改ざん

Falsification

　運用・管理・閲覧・改訂などの権限を有さないネットワーク上のデータを当該管理者に無断で、書き換え・変更・消去をする行為を改ざんという。古典的なものでは銀行の預金データの改ざんに始まり、現在ではWebサイトなどが改ざんに遭うことが多い。現在金融機関では、FISC（The Center for Financial Industry Information Systems）に基づいたオンラインシステム安全対策基準が設けられており、複数データの突き合わせによる、改ざん検出と不正防止の対策が取られているため、架空の金額を上乗せするなどの大胆な犯行を実行することは困難である。

　Webサイトが改ざんに遭った場合、所有する企業体は大きく社会的信頼を損ない、通販サイトなどの場合、通販用端末の停止によりその事業規模に比例して金銭的損失を被ることがある。原因としては、管理者がセキュリティホールを見逃してしまい、放置した結果であることが多い。現状でのWebサイトの改ざんそのものについては、

• クラッカーチームの技術力を誇示するページに置き換える
• 企業や組織のイメージを損なわせるために、わいせつな画像を貼り付ける
• 運用の一時停止を目的として、データを消去する
• 政治的主張を目的として、メッセージを貼り付ける

といった内容のものが多い。中でも海外のクラッカーチームが自分たちの技術力を誇示するためのページ置き換え行為が最も多いようだ。最近の代表的改ざんの例では、国立小児病院のホームページが改ざんされた事件があった。国立の機関がクラッキングされる場合、政治的意図を持ったアジア系のクラッカーグループであることが目立つ。今回のケースでは、「中国人民は、日本政府が1937年の南京大虐殺という歴史的悪事を認めないことについて、抗議運動をもっと大きくせねばならない」との主旨のメッセージが書かれ、中国系クラッカーグループの犯行が疑われている。こういったケースについて、国内法および、近い将来法制化される「サイバー犯罪条約」により分析すると、

• 国立小児病院のアクセス制御を越えた。→不正アクセス禁止法違反。
• この行為が政治的意図を伴う、国立医療機関へのハッキングとデータ破壊。→公安調査庁の定義するサイバーテロリズムに該当する。
• サイバー犯罪条約に基づいて、中国に捜査供与および、当該通信記録の提出を求めることができる。
• 同条約に基づいて、通信当事者を日本国法律によって刑事罰に処すことができる。

という法的解釈ができるのだが、中国がサイバー犯罪条約を批准しない限り、海外のクラッカーを罰せないため、ほとんど実効性がないのが実情である。主要各国が積極的に条約を批准し、国同士で捜査の共助が行われない限り、今後も多数の改ざんの被害が予想される。

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）