#4:バックアップデータの盗難
社外からシステムに侵入し、データを盗む攻撃者も脅威であるが、社内にいる攻撃者についても忘れてはならない。このレポートでは、内部の人間も金銭その他の利益を得る目的、あるいは腹いせのためにデータベースのバックアップを含むアーカイブデータの窃盗に及ぶ可能性を示唆している。これは現代企業にとって身近な問題であるため、内部犯行のリスクを低減するためにアーカイブの暗号化を検討するべきだろう。
#5:データベース機能の不正利用
同調査チームによると、把握しているこの3年間のデータベースへの攻撃はすべて、データベースの標準搭載機能を不正に利用したものであったという。例を挙げると、ハッカーは正規の認証を通じてアクセス権を獲得してから、サービスに任意のコードを実行させようとする。多くのケースでは、その過程こそ複雑であるものの、簡単な欠陥を通じてアクセス権を取得することで、システムを悪用したり、乗っ取ったりするわけである。こういった不正利用に歯止めをかけるには、不必要なツールの削除という対策が有効となるはずだ。これによってゼロデイ脆弱性の可能性を摘み取れるだけでなく、攻撃対象領域の縮小を図り、少なくともハッカーによる攻撃前の調査を困難にできる。
#6:責務分担の欠如
管理者とユーザーの責務を明確にするとともに、それぞれの権限を分離しておくことは、内部の人間による詐欺や窃盗を抑止する一助になる。それに加えて、ユーザーアカウントの権限に制約を設けることで、ハッカーによるデータベースの制御権奪取を難しくできる。
#7:石蹴り遊び
サイバー犯罪者は、最初の攻撃でバッファオーバーフロー脆弱性を悪用し、一気にデータベースのアクセス権限をすべて掌握しようとするのではなく、石蹴り遊びの要領で攻撃を進めていく場合も多い。つまり、より深刻な攻撃を行うための踏み台となるような、インフラ内の弱点を見つけ、少しずつバックエンドのデータベースシステムに近付いていくのである。例えば、ハッカーがクレジットカードの処理部門に攻撃を加える際、その前段階として会計部門に忍び寄る場合もある。すべての部門が標準化された同じ統制の下で運営されていない限り、個別に管理者アカウントを作成し、システムを独立させておけば、リスクを低減できるはずだ。
