![]() |
第3回 漏えい原因は怨恨の線が濃厚?
根津 研介 園田 道夫 宮本 久仁男 2005/2/25 |
|
![]() |
記録を使って追いつめられるか? |
顧客情報に触ったとおぼしき関係者のリストに情報を書き込んでいると、いろいろ見えてくるものがあった。例えば広山さんだ。広山さんはもともとの顧客情報管理システムの設計にかかわっていたが、その後ブランクを経てシステム管理のアウトソース先として関係しているらしい。期間は特定できていないが、漏えいしたと思われる最近3カ月以内の時期に関係していたと思われる。
そういう人はほかにも何人かいた。広山さんの現在の会社であるB社に開発業務の一部を委託している、中村君の会社と直接かかわりのある会社、A社(中村君の会社の顧客情報管理システムの開発外注先)の社員たち。中村君の会社の担当、松田さん。中村君の会社の営業職である本山さんと技術部の高原さん。今回の開発業務にかかわっているのはこんなところだ。本山さんと高原さんの名前は意外だったが、開発中のシステムのテストや要件出しというところでかかわっていたらしい。
小野さん | 「仕事で実際に顧客情報に触っていそうなのはこれくらいかなあ」 |
中村君 | 「あくまで仕事の上で、ということですよね」 |
そうなのだ。もし、開発中のシステムや、サーバの管理に問題があれば、別に顧客情報管理システムの開発業務に関係していなくても情報を見ることができたかもしれない。しかしそれは現状をもっと調べてみないと分からないし、調べても分からないかもしれなかった。情報漏えいというのは全く厄介な事態だ。
突然平山さんが2人を呼んだ。
平山さん | 「ちょっと! ひどいことになってるわ……」 |
平山さんが指し示す画面に出ているのは、人事総務の同僚からのメールだった。
平山さん | 「一律500円をお客さんに払おうという動きが社内にあるみたいね。最近のトレンドに乗ったってわけね」 |
中村君 | 「さっきのニュースに架空請求の被害まで出ていたのに、そんなもんで間に合うのかなあ?」 |
小野さん | 「多分無理だな。むしろ500円ぽっちとかでお茶を濁そうとしたら、ほかの同業者にごそっとお客さん流れるんじゃないか? 最初のお見舞い金くらいの意味はあるかもしれないけど……」 |
中村君 | 「被害を受けてる人にとってはありがたいどころか腹立たしいだけなんじゃないですかね?」 |
「どうせタヌキが動いているのだ」と思うと気力が失せていくが、そんなことはいっていられなかった。
中村君はtcpdumpのログ解析を進めている。ようやく関係なさそうなデータを除く方法論が分かってきたが、処理が重いためなかなか進まないのが難点だった。
なにしろ、社内の情報セキュリティ整備が進んできて余計な通信が減っていたとはいえ、膨大なログから記録を抽出しなければならない。まずは期間によるふるい落としだ。クレームをつけてきたお客さんの話では、1カ月前に住所の更新を届け出て、その新しい住所に架空請求が来た、という話だった。開発中のデータベースに住所変更が反映されたのが間もなくだとすると、その時期以降に漏えいしたとすべきだろう。届け出そのものは平山さんが書類を確認したため、時期は1カ月前としてそれ以前のデータをざっくり削った。
次にサーバでふるい落としを行った。データベースサーバと、顧客情報管理システムのWebアプリケーションが稼働しているWebサーバへのアクセス以外をふるい落とした。これはIPアドレスを基に特定できる。
さらに中村君はナイスなアイデアを思いついた。そもそも「どこから漏えいしたのだろう?」という話が発端だ。報告から見て大量のデータが一気に漏えいしているようだ。「データベースからデータベースのファイルそのものを吸い出すのかなあ?」と漠然と思っていたが、それだけではないことに気付いたのだ。開発中のWebアプリケーションに、大量の顧客データを出力する機能があるかもしれない、ということに。
松田さんに聞いてみるとそういう機能があるらしい。ならば、Webサーバのログ、もしくはアプリケーションのログを見て、それをtcpdumpの記録と照らし合わせるとさらにいろいろ分かるかもしれない。
少し光が見えてきた。
![]() |
2/3
|
![]() |
Index | |
漏えい原因は怨恨の線が濃厚? | |
Page1 広山さんの事情 |
|
![]() |
Page2 記録を使って追いつめられるか? |
Page3 またしても陰謀? |
基礎解説記事 | |
にわか管理者奮闘記 | |
5分で絶対に分かるシリーズ | |
管理者のためのセキュリティ推進室 | |
情報セキュリティ運用の基礎知識 | |
Security&Trustウォッチ |
![]() |
連載:にわか管理者奮闘記 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
![]() |
||
|
||
![]() |
Security & Trust 記事ランキング
- Windows 11、Microsoft Officeなどが対象 早急な適用が必要な更新プログラムをMicrosoftが公開
- ニセ従業員など新たな手口をふくめ、AIを悪用する詐欺をESETがまとめて指摘 どう対策すればいいのか?
- ドメイン名まで確認する人でも引っ掛かる? チェック・ポイントが新たなフィッシング詐欺の注意喚起
- 日本企業の約8割が「VPN利用を継続」。一方、ゼロトラスト導入済み企業は2割を超える NRIセキュア
- 2025年のサイバーセキュリティは何が“熱い”? ガートナーがトップトレンド6選を発表
- 古いソフト/ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に 対策は?
- “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
- 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
- 「透明性向上が狙い」 Mozilla、「Firefox」に利用規約を導入した理由を説明
- 企業は「生成AIのデータローカライズ問題」にどう対処すべきか Gartnerがリスクを軽減するための戦略的アクションを解説
- 日本企業の約8割が「VPN利用を継続」。一方、ゼロトラスト導入済み企業は2割を超える NRIセキュア
- ドメイン名まで確認する人でも引っ掛かる? チェック・ポイントが新たなフィッシング詐欺の注意喚起
- 古いソフト/ファームウェアを狙うランサムウェア「Ghost」で70カ国以上の組織、多数の中小企業が被害に 対策は?
- 日常茶飯事の「サプライチェーン攻撃」のカオスな実態とは?「セキュリティのアレ」の3人が事例から解き明かす
- Windows 11、Microsoft Officeなどが対象 早急な適用が必要な更新プログラムをMicrosoftが公開
- 2025年のサイバーセキュリティは何が“熱い”? ガートナーがトップトレンド6選を発表
- 「人材不足は生成AIで」は誤解? 大阪大学 猪俣教授が提言する、セキュリティ人材育成/自動化に必要な意識
- サイバー攻撃からの復旧時間、世界平均は10.9カ月、日本企業の平均は? ファストリー調査
- 被害額は平均で73万円、最大ではなんと1億円 IPAが中小企業のセキュリティを調査
- 「サービスアカウント」「ロール」「API」「アクセスキー」などの“非人間アイデンティティー(NHI)”に潜むセキュリティリスクTOP 10 OWASPが発表