【Microsoftへの侵入事件に学ぶ】(執筆:office) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)
コンテンツ
注目検索ワード
記事

【Microsoftへの侵入事件に学ぶ】(執筆:office)

特集 特集

 10月27日に米紙ウォール・ストリート・ジャーナルはMicrosoft本社のネットワークにクラッカーが侵入したことを報道した[1]。本記事の読者なら、もうこの事件については既に何度も聞かされているかも知れないが、改めて
Microsoft侵入の報道からセキュリティについてケーススタディしてみようと思う。

[情報の再整理]

 ところが最初から困ることには、この事件について「何が起こったのか」を改めて説明することすら難しい。というのも侵入の様態についての多くの報道がなされてはいても、情報源のMicrosoft社からの事件説明が次々に変化する[2]ために、もはや事件像すらあやふやなのだ。そして、Microsoft社自身のころころと変わる発表以外にニュースソースは殆ど望めない。

 Microsoft社の公式発表外の情報は、この事件についてFBIが調査していることとだけである[3]。しかしFBIは事件についての調査内容については一切コメントしていない。もう一つかろうじて信じるに値する情報は、この事件に関連してMicrosoft社の従業員の遠隔地からのアクセスが一時的に遮断された[4]ということだ。これらからわかるのはMicrosoftが本当に侵入を受けたことと、Microsoft社がこのことに非常に慌てたということだけである。

 事件そのものについてはこのような希薄な情報しかないが、それでもその他の背景事情などとを合わせて2つのことがらを考えることができる。

[今後のMS製品の信頼性]

 Microsoftへの侵入者は開発中のMS製品のソースコードを盗み見たとも伝えられており、さらにソースコードを含む重要情報が改竄されたり、盗んだりされた可能性も指摘されている。Microsoft社は開発製品のソースコードを見られたことを否定はしていないが、それがどの製品で、どの程度盗まれたのかは明らかにしていない。では、我々はこの事態をどう受け止め今後のMS製品を用いたらよいのだろうか?

 私はMS製品の危険性については今までと変わらないと考えて、これまで同様の取り扱いでよいと結論する。この結論はMicrosoft社の希望と一致するかもしれないが、その意味する所は違う。

 これまでにMS製品には重大なセキュリティホールが次々と報告され、またプライバシーを脅かすような事例もいくつもあった。従ってMicrosoft社から新しい機能を持ったアプリケーション等が出荷された場合、何か重大な脆弱性が必ず発見されるものと覚悟して、また重大な秘密事項の漏れる万一の可能性も考慮して、これらの不具合を試験しつつ運用してきたはずである。これまでの不具合の出方などを考慮すると、今回の単一の事件によってその脅威が格段に増えるわけではないと私は考える。

 ただここで補足しておきたいのは、だからオープンソースのシステムの方が安心して使えると、短絡的に結論付けないほうがよいということだ。例えばGNU/Linuxのような実績あるシステムでも、新しい機能が付け加えられるたびに不具合は必ず発見されてきている。従って、オープンソースだからといって運用に際しての危険性に対する姿勢が、MS製品に対するものと変わるようなものではない。何故なら運用前にソースを完全に独自に検証する一般ユーザなどほとんどないはずで、運用しながら一方で不具合に注意を払うという使用方法以外通常とり得ないからだ。

 MS製品であろうと、それ以外のどこのシステムであろうと、危険性に対する姿勢は基本的に同じであるべきで、それは今回の事件によって変化するべきようなものではない。


office
academic office
http://www.office.ac/

[1] http://www.jiji.co.jp/cgi-bin/contents.cgi?content=2000102710971&genre=int[2] http://www.zdnet.co.jp/news/0011/02/berst_m.html
[3] http://japan.cnet.com/News/2000/Item/001028-5.html
[4] http://www.zdnet.co.jp/news/0011/02/berst_m2.html
[5] http://www.zdnet.co.jp/news/0010/30/mshack3.html
[6] http://www.zdnet.co.jp/news/0011/02/security_m.html
[7] http://www.hotwired.co.jp/news/news/technology/story/20001107301.html

(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/



《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Amazonを騙り、アカウントをロックすると脅すフィッシングメールを確認(フィッシング対策協議会) 画像

Amazonを騙り、アカウントをロックすると脅すフィッシングメールを確認(フィッシング対策協議会)
「サイボウズ ガルーン」にDoSや情報漏えいなど複数の脆弱性(JVN) 画像

「サイボウズ ガルーン」にDoSや情報漏えいなど複数の脆弱性(JVN)
Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report) 画像

Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)

インシデント・事故 記事一覧へ

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン) 画像

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)
小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市) 画像

小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)
「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス) 画像

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

調査・レポート・白書 記事一覧へ

Black Hat参加者が感じる自組織の課題は「OSのパッチとアップデート」(Cylance) 画像

Black Hat参加者が感じる自組織の課題は「OSのパッチとアップデート」(Cylance)
日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10) 画像

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10)
「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー) 画像

「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー)

研修・セミナー・カンファレンス 記事一覧へ

自動車セキュリティはIoTの延長でよいのか? 最新動向セミナー開催 画像

自動車セキュリティはIoTの延長でよいのか? 最新動向セミナー開催
開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation) 画像

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)
コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱 画像

コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

全カテゴリランキング

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×