企業の不正アクセス対策

サイバー攻撃による情報漏洩被害はいかに防げるか?


私はある物販系の企業で働いている者ですが、まあ国内の中小企業です。

PCに詳しいのでウェブ担当に
PCに詳しいのでウェブ担当に

で、元々経理の仕事をしてきたんだけど、パソコンの操作やITの知識に詳しいので、自社サイトの運営を任されるようになったのが十年くらい前の話です。

その十年間に、当初は企業紹介だけのサイトだったのが、徐々に内容が洗練させてゆき、いまではBtoCのネット通販の機能を持った企業サイトに成長しています。

また、今では自社サイトで販売するほか、楽天市場ほかのネットモールでも開店し、パートさんも雇って忙しく働いています。

サイバー攻撃による企業サイト不正アクセス情報漏洩被害が頻発!

ところで、最近は、企業サイトにおける不正アクセス対策情報漏洩対策必要性が急速に高まっているじゃないですか?

≫ 国内の主な不正アクセス&情報漏洩事件の一覧 (当サイト内)

上のページを確認しても、毎日のように企業サイトに対するサイバー攻撃と、そのための不正アクセスサイト改ざん被害が頻発していることに気付かされます。

最もポピュラーなのが、海外のハッカーが、標的を定めた国内の企業サイトに対してSQLインジェクション*などのサイバー攻撃ハッキング)を行い、サイトへの不正アクセスに成功する。

そして、企業サイトに保存されている個人情報クレジットカード情報流出情報漏洩)したり、サイトの一部ないし全部の内容が改ざんされ、閲覧者がウイルス感染フィッシング)サイトへ誘導される仕組みの不正なプログラムが埋め込まれる(サイト改ざん)、というパターンですね。

ところで、こういう企業サイトへのサイバー攻撃ハッキング)による被害を防ぐ目的での不正アクセス情報漏洩対策のニーズの高まりは、私みたいなウェブ担当者にとっては、もの凄いストレスの原因なんですよ。

*SQLインジェクション=Webアプリケーションのセキュリティ上の不備につけ込む攻撃手法。想定外のSQL文を実行させることにより、データベースを不正に書き換えてしまう。公的機関・企業のサイト、およびショッピングサイトの多くでデータベース・システムを使用しており、それらのサイトへの影響が大きい。

 

【参考】不正アクセス事件一覧(1ページ目 / 全51ページ):Security NEXT

 

 

胃がキリキリする生活が日常化しているウェブ担当者

 

一方、日本政府や大企業はNSAに盗聴されていた
政府や大企業はNSAに盗聴されていた

正直、この問題で頭痛がしていたし、胃がキリキリするような感じで毎日呻吟しながら生活を送ってきたんですよ。

楽天市場やAmazonだったら、モールの運営企業が不正アクセス対策を行ってくれますけど、自社サイトの場合は、ウェブ担当者たる私にセキュリティー問題の全責任がのしかかってきますからね。

でも、どうしてこんなに不正アクセス被害が頻繁に発生しているんでしょう?

世界レベルでは四六時中サイバー攻撃が継続中

サイバー空間では攻防が日夜継続中
サイバー空間では攻防が日夜継続中
(Source:Norse Attack Map
DDoS攻撃の発信元トップ10
DDoS攻撃の発信元トップ10
Akamaiの資料を元に作成)

Norse Attack Map」ではサイバー攻撃の状況をリアルタイムで確認することができますが、確認すると、世界レベルでは四六時中サイバー攻撃が行われていることがわかります。

また、米中の間における攻防が目立ち、その様相を観察すると、あたかも実際の戦争をする代わりに、サイバー空間で米中が暗闘を行っているようでさえあります。

次に、「DDoS攻撃の発信元トップ10」を確認すると、DDoS攻撃*というサイバー攻撃の手法においては、中国が大きな影響力を持っていることを確認することができます。

そして、その主な攻撃目標はアメリカであるわけですが、その矛先が、何かのきっかけで日本に変わることがないとは、誰も保証することはできないわけです。

*DDoS攻撃=ハッキングするなどした多数のPCを操作し、分散した攻撃元から標的サイトに一斉にトラフィックを送る攻撃。標的サーバは負荷が増大し、接続できない状態などになる。

DDoS攻撃のブームは去り、標的型攻撃マルウェア改ざん未知の攻撃が隆盛

サイバー攻撃の手法の変化
サイバー攻撃の手法の変化
hackmageddon.comの資料を元に作成)

