Question ある電子商取引サイト(ECサイト)を利用しようと考えています。ただ,このECサイトのセキュリティ対策が気になります。対策が甘ければ,利用するのを止めようと思います。ユーザの一人として,このECサイトをポート・スキャンし,きちんとセキュリティ対策しているかを調べても問題はないでしょうか。
Answer ポート・スキャンは不正アクセスの予備的な行為と考えられ,不正アクセス禁止法違反には当たらないのが普通。しかし,攻撃の前兆とされる可能性が高く,トラブルになりやすい。このため,このような行為は控えるべきである。
ポート・スキャンとは,アクセスするホスト上で動いているサービスやサーバ・アプリケーションの種類を特定する行為である。ホスト上で動くサービスには,ポート番号という識別子が割り当てられており,ポート・スキャンはこのポート番号に一つずつアクセスしてどのポートが開いているかを調べる。ポートの開閉により,ホスト上のサービスがわかり,さらに詳しくスキャンすることでそのサービスを提供するために使っているプログラムの種類を特定できる。加えて,プログラムの設定状況を把握することも可能である。一般に,攻撃者はポート・スキャンで情報収集してから,不正侵入を試みる。
このため,ポート・スキャンされた側は自分のシステムが狙われていると感じる。実際,ポート・スキャンに敏感なシステム管理者は多い。
ポート・スキャンはシステムに不正侵入する行為ではなく,侵入するための予備的な行為と考えられる。法に触れるかどうかに関係なく,このような誤解を与える行為は慎むべきだ。ポート・スキャンが,大きなトラブルを引き起こす可能性もある。
不正アクセス禁止法とは
他のコンピュータ・システムに不正侵入するだけでなく,データを改ざんしたり消去すれば,電算機損壊等業務妨害罪が適用され処罰される。例えば,ホーム・ページの内容を書き換えるとデータを破壊したとして罰せられる。しかし,電算機損壊等業務妨害罪はコンピュータ・システムやデータを破壊するなどの行為を伴わない場合には適用されない。
そこで,電算機損壊等業務妨害罪に当たらないような単なる侵入行為に対処できるように,2000年2月に「不正アクセス行為の禁止などに関する法律」(不正アクセス禁止法)が施行された注7)。
不正アクセス禁止法では,(1)他人のIDやパスワードを無断で使用したり,セキュリティ・ホールを突いて,ネット経由で他人のコンピュータ・システム内に侵入する行為を「不正アクセス行為」と位置付けて処罰の対象としており(1年以下の懲役または50万円以下の罰金),(2)さらに他人のIDやパスワードを無断で誰かに教えるなどで不正アクセスを助長する行為も処罰の対象としている(30万円以下の罰金)。(2)の場合,他人のIDやパスワードを他人に教えたことにより金銭的な利益を得たかどうかは関係ない。
不正アクセス禁止法により摘発された例は,すでに60件を超える。多くは,他人のIDとパスワードを使って他人になりすましてプロバイダに接続したり,嫌がらせや攻撃手法を試す目的で他人のIDやパスワードを盗む,といったものである。
不正アクセスは急激に増えており,警察庁によると平成13年中に警察庁に報告のあった不正アクセス件数は平成12年中に比べ約12倍の1253件であった。不正アクセス関連行為の関連団体である,情報処理振興事業協会(IPA)には550件,コンピュータ緊急対応センタ(JPCERT/CC)には2853件の報告があった。
今後,不正アクセスに関連する行為に対しては,さらに厳しい目が注がれると予測される。軽率な行動は慎むべきだ。
