三井住友銀行に続き、ジャパンネット銀行でもワンタイム・パスワードが採用されるという（IT Pro　1/26）。ワンタイム・パスワードの生成に使われるのは、同じくRSAセキュリティの「SecurID」である。

利用者全員に配布され、月額手数料も値上げ（一定の利用基準に達していれば無料）される。各行趣向を凝らすセキュリティ対策だが、セキュリティの強度という点では頭一つ抜き出ているようだ。パスワード保護の本命になりつつある気配である。

それを裏付けるかのように、RSAセキュリティとNTTデータが携帯電話向けのワンタイム・パスワード製品を共同開発するという報道もあった（IT Pro　1/26）。既にあるソフトウェア･トークン「RSA SecurID for Mobile Phones」に比べ、利用開始時に20桁ほどの数字（シード）を入力する手間が省けるらしい。

ワンタイム･パスワードの強みは、パスワードの盗聴や漏洩に強い点である。それは、「有効期間が短く」「使い捨て」であることによる。クライアントとサーバーでパスワードの同期を取る必要があり、コストは高い仕組みといわれている。その分利用者にも金銭的負担が強いられる。

しかし、だ。ワンタイム･パスワードにも弱点はある。パスワードを生成してからの有効期間は約1分と短いが、パスワードを生成するところから盗まれてしまったとしたら…。そう、パスワード発生装置（トークン）の盗難である。そのため、本人しか知らないPINコードと合わせて使用するようになっているが、これも盗まれてしまうとどうしようもない。リスクは0にはならないが、「限りなく0に近づける」ためには利用者の努力も欠かせないということだ。

この分野では、RSAセキュリティ社の「SecurID」がデファクト･スタンダードになっている。RSA社によると、欧米では20年以上の実績があるということで、セキュリティの仕組みとしては意外と年季の入ったものだ。インターネットの歴史、OSの歴史と比べると、セキュリティの歴史ははるかに長い。

監査法人のトーマツが昨年5月に引き続き、顧客の取引先の個人情報5万5000件が入ったパソコンをかばんごと盗まれたという報道があった（毎日新聞　1/17）。以前と同様、パソコンのセキュリティ対策が厳重に施されているため、情報が漏れる可能性は低いとしている。このニュースから分かることはいくつかあるが、情報漏洩に備えるために現在考えられる対策というのは、大きく分けて3通りあるのではないかと思うので、まとめておくことにしよう。

それは次の3つである。
●絶対に情報を漏洩しないようにセキュリティ対策をする
●情報が盗まれても絶対に解読できないようにする
●情報が漏洩しても絶対に金銭的な被害を被らないようにする

すぐに思いつくのは一番目だろう。これは、入退出管理やネットワークセキュリティなどが具体的な対策となる。忘れてはならないのが「口の堅さ」で、こればかりは自分以外には防ぐことが出来ない。一番安全な方法は「大事な情報は頭の中に記憶しておくこと」だと言われるが、それさえも生きている限りは絶対に安全とは言い切れないのである。

人の記憶はさておき、「絶対に盗まれない」ことが担保できない場合に、二番目のような対策を考えることになる。暗号化やデータセキュリティ、バイオメトリクスなどがそうだ。最近はこの分野に力を入れたソリューションも増えてきている。が、しかし…だ。暗合されたままの情報を理解できる人はいないので、平文の情報というのはどこかに存在するわけだ。賢い人間はそれを狙うだろう。努力を惜しまない人間なら、暗号の解読やバイオメトリクスを破る労力をも惜しまないかもしれない。

さて、こうしたことを踏まえて「絶対に安全」は存在しないと悟った時、三番目のような対策に走るかもしれない。これには、情報漏洩保険などがある。米国などではこの部分にお金をかけるのが主流になってきているようだ。ただし、信用やブランドイメージは保険では回復できない。

結論だが、情報のレベルに応じてどこまでやめるかを決めれば良いということである。情報の重要度が高い場合には二重三重の対策をする。ただし、情報社会に生きる我々にとって、「個人情報」はいつか流出するものだ、と覚悟を決める以外の道を探すことは、極めて困難である。

昨年10月、Winnyを媒介して感染する「Antinny」駆除ツールをマイクロソフトが公開し、20万以上のAntinny駆除に成功した、と同社及びTelecom-ISAC Japanが発表したのがその1ヵ月後（INTERNET Watch　2005/11/21）。通信量も大幅に減少したと言われていたが、今年に入ってもWinny事件は続発している。

改めて危機管理を促す一助となることを目的として、Winny事件を遡って見ることにする。

＜2006年＞

1/19	筑波大学学生個人PCがWinnyウイルスに感染し、患者の診療情報が流出
1/17	三井住友海上火災、業務委託先社員所有PCがWinnyウイルスに感染し、顧客情報590名分が流出

＜2005年＞

12/27	NECフィールディング社員の自宅パソコンがWinnyウイルスに感染し、82顧客の情報の情報が流出
12/22	CSKシステムズ従業員の個人所有パソコンがWinnyウイルスに感染し、同社主催イベントの案内送付先情報が流出
12/22	関西電力社員の個人所有パソコンがWinnyウイルスに感染し、関係会社の原子力に関する業務情報が流出
12/19	NTT東日本社員の自宅パソコンがWinnyウイルスに感染し、法人顧客情報と社員情報が流出 >> 詳細
11/25	JR西日本員の自宅パソコンがWinnyウイルスに感染し、顧客情報と社員情報が流出
10/7	アフラック販売代理店が所有するPCがWinnyウイルスに感染し、顧客情報が流出
9/22	野村インベスター・リレーションズ社員の個人所有のパソコンがWinnyウイルスに感染し、メールマガジンの購読希望アンケート回答者の個人情報が流出
9/16	九州電力社員の個人パソコンがWinnyウイルスに感染し、火力発電プラントに関する技術資料などが流出
8/30	三菱重工業協力会社技術者の個人のパソコンがWinnyウイルスに感染し、三菱重工業高砂製作所用タービン（原子力発電所のタービン含む）、水車等に関する検査関連情報などが流出

これは企業がWebサイトで情報を公開し、その原因がWinnyのウイルス感染による、と公表しているものだけをリストアップしたため、一般に報道されたり、Winnyウイルスの疑いがもたれているものなどは除いてある。Winnyの暴露ウイルスが社会問題になっている昨今、きちんとした情報を公表していない企業は、より悪質である。特に自治体や省庁、学校、病院、原発、自衛隊などからも情報が流出していたことは付け加えておきたい。

ネットバンクのセキュリティ対策は「使い捨て暗証番号」など度々紹介しているが、みずほ銀行はインターネットバンキングのログインパスワードを32桁まで拡大すると発表した（毎日新聞　1/17）。

同行のログインパスワードは英数混在なので、1桁増えるごとに35通りほどパスワードの組み合わせが増える計算になる。それが32桁にもなると膨大な組み合わせとなり、安全性は相当高いといえる。

とはいえ、キーロガーなどでパスワードそのものを盗まれてしまえば元も子もない。つまり、スパイウェアに強いとは言えないし、事実みずほ銀行もそのような発表の仕方はしていない。

また、32桁ものパスワードをいったいどうやって覚えるのか？という問題もある。これについては、ユーザーがパスワードを任意に設定できるため、「類推されにくく覚えやすい」パスワードも設定できるとしているようだが、あまり意味のない対策のような気もする。

ところで、一口にパスワードの安全性といっても、４つぐらいの視点があると思われる。

一）パスワードの桁数を増やす、使用する文字の種類を増やす
これは、パスワード文字列の組み合わせを増やすことで、パスワード自体のセキュリティ強度を高めようというアプローチだ。

二）パスワードを送信する通信の暗号の強度を高める
これも根本的には一）と同じ考え方である。ただ、パスワードそのものというよりも、「通信」をセキュアに、という考え方で、通信を傍受されることに対する対策と言える。

三）パスワードを定期的に変更する
これは万が一パスワードを盗まれた場合、被害を最小限にとどめる、あるいは仮に悪意ある人間が暗号化されたパスワードを傍受したとしても、それを解読している間にパスワードを変更してしまって意味を成さなくする、という効果を狙ったものだ。

四）パスワードを入力させない
多少語弊のある言い方だが、最近話題となっている「ソフトキーボード」や「ワンタイムセキュリティボード」などがこれに当てはまる。キーボードを使ってパスワードを入力しない、あるいはパスワードそのものは入力させずに他の文字に置き換えて入力させる方法で、キーロガー対策のための安全性である。バイオメトリクスもこの延長といえる。

こうして見ていくと、パスワード一つ取ってみても複数の脅威が存在し、それらすべてに対して対策を講じなければ本当に安全なシステムとは言えない、ということだ。

米軍といえどもセキュリティ対策は万全ではない――そんな衝撃的な事実が判明した（ITmedia 1/12）。米軍が使用しているコンピュータアカウントのうち最大20％が許可されていないか停止されたものであることが、セキュリティ監査によって明らかになったというものだ。最もセキュリティに厳しそうな軍部でさえ、最も基本的なセキュリティ対策すらなされていない、というのは驚きである。

