特集コンテンツ

現在位置

西本逸郎のセキュリティ総括2008

2008年、流行語大賞には「アラフォー」が、漢字には「変」が選ばれた。両方とも、今年の情報セキュリティ総括を考える上でも参考になる言葉だ。

アラパスに気をつけろ!

犯罪者の興味はパスワード周りの情報であったことが多かった。アカウントID、メールアドレス、パスワードだ。これらの「アラパス」が、さまざまな局面で標的となっていることは間違いないことだ。カード情報を保持していない、あるいは住所・氏名・電話番号など一般的に個人情報と連想しやすい情報は保持していないことからセキュリティ対策が甘いサイトも多く、残念ながら多くの被害が出ている。今後もこの傾向は継続していくものと推測される。「アラパス」に注意を払うのは必須だ。対象となる会員サイトでは、最低限パスワードは平文で保持しないようにしよう。万一保持する場合でも、システム管理者でも簡単には閲覧できないように、また、操作ログの取得などの仕掛けは必須だと心得よう。

サイバー犯罪の変

2008年当初までは、SQLインジェクションを情報詐取道具として使用されていたが、侵入道具として使用するにとどめるように「変」化した。つまり、インジェクションをバックドアを仕込むために使用し、情報詐取そのものは仕込んだバックドア経由で行うようになったのだ。さらに、インジェクションはサイト改ざんにも使用されるようになった。

これらは、同じ詐取するなら何を詐取されたか分からないようにするため。また、ガードが強い大手サイトよりも、ガードが弱い中小のサイトへ。さらに、よりガードが甘く無数に存在する個人から詐取するように「変」化したものとみられる。今後もこの傾向はより一層強まってくるものと思う。

犯罪者の本音としては、大金が眠っている銀行の金庫を破りたいものだ。しかし、そんなことは、どだい無理なことだし、万一、成功したとしても大騒ぎになり、面子にかけて最強の捜査本部も設置され、そのうちお縄になるのは目に見えている。そのため、そんなリスクを犯すより、ガードが低く世間も騒がない方法を見つけ出したほうが、地味だが長期的に見れば理にかなっていることを発見したのだと思う。

実際に、サイトにおいて明確な情報流出が発生した場合、被害拡大防止のため利用者に漏洩内容など連絡を行うため、事件の内容も告知することが多い。そのため、メディアなどの興味もそそる事となり一般的に騒ぎが大きくなる。一方、改ざん事件の場合、告知を行っても情報漏洩に比べ大騒ぎになることは少ない。また、多くのサイトが、改ざんの事実を公表もせずこっそりと対応を終えている。さらに、そのことを追求する利用者やマスコミも皆無である。標的になっている個人はセキュリティにそもそも無関心な人も多く、実際どのくらいの被害が出ているか推測することも困難な状況だ。犯人は、そういう背景を含め、良く知った上で、一番目立たず騒ぎにならずやりやすい方法を模索しているのだ。

今後は、本人が認識していないのでセキュリティ対策が実施されない、中小のサイトや個人のパソコンへの対策を「余計なお世話」だが、父親のようにガミガミ言ってやってもらうような策も同時に必要となるだろう。

なんか変

組織内にボットが潜入する事件が多発してきている。突然サーバがリブートしてしまう、イントラネットが妙に遅い、使用していないパソコンのLEDが点滅しているなど、ちょっとしたおかしな事象で発見に至ることが多い。侵入には3つのルートが使われる。第一に改ざんされたサイトを閲覧することで悪質サイトに誘導されるケース、次にUSBメモリ経由で持ち込んでしまうケース、最後に巧妙に仕込まれた標的型メールが打ち込まれるケースだ。もちろん、外部からの持込パソコンも依然としてあるので油断は禁物だ。

一方、沈静化していたはずの組織内部でウイルスが炸裂してネットワークが麻痺するようなケースも、最近よく耳にするようになった。しかし、以前のような単純な感染活動を行っているのではなく、外部から乗っ取り制御していた犯人が何かしくじったと考えるべきで、発見できてラッキーな事件と捉えたほうが良い。また、ウイルス対策ソフトで完全に除去できないことも多いので、除去後に活動が収まったからと言って安心してはならない。

乗っ取ったボットを操作して、パスワードや内部情報の収集だけではなく、関係者から送付されてくる議事録とその配付先などを詐取し新たな標的型メールを関係者に配布するなど。「なんか変」は重要な気づきだ。

経済の変

未曾有の経済環境悪化だ。多くの有名企業で人員整理が発表されている。同時に、多くのシステム開発会社や派遣技術者が切られている。その中には海外ベンダーも多く含まれる。そういう人たちが既知の情報を悪用して不正な行為をしてしまわないとは限らない。

特に、丸投げしていたにもかかわらず、契約だけに則り切っているような組織は、ID管理を含めた開発や運用に関係する統制を考えたほうが良い。泥棒するのは論外だが、想定できる脅威へ対抗せず被害を出してしまうのは経営の怠慢だと言える。さらに、世界規模からみれば、ネット犯罪者そのものの増加は避けて通れない。

ITによってさまざまなコストダウンを図り、新たな事業展開が必須な時代。経営者がセキュリティのセンスを身に付けることは必須な時代だといえる。

 

このページの先頭へ

リファレンス

お問い合わせ・資料請求

営業統括部:03-6757-0113(営業時間 平日9:00~17:30)、sales@lac.co.jp

西本逸郎(にしもといつろう)
プロフィール

西本逸郎

取締役執行役員 サイバーリスク総合研究所 所長

一貫して通信系ソフトウェアやミドルウェアの開発に従事。 その後、ドイツのシーメンスニックスドルフ社と提携し、オープンPOS(Windows POS)を世界に先駆け開発・実践投入。堅牢なシステムを 如何に作って維持していくかをテーマに不正アクセス対策という観点で邁進中。 情報セキュリティ対策をテーマに官庁、国土交通大学校、大学、その他公益法人、企業、各種ITイベント、セミナー、などでの講演、新聞・雑誌などへの寄稿等多数

セキュリティキーワード2008

  • セキュリティキーワード2008
  • 偽セキュリティソフト
  • プロトコルの脆弱性
  • ファストフラックス
  • Webサイト経由クライアント行き
  • 西本逸郎のセキュリティ総括2008

スペシャルリンク

  • LACメルマガの登録
  • サイバー119導入事例テイパーズ様
  • 国民を守る情報セキュリティサイト