セキュリティのこと考えていますか


日本は平和で安全な国、と言われている。たしかに戦後半世紀以上もの間、何の戦争にも巻き込まれずに平和で且つ繁栄を享受している国はそう多くない。 また、最近物騒な事件が相次いでいるけれど、世界的に見れば日本が治安の行き届いた安全な国だというのは本当だ。 これは大変結構なのだが、そのために現代日本人は「平和と安全はただで手に入る」ものと考えているらしい。

確かに現代の日本は様々な制度やシステムが個人の安全を高度に保護してくれる国であり、たとえ私たちが何もしなくても或る程度の安全は保障してくれる。 しかし考えてみよう。私たちは自動車を運転するときシートベルトを締める。オートバイに乗るときはヘルメットを被る。そして安全に注意しながら走行する。 いくら保険に入っていても、命を失ったら取り返すことは出来ないのだから、自分である程度の努力をしなけりゃ自分の安全を守ることはできない。

だが島国農業国の日本は元来、安全とかセキュリティに対して鈍感だ。しかも新しい変化に対して迅速に対応できない。加うるに、この50数年間に平和・繁栄ボケしてしまっている。 歴史上常に危険と戦ってきた欧米人に比べ、セキュリティ意識は低い。環境問題だって、自動車の安全性だって、いつも日本は欧米の後追いで対応してきたのはその良い例ではないか。 経済や金融だって先々を読まずに目先の対応で済ませてきたツケが、今のこの混乱という形で回ってきたのじゃないかねえ。

それはともかく、今私たちはインターネットという、未曾有の情報ビックバンに直面して、期待と当惑の中にいる。そこでは、日本中・世界中の情報に瞬時にアクセスできることだけが凄いのではない。 誰もが情報発信者になれること、情報を発する側と受ける側の関係が従来のメディアのように一方通行でなく、双方向的であること、データをやりとりする形式が通常の通信システムとはかなり異なっていること、 などなど、既存の社会システムに生きてきた者にとっては迷うことばかりだ。この言わば情報革命の中では、新しい可能性が様々に期待される反面、未知の危険も待ちかまえている。

そもそもインターネットとは何かをこれから理解して行こうとする人には、威かすようで悪いが、でも当然知っておかなければならないのだ。 例えば自動車を初めて運転するようになったとき学んだのは、車は速く走るのでどこでも短時間で行けます、ということだけじゃなかったよね? 操作技術も大切だが、それ以上に安全に留意することの大切さをイヤと言うほど教わったはず。 それと同じで、インターネットのマニュアルにも、セーフティならぬセキュリティという1章が場を占めなければならないのだ。

ではインターネットを利用する上でのセキュリティって、どういうことだろう?それ自体、何ページも要するような大きなテーマだが、ここでは一般のユーザーにとって最も関係の深いパスワードに絞って考えてみよう。

パソコン上でいくつかのソフトウェアを使用するとき、初めてパスワードという言葉を知ったという人は多いだろう。 パソコン通信の場合と同様インターネットでも、情報サービスにアクセスするための通行証として、パスワードが必要となる。 特にインターネットでは、接続の際、メール受信の際、FTPサーバにアクセスする際、特定会員用のサイトにログインする際、自分用にカスタマイズされた情報サービスにアクセスする際などと、 パスワードを使用する機会はとても多く、今後ますます多くなるだろう。パスワードを使う機会が多いほど、その人のインターネット利用度は高い、と言っても言い過ぎじゃない。

パスワードは、あなたが情報にアクセスする正当な権利を持つことを認証する証明書のようなもので、そうした振り分けがないと、他人があなたのお金で接続やサービスの購入をしたり、 あなた宛のメールやあなたの個人情報を読んだり、あなたの ID を使って悪さをする危険が出てくる。素顔が見えないバーチャルな世界だからこそ、自分であることの証明として ID とパスワードが物を言うのだ。 しかし、そのパスワードがもし盗まれたら?

パスワードは「物」ではなくデータであるので、盗まれたからと言ってパスワードが失くなるわけではない。けれども、パスワードを盗用した人があなたになりすまして有料サービスを消費したり、 あなたのプライバシーを侵害したり、ネット上で悪さをしたりと、やりたい放題のことをする危険があるので、もっと恐ろしい結果になる。そのときになって慌ててパスワードを変更しようとしても、 すでにクラッカー(ハッカー)の方がパスワードを変更してしまって、あなた自身がネットにアクセスできなくなるかも知れないのだ。

不幸にして、個人がパスワードを盗用されて被害に遭ったケースは通常、ニュース報道の対象とならないために、そんなこと、ほとんどあるわけがないと、 思っている人が少なくない。が報道されないだけで、現実には起こっているのだ。この点に関して特に資料を調べてみると、そこには色々の驚くべき話と、発生件数の意外なほどの多さがみとめられる。 興味のある人は、そして自分の安全を自分で守りたい人は、調べてみられたい。

ではどうやってパスワードは盗まれるのか?ごく初歩的なケースとして、パソコン通信接続用のパスワードを書いた紙をディスプレーの横に貼り付けていた人が、そのパスワードを友人に見られ、 それが友人の知人にリークして悪用された、というケースがある。ここまでお粗末な話は信じられないと思うかも知れないが、パスワードなど面倒だからと他人の目の届くところに放置するセキュリティ意識の低さと、 まさか自分が被害に遭うわけがない、仮にあっても誰か何とかしてくれるだろうと考える甘さが事件の土台になっている。被害に遭うのはたいてい、そうした「脳天気な」人たちなのだ。

