INTERNET Watch Title ClickClick Here

【イベントレポート】

「'99 Tokyo Security Conference」開催

元FBI捜査官、元ハッカーがセキュリティ対策を指南

■URL
http://www.mom.co.jp/sec/

 25日、都内にてセキュリティ関連のカンファレンス「'99 Tokyo Security Conference」が開催された。元FBI特別捜査官や現役のNAVY(米国海軍)特別捜査官、そして、アンダーグラウンドで活躍した元ハッカーなどが講師として迎えられ、セキュリティを守る側とかつて破っていた側が一堂に会する大変興味深いものであった。カンファレンスの主催は、システムインテグレータの三菱事務機械株式会社とプロバイダーのPSINet株式会社。参加人数は約80名。


元FBI捜査官の話

james氏 最初に登場したJames C.Settle氏は、'79年から'94年4月までFBIの特別捜査官として活躍した人物。'90年から退職までは、FBIのコンピュータ犯罪プログラムのマネージャーを努めた。

 「'92年当時のワシントンD.Cでは、普通の捜査官はスーツを着ていたが、コンピュータ犯罪関連の捜査官はカウボーイブーツを履いていた。当時は、何も手本がなかった。我々がパイオニア的に前線を切り開いていったんだ」とJames C.Settle氏はFBIにコンピュータ犯罪捜査班(FBI Computer Crime Squads)ができたころの話しを始めた。当時1チーム(10人程度で構成)だったコンピュータ犯罪捜査担当は現在12チームにまで増えているという。

 これまでの調査によると、コンピュータ犯罪の70%は内部関係者によるものであったとのこと。James C.Settle氏は、米国で実際にあった事例を解説し、企業システムを内部犯行から守る条件として「十分に堅牢なユーザ認証」「検査に有効なログ」を上げた。同氏は「ユーザー認証に5ケタのパスワードでというのは恐ろしい話しだ。それでは簡単に侵入されてしまうだろう」と語った。


現役NAVYの話

 次に登場したTorri K.Piper氏は、NAVYに属する組織「Naval Criminal Investigative Service(NCIS)」の特別調査官。NCISは、戦闘部門への情報提供のほか重要な犯罪の捜査など「海軍のFBI」とも言える組織だ。NCISの捜査対象グループは、「内部の脅威」と「外部の脅威」に分けられるとのこと。それぞれのタイプは、内部犯行者は「不満を持つ社員」「解雇された社員」など、外部犯行者は「ハッカー」「契約社員」「元政府従業員」などに分けられるという。なお、米海軍内での侵入/ウイルス事件は、'95年には17件だったものが、'96年には83件、'97年には107件と増加した。しかし'98年にはセキュリティの強化により86件に減少したとのこと。


ハッカーを雇うコンサルティング会社

fred氏 セキュリティコンサルタント会社New Dimensions International社のCEOを務めるFred Villella氏(写真左)は、米国でのコンピュータセキュリティに関する法「Public Law100-235(Computer Security Act)」の草案作成者の一人。これまで、連邦政府関係者やNASAなどに向けてセキュリティトレーニングサービスを提供している。

 「昔は何がハッカーで、何がクラッカーなのか、わからなかった」と語るFred Villella氏。だが、数年前ハッカーによるカンファレンス「Hacker Conference」に参加し、髪は紫、耳にピアスのハッカー達を見て驚いたが、その優秀さにも驚いた。その後、同社は、優秀なハッカーを雇い入れ、ハッカーによるコンサルティングとトレーニングを企業に提供している。同氏によるとセキュリティ対策は、「水道の水が漏れたらすぐ修理するのと同じように“水道業者の定理”が効果的だ」としている。


