企業が考えなければならないのは、クラウドで稼働させるアプリケーションのセキュリティだけでなく、そこへアクセスするデバイスやネットワークを含め、すべてを包括的に保護するアプローチであることに注意が必要です。
<ストーリー> 中堅食品会社 イード食品の情報システム部に所属する三谷学は、新しい経費精算システム開発の命を受ける。海外のソフトハウスに開発を全面委託することで、大幅な予算削減に成功したのだが…
クラウドがビジネスにもたらす価値とクラウドセキュリティの勘所について、アマゾン データ サービス ジャパン株式会社 代表取締役社長 長崎 忠雄氏と、トレンドマイクロ株式会社 取締役副社長 大三川 彰彦がディスカッションを行いました。
2014年4月にMicrosoftのサポートが終了することで最近何かと騒がしいWindows XPだけど、Googleは10月16日、WebブラウザーChromeについては少なくとも2015年4月まではXP向けのアップデートを提供すると発表したんにゃー。
IEのゼロデイ脆弱性を悪用した、新たな手口のサイバー攻撃が起こっていたそう。特定のユーザー層が集まるWebサイトに不正プログラムが埋め込まれた、水飲み場型攻撃といわれるものなんだにゃー。
10月2日に総務省が「官民連携による国民のマルウェア対策支援プロジェクト(ACTIVE)」を開始すると発表したんだにゃー。ISPやセキュリティ企業と連携して、ユーザーがマルウェア配布サイトへアクセスするのを未然に防止するための実証実験を行うんだにゃー。
サイボウズが国内商用クラウド初の脆弱性発見コンテスト「cybozu.com Security Challenge」を開催するんだって。賞金総額は300万円なんだにゃー。
Internet Explorerにゼロデイ脆弱性があることが発表されたんだにゃー。IE6~11に影響があり、その中でもIE8、9に関してはすでに標的型攻撃に悪用されていることがわかっているそうなんだにゃー。
ガーディアン紙などの報道によると、米英の秘密情報機関、米国家安全保障局(NSA)と英政府通信本部(GCHQ)がSSLなどインターネット上で使われている、さまざまな暗号の解読や無効化に成功していたんだにゃー。
9月4日には大阪市の職員が内部ネットワークへの不正アクセスを行ったとして逮捕されていたんだにゃー。管理職しか閲覧できない人事評価や採用・昇任試験の資料にアクセスした形跡があったんだにゃー。
大規模匿名掲示板サイト「2ちゃんねる」を便利に使うためのサービスツール、2ちゃんねるビューア(通称●(まる))を購入したユーザーのクレジットカード番号を含む3万件以上の個人情報が流出してしまったんだにゃー。
Facebookでは他人のウォールに誰でも許可なく書き込める脆弱性があったみたいなんだけど(現在は修正済み)その指摘方法が過激だったんだにゃー。セキュリティチームへの報告が無視されたから、ザッカーバーグのウォールに書き込んで指摘したんだにゃー。
8月12日にはサイバーエージェントの運営する「Ameba」のたくさんのアカウントがパスワード攻撃を受け、なんと24万件ものメールアドレスなどを含む個人情報が流出してしまったんだにゃー。
どこかから流出したIDとパスワードを使った攻撃が後を絶たないけど、今度はじゃらんnetが被害に遭って、2万8000人分の名前や住所、ホテルの予約履歴などが流出したみたいなんだにゃー。
DNSサーバーアプリケーションの「BIND 9」にDoS攻撃を受ける脆弱性が見つかったんだにゃー。リソースレコードのRDATA部分の取り扱いに問題があって、DNS問い合わせによって異常終了するんだにゃー。夏恒例のBINDの脆弱性なんだにゃー。
7月24日には大手ISP、OCNのIDサーバーに不正アクセスがあり、最大約400万のOCNのIDとして使うメールアドレスと、暗号化されたパスワードが流出した可能性があるんだって。今のところは被害は確認されてないんだにゃー。
7月16日にWebアプリケーションフレームワーク「Struts2」の脆弱性が公開されたんだにゃー。外部から任意のJavaコードが実行されるんだって。脆弱性を修正したバージョン2.3.15.1が公開されているので、早めにアップデートした方がいいと思うんだにゃー。
遠隔操作ウイルス事件に関連して、共同通信社と朝日新聞社の記者が「真犯人」と名乗る人物のメールサーバーに不正アクセスを行ったのが明らかになっていたけれど、結局起訴猶予ということでおとがめなしになったんだにゃー。
サイバー攻撃に関して言えば、事務所内だけでなく工場の制御システムを狙う攻撃も顕在化しており、経営リスクにもつながる深刻な問題として認識されはじめています。
マルウェア感染などを狙ったWebサイトの攻撃が7月になっても収まらないようで、新たにさまざまなサイトが改ざんされているよ。だからIPAが2度目の改ざんに対する注意を呼び掛けているんだにゃー。
脅威が深刻化する今、製品を入れるだけでなく、専門家のサポートを活用することで、セキュリティレベルを向上させることが、ますます重要になっているといえます。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)