Tenrikyo: 新しいページ: ''''改竄'''（かいざん）は、文書、記録等の全部又は一部が、故意もしくは過失により、本来なされるべきでない時期に、本来なさ...'

2009-11-01T10:13:51Z

新しいページ: ''''改竄'''（かいざん）は、文書、記録等の全部又は一部が、故意もしくは過失により、本来なされるべきでない時期に、本来なさ...'

新規ページ

'''改竄'''（かいざん）は、文書、記録等の全部又は一部が、故意もしくは過失により、本来なされるべきでない時期に、本来なされるべきでない形式、内容に変更されることをいう。悪意の有無を問わない。

その変更が不適切であるか否かが厳密に定義できる分野では、悪意がなくても誤解や知識不足によって不適切な変更を行った場合や、パソコンの誤操作等の事故による意図的でない変更は「改竄」にあたる（[[#悪意の有無にかかわらない改竄の例]]）。

悪意をもって不当な利益を得たり不利益を回避したり、あるいは不利益を与えることを意図して、本来許容されないことを知っていながらあえて行われる変更を指して改竄と呼ぶこともある。

==悪意の有無にかかわらない改竄の例==
文書が、適切な変更手続きを経ずに意図的にもしくは意図せずに変更を受けてしまうような例、生成された記録が、事後的に内容を書き換えられてしまう例、などがある。改竄防止のために、[[e-文書法]]などに基づいて文書保存をしたり、電磁的に保存された文書や記録に電子署名を付したりする方法が使用される。

===文書・記録の改竄===
変更権限者が、品質マニュアルのデータを、意図せぬ処理により内容を変更しもしくは一部を廃棄・破損したりするケース。電磁的に記録されたものであっても、変更が容易なドキュメントの場合は、キーボードの誤操作によって改竄されてしまうこともありうる。これも改竄の一種である。

こうした意図せぬ改竄を防止するために、品質マニュアルなどの品質文書や記録などを電子データで保存する場合には、pdfファイルとして作成し変更できないよう保護し作成者や承認者（制定者）の[[電子署名]]をつける等の手順を設けるなど、電子データによる保存方法の規定などを設け、改竄を防止することが要求される。また、アウトプットとして作成された記録は、作成後の改訂は改竄に当たるので行うことができない。

具体例として、ISOにおける各種マニュアルやこれに基づく記録類の改竄、医療機関等における各種手順書や記録類（[[電子カルテ]]を含む）の改竄などがあげられる。こうした改竄を防止するために、[[厚生労働省]]では、e-文書法に関連して、省令の形で「[[医薬品等の承認又は許可に係る申請に関する電磁的記録・電子署名利用のための指針]]」を出している。

=== 電子署名における改竄 ===
電子的文書では、改竄されることを防ぐために[[電子署名]]やデジタル署名と呼ばれる仕組みを用いることがある。電子署名が施された電子的文書は、改竄された場合にその事実が判るようになっている。

また電子署名に関わる議論の際には、一般的な改竄の他にも[[電子メール]]で差出人を偽る等の'''なりすまし'''も含めて改竄と呼ばれることがある。

== 悪意ある改竄の例 ==
=== 企業・団体による帳簿等の改竄 ===
利益の享受や不利益の回避を行う目的で[[会計]][[帳簿]]などを改竄するケースがある。

* 赤字を隠蔽し業績が良好であるように見せたり、利益を少なく見せることで脱税を行う（[[粉飾決算]]）
* 横領や資金流用等の不正を隠蔽する（[[二重帳簿]]）

また企業において、労働基準法に違反する状態（[[サービス残業]]や労働時間超過など）で従業員を働かせている場合に、それを隠蔽する目的で出勤記録の改竄が行われるケースもある。

=== 国家による出版物等の改竄 ===
特に旧[[共産圏]]においては、過去に出版された新聞や書物などの改竄が国家によって組織的、日常的に行われていたことが知られている。

例えば[[ソビエト連邦|ソ連]]においては、例えばある人物が[[粛清]]されるなどして失脚した場合などに、その人物が有力であったことを示す痕跡を抹消するために、図書館の蔵書から各地の展示館等の展示に至るまでありとあらゆる資料に対し、写真の加工、文章の削除、書換などの改竄が即座に行われていた。これ以外にも、現在の政策と矛盾するような不都合な記述の改竄が日々行われていた。

