− 第3回 −

内外からの不正侵入のメカニズムとその防止策　その１
不正侵入の脅威に備えるのに必要な第一歩はそのメカニズムを知ること

　ネットワークやシステムへの不正侵入による情報流失事件などが頻繁に報道されています。しかし、これらを「氷山の一角に過ぎない」と指摘する専門家は少なくありません。一口に、不正侵入といってもその手口はさまざまで、その対策にも多種多様なものがあるからです。こうした脅威に対し、適確な対策を講じるためにはまず不正侵入のメカニズムを理解しなければなりません。そこで、この基礎講座では第３回〜第５回の合計３回に分けて、その脅威と防止策を解説していきます。まずその１回目となる今回は「DoS攻撃」を始めとした代表的な不正侵入の手口とその対策を中心に見ていくことにしましょう。

システムダウンや情報流失などの被害を招く不正侵入の脅威

　「ホームページで企業情報を発信する」、「ポータルサイトで企業内外の情報交換を行う」、「インターネットショッピングで業務の拡大を図る」といったように、今やインターネットは生活やビジネスに欠かせない社会インフラとして浸透しています。しかし、このようにインターネット上であらゆる情報がやり取りされるようになったからこそ、情報セキュリティ対策を怠るとその被害は爆発的に拡大する恐れがあり、自社のみならず、顧客に被害が及ぶケースも少なくありません。

　最近の例では、日本への留学生が旅行会社のサイトに不正侵入して約9万人分の顧客情報を盗んだとして、警視庁に逮捕された事件があります。報道によれば、犯人は海外のサーバを踏み台にしてサイトに不正侵入し、外部からデータベースを不正操作する「SQLインジェクション」という手口を用いて顧客情報を引き出したとされています。

　顧客情報の流失などの大きな被害を出さないまでも、企業のシステムがクラッカーにポートスキャンされたり、バックドアを仕掛けられたり、あるいはサーバが不正侵入の踏み台にされるなど、脅威も多様化しています。

　本来ポートスキャンは、システム管理者などがTCP/UDPポートにアクセスしてサーバで稼働しているサービスを調べるためのものですが、クラッカーがこれを悪用して不正侵入の下調べにすることがあるのです。また、バックドアとは、ユーザが利用するネットワーク経路とは別に、リモート管理などのために設けるアクセスの受け口を指しますが、悪用されると不正侵入のための「裏口」になってしまいます。

　加えて、ホームページが改ざんされるなどの被害も少なくありません。サイトにアクセスしたユーザを偽のホームページに誘導して個人情報を盗むものから、いたずら程度のものまで被害はさまざまですが、被害にあった企業は、ホームページを作り替える手間とコストがかかってしまいます。さらに、システムダウンによって業務の停止が余儀なくされるような事態を招くことになれば、自社の経済的な損失のみならず、社会的な信用失墜にもなりかねません。

　これらポートスキャンやバックドア、踏み台などの不正行為は、サービス妨害や情報流失などの被害が表沙汰になるまで、気づかれないことも多い上に、いくらセキュリティ対策を講じていても、たった1箇所のセキュリティ・ホールがあっただけで、こうした事態を招く可能性は非常に高くなってしまいます。