目次 • • • • • • • • セキュリティ ウイルス 不正アクセス 個人情報の保護 名誉毀損および侮辱行為 猥褻物の扱いに学ぶこと セキュリティを高めるために 暗号 セキュリティ • コンピューター犯罪の種類 – サラミ型、トロイの木馬、ウイルス • コンピューター犯罪の特徴 – 匿名性、不特定多数性、時間的地理的無限 性、場所の不要性、無痕跡性 – 薬物売買、猥褻物販売および陳列、海賊版ソ フトの販売、電子商取引での詐欺、ネットワー クゲーム賭博、名誉毀損および侮辱行為 セキュリティ • コンピューター犯罪の変化 – 初期は高度な技術を持つ人またはそれに携 わる人 – 高度化、専門化 – 大衆化 • マーケットの拡大 • インターネットの普及 • 犯罪用プログラム(侵入ロボット)の配布、 簡単な利用 ウイルス • 本物のウイルスと似た挙動を示す – 感染、潜伏、発病 • ワクチンソフト – ウイルスの感染を防ぐ – ウイルスの除染を行う – 既知のウイルスの除染しかできない • ウイルス情報のアップデート – 未知のウイルスの感染を防ぐと使いにくくなる – 除染しきれない場合は諦めて再インストール • バックアップをとっておく 不正アクセス • 法整備の状況 – 刑法(1987年) • 電磁的記録の不正作出、供用、毀棄 • 電子計算機損壊等業務妨害 • 電子計算機使用詐欺 – 不正アクセス防止法(2000年) • 情報の不正入手に一定の歯止め – 未整備なもの • 不正に流出した情報の所持には規制がない • 流出した情報を買う側の責任は問えない状況 不正アクセス • 不正アクセスとは – 情報システムの所有者や管理者から許可され ていないのに、または禁止されているのに、そ のシステムやデータに無権限でアクセスする 行為 • システムに悪い影響を与えなくても、単に侵入した だけでも犯罪となる • 侵入を試みても成功しなければ不正アクセスとは ならないと解釈されるが、実際には悪い影響(禁止 されている行為による負荷)をかけずには試みるこ ともできないので、試みるだけでも不正アクセスと なる 不正アクセス • 不正アクセス防止法による規制 – 不正アクセスに対する罰則 • 1年以下の懲役または50万円以下の罰金 – 不正アクセスを助長する行為に対する罰則 • 30万円以下の罰金 – 他人のIDやパスワードを漏らしてはいけない – 自分のIDをみだりに他人に貸してはいけない – システム管理者の防衛策を講ずる努力義務 – 利用ログの採取、保存義務はないが、もし 取っていれば任意提出を求められ、または押 収される可能性がある – 記憶装置の押収の可能性がある 不正アクセス • 盗聴法 – 重大な犯罪の調査に関して盗聴ができる – 計算機やネットワーク上の通信に関しても対 象となる • 令状が必要 • 計算機の責任者の立ち会いが必要 • 暗号通信してれば実効はない 不正アクセス • 不正アクセスの種類 – 直接的侵入 • パスワードを破ったり、セキュリティホールを突いた りして直接telnet等で侵入する – 踏台攻撃 • 侵入先を踏台にして更に別のサイトを攻撃する – 利用不能攻撃(DoS) • 極端な負荷を与える等して通常のサービスができ なくすること 不正アクセス • 国立大学の実例 – O大学など多くの大学のwwwサーバーが侵入され ホームページが書き換えられた • 不正アクセス、データの改竄 • 犯人不明 • 手口 – wwwサーバーのソフトのセキュリティホールが利用さ れユーザーのパスワードファイルが流出 – パスワードを破り一般ユーザーと区別がつかない状 況で侵入 – ネットワークを盗聴して他のパスワードを入手 – 更に他の計算機に侵入して同じ事を繰り返す 不正アクセス • 国立大学の実例 – K大学の学生が学内の教育用計算機で利用 できるニュースグループを用いて人気商品 (靴)を法外な値段で売った • 計算機の目的外使用 • 退学処分 – K大学の助手が大学の自分のホームページ にチャイルドポルノを掲示し、希望者に有料で 配布していた • 計算機の目的外使用、児童福祉法違反 • 懲戒免職、起訴公判中 不正アクセス • 国立大学の実例 – K大学の計算機が踏台にされ官公庁への不 正アクセスを幇助した • お咎めなし – T大学の計算機センターが踏台にされ、多くの プロバイダへのアクセスを幇助した • 強制捜査によりHDが押収された – A大学の職員が販売目的のメイルを大量に発 信しメイルサーバーをダウンさせた • 目的外使用、業務妨害 • 被害届 不正アクセス • 国立大学の実例 – 某観測所の職員が誹謗中傷のメイルを出し、 受けた人から調査、謝罪、慰謝料の要求を受 けた • 内部調査を行い、踏台であったことを証明 • 責任者の謝罪メイルにより納得、慰謝料は 取下げ – O大学の入試発表のデータを改竄して不合格 者を合格にすりかえた • 担当者が発表直前に元データと比較し改 竄が発覚 • 犯人が不合格(もともとか) 不正アクセス • 大学での問題は? – とにかくデータが重要 • バックアップをとっておく – サービスの停止は困る • でも公的サービス機関や民間業者と異なり、 直接社会に悪影響を与える訳ではない • 大きな問題を起こしてしまったら運用の継 続は絶望的 • でも自分たちが困るだけ – 踏台にされたら • 管理責任を問われ、落度があれば刑事責 任や民事での損害賠償責任が発生する 不正アクセス • 大学での問題は? – セキュリティ関係の対策の遅れ • 緊急時の担当者や連絡体制の不備 • 責任体制が不明確 – 意図しない責任が降ってくる? • 法律の専門家の不在 • 賠償の財源 • 相手は国内だけじゃないぞ 個人情報の保護 • 個人情報保護法上は当センターのアカウント情報は保護 の対象になっていない • ユーザー登録の際に必要と思われる保護対象の情報 – 名前、身分、電話番号、電子メイルアドレス • ユーザー登録の住所や連絡先は「研究上」のもの であり、特別な場合を除き自宅のものではありませ ん • 運用上、法の精神に基づき保護している – 原則非開示 – 法令による場合またはセンター長の判断による場合 に開示できる • ユーザーの協力も必要 名誉毀損および侮辱行為 • ニュースグループやホームページは「公」の場所 – 公然と毀損または侮辱の条件を満たす – パソコン通信のフォーラムは条件を満たすが、 メイリングリストは運用の形態や規模により満 たしたり満たさなかったりする – メイルを特定の個人に送る場合は満たさない が、ばらまくと満たす – 管理者の責任がある • 常時監視の義務は判例上ないと判断され る場合が多いが、知った時点で適切な処置 を行う義務がある 猥褻物の扱いに学ぶこと • 猥褻画像をホームページで公開すると猥褻物陳列罪に なる – ホームページ等が「公」の場所であること • モザイク画像に加工しておけば同罪にあたらないが、 • モザイクを解除するソフトのダウンロード先のurlを併記し ておくと同罪にあたるとされ、さらに解除ソフトのホーム ページの開設者は同罪幇助となる(異論も多い) – 直接犯罪を犯したつもりがなくても容易にできるように してあれば犯罪が成立(ネットワーク上の特徴) • サーバーが外国にある場合は国内法で処理できない – サーバーの場所に注意 セキュリティを高めるために • 実社会でいけないことはネットワーク上(サイバースペー ス)でもいけない – ネットワークの利便性の高さのため、いけないことが (意図せずに)行える場合がある – ネットワークでしか利用できない新しいものに対しての 常識が欠落しがち • ネットワークの危険性を理解して行動する – むやみなデータの公開を避ける – 入手したデータに気を付ける – メイルアドレス、住所、電話番号、その他の個人情報 • セキュリティを保つ道具を使う – ワクチンソフト – 暗号化ツール 暗号 • 暗号は必須の技術になるだろう – 個人情報、機密情報の保護はネットワーク社 会では今までの方法では不可能 • 暗号は気楽な技術になるだろう – 葉書ではなく封書のようなもの • 知らずに安全にしてくれるもの – 通信に個人の特定が必要でないもの – wwwの暗号化ページ – 計算機間暗号通信 • 知って使う必要があるもの – 通信に個人の特定が必要なもの – メイル
© Copyright 2024 ExpyDoc
