ファイアウォールを通過する悪意あるアクセスで事件発生！

　私は、仕事柄、「日経ＳＹＳＴＥＭ」と「日経コミュニケーション」、「日経ネットワーク」を定期的に購読していますが、日経ＳＹＳＴＥＭ（2007年1月号）に、（株）エネルギア・コミュニケーションズでネットワークセキュリティコンサルタントとして活躍している、濱本常義（はまもとつねよし）氏のコラムが記載（p15）されています。興味深いというよりも、知識のある人で、セキュリティ部門を担当する人にとって、非常に悩ましい、現実に起きているケースを紹介しています。 　ブログを書いている人で、自分のランキング（アクセス数）を上げたい、と思っている人は多いと思います。内容はこうです。ある組織内のある人が、インターネット検索しＷｅｂページを開いて、Ｗｅｂブラウザを開いたまま、席をはずしたか、何かの用事ができてか、その状態を放置したということです。後で判明したこととして、その開いていたＷｅｂページでは、JavaScript が動作していて、Ｇｏｏｇｌｅの検索サイトにアクセスし続けていたそうです（そのＷｅｂページは、キーワードランキングを上げる為、JavaScript でプログラミングして、Ｗｅｂページが開かれたら、前述の動作をするように仕込んでいたということです）。 　その結果、Ｇｏｏｇｌｅは、このアクセスをＤｏＳ(Denial of Service)攻撃（サービス使用不能攻撃）と見做し、その組織のグローバルＩＰアドレスからのアクセスを遮断してしまったということです。一般に、内部は、ローカルＩＰアドレスを使用して、外部にアクセスする場合に、割り当てられたグローバルＩＰアドレスに変換（これをＮＡＴ：Network Address Transration と呼びます）してアクセスします。ですから、このケースでは、同じグローバルＩＰアドレスを使用する人達すべてが、Ｇｏｏｇｌｅのサービスを利用できなくなってしまったということです。（恐らく、被害は甚大です） 　以上のケースの意味するところは、ネットワーク上には防ぐことが極めて困難な落とし穴（セキュリティ・ホール）があるということ、ひとたび嵌ってしまうと、ケースによりけりですが被害が甚大に及ぶということです。このケースを個人がブログを行う場合に置き換えて想定すると、下記の図のように表現できると思います。 　　　 ■自分のブログランキングを高める為に、図の(1)～(3)を自動的に行うように、JavaScript でプログラミングして、定期的に実行する。もしくは、自分のページに前述のケースのようにＧｏｏｇｌｅ検索するように仕込み、誰かが参照にきて見事ページを開いてくれたら、裏動作でＧｏｏｇｌｅ検索を繰り返す。 ■やろうと思えば出来ない話ではありませんが、何事にも「やっていいこと」と「やってはいけないこと」があります。それを倫理観といいますが、能力があって倫理観のない人程、始末が悪い。と言えます。強盗に走る警察官や、証券マンのインサイダー取引など、例を上げればきりがありません。 　どんな職業、どんなランク・レベルの人でも、しっかりした倫理観をもって行動できて、一人前と言えます。能力があって、知識があって、できるのでやってしまいました、では、半人前以下どころか、場合によっては、犯罪者になってしまいます。くれぐれも、人生を棒に振るようなことはしないように、自分を戒めて行動しましょう。