2000年に入って1月24日の日本の科学技術庁の開設しているWebPageの内容改竄を皮切りに日本政府関連、省庁、その外郭団体に世界各国からのクラッカー(マスコミの報道では「ハッカー」と「クラッカー」の区別なく単に「ハッカー」と称されてきたが、彼らの行為はクラッキングであり、彼らは「クラッカー」である。マスコミの認識の甘さ、理解の浅さが茨城県東海村臨界事故報道に続き露呈してしまった。マスコミはこんな浅はかでよいのか?)の攻撃をたて続けに受けてきたことを報じられた。アンダーグラウンドでは日本の省庁サイトはセキュリティが甘い、ということで世界的に有名で、具体的にサーバのアドレスリストが出回っているらしい。
そもそも日本人自体がセキュリティに対する意識が低く、2000年1月21日に開催された情報処理学会のセキュリティについての連続セミナーは会場がどう考えても300人は入る場所にもかかわらず、50人もいなかった。そこではセキュリティ先進国アメリカ合衆国(以下:米国)の様子や日本の大学の実状、システムインテグレータとしてセキュリティをどう考えて行くのか、インターネットサービスプロバイダ(以下単にプロバイダ)の対応等々幅広い内容であったが、一貫して「セキュリティにはポリシーが必要である」という姿勢が取られていた。いくらセキュリティを強化したからといっても、完全に不正侵入は防ぐことができない。セキュリティ技術とそれを破る技術は常にいたちごっこであり、システムは人間が考え出すものであるから、考慮漏れ、チェック漏れ等々「穴」は必ず存在する。つまり、コンピュータが1台そこにあれば必ず不正侵入される可能性がある、と考える方が現実的なのである。
だいたい、今回の改竄事件について「ホームページは情報公開事業の一環であって、本来の業務に影響がないのでセキュリティについては注力していなかった」(科学技術庁の会見より)というのがそもそも間違っている。何のデータ、マシンを守って、守るべきで、どれに注力したらよいのか、というポリシーが全くない。そして、外部からの不正アクセスを防ぐファイアウォール(「電子的な防護壁」という役目を負うコンピュータ装置)を置いていなかった、管理者用のパスワードが設定されていなかった、というのはクラッカーに乗っ取られて掲示されてしまった「アジアの恥」そのものである(そんな状態では「世界のクラッカーの皆さん、どうぞご自由に壊していってください」と暗に言っているようなものだ)。こういう官僚の方々に科学がどうのこうのと言われたくはない、私は個人的に。セキュリティポリシーが必要だ、ということを学んだ高い授業料だと思ってくれれば、と思う。
前出の「アジアの恥」であるが、掲示されてしまったメッセージは中国語と英語で書かれており、私は中国語は全くわからないので(漢字を見れば多少はわかるだろうと思ったのだが、私のPCのフォントの関係で表示すらもできなかった)、英語の部分を全文引用したい。
Japanese? As all peoples know, It's a folk which has no courageface to the truth of history. It's the disgrace of Asian!
r00t 1 26 Y2K By ch1n4
確かに中国では以前より南京大虐殺を否定するコメントを発しては辞任する日本の閣僚に対して強く抗議してきた。北京市のサイトには2008年のオリンピック開催都市に大阪市が立候補したことについて「南京大虐殺を認めない見解の箇所ではオリンピックを開催すべきではない」という旨の意見が掲載されてたらしい(これを中傷と見るか抗議と見るか意見の分かれるところではある)。
ここで断りを入れたいのだが、日本人全員が南京大虐殺を認めていないわけではない。認めたくないのは自由民主党や自由党の(軍属に近い)保守派議員たちと右翼だけだと思う。掲示された内容を見る限り、中国語の部分は「日本政府は」という断りを入れている。ある意味日本の現状を理解している人物(あるいは日本人にある程度配慮している人物)といえよう。ただ、英語の部分は「全ての日本人」と受け取られかねないものであるので理解に苦しむが。
日本人の大半は、南京大虐殺は日中戦争中に日本軍が起こした歴史的事実として認めている(いくら戦時中の特殊事情があったとはいえ、人間としてのまっとうな道徳を持つものなら絶対に行ってはいけなかった行為のひとつだ)。少なくとも私は事実として認めてはいるが、謝罪、補償ともなると私個人の責任の範囲をこえるのでどうすることもできない、ということだ。沖縄やコソボで米軍兵士が少女暴行事件を起こした事実が明らかになっているが、米国人全員にその責任があるわけではない、というのと似たようなものだと思う。私個人の意見としては大阪市は公的立場を持つものとして、南京大虐殺を認めないような集団は「カルト」としてオウム真理教(現:アレフ)と同じように規制すべきではなかったのか、と思う(まぁ、規制しようと思っても「言論の自由」を盾にしてくるとは思うが、こういうことを唱える者の多くは何が自由で何が自由でないのかを理解していない場合が多い)。
