[イベントレポート] ---------------------------------------------------------------------------- 17:元FBI捜査官、元ハッカーがセキュリティ対策を指南 「'99 Tokyo Security Conference」開催 ---------------------------------------------------------------------------- http://www.mom.co.jp/sec/ 25日、都内にてセキュリティ関連のカンファレンス「'99 Tokyo Security Conference」が開催された。元FBI特別捜査官や現役のNAVY(米国海軍)特別捜査官、 そして、アンダーグラウンドで活躍した元ハッカーなどが講師として迎えられ、セ キュリティを守る側とかつて破っていた側が一堂に会する大変興味深いものであった。 カンファレンスの主催は、システムインテグレータの三菱事務機械株式会社とプロバ イダーのPSINet社。参加人数は約80名。 ●元FBI捜査官の話 最初に登場したJames C.Settle氏は、'79年から'94年4月までFBIの特別捜査官とし て活躍した人物。'90年から退職までは、FBIのコンピュータ犯罪プログラムのマネー ジャーを努めた。 「'92年当時のワシントンD.Cでは、普通の捜査官はスーツを着ていたが、コン ピュータ犯罪関連の捜査官はカウボーイブーツを履いていた。当時は、何も手本がな かった。我々がパイオニア的に前線を切り開いていったんだ」とJames C.Settle氏は FBIにコンピュータ犯罪捜査班(FBI Computer Crime Squads)ができたころの話しを始 めた。当時1名だったコンピュータ犯罪捜査官は現在12名にまで増えているという。 これまでの調査によると、コンピュータ犯罪の70%は内部関係者によるものであっ たとのこと。James C.Settle氏は、米国で実際にあった事例を解説し、企業システム を内部犯行から守る条件として「十分に堅牢なユーザ認証」「検査に有効なログ」を 上げた。同氏は「ユーザー認証に5ケタのパスワードでというのは恐ろしい話しだ。 それでは簡単に侵入されてしまうだろう」と語った。 ●現役NAVYの話 次に登場したTorri K.Piper氏は、NAVYに属する組織「Naval CriminalInvestigative Service(NCIS)」の特別調査官。NCISは、戦闘部門への情報 提供のほか重要な犯罪の捜査など「海軍のFBI」とも言える組織だ。NCISの捜査対象 グループは、「内部の脅威」と「外部の脅威」に分けられるとのこと。それぞれのタ イプは、内部犯行者は「不満を持つ社員」「解雇された社員」など、外部犯行者は 「ハッカー」「契約社員」「元政府従業員」などに分けられるという。なお、米海軍 内での侵入/ウイルス事件は、'95年には17件だったものが、'96年には83件、'97年に は107件と増加した。しかし'98年にはセキュリティの強化により86件に減少したとの こと。 ●ハッカーを雇うコンサルティング会社 セキュリティコンサルタント会社New Dimensions International社のCEOを務める Fred Villella氏は、米国でのコンピュータセキュリティに関する法「Public Law 100-235(Computer Security Act)」の草案作成者の一人。これまで、連邦政府関係者 やNASAなどに向けてセキュリティトレーニングサービスを提供している。 「昔は何がハッカーで、何がクラッカーなのか、わからなかった」と語るFred Villella氏。だが、数年前ハッカーによるカンファレンス「Hacker Conference」に 参加し、髪は紫、耳にピアスのハッカー達を見て驚いたが、その優秀さにも驚いた。 その後、同社は、優秀なハッカーを雇い入れ、ハッカーによるコンサルティングとト レーニングを企業に提供している。同氏によるとセキュリティ対策は、「水道の水が 漏れたらすぐ修理するのと同じように“水道業者の定理”が効果的だ」としている。 ●元ハッカーが語る「ハッカーとは」 過去にアンダーグラウンドでハッカーだったというChristian Valor氏は、'96年7 月にその世界から足を洗い、現在、前述のFred Villella氏によるセキュリティコン サルタント会社New Dimensions International社に勤務している。 「The Hacker Underground」と題したセッションでは、「本当なら6時間かけて話 したいところだ」としながらも、自らの経験に基づき“ハッカー”について語りだし た。ハッカーの定義については、「自分でハッカーと呼ぶ人間には様々なタイプがい て、一括りにハッカーと呼ぶのは意味がない。確かに言えるのは、学校や本で学ぶこ と以上にコンピュータに興味のある者達のことだ」として、さらにその分類を説明し た。 同氏によるとハッカーは、12〜16歳の少年が中心の「Novices(初心者)」、大学な どでコンピュータを学ぶ「Students」、コンピュータ業界に勤める「Tourists」、技 術レベルが高い「Cracker」、コンピュータを犯罪の道具として考える「Criminals」 の5種に分けられるという。NovicesからTouristsまでは、初心者から見習いと言える 若い層で、実際にシステムに侵入することは少なく「せいぜい、ちょっとうるさいな あ、という程度」とのこと。また、Crackerについては、「一般的に悪者ハッカーと よく言われるが、それはウソ。彼らはコンピュータセキュリティに関しては誰よりも 詳しい人達だ」としている。ただし、自分のスキルを試すために相手のマシンに侵入 する恐れはあるという。実害を起こすのは、Criminalsと呼ばれる層で、「彼らは、 銃を使うよりもコンピュータを使って銀行強盗を犯すほうが効率がよいと考える人々。 ハッカーは犯罪を絶対容認しないから、彼らはハッカーのコミュニティには入ってい ない」という。 次に「ハッカーグループ」について解説した。少年達によるハッカーグループは 「“悪魔のハッカーグループを作って世界中のインターネットを支配しようぜ”と いった動機で近所の友達同士で結成されるが、母親にパソコン禁止令を出されてあえ なく解散するパターンが多い」とのこと。それらがネットワークに実害をあたえるこ とはほとんどないが、「合計363の企業/団体のサイトをハッキングし、そのサイトで お互いのグループの悪口を言い合った」例もあるとのこと。また、グループの名前は、 日本のアニメやSF小説から取られることが多く、語源は不明だが「Shinjuku Puppet」なる著名なグループもいるという。Christian Valor氏は、「彼らは、一様 にドラッグをやったりテクノを聞いたり、サイバーパンク的なイメージを作りたいと 考えている。ハッキングそのものよりイメージを重視する人達だ」と語っている。 今回一番注目を集めたのは「日本サイトの弱点」に関する発言。同氏は「多くの日 本のネットワークは、全体的にセキュリティが非常に低く、簡単なパスワードを設定 していることをハッカーはよく知っている」「日本がセキュリティ対策を厳しく取り 締まる前に可能な限り侵入しようとしている」と語っている。また「各大学やFotune 誌に出るような企業の多くは、すでに侵入されている」としている。システム管理者 へのアドバイスとしては「自ネットワークのセキュリティポリシーを作成し、関係者 全員の手元に届けること」「システムの全てのバイナリファイルを再インストールし、 ファイルの改竄検査プログラムを定期的に使用すること」などをあげている。 今回のカンファレンスでは、元FBI、現役NAVYなどが講師として登場し、どんな 「特殊」な話しが聞けるかと期待したが、セキュリティ対策としてあげられたのは、 当然のことながら「強固なパスワードの選択」「信用できない所のファイルはダウン ロードしない」「パッチをすぐあてる」など一般的な手法であった。そして、各機関 とも一致しているのは、「内部関係者による犯行が脅威である」「ネットワーク内で のセキュリティポリシーの徹底」という点。元ハッカーのFred Villella氏は、「内 部関係者による犯行は、技術的は方法でくいとめることはできない。また、セキュリ ティの確保には、ネットワークユーザー一人一人にセキュリティ研修を行なうことが 必須で、それをやらなければ何をやっても、どんなに費用をかけても無駄だ」と語っ ている。 [Reported by okiyama@impress.co.jp] (99年2月26日)