ポケモンGOが日本上陸!7月のマンスリーセキュリティレポート
サイバー犯罪者は常にターゲットを探しており、攻撃の手法や技術も進化させています。そのため、強力なセキュリティ対策を構築していても、100%の防御は難しいのです。マンスリーセキュリティレポートでは、特徴的な情報漏えい事件やセキュリティ侵害事件、業界の話題などをピックアップし、考察していきます。
【目次】
・2016年7月の情報漏えい事件
・漏えい事件の原因を考察
・どうすれば漏えい事件を防げたのか
・2016年7月のトピック
2016年7月の情報漏えい事件
2016年7月も、いくつかの情報漏えい事件が発生しました。今回はその中から、2つの事件を取り上げます。まず7月7日、公益財団法人東京動物園協会が管理運営する東京動物園・水族園のホームページが不正アクセスにより改ざんされるとともに、メールマガジン「ズー・エクスプレス」登録者などの情報が流出しました。
ホームページの改ざんは、7月7日朝に同協会の職員が発見したもので、ホームページ上に「ハッキングした」「動物たちを解放しろ」などといった英語のメッセージが書き込まれていたといいます。
情報漏えいは、「ズー・エクスプレス」登録者など21,688件のメールアドレス、および同協会が運営する「東京動物園友の会」への加入問い合わせを行った868件の個人情報(氏名、郵便番号、住所、電話番号、メールアドレス、協会への連絡事項)が流出したとしています。
また7月25日には、株式会社エフエム愛知が「@FM(FM AICHI)」の持つメール会員情報が、不正アクセスにより流出した可能性があると発表しました。
これは7月24日0時頃よりサーバに不正アクセスがあったことが確認されており、メール会員データの情報の一部(約11万件)が流出した可能性があるとのことです。同社では7月25日17時までに対策を実施し、会員に関連する機能をすべて停止したといいます。また、7月26日に社内調査・対策委員会を設置して原因究明と再発防止に取り組んでいるとしています。
漏えい事件の原因を考察
両社とも現在のところ、これ以上の情報は公表されていませんので、推測するしかありません。ただし、「不正アクセス」と書かれています。不正アクセスは、大きく2つの原因が考えられます。ひとつは、Webサイト(Webアプリケーション)の脆弱性の悪用。もうひとつは、権限のある人間の認証情報の入手です。エフエム愛知の事件は前者の可能性が高いといえます。
Webサイトを構成しているWebアプリケーションに脆弱性があると、インターネット経由で悪用されてしまう可能性があります。特に、遠隔から任意のコードを実行できるような脆弱性が存在すると、ホームページの改ざんも自由に行えますし、SQLインジェクションという脆弱性があるとデータベースを参照できてしまいます。
Webサイトの管理者など、権限のある人間の認証情報が盗まれてしまった場合は、その情報で本人になりすましてシステムにログインできます。ログインできてしまえば、その権限で可能なことは何でも行えますので、ホームページの改ざんも個人情報の持ち出しも権限次第で可能です。
どうすれば漏えい事件を防げたのか
Webアプリケーションの脆弱性を狙う攻撃は、現在もっとも多い攻撃のひとつです。攻撃者は常にインターネットに公開されているWebアプリケーションをスキャンし、悪用できる脆弱性がないか探しています。発見するとすぐに攻撃が行われるので、Webサイトの管理者は自社サイトで使用しているWebアプリケーションの脆弱性を把握しておくことが大事です。
どんなWebアプリケーションを使用していて、そのバージョンはいくつなのか、最新バージョンや脆弱性対策パッチが公開されていないかを把握し、脆弱性が公開されたらなるべく早くパッチを適用する必要があります。特に緊急性や影響度の高い脆弱性は、IPAやJPCERT/CCでも注意喚起を行うので、これらのサイトをウォッチする方法もあります。
ただし、Webアプリケーションのバージョンアップやパッチの適用は、なかなかすぐに行えるものではありません。このような場合は、Webアプリケーションの脆弱性を悪用するような攻撃を検知して防御できる「WAF(Web Application Firewall)」や、同様の機能を持つUTMなどの導入も検討しましょう。
権限のある人間の認証については、IDとパスワードの管理をしっかり行うほか、管理画面のログイン画面をインターネットに公開しないあるいは接続元IPアドレスを制限することが効果的です。このほか、個人情報データベースへのアクセス制限を強固にするといった対策も有効になります。
2016年7月のトピック
2016年7月には、スマートフォン向けのゲーム「ポケモンGO」がリリースされ、話題になりました。ポケモンGOは、GPSによる位置情報を取り入れたゲームで、プレイヤーが実際に移動することでポケモンをゲットしたり、成長させたりすることができます。海外で先行リリースされ、さまざまな事件や事故、問題が起きましたが、日本でもリリース後さまざまな問題が発生しています。
情報セキュリティ的には、正規のポケモンGOのふりをした偽アプリが大量に出現しました。これらのアプリには、遠隔操作のような悪意のある動作をするものも含まれていました。ポケモンGOが正式にリリースされた現在でも、こうした不正アプリは攻略法などに名前を変えて数多く存在しています。アプリをインストールする際には注意が必要です。
また、社会的にも多くの問題が発生しています。ゲームでは、ポケモンは比較的ランダムな場所に登場しますが、普段人が入らないような場所にも登場します。また、アイテムを入手したりトレーニングを行ったりするスポットは、ランドマーク的な場所に設置されています。これに対し、神社や名所旧跡などでは早々に敷地内でのポケモンGOのプレイを禁止していますし、広島、長崎の原爆記念公園などはスポットを削除するよう求めています。
さらに、以前から問題となっていた「歩きスマホ」が増えただけでなく、自転車や自動車を運転しながらポケモンGOをプレイする人も増え、すでに数百人が検挙されています。また、希少なポケモンが出現しやすいことで有名になったスポットには深夜でもプレイヤーが集まり、騒音やゴミの問題も指摘されています。ゲームに集中しすぎて怪我をするケースも多くなっているので、周囲に細心の注意を払い、他人に迷惑をかけないよう気をつけたいものです。
自動車整備士として整備工場やガソリンスタンドで長らく働いた後、IT系フリーランスライターとして独立。ここ15年ほどは情報セキュリティ関連を中心に執筆活動を行っている。ただし、パソコンやハード、ソフト、周辺機器、スマホ、アプリ、サービスなどIT系全般はもちろん、自動車など他業界にも対応。