Slide 02

   

● 解 説 ●

●現在国際的に広く普及しているMicrosoft社の基本ソフトである Windows 9x系OS(95, 98, 98SE, ME) および Windows NT系OS(NT4.5, 2000, XPなど)は、Microsoft社の方針でプログラムの内容が公開されておらず、利用者はこれらのプログラムの内容を直接調べることによって安定動作やセキュリティ上の安全性などを検証することができません。

 また、プログラムの修正や機能の追加などがたびたび行なわれていて、プログラムの構造が複雑に入り組み、プログラム上の不具合(バグ)やセキュリティホールが発生しやすい状態になっているため、その発見や修正に責任を負うべきMicrosoft社の限られた数のソフトウェア保守スタッフでは十分対応することができないと言われ続けてきました。

 この問題を克服する最も根本的な方法は、UNIXやLINUXなど、インターネットの発展とともにインターネットの基本ポリシーのひとつである「公開性・透明性の確保」にもとづいてプログラムの内容(ソースコード)をすべて公開している「オープンソース」と呼ばれるソフトウェアを採用することです。

 オープンソースの考え方を採用したUNIXやLINUXであれば、全世界規模できめて多数の利用者がバグやセキュリティホールの発見に(自主的にまたは組織的に)参加しており、迅速で総合的な修正が着実に行なわれてきています。またプログラムの構造自体もこうした検証が実施しやすいようシンプルな設計が一貫して維持されています。その結果、Windowsよりもはるかに高い安定動作(信頼性)とセキュリティ的な安全性が確保されているといわれています。

●Microsoft社のホームページには、自社製品のバグやセキュリティホールについてのレポートおよび修正プログラム(パッチ)が無料で公開されています。これを見ると、最近の数か月だけでも、多数の深刻なセキュリティホールが発見され続けていることが分かります。

 こうしたWindowsの修正作業が順調に積み重ねられれば、「セキュリティホールはすべて埋められる」とする考え方もありますが、「いつになれば実用的に十分といえるセキュリティ強度が得られる」のか、予想できません。前述したWindowsの「修正・機能追加作業」は、「修正作業」よりもはるかに速いペースで進められており、安全性はかえって低くなってきているとも考えられます。

 Microsoft社のバグ・セキュリティ関係情報は、Windows Updateなどのページなどで見ることができます。

  ・Windows Updateのページ(Internet Explorer 5 以降が必要)ここをクリック
  ・Windowsのセキュリティ情報一覧ここをクリック

●今回MSブラスター・ウィルスの攻撃対象として問題となったWindowsNT系基本ソフトのセキュリティホールに対する修正プログラム(パッチ)は、2003年7月11日にMicrosoft社から公開されましたが、住基ネットに対しては、本格稼働した8月25日時点まで未適用でした。同日反住基ネット連絡会が総務省若松副大臣と会見した際の総務省市町村課の話では、8月24日に修正パッチに対する内部検証(住基ネット全国センター/地方自治情報センターが実施したものと考えられる)が終わわり、住基ネット全体への早急なパッチの適用はこれから指示するとのことでした。

 この「修正パッチ」の適用対象となる住基ネットのコンピューターは、市町村に置かれている「CSサーバー」および「CS端末(住基ネットの業務端末)」です。


●もくじ(Slide番号でジャンプ)

01:Wondowsのセキュリティホールを 利用した個人情報漏洩の手法

02:MSブラスターウイルス感染が明らかにした 個人情報漏洩ルートの存在

03:Windowsのセキュリティホールを利用して 住基ネットの個人情報を外部漏洩する手法 1

04:Windowsのセキュリティホールを利用して 住基ネットの個人情報を外部漏洩する手法 2

05:住基ネットのセキュリティ的な問題点 (MSブラスターウイルス事件が明らかにした現状)

06:結論(1)セキュリティ問題について

07:結論(2) プライバシーの保障について