「JALへの不正アクセス」中間報告を読み解く - (page 2)

山田竜司 (編集部)

2014-10-10 07:00

感染PCとその経路について

 感染したウイルスの種類については不明だということだが、アンチウイルスソフトウェアの動作は問題なかったということで、いわゆるゼロデイ攻撃だと推測される。実際にはウイルスの検体(ウイルスの元となるファイルやプログラム)を得ることができていないのではないかとも考えられるが、どのようなウイルスに感染しているのかわからないということでは対策のしようがない。

 JALでは万が一の感染でも情報が流出しないように対象となるPCの外部接続を中止しているようだが、情報を利用するためには何らかの形で他のPCやサーバとのやりとりが必要になるため、利用手順などを構築することが望まれる。

 調査で判明している中では、感染したPCは全体で23台、このうちの12台に顧客情報が格納されていた。対象となる23台すべてのPCでアンチウイルスソフトウェアの動作が確認されていたというのだから、このウイルスは既知のものでなかっただろうことが推測できる。ただし、感染経路はわからないということで、他の部署での感染なども気になるところだ。

今後の対応について

 現在は対象となった部署のPCで、サーバや外部接続をしない設定にしており、サーバ側でもインジェクションなどがないように調整をしているようで、一時的に対応しているところだろう。

 現状ではまだまだわかっていないことが多い今回の事件について次の報告はいつ頃出るのかを尋ねてみたところ、2~3週間のうちに提供できるのではないかとのことだった。

中間報告書から読み取れること

 JALにおける情報漏えいについて、報告及び得られた回答をもとに専門家の意見を聞いた。情報セキュリティガバナンスや社内不正対策に詳しいディアイティの河野氏は、「今回の事故はサーバが攻撃されたものではなく、クライアントPCが狙われたもので、不正アクセスによる個人情報漏えいというキーワードからイメージするものとは大きく異なる」という。

 「まずは感染経路の特定が必要であり、ネットワークログだけではなく、感染したPCのハードディスクなどを調査(フォレンジック)して、どのような挙動だったかを調べることが先決だろう」とも話しており、感染の経路やウイルスの特性などを調査しなければ適切な再発防止策は検討できないとした。

 クライアントPCからの情報漏えいという点でベネッセの事件でも同じことが問われている。クライアントPCをどのように管理するのか、これはアンチウイルスソフトウェアを入れて、USB禁止などのポリシーマネジメントを入れておけば良いということだけでは足りないということだろう。

 「アンチウイルスソフトウェアを導入しておくことで多くの攻撃を検知し、対策が可能だが、検知できないウイルスも多く存在するのが実情。ウイルスの挙動を理解し、その挙動を検知するためのリアルタイムなモニタリングが求められる」(河野氏)

 情報セキュリティにおいては、事故を表す「インシデント」とその事故に至るまでの事象を表す「イベント」という言葉がある。このイベントをモニタリングすることで、事故の予兆管理や事後の早期対応が可能だ。多くの顧客情報や機密情報を扱う部門ではこれらを実践することがこれからのセキュリティガバナンスと言えると河野氏は指摘。

 さらに河野氏は「導入したいシステムからガバナンスを考える例も多いが、重要なのはガバナンスを実現する補助としてITを使うという意識だ。リアルタイムでのモニタリングを実現するには、まずどのような活動を監視対象とするのかについて、システムの特性や業務の特性から項目を決める必要がある。今はシステムログを個別に持っているが、ガバナンス時代は複数の製品やサービスからの情報を一元化し、SIEM(セキュリティ情報イベント管理)ソフトウェアなどの統合管理ツールなどの導入を検討するのが将来を見越した回答だろう」と説明している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]