■セキュリティ関連のトピックス

●日本におけるインターネット治安情勢の分析

　2002年11月27日のトピックです。

　警視庁ハイテク犯罪対策（http://www.npa.go.jp/hightech/）に「我が国におけるインターネット治安情勢の分析について」のPDFファイルが公開されています。

http://www.npa.go.jp/hightech/notice/bunseki.pdf

　アタックの発信元としてイタリアが１位というのは意外でした。続いて、アメリカ、日本、中国、韓国、イスラエル、ドミニカ共和国（これも意外かも）、ドイツ、タイ、カナダとなっています。

　注意として発信元が必ずアタック元とは限らないとなっています。踏み台の可能性もあるのでそうですね。

　ただし、イタリアからのアタックの90パーセントがPingアタックというのも…。

　中国のアタックの70パーセントがポートスキャン（アタックなのか？　アタックの前哨であることには間違いないが）、韓国のアタックの60パーセントがバックドア接続要求（他人が設置したバックドアまたはトロイの木馬のサーバーを探しているのか…）となっています。

　個人的にはポートスキャンや特定のポートへの接続要求まで統計に入れてしまうと、本当のアタックにどのようなものが多く使われているかという本質を見失ってしまうのではないかと思います。Pingアタックもあまりにも多いので、除外するとよいかもしれません。

●2002年上半期の不正アクセスの統計情報発表

　警視庁は8月22日に2002年上半期（1〜6月）の不正アクセスの発生状況をまとめ、公開しました。

　その結果、把握された不正アクセスは94件で、国内からのものが71件、海外からのものが4件、不正なものが19件とのことです。NimdaやCodeRedやSircam（これは不正アクセスと関係ないか）が流行った昨年は859件なので、それから比べれば大幅に減ったようです（今年もKlez流行ってますが…不正アクセスとは関係ない）。

　検挙された事件における犯人の手口は次のような割合になっているようです。

○パスワード自体が脆弱であることを利用したもの：8件

　これはパスワードが短かったり推測しやすいものであったり、辞書ファイルにあるようなものだったものだと思うので、パスワードを付ける側がきちんとしていれば対応できたと思います。

○リマインダ機能を併用したもの：5件

　リマインダ機能とはパスワードを忘れてしまった時、パスワードのヒントになるような問答をあらかじめ設定しておく機能です。ユーザー側はリマインダ機能など当てにせずに適当な質問と答えを設定しておけば防げることです。

○システム管理人の立場を利用したもの：7件

　これはユーザー側はどうしようもないことですね。

○電子メールや封書の誤配を利用したもの：2件

　これはどのような意味なのでしょうか？　ISPなどが送ってくる封書が間違えて他人のところに配送されたものを悪用したということなのでしょうか。

○コンピュータのセキュリティホールを突くような技術的なもの：4件

　これはいわゆるクラッキング行為でアタックしたものが当てはまります。

　結論は基本的ですが、パスワードは８文字以上、辞書ファイルにないようなものを設定することです。

　これらは警視庁が把握している不正アクセスであって、実際には数十倍は発生していると思います。

　皆さんはログ消しを学び、アタックの際には生IPアドレスでアクセスしないように注意してください（普通にWebサイトを閲覧する時などは生IPアドレスで全く問題ありません）。

[情報元]

「毎日新聞」Webサイト（http://www.mainichi.co.jp/）＞「上半期の不正アクセス　多いID・パスワードの不正利用　警察庁」

●児童ポルノ禁止法改正とその抜け穴

　３年前に児童ポルノ禁止法（略して児ポ法）という法律が施行されました。さらに、これの改正版（児童ポルノ禁止法改正）が2002年内に施行されるとされています。

　これは児童（18歳に満たない者）に対して、性欲を興奮させ又は刺激するものを視覚により認識することができる方法により描写したもの（出版物や映像、画像など）の製造、販売、所持を禁止するというものです。

　この法律が施行された時は話題になりましたね。ロリ、ショタ、同人誌、エロ雑誌や写真集の天敵になります。

　もし、児童ポルノ禁止法改正が施行されると、しずかちゃんの入浴シーンさえ規制されてしまうそうです。

　ドラマや漫画・ゲームなどの空想表現を規制する法律に反対するWebサイトのジポネット（http://jipo.kir.jp/）によれば、次のようなものが規制の対象になる可能性があるとのことです。

