17歳の青少年たちが学校のシステムをハッキングした。警視庁や佐賀県警察は、県立中学校と高校の教育行政情報を管理するシステムに侵入し、個人情報を奪取した佐賀市居住中の17歳容疑者を不正アクセス禁止法違反の疑いで逮捕し、共犯と推定される何人の学生たちを調査した。
流出されたファイルの数は21万件で、個人情報が流出された被害者の数は生徒10.741人、父兄1,602人、教職員1,116人、その他が896人などで合わせて14,355人だ。流出された個人情報は、名前が14,355件、IDが6,368件、住所が1,922件、電話番号1,843件、メールアドレス564件、成績情報808件、進路指導情報353件、学生指導情報67件だ。
佐賀県・少年不正アクセス事件の経緯
容疑者と彼の友達はただの遊びで学校のハッキングを楽しんだ。17歳の青少年たちが学校システムをハッキングしたという事実自体による社会的な衝撃は非常に大きいが、冷静に言ってこれは確かに大きい意味がある事件ではない。最近は、誰もがインターネット検索だけでも、これぐらいの犯罪は簡単にできるほどのハッキングツールを気軽く手に入れることができるから。もし専門家集団が何らかの目的性を持って繰り広げたことだったら、より巧妙に犯行をばれないようにして、今のように知られていなかったはずだが、そもそもアマチュア集団がただの遊び半分で起こしたものだから、このようにセキュリティの脆弱性が明らかになったのが、かえってよかったと思う。
ハッキングされたシステムは、ウェブ上で教師が学生の成績などの情報を管理したりするもので、学生たちは学校のお知らせなどを見ながら授業の教材をダウンロードするなどの日常的に使用されていた佐賀県の教育情報システムである。ハッキングされたサーバは2種類で、県立学校が共有するクラウド基盤の教育情報システム「SEI-Net」、そして事故が起こった学校の校内LANを使用する教師向けの学習用サーバーである。
「SEI-Net」の場合、Webアプリケーションの脆弱性を狙った侵入だった。最近のハッキング事故のほとんどがWebアプリケーション攻撃であるため、これもあまり特別な事例とは見えないし、このように発生頻度から絶対的多数を占める明白なセキュリティの脆弱性をこのように放置しているという事実がむしろ特異点である。Webアプリケーションセキュリティは電算関係者全員が問題を根本的に分析・診断して確実な対策を講じなければならない時点である。
容疑者は、SEI-Netの学習管理システムの様々な機能の中で学生たちが学校のお知らせを確認するためにアクセスするメッセージ機能を悪用したという。侵入に使われたIDとパスワードをどう確保したかはまだ明らかになっていないが、警察は共犯と推定される学生らの協力を疑っている。
校内LANを使用するサーバーの侵入は、無線LANの隙を狙ったことが明らかになった。マスコミから報道された内容から見ると、容疑者は現在、捜査に協力していない態度を取っているようだが、いまだに具体的な事実は明らかになっていない。当該システムは、WPA2-PSK(AES)方式の暗号認証とMACアドレス認証を組み合わせる方式で、ユーザーのアクセスを統制するものだが、容疑者がMACアドレスを偽装してログインする際に使用した管理者IDとパスワードを入手した経緯もまだ明らかになっていない。警察は、これも学生身分を持っている共犯の協力を疑っている。容疑者と加担者は、学校隅々のセキュリティ管理が厳しくないところを狙い、無線ネットワークのトラフィックを横取りする、いわゆる「War driving」手口を使ったものと推定されている。
経緯を要約すると、今回の事件概要は以下の通りである。
– 青少年のアマチュアハッキング会が面白半分で、
– Webアプリケーション脆弱性を悪用し、学校情報システムに侵入して
