Computerも道具だから、それを使った犯罪は初期の頃から存在する。伝説的な話としては、銀行取引のセント以下を自分の口座にいれるプログラムを書いて、発覚しにくい「銀行強盗」を働いたというものもあった。全てが独自システム、手作りだった時代の話である。
サイバーセキュリティという言葉が、専門家の間でだが知られるようになったのは、インターネットや汎用PCが普及するようになってから。そもそも米軍の軍人IDで使われていたネットワークを、誰でも使えるようにしたのだから、ユーザの管理は無理な注文だった。
産業のインフラと化していた基幹システム(交通機関・金融機関等)にも、汎用PCベースの端末機が入って来た。専用でひとつひとつ開発するものと比べて、圧倒的に安くできる。それはいいのだが、内部仕様が公開されているので、ちょっとした知識があれば誰でも改造できてしまう。悪意を持った改造も可能だ。
ある基幹システムでは端末機の時計を設定し直すことによって、不正が行えることが分かった。時計はMS-DOSという汎用OSの制御下にある。そこでOSの脇に特別なソフトウェアを入れて、普通のユーザには時計を修正できないようにした(いわば管理者権限)。これを売り込みに行くと、
・なぜそんな面倒なソフトウェアを入れなくてはいけないのか
・時計が狂ったら、誰でも直せるほうがいいじゃないか
・その上、追加のカネがかかるって!とんでもない
という反応。最後は「君は当社の内部に不正を働く者がいるとでも言いたいのか」と叱られてしまった。顧客の担当者としては「導入の作業も面倒だし予算措置も必要」、とても上司に説明できる内容ではなく、何としても拒否したかったのだろう。今となれば、それも理解できる。
<続く>