同報道によれば、米国の国防情報システム局や陸軍韓国部隊などで合計数千件以上の不正なアカウントが利用されているという。退職者のアカウントが適切に削除されていない、というケースはずさんな企業ならまだまだ見られる光景だが、米軍もその例外ではなかったということだ。そして、これは即ハッカーやスパイ活動への足がかりとなるもので、事実、不正アクセスに利用されるケースもあったようである。

米軍の弱点はそればかりではない。セキュリティパッチの適用も手作業に頼った非常にゆっくりしたものだという。民間企業でもパッチ適用は非常に四苦八苦している点だと思われるが、コンピュータに囲まれたビジネスをしている現在、これは意外と人的コストを要する作業である。情報システムは城壁や堤防と同じように、時間が経てば経つほど穴が増えていき、劣化していくものであるということを忘れてはならない。メンテナンスを常に欠かさず施していかなければ、セキュリティの強度は維持できないのだ。

スパイウェア被害に悩まされるネットバンキングだが、その対策としてソフトキーボードやワンタイムセキュリティボードが導入されていることは以前紹介した。そして、アンチ・ソフトキーボードともいえる手法についても紹介している。

今回、三井住友銀行が採用したのは、「使い捨ての暗証番号」方式である（毎日新聞　1/12）。これは本当の意味でのワンタイムパスワード方式で、以前紹介した方式との違いは、暗証番号自身が毎回変わるということである。イーバンクのワンタイムセキュリティボードの場合は、暗証番号自体は変わらず、それを取引ごとに違う文字に置き換えて入力する、というものだった。

同報道によれば、「使い捨て」方式は国内の銀行初の方法だそうだ。サービスは月額利用料105円で提供され、「パスワード生成機」を利用者に配り、この生成機で取引ごとに生成された暗証番号を通常の暗証番号に加えて入力するようだ。60秒ごとに暗証番号が更新され、一度認証に成功した暗証番号は、その時点で利用できなくなるため、盗まれてもリスクが低い仕組みになっている。ワンタイムパスワードの技術にはRSAセキュリティ社のRSA SecurIDハードトークンが採用されている。

気になるのはやはり月額利用料がかかる点だろうか。安全のためなら身銭を切れ、ということで、セキュリティにお金がかかる現代なら致し方ないが、100円程度でも不満を特に感じるのは、銀行だからというのが大きい。減りはすれども増えはせず、これ以上の預金の目減りは何とかして欲しい。

日本では監視カメラの導入が繁華街の治安改善に役立っているようだが、世界的にもこうした動きは広がっているようで、オーストリア政府は裁判所命令なしに警察が監視カメラを設置できる法律を可決したらしい。

一方で、このような流れに反発したハッカーたちが「監視者を監視する」として監視カメラの映像を傍受する方法を考え出したという（WIRED NEWS　2005/12/29）。同報道によれば、自分が監視されているかどうかが調べられるサイトも既に存在しているようだ。

WIRED NEWSではこのほかにも、顔写真のネット検索が可能になる顔面認識サービスや3D人相認識によるバイオメトリクスなど、顔認識に関する興味深い記事が多く掲載されている。

米国では、テロ対策と称して入国する外国人の指紋と顔写真の登録が実施されているなど、セキュリティ強化とは裏腹に人権の侵害もどんどん加速しているように思われる。昨年は日本で個人情報保護法が大きな話題となったが、その一方でまったく反対の動きもあるということである。

Webアプリケーションを少しでもかじったことのある人なら、裏でDBが動いているシステムの場合、必ずSQL操作言語である「SQL」が実行されていることは知っている人も多いはずだ。検索、登録、削除といったHTMLのフォーム上の操作も最終的にはSQLの実行に落とし込まれるわけである。

こうした仕組みを知っていると、Webアプリケーションの入力データとして不正なSQL文を渡すという不正アクセスの手口もすぐに思いつく手法である。これがSQLインジェクションである。クロスサイトスクリプティングと並んで代表的なWebアプリケーションの脆弱性の一つである。SQLでは特殊な意味を持つ「'」などの文字を無効化するプログラムを書いておくことが対策の第一歩である。

かなり以前から知られている手口にも関わらず、こうした対策がなされていないサイトはまだかなりあるようだ。

昨年起きたカカクコム改竄事件、Ozmallの不正アクセス事件、ワコールのECサイト不正アクセス事件などもSQLインジェクションによるものだったことが明らかになっている。