SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

DB Online Monthly Special

情報の「金庫」、データベースを守れ/標的型攻撃に対して「真ん中」を守ること


「標的型攻撃」については、「電子メールによる攻撃」というイメージが強いのですが、厳密には電子メールだけではなく、USBなどの外部記憶媒体、外部のダウンロードサイトのソフトウエアなど多くの攻撃経路が存在します。また従来から行われているソフトウエアの脆弱性を突く攻撃をはじめとしたさまざまな種類の攻撃も、特定の企業・組織に絞って執拗に行う場合「標的型攻撃」であると言えます。

 2011年が終わりに近づき、「今年の10大ニュース」的な話が話題に上る季節になりました。今年、情報セキュリティ分野での大きな話題といえば、「標的型攻撃」であったと思います。オンラインゲームのネットワーク、サーバーへの侵入と大量の個人情報漏えい、衆参両院システムに対するサイバー攻撃とID・パスワード漏えい、防衛産業各社への攻撃とマルウエア感染など、衝撃的な事実が次々と明るみに出たことにより、官民を問わず情報セキュリティが大きな注目を集め、かつ国家安全保障の観点からも大きな懸念が噴出することとなりました。情報セキュリティ問題が一般紙の朝刊一面トップで扱われたのも、初めてのことです。

 「標的型攻撃」については、「電子メールによる攻撃」というイメージが強いのですが、厳密には電子メールだけではなく、USBなどの外部記憶媒体、外部のダウンロードサイトのソフトウエアなど多くの攻撃経路が存在します。また従来から行われているソフトウエアの脆弱性を突く攻撃をはじめとしたさまざまな種類の攻撃も、特定の企業・組織に絞って執拗に行う場合「標的型攻撃」であると言えます。

機密情報はどんな脅威にさられているか

 主に2011年に発生した事件の内容などから「標的型・今年の流行」のようなものを見てみたいと思います。なぜ「流行」と表現するかというと、それぞれの攻撃方法や技術的問題点については今年新たに発生したものはほとんどなく、数年前、あるいはそれ以前から存在するものばかりだからです。たとえばメールを使った標的型攻撃(以前はスピア型メールとも呼ばれていました)は警察など一部の官公庁をターゲットにして行われていることが2006年頃から知られています。

 ただしそれぞれの攻撃方法は新しくありませんが、使い方や組み合わせ方などについては多少の変化が見られた、というところではないでしょうか。

Webアプリケーションに対する攻撃

 2005年以降、「SQLインジェクション」をはじめとするWebアプリケーションの脆弱性に対する攻撃により、クレジットカード情報、個人情報等が漏えいする事件は継続的に発生しています。この攻撃は通常内部への侵入を伴わずに情報漏えい等を引き起こすのが特徴ですが、不正アクセスのケースによっては内部ネットワークに対する侵入方法のひとつとして使われることもあるようです。今年は特定の企業を狙った標的型攻撃の中でも、しばしばこの攻撃方法が使われました。

脆弱性を悪用した内部への侵入

 一連のオンラインゲーム・ネットワークへの不正アクセス・個人情報漏えい事件では、利用しているソフトウエアに存在していた脆弱性を攻撃され、内部に侵入された結果、外部からマルウエアをインストールされ、データベースに格納された7000万件以上の個人情報が窃取されました。バッファ・オーバーフローなど、脆弱性を攻撃してサーバーに侵入する不正アクセスは以前からありましたが、特に今年は特定の企業に対して執拗に高度な攻撃を続けるという事件が多く報道されました。

メールなどを使った標的型攻撃

 今秋以降明らかとなった防衛関連企業及び衆参両院へのサイバー攻撃は、電子メールをその媒介として使用した「標的型メール攻撃」であると言われています。この攻撃では従来セキュリティ対策を実施してきた、システムとインターネットの接点となる部分(境界防御)を迂回する形でマルウエアが内部に侵入し、マルウエアに感染したパソコンを経由して、攻撃者が外部から、内部のネットワークやシステムを「のぞき見」したり、不正に操作したりすることができるようになると言われています。その結果、ID・パスワードを盗まれ、最終的にはファイルサーバやデータベースから機密情報を盗まれる危険があります。

 現実に隣国である韓国では本年、こうした攻撃方法によって住民登録番号(全国民に個別に付与された国民番号のようなもの)を含む、約3500万人分の個人情報が盗まれると言う事件が発生し、大きな社会問題となっています。

次のページ
これから求められる情報セキュリティ対策

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
DB Online Monthly Special連載記事一覧

もっと読む

この記事の著者

北野晴人(キタノハルト)

日本オラクル
製品戦略統括本部 
担当ディレクター /CISSP-ISSJP1964年東京生まれ。2種通信事業者、システムインテグレータ、外資系通信機器ベンダなどを経て、2001年から現職。データベース、アイデンティティ管理を中心にオラクル製品のセキュリティを担当中。CISSPアジア・ア...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/3645 2012/02/10 18:22

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング