 火曜コラム |
|
鍵のない家に入っても泥棒は泥棒である (98/01/20)
先週各紙が報道している、都内のプロバイダーの顧客リストクラッキング事件について弊誌ではほとんど触れていない。もちろん、弊誌でもさまざまな情報を入手していたのだが、情報を入手すればするほど、愉快犯的であり、自分で犯行の様子をメディアに流すなど報道されること自身を楽しんでいるのが分かった。編集部では、このまま報道すれば、犯人の挑発に乗る形になり、結局プロバイダーの顧客のプライバシーだけが拡散すると判断したため積極的な報道は控えた。
とはいえ、今回は神戸の事件の時とは違い、直接インターネット関係の話であるため、完全に沈静化はしていないが、このコラムを通して現段階で問題点をいっしょに考えたい。
当たり前のことだが、この行為自身は犯罪行為であり、いくらプロバイダー側に不備があったからといって許される行為ではない。このところはきちんと理解しておく必要がある。
各報道でも、どちらかというとプロバイダーの管理問題の方が大きくクローズアップされているが、本当に問題なのは現在まで犯人が捕まっていないことであると思う。犯罪者は罰せられて当然である。ましてや、今回の場合はまったく責任のない顧客名簿を公表するなど、手口は悪質で同情の余地はない。
むろん、これとは独立した話題としてプロバイダーの管理問題は問われるべきだろう。顧客からしてみればあまりにも情けなく場合によっては民事的な争いも起こすべきかもしれない。だが、プロバイダーの管理に問題があるからといって、この犯罪者の責任が軽くなるわけではない。
私はこうしたセキュリティの穴を突く犯罪が起こると、私が小さかった頃の実家をいつも思い出す。実は我が家には長い事「鍵」がなかったのである。いや、私の家だけではない、ご近所の多くも鍵が掛かってなかった記憶がある。夕立にあった留守の隣の家の洗濯物を取り込むなんてこともやっていたような気がする。
その頃鍵をかける家を見ると「なんてものものしいのだろう」と逆にその家に対して恐怖心を抱いたものだ。鍵をかけるという行為は他人を信用していないということの現われのようであり、その地域に対する裏切りのように感じたものである。
しかし今は私の実家にも鍵がある。もちろん現在の私の住まいにも鍵がある。そして、日々鍵をかけて生活している。私はこれを悲しいことだと思っている。理想主義者と呼ばれても構わないが、本当にインターネットが「文化的」であるのなら、鍵を必要としないぐらい意識が高くあるべきだと思っている。
どんなに、クラッカーなり、あるいはそうした活動を黙認する人たちなりが、「セキュリティ的に甘いから問題が起こるのだ。無能な管理者は罰せられて当然である」と主張しても、そこには「微塵の理」もない。鍵の掛かっていない家に泥棒に入ったからといって、泥棒が家主を戒めるのはまったくもって筋違いである。戒めたいだけなら、泥棒はせずともよかったはずである。結局は、いたずらをしたいという好奇心や他人のプライバシーを知りたいという欲望、管理者より有能であることを示したい自己顕示欲を押さえられない甘ったれた人間の言い訳でしかないのだ。
私がこれだけ「セキュリティ犯罪」を嫌うにはもちろん理由がある。それは、「セキュリティ」というものは基本的にコストを上げるだけで、何も生まないからだ。セキュリティを高めるためには、人的にも金銭的にもコストがかかる。しかも、セキュリティを高めたからといって、どこかのコストが削減されたわけではなく、単にコストが嵩んだだけである。そして結局はそうしたコストは製品に上乗せされたり、ユーザーへの負担を強いることになる。
たとえば、コンピューターウィルスがそのもっとも良い例だ。8ビットコンピューター時代には、ウィルスというのは一般的でなかったし、ユーザーがウィルスチェックソフトを購入するなどという事は少なかった。これが、MS-DOSが普及しMacintoshが登場する頃になりウィルスが大発生。結局今は、編集部でもウィルスチェックソフトが手放せない状態である。
