サラミ法 【 salami technique 】 /サラミ攻撃 サラミテクニック
不正行為が発覚しない程度に少量ずつの金銭や物品を窃取する行為のこと。
一件当たりの被害が少ないので発見されにくい。
よく例として取り上げられるのは、次の事例
60年代末に発覚したニューヨーク在住の銀行員の犯行:
顧客の預金利子を計算するプログラムで端数処理を四捨五入ではなく、
すべて切り捨て計算とし、剰余の利息を自分名義の口座に自動振込するプログラムも付け加えて
巨額の不正入金を得た。
対策としては、システム監査を 徹底することです。
〇プログラムそのものが適正な仕様通りに作成されているかどうか
〇運用に過誤はないか
また、コンピュータ操作に関わる人間の倫理教育も必要です。
システム監査基準では、
「監査対象から独立かつ客観的立場のシステム監査人が情報システ
ムを総合的に点検及び評価し、組織体の長に助言及び勧告すると
ともにフォローアップする一連の活動」
と定義されています。
システム監査の3要素は、
・信頼性…情報システムの品質並びに障害の発生、影響範囲及び回
復の度合
・安全性…情報システムの自然災害、不正アクセス及び破壊行為か
らの保護の度合
・効率性…情報システムの資源の活用及び費用対効果の度合
です。
基本情報技術者 平成25年秋期
午前問43
コンピュータ犯罪の手口の一つであるサラミ法はどれか。
ア. 回線の一部に秘密にアクセスして他人のパスワードやIDを盗み出してデータを盗用する方法である。
イ. ネットワークを介して送受信されている音声やデータを不正に傍受する方法である。
ウ. 不正行為が表面化しない程度に,多数の資産から少しずつ詐取する方法である。
エ. プログラム実行後のコンピュータ内部又はその周囲に残っている情報をひそかに探索して,必要情報を入手する方法である
【解説】
ア. 回線の一部に秘密にアクセスして他人のパスワードやIDを盗み出してデータを盗用する方法である。
⇒不正アクセス・なりすまし
イ. ネットワークを介して送受信されている音声やデータを不正に傍受する方法である。
⇒盗聴
ウ. 不正行為が表面化しない程度に,多数の資産から少しずつ詐取する方法である。
⇒サラミ法
エ. プログラム実行後のコンピュータ内部又はその周囲に残っている情報をひそかに探索して,必要情報を入手する方法である
⇒スカビンジング(技術的な手段によらずに、不用意に捨てられているプリントアウトなどから機密情報を盗む行為)
【正答】ウ