Linuxの防衛システムへの採用に対し、米ソフト会社のCEOが警告を発した。UNIX開発者が仕掛けたバックドアが14年間発見されなかったことを持ち出し、「大勢でソースコードを監視しても問題を防げない」と指摘(IDG)。Linuxのソースコードを「大勢の目」で監視することで、問題を迅速に発見するやり方に頼る人々への警告として、Green Hills SoftwareのCEO(最高経営責任者)は先週、UNIX開発者のケン・トンプソン氏が、すべてのUNIXシステムに自動的に同氏のユーザー名とパスワードを付加するバックドアを、どうやってUNIXのバイナリコードに埋め込んだか――そしてその秘密が明かされたのは14年後だったこと――を指摘した。
バージニア州マクリーンで開催されたNet-Centric Operations Industry Forumでの講演でGreen Hillsのダン・オダウド氏は、Linuxの採用が米国の防衛システムで広がっていることについて、深刻で切迫したセキュリティの脅威になると主張した。
「オープンソースプロセスのまさにその本質によって、Linuxは防衛向けアプリケーションから除外されるべきだ」と同氏。
さらに同氏はこう続けた。「オープンソース方式はすべてのセキュリティ原則に反する。この方式では、皆がLinuxに貢献することが歓迎されている。Linuxが最も高度な防衛システムの制御に使われることを国外の諜報機関やテロリストが知っている以上、彼らが身分を偽って破壊的なソフトを提出し、それが米国の最も高度な防衛システムに組み込まれる可能性がある」
さらにオダウド氏は、ロシアと中国の開発者もLinuxソフトの開発に参加していると指摘。最近では組み込みLinux企業MontaVista SoftwareのCEOが、同社が「国外に2カ所の開発センターを設けており、1つはロシアにあり、もう1つは中国に開設したばかり」ということを明らかにしている。
Linuxは未来戦闘システム(FCS)、統合戦術無線システム(JTRS)、地球情報ネットワーク(GIG)など重要な防衛システムの機能性、セキュリティ、通信を制御するために使われていると同氏。
「Linuxに弱点があれば、わが国の防衛が無効化されたり、スパイされたり、乗っ取られたりするかもしれない。ロシアや中国など、世界の各地で Linuxに日々新しいコードが加えられている。そしてそのコードはわが国の指揮、制御、通信、武器システムに日々取り入れられている」。同氏はこう語り、次のように続けた。
「防衛環境でのLinux採用は、古典的なトロイの木馬の筋書きのようだ――“タダ”のソフトの贈り物が、重要な防衛システム内に入ってくる。システム内に組み込まれた後で動き出す危険なコードが含まれていないことを証明させずに、Linuxで防衛システムを走らせる計画を進めれば、トロイと同じ運命をたどることになる」
オダウド氏の言葉で特に説得力があったのは、Linux支持者の「Linuxはソースコードがオープンであるため、セキュリティは保証されており、Linuxを監視する“大勢の目”が迅速に問題を発見する」という主張を打破したときのものだった。
(Linuxに大きな影響を与えた)UNIXを最初に開発したトンプソン氏が、この主張が真実でないことを証明しているとオダウド氏は語った。トンプソン氏はUNIXのバイナリコードに、すべてのUNIXシステムに自動的に同氏のユーザー名とパスワードを付加するバックドアを埋め込んだ。
トンプソン氏は14年後にその秘密を明かしたときに、こう宣言したという。「これから得られる教訓は明白だ。自分で作ったものでないコードは信用できないということだ。ソースレベルの検証や監視をどれだけ行っても、信用できないコードから身を守ることはできない」
「Linux開発者が生まれる前に、ケン・トンプソン氏は既に“大勢の目”でソースコードを監視しても問題を防げないことを証明していた」とオダウド氏。「米国家安全保障局の最も厳しいセキュリティ評価Common Criteria Evaluation Assurance Level 7(EAL 7)に通過するよう設計されたOSが出回っているというのに、Linuxが防衛アプリケーションに採用されている」
「より安価なセキュリティは要らない。より良いセキュリティが必要なのだ。Linuxに1つでもバックドアがあれば、あるいは1回の侵入、1つのウイルス、ワーム、トロイの木馬でも、わが国の最も高度なネットワーク中心の防衛がすべて崩壊する可能性がある。安全だと立証されたソリューションを捨てて、Linuxは金の節約になるという幻想を選んではいけない。国家安全をLinuxに委ねてはならない」とオダウド氏は結んだ。
[IDG Japan]
Copyright(C) IDG Japan, Inc. All Rights Reserved.
