高等学校情報/社会と情報/安全をおびやかす脅威と対策
脅威
[編集]コンピュータウイルス
[編集]コンピューターウイルス(computer virus)とは、コンピューターに侵入して情報を盗んだり、データを破壊したりする、悪意のあるプログラムのことである。
コンピューターウイルスのことを、「ウイルス」と省略する場合も多い。
コンピュータウイルスに感染すると、コンピューターが異常な動作をする場合もあるが、そうでない場合もある。ウイルスに感染しても、変化が目立たない場合もある。
コンピューターウイルスの感染を防ぐためには、コンピューターにウイルス対策ソフトウェアを導入して、コンピューターに常駐させておく必要がある。
ウイルス対策ソフトには、ウイルスの特徴についての情報の記録された「ウイルス定義ファイル」というデータがあり、このデータを参考にして、コンピュータ内にウイルスが無いかどうか監視したりしている。
しかしコンピューターウイルスは、世界のいろんな場所で悪意のある人が開発しているので、毎日のように新種のコンピューターウイルスが誕生してくる。そのため、ウイルス定義パターンは、更新しないでいると、すぐに内容が古くなってしまう。
なので、そのため、ウイルス対策ソフトウェアは、ひんぱんに更新する必要がある。
日本の刑法では、(たとえ相手方コンピュータの破壊や盗み見をしていなくても)イタズラ目的で驚かすプログラムも処罰対象に定義しているので[1]、読者はイタズラ目的のプログラムを作成したらダメですよ。「不正指令電磁的記録に関する罪」といいます。刑法でも明確に処罰の規定があり、
刑法 第168条の2
「
- 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
- 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
- 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
」と刑法の条文に規定が明確にあります。
しかし日本では無責任で残念な知能のプログラマーがちらほら、「イタズラ目的のプログラムはジョークなので罪ではない」などといいますが、しかし、まったく法的根拠のない出鱈目(でたらめ)なので、無視しましょう。日本では大企業IT企業に勤務する人ですら、こういう無責任な人がいますが、たとえ大企業に勤務していても馬鹿は馬鹿なので無視しましょう。
日本のIT企業の実態は、たとえアメリカ外資系の日本法人でも単なる代理店ですので(根幹的なプログラム開発は米国本社の人の仕事)、高学歴なだけの馬鹿でも就職しています。
世間の常識的な感覚で考えれば、イタズラをされた側に、「これはジョークだと見抜け」とか加害者側から被害者に要求する理屈なんて、とおりません。
感染型ウイルスとマルウェア
[編集]ウイルスには、自動的に勝手に、他のコンピュータや、他のプログラムに侵入して感染するタイプのものがある。
単に「ウイルス」「コンピュータウイルス」と言った場合、このような感染型のウイルスを指す場合もある。
しかし、自動的に他のプログラムやコンピュータなどに感染しなくても、情報を盗んだりデータを破壊する、悪意のプログラムも存在する。
感染型であるかどうかにかかわらず、データを盗んだり破壊したりするなどの悪意のプログラムを総称してマルウェアという。
コンピュータウイルスに加えて、次に述べる「トロイの木馬」「ワーム」は、すべてマルウェアである。
トロイの木馬
[編集]「トロイの木馬」とは、悪意によって造られたプログラムの一種であり、みずからを有用なプログラムと見せかけ、しかし、実際にはデータを盗んだり、データを破壊したりなどをする、不正なプログラムのこと。
「トロイの木馬」の名前の元ネタは、ギリシャ神話のトロイ戦争の故事にもとづく。
古代のギリシャがトロイを滅ぼすために、トロイの城門の前に巨大な木馬を置いて、その木馬のなかに兵士を隠した。トロイが気づかずに城門の中に木馬を入れてしまい、そのため、結果的にトロイの城門を開けられてしまい、トロイは滅ぼされてしまった、という故事がある。
ワーム
[編集]特定のプログラムに感染するのではなく、自分自身をどんどん増やしていくタイプの不正なプログラムを、「ワーム」(worm)という。
スパイウェア
[編集]ウイルスやマルウェアのうち、個人情報や機密情報をぬすむ目的のものや、情報をぬすむ動作をしているものをスパイウェアという。
- キーロガー
また、キーロガー(key logger)という、キーボードなどからの入力情報を記録するソフトウェアが、スパイウェアとして悪用される場合がある。
悪意のある人物が、他人の情報を盗みとるために、ネットカフェなど他人のパソコンに、キーロガーをしかけておいて、その入力情報を犯人のもとに送る設定などをしたり、後日、ふたたびネットカフェに客をよそおって来店してキーロガーの記録を回収するなどして、入力情報をぬすみとる、という手口がある。
たとえば、もし犯人のもとに、キーロガーをしかけられたパソコンから「jyuusyo aiti」という入力情報が送られてくれば、「住所 愛知」という個人情報がバレてしまう。
なお、入力したキーボードのボタンの情報を記録するソフトウェアそのものは違法ではないので、キーロガーそのものは違法ソフトではない。
ウイルスなどとしてキーロガーがパソコンに不正に送り込まれる場合もある。
ウイルス、マルウェアなどへの対策
[編集]アップデートをおこなう
[編集]まず、もし使用中のプログラムに不備があると、その欠陥をもとに、悪人がアクセスしてしまいかねない。
このように、プログラムの欠陥などによるセキュリティの弱点を、セキュリティホールという。
なので、もし、市販のあるプログラムに欠陥が発見された場合などは、通常は、そのプログラムの作成者などが、プログラムを修正し、セキュリティホールを無くすように努力する。
一般に、プログラムの欠陥を修正するためのプログラムのことを「パッチ」などという。
一般に、プログラムの欠陥を修正するため、修正したプログラム(パッチ)を適用することを「アップデート」という。
セキュリティホールとなりうる、プログラムの欠陥を、修正するプログラムのことは「セキュリティパッチ」などという。
もし、自分の使用しているコンピュータのプログラムのセキュリティパッチが信頼できる業者などによって公開されたら、そのセキュリティパッチをダウンロードして適用するべきである。
OS(オペレーティングシステム)にも、セキュリティパッチが、ときどき公開されるので、そのOS業者のサイトなどからパッチをダウンロードして、セキュリティホールを修正すべきである。
このように、コンピュータにセキュリティパッチなどを適用して、セキュリティに関してアップデートすることを「セキュリティアップデート」などという。
範囲外: 企業や学校などでの対策
[編集]管理者以外はインストール不可能にする
[編集]民間企業などの会社では、その会社のごく一部のIT管理者以外は、ソフトウェアのインストールをできないようにしている場合もある。
この理由は主に、有用なソフトウェアのふりをした不正なプログラムのインストールを防ぐことなどであろう。
また、けっして、あるソフトウェアのプログラム作成者に悪意がなくても、個人がボランティアで制作をしたソフトウェアだと、セキュリティホールの修正がおいつかずに、セキュリティホールが放置されたままになっている場合もある。
なので、その会社のIT管理者が、インストールしても安全かどうかを判断してから、もし安全だと分かったら、それからインストールする、という手順を取っている会社も多い。
このような手順の会社の場合、もし仕事などで、どうしても新たにソフトウェアをコンピューターに追加する必要がある場合は、まずIT管理者にソフトウェア追加の許可を取る必要がある。
大学などでも、似たような管理になっている場合が多い。
このように、企業などが、仕事で使っているソフトウェアは、安全性を確認をしなければいけない事が多い。
セキュリティに関する用語
[編集]- クラッキング
セキュリティホールをつついてコンピュータの権限を不正に乗っ取るなど、コンピュータについての高度で技術的な知識を悪用することをクラッキングという。 また、そのようなクラッキングをおこなう人物のことをクラッカーという。
その他の脅威
[編集]記録メディアの紛失
[編集]たとえば、もし学校の教師が、生徒の成績などの情報の入ったUSBメモリ(フラッシュメモリ)を紛失してしまうと、誰にUSBメモリを発見されるかも分からないので、もし悪意のある人に発見されれば、生徒の情報が流出してしまいかねない。
何も学校社会だけにかぎらず、民間の企業などでも、顧客などのデータの入ったUSBメモリなどの記録メディアを紛失するという、データ流出の可能性のありうる事故が起きている。
また、インターネットの設定などを誤り、コンピュータで操作している情報を公開してしまうと、それによって個人情報が流出してしまう場合もある。
他にも、ウイルスやマルウェアなど、悪意のあるプログラムによって、情報が盗み取られたりするなどして、個人情報が流出する事件も起きている。
もし公務員などが公共機関で情報流出が起きた場合、懲戒免職(ちょうかい めんしょく)などになる場合もある。
記録メディア紛失への対策
[編集]- データ持ち帰りの禁止 (※ 範囲外)
さて、会社員などが仕事を自宅でも行おうとしてUSBメモリにコピーして、自分のカバンに入れたが、そのあと、帰宅中か帰宅後にUSBメモリを紛失した、などの事故がありうる。なので企業によっては、自宅にデータを持ち帰ることを禁止している企業もある。
- 記録メディアの接続禁止(※ 範囲外)
一部の企業では、そもそもUSBメモリじたいを使用できないようなハードウェアを使ったりする場合もある。 企業によっては、USBメモリにかぎらず、ハードディスクやCDドライブなども追加できないように、とにかく記録メディアを追加できないようなハードウェアにしている場合もある。
ファイル共有ソフトによる情報流出
[編集]ファイル共有ソフトとは、プロパイダなどの中心的なサーバを介さず、不特定多数のユーザどうしでファイルを直接やりとりするソフトウェアであり、ユーザのコンピュータ自体がサーバのように活動し、peer to peer(ピア トゥ ピア)と言われる分散的なネットワーク形式である。peer to peer を P2P(ピーツーピー)と略すこともある。
一方、通常のインターネットでの送受信やファイルのやりとりは、プロパイダなどを仲介しており、クライアント=サーバという方式のネットワークである。
過去に、ファイル共有ソフトによって、個人情報ファイルを漏洩(ろうえい)・流出してしまうという事件が多く起きた。
- ※ なお、ファイル共有ソフトによる情報流出の原因は、たしか、ファイル共有ソフトの設定ミスや、ウイルスなどによるものであったと思う。(※ 範囲外?)
