攻撃、2つ目はコンピュー タウイルスによるものです。 (1)クラッカー(ハッカー)による攻撃 コンピュータシステムに侵入する悪意のある者をクラッカー(cracker)、その行為を クラッキング(cracking)といいます。ただし、日本のマスコミはクラッカーと呼ばず、 ハッカー(hacker)とすることが多いようです3。本来、ハッカーはコンピュータ技術に 精通した人を指す尊称でありハッキング (hacking)はシステムを深く理解することなので、 区別すべきという意見も根強くあります。このテキストでは原則的に区別しますが、広く 知られた用語は言い換えない場合もあります(例:インサイドハッカー4、ショルダーハッ キング5)。 2012 年 6 月、Anonymous(アノニマス)を名乗る団体が、日本で可決された違法ダ ウンロードの刑事罰化に対する抗議活動を行うことを宣言し、同月 26 日に財務省、自 民党などの公式ウェブサイトを、27 日には日本音楽著作権協会(JASRAC)の公式ウェ ブサイトのサーバをダウンさせました。 3 4 5 JIS X 0001-1994(情報処理用語―基本用語)は「ハッカー(hacker)」を「高度の技術を持った 計算機のマニア(01.07.03)」、 「高度の技術を持った計算機のマニアであって、知識と手段を駆使 して、保護された資源に権限をもたずにアクセスする人(01.07.04)」の二通りの意味で定義して います。 企業で内部犯行を行う者など、被害者に近い存在の加害者。 パスワード操作をしている人の背後から覗き込み、指の動きや画面表示から不正に情報を得るこ と。 ■■ 9 ■■ 第 1 章 ろう Web ページ改ざんを可能にする侵入の原因として、管理用パスワード漏えい、設定ミス、 第1章 ドクロの Web ページ 図 1.6 Anonymous を名乗るクラッカーに改ざんされたページ このように、団体名を名乗るクラッカーは非常に多く、毎日のように Web ページ改ざ んを行っています。また、既知のセキュリティホールを悪用してサーバに侵入するツールは、 インターネット上から誰でもダウンロードすることができるので、改ざんには高度な技術 を必要としません。そのため、知識や技術に乏しい者が興味本位で侵入や改ざんを試 みる場合が少なくありません。スクリプトを使うだけで技術を持たない侵入者を軽蔑の 意味を込めてスクリプトキディ(script kiddy:スクリプトを使うだけのガキ)と呼ぶこと があります。 ■■ 10 ■■ 第1章 ドクロの Web ページ (2)コンピュータウイルスによる改ざん たは単にワームと呼ばれます。サーバ上で起動しているセキュリティホールのあるソフト に感染するネットワームで、Web ページを改ざんするものには次のようなものがあります (表 1.1)。 RameN RedHat 系 Linux に感染。2001 年 1 月から流行。Linux のセキュリティホー ルを悪用したワーム。トップページがインスタントラーメンの画像に書き換えら れる(図 1.5)。 SadmaID/IIS 2001年 8月から流行。UNIX 系 OS の Solalis 上で動作する Sadmaind のセキュ リティホールを悪用して感染するワーム。感染したマシンは、別の OS である WindowsNT/2000 上で動作する IIS(Internet Information Services)を攻 撃する。セキュリティパッチを適用していない IIS はトップページが書き換えら れる(図 1.6)。 Nimda IIS のセキュリティホールを悪用するワームだが、Codered の亜種が残した バックドアも使う。IIS サーバに感染し、セキュリティパッチを適用していな い Intertnet Explorer で感染サーバのページを閲覧するとクライアントマシン にも感染する。その後は電子メールや共有フォルダを経由して広がっていく。 2001 年 9 月に発見された。 JSRedir-R Adobe Flash,Adobe Reader/Acrobat の脆弱 性を突いてユーザのパソコン に侵入し、ユーザの FTP アカウントを乗っ取ることでユーザが管理している Web ページを改ざんする。Web ページには不正なスクリプトを埋め込まれ、 閲覧者を通じて感染が拡大する。2009 年から流行。 Gumblar 攻撃者が、あらかじめ何らかの方法で Web サイト上に攻撃コードを埋め込 む。 こ の 攻 撃 コ ード が Adobe Reader・Acrobat や Flash Player、Java、 Windows、Microsoft Office などの脆弱性を利用し、他の悪意ある Web 斉 藤に誘導することでクライアント側のコンピュータにマルウェアを感染させる。 このマルウェアが攻撃者に FTP アカウントなどを攻撃者に送信することで、 攻撃対象の Web サイトの管理権限を、攻撃者が取得してしまう。 表 1.1 Web ページを改ざんするウイルス ■■ 11 ■■ 第 1 章 コンピュータウイルスの中で、ネットワーク上で感染を広げていくものはネットワームま 第1章 ドクロの Web ページ 図 1.7 RameN ワームに感染したサーバの Web ページ 6 図 1.8 SadmaID/IIS に感染した Windows の Web ページ 6 「ハッカーはヌードルがだーい好き」だそうです。 ■■ 12 ■■ 第1章 ドクロの Web ページ 1-3 Web ページ改ざんは、まだマシなほう きます。ところが、Web ページ改ざんは侵入者の行為のほんの一例でしかありません。 侵入したサーバを長く悪用したいと思えば、侵入者は管理者に気づかれないように侵入 こんせき を続けるのが当然です。現に、侵入者は自分が侵入した痕 跡をそのサーバから消すの が一般的ですし、バックドアやトロイの木馬を仕掛けた場合にもその存在を管理者に気 いんぺい づかれないようにします。こういった侵入後の隠蔽工作を自動的に行うツールさえありま す。これらのツールはルートキット(rootkit)と呼ばれ、インターネット上で堂々と配布 されています。 侵入の被害はサーバの管理者が気づいていないときに最も大きいと考えるべきです。 1-4 どうしたら侵入を防ぐことができるのか クラッカーやコンピュータウイルスの侵入を防ぐのは容易ではありません。映画などで は、非常に頭が良いクラッカーとコンピュータを守る専門家との間に、高度な技術を用い た攻防が繰り広げられたりしますが、実際には、ことさらに苦労しなくても侵入できるサー バが無数にあります。コンピュータウイルスでも自動的に侵入できてしまうようなサーバが ごろごろしていますし、子供でも操作できる侵入ツールもたくさんあるのです。 侵入を防ぐのは、侵入の原因になるものをなくすことを心がける必要があります。ただ し、これはごく一部の人だけしか理解できないようなことではありません。 侵入を防ぐには (1)適切なパスワード管理 (2)設定ミスがないか確認する (3)セキュリティホールを塞ぐ (4)バックドア、トロイの木馬などをマルウェアを検出する ■■ 13 ■■ 第 1 章 Web ページ改ざんを可能にする侵入の原因と改ざん方法について紹介しましたが、 Web ページ改ざんは大変目立つため、被害を受けたサーバの管理者は当然それに気づ 第1章 ドクロの Web ページ (1)適切なパスワード管理 パスワードを漏らさないこと、推測されないようにすることです。 (2)設定ミスがないか確認する 十分なテストをします。設定ミスの発見には、ペネトレーションテスト(penetration test:侵入テスト)が有効です。このテストは、実施者がクラッカーの立場を想定して、 侵入の実験を行うものです。 (3)セキュリティホールを塞ぐ ソフトウェアのセキュリティホールは頻繁に発見・報告されています。報告を受けたソ フトウェアメーカは、そのセキュリティホールを修正した新バージョンのソフトウェアや、 セキュリティホールを修正するプログラム(セキュリティパッチ)を配布し始めます。コ ンピュータの管理者は、セキュリティホールのあるプログラムを新バージョンに置き換え るか、またはセキュリティパッチを適用すればいいのです。Windows を開発している Microsoft 社や、Linux 系のディストリビュータは、簡単な操作で安全なソフトウェアに 更新するシステムを提供しています。図 1.9 は Windows のコンロールパネル (一例)です。 セキュリティパッチ(更新プログラム)を自動的にダウンロードして適用できる機能が提 供されています。 図 1.9 Windows コントロールパネル内のセキュリティ設定(一例) ■■ 14 ■■ 第1章 ドクロの Web ページ (4)バックドア、トロイの木馬などマルウェアを検出する 1.10)。 図 1.10 マルウェア SubSeven を検出したウイルス対策ソフト(Norton AntiVirus Corporate Edition) ★セキュリティ・ワンポイント★ 遠隔操作機能を持つバックドアソフト バ ッ ク オ リ フ ィ ス サ ブ セ ブ ン B ackOrifice、S ubSeven、 ネットバス NetBus は代表的なリモート制 御機能を持つトロイの木馬型の マルウェアで、バックドアとして も扱われます。インストールし たコンピュータをクラッカーが 外部から直接操作できます。開 発チームがあり、バージョンアッ プもされています。 右の図は SubSeven の攻 撃 者の画面です。アイコン、スタートボタン、時計などを隠したり、CD-ROM トレイ を出し入れして被害者を驚かせる機能のほか、被害者のパソコンを経由して他の サーバを攻撃する踏み台機能などがあります。 ■■ 15 ■■ 第 1 章 既知のバックドアやトロイの木馬はウイルス対策ソフトで検出することができます(図 第1章 ドクロの Web ページ 1-5 侵入されるサーバがこれほど多いのはなぜか 侵入を防ぐ技術は、それほど特別なものではありません。パスワードの管理と設定ミ スを防止すること、ソフトウェアメーカが提供するセキュリティパッチを適用すること、ウ イルス対策ソフトを使うことです。しかし、それで十分というわけではありません。 もし、管理者用のパスワードを設定しないままで運用するとか、インストール直後のパ スワードをそのまま使っているとすれば、まるで侵入してくれと言っているようなものです。 