提言

セキュリティインシデントの行方

昨今、ITC運営委員会においては、セキュリティインシデントに関する話題に事欠かない。先日は、keio.jpを語るフィッシングサイトにより教員に被害が出た。keio.jpとは大学のアカウントであり、そこに入ることで学生などに関する様々な情報流出は心配されるが、金銭的なメリットは無い。ここしばらく話題となっている７payによる被害は、セブンイレブンで買い物ができることから、金銭目的としても明確な意図が伺える。何故、世界中で数多くのアカウントが盗まれているのか、考えてみたいと思う。

まず、アカウントを盗むことで本人になりすますことができる。アカウントを盗むと、そのサーバーからメールを送ることができると、いわゆるSPAMメールが世界中に発送することができる。また、アカウントは本人のものではないからなんら気にすることなく、世界中のサーバーを目指して次なる悪事ができる、つまり再度アカウントを盗むことを企てても問題はない。もしも、盗まれたアカウントのメールアドレスで買い物サイトに登録していてパスワードも同じである場合には、７payのように買い物をすることも可能である。単なる買い物であれば商品の輸送先から足がつくことも考えられるが、その辺りはなんとでもなるのかもしれない。

ここで慶應義塾大学への被害を考えてみたい。例えば、乗っ取られたアカウントを使って世界中に大量にSPAMメールが発送されたとする。そうすると各種セキュリティ関連会社のブラックリストに慶應義塾大学のメールサーバーが掲載されることになる。これは、実際に起きた被害である。SYMANTECのブラックリストに理工学部の複数の学科のメールサーバーが掲載されてしまい、当該学科のメールサーバーから出されたメールは多くの大学や機関において受け取りが拒否されるという事態に陥った。メールが受け取られていないことは、エラーメールの通知で不信感を抱き気づくときもあるが、何も送ってこないところもある。つまり、メールの返事を書いてもそれは不達となるのである。私達の仕事にはメールは必要なものであり、メールが無いと仕事が進まない。つまり、仕事が終わったと思っていても終わっていないという、実に不愉快なことが起きたのである。

インターネットの世界で完全にセキュアな状態が維持できるものか、最近は疑念を抱くようになってきた。私の日常からするとやや古典的とも言える生活を送っている友人達がいる。その人達は、ネット上での個人メールアドレスの登録を恐れ、ネット上での買い物を極力避け、インターネットバンキングをせず、日常の基本はface to faceである。更に言うと、未だにガラケーをしつこく使っている人もいる。私は会う度にその生活様式を小馬鹿にしていたが、今考えるとその生活は実にセキュアなものではないかと考え直しているところである。残念ながら日々忙しく仕事をし、国内・世界中を飛び回る生活を維持するためには、インターネットのお世話にならずして成り立つものではない。そう考えると、有る適度のリスクを許容しながら自己防衛をしつつ、生活・仕事をしていかねばならないと納得するしかない。リスクとの折り合い。これは、インターネットに限ったことではないが、今後の課題だろう。