日本では官公庁のウェブページが改ざんされ、アメリカではyahooやamazon.comなどの著名サイトが運用停止に追い込まれるなど、クラッキングの話題で電子ネットワークの新年は幕を開けた。「2000年問題」がさしたる被害ももたらさず、ほっとしていたところを狙われたわけでもないだろうが、コンピュータ・システムの脆弱さを再認識させる事件であることはまちがいない。
アメリカの例は、ほとんどが「分散型サービス拒否」(DDoS)と呼ばれる手口であった。これは、特定サイトにアクセスを集中させることでそのサイトのサービス提供を妨害するもので、それ自体は古典的でありふれた手口なのだが、あらかじめクラック(侵入)しておいた大量のコンピュータから分散的にアタックした点が目新しい。yahooでは2月7日の午後に3時間にわたって一般のアクセスが不可能になり、損害総額は50万ドルを超えたという。日本の場合は、もっとありふれた事件で、処理能力を越える大量のデータを送りつけてサーバマシンに誤作動を引き起こさせ、パスワードファイルなどを盗み出す「バッファオーバーフロー」といわれるものであった。この場合も、踏み台になる複数のサーバをあらかじめクラックしておくことが多く、大学などのサーバが中継地点となったようだ。不正アクセス防止法が13日に施行されたばかりの日本では、さっそくとばかりに東京大学からサーバのハードディスクが押収された。
これらのクラッキングは、明らかに被害を伴う犯罪であり、許されるものではないが、これに付随する細かい点については、なお一考すべき問題も多い。まず、クラッキングに際して使用されたツールのプログラムを書き、公開した人間に責任はあるのかという問題がある。あたりまえのことだが、クラッキングツールはシステムのセキュリティを確認、改善するために「善用」されるツールでもあり得る。実際、今回のDDoSアタックに使用されたと目されるツールのひとつであるTribal Flood Networkを書いて公開したMixterというハンドルのドイツの若者は、インタビューに答えて「私がTFNを書き,そのソースコードをセキュリティサイトで公開したのは、このコード、ならびに今後登場してくるだろう同種の攻撃手法を子細に検討し、パッチを開発できるようにするためだった」と述べている。これに対しては、実際にパッチが開発されていない状態では、一時的にせよ危険を増大させるだけなのではないかという疑問や、インターネットの現状からして、すべてのサーバ管理者に完全なセキュリティ構築を望むのは、技術面からも経済面からも不可能である以上、「危険」なツールのネットワーク上での公開は制限されるべきであるという見解もある。今回の事件がクラッキングツールの配布の法的規制という議論に結びつくことはまちがいないだろうが、防衛する側の責任との兼ね合いで議論すべき点はまだまだ多いはずである。特に、専用線常時接続が普通になり、手軽にUNIXサーバを個人が各家庭で運営するようになったときに何が起きるかは、考えるだけで恐ろしいものがある。アマチュア無線のように段階別免許制にせよという発想も再浮上することになるかもしれない。
また、こうした事件が起きるたびに、「技術的防御は際限のないいたちごっこになり限界があるので、倫理面での教育を充実させるべきである」という意見が、特に技術系の研究者からしばしば出る。拙速な法的規制の推進に比べれば至極まっとうな意見であり、倫理学研究者としての責任も感じざるを得ないのであるが、教育、それも倫理教育への過度な期待は、少なくとも現在のところは問題が多いと言わざるを得ない。これは、応用倫理学一般についてもいえることなのだが、「これは善でこれは悪」ということが未だはっきりと定まっておらず、既存の規範を類比的にあてはめることが困難な事柄が問題になっており、さらにそれを議論するためには当該の技術に関する最低限度の知識が必要とされる以上、上から教え込む教育にせよ、みんなで考えましょう型の教育にせよ、学校という箱でできることにはさしあたっては限界があるのである。この点を見損なうと、以前著作権について書いたときに述べたような、「法律で決まっているから」の一言で子どもの創作意欲を阻害してしまうのと同じことになりかねない。ちなみに情報倫理学では、「無権限アクセスは実害がなくとも常に不正か」とか、「友人に商用ソフトウェアのコピーをあげることはいかなる場合も非倫理的か」ということが、現在でも第一線の研究者の議論の対象となっているのである。現在なし得る教育の第一は、「コンピュータってすぐつぶれるし、中身を他人が覗いたりすることもあるんだから、あんまりあてにしちゃいけないよ」とでも、そっと教えてやることではないだろうか。
技術も倫理もあてにならないとするなら、最後に残るのは金の力ということになるのかもしれない。今回のような事件が多発すれば、保険付きのセキュリティ会社が大繁盛し、その結果保険料もうなぎ登りになるのは必定だ。しかし、うちのサイトは万全のセキュリティでしかも保険付きですなどと宣伝したりしたら、クラッカーの標的にされる危険はかえって増えるにちがいない。保険業界のことはよく知らないが、そもそもそんな保険をロイズ(Lloyd's)が最終的に引き受けるのだろうか。
それにしても、踏み台に使われたというだけの理由でハードディスクが押収される時代というのは何なのだろう。この件に関してだけは、全国のサーバ管理者は真っ青になったほうがいい。とくに、完全なセキュリティ構築に自信がなく、かつニューズグループ上のエッチ画像をテンポラリーにため込んでいる管理者は、任意提出の要請が来たら直ちにディスクを初期化する準備を前もってしておくべきだろう。