2013年頃までは、サイバー攻撃の手法としてDDoS攻撃SQLインジェクションが猛威を振るっていました。

しかし、「サイバー攻撃の手法の変化」を確認すると、その後、世界的な潮流として、それらの攻撃方法の影響力は低下してることがわかります(国内では、SQLインジェクションがまだ主流*)。

それらの手法の代わりに、標的型攻撃*やマルウェア不正プログラム)、および改ざん、(実態が把握されていない)未知のサイバー攻撃脅威が増大しているわけです。

この様な状況ですので、サイバー攻撃の手法は時々刻々と変化しており、ウェブ担当者は、不正アクセス情報漏洩対策をする際、その変化のスピードについて行けるだけの柔軟さが求められている、といえます。

また、“これをすれば大丈夫”という、効果が永続するような決定版的な対策方法もないわけです。

*Wordpressへの脆弱性攻撃が3カ月連続トップ - ペンタ月例レポート (マイナビニュース)
*標的型攻撃=特定の標的に対して行われるサイバー攻撃。金銭や企業秘密などの不正取得(窃盗)を目的とし、プロの犯罪者により実行される。具体的には、標的企業の社員などにフィッシング・メールを送信し、不正なサイトに誘導する等の手法で行われる。

サイバー攻撃、および不正アクセス被害の分類

それで、サイバー攻撃ハッキング)による不正アクセス情報漏洩被害について、簡単に下のような分類ができると思うんですよ。

1は、エドワード・スノーデン氏が暴露されたような、国家機密に関係するような情報を得る目的で行われるサイバー攻撃ハッキング)による不正アクセス情報漏洩被害ですね。

先日も、NSAが日本やヨーロッパの政府機関・大企業に対してサイバー攻撃ハッキング盗聴)を行っていたというニュースがありましたが、これは世界トップレベルのハッカーが関わった不正アクセス被害だといえるでしょう。

新興国に狙われている日本企業の技術

無数のハッカーが日本企業を狙っている
無数のハッカーが日本企業を狙っている

2は、企業が競合他社の企業秘密を奪う目的で行われるサイバー攻撃ハッキング)、つまり、不正アクセスによる情報漏洩被害です。

一般的な企業は、企業秘密となる情報の入ったPCをネットから物理的に隔離している場合が多いのですが、そうしていない場合、競合企業のハッカーファイアーウォールを突破して、企業サイト内への不正アクセスハッキング)を行い、標的企業の企業秘密を奪っていく(情報漏洩)可能性が生まれてくるわけです。

とりわけ、高い技術力を持つ日本企業に対して、中韓企業の技術力は劣る場合が少なくないので、という違法行為(標的企業のサイトへのサイバー攻撃不正アクセス)を行ってでも、その技術情報を奪おうとそれらの国の企業が考えても、少しも不思議はないわけです。

また、これまで韓国や中国の企業が、技術を得る目的で日本の技術者をヘッドハンティングするようなことが行われてきてきました。

それは事件にもなりましたが、企業サイトへのサイバー攻撃不正アクセスであれ、技術者のヘッドハンティングであれ、結局、この種の違法行為(ないしは違法すれすれの行為)を行う側の目的は、「標的企業の企業秘密」だと考えて差し支えないでしょう。

個人情報流出の原因は所得格差?

ハッキング技術により彼らが収奪者に…
ハッキング技術により彼らが収奪者に…

3は、2にも通じることですが、日米欧の様な先進国に対して、中国をはじめとする新興国、および発展途上国には貧しい人々が多いわけです。

具体的には、平均所得が10分の1から20分の1の国々がザラにあるんですね。

そうすると、それらの人々にとって、日本を含む先進国の企業サイトに保存されている個人情報は、日本人が感じる以上に宝の山なわけですよ。

例えば、個人情報闇サイトというアングラな場所で売買されています。

日本人の個人情報を売り払って一財産に

個人情報を売り払うと大金が手に入る
個人情報を売り払うと大金が手に入る

新興国のハッカーが日本企業のサイトにサイバー攻撃ハッキング)を行い、不正アクセスに成功、(情報漏洩により)1万件の個人情報を手に入れたとしますよ?

