目次 • • • • • • • • セキュリティ ウイルス 不正アクセス 個人情報の保護 名誉毀損および侮辱行為 猥褻物の扱いに学ぶこと セキュリティを高めるために 暗号 ©外川@大阪大学核物理研究センター この資料に関する全ての著作権を全ての人に許諾します。 セキュリティ • コンピューター犯罪の種類 – 特徴的なもの • トロイの木馬、ウイルス – 既にあるようなものが計算機やネットワーク上で行な われたに過ぎないものが多い – 量的問題と容易性 • コンピューター犯罪の特徴 – 匿名性、不特定多数性、時間的地理的無限性、場所 の不要性、無痕跡性 – 薬物売買、猥褻物販売および陳列、海賊版ソフトの販 売、電子商取引での詐欺、ネットワークゲーム賭博、 名誉毀損および侮辱行為 セキュリティ • コンピューター犯罪の変化 – 初期は高度な技術を持つ人またはそれに携 わる人 – 高度化、専門化 – 大衆化 • マーケットの拡大 • インターネットの普及 • 犯罪用プログラム(侵入ロボット、ウイルス 作成キット)の配布、簡単な利用 ウイルス • 本物のウイルスと似た挙動を示す – 感染、潜伏、発病 • ワクチンソフト – ウイルスの感染を防ぐ – ウイルスの除染を行う – 既知のウイルスの除染しかできない • ウイルス情報のアップデート – 未知のウイルスの感染を防ぐと使いにくくなる – 除染しきれない場合は諦めて再インストール • バックアップをとっておく 不正アクセス • 法整備の状況 – 刑法(1987年) • 電磁的記録の不正作出、供用、毀棄 • 電子計算機損壊等業務妨害 • 電子計算機使用詐欺 – 不正アクセス防止法(2000年) • 情報の不正入手に一定の歯止め – プロバイダ責任制限法(2002年) – 未整備なもの • 不正に流出した情報の所持には規制がない • 流出した情報を買う側の責任は問えない状況 • ODINS運用管理規程の制定(2001年) 不正アクセス • 不正アクセスとは – 情報システムの所有者や管理者から許可され ていないのに、または禁止されているのに、そ のシステムやデータに無権限でアクセスする 行為 • システムに悪い影響を与えなくても、単に侵入した だけでも犯罪となる • 侵入を試みても成功しなければ不正アクセスとは ならないと解釈されるが、実際には悪い影響(禁止 されている行為による負荷)をかけずには試みるこ ともできないので、試みるだけでも不正アクセスと なる 不正アクセス • 不正アクセス防止法による規制 – 不正アクセスに対する罰則 • 1年以下の懲役または50万円以下の罰金 – 不正アクセスを助長する行為に対する罰則 • 30万円以下の罰金 – 他人のIDやパスワードを漏らしてはいけない – 自分のIDをみだりに他人に貸してはいけない – システム管理者の防衛策を講ずる努力義務 – 利用ログの採取、保存義務はないが、もし 取っていれば任意提出を求められ、または押 収される可能性がある – 記憶装置の押収の可能性がある 不正アクセス • 盗聴法 – 重大な犯罪の調査に関して盗聴ができる – 計算機やネットワーク上の通信に関しても対 象となる • 令状が必要 • 計算機の責任者の立ち会いが必要 • 暗号通信してれば実効はない 不正アクセス • プロバイダ責任制限法 – インターネット上で問題が発生した場合、プロ バイダは加害者の行為を「幇助」しているとい う面がある。 – 被害者からは加害者の情報が隠されているた めに、直接加害者と接触できない上、加害者 の情報を得るには法的手段による必要があっ た。(プロバイダには電気通信事業法上の守 秘義務があり加害者情報を提示できなかっ た。) – そのままではプロバイダに過剰な負担がかか りネットワーク社会の発展に悪影響が。 不正アクセス • プロバイダ責任制限法 – プロバイダに一定の義務を課して、代わりに 責任を限定する。 – 加害者情報の被害者への通知が可能に • 当事者間での解決を促す。 – 加害者の行為の制限をしたり、しなかったりし た場合の賠償の免責 – 大学も第3者にサービスをしていれば対象と なる • 学生は第3者??? 不正アクセス • 不正アクセスの種類 – 直接的侵入 • パスワードを破ったり、セキュリティホールを突いた りして直接telnet, ssh等で侵入する – 踏台攻撃 • 侵入先を踏台にして更に別のサイトを攻撃する – 利用不能攻撃(DoS、DDoS) • 極端な負荷を与える等して通常のサービスができ なくすること – これらの組み合わせで挙動する 不正アクセス • 国立大学の実例 – O大学など多くの大学のwwwサーバーが侵入され ホームページが書き換えられた • 不正アクセス、データの改竄 • 犯人不明 • 手口 – wwwサーバーのソフトのセキュリティホールが利用さ れユーザーのパスワードファイルが流出 – パスワードを破り一般ユーザーと区別がつかない状 況で侵入 – ネットワークを盗聴して他のパスワードを入手 – 更に他の計算機に侵入して同じ事を繰り返す 不正アクセス • 国立大学の実例 – O大学の端末から、とあるBBSに誹謗中傷の書き込 みが繰り返され、BBSの管理者から大学に対策の要 請があった。要請の中には適切な処分にまで言及さ れていた。 – 名誉毀損または侮辱罪、計算機の目的外使用 – 学内調査により犯人を特定。 – 始末書の提出。アカウント停止処分。 不正アクセス • 国立大学の実例 – K大学の学生が学内の教育用計算機で利用できる ニュースグループを用いて人気商品(靴)を法外な値 段で売った • 計算機の目的外使用 • 退学処分 – K大学の助手が大学の自分のホームページにチャイ ルドポルノを掲示し、希望者に有料で配布していた • 計算機の目的外使用、児童福祉法違反 • 懲戒免職 不正アクセス • 国立大学の実例 – K大学の計算機が踏台にされ官公庁への不正アクセ スを幇助した • お咎めなし – T大学の計算機センターが踏台にされ、多くのプロバ イダへのアクセスを幇助した • 強制捜査によりHDが押収された – A大学の職員が販売目的のメイルを大量に発信しメイ ルサーバーをダウンさせた • 目的外使用、業務妨害 • 被害届 不正アクセス • 国立大学の実例 – 某観測所の職員が誹謗中傷のメイルを出し、受けた人 から調査、謝罪、慰謝料の要求を受けた • 内部調査を行い、踏台であったことを証明 • 責任者の謝罪メイルにより納得、慰謝料は取下げ – O大学の入試発表のデータを改竄して不合格者を合格 にすりかえた • 担当者が発表直前に元データと比較し改竄が発覚 • 犯人が不合格(もともとか) 不正アクセス • 大学での問題は? – とにかくデータが重要 • バックアップをとっておく – サービスの停止は困る • でも公的サービス機関や重要な民間業者とは異な り、直接社会に悪影響を与える訳ではない • 大きな問題を起こしてしまったら運用の継続は絶 望的 • でも自分たちが困るだけ – 踏台にされたら • 管理責任を問われ、落度があれば刑事責任や民 事での損害賠償責任が発生する 不正アクセス • 大学での問題は? – セキュリティ関係の対策の遅れ • 緊急時の担当者や連絡体制の不備 • 責任体制が不明確 – 意図しない責任が降ってくる? • 法律の専門家の不在 • 賠償の財源 • 相手は国内だけじゃないぞ 個人情報の保護 • 個人情報保護法上は当センターのアカウント情報は保護 の対象になっていない • ユーザー登録の際に必要と思われる保護対象の情報 – 名前、身分、電話番号、電子メイルアドレス • ユーザー登録の住所や連絡先は「研究上」のもの であり、特別な場合を除き自宅のものではありませ ん • 運用上、法の精神に基づき保護している – 原則非開示 – 法令による場合またはセンター長の判断による場合 に開示できる • ユーザーの協力も必要 名誉毀損および侮辱行為 • ニュースグループやホームページは「公」の場所 – 公然と毀損または侮辱の条件を満たす – wwwやパソコン通信のBBSやフォーラムは条件を満 たすが、メイリングリストは運用の形態や規模により 満たしたり満たさなかったりする – メイルを特定の個人に送る場合は満たさないが、ばら まくと満たす – 管理者の責任がある • 常時監視の義務はないが、知った時点で適切な処 置を行う義務がある 猥褻物の扱いに学ぶこと • 猥褻画像をホームページで公開すると猥褻物陳列罪に なる – ホームページ等が「公」の場所であること • モザイク画像に加工しておけば同罪にあたらないが、 • モザイクを解除するソフトのダウンロード先のurlを併記し ておくと同罪にあたるとされ、さらに解除ソフトのホーム ページの開設者は同罪幇助となる(異論も多い) – 直接犯罪を犯したつもりがなくても容易にできるように してあれば犯罪が成立(ネットワーク上の特徴) • サーバーが外国にある場合は国内法で処理できない場 合も – サーバーの場所に注意 – サーバーへのアクセスが国内から行なわれれば、幇 助の適用もある セキュリティを高めるために • 実社会でいけないことはネットワーク上(サイバースペー ス)でもいけない – ネットワークの利便性の高さのため、いけないことが (意図せずに)行える場合がある – ネットワークでしか利用できない新しいものに対しての 常識が欠落しがち • 実社会に焼きなおして「常識」で判断する • ネットワークの危険性を理解して行動する – むやみなデータの公開を避ける – 入手したデータに気を付ける – メイルアドレス、住所、電話番号、その他の個人情報 • セキュリティを保つ道具を使う – ワクチンソフト – 暗号化ツール 暗号 • 暗号は必須の技術になるだろう – 個人情報、機密情報の保護はネットワーク社会では 今までの方法では不可能 • 暗号は気楽な技術になるだろう – 葉書ではなく封書のようなもの • 知らずに安全にしてくれるもの – 通信に個人の特定が必要でないもの – wwwの暗号化ページ(ユーザー登録や買物) – 計算機間暗号通信 • 知って使う必要があるもの – 通信に個人の特定が必要なもの – メイル
© Copyright 2024 ExpyDoc