-----引用

★マンガ

・ドラえもん（しずかちゃんの入浴シーン）＊１

＊すでにドラえもんは、3年前の制定でしずかちゃんのお風呂のシーンがなくなってるそうです。（現在は復活したとか？　この情報は未確認です）

・シティハンター（性的刺激は物語の面白さの一つとしてあります。）

・頭文字Ｄ（裸のシーンがある）

・ＮＡＲＵＴＯーナルトー（裸のシーンがある）

・寄生獣（sexシーンがあります。）

・コブラ（女性の絵が全部ダメ）

・ベルセルク（sexシーン等があります。）

＊児童ポルノ禁止法設立時、バカボンドと合せ、紀伊国屋書店では一時回収騒ぎがあったようです。現在でも一部の書店では、新刊発売日でさえ端に積まれているだけです。すいません、ソースは失いました（×_×　知ってる方こちらからお教えください。

・グラップラーバキ（裸のシーンがある）

・うしおとトラ（裸のシーンがある））

・らぶひな（性的刺激を取ると物語としてなりたちません）　　⇒etc

★小説（１８歳未満に見えて、興奮させるさし絵が入ってたらダメです）

★アニメ（エヴァンゲリオンもダメですね）

★ドラマ（水着はもともと、男性の性的刺激を考えられて作られてると思います（ビキニとか）海水浴のシーンは１８歳未満ならスクール水着ですか？　

★ゲーム（Dead or alive(デッドオアアライブ）系もダメですね。）

★同人（コミケがなくなるか、非常に縮小されるのではないでしょうか？）

-----

　この児ポ法の抜け穴が２ｃｈで公開されていました。

-----引用

児ポ法について

宗教の本尊にすれば取り締まれない。

宗教法人になってなくても、本尊、経典、信者があれば宗教と解釈できる。

宗教、信仰を取り締まるのは難しいはず…。

ロリ画を本尊、経典は短文でいいから準備する。

掲示板にて布教活動。本尊とお守りを配布と言い張れ。

無償配布なら鋭利でないので営業活動と判断が困難になる。よって実質的に信仰であり、宗教活動と判断。

これからは、宗派名と役職を名乗って貼りましょう。

→代表、教祖、会長…いろいろ考えて！…

優良画像を貼る人を『神』と呼ぶことがありますが、

チョッと陳腐すぎるので、ただふざけていると判断される可能性が高いですね。

『教祖』などと呼ぶ方がより宗教らしくなりますね。

-----

[関連情報]

・警視庁の「児童買春、児童ポルノに係る行為等の処罰及び児童の保護に関する法律トップページ」＞ http://www.npa.go.jp/safetylife/syonen/index.htm

[情報元]

・SiebtNacht（http://black.sakura.ne.jp/~siebtnacht/）

●MSがこっそりWindowsXP SP1にあるパスワードスニフィングの脆弱性をfixしてた

　Windows Terminal ServerまたはXPリモートコントロール中にキー入力したもの（パスワードを含む）をSniffingされる可能性があります。Sniffingとはパケットを盗聴することです。詳細は基礎Sniffing講座を参照してください。MS（http://microsoft.com/）はこのような脆弱性をSP1の中でこっそり修正してました。

　このキーストロークSniffingはMSのRDP（Remote Desktop Protocol）内に含まれる設計ミスです。このミスによって、チェックサムを通じて暗号化されたパケットのコンテンツに関する情報が漏れてしまうのです。なぜならば、同じ平文を持つパケットはチェックサムが一致するからです。

　よって、アタッカーは暗号化されたセッションを監視することによって、キー入力したものを解析することができます。

　この脆弱性はSkygateのセキュリティ開発者Ben Cohen氏によって発見されました。彼は2002年4月16日にこの問題を報告しています。この問題に関する詳細を、今週早くに「Microsoft Windows Remote Desktop Protocol checksum and keystroke vulnerabilities」というタイトルでBugTraqに投稿しました（http://online.securityfocus.com/archive/1/292127）。

　このRDPの欠点はExploitするには容易な脆弱性ではなく、ローカルでのみ実行されるので社内LANや学内LAN以外は特に気にすることはないと言っています。しかし、深刻なバグであることは間違いないです。

　SkygateのCohen氏はXP ProfessionalのリモートデスクトップとRDPにリモートからDoSアタックを実現できることも発見しています。これに関しては「Microsoft Windows XP Remote Desktop denial of service vulnerability」というタイトルでBugTraqに投稿されています（http://online.securityfocus.com/archive/1/292113）。このことに関して、2002年4月16日に一度SkygateはMSに通知しています。そして、この問題もXP SP1内に修正プログラムが含まれていたようです。

　このトピックで２つの脆弱性に関して触れました。これらを修正したければ、２つの選択肢があります。

○SP1の導入

　１つ目はXPの新しいSP1をインストールすることです。

http://www.microsoft.com/downloads/release.asp?releaseid=42706&area=top&ordinal=3

　しかし、新しい使用許諾契約書（EULA）も一緒にインストールされてしまいます。XPのVL化による海賊版対策がSP1には含まれているので、Warezで手に入れた人は躊躇するかもしれません。

　詳しくは分かりませんが、JenoさんのWebサイトの噂のサイト（http://www.blackmarket.jp/）において、問題なく適応できたと9月14日の日記に書いていますので、問題ないのかもしれません。証拠画像も示されてました。

○環境変更

　２つ目はSkygateが提案している環境に変えることです。MSターミナルサービスクライアントはバージョン5.0よりもそれより低い4.0の方がキーストロークSniffingとリモートデスクトップに対するDoSアタックの弱点はないとのことです。

[情報元]

The Register（http://www.theregister.co.uk/）＞「MS silently fixes password sniffing bug with XP SP1」

●MSがPocket PCのセキュリティに関する文書を公開

　2002年10月21日にMSがPocket PCのセキュリティに関する文書の日本語版を公開しました。これは5月に米MSモバイルグループが公開したものです。

　Pocket PCとはMS製のWindowsCEというOSを搭載したパームサイズデバイスのことです。簡単に言えば、手のひらにのるPalmのような形をして、OSにWindowsCEがインストールされたPDAのことです。

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/itsolutions/mobile/maintain/mblsecur.asp

　内容として、物理的なアタック、組み込み認証機能やベンダが提供する署名認証などの認証方式、データの暗号、VPNによるデータ通信の暗号化などについて触れられています。これらの中には他のPDAにも通じるものもあるので、PDAのセキュリティやハッキングに興味ある方はざっと読んでみるとよいでしょう。

　私個人としてはPalmOSにSnifferをインストールしておけば、監視カメラのあるネットカフェや人目の多い学内においても、Sniffingしやすいと考えています。

　PalmOS用Snifferが存在するのかは知りませんが、無かったら作るしかありませんね。もし、存在を知っている方いましたら、コメントで情報お願いします。フィルター機能あれば嬉しいのですが、とりあえず単にキャプチャするだけのものでも欲しいですね。

[情報元]

NetSecurity（https://www.netsecurity.ne.jp/）＞「Pocket PCのセキュリティに関する文書を公開（マイクロソフト）(2002.10.24)」

●Mac Clinic(マック診療室）が復活

　Mac Clinic(マック診療室）（http://www.02.246.ne.jp/~yingming/macclinic/index.html）が2002年8月30日に次のようなメッセージの後、閉鎖してしまいましたが、2002年10月1日に復活しました。

----- 引用

02.10.1.

［活動再開のお知らせ］

多くのユーザーから励ましのメールをいただきました。応援有り難うございました。

いろいろ考えたのですが、やはり、困っているユーザーがいて、自分の知見が役に立てるのであれば、もう少し続けようと思います。但し、今後は冷静な目でMacの良いところも悪いところも見ていくことになるでしょう。

引き続きご支援をお願いします。

02.8.30.

