サイバーノーガード戦法という言葉を筆者が使ってから、すでに4年の歳月が過ぎている。4年たってもいまだに通用するサイバーノーガード戦法についてのおさらいと今後の可能性を整理してみたいと思う。●サイバーノーガード戦法実施サイトを見つける方法 サイバーノーガード戦法をとられると、利用者はきわめて危険な立場に追いやられる。自分を守るためにも、サイバーノーガード戦法を採用しているサイトの利用は控えたいところである。問題はどうやってサイバーノーガード戦法採用サイトか、どうかを見分けるかである。 サイトのトップページに、「当サイトはサイバーノーガード戦法を採用しております」と書いておいてくれればわかりやすいが、だいたいの場合はそうじゃないので面倒である。 かといって、自分でサイトをチェックしようとすれば、不正アクセス禁止法にひっかかってしまいかねない。 そこで、不正アクセス禁止法に抵触する危険が比較的少ない方法を考えてみた。・過去のインシデント記録 一番簡単なのは、過去にインシデントを起こしたサイトかどうかをチェックする方法である。過去に事故を起こしたからダメというのではなく、その当時の記事を見れば、事件発生時の対応やその後の対策などもある程度わかるので、参考になると思う。ScanNetSecurityのWeb改ざん情報のページや、「日本情報漏えい年鑑」という資料もある。日本情報漏えい年鑑 2008 http://shop.ns-research.jp/3/3/11015.html ScanNetSecurity Web改ざん情報 https://www.netsecurity.ne.jp/9.html サイト名やサイト運営会社の名前にインシデントあるいは情報漏えい、改ざんなどを加えて検索してみてもよいだろう。インシデントがあれば、ヒットすると思われる。・サーバの更新頻度 Webサーバのバージョンアップを頻繁に行っていれば、とりあえず放置ではないことはわかる。そのサイトの利用しているWebサーバの種類とバージョンがわかる便利サイトがある。Netcraft というサイトである。利用方法は簡単、下記のURLにアクセスし、確認したいサイトのURLもしくはIPアドレスを入力するだけである。Netcraft http://uptime.netcraft.com/up/ ・ホスティング先のチェック 多くの場合、自社でサーバを設置、管理していることは少ない。だいたいはどこかのデータセンターに設置したり、レンタルサーバ借りしたりする。こういう場合は、信用できそうなデータセンター業者に設置あるいはレンタルサーバを借りたりしているかどうかがチェックポイントになる。 過去にインシデントを多発しているようなレンタルサーバ業者を利用している場合は要注意。・アプリケーションバナーのチェック アプリケーションバナーというのは、アプリケーションに通信があった際に、自分の名前(ソフト名)やバージョンを返信してくるというものだ。もちろん、相手が悪意をもっているケースもあるので、馬鹿正直にソフト名とバージョンを教えるのはあまり好ましくない。 というわけで http や https のポートにブラウザ以外でダイレクトにアクセスして、アプリケーションバナーが戻ってくるかどうかをチェックするのも参考になる。 アプリケーションバナーを出しているから、即ダメというわけではなく、ちゃんとしたところもあるので、あくまでも参考程度に考えておくとよいでしょう。 ・メールアドレスを検索してみる もっとも基本的なチェック方法。こんな原始的な方法がいまでも通用することは驚きである。 google などでサイトを限定した上で、"parent" "directory"といったキーワードや"@docomo.ne.jp"、"@yahoo.co.jp"などで検索してみる。 検索窓に"@docomo.ne.jp site:www.netsecurity.ne.jp"と入力すると"www.netsecurity.ne.jp"上にある "@docomo.ne.jp"を検索する。ちなみに、実際にこれで検索すると、ある記事がヒットします。 下手をすると個人情報がそのまま掲載されているページにヒットしてしまう。これは不正アクセス禁止法になるんだろうか? いや、しかし、検索エンジンで普通に検索できんだから、違うような気がする。 ちなみに、うわさによるとおそろしいほどヒットするそうです。十分、ご注意ください。 行う場合は、ご自身の責任でお願いします。 とはいってもやはりあくまで参考程度までしかわからない。 結局、運次第ということになってしまいかねない。●サイバーノーガード戦法の有効性は国としてのセキュリティ施策の有効性のバロメータ 制度の変更がもっとも効果的な対策 サイバーノーガード戦法を採用する企業が少なくないということは、国全体のセキュリティレベルが低いということなんだと筆者は考える。一般の利用者に大きな被害をもたらすのは、無差別大量攻撃である。標的型攻撃は脅威に違いないが、無差別大量攻撃の方が被害範囲は広く、その影響は甚大である。標的型攻撃が危険なのは、その対象がクリティカルなインフラの時くらいじゃないだろうか? いってみれば標的型攻撃はテロのようなもので、無差別大量攻撃は普通の犯罪である。テロも怖いが、普通の犯罪の発生率が高く、検挙率が低いことは社会全体が危険ということにならないだろうか。 サイバーノーガード戦法は無差別大量攻撃にうってつけの攻撃対象である。というか、既にだいぶやられているんじゃないかという気もする。サイト運営者が気がついていないだけじゃないだろうか。 サイバーノーガード戦法がいまだに有効で、無差別大量攻撃も有効だということは、これまでのセキュリティ施策は結果として、全体的なセキュリティレベルの向上には益していなかったといえるのではないだろうか。 繰り返しになるが、サイバーノーガード戦法が現行制度では合理的な選択である以上、この戦法を採用する企業は減らない。減らすためには、現行制度の変更が不可欠なのではないかと思う。 最後に念のために付け加えておきます。本稿は、警鐘をならすための啓発記事であって、サイバーノーガード戦法を推奨しているわけでありません。 【執筆:Prisoner Langley】【関連記事】Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008第1回「サイバーノーガード戦法 3つの魅力」 https://www.netsecurity.ne.jp/7_12386.html Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008 第2回「サイバーノーガード戦法 3つのデメリット」 https://www.netsecurity.ne.jp/7_12428.html Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008 第3回「個人情報漏えいの損害賠償は恐い?」 https://www.netsecurity.ne.jp/7_12464.html Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008 第4回「無責任企業がトクをする日本の制度」 https://www.netsecurity.ne.jp/7_12497.html 【関連リンク】セキュリティコラムばかり書いているLANGLEYのブログ http://netsecurity.blog77.fc2.com/
