「不正アクセス」を疑われるトラブルについて

総合情報システム運用センター 曽根秀昭
sone@tains.tohoku.ac.jp

はじめに

 インターネットのセキュリティについて重要性が認識されるようになり,また,不正アクセス防止法が定められて,不正アクセスへの関心が高まっています。しかし一方で,不本意に不正アクセスを疑われるトラブルに巻き込まれるケースが現れてきています。本稿では,そのような3つのケースを紹介し,それらを基にして少し説明します。

「ケース1」

 ある研究室のWWWサーバで,一つのページに対して2年半にわたって一日に3回のアクセスを繰り返しているクライアント(訪問者)が見つかりました。アクセス元は,A社に属するコンピュータでした。そのページは1年半前から内容を変更していないので,WWWサーバの管理者が不審に思い,管理の一環として,原因を知るためにアクセス元を少し調べてみました。調べようとした内容は,何らかの更新検出サービスを行っていないか,異常なプログラムが走っていないか,および,OSなどの情報などでした。調査に使ったのはWWWブラウザのほか,finger,systat,telnet,rsh などのコマンドでした。

 その後,A社から,この研究室が属する部局へ,不正アクセスを受けたとする「調査,対処のお願い」が届きました。これを受けて,部局のコンピュータ運用に関係する組織が双方から事情を聞いて検討した結果,指摘された「不正アクセス」は上記の調査を指しているものと推測されました。やりとりの中でWWWサーバへの不審なアクセスについて連絡したところ,それ以降,先方からのそのアクセスは止まりました。また,先方も,連絡を送ってくる前に,こちらに対してfingerによる調査を行っていました。

 結論として,調査のために行った行為の一部について不正アクセスと誤解して受け取られかねない行動であったと判断し,担当組織から先方へ対して,調査結果を報告して謝まる回答を送りました。

「ケース2」

 WWWサーバが不正アクセスを受けたので対応を求めるという連絡が,コンピュータ関係のB社から来ました。一日に数回,ホームページに対するHEADコマンドが送られている記録が添えられていました。

 この連絡を受けて,不正アクセス元と指摘されたアドレスを使っている部局において,ネットワーク関係の委員会が調べました。その結果,そのアドレスは部局の研究室にあるPCのものであり,この研究室が購入したソフトのバージョンアップ情報を知る目的で,WWWCというソフトを用いて同社のホームページをチェックしていることがわかりました。このソフトがホームページの更新を自動的にチェックするときにHTTPのHEADコマンドを使っていたものです。

 HEADで更新情報を得る方法は,Internet Explorerなどで「購読」したときにも用いられているものですし,正常なアクセスであると考えられます。HEADコマンドのアクセス記録のほかに「不正アクセス」と判断した理由がなく,担当委員会と研究室で調査した結果,B社の指摘は誤りであると判断されました。

「ケース3」

 欧州にあるC大学の図書館から連絡が来て,本学内のコンピュータから先方のデータベースのWWWサーバへ対して多数並行したアクセスが数日間続いて,WWWサーバが麻痺しているので停止せよとの要求がありました。このデータベースではロボット(自動的にウェブページのデータを収集するプログラム)を使って検索結果にアクセスすることを禁じて,そのことをrobots.txtというファイルで示していたので,それに従っていないことへの抗議もありました。  指摘されたコンピュータを使用している部局で調べたところ,利用者が悪意無く,データベースの内容を収集していたことがわかりました。先方からの申し入れに従ってアクセスを停止し,ロボットによるアクセスの使用に注意を喚起しました。また,研究室の教授から先方へこの旨を報告し謝る連絡をしました。