Appleがどんなに苦境に立っても、AppleユーザーはMacを愛し、Macを支持してきました。

しかし、最近のAppleはそのようなユーザーを忘れ、ひたすらに儲けにはしっているように感じられてなりません。

もちろん、儲けてもらうのは結構です。それでもっと先進的なハードやソフトが開発されることを期待しています。

しかし、ドット・マックにしろ（突然の有料化）、最新のOSXの戦略にしろ（中途半端な商品を次から次とリリース、しかも有料）、iMacにしろ（値上げと値下げ、使えるOSはOSXだけ）、Appleは商売を優先し、ユーザーのことを第一に考えているようには見えません。

Macユーザーに対する甘えが見られる一方で、平気でユーザーを裏切ることをしています。

Macを支えてきたのはユーザーであることを自覚しないで、何で新たにWindowsユーザーの獲得が出来るでしょうか。

私は、古くからのMacユーザーとして、現在のAppleのやり方にはとても失望をしています。

このままでは、Macは.....

ドット・マックにも多くの抗議が寄せられているにもかかわらず、Appleから連日来るのは登録の催促だけ。

私のAppleやMacに対する思いも急速に冷えてきてしまいました。

そのため残念ですが、しばらくの間、活動を休止することにしました。

（なお、急患については受け付けますので、従来通りメールをしてくださって結構です。）

-----

[情報元]

「Underground de GO!」（http://www2.tomato.ne.jp/~leftbank/）のメルマガ「ぷち厨房メルマガ〜かわらばん３〜」

■セキュリティで守りたいものは何なのか？

■セキュリティにおけるアタッカーのジャンル

●ハッカー・クラッカー

　ハッカーという言葉には幾つかの定義があります。コンピュータの本当の仕組みを突き止めるだけの賢さを持ち、探究心によって日々研究している人物を敬称として、ハッカーと呼ぶように呼びかける人や団体も存在します。最近では、良い者をハッカー、悪い者をクラッカーと呼ぶように呼びかけている人もいます。

　私個人ハッカー・クラッカーの使い分けや定義の議論についてはあまり興味が無いので、当サイトではハッカーであろうとクラッカーであろうとアタックする側をアタッカーという言葉を使うことにしています。また、講座によっては全てハッカーと呼んでいる場合もあります。特に深い意味はないので、各自読み変えて下さい。

　また、内容がハッキング・クラッキングに関する講座や全く関係ない講座であっても、ハッキングやハックという文字列を含む講座名にしている場合もあります。だから、講座を読んで、「全然ハッキングと関係ない内容じゃん！」とか思わないでください。単に語呂が良いから使っているだけなので。

　本題に戻ります。一部のハッカーたちは暇はあるが、お金はない。また、一部のハッカーはリスク回避的で、法のギリギリのところで臆病にうろうろしているだけだが、起訴を恐れず、リスクも考えずに非合法活動に手を出す人たちもいる。

　そして、ハッカーのニュースグループやメーリングリスト、Webサイトや掲示板、さらにはハッカー会議があります。

　ハッカー集団・グループ（彼らが嫌いな人たちはハッカーギャングと呼ぶらしい）はたくさん存在し、コミュニティも構成している。

　大抵のハッカーたちは自分にできるものを探求します。彼らがハッキングするのは、それが面白いからであったり、ターゲットがそういう目にあってもしょうがないことをしたからです。

　残念ながら、ハッカーたちがやることの一部は非合法にあたります。彼らは研究環境で作業して、セキュリティを分析する人たちとは異なり、環境やお金に恵まれない場合もある。そのような場合、実際のサーバーをアタックしたりして実証したりする。それが違法行為に当たるわけです。

　多くの企業はハッカーを雇うのは嫌がります。しかし、例外もあり、NSAではフォートミード（NSA本拠地）で働く気のあるハッカーには奨学金を出しますし、イスラエルの諜報機関はアメリカからユダヤ人ハッカーを雇っています。さらに、一部のハッカーたちはプロのセキュリティ会社を設立したり、企業や研究所で働いています。

●悪意あるアタッカー（サイバー犯罪者を含む）

　新聞やニュースを見てみれば、毎日犯罪に関する記事が載っているはずである。そのぐらい、アタッカーたちは蔓延している。あなたの隣の住人がそうである可能性だってあるのだ。

　大抵彼らにとって、アタックは人生にかかわるわけなので、本気である。

[呟き]犯罪が仮に成功しても自慢したり、他人に言うべきではない。

偽者のATMを設置して、口座の暗証番号を集めるくらいの知恵があったとしても、酒場で自分の頭のよさを自慢しまくって、口座から金を引き出す瞬間につかまったら、笑いの種になってしまう。

