1. 米国のITセキュリティ動向 今後も注目!11月のマンスリーセキュリティレポート

ニュース【vol.16】

2017.04.21

米国のITセキュリティ動向 今後も注目!11月のマンスリーセキュリティレポート

  • Facebook
  • このエントリーをはてなブックマークに追加

0324_nomoreimg
サイバー犯罪者は常にターゲットを探しており、攻撃の手法や技術も進化させています。そのため、強力なセキュリティ対策を構築していても、100%の防御は難しいのです。マンスリーセキュリティレポートでは、特徴的な情報漏えい事件やセキュリティ侵害事件、業界の話題などをピックアップし、考察していきます。

【目次】
・2016年11月の情報漏えい事件
・漏えい事件の原因を考察
・どうすれば漏えい事件を防げたのか
・2016年11月のトピック

2016年11月の情報漏えい事件

 2016年11月も、いくつかの情報漏えい事件が発生しました。今回はその中から、特徴的な2つの事件を取り上げます。まず11月14日、大学が宅配便により発送した書類が配送途中で紛失するという事件が発生しました。

 これは、通信教育課程の学生の名簿を学外のインストラクターに発送したところ、宅配便が配送中に紛失したというもの。名簿には、通信教育部の学生98名の氏名、住所、電話番号などが記載されていたといいます。宅配便業者では誤配送の可能性も含めて調査中としています。

 11月9日には、ホスティング事業者のデータベースサーバに不正アクセスがあり、ホスティングサービス利用者の契約情報が流出した可能性があることが判明しました。不正侵入の痕跡を確認したことで、第三者機関に調査を依頼し、その結果が明らかになったとのことです。

 これは、9月16日の社内調査で、複数の利用者のサーバにプログラムファイルがアップロードされていることが判明したもので、調査の結果、同社の契約情報データベースに不正侵入の痕跡が認められたといいます。流出した可能性のある個人情報は48,685名分で、氏名、住所、電話番号、メールアドレス、契約アカウント名およびパスワード、クレジットカード番号、有効期限が含まれていたとしています。

 

漏えい事件の原因を考察

 大学の事件では、社外のインストラクターに発送した学生の名簿が配送中に紛失したというものです。インストラクターは学生の相談に乗る人のことで、日本各地にいるといいます。そして配送を担当した宅配便業者は、誤配送の可能性も含めて調査しているとしています。

 書類を遠隔地に届けるときは、郵送や宅配便を利用することが一般的です。こういった日本の配送システムは正確性や信頼性が高いとされています。しかしこのケースでは、その品質を満たしていなかったといえます。あるいは、発送した大学側が重要な書類であることを宅配便業者に伝えていたのかという疑問も残ります。

 ホスティング事業者のケースでは、契約情報データベースの脆弱性を悪用され、データベース内の情報を不正に取得されたという調査結果が出ています。悪用された脆弱性は「OSコマンド・インジェクション」とされています。OSは「オペレーションシステム」の略で、コマンドは「命令」、インジェクションは「挿入」の意味です。

 つまりOSコマンド・インジェクションとは、サーバへのリクエストの中に、サーバのOSを操作するための文字列を挿入する攻撃です。サーバに脆弱性があると、外部からサーバのOSを操作されてしまい、データを外部に送信したり、データを改ざんしたり、外部のサイトへDoS攻撃を行うなど、サーバを自由に操作されてしまいます。これにより、個人情報を盗み出したと思われます。

01

OSコマンド・インジェクションの仕組(出典:IPAの資料より)

 

どうすれば漏えい事件を防げたのか

 大学のケースでは、書類の送付を依頼した宅配便業者が書類を紛失しています。このため責任は宅配便業者であることは明白です。しかし、大学の発表は詳細を明らかにしていませんが、大学側に責任の一端があるケースも考えられます。たとえば、送付する書類が個人情報を含む重要な書類であることを伝えていたでしょうか。あるいは、重要な書類を送るためのオプションのようなサービスを活用していたでしょうか。

 重要な書類を送るときにはそれを明記するとともに、配送の状況をトレースして証跡を残すようなサービスがあれば、それを活用すべきです。こうしたサービスは、大手宅配事業者や、郵便局でも提供されています。たとえ有料のサービスであっても、それを利用すれば配送する側も会社の威信をかけて届けてくれるでしょう。

 また、紙の書類である必要があったのかという疑問も残ります。名簿であれば、表計算ソフトなどで作成したファイルをメールなどで送るという選択肢もあると思います。デジタルのデータであれば、暗号化してメールで送るなり、証跡の残るようなファイル送信サービスなどを活用するなり、安全に送る方法もあります。

