データベースセキュリティの傾向
データベースのセキュリティについては、テクノロジー製品事業統括本部担当ディレクターCISSP-ISSJPの北野晴人氏が「暗号化による情報保護」と「アクセス制御によるデータベースの保護」の観点から、外部の攻撃者にOS管理者を乗っ取られた場合にどのような対策を施すことができるのかを解説した。
テクノロジー製品事業統括本部担当ディレクター
CISSP-ISSJP 北野晴人氏
北野氏はまず、最近のインターネットサービスに対する脅威の傾向として、特定の組織や団体に的を絞った「標的型」であること、特定のハッカーグループなどが主体になった「組織的」な攻撃であることを挙げた。
北野氏によれば、攻撃のシナリオは大きく分けて4通りあるという。
- なりすましによる詐欺行為
- アプリケーションの脆弱性をついた攻撃
- アプリケーションサーバの脆弱性をついた攻撃
- 境界防御を迂回した攻撃
「1.なりすましによる詐欺行為」は、フィッシング、マルウェア、ソーシャルエンジニアリングなどでID、パスワードを盗み出し、それを使ってオンライン銀行などから預金を引き出したり、商品を不正に購入したりするもの。「2.アプリケーションの脆弱性をついた攻撃」とは、SQLインジェクションに代表されるように、フロント側から侵入してくるものだ。これら2つは、発生件数としても従来から引き続き多い状況にある。
一方、標的型、組織的という近年の傾向から注意を要するのが3や4の攻撃シナリオだ。「3.アプリケーションサーバの脆弱性をついた攻撃」は、OSやWebサーバなどの脆弱性をついて、rootkitなどの不正ツールをインストールし、DBサーバのroot権限を奪取。DBに格納された情報からユーザー名、パスワード、暗号鍵などを窃取し、顧客のカード番号を復号して、さらにログファイルの削除や改竄も行う。
また、「4.境界防御を迂回した攻撃」は、ファイアウォールやIPS/IDSといった境界防御を迂回して、メールやUSBメモリ経由で社内に侵入し、遠隔操作でサーバを攻撃して機密情報を外部へ送信するというシナリオ。Advanced Persistent Threats(APT)などと呼ばれており、昨年、イランの原子力関連施設に被害を与えた「Stuxnet」の感染がこれにあてはまる。
「ネットに直接つながっていないから大丈夫、という対策は通用しなくなっている。侵入経路としてもメールやUSBメモリだけではなく、アプリケーションのダウンロードサイトからマルウェアが侵入するといったケースも見られる。近年起きた一連の事件から見せつけられたように、サーバやデータベースの奥に入られたときにどう情報を守るかという対策が求められるようになっている」(北野氏)
