エンタープライズ:ニュース 2003/12/16 18:16:00 更新


住基ネットのセキュリティは「平均以下」 〜長野県の報告

長野県は12月16日、住民基本台帳ネットワークシステム(住基ネット)の安全性調査の結果を公開した。報告書では、「総合的に言って、セキュリティレベルは平均以下であり、様々な情報が盗まれたり改ざんされるおそれがある」との厳しい文面が並んだ。

 長野県は12月16日、住民基本台帳ネットワークシステム(住基ネット)の安全性調査の結果を公開した。報告書では、「総合的に言って、セキュリティレベルは平均以下であり、様々な情報が盗まれたり改ざんされるおそれがある」との厳しい文面が並んだ。

 調査対象となったのは、阿智村、下諏訪町、波田町。これら市町村の庁内LANを通じた、住基ネットシステムへの不正アクセス、および同システムからの情報漏洩の可能性の有無を確認した。なお、調査終了後から発表までの間に、阿智村では緊急の安全措置を実施したという。

 調査は、長野県が主体となって、高度な専門知識を持つ補助者が付く形で行われた。また、この調査内容を再検討する第三者として、ネオテニー社長で、総務省の住基ネット調査委員も兼ねる伊藤穣一氏に評価を依頼した。

CSサーバの管理者権限を取得

 住基ネットでは、庁内LANと住基ネットのファイアウォールを結ぶゲートウェイとして機能するCS(コミュニケーションサーバー)を用意している。これは「指定情報処理機関が24時間監視している」(総務省の井上市町村課長)もの。

 しかし、長野県が主体となって行った調査では、11月25日にCSアクセス端末、およびCSサーバの管理者権限を取得。また同日、CS―庁内LAN間のファイアウォールも通過方法を発見した。

 さらに、ファイアウォールを通過した際にも、地方自治情報センターから通報はなかった。つまり、CSサーバへのアクセスを検知できていなかった。

 もっとも、これらの侵入テストはいずれも自治体オフィスから行われたもの。インターネット経由での侵入は成功していない。

 ただ、遠距離のオフィス用としてユーザーが地方自治体のネットワークに接続できる、ダイアルアップ・アカウントが用意されていた。報告書では、「アカウントが何者かにより支配下におかれた場合、ネットワークにダイアルインすることは可能」としている。

 なお、調査は自治体オフィス内の端末に限定したものだったため、総務省が管理する住基ネットへのアタックは行わなかった。

個人情報がそのままアクセス可能に

 第三者として調査結果の評価にあたった伊藤穣一氏は、「住基ネットとは無関係だが、センシティブな個人情報を含んだ多数のファイルが、保護がないまま地方自治体ネットワークの上にアクセス可能な状態にあった」と指摘する。

 ある自治体では、庁舎以外で直接ネットワークに接続していたため、この端末に自分のPCを接続することができれば「『ハッカー技能』を持たない何者でも、これらのマシンの上に『共有されて』いるセンシティブなファイルをダウンロードすることができる」。

 同氏はまた、CSサーバなどに侵入することが容易だった理由として「適切にセキュリティパッチが更新されていない」とも。サーバ上で走っているソフトウェアなども、バッファ・オーバーフローの脆弱性が含まれた状態で書かれていたという。「コンピュータ・エンジニアならば、(中略)ツールを使ってこれらの脆弱性のどれでも自分の制御下に置くことが可能」。

 まとめとしては、調査対象だったネットワークのセキュリティレベルは“平均以下”という。同氏は、市民と彼らの情報を守るべき担当者が、際立って危険な状態にさらされていると結論づけた。

関連記事
▼住基ネットの侵入テスト、「まだ公式発表はなし」と長野県
▼総務省による住基ネット侵入テスト結果に残る検討の余地
▼世田谷区が所内のウイルス感染をうけ、住基ネット接続を停止
▼杉並区、住基ネットの賛否を問うネット投票

[杉浦正武,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -