検索
連載

初心者でも気軽にWordPressサイト作成! して大丈夫なの?セキュリティクラスタ まとめのまとめ 2016年6月版(1/3 ページ)

2016年6月のセキュリティクラスタでは、JTBや佐賀県の不正アクセス事件が大きな話題を呼ぶとともに、初心者が自前でWordPressサイトを立てることの是非が議論されたのでした。

Share
Tweet
LINE
Hatena
「セキュリティクラスタ まとめのまとめ」のインデックス

連載目次

 2016年6月は、JTBのグループ会社が攻撃を受け、最終的に約679万人分の個人情報が流出した可能性があるとして大きな話題になりました。他に、「ViVi」の通販サイトなどからの情報流出も発生しています。

 6月初旬には、佐賀県の17歳少年が衛星放送を無料で視聴できるプログラムを公開したことで逮捕されましたが、その後同少年が佐賀県の教育システムに侵入し、個人情報や成績表を盗み出していたことも明らかになっています。少年の手口とともに、佐賀県のシステム運用の実態が議論の的になりました。

 また、初心者がセキュリティを考慮せずにAWS上にWordPressを公開することについても、活発に議論が交わされました。

JTBが標的型攻撃を受け、679万人の個人情報が流出した可能性

 2016年6月14日には、大手旅行会社のJTBから793万件(後に重複分を除く679万件に訂正)もの個人情報が流出した可能性があるとする発表がありました。発表では「流出の事実は確認されていないが、流出した可能性がある」という言い方がされていましたが、“限りなく黒に近いが、証拠が残っていない”というのが実態のようです。

 この事件は、最近鳴りを潜めていた標的型攻撃によるものでした。具体的には、2016年3月15日に届いた「航空券控え 添付のご連絡」という標題の顧客を装ったメールに添付された「eチケット控え」というファイルをオペレーターが開いたことで、コンピュータが「PlugX」というマルウェアに感染してしまったとのことです。

 この発表に対しては、「どうして3月の事件を公表するのに今までかかったのか」という批判があった一方で、「大企業でこの期間で公表するのはがんばっている方だ」と評価する声もありました。

 JTBは標的型攻撃に対する訓練も行っていたようですが、本物の業務メールと見まがうような巧妙な標的型攻撃メールに対しては、訓練の成果は上がらなかったようです。

 また、「高度な標的型攻撃に引っ掛かるのは仕方がない。引っ掛かった後こそが大事だ」とする意見や、「メールの開封率にフォーカスした標的型攻撃訓練にはあまり意味がないので、流行しないでほしい」という意見、あるいは「この件を受けて標的型攻撃対策に関わる営業の人たちが動き出すに違いない」といったツイートがありました。

 なお、筆者も「個人情報流出の可能性がある」旨のメールをJTBから受け取りましたが、残念なことにこのメールの送信元メールアドレスは既に公にされており、フィッシング詐欺などに悪用される危険性を指摘する声が出ていました。そのため、本物のメールを「フィッシングではないか」と疑うツイートもありました。

 さらに6月には、パイプドビッツのECサイトプラットフォームが攻撃され、雑誌「ViVi」の公式通販サイトからも1万人以上の個人情報が流出しています。この件については、特に「WebDAV(Web-based Distributed Authoring and Versioning)サーバの設定不備を突かれてバックドアを埋め込まれる」という手法や、「HTTPの『PUT』メソッドを許可しているのは脆弱(ぜいじゃく)性なのか」といった点が議論の種となっていました。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  4. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  5. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  6. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  7. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る