2004/04/14 17:39 更新
「安全だ」ということにしたいのです。
TK-80BS (スコア:1)
seeds のコメント: 2004年04月30日 16時54分 (#539957)
(ユーザ #20964 情報)わたしが初めて触ったのは、東芝のEX-80というワンボードマイコンに載っていたものでした。キーボードがタッチセンス式で「ピコピコ」鳴ってましたね。
確か、場所は角田電器の最上階だったと思います。つぎに触れたのが(これが後に私の人生を左右することになるのですが)、NECのTK-80BSでした。
もちろん、場所はビットインです。友人とI/O誌やマイコン誌をもちこんでは遊んでいました。
日曜日になると朝一にならんでなんとか新しめのもの(同じTK-80BSでもBASICのバージョンが新しいものと旧いものを置いてあったと記憶していますが)で遊ぼうとがんばったものです。遅れると場所取りができないので遊べませんし、場合によってはBASICを搭載していないTK-80無印で16進キーでマシン語を(ダンプリストを)打たないと遊べないという情况になりました。
わたしたちが昼食に出ている間だとかに荷物を置いて席取りをしておけば、横に坐ったひとがみていてくれたりだとか、べつのひとの席を後から来たひとが勝手に使おうとしても、その近くのひとが「そこ、使ってるよ」と、開店前から並んでいた人達の間での「仁義」というかマナーみたいなものが確立されていたように思います。
丁度、ファーストガンダムが本放送されていた時期でしたので、マイコン=コンピュータを個人が使うという情况と、ガンダムの後半で語られ始めたニュータイプというヒトの革新みたいなものが、なにかとてもリアルに感じたのを憶えています。高校生になりPC-8001を買ってもらい、はじめはゲームしか入れていませんでしたが、bit誌に載ったBASICでPrologをインプリメントしたものなどを打ち込んだり(もちろんカセットテープで保存です)、真剣にプログラミングの勉強をはじめるようになりました。
当時はBASICはいろいろ不自由で困っていましたが、今にして思えば、BASICが限界を持ってくれていたお陰で、いろいろ他の言語に興味をもてたのかもしれません。
40才おめでとうございます。
陸上自衛隊の内部資料や顔写真付き社員住所録など、外部に出てはならない200種類を超えるデータがインターネットに相次いで流出、パソコンのファイル交換ソフト「Winny(ウィニー)」で閲覧できる状態になっていることが29日、毎日新聞の調べで分かった。いったん流出したデータの消去は現状では難しく、ウィニーのネットワークには、日々新データが蓄積される“秘密文書の保管庫”が放置されている格好だ。専門家は「早急に技術的な解決策を模索すべきだ」と指摘している。防衛庁によると、陸自の内部資料の流出があったのは02年11月。第1普通科連隊重迫撃砲中隊(現在の第5中隊、東京都練馬区)の当時の幹部が自宅でウィニーを使用し、誤ってパソコンに保存していたデータを流出させた。データは「教育訓練実施計画」「第1中隊総員名簿」「精神教育の書式」など約10種類のファイル。隊員の住所や性格、細かい訓練スケジュール、駐屯地人員や車両状況一覧などが記載され、印刷すると数百枚に及ぶという。
防衛庁は昨年2月、職場に私物のパソコンを持ち込んだとして、この幹部を職務上の注意義務違反で減給15分の1(1カ月)の処分にした。さらに、私有パソコンの管理を徹底するよう通達も出したが、公表していなかった。同庁は理由として、「流れたものは回収できず、さらに複製されるのを避けるため」と説明している。
一方、愛知県の郵便局からは局員の賃金表や誤配状況リストなどの内部資料が流出。日本郵政公社東海支社は今月中旬、管内の約2500の全郵便局にインターネットに接続する際は情報管理に気をつけるよう文書で指導した。
このほか、以前ネット流出が問題となった公安調査庁の約600人分の自宅住所などを載せた職員名簿▽自宅電話番号などが記載された東京のエステサロン会社の約5万人分の顧客名簿▽京都府警と北海道警の捜査関係書類−−などもウィニーネットワークに蓄積され、コピーが続いている。
■■法規制、進歩に追いつけず
インターネットに詳しい甲南大法科大学院の園田寿教授(刑法、情報法)の話 個人情報が一度ネットに出てしまうと救済できない。法律で規制をかけようにも技術の進歩が早すぎて、あいまいで大きな網にならざるを得ず限界がある。早急に悪意の情報発信者を特定するなどの技術的な解決策を模索するしかない。
■■人気ソフトに危険なワナ
「弁護士や警察に相談しても手立てがないと言われ、途方に暮れている」−−。パソコンのファイル交換ソフト「Winny」(ウィニー)のネットワークに蓄積され続ける、膨大な内部資料や個人情報のデータ類。企業や団体は、データの流出が分かっても消去できないため、泣き寝入りを強いられているのが実情だ。人気ソフトがはらむ危険性が浮き彫りになった。
■■流出データの実態
