インターネットバンキングを利用している銀行のホームページに口座番号と暗証番号を記入したはずが、全く知らない第三者にこの情報が送られる……。そんなことが起きる可能性がある。文化庁所管の社団法人のサイトから昨年１１月、国立大学の男性研究員（４０）が約１２００人分の個人情報を引き出したことがわかったが、この研究員は数年前から、政府機関や大手企業のサイトに潜む、こうした危険性を指摘していた。

　○利用者を誘導

　研究員が０２年に首相官邸や大手銀行などのサイトで指摘したのは、クロスサイトスクリプティング（ＸＳＳ）脆弱性（ぜいじゃくせい）と呼ばれる。サイトなどに書き込みをするときに広く使われるＣＧＩプログラムの欠陥の一種だ。

　ＸＳＳは００年に米国の研究機関が警告し、知られるようになった。サイト攻撃者は、狙ったサイトの偽入力欄などを仕掛ける。ここに利用者が情報を書き込むと、攻撃者のサイトに送られるような指示が仕込まれている。何も知らない利用者は、電子メールなどに誘導され、この欄に個人情報を書き込む、という仕組みだ＝図参照。

　大手銀行のサイトでは、ネットバンキングの利用者の口座番号や暗証番号が、第三者に送られる可能性があった。日本郵政公社関連団体のサイトでは利用者のクレジットカード番号などが、利用者になりすました第三者に見られる恐れがあった。

　○痕跡は残らず

　ＸＳＳのやっかいな点は二つある。

　本物のサイトの上に偽情報が乗っかる形になるため、サイト上に表示されるアドレスは本物だ。偽情報を見破るのは難しい。また、攻撃者がＸＳＳを悪用して他人の情報を入手しても、サーバーのアクセス記録には痕跡がほとんど残らないという。情報漏洩（ろうえい）の有無を確認するのも至難の業だ。

　研究員に欠陥を指摘された団体や企業はいずれも欠陥を修正し、個人情報の流出も確認されていない、としている。だが、ある団体の関係者は、「技術的には、流出がなかったと断言はできない。欠陥を修正して１年以上たっても苦情が来ないので、なかったと判断している」と漏らす。

　日本には、会計監査のように定期的なサイト安全性監査を、サイト運営者に義務づける法律はない。安全性監査を促している経済産業省も、「運営者は個人から大企業まで規模も技術レベルも全く違う。監査に金を払うことは安全への投資ではなくコスト（費用）だという意識が強く、義務化はまだ難しい」（情報セキュリティ政策室）という。

　○希薄な責任感

　昨年つくられた個人情報保護法は、データベース化された５千件を超える個人情報を持つサイト運営者に、個人データの漏洩防止などを義務づけた。違反して改善命令にも従わない場合、６カ月以下の懲役か３０万円以下の罰金が科される。この条項が施行されるのは来年４月からだ。

　安全性を監査する業者らでつくる日本セキュリティ監査協会長の土居範久中央大教授は、「安全性監査が定期的に実施されるのが理想だが、運営者の安全性への関心はまだ低く、監査業者の質の向上も課題だ」という。

　危機管理コンサルタント会社「リスクヘッジ」（東京都港区）は、電子メールを業務に使わない。田中辰巳社長は、「デジタル化された情報は、紙に書かれて金庫にしまわれた情報より格段に流出しやすい。情報を提供する側も集める側も、デジタル情報の利便性だけでなく危険性も意識して、本当に必要な情報以外は出さない、集めないことが、現状では重要だ」と指摘している。 　(04/01/09)