No.31 2000/01/29
省庁ホームページ改ざん事件
(2000年1月29日掲載)

 先ごろ、科学技術庁などのいくつかの省庁のホームページがクラッカーによって書き換えられるという事件が起こりました。

 なお、マスコミでは「ハッカー」と言っていますが、コンピュータの専門家の間では、「ハッカー」はコンピュータ技術をきわめて深く知る人の意味で使われ、その技術力を悪事に使うやからのことは「クラッカー」といいます。ここではそのように言葉を使い分けます。

 私は、その報道を聞いた時、自分も使っているapacheというウェブサーバソフトにセキュリティホール(侵害を受け入れてしまう欠陥)があるのではないかと心配になりました。しかし、何日かたっても、コンピュータ緊急対応センター(JPCERT)から大ニュースとして報告されていません。
 いったいどういう手口で侵害されたのかと不思議に思っていたら、NHKテレビのニュースを見て驚きました。「こういう手口で可能です」と説明していた時のコンピュータ画面には、見慣れたFTP(File Transfer Protocol:ファイル転送プロトコル)コマンドの文字列が映っていたのです。

 FTPとは、コンピュータ上のファイルを取得したり、コンピュータへファイルを送り込んだりするための通信規約のことです。パソコンで作ったHTMLファイルなどをウェブサーバに登録するのにも使われますから、ウェブサイトを持つ人はこのプロトコル名をご存じでしょう。
 FTPを悪用すれば、ファイルを盗んだり改ざんしたりできます。クラッカーは、コンピュータの利用権のある人のID(識別名)とパスワードの情報を巧妙な方法で盗み出します。成功したら、その人になりすまして、その人のウェブページを書き換えることができてしまいます。システム管理者になりすますことに成功したら、どんな重要なファイルでも書き換えたり消したりできてしまいます。それは、インターネット技術に携わる人なら当たり前のこととして知っていることです。
 自分のウェブサイトを持ちたい人のために間貸しされるウェブサーバは、ユーザーがウェブ用ファイルを自分で書き込めるように、FTPアクセスを受け入れざるをえません。そのため、FTPの悪用による侵害の危険にさらされているのです。
 もっとも、無名の個人のウェブサイトを攻撃したところで、クラッカーの自己満足にはなりません。彼らが狙うのは重要サイトです。特に政府機関や有名企業など、社会的に影響力のある組織のコンピュータを侵害してみせることが彼らの快感なのです。問題は、省庁ともあろう重要サイトが、FTPの悪用に対するまともな防御策をとっていなかったということです。

 なぜ省庁のウェブサイトが侵害を受けてしまったかについては、いくつかのケースがあるようです。一つは、個人ユーザー向けの間貸しサーバ並みの安全策しかとっていないサーバを借りていたらしいというケースです(これは伝聞ですが)。また、金がないからファイアウォール(インターネット接続点で侵害を防止する装置)を買っていなかったとか、内部のネットワークがインターネットとつながっていないから安全だと思い込んでいて、自分の所のホームページが改ざんされるという侵害を想定していなかったというケースもあるようです。私に言わせれば、お粗末としか言いようがありません。
 このような侵害を受けないための安全策は、技術的には簡単なことです。間貸しサーバを利用するならば、FTPなどの危険なプロトコルを特定の(契約者の、あるいはコンテンツ管理者の)コンピュータからしか受け入れないなどの安全策を重要サイトのために講じてくれるサービス業者を選ぶことです。また、サーバを自分の所で運用するならば、危険なプロトコルを外から受け入れないようにサーバを設定するか、ファイアウォールを設けることです。

 ところで、ファイアウォールとはいっても、必ずしも高価な装置を買うばかりが能ではありません。インターネット接続には、ルータ(経路制御装置)という装置を必ず使います。これは、パケット(通信メッセージ単位のこと)の中継を行う装置です。最近のルータは、ごく安いものでも、パケットを選別して中継したり阻止したりする機能を持っています。電子メールやウェブアクセスのためのパケットは通すが、FTPなどの危険なプロトコルのパケットは通さないという設定ができるのです。
 これで絶対に安全というわけではありませんが、ルータのパケット選別機能を上手に使えば、高価なファイアウォール専用装置をずさんに使うよりはよほど安全度を高めることができます。なんとか侵害してやろうとがんばるクラッカーには破られないとも限りませんが、ガードの弱いサイトを片っ端から探しているクラッカーを早々にあきらめさせるくらいの役には立ちます。

 結局のところ、今回の省庁ホームページ改ざん事件は、大金持ちの家が貧弱な鍵しかかけていなくて泥棒に入られたというようなもので、JPCERTが重要なセキュリティ問題として取り上げるほどのことではなかったようです。
目次 ホーム