“使いやすいパスワード”が、大規模組織のシステムをつぶす――「恐怖の実話」はなぜ起こったのか半径300メートルのIT(1/4 ページ)

意外かもしれませんが、「誰でも知ってそう」なセキュリティ知識を私たちが伝え続ける理由は、「あなた」を守るためなんです。だって、誰もこんな事件に巻き込まれたくはないでしょうから――。

» 2018年08月01日 07時00分 公開
[宮田健ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 あなたが「そんなこと、もう知ってるよ!」と思うようなセキュリティ知識を、まだ知らないかもしれない人たちに向けて何度でも伝える――これ、一見ムダに思えませんか?

 でも、実はセキュリティ向上にとって非常に重要なポイントは「皆の“知らなかった!”をどれだけ減らせるか」だと、私は考えています。なぜなら、多くの被害者を出した情報漏えい事件の一部は、基本的なセキュリティ知識が“皆に”伝わってさえいれば、本来防げたはずのものだから。

 今回、皆さんに紹介するのは、2018年7月に公開された「報告書」です。これは、産業技術総合研究所(産総研)が外部からの不正アクセスを“許してしまった”事件の被害状況と原因を整理した、大変有用な資料です。

(参考)

産総研を襲ったのは「マルウェア」ではなかった

 一体何が起こったのでしょうか? 簡単にまとめれば、この事件は、産総研が利用しているクラウドサービスを使ったメールシステムと、独自に構築していた内部システムに不正アクセスがあり、「未公表の研究情報」「共同研究の情報」「全職員の氏名」「所属情報」などが、漏えいまたは閲覧された可能性があるというものでした。

photo 産総研への不正アクセスの手口(「産総研の情報システムに対する不正なアクセスに関する報告」から引用)

 こう聞くと、「ああ、標的型攻撃にやられたのだな」と思うでしょう。確かにこの攻撃は、産総研を標的にしていたと思います。しかしその実態は、決して皆さんが想像するような「未知の脆弱(ぜいじゃく)性を突くマルウェアを産総研に向け投げつけ、そこから凄腕のハッカーが次々と侵入する」といった高度な攻撃ではありません――。ここが、この報告書の最も重要なポイントなのです。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