多くの事件を調べてみるといい。密告によって捕まっているケースが多いことが分かるだろう。

●産業スパイ

　産業スパイは競合の商売上の秘密を盗むことで、競合に対して優位に立つことが目的である。産業スパイは単独で行われる場合もあるし、集団で行われる場合もある。

　産業スパイは大抵資金も豊富である。ライバルの技術を盗むのに１億円かかったとしても、自前でそれを開発するコストが１０億円ならば、産業スパイで盗んだ方が金銭的に楽ということが分かる。

　産業スパイは一般的に中くらいのリスク耐性を持っている。産業スパイを派遣した企業にとって、スパイ活動が露見してしまえば、信用ががた落ちなので、それなりに力を入れる。また、産業スパイはターゲット企業に就職してしまう場合もあったり、ターゲット企業の従業員や元従業員を買収する場合もあるので、インターネット経由でアタックするハッカーやサイバー犯罪者からは有利な位置にいる。

　実際にあった事件を例に挙げる。

例１：シマンテック社はボーランド社に対して、重役の転職を通じて商売上の秘密を盗んだと言って糾弾した。

例２：Cadence Design Systemsは競合相手のAvant!に対して、ソースコードの窃盗などで提訴した。

例３：1999年、オンライン書店AlibirdsがAmazon.comの企業内メールを盗聴した罪を認めた。

例４：日本の通産省とNTTは日本に進出している企業の電話とFAXの盗聴を行っていたらしい。

　詳細は特別講座＜産業スパイ編＞を参照せよ。

●ストーカー

　ターゲットが女性、アタッカーが男性の場合が多いと一般的に思われるかもしれないが、実はそうでもない。

　TVで放送されたストーカードラマは女性がストーカーだった。

　さらに、スティーブン・キングの小説『ミザリー』においても、女性ストーカーは或る男性の小説家のファンで、偶然にもその彼が雪山で事故に合い、彼女の家を訪れる。女性ストーカーは最終的に彼を自分のものにするため、足を切断しようとしたりする内容である。

　最近はピッキング（鍵を開けるのに使う）の道具や盗聴・盗撮道具が手軽に手に入ります。相手の住所さえ知ることができれば、相手にとって致命的なストーキング行為が可能なわけです。

　そして、ストーキングはリアルの世界だけではなく、インターネットの世界にも存在します。

　例えば、或る女性が自分のWebサイトのプロフィールにおいて、顔写真を公開していたとします。それを見た男性ユーザーがその彼女のことを気に入り、彼女のWebサイトの掲示板に彼女が嫌がる内容を書き込んだり、執拗にいらないメールを送ってくるかもしれません。また、常連たちでOFF会をしたら、その一人がストーカーになりうる人間である可能性もあります。

　最近ではそのWebサイトが好きなのではなく、逆に嫌いで、他の掲示板サイトなどにおいて、粘着的にそのサイトや管理人の悪口を書く場合もあります。

　さらに、ストーキングはオンラインゲーム内の小さな世界においても行われる場合があります。例えば、MMORPGのUO、リネージュ、ラグナロクなどのゲームの世界においてです。

特にラグナロクは萌え要素が多いので、この種の問題が多いかもしれません。

私はリネージュをやったことがありますが、この世界の中でもストーキング行為はまれですが行われました。例えば、特定の人やクランを粘着的にPKしたり、好みのユーザーの後を付回したり、ゲーム内の嫌がらせをしたりなどです。さらには先ほど紹介したように、２ｃｈなどの掲示板において、「クランのOFF会行ったんだけど、○○は不細工だった」「○○はRMTしている」などと特定のユーザーに対する悪口などを真実であるかどうか関係なく発言する人たちもいます。

