“sniff”がくんくん嗅ぐことを意味する単語だが、それが転じてネットワークのパケットを盗聴することをスニッフィング（sniffing）というようになったようだ。

本来はネットワークのトラフィックを監視し、ネットワーク管理者が利用するものだったが、今ではこれを悪用してパスワードやEメールの内容などを盗み見る「クラッキング手法」の一つとして悪名高い。

ネットワーク機器であるハブは、現在ではスイッチングハブが普及しているが、昔ながらのリピータハブでは、LAN上の全端末にパケットが送られてしまうという特徴を持つ。スニッファ・ソフトを使ってネットワークインタフェースをプロミスキャスモードに設定すると、本来なら自分宛ではないパケットを破棄するところを、すべてのパケットを受信できてしまう。これが最も基本的なスニッフィングの手口とされる。無線LANでは今でも同様の手法で簡単に盗聴ができると言われている。

その他にも、ARPプロトコルを悪用するARPスプーフィングや、パッシブタップというネットワークを流れるデータを分岐する機器を使って盗聴する方法も知られており、「安全な通信」を本当に考えるのであれば、暗号化が欠かせないということである。

CEO（Cheif Executive Officer：最高経営責任者）やCOO（Cheif Operating Officer：最高業務執行責任者）、CFO（Cheif Financial Officer：最高財務執行責任者）などに続き、重要性が増してきているのがCIO（Cheif Information Officer：最高情報責任者）やCSO（Chief Security Officer：最高セキュリティ責任者）である。特に企業のセキュリティ対策負担が増えている昨今、CSOの設置が増えているといわれている。

CSOはCIOと連携して情報セキュリティを管理するほか、物理セキュリティや法務など企業の危機管理全般を担当する役割であり、カバーする領域は広い。またセキュリティはその性質上、費用対効果が算出しにくく、通常の予算とは切り離して活動していく場面も多い。これらの内容を見れば、その重要性と権力の大きさは想像に難くない。

とはいえ、CSOの定義はまだ曖昧なのが現状。その業務内容や責任の範囲も明確に決まっているとは言いがたい。ただし、肩書きはともかく、企業のセキュリティを統括する専任の責任者が必要な時代になってきているのは間違いない。PマークやISMSを取得するならなおさらである。

テロを実行に移すとき、その引き金となる合図は何なのか。テロを指揮する者が実行部隊に対して、何らかの「信号」を送っているという説がある。そして、犯罪の場合は、通信内容を暗号化しても、マークされている人間が通信をするだけで、あるいはいつもと違う行動をするだけで、「何かあるのではないか」と当局に感づかれてしまう可能性があるのだ。戦国時代、炊事の煙の多さから武田軍の動きを知った上杉謙信の逸話に似ている。

そこで、通常のメッセージの中に特殊なメッセージを埋め込み、それに気付いた人間だけがメッセージを受け取れる、という技術がステガノグラフィーである。画像や音声の中にメッセージを隠し、テロリストが連絡用に利用しているといわれている。専用のソフトを使えばステガノを作成することも出来るが、例えばWordに背景と同じ白色の文字で文章を書く、などでも簡単なステガノにはなる。普通の人にはそれは「スペース」にしか見えないからだ。

これを応用していくと、道端の落書きを一定のルートで追ってみる、毎日の電話の第一声の文字を一週間つなげてみる、などでも「隠されたメッセージ」を読み取れる可能性があることに気が付くだろう。ステガノとはそういうことである。探そうと思うととてつもなく見つけるのが難しい代物であることが分かる。

英語ではsteganography（電子あぶり出し技術）である。それでもプロはその経験とカン、あるいはある一定の「ノイズ」を感じ取ってステガノを検出してしまうらしい。秘密通信には暗号かステガノか。広い意味ではどちらも暗号だが。
解読成功!
ちなみにこの文章の中にもごく初歩的なステガノが埋め込まれているのだが、気付いただろうか。

Webアプリケーションを少しでもかじったことのある人なら、裏でDBが動いているシステムの場合、必ずSQL操作言語である「SQL」が実行されていることは知っている人も多いはずだ。検索、登録、削除といったHTMLのフォーム上の操作も最終的にはSQLの実行に落とし込まれるわけである。

こうした仕組みを知っていると、Webアプリケーションの入力データとして不正なSQL文を渡すという不正アクセスの手口もすぐに思いつく手法である。これがSQLインジェクションである。クロスサイトスクリプティングと並んで代表的なWebアプリケーションの脆弱性の一つである。SQLでは特殊な意味を持つ「'」などの文字を無効化するプログラムを書いておくことが対策の第一歩である。

かなり以前から知られている手口にも関わらず、こうした対策がなされていないサイトはまだかなりあるようだ。

昨年起きたカカクコム改竄事件、Ozmallの不正アクセス事件、ワコールのECサイト不正アクセス事件などもSQLインジェクションによるものだったことが明らかになっている。

最近「フォレンジック」という用語をよく目にするようになってきた。英語ではForensic、「法の」という意味で、「コンピュータ・フォレンジックス」というセキュリティの分野が日本でも確立されてきている。これは、コンピュータにまつわるログの改竄やデータの持ち出し、破壊などの不正行為に対して、ツールを使ってコンピュータ内のデータを調査・分析し、不正アクセスや証拠隠滅の痕跡を追跡する手法で、警察をはじめ、民間でもこうした業務に携わっている人（アクセス探偵）もいる。

コンピュータ・フォレンジックスの手法は多岐に渡り、高度で根気のいる作業であると言われている。最終的には本来の意味である「法的な」対応までをも含む場合もあるようだ。コンピュータ・フォレンジックスの捜査では、まずデータの「物理的な」バックアップ、つまりハードディスクの中身を丸ごとバックアップすることから始まる。そして、タイムスタンプ調査や文字列探索などを駆使し、時には削除されたデータを含めた調査が行われるのである。

最近のインシデントが多発している状況を受けて、コンピュータ・フォレンジックスに対する需要も高まっているようだが、実際にはフォレンジック技術を身につけた人が足りない状況らしい。日本では、ネットエージェント社やUBIC社などがフォレンジックサービスを提供している。