現在地 HOME > 掲示板
> IT1 > 263.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT1 > 263.html
★阿修羅♪
|
|
(回答先: MSブラストに百台感染、住基ネット接続停止 世田谷区 投稿者 クエスチョン 日時 2003 年 8 月 14 日 22:43:53)
住民基本台帳ネットワークがWindows2000を用いていることについて、
次のウェブサイトを転載して紹介いたします。
(「住基ネット Windows2000」でグーグル検索してすぐに見つかった記事です。)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://gigazine.net/Backnumber/2002_0201to2003_0215/000690.htm
<-- 690 -->
▼住基ネットで使用しているWindows2000は8月以来、放置され続けています
そういえば私にもその「背番号」があるはずなのですがお目にかかっていません。
どうなってるんでしょうか(まずい、非常にまずい)
スラッシュドット ジャパン | 住基ネット,現在の穴は約10個
http://slashdot.jp/article.pl?sid=02/11/07/0926209
住基ネット:
基本ソフトのセキュリティーホールを放置
http://www.mainichi.co.jp/news/selection/20021107k0000e040036001c.html
> 住基ネットの場合、地方自治体にあるセンターサーバーのOSには
> ウィンドウズ2000が利用されているが、
> 地方自治センター側から8月に1回改善プログラムが配布されただけ。
> 8月以降、OSメーカーは、10前後の対策プログラムを提供しているが、
> 一つも適用されていない。
なぜこんなことになっているのかというと、
> 市区町村は、住基ネットの全国的な管理を行っている地方自治情報センターから、
> 独自の判断でセキュリティー対策プログラムを利用することを禁じられており、
> 自治体関係者からは
> 「これではシステムの管理者責任を果たせない」
> との声も上がっている。
セキュリティー意識が低すぎますねぇ、いくらなんでも。
インターネットには接続されていないとしても、
どこからかウイルスを放り込まれたら終了、ですよ…
いやいや、破壊ならまだしも、トロイの木馬系ソフトで遠隔操作などされた日には…
darkhorse 2002/11/08金21:58 [690]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
http://www.ngy1.1st.ne.jp/~ieg/ieg/inter/vol5-4/izumi.htm
住基ネット セキュリティをめぐるメモ
米沢泉美(IT技術者)
住基ネットのセキュリティについて、現在、さまざまな指摘が行われています。
現在、「住基ネット8月5日実施を許さない掲示板」http://www.jca.apc.org/~yizumi/juki85/main.html(これまでの市民運動側の取り組みを全国ネット化すべく立ち上がった反住基ネット連絡会(準)の公式Webサイト内に開設)内にある、「セキュリティ問題スレッド」http://www.jca.apc.org/~yizumi/juki85/float.cgi?bbs=main&thread=20706005118 において、さまざまな技術者が、これらについての議論を行っているところです。
(1)システム全体像
まず、システム全体を把握しておきましょう。
住基ネットの端末は全市区町村に置かれ、OSとしてWindows2000を用いています。これらは都道府県ごとのサーバに接続され、さらに都道府県のサーバは財団法人地方自治情報センター http://www.lasdec.nippon-net.ne.jp/ にあるメインサーバに接続されています。各サーバ・端末間はすべて仮想専用線VPN(Virtual Private Network)で接続されています。それぞれのコンピュータとVPNの接続ポイントにはファイヤウォール(条件に合致したデータ以外を遮断する仕組み)が入っており、VPNを流れるデータは暗号化されています。
また、各市区町村の端末は、指定されたファイヤウォールを介せば、自前の庁内LANと接続してデータのやりとりをすることが認められています。また、端末の物理装置(パソコン本体)は、持ち出し・すり替えなどはできないように物理的に固定されています。
(2)技術的な脆弱性
まず、この仕組みは、「机上の論理」としては、それなりに「考えられた」システムではあります。
実際問題として、VPNという仕組み自体は、専用線に匹敵するくらい堅牢なものであり、それ自体を盗聴することはまず不可能です。その意味では、住基ネットの情報が基幹網からだだ洩れ状態になる可能性は極めて低いことも事実です。
しかし、システム全体として評価するならば、現住基ネットは「セキュリティが甘すぎ」と言う他はないほどの脆弱なシステムなのです。
その大きな弱点は、各自治体の端末およびその周囲に存在します。
まず、いくらVPNだと言っていても、そのVPNへ接続する物理的接続ポイントが各市区町村に存在します。その接続ポイントをつかさどる機器(ルータ)のソフトウェアにセキュリティホールがあったらどうなるでしょうか。また、その部分に「パケット盗聴器」を仕掛けられたらどうなるでしょうか。その部分への物理結線を横取りして別のパソコンを仕掛け「なりすまし」をされたらどうなるでしょうか。Windows2000で動作する端末の内部に盗聴ソフトが仕掛けられたらどうなるでしょうか。
また、「庁内LANと住基ネット端末との接続」にも問題はあります。
8・5の直後、セキュリティ問題としてマスメディアが大きく取り上げた事件に、稼動「直前」にいくつかの自治体に対して行われた「常時接続の停止指示」というものがありました。