この種のケースを見ると、パスワードの機密性がどれほど大切なものか、わかっていない人が多いということが第一に挙げられる。 被害こそ起きなかったが、ネット管理者宛てのメールに自己紹介と自分の ID と並んでパスワードまで書き込んでいた人がいたという実例もある。

またもう1つは、まさか「自分に限って」被害者になるわけがない、パスワードなどほったらかしていても被害に遭うケースなどほとんどない、と考えている人がターゲットになりやすいことだ。 交通事故と同じで、自分が痛い目に遭わないとわからないのだ。今まで何事もなかったのは、ただ運が良かっただけと考えてほしい。 自分のパスワードを盗用され、通信料金を勝手に使われた上に自分宛の大量のメールも無断で読まれると言う被害にあった人が、それ以来毎日パスワードを変更するようになったこと、 ほかの人たちにもパスワードを出来るだけまめに変更するよう呼びかけている掲示板の書き込みを見たことがある。

しかし、他人に教えたわけでもない自分のパスワードが盗まれたりするのはなぜだろう?一番危険なのは、パスワードに分かり易い安直な言葉を使用しているケースだ。 つまり自分が覚えやすく、入力しやすいような言葉は、他人にも推測されやすいのである。パスワードを盗用するハッカー(クラッカー)は、手元に「辞書」をもっており、その辞書に載っている言葉を片っ端からパスワードとして試してみると言われる。 その辞書には "password", "secret", "user" といった月並みな言葉、ユーザーの名前やハンドル名、あだ名、メールアカウントといった個人情報、"eva", "gandam", "monster", "pikachu" といった誰でも考えそうな言葉が多数入っていて、 パスワードを安易に考えているユーザーなら簡単に見破られてしまうというわけだ。

ユーザーのパスワードリストを載せたサーバー上のファイルが盗み見られたというケースも意外に多い。中には外部から簡単にアクセス可能なサーバー上に置いていたというお粗末なプロバイダーのケースすらあるが、 そこまで杜撰ではなくとも、Web システムで使われるCGIプログラムのセキュリティホールからサーバーに不正侵入され、パスワードファイルにアクセスされたケースもある。

クラッカーの多くは「イタズラ半分」であることが多く、自分で犯罪に使うことは少ないが、盗んだパスワードリストをインターネット上の掲示板に載せたり、Eメールで第三者に送りつけたりした場合、それを見た人がパスワードを不正使用することになるので、 問題はむしろ大きくなる。これらはどちらかと言えばプロバイダーのセキュリティ対策の問題といえるが、ユーザーも自分のパスワードをこまめに変更しておけば被害に遭う可能性は少なくなるだろう。

インターネットでは情報が非常に多くのコンピュータを介して伝えられて行く。つまりパスワードなどの情報も未知の第三者のコンピュータ上を通っていくという理屈で、バケット盗聴プログラムを使って他人のパスワードを不正入手することも行われる。 言わば、「送信」後のリスクである。これに対して一般個人のパソコンがアタックされてローカルディスク上の情報を盗み見られるというケースは、皆無とは言わぬまでも非常に稀だ。それが起こるとすればWWWブラウザのプログラム上のバグに起因するのであり、 ブラウザのセキュリティホールに関するニュースには注意を払う必要がある。

インターネットのセキュリティも、車の運転と同じで、「まさか自分に限って」という油断が一番禁物だ。 以下に、パスワードが被害に遭わないための注意点を挙げてみたので参考にされたい。

1.プロバイダーやサイト管理者などから仮パスワードを受け取ったときは、出来るだけ速やかに、新しいパスワードに作り変えて更新する。 その後も、なるべくこまめにパスワードを変更する。

2.パスワードは親しい人も含めて他人に教えない。システム管理者のような信頼できる相手であっても、教えないのが原則。 またもちろん、他人の目の届くところに書きとめたりしない。

3.Eメール上でパスワードのやりとりをしない。メールで自分用のパスワードを受け取った場合は、直ちに変更する。

4.パスワードには分かり易い言葉を使用しない。当該システム(サービス)が許容する範囲で、パスワードには英数字や記号の無意味で複雑な組み合わせを使用し、 出来るだけ字数が多い方が好ましい。パスワードを自動作成してくれるソフトがあるなら、それを使用するのも1つの方法。

5."123$%&QWE" のようにキーボードの配列をそのまま用いたものも好ましくない。

6.パスワードは、用途ごとに別のものを用いる。面倒だからと、同じパスワードを複数の用途に使用しない。

7.自分のアクセス記録や、利用料金情報を知る方法があるなら、それも時々チェックする。

8.お使いのWWWブラウザにセキュリティホールが報告されたときは、それに対処したパッチを使用するか、バグフィックス版にバージョンアップする。

9.プロバイダーや利用サイトからメールで送られてくる重要なお知らせにも目を通すようにする。

[1998/10/29]



次のトピックは「ホームページって何だ?」です。

目次 | ← 前のトピック | ↑ページのトップ | 次のトピック →

ご意見・ご質問がありましたら「ザ・掲示板」またはメールにて梅ちゃん堂まで