しかし、対策を十分に取ったとしてもサーバに侵入される例が後を絶ちません。 2002 年 5 月から Spida ワームが大流行し始めました(表 1.2)。 Spida 2002 年 5 月 21 日ころから目立って観測されるようになった。Spida は Microsoft SQL Server にアクセスし、管理者のアカウントに NULL のパスワードが設定されて いると侵入し、サーバ内の情報を特定の電子メールアドレスに送信する。Microsoft SQL Server はインストール直後のデフォルト状態で管理者のアカウントのパスワー ドが NULL である。 表 1.2 パスワード未設定のサーバに感染するワーム IIS(Internet Information Services)にバッファオーバーフローのセキュリティホール が発見・報告されたのは 2001 年 5 月です。すぐにセキュリティパッチが公開されました。 サーバ管理者がセキュリティパッチを適用すればセキュリティホールを簡単に塞ぐことが できます。ところが、それから2ヶ月も経った 2001 年 7 月にこのセキュリティホールを悪 用した CodeRed が大流行しました。 2002 年 6 月に Unix 系 OS でもWindows でも動作し、Web サーバとしては最もシェ アの高い Apache にバッファオーバーフローによるセキュリティホールが発見されました。 開発元はすぐに新バージョンを発表しましたが、古いバージョンを使い続けるサーバは 少なくなく、Scalper が流行してしまいました。 (表 1.3)。 Scalper Unix 系 OS の FreeBSD 上で動作する Apache1.3.24 以前のバージョンに感染する。 感染サーバにはバックドアが仕込まれ、外部からメールの送信やファイル転送が可 能になる。 表 1.3 旧バージョンの Apache に感染するワーム ■■ 16 ■■ 第1章 ドクロの Web ページ 日本では 2005 年から SQL インジェクション攻撃によって旅行会社、価格比較サイト、 報じられましたが、その後も同じ手口で被害に遭うサイトがなくなりません。 侵入には高度な技術を必要としません。簡単にわかるパスワードでアクセスしたり、 ずいぶん前に発見されて公開されたセキュリティホールをついてみたり、ウイルス対策ソ フトで簡単に発見できるようなツールを使うだけで十分なのです。 反対に、サーバを守ろうとするならば、他社の事件が報道されたとき「どんな手口で? 自分のところは大丈夫か?」と確認することで被害を少しでも小さくすることにつながる わけです。 ■■ 17 ■■ 第 1 章 新聞社などで Web サイトの改ざんや個人情報流出事件が起きました。事件は大々的に 第1章 ドクロの Web ページ ★セキュリティ・ワンポイント★ フルディスクロージャー(Full Disclosure) もし、セキュリティホールを発見したらあなたはどうしますか。セキュリティホー ルは多くの場合、セキュリティを研究している善良なユーザによって発見・報告され ています。もちろん悪意を持つ者もセキュリティホールを発見しているでしょうが、 報告はしません。 セキュリティホールの公開は、それによって攻撃者が増える危険性があるため否 定的な意見もあります。しかし、もしクラッカーがそのセキュリティホールを見つけ てしまうと、それを知らされる機会のないユーザは被害を一切防ぐことができませ ん。そういったことから、多くのセキュリティ研究家は、セキュリティホールを発見 した場合に、まずそのソフトウェアのメーカに報告し、セキュリティパッチ配布など の対処を見計らって情報を公開する方法をとっています。まれに、報告を受けなが ら対処を怠るメーカがあると、時間が長引くにつれユーザの危険が高まることから 対処を待たず情報公開に踏み切ることもあります。 セキュリティに関する情報は、最終的には全てのユーザに公開することによって 安全を確保すべきであり、ソースコード等を公開しても安全性を確保できるシステ ムが本当に安全なシステムであるという考え方は、フルディスクロージャーと呼ば れ、セキュリティ哲学の主流となっています。なお、日本では 2004 年 7 月 7 日に 経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」 (平成 16 年経済産業 省告示第 235 号)を公示し、脆弱性関連情報の届出の受付機関として独立行政 法人 情報処理推進機構(IPA)が、脆弱性関連情報に関して製品開発者への連 絡及び公表に係る調整機関として一般社団法人 JPCERT コーディネーションセン ター(JPCERT/CC)がそれぞれ指定されました。脆弱性に関する情報は、IPA と JPCERT/CC が共同で運営する脆弱性対策情報ポータルサイトである、JVN (Japan Vulnerability Notes)に掲載されます。 ★セキュリティ・ワンポイント★ ゼロデイ(Zero-day)攻撃 セキュリティホールの存在が知れ渡る前に行われる攻撃をゼロデイ攻撃といいま す。実際に被害が発生することによってソフトウェアメーカがセキュリティホールに 気付くもの、または、メーカがセキュリティホールの存在を発表し、パッチを公表 してユーザに呼びかけ始めたとき間髪を入れずに行う攻撃です。 前者では一般のユーザに防御手段はありません。後者では、パッチの適用が遅 れたユーザが被害に遭うことがあります。 ■■ 18 ■■ 第2章 私が内定を辞退したですって⁉ 第 2章 私が内定を辞退したですって⁉ ──急増するサイバー犯罪と法律 今日もポストには関由利子宛の封筒が届いていなかった。そろそろ、株式会社セック 家電販売から入社内定式の連絡が来るはずだった。 就職戦線は厳しいものだった。関は早期から葉書や電話、電子メールを使って多数の 企業へアプローチをし、毎日のように会社訪問と面接を繰り返した。そして今年の6月、 不採用通知の山にめげかけていた頃、株式会社セック家電販売から内定の連絡を受け た。努力の末に勝ち取った内定に関は天にも上る気持ちだった。 株式会社セック家電販売の担当は山田さんで、連絡は主に電子メールを使って行われ た。山田さんから最後に届いたメールは以下のものだ。 From: " 山田川男 " <[email protected]> To: " 関由利子 " <[email protected]> Date: Wed, 24 Jun 2015 09:51:52 +0900 Subject: 質問のご回答と今後の予定につきまして 関由利子さん、先日の社内見学は、お疲れ様でした。 セック家電採用担当の山田です。 ご質問いただいた、入社に向けての資格取得の件ですが、関さんには情報処理の 分野で活躍してほしいので、関係した資格をお勧めしたいと考えています。 今後のことですが、10月に採用内定式を行うことになっています。内定式の詳細 については9月中旬に郵送にてご連絡いたします。 不明な点がありましたら、メールや電話で遠慮なく問い合わせてください。 これからもよろしくお願いいたします。 株式会社セック家電販売 人事部 新卒者採用担当 山田川男 ■■ 19 ■■ 第 2 章 関由利子の波乱万丈 第2章 私が内定を辞退したですって⁉ 6月の内定者向け会社見学会の後に届いたこのメールに対して特に返信はしていな かった。資格試験の勉強をしながら安心して連絡を待っていたのだった。ところが、9 月も終わりになろうというのに、連絡が来ない。他の会社に内定を決めたクラスメイトた ちは、すでに会社と連絡を取り合っているようだ。不安になった関は山田さんに電話を して内定式の予定をきいてみることにした。 3ヶ月ぶりに会話をした山田さんの言葉に、関は耳を疑った。 山田川男 「関さん?たしかに、関さんとは内定の手続きを進めていましたが、辞退される とのことで、受理させていただきました。」 関には、何がなんだかさっぱりわからず、そんなはずはないと電話口で叫んだ。山田 さんも驚いたようで、きちんと調べて連絡しなおすとのことだった。連絡はすぐに来た。 驚くことに、6月のメールに対して次のような返信が山田に届いていたのだった。 From: " 関由利子 " <[email protected]> To: " 山田川男 " <[email protected]> Date: Mon, 29 Jun 2015 22:50:11 +0900 Subject: Re: 質問のご回答と今後の予定につきまして 山田さん、事情ができたので、入社できなくなりました。 だから内定を辞退しまっす。テヘッ! > ご質問いただいた、入社に向けての資格取得の件ですが、関さんには情報処理の > 分野で活躍してほしいので、関係した資格をお勧めしたいと考えています。 情報セキュリティの勉強をしようと思っていたけど、 他の会社に行くのでやっぱりやーめた♪ じゃぁね~、元気でね~(* ^◇^ *)ノ 関由利子 なんだこれは⁉ 自分がこんなメールを書くわけがない。それに文章の失礼なことと いったら、常識知らずのバカ学生そのものではないか。何者かが関になりすましてメー さしょう ルを送信したことが明らかだ。しかし、単に From 欄を詐称しているだけではない。犯 人は山田さんからのメールのタイトルとメール内容を知っていて、返信にそれらを含めて いる。それがあるから山田さんも本人からのものと信じたのだろう。 ■■ 20 ■■ 第2章 私が内定を辞退したですって⁉ 第 2 章 誰かが自分のメールを盗み見ている。少なくとも6月から。しかも悪意を持って。就職 活動用のメールアカウントは自宅のパソコンにしか登録していなかった。受信メールサー バはプロバイダのものでパスワードがなければアクセスできない。パスワードは自分しか 知らないはずだと関は思った。他人に推定されないパスワードを設定しなければならな いのは関も知っていたが、意味のない文字列では覚える自信がなかったので、子供のこ ろに飼っていた金魚の名前をパスワードにした。誰も知らないはず。そう考えながら関は はっとした。たった一人だけ、それを知っている者がいるのを思い出したのだ。半年前、 大喧嘩の末に別れた元彼氏だった。関は初めてパスワードを変更し、警察のサイバー犯 罪相談窓口7 に相談の電話をした。後日、不正アクセス禁止法違反による逮捕を伝える 記事が新聞に掲載された。元彼氏の実名が報じられていた。 7 サイバー犯罪相談窓口一覧(http://www.npa.go.jp/cyber/soudan.htm) ■■ 21 ■■ 第2章 私が内定を辞退したですって⁉ なるほどセキュリティ 2-1 サイバー犯罪の急増 インターネットは国民の5人に一人の割合で利用されるようになり、それに伴い、サイ バー犯罪も増加しています。サイバー犯罪は、インターネットを始めとするコンピュータネッ トワーク内で、ディジタル信号によって行われる犯罪です。 2-2 サイバー犯罪と法律 (1)不正アクセス禁止法(不正アクセス行為の禁止等に関する法律) 不正アクセス禁止法は、電気通信回線に接続され識別符号によるアクセス制御がな されているコンピュータに権限なくアクセスすることを不正アクセス行為として禁止する 法律です。不正アクセス行為のほか、不正アクセスを助長する行為も処罰の対象となり ます。この法律で言う識別符号として一般に使用されているのはパスワードです。そのほ かにバイオメトリックス認証による身体的特徴なども識別符号に含まれます。 ★セキュリティ・ワンポイント★ 生体(バイオメトリックス)認証 生体(バイオメトリックス)認証は、身体的な特徴を利用して本人の確認を行う 認証方式です。パスワードよりも他人に盗まれにくいため、なりすましを防止しや すい特徴があります。バイオメトリックス認証に使われるのは以下のものなどで、 それぞれを認証サーバに登録し照合します。ただし、何らかの形で破られてしまう と、変更がきかないという欠点があります。また、必ずしも一度の実行で認証が 成功せず、利用者の負担になる場合もあります。 指紋 :指紋の特徴点や紋の流れ方向が各人固有であることを利用して照合する。 センサに触ることが必要。 網膜 :網膜の血管の個人差を利用する。スキャナを覗き込まなければならない。 こうさい 網膜認証と異なり、 カメラを見るだけでよい。 虹彩 :眼球の奥の模様を照合する。 声紋 :声の特徴を照合する。マイクを使用する。 顔 :人相の特徴をカメラで入力する。指紋認証のように接触の必要はない。 サイン:手書きの署名または署名に変わる文字や絵などを照合する。 描かれたものの形状だけでなく、筆記運動の癖や筆圧も照合する。 ■■ 22 ■■ 第2章 私が内定を辞退したですって⁉ 不正アクセス行為としては、他人のパスワードを不正に入手して使用することや、セキュ リティホールを悪用してパスワードなしにアクセスを行うことがあげられます。他人のパス ワードを本人の許可なく第三者に知らせることは不正アクセスを助長する行為となります。 そのほか、処罰規定はありませんが、アクセス管理責任者には、識別符号の適正な 管理が義務付けられています。 男子中学生(14)は、大手コミュニティサイトの運営者になりすまし、同サイトの識別符号を不 正に取得するため、海外のレンタルサーバ上に同サイトのログイン画面に酷似したフィッシングサ イトを構築した。24 年 12 月、不正アクセス禁止法違反で検挙した(熊本)。 資料 2.1 不正アクセス禁止法違反の事例(「平成 25 年版 警察白書」から) ★セキュリティ・ワンポイント★ パスワードリマインダ機能 ユーザがパスワードを忘れたとき、あらかじめ登録している質問の答えを入力す ることで、本人認証をするシステム。ユーザ登録時にユーザ ID とパスワードのほ かに、ペットの名前、親の旧姓、出生地、健康保険証番号などの質問と答えを登 録する。その後は、ユーザ ID と登録した質問の答えを入力することで、パスワー ドの再発行や変更ができる。この利用に当たっては、IPA のセキュアプログラミン グ講座においては、 「認証の機会が増えることでセキュリティが弱くなるため、で きればパスワードリマインダを設けない方がよい。」とし、利用する場合においても、 慎重な設置を求めている。 ■■ 23 ■■ 第 2 章 男子高校生(17)は、通学路等付近においてセキュリティ設定のない複数の無線 LAN を無断 利用してインターネットに接続し、第三者のメールアカウントに対して不正アクセスを行い、嫌が らせメールを送信するなどした。24 年7月、不正アクセス禁止法違反等で検挙した(警視庁)。 第2章 私が内定を辞退したですって⁉ ★セキュリティ・ワンポイント★ PIN コード PIN(personal identification number)コードは、番号だけで構成されるコー ドで識別符号として使われます。PIN コードは特定システムを使うための暗証番号 です。銀行のキャッシュカードの暗証番号や、携帯電話の SIM カードのように IC カード利用のためのロック番号などがあります。 (2)電気通信事業法 電気通信事業法は憲法で保障された通信の秘密を明文化して保護しています。この 法律は、固定電話や携帯電話を使った通信回線を提供している事業者や、ユーザにイ ンターネット接続などを提供しているプロバイダ(ISP:インターネット・サービス・プロバ イダ)などの義務を定めた法律ですが、通信の秘密に関しては事業者以外に適用され ています。例えば、大手消費者金融前会長が、部下に指示してフリーライターの電話を 盗聴し、電気通信事業法違反の罪で有罪判決を受けています 8。このような行為が電子 メール等に対して行われるときは不正アクセスを伴っています。 電話その他の電気通信でも、通信傍受法(犯罪捜査のための通信傍受に関する法律) で特別に定められた場合にのみ、捜査のための傍受ができます。通信傍受は、組織的 な殺人、薬物及び銃器などの犯罪に関するものに限られ、実施には裁判所の発行する 傍受令状を要します。 会社員の男(33)が、嫌がらせの目的で、元同僚のインターネット接続用 ID 及びパスワードを 使用して、メールサーバに不正にアクセスし、元同僚あての電子メールを盗み見た上、他人に 転送した。不正アクセス禁止法違反及び電気通信事業法違反で検挙。 資料 2.2 電気通信事業法違反による検挙例(警察庁ホームページから) 8 武富士盗聴事件 平成 16 年 11 月 17 日東京地裁判決 ■■ 24 ■■ 第2章 私が内定を辞退したですって⁉ ★セキュリティ・ワンポイント★ 通信傍受法 (3)刑法のコンピュータ犯罪 ・電子計算機使用詐欺罪 金融機関のコンピュータのデータなどを不正に書き換えて、不法な利益を得る行為は 電子計算機使用詐欺罪となります。電子メールやネットオークションで他人を騙して不法 の利益を得る行為は詐欺罪となりますが、財産に関わるデータを直接書き換えないため 電子計算機使用詐欺とは区別しています。なお、電子計算機使用詐欺罪、詐欺罪のど ちらも最高刑は懲役 10 年です。 さしゅ 多数の資産から全体への影響が無視できる程度に少しずつ詐取し、発覚しにくくする サラミ法という電子計算機使用詐欺の手口があります。例えば、金融機関の各口座の 利息計算で発生する端数を切り捨て、累計して自分の口座に入金することなどです。 無職の男(42)ら6人は、不正に入手した大手チケット販売サイトの会員 ID やパスワードを利 用し、同サイトに対して不正アクセスを行い、登録されているクレジットカード情報を利用して、 観劇チケット等をだまし取った。24 年 10 月、不正アクセス禁止法違反及び電子計算機使用詐 欺罪で逮捕した(広島)。 被疑者(無職・男性・34 歳)は、電子書籍購入代金の支払いを免れるため、自己の携帯用端 末に不正なアプリケーションをインストールし、同アプリケーションを利用して電子書籍販売の 事務処理に使用するサーバコンピュータに虚偽の情報を与え、不実の電磁的記録を作り、電子 書籍をだまし取った。 (警視庁) 資料 2.3 電子計算機使用詐欺罪の事例 (「平成 25 年中のサイバー犯罪の検挙状況等について」 [警察庁]から) ■■ 25 ■■ 第 2 章 通信傍受法(犯罪捜査のための通信傍受に関する法律)は、裁判官の発行す る傍受令状に基づき、検察官または警察官による電話、メール、ファクシミリなど の傍受を可能にした法律です。犯罪分野は薬物、銃器、集団密航、組織的殺人 に限られています。これらを疑うに足りる十分な理由があり、傍受しないと犯行の 状況や内容の解明が著しく困難な場合にのみ適用されます。傍受には通信事業者 の立会が求められ、傍受記録は裁判官に提出します。 第2章 私が内定を辞退したですって⁉ ・電磁的記録不正作出罪、支払用カード電磁的記録不正作出罪等 権利・義務その他事実証明に関する電磁的記録を不正に書き換える罪です。電磁的 記録とは電子的方式、磁気的方式などの方式で情報処理に用いられるものをいいます。 テレホンカードやクレジットカードなど代金又は料金の支払用のカードを不正な目的で所 持または情報の取得をする行為は、それぞれ不正電磁的記録カード所持罪、支払用カー ド電磁的記録不正作出準備罪に該当します。 クレジットカード偽造グループが、風俗エステ店の客等のクレジットカードからスキミング 9 の手 口により不正に入手したカードの会員情報を、 プラスチック板の磁気部分に記録して、 支払用カー ドを不正に作った。 会社員の男(32)が、社内で自己に対する評価が低いことに不満を抱き、会社を困らせる目的 で、自己が開発に携わった派遣先証券会社のオンライン・トレード用の認証サーバに、当該シ ステムの開発時に盗み見た当該証券会社の口座開設者の ID 及びパスワードを使用して不正に アクセスし、当該口座開設者になりすまして株式売買を行った。不正アクセス禁止法違反及び 私電磁的記録不正作出・同供用 10 で検挙した 資料 2.4 電磁的記録不正作出罪による検挙例(警察庁ホームページから) ・電子計算機損壊等業務妨害罪 コンピュータやデータを壊したり書き換えたりして他人の業務を妨害する罪です。業務 用の Web ページを改ざんすることも電子計算機損壊等業務妨害罪となります。 不正アクセスによって、会社のホームページを閲覧できない状態にし、同社の広告宣伝業務を 妨害した。 資料 2.5 電子計算機損壊等業務妨害罪による検挙例(大阪府警察ホームページから) 同時に不正アクセス禁止法にも違反しています。 9 キミングはクレジットカード情報の不正取得のことで、他人のクレジットカードを受け取ったとき ス にスキマーと呼ばれる機械で素早く情報を読み取り、それをもとにカードを偽造するもの 10 私電磁的記録の " 私 " は公務員以外が作成した記録を意味する刑法上の表記。例えば、公務員 が業務上作成した書類は公文書、そうでないものを私文書という。 ■■ 26 ■■ 第2章 私が内定を辞退したですって⁉ ・不正指令電磁的記録に関する罪 いわゆるコンピュータ・ウイルスに関する罪のことです。2011 年に刑法が改正され、 新設された犯罪類型です。他人の PC 等で、その人が意図しない動作をさせたり、意 図に反する動作をさせるような目的でウイルスを提供したり、作成したり、保管したりし た場合に、刑事責任を問うものです。 資料 2.6 不正指令電磁的記録に関する罪の事例 (「平成 25 年中のサイバー犯罪の検挙状況等について 」 [警察庁]から) (4)ネットワーク利用犯罪 ネットワーク利用犯罪とは、犯罪の構成要件に該当する行為についてネットワークを 利用した犯罪、又は、構成要件該当行為ではないものの、犯罪の敢行に必要不可欠な 手段としてネットワークを利用した犯罪をいいます。不正アクセス禁止法違反とコンピュー タ犯罪以外で、コンピュータネットワークが使われた犯罪が該当します。 ・威力業務妨害罪 威力を用いて他人の業務を妨害する罪です。DoS 攻撃11 によって業務用のサーバを停 止させることも、威力業務妨害となります。 無職少年が、パソコンソフト購入代金を請求してきた会社に対して、コンピュータウイルスに感 染した 659 個のファイルを電子メールに添付して送信し、被害会社の本来の販売業務等の遂行 に支障を生じさせ、威力を用いて同社の業務を妨害した。 工員(26 歳)は、インターネットの掲示板に「○○小学校をナタとエアガンで襲う」という内容 の書き込みをし、授業の中止を余儀なくさせるなどして業務を妨害した。 資料 2.7 威力業務妨害罪による検挙例(警察庁ホームページから) ・偽計業務妨害罪 他人に虚偽を信じさせることによって業務を妨害する罪です。 11 大きな負荷をかけてサービスを妨害する攻撃 (「第10章」参照)。 ■■ 27 ■■ 第 2 章 被疑者(出会い系サイト運営者・男性・59 歳)らは、スパムメール配信に利用するメールアド レスを収集する為、スマートフォンの電話帳データを抜き取るアプリを作成し、これを電池が改 善されるアプリと偽って、事情を知らない者にダウンロードさせ、ウイルスを供用した。 第2章 私が内定を辞退したですって⁉ 専門学生(20 歳)は、ホームページの中の爆弾マークをクリックすると自動的に110番につな がる携帯電話(インターネット接続)のホームページを開設し、多数の事情を知らない閲覧者 に110番させ警察の通信指令業務を妨害した。 市臨時職員(42 歳)は、小学校に対し「先生を困らせるために死のうと思います ○○日 夕方 5時です さよなら」等、自殺をほのめかす虚偽の事実を携帯電話から電子メールで送信し、 学校の業務を妨害した。 資料 2.8 偽計業務妨害罪による検挙例(警察庁ホームページから) ほかに、ネットワークを使って児童買春・児童ポルノ禁止法違反、詐欺罪、わいせつ 物頒布罪、著作権法違反などが増加しています。 ★セキュリティ・ワンポイント★ サイバー犯罪の分類 警察庁は不正アクセス禁止法違反、コンピュータ犯罪、ネットワーク利用犯罪を サイバー犯罪と呼んでいます。サイバー犯罪の分類は以下のとおりです。 サイバー犯罪 コンピュータ犯罪 コンピュータ、電磁的記録 対象犯罪 電子計算機使用詐欺 電磁的記録不正作出 電子計算機損壊等業務妨害 不正指令電磁的記録作成供出 ほか 不正アクセス禁止法違反 不正アクセス行為 不正アクセスの助長行為 ネットワーク利用犯罪 威力業務妨害 偽計業務妨害 児童買春・児童ポルノ 禁止法違反 詐欺罪脅迫 わいせつ物頒布等 出会い系サイト規制法違反 名誉毀損 著作権法違反 銃刀法違反 薬事に関する犯罪 等の犯罪のうち、 ネットワーク利用のもの ■■ 28 ■■ 第2章 私が内定を辞退したですって⁉ ・出会い系サイトに関連して起こる各種の犯罪 出会い系サイトに関連し、児童買春・児童ポルノ禁止法違反、青少年保護育成条例 違反のほか殺人、強盗致傷・監禁、強姦、強制わいせつ、恐喝、脅迫、窃盗、詐欺 などの事件が起こっています。児童買春・児童ポルノ禁止法は児童を 18 歳未満と定義し、 児童の保護を目的としています。出会い系サイト規制法12 は、児童(18 歳未満)を性交 渉に誘うこと、児童から誘うことを禁止しています。また、出会い系サイト開設にあたっ がサイトを利用しないようにする義務も運営者に課せられています。 (5)不正競争防止法(営業秘密の保護) 不正競争防止法は、原則として、事業者の営業秘密を不正の利益を得る目的や、そ の保有者に損害を加える目的で、不正取得、領得、不正使用、不正開示のうち一定の 行為に、10 年以下の懲役又は 1000 万円以下の罰金(又はその両方)を科すこととして います。また、自らがアクセスする権限を持たない営業秘密を不正に取得し、又は、そ の上で使用又は開示した場合、その者を罰するほか、両罰規定により、その行為者が 所属する法人に対しても、3 億円以下の罰金を貸すことができます。 なお、営業秘密として保護を受けるためには、その情報が、秘密として管理されてい ること(秘密管理性)、生産方法、販売方法その他の事業活動に有用な技術上又は営 業上の情報であること(有用性)、公然と知られていないものであること(非公知性)を 全て満たすことが必要です。経済産業省が発行する営業秘密管理指針の参考資料であ る営業秘密管理チェックシートにおいては、秘密管理性に関して、①その情報にアクセ スできる者が制限されていること(アクセス制限)と、②アクセスした者が秘密であると 認識できること(客観的認識可能性)が必要であると判断することが一般的な傾向であ るとの裁判例から、 「アクセス権者の制限」と「アクセスした者が秘密であると認識でき ること」の各要素に資する管理方法を重点的に項目化し、チェックすることができるよう になっています。このあたりの点は、組織の情報セキュリティに関する取り組みと一体化 して考えることが重要です。 12 インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律 ■■ 29 ■■ 第 2 章 て運営者は公安委員会へ届け出が必要です。利用者が児童でないことを確認し、児童 第3章 裏切られた気持ちでいっぱい 第 3章 裏切られた気持ちでいっぱい ──個人情報流出事件と個人情報保護 関由利子の波乱万丈 内定辞退のなりすましメールを送信されたことで、とんでもない経験をした関由利子 だったが、なんとか自動車メーカのパイン自動車販売株式会社に就職することができた。 セック家電販売に事情を説明して、何とかもう一度内定をもらえるように頼んでみると担 任の先生は言ってくれのだが、すでに他の学生を内定していることや、情報処理の専門 学校に通いながらパスワード管理が甘かったことを自分でも恥ずかしく感じていたことが あって、就職活動を再開することにした。秋になってからの活動は大変だった。奇跡的 な就職だった。 春になり、専門学校を無事に卒業した関は、パイン自動車販売の社員となった。希 望どおりのネットワーク管理部に配属され、やる気の毎日だ。この会社に不満はないの だけど、専門学校のときクラスメイトだった倉加潜が同期入社で、販売部で働いている。 彼はアンダーグラウンドのことに詳しく、ちょっと怖いところがあるので、できれば同じ 会社に入社したくないタイプだったが、事情が事情だけに入社できただけで感謝しなけ ひるねるお ればならない。もう一人、開発部に配属された昼寝男もかつてクラスメイトだった。ぼ んやりとしたタイプの男だ。 入社間もなくのある日、倉加が不機嫌そうに閉めたドアの音がフロア中に響いた。気 が付くと、いつもぼんやりしている昼寝男が珍しく真剣な顔で近寄ってきていた。昼の いやみ 話を聞こうとしたところで肩を叩かれた。販売部の主任の井闇さんだった。 井闇 「関さんたちの学校、やってくれちゃいましたね。いやぁ、まいっちゃうね。」 何のことかわからずにいると、昼がパソコンでニュースサイトを開き、関に見せた。記 事を見て仰天した。関、倉加、昼の出身校の名前が載っているではないか。 ■■ 30 ■■ 第3章 裏切られた気持ちでいっぱい コンピュータ専門学校3校、不正コピーで訴えられる ビジネスソフト等を作成・販売している企業5社が、今月5日、コンピュータス クール3校を相手取り、ソフトウェア不正コピーについて、著作権侵害による損害 賠償を求める訴訟を裁判所に提起した。訴えられたコンピュータスクール名は… 倉加が怒っていた理由がわかった。昼寝男は開発部の仲間にこの記事についていろ いろきかれたらしい。開発部はソフトウェアも作っているので不正コピーに腹を立てる人 が多かったのかもしれない。鈍感な昼も今度ばかりは傷ついたのだと思う。関もショッ コピーだったのだろうか。違法なソフトで勉強していたということだろうか。 関の悲劇はそれだけで終わらなかった。携帯電話に見ず知らずの男の声で電話がか かってくるようになったのは、1週間くらい前からである。 男の声A「由利子さぁん、えへへへ。」 男の声B「由利子さぁん、どんな下着ですか?ハァハァ。」 関は男の声に全く聞き覚えがなかった。それに、かかってくる声は1人のものではない。 こんな電話が続き、どんどん気持ちが落ち込んでいった。そのうち、着信メロディがど こからか聞こえただけで恐怖感を覚えるようになってしまった。電話だけではなかった。 関のアパートの前を怪しい男がうろうろしているのに気づいたのだ。耐え切れなくなった 関は警察に駆け込んだ。後日、関のアパート近くを重点的にパトロールしていた警察官 が怪しい男を発見、ストーカー規制法違反の容疑で取調べを受けることになった。 それでも、悪戯電話は減らなかった。見ず知らずの者から意味不明の電子メールも届 いている。関は自分の名前や住所、電話番号やメールアドレスなど個人情報が不特定多 数に知れたと悟った。 自分の情報がどこから漏れたのだろう。関は学校の授業で紹介されたニュースサイト13 にアクセスし、個人情報流出事件が頻繁に起きていることを知った。関は気が遠くなった。 関は流出事件を起こした企業のうち1社の顧客だったのだ。 13 Security NEXT(http://www.security-next.com/)など。 ■■ 31 ■■ 第 3 章 クを受けた。