Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

2018年8月 注目サイバーインシデント(事件・事故)/名和利男が説く「最新サイバーセキュリティ動向と経営者への提言」

2018/09/27 06:00

 8月は不正アクセスやサーバー設定ミスによる大規模な漏えい、個人情報の取得を目的とした攻撃などが発生しました。漏えいする情報は1件あたりのデータ流出数も多くなっており、被害発生時に企業が受けるダメージは深刻です。以下、主なインシデントの解説とその対策方法を紹介します。本記事はPwC『名和利男が説く「最新サイバーセキュリティ動向と経営者への提言」』の一部転載です。

2018年8月 注目のサイバーインシデント(事件・事故)

  • 8月8日 教育機関へのスピアフィッシングメールで認証情報収集
  • 8月10日 クラウドの設定情報などが誤公開AWS S3の誤設定で
  • 8月13日 モバイルPOS端末に決済額改ざんなど可能となる問題

教育機関へのスピアフィッシングメールで認証情報収集、他2件(脅威情報)

解説

 大学などの教育機関を狙ったサイバー攻撃が増加しています。その背景として、産学連携が活性化し、教育機関側が企業の情報を保有しているためと考えられます。攻撃者は、これらの情報を窃取するために、企業ほどセキュリティ対策が強固ではない教育機関への攻撃を意図したものだと推測されます。さらには、教育機関が保有している在校生・卒業生・教職員などの個人情報が狙われています。窃取した個人情報には組織の重要人物あるいはその同級生などが含まれており、プライベート情報を外部にさらすことで行動・能力・機能を低下させる「Doxing(ドクシング)」という攻撃で直接あるいは間接的に悪用される懸念があります。

提言

 ビジネスパートナーを含む、多くの関係者がサプライチェーンでつながる状況下において、自社だけセキュリティを強化しても十分ではありません。協力先や子会社・関連企業から情報が漏れる可能性を考慮し、サプライチェーン全体においてセキュリティ強化を図る必要があります。同様に、教育機関と共同で研究やビジネスを行う際には、サプライチェーンにおいて要求するセキュリティ体制と同レベルのものを教育機関と構築するなど、情報流出を防ぎ、早期発見する取り組みが重要となります。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 名和 利男(ナワ トシオ)

    PwCサイバーサービス合同会社 最高技術顧問 航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システムなどのセキュリティ担当(プログラム幹部)業務に従事。その後、国内ベンチャー企業のセキュリティ担当兼教育本部マネージャ、JPCERTコーディネーションセンター 早期警...

  • PwCサイバーサービス合同会社(PwCサイバーサービス)

    PwCサイバーサービス合同会社 PwCサイバーサービスは、サイバーセキュリティに関するサービスを提供する組織として2015年10月15日に設立されました。サイバーセキュリティの専門家、研究者を多数擁しており、PwCグローバルネットワークと連携することで、国内外のサイバーセキュリティ動向に精通し...

バックナンバー

連載:名和利男が説く「最新サイバーセキュリティ動向と経営者への提言」

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5