マイクロソフト社の副社長兼最高業務責任者(COO)Bob Herbold氏は2月22日ワシントン大学経営学大学院で講演を行った。その際、同氏は昨年(2000年)10月に発生したハッカー事件に触れ、その犯行手口を明らかにした。事件の経緯は、同社のコンピュータ・システムにハッカーが不正侵入し、約2週間にわたってネットワーク内を探索、そして最高機密指定のソースコードを盗み見たというものだ。 同氏によると、ハッカーの侵入を許した原因は従業員がサーバを設定する際のパスワード作成を忘れ、パスワードを空白のままにしたためだ。「セキュリティ不備の原因は技術的なものではなく、人為的ミスだった。問題が発生し調査を行うと、殆どの場合、人間がその原因となっている」と同氏は述べた。ハッカーはまず、同社の従業員のコンピュータを通じてシステムに侵入し、パスワードのないサーバを探した。同社が昨年『Windows 2000』をリリースするまで、そのサーバソフトウェアはパスワードが空白のままだった。加えて、管理者はしばしば新しいパスワードを作成するのを忘れた。顧客用にセットアップされたサーバはパスワードが空白のままで、結果、ハッカーの不正侵入を許してしまったのである。 次に、ハッカーはパスワードがないコンピュータもしくは容易にパスワードが解読できるコンピュータを探した。そして、さらに高いレベルにアクセスしようとした時、マイクロソフト社は不正侵入に気づき、同ハッカーの行動を監視してFBIに通報した。調査は現在も続いているという。 コンピュータ・コンサルティング会社Gartner社のセキュリティ担当責任者Richard Stiennon氏は「不正侵入の原因がパスワードの空白だったことをマイクロソフト社は初めて認めた。ユーザは、セキュリティ手順およびパスワードのような基本的な防御措置の重要性を再認識する必要がある」と語った。