– 校内の無線インターネットを通じてサーバーに侵入し、個人情報を奪取したハッキング事件である。
「ハッキング」といえば、専門訓練を受けた専門家だけができる、とても難しくて複雑なことだと思うが、絶対そうではない。今回の事件だけを見ても、ハッキングがどれほど簡単であるかを確実に見せている。誰しでも、本当に誰しでも、インターネット検索が可能な者であれば誰でも、ハッキングをすることができる。
ウェブの大衆化と一般化、そして技術発展の速さと加速度によって、ウェブを悪用する逸脱行為もこれからより頻繁に起きるはずだ。したがって、ウェブ攻撃に対応するために犯罪手口を分析して、診断し、今後の対策を備えることは今も重要だが、これからはますます重要になるはずだ。従来の電算環境全てがウェブに移される「プラットフォームの大移動」が全て完了されてからは、「ITセキュリティ=Webセキュリティ」の等式が完全に成立するようになれるはずだから、これはとても当然の話だ。
それでは、少年不正アクセス事件発生の後、提示された対策の焦点を見てみよう。
事件の診断と対策の焦点
少年不正アクセス事件の発生後、提示された対策は下のようだ。
-正常的利用者の端末にデジタル認証書を追加的に搭載する。
-教員のコンピューターにデスクトップ仮想化を適用し、不正アクセスを遮断する。
やはり、対策はアクセス統制がほとんどだ。システムへのアクセスを統制することで、事故発生を防ぐという趣旨の対策である。侵入したのが問題だから、侵入ができないようにする?
世の中の全てのことがそんなに簡単で明快に解決できるなら、どれだけ楽だろうか、しかし、そんなはずがないというのは知っているのではないか。本当にもどかしい。事件診断の核心にならなければならにウェブアプリケーション脆弱性に対する悩みが全くないという点だけ見ても、まともな対策と見ることはできないと判断される。
ハッキング技術は、以前のように専門家だけができる特殊な技術ではない、まるで一般事務のためのプログラムのようにありふれた技術になっている。すなわち、潜在的な攻撃者の数が爆発的に増加している意味であり、それによって既存のアクセス統制にだけ集中されていた方法論自体の限界を見直す必要があるという意味でもある。
計画通り、全ての仕事が進むとしても、もし教員や学生が端末機を失うことになると、どうなるのか?紛失に気づき、アクセスを遮断するとしても、一日以上は所要される。これは、システムに侵入し、以後、該当端末がなくても出入りできるバックドア―を設置するには十分な時間である。バックドア―の設置も、先に言ったハッキング技術のようにインターネット検索だけでだれでも簡単にできることである。そして、出入りを厳しく統制してはいるが、教務室への侵入など、物理的な防除失敗は今も時々起こることである。
そもそも、IDとパスワードだけでアクセスを統制する以上、仕方なく存在する限界なので、指紋や虹彩などの生体情報認識などの追加的な認証手段なしには安全を保証できない。それに、このような追加的セキュリティ措置は追加すれば追加するほど、システムの使用が不便になるという問題も決して軽く考える問題ではない。使用が不便になると、こっそりとセキュリティ措置を解除して使わない場合がほとんどだからだ。
上記の対策の限界は、現在セキュリティ戦争の戦況を見ている観点が間違っているからだ。
対策の失敗は、間違っている観点のせいだ。
どんな問題においても対策作りの失敗は、だいたい問題の原因をきちんと把握できなかったり、そもそも不可能なことを可能と見る蛮勇を振るうからだ。今回の事件もその一つなので、観点の間違いを調べることで、実際、効果的に作用する対策の基盤を考えて見よう。
1.ウェブアプリケーション脆弱性攻撃はどうせ防ぐことができない?