現在においても、特に[[全体主義]]国家では資料改竄が大々的に行われている例が多々見られる（特に[[朝鮮民主主義人民共和国]]は、非常に厳しい情報統制を敷いており、この一環として過去の政策や指導者の出自などを示す資料の改竄、捏造、廃棄が徹底的に行われていることで有名である）。

=== クラッカーによるウェブサイトの改竄 ===
[[クラッカー]]が[[クラッキング (コンピューター用語)|クラッキング]]を行うことで[[World Wide Web]]上の[[ウェブサイト]]を改竄することがある。これは、ある種の[[ユーモア]]を持った[[愉快犯]]や単にそのウェブサイトの内容が気に入らなかった等の怨恨、あるいは[[政治]]的な事柄を[[主張]]するために行われる場合がある。政府のページが書き換えられた例もある。

日本においては、これらは通常[[不正アクセス行為の禁止等に関する法律]]（不正アクセス禁止法）違反や[[信用毀損罪・業務妨害罪|電子計算機損壊等業務妨害罪]]などに該当する行為である。

しかし[[Common Gateway Interface|CGI]]等の中には、'''ある種の利便性'''のために通常想定される強度の認証機構をすり抜けるための仕組みを内包するものがある。それらが結果的に[[トロイの木馬 (コンピューター)|トロイの木馬]]として働いたり、そもそも[[ウェブサイト]]を提供している[[サーバ]]の設定が誤っていたりしたことで改竄を許した場合には、'''通常想定される強度の認証機構がそもそも掛けられていないのだから認証機構迂回と認められない'''ことで不正アクセス禁止法違反ではないと解釈されることがある。

==== ウェブサイトの改竄の手口 ====


第三者が管理するウェブサイト等のコンピュータ内情報の改竄を行うためには、それらの情報へのアクセスに必要な[[管理権限]]を奪う必要がある。その手法は次の2つに大別される。

* 管理権限を持つID、パスワードを奪取する方法
* 管理権限を取得するための認証機構を回避し、何らかの手段で改竄する方法

前者には、[[辞書攻撃]]や[[総当たり攻撃]]など「管理者のIDとパスワードを探るために考えられる組み合わせを片っ端から試す」手法や、[[フィッシング (詐欺)|フィッシング]]や電話等で管理者を騙して聞き出したり、特定のパスワードに変更させるよう仕向ける、管理者の作業環境を調べてそこからパスワード等のヒントを炙り出す、といった[[ソーシャル・エンジニアリング]]と呼ばれる手法がある。

後者には、[[バッファオーバーラン]]や[[SQLインジェクション]]など、コンピュータ上で動く[[プログラム (コンピュータ)|プログラム]]の[[セキュリティホール]]を利用する方法や、[[トロイの木馬 (コンピューター)|トロイの木馬]]等を送り付け、これを足掛かりに攻撃・改竄する手法がある。
{{Main|コンピュータセキュリティ#セキュアシステムに対する攻撃方法/手段や対象}}

==== 事例 ====
* [http://izumino.jp/Security/def_jp.html JPドメイン Web改竄速報]

=== Wikipediaにおける改竄 ===
[[Wikipedia:中立的な観点|中立的]]な百科事典を目指す[[ウィキペディア]]においても、[[企業]]や[[政治]]組織が自分たちに都合の悪い記述を[[削除]]するなどの改竄が行われている。

それが不適切であるか否かや悪意の有無に関しては議論の余地がある場合もあるとはいえ、特に話題となり改竄と看做されている変更がある。

{{Main|WikiScanner#話題となった主な編集}}

== 脚注 ==
{{脚注ヘルプ}}
<references/>

== 関連項目 ==
* [[国際標準化機構|ISO]]
* [[電子署名]]
* [[クラッキング (コンピューター用語)|クラッキング]]
* [[プロパガンダ]]
* [[社会主義国]]

== 外部リンク ==
* [http://www.ipa.go.jp/security/ciadr/law199908.html 不正アクセス行為の禁止等に関する法律]

[[Category:セキュリティ技術|かいさん]]

{{stub}}

[[en:Falsification]]
{{Wikipedia/Ja}}

改竄 - 変更履歴

Tenrikyo: 新しいページ: ''''改竄'''（かいざん）は、文書、記録等の全部又は一部が、故意もしくは過失により、本来なされるべきでない時期に、本来なさ...'