マルウェア感染を前提に対策を--セキュリティ専門家

富永康信 (ロビンソン) 2015年03月10日 07時00分

  • このエントリーをはてなブックマークに追加

 日立ソリューションズは、毎年「情報セキュリティの日」(毎年2月2日)に合わせて「セキュリティイベント」を開催している。このイベントは、2006年から連続で開催されており、今年は記念すべき10回目として1月30日に行われた。今やすっかり名物となった『セキュリティいろはかるた』を使った有志企業対抗のかるた大会とともに、セキュリティ分野の専門家を招いたユニークなセミナーも毎回人気となっている。


「セキュリティリスクを正しく理解し正しく怖がることが第一歩」と語る辻氏

 セミナーの第1部では、ソフトバンク・テクノロジー シニアセキュリティエバンジェリスト 辻伸弘氏が登壇した。辻氏は、国内外のサイバー犯罪やサイバー攻撃の調査・取材や、セキュリティインシデントのリサーチ、ソーシャルメディアで情報を発信しながら、自宅では趣味としてハニーポットの運用やIDS(侵入検知システム)による監視を行うなど、セキュリティ分野では攻撃者側の視点と手段を熟知する専門家として注目の人物だ。

 そこで、「セキュリティ対策以前 ~正しく知り、正しく怖がる第一歩~」と題した辻氏の講演の内容をご紹介しながら、今一度セキュリティの基本に立ち返った心構えを学んでみたい。

セキュリティリスクには「正しく怖がり」「対策を諦めること」が重要

 2014年はHeartbleedやShellshock、IEのゼロディなど、脆弱性の当たり年となったと振り返る辻氏は、「セキュリティリスクが次々を報じられる中で、そもそも自社の“どこにある”“何を守りたいのか”を正しく理解した上で、正しく怖がることが大事だ」と、企業の情報セキュリティに取り組む姿勢を改めてアドバイスした。

 企業によって守りたい大事なものは異なるが、ある開発系企業では、盗まれて困るものがソースコードなどの著作物ではなく、顧客情報だったそうだ。

 そしてもう一つ、心得てほしいこととして「諦めること」が必要だという。マルウェア感染や内部不正、インターネット経由による情報窃取、SQLインジェクションなど、世の中にある数多くの脅威に、全て対策することは無理だと諦めることが現実的で大事だというのだ。もちろん、そのために最善を尽くすという前提で。

 続いて、辻氏は昨今の脆弱性の傾向について解説を進める。Windowsにおいては2008年10月のマイクロソフトセキュリティ情報「MS08-067」(Serverサービスに存在する脆弱性の解決)を最後に、攻撃者側がアクティブに通信を発生させてターゲットへの侵入を成功するようなクリティカルな脆弱性が存在しなくなったため、最近ではブラウザ、Java、Acrobatなどの個別のアプリがターゲットになるケースが多いという。

 例えば、2014年9月に発見された「Shellshock」(LinuxなどUNIXベースOSに使われている「GNU Bash」に存在する危険な脆弱性)は業界に大きな衝撃を与え、シェル(コマンド実行環境)のショックは現在も続いている。

 攻撃方法は意外なほど単純で、攻撃者は脆弱性のあるウェブサーバにShellshockのBashに存在するバグ(CVE-2014-6271)を含む簡単な文字列を送信するだけで、本物のユーザーと同じコマンドを実行でき、かつリモートからシステムに認証なしで任意のコマンドを実行できるようになる。

 また、最近の攻撃者の多くはサーバのリモートエクスプロイトを誇るような幼稚な愉快犯ではなく、ドライブバイダウンロード(ウェブサイトを閲覧しただけで不正プログラムをダウンロード/実行する攻撃手法)やRAT(Remote Administration Tool:コンピュータを管理者権限で遠隔操作するためのバックドアを仕掛けるツール)などを設置して水面下で静かに制御の奪取を目論む。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]