私としては改竄された内容が「抗議」でなくてもっと日本政府が「自虐的」と受け取れるような内容の方がインパクトが大きかったのでは、と思う(かなり不謹慎であるが)。
さて、かなり横道にそれてしまったが、ここまで書いてきて今回のタイトル「悪戯と力の誇示とテロの境界」とどう関係があるのか疑問が出てくるかもしれない。実はここで取り上げたWebPageの改竄は悪戯なのか、クラッカーとしての腕を見せたかったのか、テロなのかかなり曖昧だ、ということを示す例なのだ。
まずは悪戯だった、ということで推察を加えてみよう。悪戯は「試しにやってみた」、「興味を引きたかった」という性格が強いのではないか。とすれば、掲示する内容にはメッセージ性の強いものではなく、意味のないもの、他人が不快になるもの、見た人の気を引くものをあえて選択するのではないか。そう考えると悪戯であるという可能性は低くなる(1月24日にも同じく科学技術庁のWebPageが勝手にポルノサイトにリンクされていた、という改竄が起こっているが、こっちは明らかに悪戯目的である)。
次にクラッカーとしての腕を見せたかった、ということで推察を加えてみよう。クラッカーならセキュリティの高いところを乗り越えてこそ腕があるというものだ。しかし、今回はこれに該当しない。なぜなら科学技術庁のサイトはファイアウォールもない、パスワード管理もしていない、ほとんど何もしていないに等しい易々と侵入できる、実際に実行してしまうと犯罪なのだが言わば「やろうと思えば誰にでもできる」サイトだったからだ。踏み台を数段経て侵入していることからかなりの腕があることは確かだが、今のご時世、それだけでは力の誇示ではなくなっている。ということでこの可能性も低い。
そしてテロ、この仮説の場合、「恐怖心」を誰が抱くのか、が鍵となる。実際今回のクラッキングによって「セキュリティは片手間にはできないんだぞ」という意識を得ることはできた(プロバイダもセキュリティの高いところと低いところがあり千差万別であり、ひどいところでは通信記録すら取っていないところもある)と思うが、これによって情報が混乱したり、機密情報が漏洩したり、一般市民の生活が脅かされる事態には至っていない(今回各プロバイダのログが入ったディスクが根こそぎ警察庁に押収されたが、プロバイダにとって見れば「迷惑」だ)。と、いうことは一般市民は「恐怖心」を抱いていない(まぁ、誰かが守ってくれるだろう、との常に他者依存体質である我々にはそういう意味での「恐怖心」というのはわいてこないと思うが)。
以上のことを考えると、今回(1月26日)の科学技術庁のWebPage改竄は悪戯、誇示、テロ、そのどれかに当てはまる、というわけではなさそうだ。しかもそれぞれの境界は明確に線引きできるものではなくかなり曖昧であり、それぞれだとしても目的が不明瞭である。マスコミではこれは「サイバーテロ」である、ということで一部騒ぎを起こしているが、こんなレベルではテロとはいえない。サイバーテロに関しては、1月29日(日)放送のNHKスペシャル「世紀を越えて」『クライシス・闇の侵入者』に軽い概要が、サイバーテロが引き起こす世界観として(多少記述が古くなってしまったが)1989年に描かれた士郎正宗氏の近未来SFマンガ「攻殻機動隊」(講談社)ISBN 4-06-313248-X (「攻殻機動隊」は映画化されており(1995年、監督:押井守)、現在ビデオ(バンダイビジュアル)が入手可能)を観るとわかりやすいと思う。
また、一部では2月13日より施行されるいわゆる「不正アクセス防止法」(不正アクセス行為の禁止等に関する法律)に対する駆け込み改竄だ、という認識があるようだが、今回の件は確かに「不正アクセス防止法」に抵触するが、それがなくても既存の法律でも罰することができる。技術の進歩に法律が追いついていないことだけは確かであるが(しかし、この「不正アクセス防止法」、最高が一年以下の懲役、というのが軽すぎると思う。もっと厳罰を持って対応すべきと思うのだが。全文は警察庁のサイトを参照)。日本でやっと不正なアクセスを罰する法律ができたところで、世界的に見ればセキュリティ後進国である日本はいかようにも攻撃できることは想像に難くない。私はこの「不正アクセス防止法」自体とは直接関係ないと考えている。
悪戯と誇示とテロの境界が曖昧だ、ということは悪戯がテロとして判断される場合もありうる、ということだ。人間、小技や知恵を覚えてくると何か悪戯をしたくなったり、自分の力を誇示したくなったりするものだが、それはやってはいけないこと、と教えることを怠ってはならない(「情報教育」としてコンピュータの使い方、は学校で教えるが、セキュリティ、不正アクセスについては全く教えていない。私はやはりこの辺のことも同時に教えるべきであると思う)。
また、ネット犯罪先進国である米国では「DoS」(Denial of Service)攻撃(アタック)と呼ばれるサーバに対する攻撃が2月7日(現地時間)から本格化、大規模化している。サーバが予想もしていないような大量の無意味なデータをたくさんのコンピュータから協調的に送りつける、たくさんのコンピュータから協調的にサービスの要求をするといったのが手口で、サーバはこれらのデータの処理がうまく行えずにサービスを停止してしまう。正常なサービスを妨害するのが目的だ。前出のファイアウォールでは「DoS」攻撃は防ぐことはある程度は可能だが完全ではない。ひとつひとつのメッセージを「DoS」かどうかの判断を行う判定が必要だ。そして発信源の数が増えれば増えるほどこの攻撃を防ぐのは困難だ。しかも「DoS」攻撃の手口は巧妙になってきている。
いくらクラッカーのネットワークがアンダーグラウンドで活発であろうとも、「Yahoo!」や「eBay」、「CNN」といった今回攻撃された大規模サイトを停止させるだけのコンピュータを彼らの所有物だけで動員させることはできないだろう。なのにこれらのサイトは一時サービス停止に追い込まれた。これは、彼らの踏み台にされてしまっているコンピュータ(多分セキュリティについてあまり考えていない一般家庭に設置されているPC)をリモートコントロールして協調させているものと思われる。実際そのようなアンダーグラウンドなツールが出回っているらしい(クラッカーチームにとってはそれだけ大量のPC(PCに限らずプロバイダのサーバまでも)を協調動員できることは力の誇示になる)。
米国ではインターネットに常時接続が当たり前になっており、このような踏み台にされることは容易に予想されていた。これはちょっとハッキングに興味のある子供がハックだけでは飽き足らず悪戯目的でアタック(実際、最近逮捕されるクラッカーは少年であることが多い)した、という感(悪戯的要素)もあるが、アタッカーとしての力を示す要素も含みつつ、テロである可能性も高い。ネット化を進める米国にとってもこれらアタッカーは迷惑な存在であるので(利用者の社会不安につながる)、FBIも捜査に乗り出している。攻撃方法は以前より明らかになっており、単純であるが、内容改竄よりも悪質であると私は思う(悪意のない人に多大な迷惑が降りかかるので)。
犯罪を起こすか起こさないかは罰則があるかないかではなく、個人のモラルであり、(考えにくいが)全員が全員高いモラルをもてば犯罪は起こらないはずだ。それは他者依存から生まれるものではなく、自分の責任において、が必要であると思う。
話はそれるが、例えば、たまたま私は先日(土曜日)、ある銀行の自動現金預け払い機(ATM)のコーナーである方のキャッシュカードを拾った。私は迷わず銀行のATMコールセンターに連絡し、該当するキャッシュカードを利用できないようにする手続きを取った(ATMにキャッシュカードを挿入し特定の操作をするだけ)。仮に私がこのキャッシュカードをそのままにして本人が取りに来る、ということも考えられ、その場合、私が取った行動はその本人にとっては迷惑なことであるが、不正使用を防ぐためには拾得物として警察に預けるよりもこの方法が安全であり、手間や時間がかからない。私がこの拾ったキャッシュカードの磁気を読んで不正に現金を引き出すことは(可能、不可能、というレベルでは)可能であり(本当に実行したらいろんな罪に問われる)、さらに読み出した磁気情報をインターネット上に流したとしたら立派なネット犯罪である。それは私でなくてもある意味誰でも実行できる。
ネット犯罪は言ってみれば万引きと同じくらい手軽に行うことができる。万引きは立派な犯罪、行ってはいけないものと皆が皆口々に言うように、ネット犯罪もまた行ってはいけないもの、という意識をもたなければならない。
セキュリティ対策は不毛な作業であり、最終到達点はない。「穴」は必ず存在する。悪戯も誇示もテロも結局は自己満足しか後には残らない。「性善説」は破綻しているし、「性悪説」は不毛となる。ポリシーとモラルと信頼、この3つを欠かしてはならない。前出の情報処理学会連続セミナーにおいて、奈良先端科学技術大学院大学の山口英氏は「もっと大人になろうよ」、「クラッキングは格好悪い」と言っていた。ハッキング行為もクラッキング行為も広い目で見れば「子供の悪戯」とも受け取れる(アタックによる被害は甚大だが)。今後の「ネットライフスタイル」を確立するためにも、社会に生きる一員としてその意識をもたねばならない、ということなのだろう。
(2000. 2.11.)