これは一部、事実だ。全体ITシステムの構成にあたってWebアプリケーションは元々セキュリティ的にとても不安な要素である。Webを通じて、ユーザーとコミュニケーションする最初の目的のせいで、いくら安全に構築しても、つまり、いわゆる「セキュアコーディング」をいくら完璧にするとしても、脆弱性は存在するしかない。もちろん、非常に(?)安全なアプリケーションを作ろうとすると作るのは作れるが、そうなると使用がほとんど不可能なぐらいに便利になる。ユーザーの便利さを無視すれば無視するほど、ユーザー数は急減するので、安全だけ考えることも難しい。だから折衷は必要だ。
そのため、使うのが「Webアプリケーションファイアウォール(WAF、Web Application Firewall)である。WAFは、Webアプリケーション自体の脆弱性や開発者の人間的なミスによる虚点を外部の攻撃から保護し、Webアプリケーションが便利な使用性を維持する状態でも十分な安全性を保障してくれる。「ファイアーウォール」という名前のため、よくハードウェアで認識されるものの、実はソフトウェアであり、ハードウェアはシステムの構築および運営を簡単にし、動作の際、性能を最大限で保障するための装置として機能する。WAFは、人工知能のように作動するソフトウェアの機械的な性能として、Webアプリケーションの人間的な欠点を補完する。
2.一応侵入されると、情報漏えいは避けられないから、侵入を封鎖するのが最優先だ?
これは違う。情報漏えいが避けられないものではなく、侵入が避けられないのだ。最善を尽くして防ごうとしても、侵入事故は結局発生してしまう。これは簡単に言えば、物量の問題だ。ある集団が情報セキュリティに投資できる最大の費用と力量を10としたら、最大値10の力で防いでも、100の力で来るのだ。そして、その数はこれからもだんだん増えるはずだ。アクセス統制にはそもそも限界がある。だから、侵入されてもセキュリティ事故の最悪の事態である情報漏えいおよび漏洩された情報の内容公開だけは防ぐという態度の転換が必要だ。
結局、データ暗号化だけだ。ハッカーが全部持っていこうとしても、盗んだ情報を使用できないようにする必要があるのだ。データ暗号化さえきちんとすると、もし侵入されても情報の内容公開だけは防ぐことができる。使えることもできないし、売ることもできないものをあえて盗む泥棒はいない。言い換えれば、アクセス統制は暗号化の効果を期待できないが、暗号化はアクセス統制の効果を狙うことができるという意味である。
それに、データ暗号化を通じて、より総体的で総合的なセキュリティ効果を期待できる。暗号化と言えば、よくデータベースに保存されている暗号化のみ考えるが、端末機からデータベースに至るまで、データが流れる経路のAからZまで、電算環境を暗号化する「データ暗号プラットフォーム(Data Encryption Platform, DEP)」体系を構築すると、システム全体にわたって完璧なセキュリティ性を達成することができる。
そして、対策の根本は、ハッキングに対する認識の変化
すべてのハッカーは強力に処罰しなければならない?もちろん、そうしなければならない。情報犯罪を軽く考え、犯罪者に寛大な処分をする場合が結構あるが、情報犯罪は経済犯罪などの犯罪に比べても、罪質が決して軽くない、とても重い犯罪だ。しかし、今回の事件と事件の容疑者集団の性質を調べて見ると、処罰よりは教化がより重要なことであるようだ。情報犯罪の害悪と被害について正確に認知するよう教育することで、以降、犯罪者の道を歩かないように、社会が関心を傾けながら面倒を見なければならない。それによって、今回の事件の容疑者が今後、より悪徳な犯罪を起こす本当のハッカーになるのか、さもなければ自分の関心分野をちゃんと勉強し、社会に貢献する立派な社会人になれるのかが決められるのではないか。結局、これは大人の義務である。
だいたいのハッカーは、自分が起こす犯罪がどれだけ悪いことかを十分に認知できない。今回の事件も面白半分で犯したことではないか。情報犯罪に対する対策の土台は、情報犯罪がどれだけ悪いことなのかを正確に認知するようにすることから始めなければならないと思う。そうしないと、誰しもするハッキングをいったいどうやって防ぐか。