これは、それら自治体が「住基ネット用端末が庁内LANとつながっていて、かつそのLANがインターネットと接続されていて、LAN−インターネット間のセキュリティレベルが低い場合、住基ネットと住基端末との常時接続を行わない」というものです。
このニュースにより、具体的に、「住基ネット端末とインターネットがファイヤウォール越しにせよ、とにかく接続されているというケースは実在する」ということが明らかとなりました。
また、この「庁内LAN」に無線LANが導入されることが増えてきています(とりわけ地方の自治体)が、この無線LAN自体がそもそも強固なセキュリティを備えておらず、悪意のある人が盗聴することも不可能ではありません。この場合、インターネット側からの侵入が不可能だったとしても、セキュリティレベルは極めて低い状態にあることになります。
(3)人間が介在する部分が最も脆弱、というアタリマエの話
そして、もっとも大きくかつ現実性の高い問題は、「端末自体の不正操作」ということになります。
中央のメインサーバは夜間は接続ができないため、夜間に侵入して直接検索、などということはできませんが(もちろんこれも、「電子政府」なるものが「発達」した結果24時間稼動になるかもわかりませんが)、例えば自治体労働者を何らかの手段で脅して情報を入手させる「ソーシャルクラッキング」、あるいは自治体労働者自身が不正に情報を入手、などとということが極めて大きな確度で予想されるわけです(住基ネット稼動前から、自分の勤務先の自治体に居住する有名人の情報を遊び半分で自治体労働者が検索していた、など日常茶飯事です)。
驚くべきことに、中央のメインサーバでは、「6情報の照会・検索」について、アクセスログを一切記録しないことを決めています。つまり、上記の手法で不正な個人情報の検索があった場合、それを残す証拠はサーバ側には一切ない、ということなのです。
これに対して、端末側ではアクセスログを残しています。人間の操作のみによる「不正アクセス」を割り出すにはこれの保存・公開・解析が必須です(もちろん、アクセス記録自体は一般にプライバシー情報ですが、そもそも住基ネット端末は限られた公務員のみが公務で操作するものなので、プライバシー情報ではありえません)。
そして総務省は、稼動後に後付け的に「各自治体にアクセスログ記録を開示させることは可能です」とコメントしたようですが、それから1ヶ月経過した現在でも、このコメントは各自治体には降りてきておらず、開示請求に対して可否の結論を出せず困惑している自治体もあります。
(4)マイクロソフト社製品を使うことによってメチャクチャに
各端末のOSはWindows2000です。セキュリティレベルがマイクロソフト社製品の中では相対的には高いOSですが、しかしここにも問題があります。
Win2000には「リソースセキュリティ」という概念があり、あらゆる操作を許可されている管理者が「ユーザアカウント」を発行し、各アカウント毎に、さまざまなリソース(プログラム、ファイル、そのほかいろいろなコンピュータ上の資源)へのアクセス権をきめ細かく設定できるようになっています。
しかしなんと、住基ネット端末では、せっかくのこのアクセス制限機能はまったく無効化されています。
住基ネットは人名を扱います。そして人名には、Win2000の日本語文字コード表現システムであるUNICODEでは表現できない漢字がたくさんあります。これらは当然ながら「外字」として扱われることになり、住基ネットでもこのような人名については特別な外字ライブラリを用いて管理しています。そして、後からフォントを追加するような場合、その情報は当然住基ネットを通じてオンラインでダウンロードするようになっています。
ところが、Win2000では、このフォントの組み込みが、管理者特権がなければできないのです。
すなわち、端末は、セキュリティ概念がほとんどないWindows 98/MeのようなOSと同じようにしか使えない、ということです。盗聴ソフトなどもインストールし放題になってしまうわけです。
ただでさえマイクロソフト社製品は、ソースコード(文字で書かれたプログラム原文)が公開されていないため、そのセキュリティレベルをより多くの人の検証にかけることが困難です。またマイクロソフト社は、自社の利益のためにはセキュリティ問題を2の次にすることを、少なくとも2001年末までは公然と言い放ってきた企業です。また、同OSには常に「政府向けバックドア」(個々のパソコンから個人情報を吸い出してマイクロソフト社が勝手に収集し、さらにこれらを米諜報機関に渡すことができるようになっている仕掛け)の噂が絶えず、中国政府がそれだけを理由にWindowsの採用を控えた、ということも忘れてはなりません。
(5)セキュリティの監査・保障
さて、どんなシステムにもセキュリティホールはつきものです。よって、それを最小限に抑え、かつ、*外部の*専門家による監査を受けることが必須です。
しかし、今回の住基ネットで、それらがきちんと行われた形跡はほとんどありません。
その端的な例こそが、(2)で挙げた「庁内LANとインターネットの接続」です。そもそもシステムセキュリティを最もセンシティヴに考えるべき末端部で、そのようなトンデモナイ状況が、稼動直前まで残っているなど論外です。
それ以外でも、ここで採り上げた各項目について、そもそも「ツッコミ」をいちいち入れられる、ということ自体が、セキュリティに関するアカウンタビリティを行政が一切為していないことの証左です。
(6)まとめ:住基ネットを廃案に!
以上、いろいろと住基ネットのセキュリティ脆弱性について列挙してきました。
私はもちろん、これらをもって「よりよい住基ネット」を提案しているわけではありません。とりわけ(3)のような問題は、本質的に「何らかの全住民データベース」を構築する以上、*絶対に*、*高確率で*、避けられないものです。
私たちは、そこまで脆弱なシステムをなぜ国家システムが望んでいるのか、その狙いをも暴き出しながら、住基ネット廃止の声を大きく上げていかねばなりません。
IEGホームページに戻る
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
題名には必ず「阿修羅さんへ」と記述してください。