| TOP > セキュリティ ガイダンス センター > |
|  ビジネスは日常的に危険にさらされています。ウイルスや攻撃者はもちろん、偶発的なユーザー エラーでさえも深刻な脅威であり、深刻な結果をもたらします。以下の障害事例では、このような脅威について説明し、同時に悪意のある活動とその結果の実例を紹介します。これらの事例から、予防策を講じることの重要性が明らかになります。それぞれの脅威を最小限に留め、場合によっては回避できるためです。予防措置を講じる方法を確認するには、中小規模事業所用コンピュータ セキュリティ チェックリストを参照してください。インターネットの仕組みと攻撃者の活動の詳細については、「犯罪行為としてのハッキング、ウイルス、および悪意のある活動の概要」を参照してください。 |
|
|
| ■ウイルス 2003 年 4 月、世界中のインターネット ユーザーが、友人や親戚からポルノ画像を含んだ電子メールを受信し始めました。別のユーザーは、スパム電子メールを送信したという理由でインターネット アクセスを終了させられました。希望していないニュースレターにサインアップがされているのを発見したユーザーもいました。明らかに、何か異常な事態が進行していました。 非難の声がインターネット中を駆け巡るうちに、「Klez」という新種のウイルスが原因であることがわかりました。Klez ウイルスは、数々のテクニックを使用してまたたく間に広がりました。まず、感染したユーザー自身のアドレス帳のアドレスが使用されたため、感染した電子メールは実際にその当人から送信されたものだと、ユーザーに信じ込ませました。このテクニックが使用されることで、不必要な警告、返信、および非難によって電子メール システムが妨害されるという効果ももたらしました。次に、このウイルスには「楽しい Web サイト」とか「配信不可能メール」など気を引く件名が使用されていたため、感染したメッセージをユーザーに開かせる効果がありました。 このウイルスでは不足だとでも言うように、その後のバージョンでは、ユーザー自身のファイルが感染の伝達手段として使用されました。Klez は、感染したコンピュータのハード ディスクをくまなく探してもっともらしいドキュメントを拾い出し、そのドキュメントに感染して、電子メールで他のユーザーに転送しました。多くの場合、私的なファイルがこのようにしてパブリック ドメインに送信されました。 Klez は、数年前に発見され、Microsoft から無料でダウンロードできるアップデートで修正されていた、Microsoft Outlook の電子メール ソフトウェアの問題点に付け込みました。ウイルス対策ソフトウェア開発者はそれに気付き、数時間以内に検出ソフトウェアを更新しましたが、ウイルスは数か月間猛威を振るいました。つまり、この破壊的で侵略的なウイルスは予防可能でした。Klez は、2003 年で最も破壊的なウイルスの 1 つでしたが、1 年間に出現する数千ものウイルスの 1 つにすぎません。 |
| ■電子メール偽装と ID の盗用 「確かに、 私は eBay を頻繁に利用します。 興味をそそられる商品をいくつも販売しているので、何年も利用していました。最近、私のサービスが停止されることを通知する、公式のものらしいメッセージを eBay から受け取りました。私は電子メール内のリンクをクリックし、eBay と思われるサイトに移動して、いくつかの個人情報を入力して送信しました。あとになって、何かおかしいと思いました。eBay の Web サイトを見て、騙されて見知らぬ相手に個人情報を送信してしまったことがわかったのです」 別の人から送信されてきたように見せかけた電子メールの送信は、電子メール偽装と呼ばれる、以前からあるテクニックです。電子メール偽装の大多数は、本物の送信者からと思わせて単純なスパムを開かせるために使用されます。迷惑ですが、比較的害のない行為です。上記の例のような別のタイプの電子メール偽装は、「フィッシング」と呼ばれている、さらに危険なものです。一般に攻撃者は、公式の発信元 (eBay や Microsoft など) からのように見せかけた電子メールを送信します。電子メール内のリンクを使用すると、やはり本物のように見える Web サイトに移動します。しかし、そのサイトは単なる見せかけで、目的は騙して個人情報を漏らさせることです。スパム リストのためであるとか、アカウント情報や ID を盗めるようにするためである場合もあります。 |
| ■コンピュータの盗難 「空港で搭乗券を受け取っていたときのことです。ノートブックが入ったバッグは足元にありました。注意していたつもりでしたが、盗まれたことにまったく気付きませんでした」 盗まれたコンピュータの価格は、その小売価格の最大 50 パーセントになります。米国で毎年何万台ものノートブックが盗まれるのも不思議ではありません。 このような話は 1 年に何千回も繰り返されていますが、ノートブック コンピュータを取り替えたらそれで終わりというわけではありません。ノートブック コンピュータを失うと、重要な (時には機密の) 情報を失うことがよくあります。 マサチューセッツ工科大学 (MIT) メディア ラボの創設者である Nicholas Negroponte 氏は、セキュリティの厳しいビルに入ろうとしたとき、所持していたノートブック コンピュータの価値を申告するように警備員に求められたことがあります。Negroponte 氏は「およそ 100 万ドルから 200 万ドル」と答えました。コンピュータ自体の再取得価額は 2 千ドル程度ですが、中に入っている情報の価値はそれをはるかに上回るものでした。 毎年盗まれているコンピュータの数を考えると、データを暗号化したり強固なパスワードを使用したりして、不正アクセスを防止しているユーザーのあまりの少なさに驚かされます。また、小規模ビジネスにおいては、基本的なセキュリティ対策に関して従業員トレーニングを行っている企業がほとんどないことにも驚かされます。 |
