【無料ツールで作るセキュアな環境(36)】〜認証システムの根幹〜(執筆:office) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

【無料ツールで作るセキュアな環境(36)】〜認証システムの根幹〜(執筆:office)

特集 特集

 既にScan Security Wire増刊号紙上でも報道されているので、読者の皆様も既にご存知のニュースだと思うが、セキュリティベンダーである日本ボルチモアテクノロジーズのwebが10月7日以降立て続けに改竄され、またテレビ東京もWeb改竄された[1]。

 そして同時に改竄されたサーバを長時間放置したままにする、事件発覚後に顧客に何のレポートもしないなどの対応のまずさが指摘されている[2]。

 ここでこの記事で注目したいことは、テレビ東京はSSL通信によって顧客からクレジットカード番号を受け取るサーバ自身が侵入されていること、また日本ボルチモアテクノロジーズは手広く認証サービスを行っている会社であることだ。

 Web改竄が自由に行われているということは、管理者権限も奪われた可能性が極めて高いと考えてよいだろう。SSLなどのPKI技術がいくら安全だといっても、肝心のサーバ自体が乗っ取られれてしまえば、このような安全は全て無に帰してしまう。Web改竄されたサーバや、Web改竄されたサーバ同じLAN内にあるサーバ群にあるクレジットカード番号も、認証用データも全て危険に晒されたと考えてよい。
(本原稿は10月7日時点で執筆されたものです。日本ボルチモアの発表によると認証用データなどには影響はないとのこと。本誌のニュース欄参照)

 顧客に対して、データ類が暗号化されておらず平文のままシステムに蓄積されていた部分がなかったか、またデータ類のMD5などのハッシュ値が以前と異なっていないかなど、データが安全だったことを証明しなければ、これらのサービスの信頼性は回復されない。もしもデータが盗まれたり、改竄された可能性があることが明らかにされれば、顧客自身がその事態に対応することも可能である。しかし、何の告知もなされず事態を全く知らされずに放置されたままの顧客の中に、クレジットカードに関して何らかのトラブルが発生した場合、あるいは認証データに何か問題が発生した場合、これらの会社は今後一層苦しい立場に置かれることになろう。

 さてまた一方、この事件によってSSLやPKI認証のシステムの根幹が揺るがされ、これらシステムの弱点が明らかになり、同じシステムを利用するネットビジネス業界全体の信用度が下がったと考えることもできる。SSLやPKI認証によって通信経路上のデータの安全性、完全性を保証してもサーバが乗っ取られた場合にはこの安全保障機構は全く無に帰するということが改めて浮き彫りにされたのだ。

 サーバへのクラッキング、管理権限の剥奪の可能性を完全に防ぐ手立てというのは未だない。新たなセキュリティホールが発見され、それまで完璧と思われていたサーバの防御機構が突破されるようになる可能性は常にあるのだ。そのセキュリティホールの対策が開発・実施されるまでサーバは危険な状況にある。


office
office@ukky.net
http://www.office.ac/

[1] https://www.netsecurity.ne.jp/article/1/2976.html
[2] https://www.netsecurity.ne.jp/article/9/2978.html

(詳しくはScan本誌をご覧ください)
http:/www.vagabond.co.jp/vv/m-sc.htm



《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×