ホームページと不正アクセス
1999年2月1日号
本文約1300字
MAC||HOME
最終更新99/03/22


リード


 ホームページを作る以上、人気を集めたいと思うのは当然だ。しかし多くの人がアクセスすれば、それだけ「問題のある人」も呼び入れる結果となる。企業にとって、ホームページのセキュリティは最重要の課題となりつつある。 





 98年10月8日、CDチャートなどで知られるオリコンが、ホームページ上で実施していたプレゼント企画の応募者2000人以上の個人情報が流出し、別のホームページに掲載されていた事件が発覚した。

 10月26日には、インターネットでアンケート調査などを実施していたマーケッティング会社のコンピュターに何物かが侵入し、社内データを消したうえ、会員の個人情報77人分の名前、住所などを別のホームページに掲載したという事件も発覚した。仮に外部からのハッカーの仕業だとすると、ホームページのセキュリティの不備をつかれたことは明白だ。ホームページの作成と言うとすぐに著作権のことが頭に浮かぶが、ホームページを開くと、継続的に問題となるのは、むしろこうした不正アクセスへのセキュリティ対策だ。 

 手口が巧妙化しつつあるハッカー(※注1)は、直接目的のデータベースをハックするという原始的な手法は取らなくなってきている。通信ログから逆探知される可能性があるからだ。最終目的のデータベースにアクセスする前に、いったんセキュリティの甘いネットワークにハックし、そこを足掛かりにして、次々とベースを作り、最終的に目標のデータベースをハックする。ハッカーは、まんまとどこかのアドレスになりすまし、最終目標のハッキングを完成させるわけである。被害者は、ハッキングに気づいても、ベースとなったアドレスしか跡がわからず、クレームをつけようにもハッカーの所在さえわからない。ベースにされた人も被害者といえようが、アメリカでは、最終的被害者が、こうしたセキュリティの甘さを根拠に、2次的被害者に損害賠償を起こすことを可能にする「ダウンストリームライアビリティ」という法理も主張されていて、既にホームページのセキュリティ対策は、笑いごとではすまされなくなってきている。           

 ところが昨年警察庁が、一部上場企業900社と大学100校を対象に実施した調査によると、専従のセキュリティ担当者を設置しているのはわずか4%にすぎず、28%が、セキュリティ担当者さえ設置していなかった(平成10年版警察白書42頁)。こうした中で、不正アクセスやコンピュータウイルスの被害が急増している。コンピュータ緊急対応センターが確認した不正アクセスの件数は、98年7-9月期で3266件にものぼり、同4-6月期に比べ10倍以上だという。情報処理振興事業協会の受け付けたウイルス被害の届け出も、94年に1000件を突破し、昨年はついに2391件に達した。

 原始的だが、ホームページのパスワード管理を徹底させ、ホームページに接続するコンピュータを特定のものとして、これを社内のLANにつなげないことも重要だろう。こうすれば不正アクセスされたとしても、その被害はLANには及ばず、ホストコンピュータに保存されている内部情報が流出することは未然に防げる。

 現在、警察庁と郵政省が、次期通常国会で不正アクセス禁止法を制定すべく、覇権争いを繰り広げている。しかし情報は流出してしまえば復旧は不可能。ハッカーによって、企業機密や顧客情報が漏洩されれば、致命的な損害となるおそれもある。不正アクセス禁止法に対する過剰な期待は禁物だ。


参照:関連原稿「ホームページのセキュリティ」