Twitterは過去数日間、フィッシング業者とハッカーたちの両方の攻撃に対処しなくてはならなかった。私は以前彼らと同じ立場にあった者として、彼らのセキュリティチームに深く同情しており、彼らがやらなくてはならない仕事の量を理解している。ここでは、あるサービスのセキュリティについて、緊急に判断をするという経験がない人のために、しなくてはならないことを想像できるよう、仕事のリストの例を作ってみた。
1月第1週の週末、Twitterはまず複数のソーシャルネットワークにまたがるフィッシング攻撃による打撃を受けた。この最初の攻撃が行われている間に、サポート要員の1人のアカウントが総当たり攻撃によって破られ、部外者にTwitterのバックエンドへのスーパーユーザー権限によるアクセスを許してしまった。
チームはこの出血が止めることができたら、ネットワークとシステムのセキュリティの基本に立ち返り、従業員とユーザーのセキュリティポリシを改訂しなくてはならない。ユーザーの不満を最小限に抑えるため、ユーザーのセキュリティポリシは、通常のユーザーアカウントに対するものと、注目度の高い、破ることによって得られる価値の高いアカウントに分けて検討される必要があるだろう。セキュリティの原則について関係者の合意が取れたら、彼らは以下のような行動を取ると考えられる。
今後数日間については、次のようになるだろう。
- すべての従業員のアカウントについて、「1Password」やNortonの「Password Manager」のようなパスワード管理ソフトを購入する。この準備ができたら、パスワードの複雑さに関する非常に厳密なポリシーを実施し、従業員にそのソフトウェアを使うことを求める。
- 価値の高いアカウント、つまり有名人や政治家、その他の影響力の強いハブとなっているアカウントを特定し、監視する。
また、今後数週間は次のようなことが行われるだろう。
- 価値の高いアカウントに対しては、アクセスとパスワードの再設定にSMSと電子メールのトークンの両方を使った2ファクタ認証を導入する。
- Twitterの従業員のアカウントを、管理用アカウントを分離する。管理用アカウントをVPNアクセスで保護されている、別の監視されているウェブサーバに分離し、やはり2ファクタ認証を導入する。
- パッチ管理、監視、緊急対応手順などを含む、ネットワークとシステムの伝統的なセキュリティポリシを確立する。
- ユーザーからの要求があった場合にアクセスできる別の認証トークンを作り、この認証トークンを使ったユーザーのプロファイルに対する一時的な、読み出しのみのアクセスを許可する。このトークンは、Twitterのコンテンツ分析を行う第三者アプリケーションに渡すためのものだ。
- iSec Partners、IO Active、Matasanoなどの第三者セキュリティ企業と契約し、ユーザーに直接接するすべてのコードを監査する。
次の数ヶ月間に行うこととしては次のようなことが考えられる。
- 価値の高いアカウントに対する専用のサポートを提供し、段階的なポリシを設定する。
- 価値の高いアカウントの所持者に対しては、異常検出方式による警告機能を提供する。例えば、アカウントに対し短時間にあまりにも多くのIPアドレスからアクセスがあった場合には、SMSメッセージを送るなどする。
- 第三者による監査で発見された、すべての影響が大きい問題や確率の高い問題を修正する。
上記のリストは完全なものでも、正式なものでもないが、Twitterのセキュリティチームが直面している作業の量について、イメージがつかめるのではないだろうか。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
-
ブックマーク(-)
- トラックバック(0)
- 印刷
-
- IPアドレス
- イメージ
- SMS
- 電子メール
- トークン
- 2ファクタ認証
- VPN
- ウェブサーバ
- ユーザー
- セキュリティポリシー
- フィッシング
- ハッカー
- セキュリティ
- サービス
- 総当たり攻撃
- スーパーユーザー
- アクセス
- ネットワーク
- システム
- 専用のサポート
- 異常検出方式
- 警告機能
- SMSメッセージ
- 特定
- 監視
- 再設定
- 2要素認証
- パッチ管理
- 緊急対応手順
- 認証トークン
- 読み出し
- コンテンツ分析
- iSec Partners
- IO Active
- Matasano
- 第三者
- セキュリティ企業
- 契約
- 従業員
- 改訂
- 不満
- 価値
- 1Password
- Norton
- Password Manager
- パスワード管理ソフト
- 複雑さに
- 価値の高いアカウント
- 有名人
- 政治家
- 業者
- 攻撃
- 対処
- リスト
- ソーシャルネットワーク
- フィッシング攻撃
- バックエンド
「通信」 の新着情報
-
エイケア・システムズ、メール配信サービスとTwitterの連携を開始
エイケア・システムズは、メール配信システム「MailPublisher」が配信するメールのタイトルを、Twitterに自動投稿する連携サ... - ベライゾンビジネス、仮想私設LANサービスを国内で提供--世界31カ国に拠点
- 「勘違いするな、MSのクラウドへの本気度は100%だ」--バルマーCEO、ほえる
- ネットの「2011年問題」?--IPアドレス枯渇対応チェックリスト公開
- 日立情報、自治体向けSaaS発表--小規模な自治体向けに規模別サービスを用意
- 通信 一覧へ »
「Zero Day」 のバックナンバー
-
jailbreakされたiPhoneがハックされ、5ドルを要求される
jailbreakされたiPhoneにインストールされてるSSHデーモンに、デフォルトのrootパスワードが設定されている問題を利用して、自動的に攻撃が仕掛けられる事件が起こった。 -
フィッシング実験ですべてのスパムフィルタを迂回することに成功
-
Shockwave Playerに深刻なセキュリティホール--アドビが修正パッチ公開
-
US-CERT、BlackBerryをねらったスパイウェアを警告
-
ボットネットに接続させるFacebookのパスワードリセットスパムが出回る
- Zero Day 一覧へ »
-
【SUN xVM portfolio】ダイナミックなデータセンターのための仮想化プラットフォーム
- 電力消費量を可視化〜!身近なPC管理から始めるグリーンIT統制〜
- 中堅企業におけるテクノロジーと成長
- 日本モバイルインターネット端末市場分析 〜2008〜2012年のMID及びスマートフォン...
- 企業コスト削減の傾向と対策 〜最新アプローチのトレンド〜
- インターネットセキュリティにおける今後の展望’09-’10
- パンデミックでも社員を守り業務継続を支援する
- 大容量ファイル、機密情報データの受渡しに! ~~ ファイルエクスプレス ~~
- 高パフォーマンス・データベースの実現に向けたステップ
- データセンタとサーバルームの動的な電力変動
企画特集
-
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
求めているのはSIerのエンジニア!!
連載インタビュー第1話、グリーCTO藤本氏が語る -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
進むストレージ環境の見直し
仮想環境に最適なiSCSIストレージLeftHandのメリット -
最大32個のセンサーが電力を徹底管理!
『省エネ性能』追求HPx86サーバー徹底レビュー -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中 -
VMware OEMベンダー6社を独占インタビュー
IBM、HP、NEC、DELL、日立、富士通のVMwareの取り組み -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
情報漏えいを食い止める!
証跡としての信用力を高めるメールアーカイブとは?
-
17. Intel Threading Building Blocks
オライリーブックから出版されている「Intel Threading Building Blocks... -
18. Intel Integrated Performance Primitives
単に最適化コンパイラを使うよりもパフォーマンスを良好にするルーチン...
新着企業動向
-
Macintosh用DVDコピー/動画変換ソフトウエアの最新版「Roxio Popcorn 4」を11月6日に販売開始
ラネクシー -
【大阪会場】12/6(日) プログラミングからWeb デザインまで、高速・高機能テキストエディタ...
エムソフト -
「大江戸セキュリティくろすわーど」好評につき期間延長しました!(11/15まで)
日立システムアンドサービス -
メールセキュリティSaaS『Mail Luck!セキュアタイプ』
NTTPCコミュニケーションズ(ネットワーク事業部) - 企業動向一覧へ»
