早急に備えておくべき「7つ」の新しいサイバー脅威:RSA Conference 2017レポート(2/2 ページ)
米国のセキュリティ機関 SANS Instituteのリサーチャーが、RSA Conference 2017の基調講演で「今後備えるべき、新たな攻撃と脅威」を解説。「7つ」の新しい攻撃/脅威に早急に備えよと提言した。
ITアーキテクチャの変化に伴って誕生した「新たな」脅威
最後にヨハネス・ウルリッヒ(Johannes Ullrich)氏が、主にITエンジニアが留意すべきポイントを挙げた。
5つ目の課題としてウルリッヒ氏は、「乱数生成器への攻撃」を挙げた。安全な通信には暗号が欠かせず、その暗号アルゴリズムの中で乱数は重要な役割を果たす。もし乱数生成器に問題があり、十分にランダムな鍵が生成できなければ、WPA2を始め、さまざまな暗号通信方式が影響を受ける恐れがあるという。
6つ目の課題は、「Webサービスにおけるソフトウェアコンポーネントのセキュリティ確保」だ。かつて、OpenSSLなど主要なソフトウェアコンポーネントに重大な脆弱(ぜいじゃく)性が見つかった結果、多くのシステムが影響を受け、管理者が多大な対応に追われたことは記憶に新しい。これと同じことがWebサービスやマイクロサービスの世界で起きないとは断言できないとウルリッヒ氏は述べる。
「アーキテクチャのニーズが変化し、ITシステムはサーバレスコンピューティングやクラウドへと移行している。その中では、適切なサービスに接続しているか、適切なデータを受け取っているかどうかを知り、検証できることが重要だ」と同氏は述べ、完全性を確認するために、双方向認証や適切なSSLの実装が重要だと訴えた。
そして最後の課題は、「NoSQLへの攻撃」だ。SQL文で操作する伝統的なリレーショナルデータベースだけでなく、「MongoDB」のようなNoSQLデータベースを採用するシステムも増えている。しかし、「伝統的なデータベースで発生した問題は、NoSQLを操作するXML(Extensible Markup Language)やJSON(JavaScript Object Notation)でも発生する恐れがある」とウルリッヒ氏は指摘し、XMLインジェクションやXML External Entity、バリデーションの欠如といった問題を挙げた。また、Node.jsなどのフレームワークにも脆弱性が発見されていることから、こうした環境においても脆弱性管理を行う必要があるとした。
SANSのリサーチャーが挙げた、「早急に備えておくべき」新たなサイバー脅威
- ランサムウェア
- IoT
- IoT機器を狙うランサムウェア
- 産業制御システムに対する攻撃
- 乱数生成器への攻撃
- Webサービスにおけるソフトウェアコンポーネントのセキュリティ確保
- NoSQLへの攻撃
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ITがBT(Business Technology)となる時代に必須なのは「セキュリティ」
2017年2月14日から米国サンフランシスコで「RSA Conference 2017」が開催されている。基調講演は、サイバーセキュリティがテクノロジーだけでなく、ビジネスや政治にまで影響を及ぼしている事実を背景にした内容となった。
「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る
「サイバー攻撃者の手法」を解説する本連載。今回はその「外伝」として、ランサムウェア被害者へのインタビューをお届けする。感染に気付いてから復旧に至るまでの“ランサムウェア被害の生々しい実態”をぜひ知ってほしい。
IoT機器を悪用するDDoS攻撃、打つ手はあるのか
セキュリティ専門家が時事ネタを語る本連載。第38回のテーマは「IoT機器をめぐるセキュリティ」です。2016年9月に話題になったDDoS攻撃を中心に、一筋縄ではいかないIoT機器のセキュリティについて議論します。
「情報セキュリティ10大脅威 2016」、IPAが発表
情報処理通信機構(IPA)は2016年2月15日、「情報セキュリティ10大脅威 2016」を発表した。オンラインバンキング攻撃や標的型攻撃、ランサムウェアなど、2015年に発生した大きな事件に関わるものが上位に順位付けされた。