機密情報の漏えいは内部犯行だけではない!
個人情報の流出というと、内部の人間が悪事に手を染めてしまったという印象が強い。一方で、コンピュータに不正侵入されたことによって管理されている情報が漏えいしてしまったケースもある。加えて、明らかな設定ミスによって顧客情報を公開してしまったという事例も存在する。
まずは、後者の事例から紹介しよう。2004年5月3日、三菱マテリアルの純銀粘土のネット販売で購入した顧客の個人情報が流出した。漏えいしてしまった個人情報は、氏名、住所、連絡先、注文内容だという。これは、ディレクトリの内容が閲覧できてしまうという設定ミスによって発生したものだ。その結果、外部から自由に顧客情報入りのファイルが閲覧できる状態となってしまった。
この事例は、インターネットの掲示板「2ちゃんねる」に情報が書き込まれたことが発端となった。インターネットのコミュニティでは、情報がリアルタイムに、かつ、あっという間に広まってしまう。そのうえ、検索エンジンを使用することでも、このような設定ミスを見つけ出すことができてしまう。企業のシステム担当者は、そういう前提でWebサイトを構築しなければならないのだ。
次の事例は、実際に侵入があったことが判明したものだ。2004年3月4日、JALグループの人材派遣会社であるJALビジネスは、同社のWebサイトに外部からの不正侵入があったことを明らかにし、一時閉鎖した。このWebサイトには、派遣および職業紹介のための申し込み情報が保存されていた。同年4月12日に同社が公開した調査結果によれば、専門家を交えて行った調査においては、個人情報の流出について結論を出すことができなかったとしている。加えて、警察当局から「捜査の結果、現時点では、個人情報流出の有無についての断定は困難である」といった連絡を受けたという。
内部犯行同様、外部からの侵入によって不正に個人情報が取得されてしまったことを明確にすることは難しい。なぜなら、「不正侵入が起こってしまった後」であるからだ。通常、不正に侵入してくる輩は、その足跡を消そうとする。何を行ったのか、どこから侵入してきたのかといった情報はサーバに残ることがあるが、それを消してしまうのである。手がかりが消し去られてしまうのであれば、調査は壁に突き当たることになるのだ。
筆者の所属するラックのコンピュータセキュリティ研究所では、いくつかのプロジェクトを設けている。そのうちの1つが「ハニーポット」と呼ばれる「おとりシステム」の開発、研究、運用である。おとりシステムといわれてもあまりピンとこない人は多いだろう。わかりやすく説明すると、ハニーポットとは、侵入されてしまうことを前提にインターネット上にWebサイトを構築し、侵入者やウイルスの動向を監視するシステムのことである。
このシステムを我々は独自に設計し、構築した。システムの名は「SOMBRIA(ソンブリア)」。ちなみに、このシステムでは侵入に成功したとしても、外部への攻撃はできないようになっている。このため、このシステムを踏み台として利用されることはない。
これまで、多くの情報を独自に入手することができたのは、このシステムのおかげだ。ここでは、その情報の事例を1つ紹介する。
2003年の11月、おとりシステムへOpenSSLの脆弱性を利用して侵入した攻撃者がいた。この攻撃者は、侵入に成功するとすぐに、Linuxカーネルの問題を利用してroot権限を奪取し、おとりシステムの最高権限を入手した。そして自分の足跡を削除した後に、リスト1のようなキー入力を行ったのだった。
リスト1●侵入者が行ったキー入力
何の変哲もない文字列のように見えるかもしれない。だが、実際には、このキー入力は、システム上のすべてのファイルから「visa」や「mastercard」「amex」といった文字列を含むファイルを検索するというコマンドが入力されたことを示すのである。つまり、この攻撃者は侵入に成功したシステムからクレジットカード番号を探し出そうとしていたのである。
実際には、我々のシステムにはそのような個人情報は一切保存されていないため、この攻撃者はクレジットカード番号の検出には至らなかった。ただし、同様の手口でほかのWebサイトへの侵入を試みていることは容易に想像ができる。
このように、外部侵入による個人情報漏えいのシナリオは、絵空事ではない。「リアル」な脅威であるのだ。
|