全く知らなかったとはいえ、もしかすると自分が実習で使ったソフトは不正 第3章 裏切られた気持ちでいっぱい 業 種 建築資材 エステティック プロバイダ 公立高校 流出件数 内 容 約 4 万 5 千件 アンケートに回答したユーザ住所、氏名、年令などが Web 閲 覧可能に 約 3 万件 アンケートに回答したユーザの住所、氏名、電話番号、メール アドレス、美容に関する悩みなどが Web 閲覧可能に 約 1,100 万件 ユーザの住所や氏名などを、元契約社員が外部のパソコンか ら不正アクセスして取得 約 11 万件 生徒の氏名や住所、電話番号、口座情報が、授業料徴収シス テム担当企業の従業員自宅からファイル共有ソフト Winny の ネットワーク上に流出 通信販売サイト 約 5 万 2 千件 氏名や住所、電話番号、性別、生年月日のほか、ログインパスワー ドやユーザ ID、クレジットカード情報などが、Web サイトへの 不正アクセスによって流出 陸上自衛隊 約 14 万件 1 等陸尉が、陸上自衛隊の隊員や家族の情報を持ち出し、名 簿業者に 100 万円で売却 芸能人のファン 最大 クレジットカード番号、ファンクラブ会員番号、会員サイト初期 クラブ 19 万 4 千件 ログインパスワード、メールアドレスなどが、Web サイトへの不 正アクセスで流出 通信教育 約 2,000 万件 会員データベースの管理を任された外部委託先の派遣社員が、 会員である子供やその親の個人情報を、 個人所有のスマートフォ ンを使って社外に持ち出し、約 2,000 万件を名簿業者に売却 表 3.1 個人情報流出事件の例 信用できる会社と思って住所やメールアドレスを登録していたのに。信じていた学校に も裏切られた。悔しくて涙が出た。そのうち、どうしようもなく怒りが込み上げてきた。 ■■ 32 ■■ 第3章 裏切られた気持ちでいっぱい なるほどセキュリティ 3-1 個人情報流出の被害 顧客情報流出事件は、毎週のように報じられています。これらの事件の特徴として、 情報の取り出し方がすぐにインターネットユーザに知れ渡ってしまう点があります。情報 流出を知った者が、公開された掲示板などでそれを得意げに報告してしまうことが多い からです。もちろん、問題の企業に連絡して対処を促す善意の者もいますが、企業が対 応するまでの時間に、掲示板の報告を見た興味本位のユーザがアクセスし、情報を個 よる販売や、ファイル交換ネットワークへの流出が確認されたものもあります。 また、内部犯行による個人情報の持出しも数年に一度の割合で発生します。多くの場 合、名簿業者などに売り渡し、対価を得ることを目的としたものです。この場合は、一 度に何十万件という単位で個人情報が外部に漏えいすることになります。一度外部に流 出した個人情報は、名簿業者間を転売され瞬く間に拡散していきます。こうなってしまう と、情報を回収することはおろか、情報の拡散を止めることすら難しくなります。2009 年に発生した 「三菱 UFJ 証券顧客情報売却事件」では、98 社の名簿業者にデータが渡っ ていたとの報道もあります。ちなみに、約 149 万人分の個人情報を持ち出し、そのうち の 5 万人分の個人情報を名簿業者に売り渡したこの事件の犯人は、窃盗及び不正アク セス行為の禁止等に関する法律違反の容疑で警視庁に逮捕され、懲役 2 年の実刑判決 を受けています。 3-2 Web サーバからなぜ顧客情報が漏れたのか さて、インターネットを通じた流出事件は、どのように起こるでしょうか。Web ページ 改ざんと同じように、セキュリティホールを放置したために侵入される例、管理パスワー ドを不正利用される例は、不正アクセス禁止法違反の事件です。 一方、警察による捜査ができない流出事件もあります。不正アクセス禁止法で禁止さ れている行為は、識別符号(パスワード等)で保護された領域に正当な権限なしにアク セスすることです。セキュリティホールを狙う特別な操作を使わなくても、パスワードを 盗まなくても、顧客情報を取り出せたのではサイバー犯罪として扱うことはできません。 ■■ 33 ■■ 第 3 章 人的に保存してしまう者もいるのです。これらの顧客情報ファイルの中には、名簿業者に 第3章 裏切られた気持ちでいっぱい (1)ディレクトリ一覧を公開したことによる流出 顧客情報流出の原因になりやすいのが、サーバのディレクトリ一覧を公開してしまう ことです。ディレクトリは主に UNIX の用語で、ファイルをまとめて保存・管理している 領域を指します。UNIX を中心に発展したインターネットではこう呼びますが、Windows や MacOS のフォルダと同義と考えても差し支えありません。 Web サーバソフトで最もシェアの高い Apache には、サーバのディレクトリ内のファイ ル名を一覧して表示する機能があります。URL として末尾のファイル名を省略すると、 登録されたトップページ(index.html など)があればそれを表示し、なければファイル 名を一覧するものです。 利用例)http://www.example.com/gazou/ fuukei.jpg (fuukei.jpg が表示されます) 利用例)http://www.example.com/data/ (data ディレクトリのファイル一覧が表示されます) さて、もしも顧客情報を保存しているディレクトリが、ディレクトリ一覧を表示する設 定となっていたらどうなるでしょうか。表示された顧客情報ファイル名をクリックするだ けで、閲覧可能になってしまいます(図 3.1)。 図 3.1 ディレクトリ一覧機能によって、ファイル名が表示された例 ディレクトリ一覧は Apache のバグではありません。使い方によっては非常に便利な、 よく知られた機能です。このサーバからは顧客情報が流出するでしょうが、ファイルを閲 覧した人が不正アクセス禁止法に違反したとは言えません。こういった流出では被害届 が受理されません。 ■■ 34 ■■ 第3章 裏切られた気持ちでいっぱい ★セキュリティ・ワンポイント★ CGI(Common Gateway Interface) 顧客情報収集のように、クライアントの操作によるインタラクティブな動きや 表 示を実現するプログラムを Web サーバ上で可能にするには、CGI(Common Gateway Interface)の仕組みが使われます。CGI の特徴は、プログラムの実行 をサーバの CPU を使って行うことです。例えば、Java アプレットもプログラムとし て機能しますが、クライアント側で実行するためサーバのファイルを更新すること はできません。一方、サーバ上でプログラムを実行する方法なら、顧客ファイルに 「cgi-bin」というディレクトリに保存されるのが慣習的です。 (2)推測されるディレクトリ名やファイル名を使用したことによる流出 CGI スクリプトには、フリーウェア、シェアウェア、パッケージソフトとして流通してい るものがあります。同じスクリプトを入手すると、使われているディレクトリ名やデータファ イル名がわかります。ディレクトリ一覧が公開されていなくても、ファイル名の直接指定 で顧客情報を閲覧できた事件がありました。 (3)推測されないディレクトリ名やファイル名を使用すればいいと誤解したことによる流出 例えば以下のような秘密のファイルを使っても流出した例がありました。 例)http://www.example.com/ierloglds14s5e2r/2dw92r434d22.dat 例)http://www.example.com/hdfkewrif327dsdfh.html 管理者は、こんなファイル名を思いつく人はいないから安全と思ったのでしょう。とこ ろが、このようなアドレスが何者かによって掲示板上に公開されたり、検索サイトでキー ワードに一致する候補ページとして表示されたりする事件がありました。原因は定かで はありませんが、想像はできます。 ・アドレスを知っている人のブックマークなどが第三者に流出 ・アドレスを知っている人が個人的にリンク集を作り、そのリンク集に検索ロボットが 訪れた ・該当ページには、他のサイトへのリンクが含まれていたため、リンク先のサーバの Referer.14 ログにアドレスが記録され、他人に知られた。またはアクセス解析ページ 14 Web サーバのアクセスログの一種で、他のページのハイパーリンクをクリックして訪問したとき、 リンク元の URL を記録するもの。 ■■ 35 ■■ 第 3 章 データを蓄積していくことが可能です。CGI スクリプト(CGI 用のプログラム)は 第3章 裏切られた気持ちでいっぱい を経由してロボットが訪れた。 検索サイトで自分の氏名やメールアドレスを検索して、偶然、自分の情報を含む個人 情報ファイルが公開されていることに気づいた人もいました。読者のみなさんも試してみ ましょう。 (4)その他の設定ミス 公開されない設定にしていたものの、サーバのハード・ソフトの入れ替えや障害復旧 時などの最設定にミスすることも少なくありません。テストを十分に行うことで防止する ようにすることが重要です。 3-3 顧客情報を漏らさない設定をするには (1)情報に敏感になり、安全を目指し続ける態度 ディレクトリ一覧を公開して顧客情報を流出させたサーバの管理者は、Apache の機 能を知らなかったのでしょう。読者のみなさんは、これを勉強不足で片付けてはいけま せん。使用するソフトの機能と設定方法の全てを知ることなど、そう簡単にはできない のです。そして、たいていのソフトは、その全てを知らなくてもそれなりに動作させるこ とが可能になっています。安全を目指そうと思えば、いつも、自分には知らないことが あるという前提で情報を収集し続けなければなりません。 Apache のディレクトリ一覧機能に気づかないのは初心者によくあることなので、それ に触れている書籍・雑誌があります。解りやすく説明した親切なサイトもあります。少し でも関連の情報にアクセスしようとしていれば気が付くことです。 万が一、偶然にもその情報を見逃していたとしても、最初の顧客情報流出事件が報 道されたとき、他の全ての会社には「そのサイトからどのようにして顧客情報が漏れたの か? うちは大丈夫なのか?」と考えるチャンスがありました。顧客情報流出事故はテレ ビや新聞で取り上げられ、警察庁、IPA 15、JPCERT/CC16 はそれぞれのサイトで注意を 呼びかけています。情報を頻繁に更新しているセキュリティ関連サイト17 もたくさんありま す。サーバ管理者同士が安全を目的に熱心に情報交換をしているメーリングリストや掲 示板もすぐにみつかります。