| ■ウォー ドライビング ウォー ドライバーは、犯罪行為を行うハッカーとしては新しいタイプです。ノートブック コンピュータ、低価格のワイヤレス ネットワーク カード、無料でダウンロードしたソフトウェア、それにポテトチップの缶ででも作ったアンテナがあれば、だれでも数百メートル離れた場所から家庭や企業のワイヤレス ネットワークに侵入できます。 ほとんどのワイヤレス ネットワークは、まったくセキュリティ保護されていません。実際、ワイヤレス デバイスの製造元の多くは、デフォルトで暗号化をオフにしています。ユーザーは、ワイヤレス暗号化を有効にするとか、他のセキュリティ対策を追加するようなことはしない傾向にあります。そのため、ワイヤレス セットアップを使用すればだれでも簡単に接続を見つけて悪用できます。ウォー ドライビングは、単なるコンピュータおたくの悪ふざけではありません。侵入者の中には、ファイルにアクセスしたりシステムを破壊したりしようとする者もいます。幸い、ワイヤレス ネットワークのセキュリティ保護は比較的簡単であり、いくつかの単純なステップを踏めばウォー ドライバーの大多数を阻止または排除することができます。 |
| ■機密情報 James は業績好調な広告会社に勤務していました。コンピュータに問題が発生したため、テクニカル サポートを呼びました。すぐに技術者がやって来て、管理者パスワードでネットワークにログインし、問題を解決しました。次の仕事に取りかかる必要に迫られていたため、技術者は作業終了後すぐに立ち去りました。しかし、システムをログアウトしていませんでした。James は、好奇心から少し調べてみることにしました。彼はすぐに、同僚全員の給与情報のスプレッドシートを見つけました。そして、かなりの昇給を要求するために、記憶にとどめました。 雇用者にとって幸運なことに、James は昇給を求めただけでした。彼がもし腹いせをぶつけるような、不平不満を抱えた従業員だったらどうなっていたでしょう。従業員全員が他の従業員の給与を知っているとか、会社の給与情報すべてにアクセスできるのは、好ましいことではありません。この情報が競合他社にとってどれほど価値があるか考えてください。 テクノロジは、このような事例を防止するのに役立ちますが、解決策の一部でしかありません。最高のハードウェアとソフトウェアがあっても、適切なポリシー、手順、およびトレーニングの実施がなければ不十分です。 |
| ■犯罪行為としてのハッキング ニッチなソフトウェアを販売する小規模な商用 Web サイトの管理者、Jill は、従来のものから大きく改善された新しいサイトに満足していました。今では会社独自の Web サーバーおよびブロードバンド接続があり、サイトをホストするための費用を支払う必要はなくなりました。金曜の夜、Jill は満足しながら帰宅しました。 月曜の朝、Jill が出社すると事態は一変していました。週末に犯罪行為を行うハッカーがアクセスして、彼女が念入りに作成したサイトを削除し、ポルノに置き換えていました。さらに、週末の間に何十万人もの人が盛んにサイトから画像をダウンロードしていました。帯域幅の使用量は急上昇し、会社は数千ドルにも上る請求書に直面することになりました。Jill の上司は既に、サイトに関する顧客からの苦情の電子メールを受け取り始めていました。 あるウイルス対策ソフトウェア開発業者は、今年に入ってから、企業サーバーは 1 週間に平均 30 件の攻撃を受けていると報告しています。これらの攻撃のほとんどは、「スクリプト キディ」と呼ばれる熱心なアマチュアの攻撃者からのものです。スクリプト キディは知識はあまりなく、インターネットで無料で入手できるツールを使用して、ネットワークの欠点を調べます。これらのツールは、インターネットをランダムにスキャンして脆弱なシステムを探し出し、発見した欠点に付け込みます。このようなツールが利用できるため、小さな無名の会社も有名な多国籍企業と同じように潜在的に危険にさらされています。 これらのツールの多くは、ユーザーが簡単に更新できる既知の脆弱性に付け込みます。たとえば、2001 年に Sm0ked Crew と名乗るスクリプト キディのグループが、Web サーバー ソフトウェアの広く知られていて既に更新済みの脆弱性を利用して、Intel、Gateway、Disney、および The New York Times の Web サイトを改ざんしました。脆弱性を修正するアップデートは攻撃が行われるかなり前に入手可能になっていましたが、多くの管理者はそれをインストールしていませんでした。賢明な予防策全般を実行し、特に最新のソフトウェアを使用していれば、攻撃は簡単に防ぐことができました。 企業が基本的なセキュリティ対策を実行し、広く入手可能なツールを使用するティーンエージャーに対して自身を保護しないのであれば、技術と経験を備えた攻撃者から身を守ることなどはできません。 |
| ■バックアップ Kevin は、成長を続ける建築会社の取締役でした。30 人の従業員と多数の多国籍のクライアントを抱えるこの会社は、電子メール システムで連絡を取り合っていました。特に、従業員は電子メールを使用してクライアントからの変更要求を追跡するので、電子メールは会社のビジネスの重要な部分を占めていました。ある日の午後、電子メール サーバーに壊滅的なハードウェア障害が発生し、データが破損しました。 「問題はない」と Kevin は考えました。「サポート要員がバックアップを持っているのだから、それから復元すればいい」実際、この会社には念入りに作られたテープ ライブラリがあり、重要なバックアップのオフサイト コピーが忠実に保管されていました。データが正しくバックアップされていなかったことがわかったのは、1 日かけてバックアップ テープから電子メール システムを復元しようとしたあとでした。その問題にはだれも気付いておらず、データの復元が正しく機能するかどうかを確認するテストも行われていませんでした。適切な障害復旧計画は何も用意されていませんでした。 情報セキュリティとは、単に適切なハードウェアとソフトウェアを手に入れることではありません。適切に処理を実行し、ビジネス上の重要なシステムにリソースを集中させる必要があります。 |
|
|
| [戻る] |