もちろんウィルスはそんなに発生するわけでもなく、年に一回あるかないかという緊急事態に備えてインストールしているわけである。さらに、そのためにメモリは消費するし、他のプログラムとの相性も悪くなかなか使うのが難しい。たまに、ウィルスを発見したかと思えば「未知のウィルスです」といって、テキストファイルからウィルス発見?といった誤検知もあり金銭以外のコストもばかにならない。しかも、これらの努力は「犯罪者」のために使っているだけであって、生産性の向上には何も寄与しないのだ。
この世に本当に泥棒がいなかったり、クラッカーがいなかったりしたら、もっと低コストでいろんなサービスが利用できるはずなのである。もちろん、現実的には今回のような事件が起こるので、ある程度のコストはかけざる得ないのが実状である。こうした、セキュリティ犯罪は存在するだけで「社会の無駄」を発生させるものだという認識が必要だろう。
とはいえ、今回の件ではプロバイダーの対応、技術力には大きな問題があるといえる。そして、自戒を込めていえば、メディアはそうしたプロバイダーを選ぶリスクをきちんと読者に伝えていなかったという問題もあると思う。
さあ、インターネットを始めましょう。こんなに手軽な値段でインターネットはスタートできます。とは企画しても、「間違ったプロバイダーを選ぶとこんなに悲惨ですよ」という話は、ニュース欄で扱うぐらいである。実際には、プロバイダーにはあなたの個人的情報を開示するわけであり、さらにそのプロバイダーを経由してあなたのIDで発信される情報は、すべてあなたの責任を問われるのである。
また、どれだけプロバイダー間で技術的差、管理意識の差があるのかというような話もなかなかメインにはならない。メール配信をしていると分かるのだが、たとえば読者からの未配信の問い合わせに、記録を添付して問い合わせても「うちには問題が無い」の一点張りのところと、きちんとプロバイダー側の記録を引用して反論するところ、記録を見ただけでどこが問題かすぐに分かるところとまちまちだ。中には「サーバーソフトのメーカーに問い合わせないと分からない」という返事があったり、「うちでは記録はとっていません」と堂々とおっしゃるプロバイダーもある。これが現実なのだ。
ノウハウの差も大きい。実際には、ある程度以上のセキュリティ管理をしておけば、万全ではないにしても簡単には情報を盗む事はできないのだが、いわゆる「常識的」な対策が、必ずしもすべての管理者にとって「常識」とはなっていないところに問題がある。管理用のサーバーとユーザーが操作可能なサーバーを分ける。管理用サーバーには特定のクライアントからしかアクセスできないようにする。パスワードは必ず暗号化し削除や変更はできても管理者でも中が見れないようにする。メール新聞の配信リストがコマンド一つで取れたりしないように配信ソフトに制限をかける。こうしたことは、考えてみれば当たり前のことだが、すべてのプロバイダーの管理者が知っているわけではない。
さらに問題なのは、これらを見分けるのが難しいということだ。弊社の「インターネットマガジン」では、アクセスポイントの話中度調査や接続マップによる接続速度の開示を通して、単なるサービスメニュー一覧だけではないプロバイダーの個性を示そうとしてきたが、まだまだ万能ではない。歴史の長いプロバイダーや、太いバックボーンを持つプロバイダーにはそれ相応の信頼感があるが、それもあくまでも経験的な法則であり絶対ではない。優秀な技術者がドロップアウトして小さなプロバイダーをやっている場合もあるだろうし、一方で長くやっていても優秀な技術者が辞めている場合もあるからだ。
最終的には各ユーザーが選択の責任を負うしかないというのが現実である。逆にいえば、それくらいプロバイダーを選ぶということは重要なことなのである。
セキュリティ犯罪に対しては、微塵の妥協も許さない。ましてや、犯人の主張に耳を貸さない。そして、プロバイダー選びはインターネット上の住まい選びだと思って慎重な態度で望む。ごく当たり前ではあるがこうした努力が必要だと思う。
[編集長 山下:ken@impress.co.jp]