あなたが「そんなこと、もう知ってるよ!」と思うようなセキュリティ知識を、まだ知らないかもしれない人たちに向けて何度でも伝える――これ、一見ムダに思えませんか?
でも、実はセキュリティ向上にとって非常に重要なポイントは「皆の“知らなかった!”をどれだけ減らせるか」だと、私は考えています。なぜなら、多くの被害者を出した情報漏えい事件の一部は、基本的なセキュリティ知識が“皆に”伝わってさえいれば、本来防げたはずのものだから。
今回、皆さんに紹介するのは、2018年7月に公開された「報告書」です。これは、産業技術総合研究所(産総研)が外部からの不正アクセスを“許してしまった”事件の被害状況と原因を整理した、大変有用な資料です。
(参考)
産総研を襲ったのは「マルウェア」ではなかった
一体何が起こったのでしょうか? 簡単にまとめれば、この事件は、産総研が利用しているクラウドサービスを使ったメールシステムと、独自に構築していた内部システムに不正アクセスがあり、「未公表の研究情報」「共同研究の情報」「全職員の氏名」「所属情報」などが、漏えいまたは閲覧された可能性があるというものでした。
産総研への不正アクセスの手口(「産総研の情報システムに対する不正なアクセスに関する報告」から引用) こう聞くと、「ああ、標的型攻撃にやられたのだな」と思うでしょう。確かにこの攻撃は、産総研を標的にしていたと思います。しかしその実態は、決して皆さんが想像するような「未知の脆弱(ぜいじゃく)性を突くマルウェアを産総研に向け投げつけ、そこから凄腕のハッカーが次々と侵入する」といった高度な攻撃ではありません――。ここが、この報告書の最も重要なポイントなのです。
Copyright © ITmedia, Inc. All Rights Reserved.
次回の掲載をメールで受け取る
<div style="clear:both;margin:15px 0 0 0;padding:10px;"><!--●概要文--><div style="background:#eee;padding:5px 10px;font-size:small;margin:5px 0px 0px 0px;">※こちらのページには2015年4月以降の記事を掲載しております。<br>2014年11月〜2015年3月の記事をご覧になりたい方は「 <a href="/bizid/series/1129/" style="color:#369;">2014年11月〜2015年3月の記事一覧</a> 」を、2014年10月以前の記事をご覧になりたい方は「 <a href="/makoto/series/1129/" style="color:#369;">2014年10月以前の記事一覧</a> 」をご覧ください。</div></div>
"使いやすいパスワード”が、大規模組織のシステムをつぶす――「恐怖の実話」はなぜ起こったのか
