悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2003年12月16日(火) 22時46分

長野県、住基ネット侵入実験結果を公表 - 個人情報の改ざんが可能?MYCOM PC WEB

長野県は、9月から11月にかけて県内3町村で実施された住民基本台帳ネットワーク(住基ネット)侵入実験の結果を公表した。住基ネットデータ送信用サーバ(コミュニケーションサーバ、CS)侵入には成功、自治体管理の個人情報の改ざんや盗み見ることが可能だったという。インターネットからの侵入は成功しなかった。

実験では、(1)インターネットから庁内LANへの侵入(2)庁内LANからCSへの侵入(3)無線LANで庁内LANへのアクセス--の3種類を実施。(1)と(2)については失敗、(3)は成功、という結果に終わった。

住基ネットでは、市区町村内の住基ネットデータを扱うCSとそのクライアント端末があり、庁内LAN、および都道府県や地方自治情報センターへデータを送信するゲートウェイ側にはファイアウォール(FW)が設置されている。

今回の侵入実験では、CSと既存住基サーバ(住基ネット稼働以前から情報を集約しているサーバ)に対して容易に侵入が可能だった。サーバに利用されていたWindows OSに適切なセキュリティパッチが適用されないまま運用されていたほか、サーバ上のソフトウェアにはバッファオーバーフローの脆弱性が存在、管理者権限を奪取できた。さらにCSと庁内LAN間のFWを通過する方法も発見したという。

住基ネットの安全性を確保するため、地方自治情報センターが24時間FWの監視を行っており、事実11月28日に県がCSとFWをつなぐケーブルを物理的に抜き差しした際には同センターから通報があった。しかし、11月25日に管理者権限を奪取し、同日FWを通過する方法を発見したときにはセンターからの通報はなかった。

これにより県では、CS・既存住基サーバのデータは盗み見・改ざんが可能であり、CSへのアクセスをセンターが検知できず、そして市町村の住基ネットデータが改ざんされると、それが真正のデータとして全国の自治体で扱われることが判明。これにより(1)選挙人名簿に記載されていないことにして選挙をできなくさせる(2)国民年金データを改ざんして転居させ、転居した場所でより多い額の年金をもらう(3)税金の滞納データを消去し、勝手に転出させる--などといったことが可能になるとしている。

今回の実験の第三者評価者となった総務省の住基ネットシステム調査委員会委員の伊藤穣一氏(ネオテニー代表取締役社長)は、「当該の場所(実験場所)においてのセキュリティレベルは平均以下。さまざまな個人情報が盗まれたり改ざんされたりすることに対して危険な状態にある」とする。さらにサーバのパスワードがわかりやすかった点、ソフトウェアに脆弱性が存在していた点などもふまえ「平均的コンピュータネットワークエンジニアなら誰でも侵入可能」と断じた。

ただし今回の実験では、不正アクセス禁止法などとの兼ね合いもあり、住基ネット側とCS間のFWについては実験が行われなかった。これらをふまえて田中康夫・長野県知事は会見で総務省との合同実験を提案。また県では、県内市町村に対してCSの安全性チェックなどセキュリティの徹底を呼びかけた。なお、今回は調査結果の速報ということで、技術的な詳細などについては明らかにされていない。

対する総務省側では、10月に品川区で侵入実験を実施。CS、FWいずれも侵入できなかったとしていた。今回の実験についても県がインターネットから侵入できず、FWはいずれも破られていないことから「(県が)意図した侵入実験は失敗した」とのコメントを発表。CSへの侵入は「サーバ室の鍵を開け、サーバを設置しているラックの鍵を開けるなど物理的な侵入によるもの」と、実験方法に問題があったと指摘する。

FWを通過する方法を発見した、という県の発表について総務省担当者は、詳細が明らかでないため推測、と前置きしつつ、「(住基ネットデータが通過するための)ポートがわかった程度ではないか」とする。セキュリティパッチが未適用という点については、「パッチ適用における検証作業を慎重に行っており、できる限り速やかにパッチは当てているが、実験の際に間に合わなかったものがあった」という。パスワード設定の問題などについても今後適切な技術的支援を行う予定だという。

管理者権限を奪取された際に地方自治情報センターから通報がなかったとする点には、同センターが地方自治体管理のCSをすべて監視する権限はないとし、「それは地方自治体の役割」と指摘。CSからの通信途絶によるネットワークの異変は監視するものの、それ以上の権限をセンターが持っていないという。

総務省側は、県側のCSへの侵入成功は認めつつ、FWが破られず、インターネットから侵入できなかったことと、物理的なセキュリティを排除した実験方法に問題があったことなどをふまえ、適切な設定と管理を行っていれば住基ネットのセキュリティは確保できるとしている。

【レポート】住基ネット第2次稼働間近 - その現状と問題点とは(1)
http://pcweb.mycom.co.jp/news/2003/08/07/20.html

【レポート】RSA Conference - 住基ネットと住基カードのセキュリティ
http://pcweb.mycom.co.jp/news/2003/06/03/22.html

住民基本台帳ネットワークシステム
http://www.soumu.go.jp/c-gyousei/daityo/index.html

総務省
http://www.soumu.go.jp/

長野県
http://www.pref.nagano.jp/

(MYCOM PC WEB)

http://headlines.yahoo.co.jp/hl?a=20031217-00000097-myc-sci

最新のニュース記事一覧
お問い合わせ