●マスコミやパパラッチ

　マスコミは産業スパイやストーカーの変種になるが、動機が違う。マスコミはターゲットに対する競争優位は関心が無く、ニュースになるお話に興味がある。

　記者の中には国家の安全保障に関わる機密情報でも、ためらい無く公開する人もいる。彼らは国民の知る権利の方が優先度が高いと信じているのである。

例１：ダイアナ妃のスキャンダルを匂わせる程度の写真であっても、５千万円以上の値が付いた。

例２：或るアイドルを毎日監視して、体育の時間体操服姿の写真やパンチラ写真を撮り、月に500万以上稼いでいるパパラッチもいる。

●犯罪組織（サイバー犯罪組織も含みます）

　組織犯罪はグローバルビジネスです。

　コンピュータを使えば非合法のギャンブルだってやりやすいし、携帯電話を使えば博打の胴元はどこからでも仕事ができる。

　そして、トリガー式のコンピュータを使えば、ガサ入れがあった瞬間に、全ての証拠を隠滅できる。

　さらに、コンピュータはマネーロンダリングの際、口座間のお金を転がして、アカウントの所有者を買え、お金の出所をごまかし、あまり記録を詳細に残さない国を通過させることを容易にする。

例１：ロシアの犯罪シンジケートはロシアと同じくアメリカでも活躍している。

例２：アジアの犯罪シンジケートは自国同様に他国でも活躍しています。

例３：コロンビアの麻薬カルテルも国際的に活動します。

例４：クレジットカード偽造団は東アジアの生カード偽造グループからクレジットカードの生カードを買い、スキミングした磁気データをコピーします。

例５：窃盗団によっては盗んだ物を他国に売り付けます。結果、日本で盗まれた自動車を追跡した結果がヨーロッパやロシアなど他の国で利用されていたケースもあります。

例６：或るサイバー犯罪組織は単独のサイバー犯罪者から大量のクレジットカード番号を購入し、悪用します。

例７：悪意のあるハッキンググループは銀行のコンピュータに侵入し、お金を盗みます。さらに、携帯電話のIDを盗んで転売します。そして、クレジットカード番号を悪用したり、転売します。

実際、非合法なもの（或るサーバーのIDとパスワードリスト、クレジットカード番号、盗んだ物品など）をやり取りするサイバー犯罪者たちが御用達のWebサイトも存在します。

例８：1996年、シカゴの大手銀行は銀行強盗で６千万ドルの損害をこうむったが、小切手がらみの詐欺でも６千万ドルの損害をこうむっている。

●警察

　警察は一種の国家諜報機関と思っていただければよい。ただし、資金は少ないし、（国家諜報機関と比べて）技術力は低めだし、犯罪と戦うのが主目的である。

　警察はそこそこの資金と技能は持っている。自分の信念のために死のうという警官は少ないと思うので、リスク回避的である。しかし、法律を見方につければ、ハッカーや犯罪組織にとってのリスクも、警察にとってリスクが低くなる場合もある。例えば、礼状さえあれば、盗聴を行ったり、強制捜査を行うことができるためだ。

　彼らにとって、法廷で使える情報のほうが法廷で使えない情報よりも価値がずっと高い。

　警察はリスク回避的だと言ったが、決して法律を犯さないとは限らない。職権濫用の事件は実際に多くある。

例１：1992年、FBIによる非合法の盗聴と、それに対する隠ぺい工作が問題になった。

例２：ロサンゼルス警察による150件を超える非合法の盗聴が明るみになって話題になった。

例３：1960年代、ミシシッピー独立主権委員会は何千人もの市民権活動やスパイを行った。

例４：FBIはマーチン・ルーサー・キング牧師の電話を非合法盗聴した。

例５：PKI（米国公開鍵インフラストラクチャー）は全国的な暗号登録制度の先触れになってしまうかもしれない。

例６：日本の或る警察署は同僚の警察官の不手際をもみ消した。

　警察機関とはちょっと趣向が異なるのだが、ガーディアンエンジェルスというボランティアで活動する機関もあります

　その中にサイバーエンジェルスという部門もあり、日本国内のインターネットにある情報を監視し、有害と思ったページを掲載プロバイダ、警察に指摘しているらしいです。

　また、同等の組織として、サイバー・ウオッチ・ネットワーク（もちろん、ガーディアンエンジェルス東京支部の内部組織）が日本でも発足する動きがあった。

●テロリスト（サイバーテロリストは含むがサイバーウォーリアは含まない）

　テロリストたちは広範なイデオロギーを持つ。或る人にとってはテロリストと映っても、別の人にとっては自由の戦士と映っている。

　テロリスト集団は大抵、地政的な要因や民族・宗教上の動機で動きます。例えば、ヒズボラ、赤い旅団、Shining Path、タミルの虎、IRA、ETA、FLNC、PKK、UCK、KKKなどが当たります。