 重要な書類を送るときには、万一、紛失した場合も考えて手段を決める必要があります。業界によっては、「万一墜落した場合に書類を回収できない」という理由で、航空機で書類を送ることができないケースもあるといいます。これは極端な例ですが、重要な情報を記載した書類を紛失することが、企業の信頼に影響を与える時代です。より安全で確実な手段を選ぶようにしましょう。

 ホスティング事業者のケースでは、ソフトウェアの脆弱性を突いた不正アクセスがきっかけとなっています。このため、まずはソフトウェアの脆弱性をなくすことが重要です。サーバのOSやアプリケーションソフトは、脆弱性が発見されると、それを修復するためのパッチやアップデータが開発元から提供されます。基本的に、これらを早急に適用すれば脆弱性をなくすことができます。

 しかし、サーバではさまざまなアプリケーションが動いているので、ひとつのアプリケーションをアップデートすることで他のアプリケーションが不具合を起こしてしまうこともあります。そのため、サーバを構成するアプリケーションのアップデートはテスト環境で検証する必要があり、適用までに時間がかかってしまいます。

 OSコマンド・インジェクションの場合、OSコマンドはWebサイトの入力エリアなどに挿入されます。こうした入力エリアは、本来OSコマンドを入力するためのものではないため、WAF(Web Application Firewall)によりこのような不正な入力を検知することにより、インジェクション攻撃を阻止することもできます。

01

OSコマンド・インジェクション(出典:IPAの資料より)

 

2016年11月のトピック

 2016年11月には、米国大統領選挙が終了し、大方の予想をくつがえしてドナルド・トランプ氏がヒラリー・クリントン氏を破り当選しました。2017年1月からの正式就任を控えて、その政策に注目が集まっています。現大統領のバラク・オバマ氏がIT政策に積極的だっただけに、トランプ氏がIT、特にITセキュリティにどう取り組んでいくのかはきになるところです。

 オバマ大統領は、自身の選挙キャンペーンでソーシャルメディアを積極的に活用し、大統領就任後も大統領演説を動画投稿サイト「YouTube」で毎週配信するなど、デジタルツールで情報発信を行ってきました。自身を「科学オタク」と称するほど、デジタル機器やITテクノロジーに精通した米国大統領として知られています。

 オバマ大統領は2009年5月の演説の中で、サイバー脅威は経済・国家安全に関わる深刻な課題のひとつに挙げています。またその後、中国からのサイバー攻撃やソニー(SPE)へのハッキング、米連邦人事管理局(OPM)へのハッキングによる大規模な情報漏えいなどが発生したほか、WikiLeaks問題やスノーデン事件など、国家の機密情報に関わるサイバーセキュリティ問題が大きく取り上げられました。

 こうした状況を受けて、オバマ大統領はサイバーセキュリティ関連の主要政策を複数打ち出しました。特に重要な政策は、2013年12月の「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」が挙げられます。このフレームワークは、2015年には全体の30%が採用し、2020年には50%になる見込みと浸透しています。また、情報共有分析機関(ISAO)やサイバー脅威情報統合センター(CTIIC)といった官民での取り組みも実施しています。

 一方でトランプ氏は、選挙キャンペーンを含めてテクノロジー関連の政策について、はほとんど言及していません。このため、米次期政権におけるIT政策の先行きは不確実性に包まれている状況です。ただし、2016年10月に行われた大統領選テレビ討論会で、トランプ氏はサイバーセキュリティを「優先して取り組む最重要政策のひとつ」と位置づけ、軍、司法当局、民間部門の専門家から構成される「サイバー・レビュー・チーム」を結成し、国家の重要インフラなどにおけるサイバー攻撃からの脆弱性検知および防衛強化にあたる方針を示しています。

 このほかにも、いくつかの政策を提案していますが、どの程度実行するかについてはまったく予想できない状況です。米国のITセキュリティ政策は日本にも大きな影響を及ぼすため、今後も注目していきたいところです。

003-01

オバマ政権下における主なサイバーセキュリティ政策(出典:IPAの資料より)

 

yosizawa150-150吉澤亨史(よしざわ こうじ)フリーランスライター
自動車整備士として整備工場やガソリンスタンドで長らく働いた後、IT系フリーランスライターとして独立。ここ15年ほどは情報セキュリティ関連を中心に執筆活動を行っている。ただし、パソコンやハード、ソフト、周辺機器、スマホ、アプリ、サービスなどIT系全般はもちろん、自動車など他業界にも対応。
この記事をシェアする
  • Facebook
  • このエントリーをはてなブックマークに追加