− 第6回 −

盗聴や機密情報の悪用を防止する暗号化技術

　盗聴−この言葉の意味を辞典などで調べてみると、「他人の話、会議などを知られずに盗み聞くこと」との意になるようです。情報を相手に気付かれないように盗み出すことを「盗聴」とするならば、システムへの不正アクセスをはじめ、本人の同意を得ないで個人情報を収集するスパイウェアやパソコン操作を記録するキーロガーなど、ネットワーク・コンピュータの世界にもさまざまな手口があるといえます。情報を盗まれるだけでなく、悪意のある第三者に機密情報が流失する事態になれば、企業の信用問題にもなりかねません。対策としては盗聴されないための仕組みに加え、盗聴された場合にも情報が解読されないようデータを暗号化するなどの防御策が必要になります。

ID、パスワードの不正入手によるメール盗聴事件も発生

　盗聴というと、一般的には電話機や室内に盗聴器を仕掛けて他人の会話を盗み聴く不正行為がイメージされます。インターネットではさしずめ、チャットの内容を盗み見るといったことになるかもしれません。プライベートなチャットを盗聴されれば、プライバシーの侵害ですが、ネットワークを介して機密情報がやり取りされるビジネスの世界でも、盗聴は経営にかかわる大きなリスクとなります。

　盗聴の手段となるのがID、パスワードの不正取得です。第4回のセキュリティ基礎講座でも紹介しましたが、管理の不徹底から悪意のある第三者にID、パスワードを盗まれ、不正アクセスされるケースは少なくありません。容易に推測されるパスワードや元従業員による悪用などのほか、リマインダ機能（正規のユーザーがパスワードを忘れてしまったときに、本人確認を行った上でパスワードを再発行する機能）を悪用してパスワードを入手するケースもあります。

　経済産業省、総務省などが公表している不正アクセスの発生状況（平成16年）によれば、アルバイトの男性が元勤務先の会社経営者に対して嫌がらせをするため、リマインダ機能を利用してパスワードを入手後、不正アクセスして経営者のメールを盗聴。さらにパスワードを教えられた知人が経営者になりすまして虚偽のメールを送信した事件なども報告されています。