　また、道徳的・倫理的な動機で活動するテロリスト集団も存在します。例えば、過激エコロジー集団Earth First、中絶反対過激グループなどです。

　彼らは情報収集よりも損害を与えることを主目的としています。よって、技法もDoSアタックや爆弾テロや自爆テロが多いです。

　そして、彼らは自分が個人的に戦争状態にあると考えているので、リスク許容度も極めて高いです。

例１：IRAの資金源はアイルランドで販売された偽造テレビ受信解読装置だと言われています。

例２：金持ちの理想主義者が資金援助するため、或るテロリスト集団は資金が豊富だ。

例３：「人の多い市場にいって、そのボタンを押せ。そして、栄光のあの世で会おう！」と部下に自爆テロを行わせる。

●探偵（ネット探偵も含む）

　探偵はストーカーの変種に近いが動機が異なる。誰かの依頼があって、それに関する情報収集が主目的である。

　一般的に、ストーカーよりもリスク回避的であり、非合法な調査はあまりしない。もちろん、調査費が莫大である場合や悪意のある探偵の場合もあるので、例外はある。

　ターゲットを尾行したり、名簿屋から情報を購入したり、独自のルートで情報を集め、情報収集する。

　また、インターネット上で活動する探偵（当サイトではネット探偵と呼ぶことにする）も存在します。

　本気で仕事としている人たちもいるが、小遣い稼ぎとしてネットシノギの一環としてやっている人たちもいる。

例１：或る悪意のあるネット探偵にはターゲットにトロイの木馬を仕掛けるという行動にでる場合もある。これは低級ハッカーと同じような行為に当たる。

例２：或るネット探偵は時給千円で特定のWebサイトの掲示板をウォッチング（監視）する仕事を依頼された。

●国家諜報機関

　国家諜報機関は国家による豊富な資金源、高度な技術があり、敵にまわすと厄介な相手です。

　例えば、次のようなものがあげられる。

・アメリカではCIA、NSA、DIA、NROなど（FBIは警察の部類に入る）。

・ロシアではKGB（現在は対諜報担当がFAPSI、対外諜報がFSB）、GRU（軍事諜報）。

・イギリスではMI5（対諜報）、MI6（CIAと同じようなもの）、GCHQ（NSAに相当）。

・フランスではDGSE。

・ドイツではBND。

・中国では国務院国家安全部。

・イスラエルではモサド。

・カナダではCSE。

　一方、国家諜報機関はリスク回避的です。なぜならば、新聞の第一面に自分の機関の名前が出ることを嫌がるからです。もちろん、例外はありますが。

例１：イスラエル政府や日本政府はハッカーを国に呼び寄せて、諜報活動をさせているらしい。

例２：NSAは日常的に盗聴行為を行っている。

例３：中国や韓国では国家ぐるみでハッカーを養成して、諜報活動させている。

例４：或る諜報機関はハッカーたちが賑わうWebサイトや掲示板で、「おまえ、そんなにすごいならば、この政府コンピュータをクラッキングしてみろよ」などと煽り、タダ働きさせようとしている。

例５：『カッコウはコンピュータに卵を産む』は現金とコカインをもらってKGBの手先として働く３人のハッカーの話だ。

例６：ゴルゴ１３シリーズでは様々な国家諜報機関がたびたびゴルゴ１３に狙撃を依頼する。

例７：イギリスのセキュリティ会社からの暗号製品にはイギリス情報局からの要請で利用可能な弱点を仕込んでいる噂が昔からある。

例８：1997年、CIA長官ジョージ・テネットはハッカーたちが使う技法やツールを利用して、テロリストを支援しているアラブのビジネスマンたちの国際送金などの金融活動を妨害していると述べた。

