クラッカー(悪意をもったハッカー)を追跡する探偵コンテストが,インターネット上で開催された。米国のセキュリティ専門家らが中心になって始めた「Honeynet Project」の一環で,「Forensic Challenge」と呼ばれるコンテストだ。
コンテストの進め方を紹介しよう。まず,あらかじめネットワークに無防備なコンピュータを配置しておく。ここに本物のクラッカーを誘い寄せて,荒らし回らせる。その後,コンテスト参加者が「捜査」に乗り出す。
コンテストの結果だが,本当に一人のクラッカーがコンピューターに侵入して,30分ほど内部を荒らし回った。コンテスト参加者13人(いずれもハッカーやセキュリテイ専門家)が,この捜査に要した平均時間は34時間。犯人は見つかったが,「特に警察に通報するようなことはしない」(Honeynet project責任者のLance Spitzner氏)という。
コンテストの真の狙いは,企業にセキュリティ管理の重要性を知らしめること。コンテスト責任者のDavid Dittrich氏は結果報告書で,「捜査に要した34時間の労働コストは,企業内部のセキュリティ担当者に捜査を任せた場合は2000ドル,外部のセキュリティ・コンサルタントに任せた場合は2万2600ドルになる」と指摘した。
今回の場合,コンピュータに侵入してイタズラをする時間(30分)と,それを捜査して何が起きたかを知るまでの時間(34時間)の比は1対68である。「コンピュータに被害を与えるよりも,それをつきとめ回復させる方が,よほど高度の技術と労力を要する」とDittrich氏は語る。被害にあったコンピュータのOSなどのソフトウエアを,そっくり入れ替えても一件落着とはいかない。ネットワークで接続された他のコンピュータにも,被害が及んでいるかもしれないからだ。
Dittrich氏らは,この結果を3月28日からカナダのバンクーバーで開催された,セキュリティ専門会議「CanSecWest」で発表した。同会議では,最近になって企業や研究機関がますますクラッキングの脅威にさらされている実態が明らかになった。たとえばComputer Security Instituteが米国186社を対象に実施した調査によれば,クラッキングによる被害は2000年に企業あたり平均200万ドルに上った。別の調査によれば,大学など研究機関のスーパーコンピュータには,平均して45分に1回の割合で外部からの不正アクセスが試みられているという。
米国では,これらのコンテストや会議が始まる直前の3月20日に,史上最大といわれる「インターネット上の著名人なりすまし事件」の犯人がFBIに逮捕された。ニューヨーク・ブルックリンのレストランで働く男が,ロス・ペローやオプラ・ウインフリー(米国のテレビの司会者)になりすまして,インターネットから彼(彼女)らの銀行口座や株式取引口座に不正アクセスしようとした事件だ。
この犯人はフォーブス誌に掲載された400人の富豪・有名人のうち,217人の個人情報を入手していたという。こうした富豪らは,セキュリティ管理には人一倍神経を使っているはずだ。その情報が217人分もやすやすと盗まれてしまうとすれば,クラッカーにとって不正アクセスがいかに容易であるかがわかる。
(小林 雅一=ジャーナリスト,ニューヨーク在住,masakobayashi@netzero.net)
■著者紹介:(こばやし まさかず)
1963年,群馬県生まれ。85年東京大学物理学科卒。同大大学院を経て,87年に総合電機メーカーに入社。その後,技術専門誌記者を経て,93年に米国留学。ボストン大学でマスコミの学位を取得後,ニューヨークで記者活動を再開。著書に「スーパー・スターがメディアから消える日----米国で見たIT革命の真実とは」(PHP研究所,2000年)がある。
◎関連記事
■「安全なオンライン・ショッピングのための10カ条」--米国のセキュリティ・ベンダーがアドバイス
■「ホリデイ・シーズンは電子メールに要注意」,セキュリティ・ベンダーが防衛のための8カ条を指南
■【TechWeb特約】米マイクロソフトの社内ネットへの不正アクセスを憂慮する
■トラブルは当然? Microsoftサイトのダウンに見るWeb管理の実態
■「ずさんなパスワード管理が不正侵入を招く」,警察庁の不正アクセス事件担当者が警告
■ウイルスやクラッカーによる世界の被害総額は1兆6000億ドル
■ネット・ビジネスにおけるセキュリティ確保に「4箇条」
■サイバー犯罪への関心は高いが,個人でのファイアウォール導入はまだまだ
