SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Now

root権限が奪取されたときどう情報を守るか? Oracle Security Forum Report


日本オラクルは9月28日、「Oracle Security Forum ~今、何が起きているのか?変化する脅威に対応するセキュリティ~」と題したセミナーを開催。日々変化するセキュリティリスクや法的リスクに柔軟に対応できるITインフラとはどのようなものか、万一事故が発生した場合にどのようなことが事業リスクになるのかをテーマに、実際の事例やオラクルが提供するソリューションが紹介された。

データベースセキュリティの傾向

 データベースのセキュリティについては、テクノロジー製品事業統括本部担当ディレクターCISSP-ISSJPの北野晴人氏が「暗号化による情報保護」と「アクセス制御によるデータベースの保護」の観点から、外部の攻撃者にOS管理者を乗っ取られた場合にどのような対策を施すことができるのかを解説した。

日本オラクル テクノロジー製品事業統括本部担当ディレクター CISSP-ISSJP 北野晴人氏
日本オラクル 
テクノロジー製品事業統括本部担当ディレクター 
CISSP-ISSJP 北野晴人氏

 北野氏はまず、最近のインターネットサービスに対する脅威の傾向として、特定の組織や団体に的を絞った「標的型」であること、特定のハッカーグループなどが主体になった「組織的」な攻撃であることを挙げた。

 北野氏によれば、攻撃のシナリオは大きく分けて4通りあるという。

  1.  なりすましによる詐欺行為
  2.   アプリケーションの脆弱性をついた攻撃
  3.   アプリケーションサーバの脆弱性をついた攻撃
  4.   境界防御を迂回した攻撃

 「1.なりすましによる詐欺行為」は、フィッシング、マルウェア、ソーシャルエンジニアリングなどでID、パスワードを盗み出し、それを使ってオンライン銀行などから預金を引き出したり、商品を不正に購入したりするもの。「2.アプリケーションの脆弱性をついた攻撃」とは、SQLインジェクションに代表されるように、フロント側から侵入してくるものだ。これら2つは、発生件数としても従来から引き続き多い状況にある。

 一方、標的型、組織的という近年の傾向から注意を要するのが3や4の攻撃シナリオだ。「3.アプリケーションサーバの脆弱性をついた攻撃」は、OSやWebサーバなどの脆弱性をついて、rootkitなどの不正ツールをインストールし、DBサーバのroot権限を奪取。DBに格納された情報からユーザー名、パスワード、暗号鍵などを窃取し、顧客のカード番号を復号して、さらにログファイルの削除や改竄も行う。

 また、「4.境界防御を迂回した攻撃」は、ファイアウォールやIPS/IDSといった境界防御を迂回して、メールやUSBメモリ経由で社内に侵入し、遠隔操作でサーバを攻撃して機密情報を外部へ送信するというシナリオ。Advanced Persistent Threats(APT)などと呼ばれており、昨年、イランの原子力関連施設に被害を与えた「Stuxnet」の感染がこれにあてはまる。

 「ネットに直接つながっていないから大丈夫、という対策は通用しなくなっている。侵入経路としてもメールやUSBメモリだけではなく、アプリケーションのダウンロードサイトからマルウェアが侵入するといったケースも見られる。近年起きた一連の事件から見せつけられたように、サーバやデータベースの奥に入られたときにどう情報を守るかという対策が求められるようになっている」(北野氏)

次のページ
被害を最小限にする仕組みが大切

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Now連載記事一覧

もっと読む

この記事の著者

齋藤公二(サイトウコウジ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3514 2011/10/17 18:02

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング