不正アクセス禁止法に関連して
サイバースペースにおける犯罪の特殊性
刑法改正(1987年,昭和62年)
- 三和銀行事件(銀行員によるオンライン詐欺事件)をきっかけに改正?
- 電子計算機損壊等業務妨害
- 電磁的記録不正作出
- 電子計算機使用詐欺
不正アクセス禁止法(平成12年3月12日施行)
- 不正アクセス行為の禁止
- 罰則は,一年以下の懲役又は五十万円以下の罰金
不正アクセスとは,例えば,
他人のユーザ名とパスワードを無断で使用する行為
セキュリティーホールを攻撃してコンピュータに侵入する行為
- 不正アクセスの助長行為の禁止
- 三十万円以下の罰金
不正アクセスを助長する行為とは,例えば,
他人のユーザ名とパスワードを第三者に提供する行為
- アクセス管理者による防御措置の努力義務
-
- 「努めるものとする」という表現
- 「努めなければならない」より弱い?
- 「符号の適正な管理」
- パスワードの定期的な変更要求
パスワードファイルのshadow化
crackなどの適用によるイージーなパスワード設定者への警告
- 「機能の高度化」
- パッチ,ソフトウェアのバージョンアップ
- 「不正アクセス行為から防御するため必要な措置」
- ユーザ教育
Fire Wallの設置
- 都道府県公安委員会による援助
-
- 不正アクセス行為に対する援助
- SPAMメイル,DoS攻撃などは対象外
- 事例分析
- 不正アクセス行為の手口,原因等に関する技術的な調査及び分析
事例分析を国家公安委員会規則で定めるものに委託できる
- 見送られた事項
「不正アクセス行為の再発を防止するための
都道府県公安委員会による援助に関する規則」
(国家公安委員会規則)
- 援助の申出の際の添付資料
-
- システムの構成
- 特定利用の内容
- 特定利用を制限していたアクセス制御機能の概要
- 識別符号の内容及び管理状況
- 入力された識別符号又は指令に関する記録
- 不正アクセス行為の再発を防止するために講じた措置
- 特定電子計算機の作動状況及び管理状況
- 公安委員会による援助措置
- 事例分析の実施の事務の委託
- 適正かつ確実に行うことができる技術的能力,
十分な社会的信用を有する者
警察関係の状況
- サイバーポリス
- 警察庁にハイテク犯罪対策センターの設置
- 警視庁および各道府県警察本部にハイテク犯罪対策室の設置と
ハイテク犯罪対策官・ハイテク犯罪捜査官の配置
これまでの日本国内での事例
- 朝日放送の天気予報のホームページの改ざん(1997年)
- 犯人の会社員は,電子計算機損壊等業務妨害で,
懲役1年6ヶ月,執行猶予3年
- ポンポンネットのホームページの改ざん(1997年)
- 犯人の高校生は,電子計算機損壊等業務妨害
- 中央省庁のホームページの改ざん
- 高知工科大学や東京大学の計算機を踏み台に?
- 米国yahooなどへの使用不能(DoS)攻撃
- UCSBを踏み台に?
犯人は,1000台程度の不正利用計算機を利用?
今後ありうるインシデント
- 学生が本学の計算機にアタックし成功した場合
- script kiddie
- 本学の計算機のホームページなどを改ざんされた場合
- 誰かチェックしているか?
- 本学の計算機が使用不能になった場合
- 特に,kit.ac.jpのネームサーバにDoS攻撃が行われた場合
- 本学の計算機を踏み台として,他組織への攻撃が行われた場合
- 他組織からクレームが来た場合
警察が調査に来た場合
- 本学の計算機のユーザのホームページに
- 著作権法に抵触するような内容があり,クレームが来た場合
- 本学の計算機のプロキシーサーバを踏み台として,他組織の掲示板などに
- 他人を中傷するような内容が書かれて,クレームが来た場合
- なりすましメイルによるトラブルが発生した場合
- 教職員になりすましたメイルが発送された場合
- コンピュータウィルスが蔓延した場合
- ハードディスク内容の破壊などが起こった場合
メイルを大量に送付するウィルスにより
メイルサーバが使用不能になった場合
防止の基本的方針
早急に対処すべきこと
- 学生及び教職員に対する講習会?
- 本学の全ての計算機管理者に対するセキュリティー対処の指針を示す
- セキュリティーポリシーの作成
- DNSに掲載の本学の全ての計算機のセキュリティーチェック
- 大学内ネットワークと外部(SINET)との間に,ファイアウォールの設置
- テクニカルなincident responce planの作成
- 非テクニカルなincident responce planの作成
シミュレーション
- 本学の計算機が踏み台として利用され他組織の計算機が攻撃を受けた.
- 警察庁ハイテク犯罪対策センターなどの担当者が,
当該IPアドレスを有する計算機の特定と管理者の特定を求めた.
- 当該計算機のログの任意提出を求められた.
- 当該計算機のハードディスクの任意提出を求められた.
- ??新聞の記者が取材に来学,大学としてのコメントが求められた.