2017年12月20日水曜日

中央省庁のWebサイト8割が「常時SSL化」非対応 2000年の”官公庁の不正アクセス”事件の教訓 今も生かされず

中央省庁の8割弱のWebサイトが閲覧中の不正アクセスを防ぐ「常時SSL化」を実施しておらず、改ざんや盗み見のリスクにさらされていることが日経コンピュータと日本経済新聞の調査により2017年12月2日までに分かりました。詳しくは、以下で紹介されています。

 ニュース解説 - 中央省庁の8割が非対応、常時SSL化の実態を独自調査:ITpro
 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/112801222/

2000年に発生した”官公庁の不正アクセス”事件以来、中央省庁のサイトのセキュリティ対策が貧弱なことが言われていましたが、またかと言う感じです。

常日頃、サイバー攻撃対策が必要、セキュリティ人材が不足していると言っている中央省庁としては、本当にお粗末です。

世界では「常時SSL化」は2010年代に入って必要性が認識され始めました。サーバーを直接攻撃せず、通信途中に第三者が割り込んで通信内容を変更する「中間者攻撃」が発達したからです。

「常時SSL化」については以下に詳しく紹介しています、参考にしてください。

 Webサイトの安全性を高める「常時SSL化」が進行中
 https://lifesecurityup.blogspot.jp/2017/12/webssl.html

このような世界の状況にあるにも関わらず、いまだに、中央省庁の8割弱のWebサイトが「常時SSL化」を実施していないということは、一体何故なのか謎です。

下記の資料によると、平成30年度のサイバーセキュリティに関する予算は727.5億円もあります。もし、この予算の中のほんの一部でも利用したら、短期間のうちに、中央省庁の全Webサイトの「常時SSL化」は実現するのではないでしょうか?

 政府のサイバーセキュリティに関する予算(平成30年度予算概算要求)
 http://www.nisc.go.jp/active/kihon/pdf/yosan2018.pdf


17年前の2000年に発生した多くの”官公庁の不正アクセス”について、私自身がまとめたブログ記事を以下に紹介します。

改めて読むと、2000年の教訓は生かされず、中央省庁のセキュリティに関しての認識不足は、17年前から変わっていないと言うことが分かります。いつになったら変わるのでしょうか・・・・?


■■□―――――――――――――――――――□■■

 17年前の2000年2月26日の私のブログの記録
 
 【官公庁の不正アクセスについて】

(注)古い記事です、注意ください。

■■□―――――――――――――――――――□■■

官公庁の不正アクセスの内容について、インターネットのメールサービス、各新聞社及びコンピュータ関係のホームページ、官公庁のホームページ等からの情報を整理したものです。

なお、情報の詳細は、リンク集を参考にして下さい。

1.発生状況について  

 (1)4省庁のWebサイトが不正アクセスされ、データ書き換えの被害
     --科学技術庁 、総務庁・同庁統計局 、運輸省 、通産省

 (2)各省庁の9関連機関(団体・法人)のWebサイトが不正アクセスされ、
                              データ書き換えの被害
     --総合研究開発機構 、人事院近畿事務局 、参議院サイト
       政府資料等普及調査会 、沖縄郵政管理事務所 、科学技術振興事業団
       基盤技術研究促進センター 、自動車事故対策センター 、宇宙科学研究所

 (3)2省庁は再度、Webサイトが不正アクセスされ、データ書き換えの被害
     --科学技術庁 、総務庁統計局

 (4)10省庁のWebサイトで、不正アクセスの形跡が確認
     --人事院 、防衛庁 、金融監督庁 、外務省 、大蔵省 、文部省
       農水省 、郵政省 、建設省 、最高裁

2.政府及び各省庁の対応について

 (1)政府は、直前の21日に「ハッカー対策等の基盤整備に係る行動計画」
    を決定していた。
     コンピューター・ネットワークを狙ったサイバーテロ対策を検討
     してきた政府は関係省庁の局長級で構成する「情報セキュリティ
     関係省庁局長等会議」開き、決定。

   ・通商産業省は、情報機器等の政府調達におけるセキュリティ関連国際規格
    (ISO/IEC15408)の活用等の方針について、平成13年5月までを目途に検討。
   ・平成12年12月までを目途に、各省庁向けの「情報セキュリティポリシーに
    関するガイドライン」(仮称)を策定する。
   ・平成12年12月を目途に「サイバーテロ対策に係る特別行動計画」をまとめる。

 (2)ハッカー対策・行動計画実施早める――政府方針
     政府は25日、科学技術庁と総務庁のホームページが相次いでハッカー
     被害に遭った問題を重視、「行動計画」に盛り込まれた対策実施の
     スピードを早め、情報セキュリティー強化を急ぐ方針

 (3)セキュリティ技術で国家試験 来秋、第1回実施へ(通産省)
     中央官庁などへのハッカー被害が相次ぐ中、セキュリテイー対策の
     技術者試験が、情報処理関連の14番目の国家試験として創設される
     ことになった。

 (4)電気通信事業におけるサイバーテロ対策検討会の開催(郵政省)
     「ハッカー対策等の基盤整備に係る行動計画」や中央省庁等のホーム
     ページの改ざん事案を踏まえ、電気通信分野のサイバーテロ対策及び
     サイバーテロが発生した場合の緊急対応体制等について本年2月3日
     から検討を開始することとしました。

 (5)情報通信ネットワークセキュリティ推進企画室を設置(郵政省)
     セキュリティ政策を迅速かつ効率的に推進するための体制を確立
     するのが狙い。

 (6)ネット取引、本人確認の仕組み法制化警察庁要請、「なりすまし」防止へ
     警察庁は4日、インターネットを利用した電子商取引に電子認証制度を
     導入する「電子署名及び認証業務に関する法律(仮称)案」を策定中の
     郵政、通産、法務各省に、認証制度の利用者が本人かどうかを確認する
     仕組みを盛り込むよう要請。

