> > 2015 年の重大な情報漏洩事件から我々は何を学んだか

RSSフィード

2015 年の重大な情報漏洩事件から我々は何を学んだか

2015 年は情報漏洩が今まで以上に悪化しました。約 1.78 億人もの米国市民の個人情報が盗み出され、情報漏洩の脅威が過去数年でもっとも増加した年となってしまいました。

311055986.jpgハッキング攻撃の被害を意識し、セキュリティの最善措置の導入が急務とされる中、多数の企業で脆弱性が発覚しています。2016 年中、よりよいセキュリティを導入するには 2 つの点が重要となります。ひとつは過去の過ちから学び取ること、そしてもうひとつはこれから起こり得る脅威を正しく予測することです。

2015 年中発生した下記の重大な情報漏洩事件を振り返って、そこから我々は教訓を学びとらなければいけません。

Anthem 社:

2015 年の初め、過去に見られなかったほどの大規模な漏洩がヘルスケア産業で起きました。
2月にヘルスケアの Anthem 社で、顧客8千万人の記録がハッキングされ、社会保障番号、メールアドレス、住所、電話番号、生年月日の情報が漏洩してしまいました。
このような大規模な漏洩が起きてしまうと顧客の被害は長期にわたり、解決には何年もかかってしまいます。

DigiCert の PKI 上級設計者、Scott Rea 氏は Anthem 社(または類似した企業)が改善しなければいけない点を二つ挙げています

一つめは Anthem 社では満足の行く認証がなされていなかった点です。
もし Anthem 社が 2 要素認証を導入していれば、ハッカーは管理者が所持している安全性の高いデバイスかもしくは物理的なトークンを奪わない限り、情報にアクセスすることができなかった筈です。
二つめは、Anthem 社がデータベースに蓄えていた情報を暗号化していなかった点です。
情報が暗号化されていなかった為、データの取得が容易になってしまいました。

どんな情報セキュリティを構築する場合でも、認証と暗号化は必然的要素となります。

アメリカ合衆国人事管理局:

2015 年に起きたこの事件は米国の政府・行政機関に対して行われた過去最大規模のサイバー攻撃と見なされています。人事局(OPM)はこの事件を最初6月に公表しましたが、その年の9月に至るまで幾度も情報漏洩の原因と詳細の発表を繰り返して行っています。

この漏洩により、560 万人分の現役並びに元職職員の指紋情報が持ち出され、更に 2,150 万人の個人情報が盗まれたとされています。
専門家は、現時点では奪われた指紋情報が悪用されることはないと言っていますが、将来技術が進めばその可能性も否めない、と言う意見も出されています。

このことに関して Ars Technica の報告では、OPM では前々から情報管理のインフラに問題があり、改善努力はおこなっていたものの、セキュリティの弱点を埋めるべく組織内で一極管理ができていなかったことが指摘されています。
更に、OPM では保持していたデータそのものの管理が満足にできておらず、包括的なサーバー、データベース、ネットワーク機器の資産管理ができていなかったとの指摘もあります。
セキュリティ計画を有効に機能させるには組織も重要であることの良い例と言えるでしょう。

Ashley Madison:

皆が話題にした 2015 年の情報漏洩を一つ挙げるとしたら、8 月に起きた Ashley Madison 事件がそうでしょう。運営当初から物議をかもしたこの出会い系サイトは道徳面と脱会方針を理由にサイバー犯罪者から特定され、攻撃を受けてしまいました。
ハッカー達は情報を持ち出すだけに止まらず、33 万件に及ぶ盗みだしたユーザー名、氏名、暗号化されたパスワード、更に登録されていたクレジットカードの一部情報、住所、大量の電話番号、960 万件に及ぶ取扱い記録、そして 3,600 万件に及ぶメールアドレスを全て公表してしまいました。

Ashley Madison の場合、暗号化されていた筈の使用パスワード 1,500 万人分の暗号強度が弱く、解読されてしまったことが、更に被害を広げてしまったこととして挙げられています。
パスワードの暗号化は今日のインターネット時代には不可欠なセキュリティ要素です。

過去のセキュリティ対策の過ちを理解することは将来の対策を改善することにつながりますが、過去を振り返ると言うだけではいけません。
セキュリティの専門家である以上、次に何が起こるか先読みしなければなりません。
下記サイトより、セキュリティ専門家達が来る 2016 年に何を予測しているかを一読し、今後に関しての理解を深めてください。
http://www.nbcnews.com/tech/internet/hack-future-experts-make-2016-cybersecurity-predictions-n486766

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事: Biggest Breaches in 2015, What We Learned - [2016 年 1 月 6 日投稿]