第1部

第1章 オープンネットワークにおける不正行為の分析

　　　オープンネットワークにおける情報セキュリティ上のリスクとしては、

• 自然災害（地震・風水害・火災など）による障害
• 過失（入力・操作ミスなど）や故障（ネットワーク・ハードウェア・ソフトウェアの不全など）による障害
• 人間の悪意による障害

等が挙げられるが、本報告書では、人間の悪意による障害＝不正行為を採り上げることとする。

１　不正行為の種類

　　オープンネットワークにおける不正行為としては、通常、次のものが挙げられる。

２　各不正行為の概要、具体的事例及び対策例

（１）漏洩・盗聴

ア　概要

　オープンネットワーク上を流れる情報は、それが不特定多数のコンピュータを通過する過程において当事者以外の第三者に漏洩する可能性が高く、同時に、第三者が積極的に情報を盗取することも容易である。

　そして、漏洩・盗聴自体によるプライバシーの侵害もさることながら、ここで第三者に入手された情報が更に悪用されることにより、後述の改ざんやなりすましが行われがちであることからすると、漏洩・盗聴の防止策を講じることは、極めて重要な課題である。

イ具体的事例

○ 「口座屋」事件

　1996年、ハッキングにより入手した他人のデータを利用して、大手都市銀行の都内支店に複数の架空口座を開設し、パソコン通信の掲示板上で販売していたもの。

○ 「大分ニューコアラ」事件

　1996年4月、インターネットプロバイダー「ニューコアラ」（事務局：大分市）のインターネット用ホストコンピュータが何者かの不正アクセスを受け、約2､000人分のパスワードファイル等大量の情報が盗取されたもの。

○ オーストラリアにおけるクレジット番号盗取事件

　1995年4月、オーストラリアの大手インターネットプロバイダーに対し、不正なアクセスがあり、マスターカード及びビザカードのカード番号約1,400が盗まれたもの。

○　米国におけるクレジット番号盗取・有名ハッカー逮捕事件

　米国の企業のコンピュータから2万人分のクレジットカード番号が盗まれたもの。犯人であるケビン・ミトニックは、1995年2月に逮捕された。

○ 米国における入札情報盗取事件

　1994年、米国のある建設会社が100万ドル単位の競争入札で、ライバル会社にわずか900ドルの入札額の差で敗れた。後になって、ライバル会社がインターネットを通じて同社の入札情報を盗み出していたことが判明したもの。

ウ　対策例

（２）改ざん

ア　概要

　悪意の第三者に盗聴された情報については、不正にその内容を変更された上で再び何事もなかったかのようにオープンネットワーク上に戻される危険性がある。

　特に、電子的データの場合には、改ざんの痕跡を完全に消去することが可能であるため、事後的に責任を問うことが極めて困難となりがちである。

イ具体的事例

○ 英国における銀行データ改ざんによる企業恐喝事件

　1990年、英国ロンドン市内の5つの銀行のコンピュータが不正アクセスを受け、データを改ざんされた。その後、銀行側に対し、「どこがどのように改ざんされたのか知りたければ現金を払え。」との要求がなされたもの。

○ オーストラリアにおける医療データ改ざんによる殺人事件

　1995年、オーストラリアにおいて、病院職員が自己の勤務する病院のコンピュータにアクセスし、患者に投与すべき医薬に係るデータを改ざん。事情を知らない看護婦が改ざんされたデータどおりに薬を与えたため、患者が死亡するに至ったもの。

※ 以上は、コンピュータに蓄積された状態のデータを対象とした改ざん事例であるが、その他、1996年に米国政府のホームページが改ざんされた事例等オープンネットワーク上を流れるデータの改ざん事例も少なからず見受けられるところである。

ウ　対策例

• デジタル署名を利用したメッセージ認証（暗号技術の利用を含む。第1部第2章2(1)参照）

（３）　なりすまし

ア　概要

　オープンネットワークを利用して行われる電子商取引（EC）は、電子的データの交換により行われるものであるため、対面・書面・電話等での商取引とは異なり、顔・声・筆跡・印影等により相手方を確認することが困難である。

　そこで、悪意の第三者が、不正に入手した他人のクレジットカード番号等を利用することにより、他人になりすまして商取引行為が行われる危険性が高い。

　また、被害者は、身に覚えのない請求書が送付されて初めて被害を認識することが多いため、なりすましが行われてから捜査当局が認知するまでにタイムラグが生じやすく、捜査が困難化しがちである。

イ具体的事例

○ 京都の高校生ハッカーによるわいせつ図画販売事件

1996年9月に逮捕された高校生ハッカーは、自ら組んだハッキングソフト等を用いてハッキングするほか、いわゆる「ID屋」（ハッキングした他人のIDをパソコン通信上で販売する者をいう。）から購入することにより、多数の他人のIDを入手していた。

　同高校生は、そのようにして不正に入手した他人のIDを使用してパソコン通信の電子掲示板上でわいせつ図画（CD-ROM）の販売広告を行うとともに、やはりパソコン通信上で「口座屋」から購入した他人名義の銀行口座に、わいせつ図画の代金を振り込ませていたもの。

○　米国における他人のクレジットカード番号不正使用によるなりすまし事件

　1990年、米国において、クレジット会社のコンピュータが不正アクセスを受け、高額所得者のクレジット番号を盗取した上で、これを使用して金貨など換金性の高い商品を買いまくったもの。

ウ　対策例

• 端末・端末間認証（第1部第2章3(1)参照）
  • デジタル署名（暗号技術の利用を含む。）
  • 認証機関（Certification　Authority：CA。第2部第1章4参照）による公開鍵証明書の発行
• 端末・本人間認証（第1部第2章3(2)参照）
• 不正アクセス（ハッキング）禁止法制の整備（第2部第2章2(1)参照）

　（４）事後否認

ア　概要

　先にも述べたように、オープンネットワークにおいては、送発信の痕跡を残さずに電子的データを交換することが可能であるため、送信又は受信をした者が後になってその事実を否定したり、内容が改ざんされていると主張したりする、いわゆる事後否認が行われやすい。

イ　対策例

• 認証機関によるデータの発信・送達証明書の発行

（５）不正行為に係る情報の通信

ア　概要

　不正行為に係る情報の通信については、更に次のように二つに分類することができる。

1. 不正行為自体はネットワーク外で行われるが、不正行為に関する情報の伝達にネットワークを利用するもの
2. ネットワークの利用自体が不正行為に該当するもの

イ具体的事例

【Aに関するもの】

○ インターネット上において、銃器・薬物等の禁制品の売買に関する情報が流れており、その代金の振込先として、「口座屋」から購入した他人名義の口座が使用されている。

【Bに関するもの】

○ インターネット上において、他人の名誉を毀損する表現やわいせつな画像が氾濫している。

ウ対策例

• ネットワーク上を流れる情報のコントロール
• インターネットプロバイダーに係る管理・規制

３　暗号の不正利用の脅威

　2において示したように、オープンネットワークにおける各不正行為への実効的な対策の一つとして暗号技術の利用が想定されている。

　しかし、他方、暗号技術が不正な目的に利用され、犯罪や不正行為に係る情報が暗号化された場合には、捜査機関によるアクセスが不能な状態で犯罪関連情報が流通することとなりかねず、犯罪や不正行為がより巧妙かつ秘密裡のうちに実行されることとなるおそれがある。

　そこで、犯罪行為の過程において暗号が不正に使用されることを防止する施策及び現実に暗号が不正に使用された場合において実効的に対処する施策についても検討していくことが必要となってくるのである。

　また、公開鍵暗号方式による暗号技術を利用する場合には、公開鍵の管理・配信・認証等を行ういわゆる認証機関（CA）の存在が不可欠と考えられている。しかし、仮に、認証機関における公開鍵の管理等が適正に行われない場合には、やはり、なりすまし等の不正行為が助長されるおそれがあることに鑑みれば、認証機関の在り方についても十分な検討を行うことが不可欠となる。

　そこで、第2部第1章においては、まず、情報セキュリティ施策のうち特に暗号に関連する施策の在り方について検討を進め、次に、第2章において、それ以外の情報セキュリティ施策の在り方について検討していくこととする

　なお、次に掲げる図は、オープンネットワークにおける不正行為の類型を体系化したものである。

次へ(第1部第2章)

第2部

目次

警察庁ホームページ