それを闇サイトで1件100円で売り払ったとしたら、日本人の価値観では、高いリスクを犯した一方、100万円を獲得してどうなの? という印象です。

しかし、新興国側では、平均所得がこちらと全然違いますから、日本人の感覚に換算して1000~2000万円の大金を獲得したという実感になるわけです。

また、ハッカー企業サイトサイバー攻撃を行い、不正アクセスに成功して個人情報を獲得(情報漏洩)した場合、その中にクレジットカード情報が含まれている場合もあります。

そうすると、新興国のハッカーがそのクレジットカード情報をどの様に活用しようと考えるかは、言わずもがなでしょう。

だから、新興国における個人レベルでは、サイバー攻撃ハッキング)の技術とは貧困から脱出するための戦闘技術なのであり、また、個人情報クレジットカード情報を獲得するために、死に物狂いでハッキングの知識や技術を吸収して、日本のような先進国の企業サイトに(不正アクセスという形で)襲いかかってきても何ら不思議でないわけです。

そこには、倫理観だとか道徳観だとか、悠長なことを言っていられない現実があるわけです。

限りない不正アクセス対策のストレスで胃潰瘍に!

高ストレスな日々が続き…
高ストレスな日々が続き…

わたしは、このような現実があることを薄々感じていましたから、精神的なストレス頭痛が続き、また、胃がキリキリ痛むことが日常化した生活を送ってきました。

どういうことかと言うと、きりがないわけです。

自社サイトについては、社内でサーバを立てて運営しています。それで、ファイアウォールやCMSのセキュリティについて勉強してきたわけですが、自分では安全な状態を保っているつもりでも、CMSのセキュリティホールが後から見つかったりすることが珍しくなかったわけです。

また、インターネットセキュリティに詳しい人と話をすることにより、現状が実は「 自称不正アクセス対策がよくできた状態 」であって、もっと良くする方法があったことに気づかさせられたこともあります。

楽天のようなネットモール運営企業が、自社サイトのサイバー攻撃ハッキング)による情報漏洩被害を防ぐための不正アクセス対策ーも一緒に行ってくれればいいのにと、おのれの無力さを棚に上げて責任を転嫁させたこともありますよ。

そうして、何とか精神状態のバランスを保ってきたわけです。

限界に達する前にカペルスキーの インターネット セキュリティ」を知ることができた

だけど、胃に穴があく直前になって、「カスペルスキー セキュリティ 」を知ることができました。

そして、今までの苦しみから、かなりの程度解放されたわけです。

つまり、不正アクセス対策の問題について、やっと肩の荷をおろすことができました。

ちなみに、「カスペルスキー セキュリティ 」は、設定により、すべてのネットワーク接続を監視し、状況に応じてアクセスを許可したりブロックすることが出来るセキュリティ・ソフトです。

具体的には、ウイルス/スパイウェア対策機能として、ファイルスキャン、メールスキャン、添付ファイルのスキャン、簡易スキャン、オブジェクトスキャン、リムーバブルドライブスキャン、メッセンジャースキャン、ルートキット対策、不正ロック対策、クラウドプロテクション、セキュアブート/メジャーブート対応、予約スキャン、自動駆除、感染ファイル隔離の各機能があり、ネットワーク監視機能としては、ファイアウォール、ネットワーク攻撃防御の各機能があります。

また、危険サイト対策として、危険サイトからの保護、詐欺サイトからの保護、リンクの安全診断の各機能があり、他に、アプリケーション監視システムプロセスの監視ぜい弱性対策機能、迷惑メール/バナー広告対策機能、プライバシー漏えい対策機能(個人情報の不正送信防止、ネット決済保護、キー入力による情報漏えいの防止、Webトラッキング防止、Webカメラのぞき見防止、無線LAN安全診断)などの各機能があります。

30日間試用してから購入するかどうか決めることができるので、まず試用して、自分の環境では最適なソフトだとわかったので購入を決めました。

 【カスペルスキー】30日無料体験版はこちら

悩みの種から解放され、サイトの拡充に専念できるようになった

やっと悩みの種から解放された
やっと悩みの種から解放された

その後は、本来の業務である自社サイトの更新や拡充に、かなりの程度専念することができるようになりました。

そして、、今まで苦しめられてきた胃の痛みがやみ、自社サイトの不正アクセス対策に関係するストレスが大幅に軽減されたことを実感することが出来ました。

とりわけ、精神的に解放されたという実感を得られことは嬉しい変化だったことを記しておきます。