SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

DB Online Monthly Special

入り口からの侵入を止められないなら出口を固めよ― LAC 新井氏に訊くこれだけはやっておきたいデータベースセキュリティ


ラックホールディングス サイバーセキュリティ研究所 主席研究員を務める新井悠氏はセキュリティ業界ではその名を知らない人がいないほどの著名人である。同氏は毎年末、報道関係者に対してその年に起こった情報セキュリティ脅威について総括するイベントを開催している。そしてこの2011年は11月初旬時点ですでに「ネタがありすぎで、トピックを絞るのが大変です(笑)」と同氏に言わしめるほど、さまざまなサイバー攻撃が社会問題化した年でもあった。今回、新井氏に2011年に起こったセキュリティインシデントの中から、データベースに対する攻撃の傾向、そして企業サイトが最低限実施しておくべき対策についてお話を伺ったのでこれを紹介したい。

新たな脅威を引き起こしたComodo Hacker

 データベースにまつわるクラッキングで最も今年印象に残った事件は? との質問に新井氏は「Comodo Hacker(コモドハッカー)」の名前を真っ先に挙げる。日本では震災の直後に最初の侵入事件が起こったので、メディアなどで取り上げられる機会は少なかったが、米ニュージャージーに本拠を置くSSL認証局Comodo Groupが3月15日にSQLインジェクション攻撃を受け、9通もの不正なSSL証明書を発行してしまったという事件である。証明書を発行されたドメインの中にはGoogle、Yahoo、Skypeなど超巨大サイトが含まれており、全世界のセキュリティ関係者を震撼させた。事件を受けて、MicrosoftやFirefoxがこれらの証明書をブロックするセキュリティアップデートを行ったことを覚えている方もいるだろう。

ラック 新井悠氏
ラックホールディングス
サイバーセキュリティ研究所 主席研究員
新井悠氏

 サイトの安全性を証明する存在である認証局がクラッキングに遭うということ自体、本来ならあってはならないのだが、この問題がより深刻なのは「あるアカウントのログイン情報を踏み台にして侵入し、イントラ内部まで入り込んでクラッキングを行った点にある」と新井氏は指摘する。

 これまでSQLインジェクションの被害といえば、Webサーバのトップページが書き換えられ、利用者をウイルスに感染するページに誘導させるものや、データベースに含まれる個人情報などを収集するものがほとんどだった。それが、ログインアカウントをひとつ入手すれば、外部のサーバを踏み台にしてファイアウォールの内側にまで侵入し、破壊行為を行えるということが示されたのである。その後、犯人(と思われる人物)は大胆にもみずから名乗り出て、その手口の詳細を公表するという手段に出る。メッセージによれば「熱烈なイラン愛国者の21歳、米国とイスラエルのイランに対する暴挙に憤慨した」ことが犯行の理由とされている。

 さらに、セキュリティのニュースを日々追いかけている方なら、この続きの事件についてもご存知だろう。9月、Comodo Hackerと同一人物と思われる攻撃者がオランダの認証局DigiNotarにも侵入、Comdoのときと同じく、GoolgeやSkype、Facebook、Twitterなどを含むさまざまな組織に対して不正なSSL証明書を発行したと宣言した。DigiNotar以外の認証局にもアクセスしたとも発表されており、その中には日本でも事業を行うGlobalSign(GMOグローバルサイン)も含まれていた。同社はこの事件を受け、一時、証明書の発行を見合わせるという措置を取っている。

次のページ
SQLインジェクション対策の第一歩は「まずはログ」

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
DB Online Monthly Special連載記事一覧

もっと読む

この記事の著者

五味明子(ゴミ アキコ)

IT系出版社で編集者としてキャリアを積んだのち、2011年からフリーランスライターとして活動中。フィールドワークはオープンソース、クラウドコンピューティング、データアナリティクスなどエンタープライズITが中心で海外カンファレンスの取材が多い。
Twitter(@g3akk)や自身のブログでITニュース...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3590 2012/02/10 18:18

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング