データベース関連でありがちなセキュリティ上の落とし穴10選 - (page 2)

Charlie Osborne (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2013-07-12 07:30

#4:バックアップデータの盗難

 社外からシステムに侵入し、データを盗む攻撃者も脅威であるが、社内にいる攻撃者についても忘れてはならない。このレポートでは、内部の人間も金銭その他の利益を得る目的、あるいは腹いせのためにデータベースのバックアップを含むアーカイブデータの窃盗に及ぶ可能性を示唆している。これは現代企業にとって身近な問題であるため、内部犯行のリスクを低減するためにアーカイブの暗号化を検討するべきだろう。

#5:データベース機能の不正利用

 同調査チームによると、把握しているこの3年間のデータベースへの攻撃はすべて、データベースの標準搭載機能を不正に利用したものであったという。例を挙げると、ハッカーは正規の認証を通じてアクセス権を獲得してから、サービスに任意のコードを実行させようとする。多くのケースでは、その過程こそ複雑であるものの、簡単な欠陥を通じてアクセス権を取得することで、システムを悪用したり、乗っ取ったりするわけである。こういった不正利用に歯止めをかけるには、不必要なツールの削除という対策が有効となるはずだ。これによってゼロデイ脆弱性の可能性を摘み取れるだけでなく、攻撃対象領域の縮小を図り、少なくともハッカーによる攻撃前の調査を困難にできる。

#6:責務分担の欠如

 管理者とユーザーの責務を明確にするとともに、それぞれの権限を分離しておくことは、内部の人間による詐欺や窃盗を抑止する一助になる。それに加えて、ユーザーアカウントの権限に制約を設けることで、ハッカーによるデータベースの制御権奪取を難しくできる。

#7:石蹴り遊び

 サイバー犯罪者は、最初の攻撃でバッファオーバーフロー脆弱性を悪用し、一気にデータベースのアクセス権限をすべて掌握しようとするのではなく、石蹴り遊びの要領で攻撃を進めていく場合も多い。つまり、より深刻な攻撃を行うための踏み台となるような、インフラ内の弱点を見つけ、少しずつバックエンドのデータベースシステムに近付いていくのである。例えば、ハッカーがクレジットカードの処理部門に攻撃を加える際、その前段階として会計部門に忍び寄る場合もある。すべての部門が標準化された同じ統制の下で運営されていない限り、個別に管理者アカウントを作成し、システムを独立させておけば、リスクを低減できるはずだ。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI を活用した革新的な事例 62 選 課題と解決方法を一挙紹介

  2. セキュリティ

    新入社員に教えるべき情報セキュリティの基礎知識--企業全体を守るための基本ルールを徹底解説

  3. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  4. セキュリティ

    【マンガで解説】なぜ中小企業でも最新のセキュリティ対策を強化しなければいけないのか?

  5. ビジネスアプリケーション

    調査結果が示す、通信業界の「生成 AI 活用」インパクト--成果を達成する 4 つのユースケース

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]