SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2024 秋の陣レポート

ベンダーへの過信は禁物! 徳丸浩氏が語る、「堅牢・強靭」なシステム・アプリケーションに必要なこと

 イー・ガーディアングループのCISOであり、EGセキュアソリューションズの取締役CTOも務める徳丸浩氏。IPA(情報処理推進機構)の非常勤研究員としても活動するほか、著書『体系的に学ぶ 安全なWebアプリケーションの作り方』(SBクリエイティブ)は、開発者やIT担当者から「徳丸本」と呼ばれるほど親しまれている。現在は、書籍やYouTubeチャンネルなどを通じたセキュリティ啓発活動にも取り組む徳丸氏。2024年10月25日、26日に開催された「Security Online Day 2024 秋の陣」に登壇し、近年発生した重大インシデント事例を取り上げながら、堅牢で強靭なシステム・アプリケーションを実現するために押さえるべきポイントを解説した。

近年の重大インシデント、その裏側では何が起こっていたのか

 まずは、近年発生した重大インシデント事例をいくつか振り返ってみよう。

メタップスペイメント

 決済代行事業を展開するメタップスペイメントでは2021年末前後に、不正アクセスによる情報流出が発生した。同社の決済システムは標準的なシステム構成ではあったものの、決済システムのデータベースが特定顧客(A社)向けアプリケーションのデータベースと共有される構成になっていた。外部の攻撃者が、A社のアプリケーションに対しSQLインジェクションによる攻撃を行ったことで、同じデータベースにメタップスペイメントが保有していた、暗号化やマスクされた情報までもが流出してしまった。

Capital One

 米国の大手金融サービスとして知られるCapital One(キャピタル・ワン)では、2019年にWAFの設定ミスに起因するSSRF(Server Side Request Forgery)攻撃を受け、大規模な情報流出が発生した。同社は、AWS EC2でWAF(Apache Mod Security)を構成し、情報をS3に保管していた。攻撃者はこのWAFの脆弱性を突いてS3にアクセスするためのクレデンシャルを窃取したため、S3内の情報が流出した。

KADOKAWA

 出版大手のKADOKAWAは、2024年6月にハッカー集団「BlackSuit」によるランサムウェア攻撃を受け、システム障害や情報流出へと発展した。攻撃者はKADOKAWAのプライベートクラウド内にあるサーバーを遠隔起動させようとしたため、データセンターでは電源ケーブルやネットワークケーブルを物理的に抜線するなどの攻防が行われた。現時点では詳細不明ではあるものの、フィッシングなどにより従業員アカウントの情報が盗まれ、社内ネットワークに侵入されたと推測されている。

Shionogi America

 塩野義製薬の米国法人では、解雇されたエンジニアが社外からプライベートクラウドにログインし、仮想環境に置かれていた業務用サーバーを削除した。のちに犯人は逮捕されたが、元社員が内部環境にアクセスできてしまったために発生したインシデントといえる。

GitLab

 ソースコード管理などのサービスを提供するGitLabでは、2017年1月にエンジニアの操作ミスで全データを喪失するインシデントが発生した。DDoS攻撃への対応中にデータベースの複製を削除したはずが、本番のデータベースを削除してしまったという。5種類の定期バックアップではリストアできず、手動スナップショットがあったため復旧に成功した。

UniSuper

 オーストラリアの年金基金であるUniSuperでは、クラウドベンダー内のオペレーターによるミスで、システムが削除されてしまう事件が起こった。同社はGoogle Cloud VMware Engineでプライベートクラウド環境を構築していたが、最初のデプロイでGoogleのオペレーターが「あるパラメーターを空白にする」というミスをしたため、デフォルトの期間(1年後)が設定され、1年後に環境が自動削除されてしまったのである。Google Cloud Storageに残っていたデータのバックアップからかろうじて復旧した。

[画像クリックで拡大表示]

 ここまで紹介されたのは、いずれも社会的に重要なサービスを提供する組織におけるインシデントである。原因は様々であり、対策も一様ではない。徳丸浩氏は、「同じようなインシデントは、どの企業、どのサービスでも起こり得ます。こういうことが起こった時のために備えておかなければなりません」と警鐘を鳴らす。

次のページ
クラウドへの過信は禁物、ユーザー側の責任はどこまで?

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2024 秋の陣レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/20634 2024/11/19 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング