長野県は,9月から段階的に実施した住民基本台帳ネットワーク・システム(住基ネット)への侵入実験の結果と,第三者による分析結果を公表した。インターネットからの侵入は成功しなかったものの,庁内LANからは「平均的コンピュータ・ネットワーク・エンジニアなら誰でも侵入することが可能」であり,住基データの漏えいや改ざんの危険性は高いとした。侵入の足掛かりになったのは,ソフトウエアのバッファ・オーバーフローのぜい弱性や,セキュリティ・パッチの未適用などである。
実験は,9月22日~10月1日に阿智村,下諏訪町,波田町で,11月25日~28日に阿智村で実施。結果の分析は,ベンチャーのネオテニーに依頼した。分析結果によると,侵入実験により,住基システムのクライアントPCからの要求を住基ネットに中継するCS(コミュニケーション・サーバー)と,既存の住基サーバーに侵入できたという。
住基ネットでは,インターネットと庁内LANの間,庁内LANとCSの間,CSと全国を結ぶIP-VPN(仮想プライベート・ネットワーク)の間に,それぞれファイアウォールを設けている。今回の侵入実験では,インターネットからも含め,ファイアウォールそのものは攻略できなかったが,庁内LANからサーバーに侵入することには成功した。
原因は,セキュリティ・パッチが未適用だったこと,ソフトウエアにバッファ・オーバーフローのぜい弱性が潜んでいたことにあったと結論。また,サーバーのパスワードが既定のものや類推しやすいものになっていること,庁内LANに設置してあるRAS(リモート・アクセス・サーバー)が不正アクセスの足掛かりになりかねないことも指摘。物理的な侵入や無線LANの利用によって,いったん庁内LANに侵入すれば,住基データを閲覧,改ざんできる可能性が高いという。
これに対し総務省は,「ファイアウォールそのものは破られておらず,セキュリティ上問題はない」と反論。パッチ適用やパスワードの運用の徹底など,自治体LANのセキュリティ強化を進めるとしている。(T.F.)
