トレンドマイクロは、2014年の脅威予測の中で、大規模な情報漏えいの発生頻度が上がると予測していました。この予測をした際、弊社はこの予測が間違っていることを願いましたが、今までのところ弊社の予測が正しいことが証明されています。直近で大規模な情報漏えいの被害を受けたのは、有名な米国オークションサイト「eBay」です。
概略を記述すると、eBay は、2014年5月21日(米国時間)、自社のブログ記事で、「暗号化されたパスワードとその他の金融関連でない情報」を含むデータベースに攻撃を受け、情報の流出があったことを発表しました。eBay は、金融情報への不正アクセスや不正活動は確認されていないと発表する一方、最善策として、すべてのユーザにパスワードを変更するよう求めました。
この攻撃の規模を軽視することはできません。eBay は、個別の FAQページで、1億4500万のすべてのユーザが影響を受けると述べています。これはどこから見ても、影響を受けたユーザ数において史上最大規模の情報漏えいです。
漏えいした情報は、以下のユーザ情報を含んでいました。
- 氏名
- 暗号化されたパスワード
- Eメールアドレス
- 住所
- 電話番号
- 生年月日
eBay のユーザができることは、本当に 1つしかありません。それはパスワードを変更することです。もしあなたが eBay のユーザで、まだパスワードを変更していないなら、今すぐブラウザを開いてパスワードを変更してください。パスワードを記憶するのが難しい場合、パスワード管理ツールの使用が便利です。弊社の製品では、「パスワードマネージャー」がこれにあたります。「TrendLab(トレンドラボ)」では、以前のブログ記事(英語情報)でパスワードのセキュリティに関する助言を公開しています。
システム管理者は、この事例を受け、「このような情報漏えいの被害に合わないためにはどうしたら良いのか」ということを考えるかもしれません。eBay のような十分な資金のあると思われる大企業が攻撃を受け、情報漏えいの被害に合うのならば、資金の少ないより小さな企業には、何ができるのでしょうか。
トレンドラボは、情報漏えいについての特集を作成し、情報漏えいの脅威を総合的に考察しました。今回の事例を考察すると、他の企業が学べるいくつかの事柄が見えてきます。まず第一に、どのように攻撃が開始されたのかを思い出してみましょう。今回の攻撃は、eBay の従業員の認証情報が漏えいしたことから始まりました。こういった情報が何らかの形のスピアフィッシングによって漏えいすることは、十分に起こり得ます。トレンドラボでは、以前に標的型攻撃の初期潜入について論じています。
この段階では、いくつかの技術的または非技術的な対策によってネットワークの防御を向上させることができます。例えば、2要素認証システムの社内使用は、あらゆる単独のパスワードの漏えいに関わる危険性を少なくすることができます。また、潜在的なスピアフィッシング攻撃を特定し、回避するための従業員の教育も役立つでしょう。
すべての企業は、情報自体に関して、暗号化の使用範囲を増やしたり、正しく使われているかを見直すべきです。今回の情報漏えいで流出したような一般的に機密情報として見なされる情報は、暗号化された形式で保存されていたり、いなかったりするでしょう。
重要なことは、暗号化は正しく使われる必要があるということです。何のアルゴリズムが使われるのか、またどのように暗号化が実行されるのか、そしてどのように鍵が生成されるのか、といったことまですべての過程にわたって理解することが、最善の方法です。最良の環境下では、「Cryptography(暗号技術)」の導入は困難です。これが正確に行われなかったときは、言うまでもありません。
1つの対策ですべての潜在的なセキュリティ問題を改善することはできません。しかし、多層防御を備えたセキュリティ製品を導入する利点がここにあります。攻撃は、さまざまな方法でネットワークに侵入することができます。同じように、さまざまな方法で攻撃を検出することもできます。適切に設計された特別な防御対策により、これらの脅威を検出し、軽減することが可能になります。
参考記事:
by Jonathan Leopando (Technical Communications)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)