多くの重大なハッキング事件を見て言えることは、ネットワークセキュリティに関しては準備万端だと思われている組織が、実はそうではないことが多いということだろう。ここ数カ月間で、政府組織も、クラウドサービスプロバイダーも、銀行も、みな恥ずかしい情報漏えい事件起こしている。そういった事態を防ぐための、実績のある対策が存在するにもかかわらずだ。以下の6つの重大事件とそこから学ぶべき教訓について知れば、セキュリティに真剣に取り組むべき理由が理解できるはずだ。
教訓1:ユーザーには定期的にパスワードを変更させるべし
残念ながら、機密情報の保護に関して、真剣に取り組んでいない企業が多い。ここで例として挙げるのは、有名なクラウドストレージサービスであるDropboxだ。8月、同社は別のサイトで盗まれたパスワードによって、ユーザーの電子メールアドレスが記載された内部文書を見ることができる、同社の従業員アカウントにアクセスされたと発表した。メールアドレスが盗まれたユーザーは金銭的な被害こそ受けなかったものの、彼らのメールの受信箱はギャンブルのウェブサイトのスパム広告で溢れた。
この事件から得られる重要な結論を1つ挙げるとすれば(教訓は他にも多くあるが)、それはユーザーのログインに使われる認証情報がたまたま盗まれてしまった場合でも、企業ネットワークに不正アクセスされる可能性を減らすため、ユーザーのパスワードは定期的に変えさせるべきだということだ。
教訓2:パスワードにはハッシュとソルトを用いるべし
この夏に起きたLinkedInの事件では、多くの本気になったハッカーを相手にした場合、ユーザーのパスワードを保護するための基本的な暗号テクニックは不十分であることが証明された。
6月、ハッカーたちはLinkedInの600万件のパスワードを盗み出し、それをロシアのウェブサイトに投稿してクラックの手助けを求めた。パスワードの暗号化は非常に基本的なレベルでしか行われておらず、ハッカーはわずか数日でこれを解いてしまった。
セキュリティの基本中の基本として、ハッシュをかけたらソルトを加え、再びハッシュするべきだ。その上で、アカウントの認証情報は、組織内のネットワークの中でも攻撃から隔離された場所に置かれた安全なウェブサーバに置くこと。
教訓3:暗号の鍵はバックアップすべし
Recurlyは、インターネット上でビジネスをしている企業に対して、登録会員課金サービスや、クレジットカード情報の保存および関連サービスを提供している会社だ。9月の初めに、同社のメインの暗号化デバイスが故障した。この問題は、バックアップのスレーブデバイスにも伝搬した。その過程で、登録処理に使用されていた、クレジットカードを保護する暗号の鍵が壊れた。
Recurlyのミスは、 課金情報にアクセスするのに必要な暗号鍵をバックアップできていなかったことだ。
ハードウェアの故障後、暗号の鍵が完全に消えていたか壊れてていたため、エンジニアは支払い処理に必要な課金情報にアクセスすることができなかった。バックアップが利用できなかったため、繰り返し生じる支払いを処理するサービスの復旧プロセスには時間がかかり、痛手も大きかった。
