Download
1 / 20
200 likes | 263 Views
目次. セキュリティ ウイルス 不正アクセス 個人情報の保護 名誉毀損および侮辱行為 猥褻物の扱いに学ぶこと セキュリティを高めるために 暗号. セキュリティ. コンピューター犯罪の種類 サラミ型、トロイの木馬、ウイルス コンピューター犯罪の特徴 匿名性、不特定多数性、時間的地理的無限性、場所の不要性、無痕跡性 薬物売買、猥褻物販売および陳列、海賊版ソフトの販売、電子商取引での詐欺、ネットワークゲーム賭博、名誉毀損および侮辱行為. セキュリティ. コンピューター犯罪の変化 初期は高度な技術を持つ人またはそれに携わる人 高度化、専門化 大衆化
E N D
目次 • セキュリティ • ウイルス • 不正アクセス • 個人情報の保護 • 名誉毀損および侮辱行為 • 猥褻物の扱いに学ぶこと • セキュリティを高めるために • 暗号
セキュリティ • コンピューター犯罪の種類 • サラミ型、トロイの木馬、ウイルス • コンピューター犯罪の特徴 • 匿名性、不特定多数性、時間的地理的無限性、場所の不要性、無痕跡性 • 薬物売買、猥褻物販売および陳列、海賊版ソフトの販売、電子商取引での詐欺、ネットワークゲーム賭博、名誉毀損および侮辱行為
セキュリティ • コンピューター犯罪の変化 • 初期は高度な技術を持つ人またはそれに携わる人 • 高度化、専門化 • 大衆化 • マーケットの拡大 • インターネットの普及 • 犯罪用プログラム(侵入ロボット)の配布、簡単な利用
ウイルス • 本物のウイルスと似た挙動を示す • 感染、潜伏、発病 • ワクチンソフト • ウイルスの感染を防ぐ • ウイルスの除染を行う • 既知のウイルスの除染しかできない • ウイルス情報のアップデート • 未知のウイルスの感染を防ぐと使いにくくなる • 除染しきれない場合は諦めて再インストール • バックアップをとっておく
不正アクセス • 法整備の状況 • 刑法(1987年) • 電磁的記録の不正作出、供用、毀棄 • 電子計算機損壊等業務妨害 • 電子計算機使用詐欺 • 不正アクセス防止法(2000年) • 情報の不正入手に一定の歯止め • 未整備なもの • 不正に流出した情報の所持には規制がない • 流出した情報を買う側の責任は問えない状況
不正アクセス • 不正アクセスとは • 情報システムの所有者や管理者から許可されていないのに、または禁止されているのに、そのシステムやデータに無権限でアクセスする行為 • システムに悪い影響を与えなくても、単に侵入しただけでも犯罪となる • 侵入を試みても成功しなければ不正アクセスとはならないと解釈されるが、実際には悪い影響(禁止されている行為による負荷)をかけずには試みることもできないので、試みるだけでも不正アクセスとなる
不正アクセス • 不正アクセス防止法による規制 • 不正アクセスに対する罰則 • 1年以下の懲役または50万円以下の罰金 • 不正アクセスを助長する行為に対する罰則 • 30万円以下の罰金 • 他人のIDやパスワードを漏らしてはいけない • 自分のIDをみだりに他人に貸してはいけない • システム管理者の防衛策を講ずる努力義務 • 利用ログの採取、保存義務はないが、もし取っていれば任意提出を求められ、または押収される可能性がある • 記憶装置の押収の可能性がある
不正アクセス • 盗聴法 • 重大な犯罪の調査に関して盗聴ができる • 計算機やネットワーク上の通信に関しても対象となる • 令状が必要 • 計算機の責任者の立ち会いが必要 • 暗号通信してれば実効はない
不正アクセス • 不正アクセスの種類 • 直接的侵入 • パスワードを破ったり、セキュリティホールを突いたりして直接telnet等で侵入する • 踏台攻撃 • 侵入先を踏台にして更に別のサイトを攻撃する • 利用不能攻撃(DoS) • 極端な負荷を与える等して通常のサービスができなくすること
不正アクセス • 国立大学の実例 • O大学など多くの大学のwwwサーバーが侵入されホームページが書き換えられた • 不正アクセス、データの改竄 • 犯人不明 • 手口 • wwwサーバーのソフトのセキュリティホールが利用されユーザーのパスワードファイルが流出 • パスワードを破り一般ユーザーと区別がつかない状況で侵入 • ネットワークを盗聴して他のパスワードを入手 • 更に他の計算機に侵入して同じ事を繰り返す
不正アクセス • 国立大学の実例 • K大学の学生が学内の教育用計算機で利用できるニュースグループを用いて人気商品(靴)を法外な値段で売った • 計算機の目的外使用 • 退学処分 • K大学の助手が大学の自分のホームページにチャイルドポルノを掲示し、希望者に有料で配布していた • 計算機の目的外使用、児童福祉法違反 • 懲戒免職、起訴公判中
不正アクセス • 国立大学の実例 • K大学の計算機が踏台にされ官公庁への不正アクセスを幇助した • お咎めなし • T大学の計算機センターが踏台にされ、多くのプロバイダへのアクセスを幇助した • 強制捜査によりHDが押収された • A大学の職員が販売目的のメイルを大量に発信しメイルサーバーをダウンさせた • 目的外使用、業務妨害 • 被害届
不正アクセス • 国立大学の実例 • 某観測所の職員が誹謗中傷のメイルを出し、受けた人から調査、謝罪、慰謝料の要求を受けた • 内部調査を行い、踏台であったことを証明 • 責任者の謝罪メイルにより納得、慰謝料は取下げ • O大学の入試発表のデータを改竄して不合格者を合格にすりかえた • 担当者が発表直前に元データと比較し改竄が発覚 • 犯人が不合格(もともとか)
不正アクセス • 大学での問題は? • とにかくデータが重要 • バックアップをとっておく • サービスの停止は困る • でも公的サービス機関や民間業者と異なり、直接社会に悪影響を与える訳ではない • 大きな問題を起こしてしまったら運用の継続は絶望的 • でも自分たちが困るだけ • 踏台にされたら • 管理責任を問われ、落度があれば刑事責任や民事での損害賠償責任が発生する
不正アクセス • 大学での問題は? • セキュリティ関係の対策の遅れ • 緊急時の担当者や連絡体制の不備 • 責任体制が不明確 • 意図しない責任が降ってくる? • 法律の専門家の不在 • 賠償の財源 • 相手は国内だけじゃないぞ
個人情報の保護 • 個人情報保護法上は当センターのアカウント情報は保護の対象になっていない • ユーザー登録の際に必要と思われる保護対象の情報 • 名前、身分、電話番号、電子メイルアドレス • ユーザー登録の住所や連絡先は「研究上」のものであり、特別な場合を除き自宅のものではありません • 運用上、法の精神に基づき保護している • 原則非開示 • 法令による場合またはセンター長の判断による場合に開示できる • ユーザーの協力も必要
名誉毀損および侮辱行為 • ニュースグループやホームページは「公」の場所 • 公然と毀損または侮辱の条件を満たす • パソコン通信のフォーラムは条件を満たすが、メイリングリストは運用の形態や規模により満たしたり満たさなかったりする • メイルを特定の個人に送る場合は満たさないが、ばらまくと満たす • 管理者の責任がある • 常時監視の義務は判例上ないと判断される場合が多いが、知った時点で適切な処置を行う義務がある
猥褻物の扱いに学ぶこと • 猥褻画像をホームページで公開すると猥褻物陳列罪になる • ホームページ等が「公」の場所であること • モザイク画像に加工しておけば同罪にあたらないが、 • モザイクを解除するソフトのダウンロード先のurlを併記しておくと同罪にあたるとされ、さらに解除ソフトのホームページの開設者は同罪幇助となる(異論も多い) • 直接犯罪を犯したつもりがなくても容易にできるようにしてあれば犯罪が成立(ネットワーク上の特徴) • サーバーが外国にある場合は国内法で処理できない • サーバーの場所に注意
セキュリティを高めるために • 実社会でいけないことはネットワーク上(サイバースペース)でもいけない • ネットワークの利便性の高さのため、いけないことが(意図せずに)行える場合がある • ネットワークでしか利用できない新しいものに対しての常識が欠落しがち • ネットワークの危険性を理解して行動する • むやみなデータの公開を避ける • 入手したデータに気を付ける • メイルアドレス、住所、電話番号、その他の個人情報 • セキュリティを保つ道具を使う • ワクチンソフト • 暗号化ツール
暗号 • 暗号は必須の技術になるだろう • 個人情報、機密情報の保護はネットワーク社会では今までの方法では不可能 • 暗号は気楽な技術になるだろう • 葉書ではなく封書のようなもの • 知らずに安全にしてくれるもの • 通信に個人の特定が必要でないもの • wwwの暗号化ページ • 計算機間暗号通信 • 知って使う必要があるもの • 通信に個人の特定が必要なもの • メイル