 (7)ハッカー対策、情報保全で国際規格導入「ISO15408」(通産省)
     通産省はパソコンなどの情報機器や情報通信システムの安全性を
     客観的に評価するために欧米諸国で用いられている国際規格を、今夏
     をめどに日本工業規格(JIS)として採用する。まず中央省庁が
     2001年度以降に購入する情報機器やシステムに関し、基準を満たすこと
     を義務付け、「電子政府」構想に役立てる。

 (8)警視庁「ハイテク犯罪対策センター」が常設機関に格上げ
    「不正アクセス禁止法」が13日に施行されるのに合わせて、「ハイテク
    犯罪対策センター」を、生活安全部の常設機関に格上げした。省庁や
    関係団体のホームページが改ざんされる事件について、同センターや
    麹町署などの捜査本部はこのうち14件を確認し、電子計算機損壊等
    業務妨害の疑いで、不正侵入経路などの捜査を進めている。
    13日以降に同様の不正侵入事件が起きた場合は、不正アクセス禁止法
    も適用される。

3.問題点分析と対応方法について

(1)ファイアーウオール(防火壁)なし
    今回の侵入事件は、それほど高度な技術を持っていなくても実行できた
    とみられる。科学技術庁などのシステムに、ファイアーウオールが設置
    されていなかった。

(2)セキュリティ・ホールを放置
    Webサーバー・ソフトのCGI(コモン・ゲートウエイ・インタフェース)
    プログラムのバグが悪用された可能性は非常に高い。Webサーバー・
    ソフトのセキュリティ・ホールは、ソフト・メーカーが提供している修正
    ソフトを導入するか、最新版のソフトにバージョンアップすることで対処
    できる場合がほとんどだ。改ざんなどの被害を受けた省庁は、こうした
    セキュリティ・ホールを放置していた可能性がある。

(3)管理者のパスワードを解読された
    科学技術庁の場合、システム管理者のIDやパスワードが、ハッカーに
    よって盗まれたうえ、新しいパスワードに変えられていたことが判明。
    「総合研究開発機構」では、サーバー設置時には設定されていなかった
    システム管理者用ID・パスワードをハッカーが新たに設定、システム
    管理者になりすましていた。いずれも犯人を突き止める唯一の記録である
    ログがシステム管理者の権限で消去されていた。
    
    人事院近畿事務局は「インターネット上で出回っているパスワード解読
    ソフトなどを使って、パスワードが破られた可能性が高い」(近畿事務局
    広報)と分析する。

    沖縄郵政管理事務所も、「ユーザーIDとパスワードを解読されたようだ」
    (システム担当者)と話す。

(4)被害のあった官公庁のWebサイトの復旧に時間がかかっている
    ウェブの停止時間をどれだけ短く出来るかは、そのサイトのセキュリティ
    対策度合の水準を示しているといえよう。何日も停止するようでは実は
    みっともないことで、セキュリティ対策の低さを露呈している

(5)官公庁サイトハッキングの一部は、大学コンピュータが踏み台
    中央省庁などのホームページの不正書き換え事件で、16件の被害のうち
    5件は、東京大学本郷キャンパス(東京都文京区)や米中両国内の
    サーバーコンピューター経由で侵入されていたことが判明。
    なお、1月24日の科学技術庁、26日の総合研究開発機構は東大本郷
    キャンパスのコンピュータが踏み台。

(6)Webページ改ざんの対策方法  IPAとJPCERT/CCが相次いで公開
    IPA(情報処理振興事業協会)のセキュリティセンターが2000年2月7日に,
    JPCERT/CC(コンピュータ緊急対応センター)が2月14日に,その対策方法
    を公開した。どちらの対策でも,まず実施すべき項目として,
      「Webサーバー上の不要なサービスの停止」や
      「不適切なCGIスクリプトの削除」などを挙げている。
    このほかの対策には,
      (1)サーバー・ソフトのバージョン・アップ,パッチの適用,
      (2)ログの監視,
      (3)バックアップの確保などを挙げている。

4.まとめ&所感

 (1)官公庁の一部情報システムは、セキュリティにかなり弱く、特に
    ファイヤーフォールの未設置、管理者パスワードが盗まれた件については、
    システム構築上、最低限のセキュリティ対策さえ実施されていない。
    システム構築方法も官公庁間で不統一である。

 (2)今回の事件により、政府及び各省庁のサイバーテロを含んだセキュリティ
    対応が加速される。政府は、今回の事件がスタートする直前に、いみじくも、
    「ハッカー対策等の基盤整備に係る行動計画」を発表していたが、今回の
    事件で、この行動計画に示されていた、セキュリティ関連国際規格
    (ISO/IEC15408)の導入等が早期に実現される見込み。

 (3)今回の事件は、情報・通信に関する関連協会・団体のセキュリティ対策活動
    を加速。IPA(情報処理振興事業協会)、JPCERT/CC(コンピュータ緊急対応
    センター)、通信事業者の団体であるテレコムサービス協会(テレサ協)

 (4)セキュリティ試験については、現在の情報処理試験の各区分と、どう関係
    するのか不透明である。セキュリティ対策については、企画・設計・開発・
    運用・保守のそれぞれの段階で必要なものであり、特別な試験区分を設け
    なくても、システム監査、アプリケーションエンジニア 等々の、他の
    試験区分でも重要な課題であるはず。

 (5)改めて、情報システムに関して、企画・設計・開発・運用・保守それぞれの
    段階でのシステム監査の必要性を感じた。もし、官公庁のシステムについても、
    ある程度のシステム監査を実施していたら、これほどひどい被害は発生しかった
    と考える。