このような事件があったため、現代の企業や公共機関のパソコンでは、これらファイル共有ソフトやP2Pのソフトウェアの使用を禁止・制限している組織も多い。(※ 範囲外?)
※ また、P2Pは、プロパイダなどの中枢的なサーバを仲介しないことから、不正コピーされたコンテンツなどの著作権侵害などの送受信が見過ごやすれやすいという問題点もある。(※ 範囲外?)
なお、企業や公共機関では規制されている場合が多いが、ファイル共有ソフトそのものは違法ソフトではない。
- ※ 「違法ではない」とはいえ、ファイル共有ソフトを安全に管理するは難しいので、高校生など一般の人々はファイル共有ソフトは利用しないほうが安全だろう。(※ 意見。)
企業での情報流出の対策
[編集]- 他部門へのアクセス不許可 (※ いちぶ、範囲内(似たような記述がある)。)
企業では、ある社員にとって、ほかの部署・部門のデータについては、そもそもサーバでアクセス許可しないようにしている場合も多い。企業では、従業員どうしで共同作業することも多いため、共用のファイルサーバなどもあるが、その共用サーバは、部署ごとにパスワードが違っている場合が多い。
たとえば、ある製造業の企業で、工業製品を設計している部門なら、その設計部門の社員のユーザIDによってアクセスできるサーバは、その設計部門のサーバだけであるのが普通である。つまり、設計部門の社員のユーザIDでは、経理部門や営業部門などのような他部門のサーバにはアクセスできないようになっていたりする場合が多い。
同様に、経理部門からは、設計部門のサーバにはアクセスできない、などのようになっている場合も多い。
その他、企業などでのセキュリティ対策
[編集]- (※ この節はすべて範囲外)
企業では、ウイルス対策ソフトの利用やセキュリティパッチのアップデートなどの他にも、次のような対策をする場合もある。
そもそもネットに接続しないで用いるパソコンもある
[編集]たとえば、製造業などでは、製品の検査や研究開発などのための物理実験・化学実験などで、高精度なデジタル温度センサーなどデジタルのセンサーをパソコンに接続して、センサーを使用する場合がある。
このように、デジタルセンサーの計測実験などをする場合に用いるセンサー制御用のパソコンは、わざわざインターネットにつなぐ必要が無い。
(たとえば中学高校の理科室で、温度計 やら 重さ計 やらをつかった計測の実験をする時にも、そもそもインターネットを使用してない。)
このように、インターネットを使わなくてもすむ作業にパソコンを用いる場合は、最初から、そのパソコン自体にインターネット通信ケーブルを用意しない、という手法もある。
さて、実験後に、計測データにもとづいて実験レポートを書くときには、事務作業用や設計作業用などの別のパソコンを用いる場合が多いだろう。
計測データをUSBメモリなどの記録メディアにコピーして、事務作業用などの別のパソコンにUSBメモリを接続して、USBメモリにコピーしたデータを読み出す、という工夫などをしている。
そして、その事務作業用などのパソコンで、レポートを書いてしまう、というわけだ。
このようにすれば、デジタルセンサーをつかう実験をしてから、その実験レポートを書きおえるまでのあいだ、まったくインターネットを使わなくても済む。
こうすれば、IT管理部署の手間も減る。
このように、企業では、インターネットを使わなくても行える作業に用いるパソコンついては、そもそも、そのパソコンにインターネット通信ケーブルを用意しない場合も多い。
そもそもWebブラウザをなるべく使わない
[編集]企業によっては、あまりwebブラウザを使用しないように推奨している企業もある。
DoS攻撃
[編集]あるWebページやサーバにアクセスが集中すると、そのWebページやサーバの動作に不具合が起きたり、サーバが停止してしまうことがある。
このことを悪用して、悪意のある人物が、意識的に他人のWebページやサーバにアクセスを集中して、そのWebページやサーバを機能停止に追い込むという、DoS攻撃(発音:「ドスこうげき」)という手口がある。
ウイルスなどには、感染したパソコンが、特定のWebページやサーバにDoS攻撃をしかける設定のものもある。
また、たとえ一般ユーザに悪意がなくても、特定のサーバにアクセスを集中させる行為は、つつしまなければならない。
- ^ 大谷實『刑事法入門 [第7版補訂版]』有斐閣、2014年4月15日 第7版補訂版 第1刷発行、66ページ、