もし、今もディレクトリ一覧の公開に気づかずに顧客情報を 流出させているサイトがあったとしたら、その管理者は、テレビでも新聞でもセキュリティ 15 独立行政法人情報処理推進機構(IPA) (http://www.ipa.go.jp/) JPCERT コーディネーションセンター(http://www.jpcert.or.jp/) 17 セキュリティホール memo(http://www.st.ryukoku.ac.jp/~kjm/security/memo/)は代表的な サイトの一つ。 16 ■■ 36 ■■ 第3章 裏切られた気持ちでいっぱい 関連のニュースを見ておらず、自分のサイトではお客様の情報を預かっていながら警察 庁からも IPA からも情報収集しないし、セキュリティ関連情報について検索サイトを利 用する気すらないということです。これは勉強不足とは言いません。 (2)Web サーバの安全な設定 公開してはならないデータを外部からアクセス不可能な領域に保存することです。 Web サーバにおいて入力したデータを直ちに別のコンピュータに転送し、Web サーバに は残さないようにしましょう。 Web サーバ上に保存する必要があるファイルでも必ず公開されないディレクトリを使用 します。そのディレクトリを公開するかは Web サーバの設定によるのでそれを見直します。 によって外部に流出した事件の存在も知ることができるでしょう。 それとは別に、全てのファイルには適切なパーミッションを設定することが重要です。 パーミッションはファイルごとのアクセス権限のことで、読み込み可能/書き込み可能/ 実行可能の属性をそれぞれどのユーザに与えるかを決めておくものです。なお、IPA で は、 「安全なウェブサイトの作り方について」という冊子を作成しており、Web サイト上 で PDF ファイルを公表しています。このような情報を積極的に活用し、安全な Web サ イト、安全な Web サーバの設定を実現してください。 3-4 中古パソコンや廃棄パソコンから情報流出 ハードディスク内のデータは、それを消したといっても、実際はデータの管理領域に 削除フラグを設定し論理的にユーザから見えないようにしているだけです。誤って消して しまったファイルを復活させるツールもありますし、故障したハードディスクからデータだ けを取り出すこともある程度可能です。このようなデータ復活をデータ・サルベージとい います。悪用のためにディスクに残ったデータを読み出すことをスキャビンジング 18(ス カビンジング)ということもあります。 データサルベージソフトによって中古パソコンから診療明細書データや犯罪歴を記入 した少年のリストが発見された事件もありました。それぞれ、病院や警察署内で使用さ れていたものでしょう。 このような流出を防ぐために、ハードディスク等の記憶媒体の譲渡・廃棄時に、ハー ドディスク内容を物理的に消すことが必要です。一般的な削除やフォーマットの操作は 18 ソーシャルエンジニアリングの手法の一つのごみ箱あさり(トラッシング)の意味にも使われます (「第8章」参照)。 ■■ 37 ■■ 第 3 章 情報収集に敏感でいれば、Web アクセスができない領域に置いたデータが ftp アクセス 第3章 裏切られた気持ちでいっぱい 物理的な削除ではありません。必要なのは、ハードディスクの全てのビットを0または1 で上書きすることです。このツールは市販されています。 3-5 送信先アドレスを表示させて電子メールを同報送信することによる流出 メールアドレスの流出事故で最も多いのが、顧客に同報送信したメールに、全顧客の メールアドレスが表示されたものです。電子メールの宛先の指定には以下の3つの方法 があります。 To: 宛先のアドレス、メールに表示される Cc: Carbon Copy 同報の宛先アドレス メールに表示される Bcc: Blind Carbon Copy 同報の宛先アドレス 宛先に届くがアドレスが表示されない 図 3.2 5人の宛先にメール送信する例 ■■ 38 ■■ 第3章 裏切られた気持ちでいっぱい 図 3.3 To と CC に指定した3人分の宛先は受信メールに表示される(例) 顧客のメールアドレスを他の顧客に知られないようにメールを送信するために、Bcc を 使っている企業が多いようです。しかし操作ミスで Cc を使ってしまい、メールアドレス が流出するのです。このようなとき、企業は「単純な操作ミスにより…」と説明しますが、 操作ミスが問題なのではありません。メールは基本的に一度送信ボタンをクリックしたら は Bcc と Cc を間違うことなど、いくらでも予測できるのです。公開できない顧客のプラ イバシー情報を、人間の一度のクリックに委ねてはいけません。最初から、送信者を限 定したメールマガジン19 のシステムを使用するなど、可能な対策を検討することが必要 です。 3-6 内部の者が顧客情報を売っている場合も 前述のとおり、自社や委託先の従業員が顧客情報を第三者に漏らす、または名簿業 者に販売する例が少なくありません。コンビニエンスストアや信販会社の会員情報が販 売されていた事件は、委託先のデータ管理会社からの漏えいが疑われています。これら は、見ず知らずの事業者からダイレクトメールを受け取った会員からの問い合わせで事 件が発覚しました。販売された名簿情報は架空請求の振り込め詐欺にも悪用されたた め顧客の不安をかきたてました。これらの企業は、数億円の費用をかけて会員へのお 詫びとともに 1 人当たり 500 円~ 1,000 円の商品券を送付しましたが、顧客からの信用 回復は簡単ではありません。 自社のデータを従業員が持ち出すことは、営業秘密保護を目的した不正競争防止法に 違反するおそれがあります。詳しくは、 「2-2(5)」を参照してください。 19 予めメールサーバに登録してある会員のアドレスにメールを配信するシステムです。メーリングリス トは会員からも投稿できるところがメールマガジンと異なります。 ■■ 39 ■■ 第 3 章 取り戻せないものです。気をつけていたとしてもメール送信を何度も繰り返すうちに一度 第3章 裏切られた気持ちでいっぱい ★セキュリティ・ワンポイント★ 名簿ビジネス 名簿を売買する名簿業者は昭和の時代から存在しています。高額所得者リスト、 ブランド好きの女性リスト、学校の同窓会名簿、保険契約者リスト、ローン返済が 滞納している人のリスト、短期間に自動車を買い換えた人のリスト、公務員のリス トなど、分類された名簿が取引されています。個人情報保護法は個人情報取扱事 業者に第三者提供を原則禁止しましたが、法の目をくぐるように名簿売買は行われ ています。 2014 年、大手通信教育事業者で働いていた、外部委託先の SE(システムエン ジニア)が(不正競争防止法違反で逮捕)は、2,000 万件を超える顧客情報を持 ち出し、数百万円で売却していました。 ■■ 40 ■■ 第3章 裏切られた気持ちでいっぱい 3-7 必要のない個人情報まで集めてしまうこと 2003 年 11 月に、一般社団法人コンピュータソフトウェア著作権協会(ACCS)が運 営する、著作権とプライバシー問題の相談室 ASK ACCS のサーバから、相談者の個 人情報が閲覧可能になっていることが発見されました。ACCS は問題発見後、法律家 やセキュリティ関係者などによる事故調査委員会を発足させ、報告書を公表しました。 報告書は『ASKACCS は、不特定の第三者から広く質問を受け付け、それに回答する ことを目的としていた以上、回答を送付するために必要な最低限の個人情報(メールア ドレス等)の入力を求めることはやむを得ないと考える。しかし、ASKACCS の質問 フォームでは、さらに住所・氏名等の個人情報の入力まで要求していたところ、このよう 著作権問題、プライバシー問題について相談を寄せる人の中には、回答に切実な期待 を寄せる相談者も少なくなかったと思われます。そのような相談者は、任意項目であっ てもできるだけ拒否せずに情報を提供していたのではないでしょうか。収集している個 人情報の項目が多いほど、流出時の被害が大きくなります。必要のない情報を集めない こと、提供を要求しないことです。 3-8 顧客のプライバシー保護 (1)プライバシーポリシー サービスを提供する企業が、顧客から預かっているのはパスワードだけではありませ ん。氏名、住所、電話番号、メールアドレス、勤務先や家族に関する情報なども企業 内で電子化されています。万が一、これらの情報が外部に流出すれば顧客には損害を 与え、企業の信用が著しく低下することは、これまでに述べたとおりです。 個人情報の保護のために技術的対策を行うことはもちろんですが、それらは、1人の サーバ管理者の良識や知識、技術に依存したものであってもなりません。個人情報保護 も経営方針の一つとしてのセキュリティポリシーの下、全社的な取り組みの中で行われる べきものであり、個人情報保護に対する姿勢を明らかにすることはセキュリティポリシー 策定時に欠かせない作業です。 セキュリティポリシーは経営者として、その意思表示を全従業員に対して行います。一 方、顧客情報の扱い方は、経営者として、その情報を預けている顧客本人に知らせるべ きです。企業がどんな責任感と方針をもって自分の大切な情報を扱うつもりなのか、情 20 平成 16 年 1 月 22 日 ASKACCS 個人情報流出事故調査委員会調査報告書から ■■ 41 ■■ 第 3 章 な情報まで必要であったとは認めがたい。20』と問題点を的確に指摘しました。 第3章 裏切られた気持ちでいっぱい 報を預けた顧客には知る権利があるはずです。そこで、顧客情報を収集する企業での、 プライバシーポリシー掲示が増えてきました。プライバシーポリシーは、顧客に向けて企 業の個人情報保護方針を宣言するものです(資料 3.1)。 株式会社セキュ商事 Web メンバーサービス プライバシーポリシー 株式会社セキュ商事は、株式会社セキュ商事 Web メンバーサービスを利用するお客様のプラ イバシーを尊重することを宣言します。そしてここでその保護の徹底をはかるためプライバシー ポリシーを公開し、従うことを誓います。 (1)Web メンバーサービスを利用するお客様には、電子メールアドレス、お名前、ご住所を 必要な範囲で提供していただきます。 (2)株 式会社セキュ商事は Web メンバーサービスを利用するお客様へのサービス以外の目 的でこれらの個人情報を利用することはありません。 (3)株 式会社セキュ商事は Web メンバーサービスを利用するお客様が登録したメールアドレ スに「セキュ情報マガジン」を送信させていただきますが、お客様本人の希望があれば 速やかに配信の停止をいたします。 (4)株 式会社セキュ商事は Web メンバーサービスを利用するお客様の個人情報を、お客様 本人の同意を得ずに、社外の第三者に開示することはありません。ただし、法令により 開示を求められた場合、または、裁判所、警察等の公的機関から開示を求められた場 合は、この限りではありません。 (5)株 式会社セキュ商事は Web メンバーサービスを利用するお客様へのサービス以外の目 的でこれらの個人情報を利用することはありません。 (6)株 式会社セキュ商事は Web メンバーサービスを利用するお客様の個人情報の取り扱い に際しては、専任のスタッフ及び責任者を置いて管理を行うとともに、外部への流出防 止に努めます。 2015 年 4 月 1 日 株式会社セキュ商事 代表取締役社長 世急 利亭 資料 3.1 プライバシーポリシーの例 (2)個人情報保護の国際的なガイドライン 個人情報の扱いで参考にすべきものとして、国際的には 1980 年に OECD(経済協力 開発機構)が公表した 「プライバシー保護と個人データの国際流通に関するガイドライン」 や、1995 年のヨーロッパ連合による EU 指令 95/46/EC などがあります。なお、OECD のガイドラインは 2013 年に改正されています。EU 指令については、2014 年に「EU 個 人データ保護規則」として改正され、EU 全域にわたって個人データの保護の網が統一 的にかけられることとなりました。 ■■ 42 ■■ 第3章 裏切られた気持ちでいっぱい (3)個人情報保護マネジメントシステム―要求事項(JIS Q 15001) JISQ15001:2006 個人情報保護マネジメントシステム-要求事項は、1999 年 11 月に 制定された JIS Q 15001:1999 個人情報保護に関するコンプライアンス・プログラムの要 求事項を、2006 年に改訂したものです。JIS Q 15001 は、組織が保有する個人情報を 保護するための方針、組織、計画、実施、監査及び見直しを含むマネジメントシステム に必要な項目を要求事項としてあげています。以下にその特徴をあげていきます。 PMS(個人情報保護マネジメントシステム)には、個人情報保護方針を定めて周知し 公開することが要求されています。個人情報保護方針には資料 3.2 の6項目が含まれて いる必要があります。 資料 3.2 PMS の要求事項(JIS Q 15001)で、個人情報保護方針に含まれるべきとされるもの また、いったいどれが個人情報にあたるのかを特定するための手段を確立すること、 特定した個人情報に関するリスクを認識することを要求しています。個人情報を保護する ための法令及びその他の規範を特定し、参照できる手順も確立することとなっています。 内部規程の策定では、資料 3.3 の項目を含むことが必要です。 a)個人情報を特定する手順に関する規定 b)法 令,国が定める指針その他の規範の特定,参照及び維持に関する規定 c)個人情報に関するリスクの認識,分析及び対策の手順に関する規定 d)事業者の各部門及び階層における個人情報を保護するための権限及び責任に関する規定 e)緊急事態(個人情報が漏えい,滅失又はき損をした場合)への準備及び対応に関する規定 f)個人情報の取得,利用及び提供に関する規定 g)個人情報の適正管理に関する規定 h)本人からの開示等の求めへの対応に関する規定 i)教育に関する規定 j)個人情報保護マネジメントシステム文書の管理に関する規定 ■■ 43 ■■ 第 3 章 a)事業の内容及び規模を考慮した適切な個人情報の取得,利用及び提供に関すること(特 定された利用目的の達成に必要な範囲を超えた個人情報の取扱いを行わないこと(以下, “目的外利用”という。及びそのための措置を講じることを含む。) b)個人情報の取扱いに関する法令,国が定める指針その他の規範を遵守すること c)個人情報の漏えい,滅失又はき損の防止及び是正に関すること d)苦情及び相談への対応に関すること e)個人情報保護マネジメントシステムの継続的改善に関すること f)代表者の氏名 (JIS Q 15001 3.2 から) 第3章 裏切られた気持ちでいっぱい k)苦情及び相談への対応に関する規定 l)点検に関する規定 m)是正処置及び予防処置に関する規定 n)代表者による見直しに関する規定 o)内部規程の違反に関する罰則の規定 (JIS Q 15001 3.3.5 から) 資料 3.3 PMS の要求事項(JIS Q 15001)で、内部規定に含まれるべきとされるもの PMS の要求事項(JIS Q 15001)は人種や民族、思想、信条をはじめとする特定の 機微な情報(センシティブ情報)取得を禁止しています(資料 3.4)。本人から直接書面 による取得の規定(資料 3.5)と、本人から直接書面によって取得する場合以外の取得 の規定(資料 3.6)が示されています。 次に示す内容を含む個人情報の取得,利用又は提供は行ってはならない。ただし,これら の取得,利用又は提供について,明示的な本人の同意がある場合及び 3.4.2.6 のただし書きa) ~d)のいずれかに該当する場合は,この限りではない。 a)思想,信条又は宗教に関する事項 b)人 種,民族,門地,本籍地(所在都道府県に関する情報を除く。),身体・精神障害, 犯罪歴その他社会的差別の原因となる事項 c)勤労者の団結権,団体交渉その他団体行動の行為に関する事項 d)集団示威行為への参加,請願権の行使その他の政治的権利の行使に関する事項 e)保険医療又は性生活に関する事項 (JIS Q 15001 3.4.2.3 から) 資料 3.4 PMS の要求事項(JIS Q 15001)で、取得、利用又は提供を禁止されているもの 本人から書面(電子的方式、磁気的方式など人の知覚によって認識できない方式で作られる 記録を含む。以下、同じ)に記載された個人情報を直接に取得する場合には、少なくとも、 次に示す事項又はそれと同等以上の内容の事項を、あらかじめ、書面によって本人に明示し、 本人の同意を得なければならない。ただし、人の生命、身体又は財産の保護のために緊急に 必要がある場合、3.4.2.5 のただし書きa)~d)のいずれかに該当する場合は、この限りで はない。 a)事業者の氏名又は名称 b)個人情報保護管理者(若しくはその代理人)の氏名又は職名,所属及び連絡先 c)利用目的 d)個人情報を第三者に提供することが予定される場合の事項 -第三者に提供する目的 -提供する個人情報の項目 ■■ 44 ■■ 第3章 裏切られた気持ちでいっぱい -提供の手段又は方法 -当該情報の提供を受ける者又は提供を受ける者の組織の種類,及びその属性 -個人情報の取扱いに関する契約がある場合はその旨 e)個人情報の取扱いの委託を行うことが予定される場合には,その旨 f)開示対象個人情報の利用目的の通知,開示,訂正,追加又は削除,利用又は提供の拒 否権に該当する場合は,その求めに応じる旨及び問合せ窓口 g)本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる 結果 h)本人が容易に認識できない方法によって個人情報を取得する場合には,その旨 (JIS Q 15001 3.4.2.4 から) 3.4.2.4 以外の方法によって取得した場合は、あらかじめその利用目的を公表している場合を 除き、速やかにその利用目的を、本人に通知し、又は公表しなければならない。ただし、次 に示すいずれかに該当する場合は、この限りでない。 a)利用目的を本人に通知し,又は公表することによって本人又は第三者の生命,身体,財 産その他の権利利益を害するおそれがある場合 b)利用目的を本人に通知し,又は公表することによって当該事業者の権利又は正当な利益 を害するおそれがある場合 c)国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要が ある場合であって、利用目的を本人に通知し,又は公表することによって当該事務の遂 行に支障を及ぼすおそれがあるとき (JIS Q 15001 3.4.2.5 から) 資料 3.6 PMS の要求事項(JIS Q 15001)で、本人から直接書面によって取得する場合 以外の方法で取得する場合において規定されているもの 資料 3.7 は、個人情報保護マネジメントシステムの構築手順を示したものです。 (1)個人情報保護方針を定め文書化する (2)PMS 策定のための組織を作る (3)PMS 策定の作業計画を立てる (4)個人情報保護方針を組織内に周知する (5)個人情報を特定する (6)法令,国が定める指針その他の規範を特定する (7)個人情報のリスクを認識し,分析し対策を検討する (8)必要な資源を確保する (9)PMS の内部規程を策定する (10)PMS を周知するための教育を実施する ■■ 45 ■■ 第 3 章 資料 3.5 PMS の要求事項(JIS Q 15001)で、本人から直接書面によって 取得する場合において規定されているもの 第3章 裏切られた気持ちでいっぱい (11)PMS の運用を開始する (12)PMS の運用状況を点検し改善する (13)PMS の見直しを実施する 資料 3.7 個人情報保護マネジメントシステム(PMS)構築の作業手順 (4)プライバシーマーク制度 1998 年に、一般財団法人日本情報経済社会推進協会(JIPDEC)は「民間部門にお ける電子計算機処理に係る個人情報の保護に関するガイドライン」に準拠して個人情報 を扱っている事業者を認定するプライバシーマーク制度の運用を始めました。現在は、 JIS 規格となった「JIS Q 15001 個人情報保護マネジメントシステム―要求事項」に適 合して個人情報の適切な保護のための体制を整備している事業者にプライバシーマーク (図 3.4)を付与して認定しています。 この認定を受けた事業者は、認定番号付きのプライバシーマークを自社の Web ペー ジなどに掲載することができます。また、JIPDEC は制度の透明性確保と事故の再発防 止のため、認定事業者に個人情報の取り扱いに係る事故などがあった場合、その概要 と協会の対応及び事業者の対応を公表しています。協会の調査への虚偽の報告や、調 査に応じないことなどがあれば認定の取り消しを行うこともあります。この認定を受けて マークを表示することは顧客や取引先からの信用に繋がるので、認定企業は年々増え 続けています。 図 3.4 プライバシーマーク(見本)21 21 本頁に記載のマークは(一財)日本情報経済社会推進協会プライバシーマーク推進センター提供 の見本です。 ■■ 46 ■■ 第3章 裏切られた気持ちでいっぱい 3-9 個人情報保護法 (1)公的部門の個人情報保護法 1988 年に行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律 (行政機関個人情報保護法)が施行されました。この法律は、行政機関の電子計算機 により処理されている個人情報の取扱いに関して、保有の制限や本人からの開示請求な どの基本的ルールを定め、個人の権利利益を保護することを目的とするものです。2003 年 5 月には、それまで明記がなかった本人による訂正請求権、利用の停止(削除)請求 の権利、罰則規定等が盛り込まれた改正法が公布されました。 2003 年 5 月は、ほかに独立行政法人等の保有する個人情報の保護に関する法律、 法律等の施行に伴う関係法律の整備等に関する法律が公布されました。これら公的部 門の4つの個人情報に関する法律と、後述する民間部門の個人情報保護法が、個人情 報保護関連5法と呼ばれます。 (2)民間部門の個人情報保護法 民間部門の個人情報保護法(個人情報の保護に関する法律)は、2005 年 4 月 1 日 から全面施行となりました。 個人情報保護法は、 「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われる べきものであり、その適正な取扱いが図られるべきもの」を基本理念とし、高度情報通 信社会の進展に伴い個人情報の利用が著しく拡大している現在、個人情報の有用性に 配慮しつつ、個人の権利利益を保護することを目的としています。この法律は、国及び 地方公共団体の責務等やその施策について定めていますが、特筆すべきは民間の個人 情報取扱事業者の義務を規定したことです。 (3)個人情報保護法の適用範囲 個人情報保護法は、個人情報を生存する特定の個人を識別可能にする情報と定義し ています。この個人情報を含む情報の集合物で検索可能なもの(個人情報データベース 等)を事業のために使用している業者を個人情報取扱事業者として義務が定められまし た。このうち、公的部門の個人情報保護法の対象となる国、地方公共団体、独立行政 法人は個人情報取扱事業者とはされません。また、個人情報の保護に関する法律施行 令により、取り扱う特定個人が過去半年以内に 5,000 件を超えていない事業者も除外さ れています。 この法律は成立までに、報道の自由、表現の自由、学問の自由、信教の自由、政治 活動の自由などを侵害する危険性が懸念されて多くの反発を招いたことを受け、個人情 ■■ 47 ■■ 第 3 章 情報公開・個人情報保護審査会設置法、行政機関の保有する個人情報の保護に関する 第3章 裏切られた気持ちでいっぱい 報取扱事業者の種類とその活動によっては義務の適用除外規定が設けられました。除 外のある事業者と活動は、報道機関による報道目的の活動、著述業の者が行う著述目 的の活動、学術研究機関が行う学術研究目的の活動、宗教団体による宗教活動、政 治団体が行う政治活動です。これら適用除外となる活動においても個人情報保護のた めに必要な措置を自ら講じ、内容を公表する努力義務は規定されています。なお、これ らの事業でも規定外の活動(例えば報道機関が経営する飲食店における顧客管理活動、 学術研究機関が行う授業料徴収のための活動など)には事業者の義務が適用されると 考えられます。 除外規定のない活動に対しても、主務大臣 からの勧告や命令を行うにあたって、憲 法上保障された自由に関わる活動を妨げてはならないことは明文化されています。例え ば、報道機関以外の者や著述を業としない者による表現の自由に関わる行為や宗教団 体以外が行う宗教に関する行為なども国が妨げることはできません。また、義務の適用 が除外されている 5 つの事業者のそれぞれ 5 分野の活動に対する情報提供行為には主 務大臣が権限を行使しないことも規定されています。例えば、報道機関が報道を目的と して行う取材活動に対し、情報提供を行う行為について勧告や命令等が行われること はありません。 (4)個人情報取扱事業者の義務 個人情報保護法は、個人情報事業者に対し、利用目的の特定と利用目的による制限、 適正な取得と利用目的の通知等、データ内容の正確性確保、安全管理措置、従業者・ 委託先の監督、第三者提供の制限、公表等、開示、訂正等、利用停止等、苦情処理 の面で義務を規定しました。このうち、第三者提供の制限によって、本人への通知も本 人が知り得る状態におくこともなく名簿を販売するようなビジネスは禁止されます。 ただし、以下の①②の要件を両方満たす場合に限り、本人の同意がなくても第三者 提供が可能なオプトアウト方式です。 ①本人の求めに応じて個人データの第三者提供を停止すること。 ②以下の3つの事項をあらかじめ本人に通知するか、または本人が容易に知り得る状 態においていること。 ・第三者提供をすること ・個人データの内容、提供方法 ・本人の求めによって第三者提供を停止すること 個人データの第三者提供でも、法令に基づく場合、人の生命身体や財産の保護のた めに必要がある場合であって本人の同意を得ることが困難である場合については除外さ れています。公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場 ■■ 48 ■■ 第3章 裏切られた気持ちでいっぱい 合であって本人の同意を得ることが困難であるとき、国の機関若しくは地方公共団体又 はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要があ る場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれが あるときも同様です。なお、委託の場合、合併等の場合、 特定の者との共同利用の場合 (共 同利用する旨その他一定の事項を通知等している場合)は第三者提供とみなされません。 主務大臣は個人情報取扱事業者に対して個人情報の取扱いに関する報告させること ができ、違反行為のある事業者にはその中止や是正のために勧告や命令を行います。 これらの命令に従わない事業者には懲役や罰金刑なども科せられます。 個人情報取扱事業者の義務 ①目的明確化の原則 収集目的を明確にし、データ利用は収集目的に合 致するべき。 ②利用制限の原則 データ主体の同意がある場合、法律の規定による 場合以外は目的以外に利用使用してはならない。 利用目的をできる限り特定しなければなら ない。 (第 15 条) 利用目的の達成に必要な範囲を超えて取 り扱ってはならない。 (第 16 条) 本人の同意を得ずに第三者に提供してはな らない。 (第 23 条) ③収集制限の原則 偽りその他不正の手段によって取得しては 適法・公正な手段により、かつ本人に通知または ならない。 (第 17 条) 同意を得て収集されるべき。 ④データ内容の原則 正確かつ最新の内容に保つように努めな 利用目的に沿ったもので、かつ、正確、完全、最 ければならない。 (第 19 条) 新であるべき。 ⑤安全保護の原則 安全管理のために必要な措置を講じなけ 合理的安全保護措置により、紛失、破壊、使用、 ればならない。 (第 20 条) 修正、開示等から保護するべき。 従業者・委託先に対して必要な監督を行 わなければならない。 (第 21、22 条) ⑥公開の原則 取得したときは利用目的を通知または公表 データ収集の実施方法を公開し、データの存在、 しなければならない。 (第 18 条) 利用目的、管理者等を明示するべき。 利用目的等を本人の知り得る状態に置か ⑦個人参加の原則 なければならない。 (第 24 条) 自己に関するデータの所在及び内容を確認させ、 本人の求めに応じて保有個人データを開示 または意義申立を保証するべき。 しなければならない。 (第 25 条) 本人の求めに応じて訂正等を行わなけれ ばならない。 (第 26 条) 本人の求めに応じて利用停止等を行わな ければならない。 (第 27 条) ⑧責任の原則 管理者は諸原則実施の責任を有する。 苦情の適切かつ迅速な処理に努めなけれ ばならない。 (第 31 条) 表 3.2 OECD の8原則と個人情報取扱事業者の義務の対応 ■■ 49 ■■ 第 3 章 OECD のプライバシー 8 原則 第3章 裏切られた気持ちでいっぱい (5)ビックデータの活用の機運に伴う法整備の流れ ここ数年、サーバに蓄積された大量のデータ(ビッグデータ)を活用した経済活動の 促進が進んでいます。ビッグデータの中には、個人から得られる情報、個人にひも付く 情報など、 「個人に関する情報」が多数含まれます。個人情報保護法が保護の対象とし ているのは、 「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月 日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照 合することができ、それにより特定の個人を識別することができることとなるものを含 む。)をいう。 」という定義にあるとおり、 「特定の個人を識別することができる」「個人 に関する情報」ということになります。しかし、 「特定の個人を識別することができ」な い「個人に関する情報」の取扱いについては、グレーゾーンとも見られる場所が多く、 法整備が急がれています。 政府では、2013 年 9 月から 2014 年 6 月にかけて、 「パーソナルデータに関する検討会」 を計 12 回開催し、その結果を「パーソナルデータの利活用に関する 制度改正大綱」と してまとめました。この中で、 「本人の同意がなくてもデータの利活用を可能とする枠組 みの導入等」 「基本的な制度の枠組みとこれを補完する民間の自主的な取組の活用」 「第 三者機関の体制整備等による実効性ある制度執行の確保」を基本的な枠組みとした法 的措置を行うものとし、2015 年に関係法案を国会に提出することとしています。 ■■ 50 ■■
© Copyright 2024 Paperzz