●情報戦士（インフォウォーリアと呼ばれる。サイバーウォーリアと同義。サイバーアーミーを含む）

　情報戦士たちは敵の戦争遂行能力を情報インフラやネットワークインフラを攻撃することで低下させようとする軍事上のアタッカーです。

　インターネット経由でアタックが実行される場合が多いので、検出と報復は難しい。

　情報戦士たちは数も多いし、扱うアタックも幅広い。

例１：1999年、NATO軍はベオグラードの発電所を攻撃した。これはセルビアのコンピュータ資源に大きな被害を与えた。その報復として、セルビアのハッカーたちは何百ものアメリカとNATOのWebサイトを攻撃した。

例２：アメリカ軍がベオグラードの中国大使館を間違えて空爆した報復として、中国のハッカーたちは国務省、エネルギー省、北京のアメリカ大使館のコンピュータをクラッシュさせました。

例３：1999年、中国と台湾はサイバー戦争を行っていました。

例４：2000年、中国とアメリカはサイバー戦争を行っていました。

■さらなる監視

　監視行為を合法的に行っている側としてはマーケティングの調査や統計に役に立たせる目的だという大儀名文がありますが、監視される側からみれば極度の監視は気味の悪いものです。実際、私たちは気づかない間に、多くの監視のターゲットにされています。

その一例を次に列挙します。おそらく眺めた結果、多くの人たちはやりすぎでは？と思うはずです。

・電話やメールなどにおいて、危険思想や爆発物などを含むフレーズを言葉にするだけで、自動的に録音されるシステムがあります。

・日本では郵便物に目に見えないIDタグが郵便局で発想する際に、印刷されます。

・アメリカの切手では実に見えないIDタグが印刷されています。

・アメリカでは公共の道路に監視カメラが設置されており、犯罪者かどうかデータベースでスキャンされます。

・Amazon.comでは各集団ごとの購買行動を記録します。

・インターネットにおける多くのWebサイトではアクセス解析を設置しています。

・高級レストランでは食堂にビデオカメラを設置して、顧客の食事特性や食事速度を研究し、さらに顧客の好みをデータベース化しています。

・クレジットカード会社は詳細な購買記録を保存して、詐欺を減らそうとしています。

・企業では従業員のWebサイト閲覧を監視して、濫用と訴訟沙汰を制限しようとしています。

・多くの空港では駐車場に入る全ての車両のナンバープレートを記録しています。例えば、デンバー国際空港など。

・悪意のあるWebサイトでは偽の閲覧者プレゼントを企画し、応募してきた人たちの情報を名簿屋に売ります。

・住基ネットによって、各個人はデータベース化され、管理されています。

・レンタル屋やショップにおいて、ポイントカードや会員カードを作らせ、情報をデータベース化しています。さらに、悪意のある店はその情報を名簿屋に売っています。

・悪意のある定員はクレジットカードの支払いの際に、クレジットカードの磁気データをスキミングという技術で抜き取っています。

・役所や病院、電話会社や電気会社などの従業員は金銭的誘惑のために、顧客データを名簿屋に売ります。

・悪意のある人や業者は名簿屋から特定の条件を満たす（高額商品購入者リスト、重病を持つ人たちのリスト、騙されやすい人間リストなど）人たちの住所や電話番号を購入し、悪用しようとします。

　これらを見るといずれフライとレコーダーならぬライフレコーダーを身につけていないだけで、疑わしい人物とみなされるような未来になるかもしれないと思われます。

■法執行データベースのセキュリティ

　オンラインの法執行データベースは警察にとって非常に役に立ちます。例えば、パトカーで直接犯罪記録や写真を自動的にダウンロードできたら役に立ちます。しかし、警察データベースはセキュリティが弱いし、含まれているデータの機密性は高いので、プライバシー上の問題が発生するかもしれないのです。

■セキュリティと関連がありそうな格言

・「敵の堅きを避けて瑕【キズ】を攻む」

・「禍【ワザワイ】は副のかげに隠れて出番を待っている」

・「もし誰にも知られたくなかったら、何もするな」

■SecurityのUseニュースグループ

■参考文献

• 『Linux版　クラッカー迎撃完全ガイド』
• 『暗号の秘密とウソ　ネットワーク社会のデジタルセキュリティ』
• 『セキュリティ管理ってそういうことだったのか！』
• 『反三国志』