第2回目のWOMミニフォーラムでは、WOMが日ごろお世話になっているVCOMシステムチームの方をお迎えし、サーバ管理やユーザーサポートの苦労話から最近のネットワーク犯罪についてまで、お話を伺いました。ここでは、当日話題になったネットワーク犯罪について、その後のマスコミ報道などを踏まえ、お伝えします。
それは、終わりのない始まりだった。
年の瀬も詰まった1997年12月29日、毎日新聞の社会面に、「電子情報が危ない」と題された記事が掲載された。その記事によると、全国にアクセスポイントを持つ2社で、利用料金が「そんなに使っていないのに高すぎる」というユーザーの苦情から社内調査がされ、Rというプロバイダー(インターネット接続業者)では、「ホストコンピュータで管理されていた80人分のパスワードが何者かの手によってインターネットのホームページに匿名で掲示されていた」。大手電機メーカーをバックにもつSも、人数は書かれていなかったが、同じくホームページに掲載されていた。パスワードの略取の手口については模倣犯を危惧してか、どちらも「不正専用のプログラム『ハッキングツール』を使って」としか書いていなかった。それ程簡単に、パスワードは破れるものなのだろうか・・・明けて1998年1月9日の読売新聞に、プロバイダーの名前は出ていなかったが445人分のパスワードが流出したという記事が載っていた。記事によれば、他のプロバイダーから「加入者の一人あてに、意味不明の電子メールが大量にそちらのネット経由で送られている」と苦情が寄せられ調べたところ、発信者を分からないようにした「いたずらメール」が発信されていた。このため、プロバイダーがサーバーのセキュリティを強化したところ、ネット管理者に「セキュリティを解除しないと、会員のIDとパスワードをホームページに流す」との脅迫が届いた。プロバイダーが無視をしていると、犯人は加入者全員の445人分のIDとパスワードをホームページに流した。
たとえば、あなたのキャッシュカードが盗まれたとしよう。暗証番号は4桁で、3回入力ミスをするとそのカードは使用不能になるのが普通だ。ここで中学、高校の数学でおなじみの、確率・統計で出てくる組み合わせの計算を思い出してほしい。暗証番号は4桁の数字で、組み合わせは10の4乗だから、よほどカードの持ち主の個人情報に詳しくなければ3回以内で暗証番号を推定するのは無理な話である。そして、インターネットのパスワードは英数文字を使って、プロバイダーはできるだけ多くの文字数で規則性のない文字列でパスワードを決めることを推奨している。したがって、文字数が増えれば増えるだけ、推定する組み合わせが天文学的な数になる。まさかパスワードを盗んだ犯人が、被害者すべてとお友達で、プロフィールとか誕生日とか、嗜好をすべて知っている人間だとしても、このような人数のパスワードを推定するのは不可能である。犯人は天才なのだろうか。こういったセキュリティの門外漢の私達にとって考えられるのは、その大本のIDとパスワードを管理している人の管理用のパスワードを例の「不正専用の『ハッキングツール』」で解読してしまえば80人だろうが445人だろうが簡単に知ることができるのではないかということだ。しかし、何万人ものユーザーを有するプロバイダーが外部の接続ユーザーが侵入できるところにパスワードファイルを置くなんて・・・まさか、卵を同じ篭の入れておくようなことは・・・。
もう一つの可能性とすれば内部からである。1月7日に、とある銀行の顧客データ流出の犯人が逮捕された時も、また老舗百貨店の顧客データが流出した時も、犯人は管理する内部側だったということは記憶に新しい。そんな社会的背景を踏まえて1月22日にVCOMのシステムチームのAさんをお迎えして「ネットの中の困った人達」も含めて、当世インターネット事情をお話ししていただくことになった。
狙いは不特定多数
私達WOMが日頃安心してMLや、ホームページを使いインターネット上で活動するためのリソースを提供して頂いているVCOMの活動拠点は、最初は中野にあった。VCOMの活動が「阪神大震災」を契機に発足した草の根レベルのボランティアからの出発だったゆえに、JPNIC(ドメインネームを統括、管理する団体)から登録が認められたドメインネームも、suehiro.nakano.tokyo.jpという非常に長ったらしい地域ドメインと呼ばれるものだった。しかし、VCOMの活動が活発化するにつれて手狭になった活動拠点を、96年11月に六本木にあるARK森ビルに移すことになった。と同時に、ドメインネームも地域ドメインからvcom.or.jpの登録が認められ、非常に短く分かりやすくなった。踏み台サイトはSPAMMERの隠れ蓑ドメインネームの変更についてVCOMシステムチームのAさんは、「名称が短くなったために、非常にクラッキングの対象として狙われやすくなってしまった」と言う。英文クロスワードパズルを解く時を考えれば納得がいくと思う。要は冒頭のパスワードのクラッキング同様、文字の順列と組み合わせの問題だけで、インターネットの専門誌の試算では世界中のサイトを、毎秒10サイトの割合でしらみつぶしにアタックをかけても100日前後でチェックできるという(実際にはもっと効率よくチェックをかけるのでもっと速いらしい)。しかし、VCOMは商用のプロバイダーではないので、システムチームのメンバー各自が、出来うる限りの自分の時間を割きながら手分けをして管理をしている。そんなある日、97年も終わろうとしている頃に、1日1通か、2通、ぽつりぽつりと妙なメールのトラフィック(通過)が有ることにシステムチームは気づいていた。
「SPAMだ・・・」
The fugitive gameSPAMとはアメリカの有名な肉の缶詰のことではなく、インターネットの世界では、電子メールを使って、読み手の都合を考えずに、大量に勝手に送られる、主に営利目的の広告・ダイレクトメールを指す。
「ダイレクトメールなら、家のポストに、不動産からエッチビデオのチラシまでよく入ってきますけど・・・」とおっしゃるでしょうが、インターネットの世界では、百害有って一利なし。受け手の時間や接続料金を浪費し、電子メール初心者に不安と恐怖を与え、ネットワークの負担を増やし、小さなサイトではSPAMのためにサーバーがダウンするすることもあり、送り手が不明だったり、拒否をすることが難しい・・・等。しかも、たいていの場合、送り主が相手にとって迷惑だと分かってやっている。だから、送り主はメールや、ポスト(メールが通過したサーバー)を偽造して本当のメールアドレスが分からないように細工をする。
今回の場合は不正な中継(踏み台と呼ばれる)のためにVCOMのサーバーが悪用されたのだ。しかし、年末のVCOMシステムチームは幾つか仕事を抱えていたので、実害もなく、プライオリティからいっても問題はなかったので、暫く放っておくことにした。ターゲットはVCOMのサーバーではなく他のサーバーであり、単にSPAMMERが隠れ蓑に使う幾つかの中継ホストの1つにされていたらしいのだ。現実の世界でいうなら、手紙にVCOM郵便局の消印が余計についていたとでもいうところか。
年が明けて98年、VCOMシステムチームが抱えていた仕事がひと段落ついた頃、例のSPAMはいっこうにやむ気配を見せず、それどころか前よりひどくなっていた。インターネット社会では不正な中継を許したサイトも同罪である(マネーロンダリングに手を貸す手合いか、はたまた住専に担保物件以上の融資をした手合いとでもいうのか)という風潮もあり、ついにシステムチームはSPAM対策に乗り出すことにした。SPAMメールの中継サーバーにされるということは、セキュリティの甘いサイトと認識され、サーバー管理者の能力も疑われかねない。なにより怖いことは、知らないうちにSPAMMERの片棒を担がされ、被害を受けたサイトから抗議を受けたり、スパムサイトのブラックリストに登録され、メールの送受信を拒否されるという事態に陥ることである。これでは、インターネットの世界で抹殺されたも同然なのである。最終手段システムチームはまず初めに妖しげなドメインネームの中継を拒否するようにサーバーを設定した。当然、そのSPAMメールは送り主に戻って行く。しかし、これで一件落着ではない。厄介なことに、インターネットは網の目のように張られた管理者のいないネットワークである。拒絶されたことに腹を立てた送り主は別の経路からVCOMのメールサーバーを襲う。そして、システムチームとSPAMMERとの攻防が始まった。ターゲットをVCOMに定めたのである。
VCOMシステムチームは、経路を変えて侵入してくるSPAMMAERの経路を塞ぎ、また侵入されては塞ぐという、もぐら叩きにも似た状況を繰り返した。システムチームは携帯電話を駆使してお互い別々の場所にいながらもSPAMMAERの攻撃を防いでゆく。
そんなドラマのようなことが水面下で起こっていることとはつゆ知らずWOMのミニフォーラム前日の1月21日にVCOMのMLにシステムチームから次のようなアナウンスが流れた。
相手は誰でもよかった・・・システム担当運営委員 です。 今日、ネットワークのトラブルにより、一時的にVCOMシステムを外部から 切り離しました。その顛末について、皆さんに報告します。 トラブルの原因は、外部からの悪質ないたずらです。 VCOMには、メールを配送するためのプログラムが動いていますが(この メールも、そのプログラムを使ってみなさんに配信されています)この メール配送プログラムを悪用して、多数の(VCOM外部の)人にダイレクトメール を配送するという内容のいたずらです。VCOMは、今回、このダイレクトメール 送付のための「踏み台」にされてしまいました。 このいたずらがなぜ悪質かというと、 ・ダイレクトメールがあたかもVCOMから発信されたように見えるため、送り先から VCOMに対して苦情が来る ・一度に大量のメールを配送するため、VCOMのシステムの負荷が高くなり、最悪 の場合システムがダウンしてしまう からです。 実際、このいたずらは、ダイレクトメールを送ること自体が目的ではなく、踏み台と なったネットワークのシステムをダウンさせることにありました。 そのため、今日はVCOMシステムを一時的にネットワークから切り離し、踏み台に されないような処置を施した後、再びネットワークにつなげました。この処置が功を奏して その後、踏み台攻撃はおきていません。 また、今回のいたずらで、皆さんのパスワードが盗まれたり、データが書き換えられる といった、深刻な被害はないものと思われます。 ネットワーク上の「いたずら」もしくは、より深刻な「犯罪」は、このほかにもいろいろあります。 VCOMでは、システムをより安全にしていくために、今後システムのセキュリティを高める ための作業を徐々に行っていく予定です。 今後とも、VCOMシステム(と、システムチーム)をごひいきに。 _o_ よろしくおねがいします。VCOMサーバーの当面の危機は去ったようだ。しかし、いつまた、新手のクラッカーが現れるとも限らない。当然の事ながら1月22日のミニフォーラムはSPAMMERとの対決でもちきりになってしまった。
その後、VCOMのMLでVCOMサーバーがクラッキングにあったという報告はないが、急速に拡大膨張していくインターネットの世界、新規に参入した人達の中には動かすのに精いっぱいでセキュリティに手が回らないサーバーがな数にあるという。何故なら、セキュリティはコストがかかるだけで何も生み出さないから真っ先に切り捨てられる部分だそうである。しかし、システムチームの意志決定を担当するAさんは、今回の件で他のVCOMシステムチーム員が、高価なセキュリティ用の器材を望むのが、よく分かったと言っている。そして、SPAMMER達の論理の一端を垣間みたことも。
Aさんは後のVCOMのMLでこう述懐する。
無差別な攻撃に遭うというのは、正直言ってかなり精神的にショックでした。 すれ違いざまに、見知らぬ人からいきなり殴られたようなものです。時々、 そういうな差別犯罪に巻き込まれた人の精神的ショックに関する話をTVなどで 見たりしますが、(彼らと比べれば何万分の1かもしれませんが)今度の攻撃に あって、やり場のない怒り、やるせなさがほんのちょっぴりだけですけど、 わかったような気がします。
1万円で売られた、9万人のプライバシー
そして、Aさんのミニフォーラム招聘の余韻も醒めやらぬ1月28日にショッキングなニュースが飛び込んできた。大手人材派遣会社が、スタッフ9万人分の個人データ(氏名、住所、電話番号、生年月日、一部職能評価)が流出し、インターネット上で売買の対象となっていたと発表。同社はすでにデータを持ち出したシステム開発会社の男性社員(彼もいわゆる派遣社員だ)を特定して、本件の発表時点では流出した個人データの回収を終えたらしい。回収したはずの流出名簿、またもや売買の対象に今回、何がショッキングかというと、この個人データを、たかだかホームページの開設料金1万円と引き替えに売り、9万人に及ぶスタッフの個人情報を危険にさらしたことである。たとえば、見ず知らずの人間達が貴女の個人情報を売り買いし、ある日突然、面識のない人から電話がかかってくるとしたら・・・この恐怖は想像に難くない。一人暮らしを経験した方なら尚更であろう。
余談として、1月29日の日経の報道では「一部職能評価」となっているが、他紙ではこの「職能評価」が「容姿ランク」としてA、B、Cとランクが付いていたという(それにしても、一体誰がこの職能を評価するのか?)。容姿が職能の一つとして評価されているとしたら、芸能人やモデルでもない限り、派遣会社のいうスキルとは何なのだろうかと考えてしまう。
そして、前出の派遣会社は、流出したデータを全て回収したというが、しかし、1月1日から1月24日にかけて「女性9万人の美人度ランキング」として5万5千円で販売され数十人が購入した、この簡単にコピーが作れるデジタルなデータを回収しきれるのだろうか。拙宅のポストに絶え間なく投函される公序良俗に反するな修正なアダルトビデオのチラシをごみ箱に捨てつつ考えてしまうのは私だけだろうか?
悪い予感ほどよく当たるものだ。3月30日の朝日新聞夕刊に「流出名簿また売買」と題された記事が載った。市民団体「派遣労働ネットワーク」の調べによると「容姿ランク」付きで約6万人分のデータが居住地別に60USドルから630USドルでインターネット上で売られていたものを、ネットワーク事務局が購入してみたところ、やはり流出した派遣スタッフの情報が載っていることが確認された。Bit単位の凶器事態を重く見た派遣会社スタッフ有志は98年3月31日、派遣会社側に労働組合の結成の通知と個人データ流失に関する質問への回答の要求書を代理人を通して通達した。そのあらましは東京ユニオンのホームページで公開されている。
通常、内容証明等で送られる民事で争う者同士の通知文は公開されることはまずない。プライバシーの問題で反訴される恐れもある。それを公開するということは今まで、個人データが流出したことが公表されて以来、派遣スタッフ有志が何度か交渉を持とうとしたが会社側が派遣スタッフにとって納得のいく措置に応じなかった可能性がありえる。しかも、通知文を公開する等、抗議行動を起こすことは、相手が応じなかった場合の強攻策である。公開された通知文のホームページには4月15日団体交渉予定という文字がでっかくめだつようにフラッシュしていたので団体交渉の成果を期待をしていたのだが・・・。
その後、公開された通知文のホームページに何度かアクセスしたのだが、ファイルのソースを見ても、アップデートが4月15日で止まっているのは何故だろう。良い結果を期待したい。
インターネットで傷つけられた彼女達に、同じインターネットが力を与え、頭の固い世代の世界に風穴を開け、そして、少しでも被害にあった彼女らの心が癒されることを願ってやまない。
ネット社会にそぐわない現在の法律、常識、こころ・・・これまで、身近な事例から、世間を騒がせたものを幾つかピックアップして紹介してきた。そのいずれにも言えることは、誰でも被害者になりうるということである。そして、加害者は顔見知りでも何でもない見知らぬ人物である。
WOMの中にも、とある企業のWebMasterをしている女性がいる。やはり、毎日、メール等でセキュリティホールがないか様子をうかがっているメールが届くという。極めつけは巨大な公序良俗に反する「アダルトな、お写真」4枚画像添付メール。女性WebMasterにとってはセクハラというよりは、仕事上の労働災害といえそうであるが、流石に彼女は冷静に対処し、発信元のプロバイダーのシステム管理者に連絡をとり抗議をしたそうだ。このアダルトな画像付きSPAMメールも、彼女の会社をターゲットにしたのではなく、「CC」(カーボンコピーの略、転じて同報メールの意味)にずらりと送り先が書かれていたという。ということは、彼女と同じメールを受け取った人達がCC先の数だけある。こども達が見るMLに送られていたらと思うとぞっとする・・・。要は、誰でもよく、な差別なのだ。そこにネット犯罪の恐ろしさがある。1と0のBit単位に変換されたデータという名の凶器が、人の心を切り裂いたとしても、相手は痛みすら感じとらないのだ。
現時点では、法律がインターネットの犯罪に追いついてない。流出した銀行の個人データの事件すら「業務上横領」である(刑法253条 業務上自己の占有する他人のものを横領したものは、十年以下の懲役に処する)。同じようにアメリカ議会も3つのSPAM法案が出されているが、どれも決め手を欠いているようである。駐車違反や政治資金規制法と同じように「捕まったらね・・」という感覚なのだろうか。恐らく個人データを流されてな言電話に悩まされる日々を送る女性のことなど微塵も考えていないのだろう。
コピーソフトを使うある人物が、「ただで手には入るものに対価を払う気はない」と言っていたことを私は今でも覚えている。
そして、前述したように、増え続けるインターネットサーバーに、それを扱うスキルを持った技術者の数が追いついていない事情に追い打ちをかけるかのように、地方自治体が国の助成金をバックにインターネットサーバーを持とうとしている。ある有名なサーバーメーカは今後数年間バックオーダーが捌ききれない状態だという。願わくば大切な住民のデータを蓄えるサーバーのセキュリティ・コストを削ることのなきよう、納税者としてお願いしたい。
最後に、このレポートのホームページに作成に関して色々な情報、助言を寄せて下さった皆様に謝辞を申し上げます。
参考文献および資料
ミニフォーラムの目次へ
WOMのホームページへ