今年7月,たて続けに個人情報の漏えい事件が報道された。特にアリコ ジャパンの事件に関しては,その影響度の大きさからか,新聞各紙の一面を飾った。2005年に個人情報保護法が全面施行されてから4年が経過したが,個人情報の漏えいは一向に減らない。2007年3月の大日本印刷の情報漏えいをはじめ,事件は次々に報告されている。 ただ,これらの事件の多くは,情報の流出経路がはっきりしていない。実際の情報が漏れた時点から時間が経過し,事実確認すらままならないというケースは少なくないが,意図的に具体的な漏えい内容を示さないケースも少なからずある。このため事実情報は共有されず,一般組織が他組織のインシデント内容を反面教師とし対策を実施することは限られている。 そこで本稿では,近年発生した情報漏えい事件の漏えい経路を紹介するとともに,これらの対策について考えてみたい。 よくある情報漏えい経路は3種類 よく耳にす
1月26日,第三者のインターネット銀行口座から現金約900万円をだまし取ったとして,電子計算機使用詐欺と不正アクセス禁止法違反の疑いで無職の男が逮捕された。今まで不思議と耳にしなかった“日本人”による金銭目的のサイバー犯罪である。 日本人による金銭目当ての犯罪は2008年10月にも発生している。高校生がスパイウエアを悪用して第三者のアカウント情報を収集し,販売していた事件だ。これら二つの事件の共通点は,悪性プログラム(キーロガー)を使ってキー入力情報を詐取していた点である。プライバシ情報を容易にのぞけるキーロガーを使った犯罪は,今後ますます増えていくと見られる。 キーロガーの侵入経路としては,Web経由でのインストールが目立つ。Flash PlayerやAdobe Reader,音楽再生ソフト,OSのぜい弱性を悪用してシステムを乗っ取り,勝手にインストールする方法である。 この攻撃に対する
クライアント・パソコンを狙った攻撃が巧妙さを増し,対策はますます難しくなってきている。中でもJavaScriptやFlashのぜい弱性を悪用した,スクリプトを使う攻撃は極めて厄介である。スクリプトは静的なWebページだけでなく,動的コンテンツ,画像,ファイルに含まれていることがあり,攻撃を受けた時期の特定が難しいからだ。 そんな中で,今後大きな脅威になると見られている攻撃手法の一つに,「GIFAR」がある。2008年8月に報告された攻撃手法で,2009年2月にホワイトハット・セキュリティのCTOであるジェレミア・グロスマンをはじめとするWebセキュリティの専門家が選ぶ「Top Ten Web Hacking Techniques of 2008」の1位に選ばれた。日本ではあまり話題になっていないが,いつやって来るか分からない。今後の影響範囲を考えると,特にWebアプリケーション開発者は知っ
国内最大手のインターネットのオークションを運営するヤフーのサービスで、利用者を識別するIDとパスワードが何者かに盗まれ、不正な品物の販売に使われる被害が急増していることがわかり、ヤフーではパスワードの管理に注意を呼びかけています。
連鎖型攻撃によるウイルス感染が流行している。ユーザーが,悪意あるコードを含んだWebページにアクセスすることで,連鎖的に攻撃を受ける。さらに複数のウイルスがインストールされてしまう。 その感染経路の多くはSQLインジェクションによってコンテンツを改ざんされた“正当な”Webサイトである。今年3月に続き,7月にも国内で多くのWebサイトが改ざんされ,連鎖型攻撃の踏み台にされた。 この攻撃がやっかいなのは,踏み台を介して誘導される悪質なサイトへのアクセス遮断が難しい点,そして攻撃でインストールされる一連のウイルス群が,ウイルス対策ソフトでは駆除が難しい点である。 「隠れ蓑」で延命する攻撃サーバー 連鎖型攻撃はウイルス感染までに複数のステップを踏む。最近,よく見かけるパターンを端的に説明すると,次のようなステップになる(図1)。 ・踏み台サイトに埋め込まれたスクリプトで攻撃サイトに誘導(図1 1
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
