題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。
投稿者 FP親衛隊國家保安本部 日時 2000 年 9 月 13 日 19:49:11:
【米国記事】 2000年9月13日 05:35 PM 更新
仏軍の請け負い業者のWebサイトから極秘の設計情報が漏洩した。コンテンツ企業のデータベース内の機密画像がすべてインターネットニューズグループに掲載された。米国の自動車メーカーは800万ドルでライバルのドイツ企業の新デザインを盗み見できるという話を持ちかけられた。コンピュータセキュリティに恐れおののくこの世の中で,多くの専門家が静かに告白しているのは,Webサイトへのハッキングは人目を引くものの,それほどの被害を及ぼさないということ。そして,サイバー犯罪として本当に問題なのは,多額の損失を伴うネット経由の産業スパイだということだ。
FBIや政府機関のサイトに落書きをしたり,WesternUnion.comのようなサイトからクレジットカード番号を盗むようなハッカー(昨日の記事参照)は注目を集めるものだ。だが,一部専門家は,この種のサイト侵入やいやがらせ技術は,サイバー犯罪の本当の問題からは外れたものにすぎないと指摘している。本当に問題となるのは,企業に雇われた,捕獲がほぼ不可能なプロによる機密情報の不正取得だという。
「15歳の少年にサイト侵入が可能なら,専門的な訓練を受けた侵入者ではどんなことが可能になるだろう」と述べるのは,元NASAコンピュータセキュリティ主任Tom Talleur氏。同氏は現在KPMGのコンサルタント。
◎表面化しない犯罪
この問題について公に話をしようとする企業や個人は少ない。コンピュータセキュリティは非開示契約で守られるべきビジネスの秘密であり,企業各社は侵入を受けたことを認めるような恥をかきたくはないからだ。
だが,匿名を条件とした調査では,複数の企業が機密情報を盗まれ,損失があったことを認めている。American Society for Industrial Securityが1999年にフォーチュン1000社を対象に行った調査によると,社外秘情報を盗まれたことによる米企業の損失規模は450億ドル以上に上っている。そのうちのどれほどが「ネットスパイ」,つまり企業のバックがあるハッキングが占めるのかは不明だが,Computer Security Institute(CSI)の調べでは,調査対象となった600社のうち半数以上が「ライバルがサイバー攻撃の犯人ではないか」と疑っており,ネットスパイ行為による損失額は6000万ドルを超えるだろうと見ているという。
「企業の秘密情報を盗み出す目的でのハッキング行為は増えている」と述べるのはCSIでこの調査を毎年手がけているRichard Power氏。同氏はサイバー犯罪に関する『Tangled Web』の著者でもある。「だが,実際にそれを証明するのは難しい。誰も口を開きたがらないからだ」
Gartner GroupアナリストのWilliam Malik氏は,過去数年で,5億ドル以上の損失を出した電子スパイに関するコンサルティングを2度請け負ったことがあるという。そのうちの1件は「重工業」企業2社に関するものだった。両社は9億ドルの契約をめぐる入札に参加していたが,1社がもう1社よりもわずか1%高い値をつけて落札した。
「これはただの不運ではなかった」とMalik氏。
契約を逃した側の企業は入札期間中に偶然にもネットワーク監視ソフトのテストを行っており,後になって何者かがこの企業のコンピュータネットワークに侵入し,入札の戦略に関する情報を含むファイルにアクセスしていたことを発見した。
「法廷に持ち込むには十分な証拠がなかった」とMalik氏。「だがこの企業は,こうした事態を2度と招かないようにするためGartnerに接触してきた」
Exodus Communicationのセキュリティ主任Bill Hancock氏は,過去にサイバー犯罪のプライベートコンサルタントとして長年の経験を積んでおり,これまで手がけてきた仕事の一部詳細を快く話してくれた数少ない専門家の1人。同氏は今まで600件以上のサイバー犯罪を追及しており,そのうちの20%が企業スパイ関連だったという。
「企業スパイの件数は増える一方,ということははっきり言える」とHancock氏。
最近のケースでは,フランスの防衛施設の設計図が何らかの方法で社外に漏洩していることに気付いた請負業者が,Hancock氏に接触してきたという。この業者は,デジタル情報が社外へどのように送出されているかについて警戒を怠っていたわけではなかったが,十分ではなかった。Hancock氏の調査により,組織の一部として動いていたコンピュータに長けた犯人が発見された。この犯人は,名は明かされていないこの業者内で職に就いており,企業秘密をWebサイト上の画像内に丹念に組み込み,その画像を業者の公開Webサイトに掲載していた。そして,外部のハッカーが業者のホームページから直接機密情報を盗んでいたという。犯人は「steganogaphy」と呼ばれる技術を使い,一見害のないファイルに情報を隠していた。Hancock氏は,画像ファイルのサイズがわずかずつ異なっていることに気付き,この盗みを突き止めたという。
また,明らかにコンピュータによる盗みの別のケースで,Hancock氏は,ライバル企業からデザインを盗んだ米国の携帯電話会社を調査したという。この携帯電話会社のあるエンジニアがライバル企業のコンピュータに侵入してデザインや図面を盗み,自分のものとして提出していたという。このエンジニアの上司は,提出されたものがエンジニアの実力以上のものであることに気付き,不正行為の疑いを持ったものの,その電話は製造に移されたという。
「周りが始めから知っていたことは明らかだ」とHancock氏。「事実,関係者はこれを面白がっていた」
◎笑いごとではない
だが,競合先に企業秘密を流出させてしまっては,面白いどころの騒ぎではない。産業スパイの歴史はシルクロードと同じくらい長いものだが,インターネット時代においてはその行為がより簡単に,より早く,そしてますます「名無し」になっている。
「ライバル企業はもはや(スパイ行為のために)都市を移動したり,国中を飛び回る必要はない。異なった法律体系と企業倫理を持つ米国外の国にいる場合もある」とPower氏。「過失責任はずっと軽い。企業秘密の不正取得に関しては無法地帯がある」
他国のために働くハッカーは「007」の映画の中だけの話ではないとHancock氏。同氏は「ドキュメント狩り」のために定期的に米国のティーンエイジャーを雇うという中国国籍の人物を6〜7年追い求めているという。また,米国企業から台所用器具に関するドキュメントを盗み出した17歳のハッカーに1000ドルが支払われており,さらに1万ドルが支払われることになっていたケースもあるという。
Talleur氏は以前,米国外からの絶え間ない情報攻撃からNASAの秘密情報を保護する任務に就いており,問題は多くの組織が見ているよりもずっと深刻だと考えているという
。
「政府機関や企業はどれも,自分たちがどれほど諜報されているかを把握していないと思う」とTalleur氏。「私が思うに,米国は全面的にドライクリーニングでもしたほうがいい」
Talleur氏は,ほとんどの企業はプロの攻撃を追跡するのに十分な,精巧な技術を備えていないという。この点にはPower氏も同意見だ。同氏はさらに,より価値のある情報を追っているプロにとっては,少年ハッカーたちが残す目に見える犯行声明が,無意識のうちに煙幕となっていると指摘している。
「あらゆる状況を考え合わせると,ある程度の能力を持つ人物なら捕獲はほぼ不可能」とPower氏。「サイバースペースの防衛に関する最大の誤解は,脅威となっているのは少年ハッカーたちという考え方だ。少年ハッカーたちはヘッドラインニュースを飾る。捕まってしまうからだ。だが,プロは捕まることはない」
産業スパイ行為のすべてがこれほどドラマチックでハイテク化したものとは限らない。Securify.comでスパイ攻撃に関する科学的捜査を手がけているJoel de la Garza氏は,次のような話をしてくれた。あるインターネットサービスプロバイダー(ISP)が,自社のシステムを攻撃した若いハッカーを捕獲したところ,このハッカーは競合先のネットワークにも侵入していたことが分かった。このISPは捕獲したハッカーから競合先に関する情報を得て,ほうびにDSLサービスを無料にしたという。
このような情報はどれほどの価値を持つものなのだろうか。セキュリティ会社R.J. Heffernan AssociatesのDick Heffernanは,こうした情報の価値付けをするのは難しいと話す。このために,被害者かもしれない人々の目からは,スパイの脅威はより見えにくくなることもあるという。
「情報が盗まれているのを“見る”というのは難しい」とAmerican Society for IndustrialのHeffernan氏。「ほかの窃盗行為であれば何かなくなるものがある。だが,情報は複製と盗みが可能な唯一の財産で,何かがなくなっているようには見えない。情報自体は依然として手元にあっても,情報の持つ価値はなくなってしまう」
[Bob Sullivan, MSNBC & ZDNet/USA]
題名には必ず「阿修羅さんへ」と記述してください。