最近の重大ハッキング事件から学ぶ6つの教訓

Megan Berry (Special to ZDNET.com) 翻訳校正: 石橋啓一郎

2012-12-05 07:30

 多くの重大なハッキング事件を見て言えることは、ネットワークセキュリティに関しては準備万端だと思われている組織が、実はそうではないことが多いということだろう。ここ数カ月間で、政府組織も、クラウドサービスプロバイダーも、銀行も、みな恥ずかしい情報漏えい事件起こしている。そういった事態を防ぐための、実績のある対策が存在するにもかかわらずだ。以下の6つの重大事件とそこから学ぶべき教訓について知れば、セキュリティに真剣に取り組むべき理由が理解できるはずだ。

教訓1:ユーザーには定期的にパスワードを変更させるべし

 残念ながら、機密情報の保護に関して、真剣に取り組んでいない企業が多い。ここで例として挙げるのは、有名なクラウドストレージサービスであるDropboxだ。8月、同社は別のサイトで盗まれたパスワードによって、ユーザーの電子メールアドレスが記載された内部文書を見ることができる、同社の従業員アカウントにアクセスされたと発表した。メールアドレスが盗まれたユーザーは金銭的な被害こそ受けなかったものの、彼らのメールの受信箱はギャンブルのウェブサイトのスパム広告で溢れた。

 この事件から得られる重要な結論を1つ挙げるとすれば(教訓は他にも多くあるが)、それはユーザーのログインに使われる認証情報がたまたま盗まれてしまった場合でも、企業ネットワークに不正アクセスされる可能性を減らすため、ユーザーのパスワードは定期的に変えさせるべきだということだ。

教訓2:パスワードにはハッシュとソルトを用いるべし

 この夏に起きたLinkedInの事件では、多くの本気になったハッカーを相手にした場合、ユーザーのパスワードを保護するための基本的な暗号テクニックは不十分であることが証明された。

 6月、ハッカーたちはLinkedInの600万件のパスワードを盗み出し、それをロシアのウェブサイトに投稿してクラックの手助けを求めた。パスワードの暗号化は非常に基本的なレベルでしか行われておらず、ハッカーはわずか数日でこれを解いてしまった。

 セキュリティの基本中の基本として、ハッシュをかけたらソルトを加え、再びハッシュするべきだ。その上で、アカウントの認証情報は、組織内のネットワークの中でも攻撃から隔離された場所に置かれた安全なウェブサーバに置くこと。

教訓3:暗号の鍵はバックアップすべし

 Recurlyは、インターネット上でビジネスをしている企業に対して、登録会員課金サービスや、クレジットカード情報の保存および関連サービスを提供している会社だ。9月の初めに、同社のメインの暗号化デバイスが故障した。この問題は、バックアップのスレーブデバイスにも伝搬した。その過程で、登録処理に使用されていた、クレジットカードを保護する暗号の鍵が壊れた。

 Recurlyのミスは、 課金情報にアクセスするのに必要な暗号鍵をバックアップできていなかったことだ。

 ハードウェアの故障後、暗号の鍵が完全に消えていたか壊れてていたため、エンジニアは支払い処理に必要な課金情報にアクセスすることができなかった。バックアップが利用できなかったため、繰り返し生じる支払いを処理するサービスの復旧プロセスには時間がかかり、痛手も大きかった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]