改竄
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/07/05 14:19 UTC 版)
科学者による改竄
自然科学者が改竄を行うことがある。
科学における改ざんとは、研究活動においてデータ・研究方法・材料、研究過程、研究結果、文献等を意図的に改変することであり、そしてそれを学術出版・論文・書籍・申請書・履歴書・レポート等で 発表・申請・提出・口頭発表する行為である。
なお、実験で得られたデータをありのままに記録せず 改竄して記録することは、明らかに科学における不正行為の一種である。
なお、不正を行ったと疑われる者と同一の大学に属する者たちが調査を行う場合(つまり、純粋な「第三者」でなく、当事者の一端が「調査」を担当する場合)は、最初から「(自分にとって都合のよい)結論ありき」で「不正はなかった」と発表してごまかしてしまうことが続いている。例えば、2020年には研究者の所属する学術機関に不正の告発がなされ、予備調査委員会により「論文の結論には影響しない軽微なものであるため不正はなかった」「掲載済みの論文に対する不正の疑いに関する調査は、当機構ではなく掲載した学術誌が責任をもって行うべき」といった解釈・回答がなされた事例もある[2]。
ITと改竄
Webサイトの改竄
- クラッカーによるウェブサイトの改竄
クラッカーがクラッキングを行うことでWorld Wide Web上のウェブサイトを改竄することがある。これは、ある種のユーモアを持った愉快犯が行っている場合、また単にそのウェブサイトの内容(コンテンツ)が気に入らなかった等の怨恨による場合、あるいは政治的な事柄を主張するために行われる場合などがある。政府のページが書き換えられた例もある。
日本においては、電子計算機損壊等業務妨害罪などに該当する行為である。こうした行為を防止するために不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)が制定された。
しかしCGI等の中には、ある種の利便性のために通常想定される強度の認証機構をすり抜けるための仕組みを内包するものがある。それらが結果的にトロイの木馬として働いたり、そもそもウェブサイトを提供しているサーバの設定が誤っていたりしたことで改竄を許した場合には、通常想定される強度の認証機構がそもそも掛けられていないのだから認証機構迂回と認められないことで「不正アクセス禁止法違反ではない」と解釈されることがある[要出典]。
- ウェブサイトの改竄の手口
第三者が管理するウェブサイト等のコンピュータ内情報の改竄を行うためには、それらの情報へのアクセスに必要な管理権限を奪う必要がある。その手法は次の2つに大別される。
- 管理権限を持つID、パスワードを奪取する方法
- 管理権限を取得するための認証機構を回避し、何らかの手段で改竄する方法
前者には、辞書攻撃や総当たり攻撃など「管理者のIDとパスワードを探るために考えられる組み合わせを片っ端から試す」手法や、フィッシングや電話等で管理者を騙して聞き出したり、特定のパスワードに変更させるよう仕向ける、管理者の作業環境を調べてそこからパスワード等のヒントを炙り出す、といったソーシャル・エンジニアリングと呼ばれる手法がある。
後者には、バッファオーバーランやSQLインジェクションなど、コンピュータ上で動くプログラムのセキュリティホールを利用する方法や、トロイの木馬等を送り付け、これを足掛かりに攻撃・改竄する手法がある。
- 事例
ウィキペディアにおける改竄
オンライン百科事典ウィキペディアにおいても、企業や政治組織などまたはその支援者が自分たちに都合の悪い記述を意図的に歪曲、削除するなどの改竄が行われていることが知られている。日本のウィキペディアでは、特に司法関連の記事においてその傾向が顕著である[要出典]。
ウィキペディアではログインせずに記事内容を編集すると、発信元のIPアドレスが編集履歴に記録される仕様であり、以前より一部の記事で散発的に、特定組織からの編集をうかがわせる事例がネットユーザーの間で話題に上がっていた。WikiScannerと言うツールの登場により、ウィキペディア全体を包括的に効率良く調査できるようになり、数々の改竄疑惑が浮上してきている。
電子署名の改竄
電子的文書では、改竄されることを防ぐために電子署名やデジタル署名と呼ばれる仕組みを用いることがある。電子署名が施された電子的文書は、改竄された場合にその事実が判るようになっている。
また電子署名に関わる議論の際には、一般的な改竄の他にも電子メールで差出人を偽る等のなりすましも含めて改竄と呼ばれることがある。
改竄の検出
情報通信における誤り検出訂正の技術を応用し、改竄を検知する手法が普及している。
あらかじめ、完全なデータに対して、ハッシュ関数等によりハッシュ値を算出し、別途記録しておく。検証する場合は、改めて同じ方法でハッシュ値を算出し、一致することを確認すれば良い。ハッシュ値の衝突によって、改竄を検知できない可能性はあるが、その場合は、データサイズが不一致となる可能性が高い。ハッシュ関数の設計とデータの大きさにもよるが、一般的な文書程度のデータ量であれば、ハッシュ値とデータのサイズが同じで、かつ意味を成すデータを作成することは不可能であり、確実に改竄を検出することができる。
悪意の有無に関わらない改竄の例
文書が、適切な変更手続きを経ずに意図的にもしくは意図せずに変更を受けてしまうような例、生成された記録が、事後的に内容を書き換えられてしまう例、などがある。
- 品質マニュアルの改竄
変更権限者が、品質マニュアルのデータを、意図せぬ処理により内容を変更しもしくは一部を廃棄・破損したりするケース。電磁的に記録されたものであっても、変更が容易なドキュメントの場合は、キーボードの誤操作によって改竄されてしまうこともありうる。これも改竄の一種である。
こうした意図せぬ改竄を防止するために、品質マニュアルなどの品質文書や記録などを電子データで保存する場合には、pdfファイルとして作成し変更できないよう保護し作成者や承認者(制定者)の電子署名をつける等の手順を設けるなど、電子データによる保存方法の規定などを設け、改竄を防止することが要求される。また、アウトプットとして作成された記録は、作成後の改訂は改竄に当たるので行うことができない。
例えば、ISOにおける各種マニュアルやこれに基づく記録類の改竄、医療機関等における各種手順書や記録類(電子カルテを含む)の改竄などが挙げられる。こうした改竄を防止するために、厚生労働省では、e-文書法に関連して、省令の形で「医薬品等の承認又は許可に係る申請に関する電磁的記録・電子署名利用のための指針」を出している。
- 防止法
近年では、こうした改竄防止のために、e-文書法などに基づいて文書保存をしたり、電磁的に保存された文書や記録に電子署名を付したりする方法が使用されることもある。
- ^ a b 『大本営発表: 改竄・隠蔽・捏造の太平洋戦争』辻田真佐憲著、幻冬舎、2016
- ^ “「チバニアン」GSSP申請論文における特定不正行為の告発と、その後の研究機関の回答について”. 古関東深海盆ジオパーク推進協議会. 2021年3月19日閲覧。
品詞の分類
- >> 「改竄」を含む用語の索引
- 改竄のページへのリンク