自衛隊流出資料の一つ、「編成表」という名のファイル。第31普通科連隊第1中隊(静岡)という表題のあるページには、小隊、班別に分類された隊員構成を記載。氏名や住所、生年月日、認識番号などがデータベース化されている。さらに「野戦砲」「無反動砲」などの「保有特技」欄や、「兄が社長」「直属上司の理解不十分」「親が反対」との人物評などを記した「備考欄」まである。
3月下旬に流出が判明した京都府警と北海道警の捜査関係書類も“展示”されたままだ。ウィニーを使ったダウンロードが繰り返されているという。捜査情報データの中には、そのままでは開けない(読めない)形式のものも含まれているが、わざわざ開くことができるソフトを付けて流通している始末だ。
■■技術的手立てを模索
東京のエステティックサロン会社によると、02年5月に同社サイトから約5万人分の個人情報が漏えいした。ウィニー以前に主流だった、別のファイル交換ソフトで流れたが、被害者らは同社の支援を受け、プロバイダーを相手取り、発信者情報の開示を求めて東京地裁に提訴。地裁が訴えを認めたため、このファイル交換ソフト上での流出データは消滅した。
しかしその後、ウィニーで同じデータが流れていることが判明。匿名性が高いウィニーでは、発信者を特定することは技術的に難しく、同社は「情報セキュリティー会社とも相談して、技術的な手立てを探している段階」と話している。
■■2次被害も
ネットでは、データを売る業者が存在し、個人への嫌がらせなどの被害も出ている。流出した個人情報を集めたものとみられる「秘密情報売ります」などの広告がネットで流れているほか、情報を悪用したダイレクトメールやいたずら電話が発生。顔写真が付いた女性社員録が流出した中部地方のある金融機関は、社員に電話番号を変えるよう促すとともに、悪質なケースは警察に届けているという。
■■流出メカニズム
門外不出のデータがなぜ流出したのか。ユーザーによるウィニーの操作ミスも目立った。通常はユーザーが「提供してもいい」と決めたデータだけを、ウィニーの決められた保管場所(フォルダー)に入れておくが、不注意から、そこに大事なデータを入れてしまっていた。しかし中には、他で入手した個人情報を嫌がらせ目的や面白半分で、そのフォルダーに入れておき、ウィニーネットワークに“放流”したとしか思われないケースもあった。
■■ユーザー側に認識の甘さも
「ウィニー」に代表されるファイル交換ソフトをめぐっては、著作権法で保護されている音楽ソフトやパソコンソフトなどの違法なダウンロードの温床として関係者から利用方法が問題視されてきた。米国では99年に音楽ソフトの違法コピーが社会問題化して裁判にまで発展し、日本でも同様の訴訟が相次いだ。
ソフトメーカーでつくる、コンピュータソフトウェア著作権協会によると、03年1月に実施した調査では、日本国内のファイル共有ソフトの利用者数は当時、約165万人で、このうちウィニーの利用者は22万人を占めていた、という。
同協会は「ウィニーは従来のファイル交換ソフトと比べて、第三者のパソコンを経由するなど匿名性が高いために、『捕まらない』として人気となったようだ」と分析するが、「悪用者を特定して削除を求めるのは不可能に近い」と頭を抱えている。
一方、ウィニーは情報交換に便利な半面、ちょっとした操作上のミスやずさんな管理が原因で、瞬時にインターネットで情報が広がってしまうリスクも大きい。ユーザー側の認識の甘さも指摘されている。今回明らかになった陸上自衛隊の内部資料の流出は、公的機関の重要情報も例外でないことを初めて裏付けた。
さらに、数年前に流出してプライバシー侵害が問題になった情報についても消去できず、不特定多数の人が入手できる状態を再生産するネット社会の深刻な一面も見せつけた。
■■ことば=ウィニー
ユーザー同士が、それぞれのパソコンに所有している音楽、写真、映像などの情報を共有し、交換し合う「ファイル交換ソフト」。「47氏」と名乗る人物が作成し、02年5月に公開された。複数のサイトから無料でダウンロードできる。
各自が欲しいデータを提示し、そのデータを所有しているユーザーが提供するネットワークが網の目のように広がっている。匿名性が高く、誰がどんなファイルを持っていて何をダウンロードしているのか、誰にも分からないような仕組みになっている。
ヒット曲や最新映画、ゲームソフトなどが無料で手に入ることが“公然の秘密”となっており、利用者は100万人を超えるとみられる。しかし、著作権法を違反するケースが横行。京都府警は昨年11月、ウィニーを使い著作権のあるゲームソフトなどを不特定多数が入手できる状態にしたとして、同法違反容疑で2人を逮捕した。
2004年4月30日
めんどくせー!
やはりここで寝るのは体に悪い。
GREE.jp から新着お知らせメール
更新された日記はありません。
更新された伝言板はありません。
更新されたオススメはありません。
更新された紹介文はありません。
だったらお知らせせんでええっちゅうねん!