元ハッカーが語る「ハッカーとは」

 過去にアンダーグラウンドでハッカーだったというChristian Valor氏は、'96年7月にその世界から足を洗い、現在、前述のFred Villella氏によるセキュリティコンサルタント会社New Dimensions International社に勤務している。

 hackerThe Hacker Underground」と題したセッションでは、「本当なら6時間かけて話したいところだ」としながらも、自らの経験に基づき“ハッカー”について語りだした。ハッカーの定義については、「自分でハッカーと呼ぶ人間には様々なタイプがいて、一括りにハッカーと呼ぶのは意味がない。確かに言えるのは、学校や本で学ぶこと以上にコンピュータに興味のある者達のことだ」として、さらにその分類を説明した。

 同氏によるとハッカーは、12~16歳の少年が中心の「Novices(初心者)」、大学などでコンピュータを学ぶ「Students」、コンピュータ業界に勤める「Tourists」、技術レベルが高い「Cracker」、コンピュータを犯罪の道具として考える「Criminals」の5種に分けられるという。NovicesからTouristsまでは、初心者から見習いと言える若い層で、実際にシステムに侵入することは少なく「せいぜい、ちょっとうるさいなあ、という程度」とのこと。また、Crackerについては、「一般的に悪者ハッカーとよく言われるが、それはウソ。彼らはコンピュータセキュリティに関しては誰よりも詳しい人達だ」としている。ただし、自分のスキルを試すために相手のマシンに侵入する恐れはあるという。実害を起こすのは、Criminalsと呼ばれる層で、「彼らは、銃を使うよりもコンピュータを使って銀行強盗を犯すほうが効率がよいと考える人々。ハッカーは犯罪を絶対容認しないから、彼らはハッカーのコミュニティには入っていない」という。

 次に「ハッカーグループ」について解説した。少年達によるハッカーグループは「“悪魔のハッカーグループを作って世界中のインターネットを支配しようぜ”といった動機で近所の友達同士で結成されるが、母親にパソコン禁止令を出されてあえなく解散するパターンが多い」とのこと。それらがネットワークに実害をあたえることはほとんどないが、「合計363の企業/団体のサイトをハッキングし、そのサイトでお互いのグループの悪口を言い合った」例もあるとのこと。また、グループの名前は、日本のアニメやSF小説から取られることが多く、語源は不明だが「Shinjuku Puppet」なる著名なグループもいるという。Christian Valor氏は、「彼らは、一様にドラッグをやったりテクノを聞いたり、サイバーパンク的なイメージを作りたいと考えている。ハッキングそのものよりイメージを重視する人達だ」と語っている。

 今回一番注目を集めたのは「日本サイトの弱点」に関する発言。同氏は「多くの日本のネットワークは、全体的にセキュリティが非常に低く、簡単なパスワードを設定していることをハッカーはよく知っている」「日本がセキュリティ対策を厳しく取り締まる前に可能な限り侵入しようとしている」と語っている。また「各大学やFortune誌に出るような企業の多くは、すでに侵入されている」としている。システム管理者へのアドバイスとしては「自ネットワークのセキュリティポリシーを作成し、関係者全員の手元に届けること」「システムの全てのバイナリファイルを再インストールし、ファイルの改竄検査プログラムを定期的に使用すること」などをあげている。


 今回のカンファレンスでは、元FBI、現役NAVYなどが講師として登場し、どんな「特殊」な話しが聞けるかと期待したが、セキュリティ対策としてあげられたのは、当然のことながら「強固なパスワードの選択」「信用できない所のファイルはダウンロードしない」「パッチをすぐあてる」など一般的な手法であった。そして、各機関とも一致しているのは、「内部関係者による犯行が脅威である」「ネットワーク内でのセキュリティポリシーの徹底」という点。元ハッカーのChristian Valor氏は、「内部関係者による犯行は、技術的は方法でくいとめることはできない。また、セキュリティの確保には、ネットワークユーザー一人一人にセキュリティ研修を行なうことが必須で、それをやらなければ何をやっても、どんなに費用をかけても無駄だ」と語っている。

('99/2/25)

[Reported by okiyama@impress.co.jp]


INTERNET Watchホームページ

ウォッチ編集部INTERNET Watch担当internet-watch-info@impress.co.jp