検索
連載

魔の手が伸びる「仮想通貨」、新手の攻撃セキュリティクラスタ まとめのまとめ 2018年5月版(1/3 ページ)

2018年5月のセキュリティクラスタは、引き続き「仮想通貨」関連の話題に注目が集まりました。ブロックチェーンの仕組み自体の弱点を突いた攻撃や、プラグインの改変などさまざまな手段を使って犯罪者がお金をかすめ取ろうとしています。加えて、仮想通貨を採掘させるスクリプトをサイトに設置すること自体が違法だという指摘がありました。仮想通貨以外では、情報漏えい事件の原因が「WAFの設定ミス」なのか「脆弱性」なのかという議論がありました。

Share
Tweet
LINE
Hatena
「セキュリティクラスタ まとめのまとめ」のインデックス

セキュリティクラスタ まとめのまとめ 一覧

WAFの設定ミスで情報漏えい

 2018年5月14日、MS&ConsultingのWebサイトが不正アクセスを受けて会員情報6000件が流出した疑いがあるとの報告がありました(後に約57万件へ訂正)。脆弱(ぜいじゃく)性を突く不正アクセスを受けて、情報が流出する事件はそれほど珍しくはありませんが、WAF(Webアプリケーションファイアウォール)の設定ミスが原因だったため、タイムライン(TL)で話題となりました。

 Webアプリケーションに脆弱性があった場合でも、なるべく不正アクセスされないように防御する仕組みがWAFです。しかし、そもそも脆弱性がなければ、不正アクセスがあったとしても、受け付けません。

 セキュリティクラスタでは、WAFの設定ミスが攻撃を受けた原因ではなく、脆弱性があったことに加えてWAFの設定ミスがあったためだという指摘がありました。その他、WAFを回避される可能性があるのに過信していたのではないかという指摘や、そもそも脆弱性があるのならそちらを修正すべきで、WAFが何でも守ってくれると思うのは大間違いだと、全てをWAFに頼ることをいさめる声が少なくありませんでした。

 アプリケーション開発側がWAFに責任を押しつけて、責任逃れをしているのではないかというツイートや、アプリケーションに脆弱性があってもWAFで守ればよしとするベンダーの姿勢に責任があるのではないか指摘するツイートもありました。

 WAFに限らず、設定ミスが不正アクセスを招く事例は珍しくありません。前橋市教育委員会のサーバが不正アクセスを受けて個人情報が流出した事件では、システムを構築したNTT東日本のファイアウォールの設定ミスが情報流出の原因の1つだとして、責任を追及されたことも、話題となっていました。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開
ページトップに戻る