セキュリティの論点

JAL個人情報流出事件を振り返る--ハードよりもソフトの充実を - (page 2)

中山貴禎(ネットエージェント) 2015年02月12日 07時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 このJALマイレージバンク、今回のこの事件が初めてというわけではなく、以前も不正アクセス事件を起こしてパスワードの変更を会員に依頼したりと、本件流出の原因が全てそれに起因するとまでは言いませんが、いまだにパスワードの設定が数字6ケタ(以前は数字4ケタだった)となっており、安全性に大きな問題を抱えています。

 一般的には、多くのウェブサービスのパスワードは数字以外にアルファベットや記号などをパスワードにに使える上に8文字以上が主流であり、このサービスだけ他とは異なるパスワードを用いているユーザーも多いかもしれません。もちろん同じパスワードを使い回すのは避けるべきなのですが。

 この「脆弱性」問題に関してはユーザー側では対策できないため、わずかに残る他の同様のサービスを含め、改善を望んでいます。

 話は戻ります。マルウェアの不正アクセスによってVIPSにスローレスポンス(反応が鈍くなる)が発生(9月19日、22日)し、調査の結果「通常の業務では発生しない手法でVIPSから顧客情報をダウンロードし該当端末内に保管されていた」ことが分かり、事件の発覚へと進んでいきます。

 このマルウェアは、ダウンロードした情報をRARという拡張子のファイル形式で圧縮し、外部に送信するものだったそうです。

 そのため、このRARファイル(拡張子が.rar)で対象ファイルを絞り込み、顧客情報を扱う可能性のある端末ではそれら圧縮ファイルの内容を目視で確認。顧客情報を扱う可能性がない業務端末ではチェックツールで顧客情報の有無を確認し、顧客情報が画像データが1件でも検出されたファイルに関してはさらに精査、という流れで全端末の通信記録が調査されたそうです。

 調査の結果、このマルウェアに感染した業務PCのうち20台が、香港のサーバに通信を行っていた可能性があって、その20台のうち顧客情報を外部に送信したのは3台だったそうです。この3台が香港サーバへ送信した、マルウェアが作成したと考えられるRARファイルに保存されていた顧客情報が、4131件分の情報だったことが分かった、ということです。また検証報告では、今後の課題として以下を挙げています。

  • 社員への啓発活動や情報管理制度の見直し
  • サイバー系インシデントに対する事前の体制整理
  • 社内のネットワークとシステムの見直し
  • 中立的な検証機能の導入

 事例を教訓として今後に生かし再発防止の研修に役立てる、個人の業務PCに顧客情報は極力保存しない、情報の重要度の再定義と管理体制の見直しなどといったポリシー的な内容、そしてそしてセキュリティ監視センター(Security Operation Center:SOC)立ち上げやセキュリティ情報イベント管理(SIEM)実装、仮想化といったシステム的な内容などが挙げられています。

 そして、最後にまとめとして「システムやネットワークなどのハードと、ヒューマンリソースや業務・運用などのソフトを両輪としたバランスの取れたセキュリティ対策が重要」と締めくくられています。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]