【セキュリティー】

総務省など、不正アクセスの状況と関連技術の研究開発状況を公表

■URL
http://www.soumu.go.jp/s-news/2002/020207_1.html
http://www.meti.go.jp/kohosys/press/0002361/

総務省の報告ページ

 国家公安委員会、総務省、経済産業省は、「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公表した。これは、1999年8月に成立した「不正アクセス行為の禁止等に関する法律」第7条第1項の規定に基づいて公表されたものだ。

 公表された内容は、2001年1月1日から12月31日までの不正アクセスの発生状況を記した「不正アクセス行為の発生状況」と、警察庁、総務省又は経済産業省のいずれかの予算で実施している「アクセス制御機能の研究開発の状況」、昨年末に募集した民間企業における「アクセス制御機能の研究開発の状況」となっている。

 「不正アクセス行為の発生状況」によると、期間中に警察庁に報告のあったのは、1,253件で、前年の106件と比べて約12倍に増加しているという。この要因としては、「ホームページ書換えプログラム」によるものが813件、「ワーム型ウィルス」によるものが94件となっている。また、不正アクセスが行なわれたサーバーを管理者別にみると、一般企業が429件と最も多く、次いでプロバイダーが182件となっている。なお、これらの発見は、「警察職員によるいわゆるサイバーパトロールや被疑者の取調べ等の警察活動によるもの」が930件と最も多く、次いで「警察等への届出等」が286件となっている。

 平成13年中の不正アクセス禁止法違反の検挙件数は35事件(67件)で、検挙人員は51人となっている。これは前年と比べて、検挙事件数では4事件増加し(検挙件数は変わらず)、検挙人員では14人増加した。その内訳は、不正アクセス行為が35事件(66件)/51人、不正アクセス助長行為が1事件(1件)/1人だった。これらの犯行の手口をみると、利用者のパスワード管理の甘さにつけ込んだID・パスワードの入手が18事件(29件)と最も多く、次にアクセス管理者などになりすましてのID・パスワードの直接入手が6事件(8件)となっており、「特に高度なコンピューター技術を持っていない者でも行なえる形態が目立った」という。

 なお、この報告では、これらの不正アクセスに対する防御上の留意事項として、サーバー管理者はパッチを迅速にあてることや、パスワード等を厳重に保管・扱いを行なうことなどを挙げている。


 「アクセス制御機能の研究開発の状況」では、国の予算よって各省庁の依頼で行なわれているものが10件と、昨年の募集で召集した民間企業によって行なわれているものが15件報告されている。

 この中の、独立行政法人産業技術総合研究所が報告した「インターネットアプリケーションのセキュリティ脆弱性に関する研究」によると、「Webアプリケーションが各サイトで個別に製作されているため、そのアクセス制御の安全性はサイト任せとなっている」ことを指摘し、クロスサイトスクリプティング脆弱性についての調査では、「国内の著名なサイト8ヶ所において、この脆弱性が原因で個人情報が漏洩するほか、3サイトではクレジットカード番号が盗まれ得る状態であることを確認した」という。また、オンラインマーク、プライバシーマーク取得事業者から無作為に抽出した50サイトや、銀行・証券の23サイトを対象に調査したところ、その約8割に同脆弱性が残存していることを確認し、10月には「経済産業省から、この問題について周知徹底を図るよう、関係団体に要請する通知がなされた」と報告している。

 また、他企業の研究内容としては、NTT-ITが「ワンタイムパスワード認証技術」、RSAセキュリティが「時刻によって変化するパスワードを生成するアルゴリズムとその認証方法」、東芝が「ファイアウォール技術」、「侵入検知技術」、「その他認証技術」などとなっている。また、これらは今後も継続的に研究をすすめるという。

 「不正アクセス行為の禁止等に関する法律」第7条第1項によると、国は「サーバーなどに対する不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならない」と記されており、今後も同様の研究の継続と公表が行なわれていくという。

(2002/2/7)

[Reported by otsu-j@impress.co.jp]


INTERNET Watchホームページ

INTERNET Watchグループinternet-watch-info@impress.co.jp