「不正アクセス」について

 「不正アクセス」という言葉が指す 範疇 はんちゅう について,通産省の「コンピュータ不正アクセス対策基準」[1]が「システムを利用する者が,その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと」と定め,前号のSuperTAINS ニュースに解説[2]が掲載された「不正アクセス行為の禁止に関する法律」はそれよりも限定して定めています。従来「不正アクセス」と呼ばれていた出来事のような,広い範疇を「セキュリティインシデント」と呼ぶこともあります。以上であげた三つのケースのいずれも「〜法律」が定義する対象とは異なると思われます。「不正アクセス」のトラブルでは,この言葉の指し示す範囲が一定ではないことに留意すべきでしょう。

 また,いかなるアクセスが許されるのかということについても,一定ではないことに留意すべきでしょう。ケース1では,双方ともfingerで相手の状況を調べようとしましたが,悪意をもって利用者名を調べる人も同じ方法を用います。telnetについても,接続してシステムの表示を見るだけで切断する行為を不正と言うべきかどうか,微妙であるという意見もありますし,組織外からtelnet接続があれば拒否して管理者へ警報メールを送るよう設定しているサーバも少なくありません。許されるアクセスの範囲について,結局は,相手方のポリシーあるいは基準に大きく依存します。

 ケース1は,不審なアクセスに対する調査を意図したアクセスが,逆に先方から不審がられて,あるいは好ましくないアクセスであると認識されて,「不正アクセス」と呼ばれたものと言えます。不審なアクセスを発見したときに,直ちに先方へ調査を依頼するよりも,簡単な調査を自ら行うほうが両者のためになると考えられますが,その際に行き過ぎにならないよう,注意が必要です。ただし,調査を許される範囲は不明確ですから,説明が必要になる事態に備えて,予め調査のポリシーや手順を定めておくのが良いかもしれません。

ウェブページの自動アクセスについて

 ケース2で行っていた自動アクセスは,アクセス先が禁止したものでもなく,正常なアクセスの範囲内で行っていたことが誤解されたものです。一方,ケース3で行っていた自動アクセスは,アクセス先が禁止していました。一般に,データベースをWWWで提供して広くアクセスを許している場合であっても,データベースを網羅的にアクセスして内容をダウンロードするようなアクセスは,本来の提供目的に反すると考えられ,特に許しを得なければ行うべきではないと考えるべきです。

 また,WWWはもともと人間が表示を読みながらアクセスすることを想定して始まっていますから,自動アクセスによってトラブルが起きる可能性があり,例えば,自動的なアクセスを重ねて継続的に高い負荷をかけることもすべきではありません。

 ロボットなどによる自動アクセスを許さないWWWサーバやページもありますから,自動アクセスを行うときには注意すべきです。ケース3で出ていたrobots.txtというファイルは,ロボットによるアクセスを制限する紳士協定的なルールであるRobots Exclusion Protocolで定められているものです。また,それぞれのページのHTML文書の中に,ロボットの動作への制限を表すためのロボットMETAタグを使うルールも,同様に紳士協定的に定められています。これらについては,The Web Robots Pages [3] で書き方やロボットが守るべき動作などが説明されています。

おわりに

 不正アクセスは絶対に行うべきではありませんが,不正アクセスと誤解されるようなトラブルも避けたほうが無難ではないかと思います。また,不当に不正アクセスと誤解された場合には,その誤解を解く説明のための労力を要します。厄介な事態を避けるために,ここで紹介したケースや説明が参考になれば幸いです。

参考文献

[1] 「コンピュータ不正アクセス対策基準」, 1996年8月8日告示 通商産業省告示第362号, (通商産業省 報道発表資料本文http://www.miti.go.jp/press-j/past/c60806a2.html
[2] 金谷吉成, 芹澤英明: 「不正アクセス行為の禁止等に関する法律---逐条解説---」, SuperTAINS ニュース, No.21, pp.26-40,(http://www.tains.tohoku.ac.jp/news/st-news-21/2640.html
[3] The Web Robots Pages (http://info.webcrawler.com/mak/projects/robots/robots.html


pub-com@tains.tohoku.ac.jp