VeriSign、2010年の不正アクセスで情報流出 上層部への報告も遅れ

[鈴木聖子，ITmedia]

　米VeriSignが2010年に数度にわたって不正アクセスの被害に遭っていたことが分かった。セキュリティ企業の英Sophosが2月2日のブログで報道を引用して伝えた。

　それによると、VeriSignは2011年10月に証券取引委員会に提出した書類で不正アクセスの被害について報告していた。この中で、2010年に攻撃が発生して間もなく社内の情報セキュリティ部門が対処していたにもかかわらず、経営上層部は翌年9月になるまでその事実を知らされていなかったことも明らかにした。

　Sophosのブログに転載された提出書類の中でVeriSignは、2010年に数度にわたって同社のネットワークが攻撃され、一部のコンピュータとサーバから情報が盗まれたと説明。ただし「この攻撃がDNSネットワーク用のサーバに及んだとは考えていない」とした。

　攻撃については社内の情報セキュリティ部門が間もなく発見して対策を講じたという。しかし「攻撃の性質上、この対策が今後の攻撃を食い止めてさらなる情報流出を防ぐために十分だとは保証できず、流出した情報が悪用されないという保証もない」と述べている。

　経営上層部への報告が遅れたことについては、今後はそうした問題が起きないよう、情報公開のコントロールと手順に関する社内の態勢を確立したとしている。