ここ最近、ゲーム会社を狙った攻撃が続いています。
発端は、ソニーとゲーム機改造コミュニティとの対立と言われています。ソニーコンピュータエンタテイメントを含むソニーグループ全体でハッキングを受け、ニュースで報道の通り大ダメージを受けました。
その後、スクウェアエニックス子会社での個人情報漏洩や、任天堂サイトへの不正侵入など立て続けに続いています。
これら有名な大企業であってもサイバー攻撃を防げないのですから、中小企業のWebサイトでは言わずもがな、です。
以下に、いくつか例え話をしながら、いかにセキュリティ対策が難しいのか、またインターネットを利用する上での心構えについて書いていきたいと思います。
1.セキュリティに完璧という言葉はない
皆さんは朝出かけるとき、家のドアや窓の戸締まりをし忘れたことはありませんか? たとえ戸締まりしても、悪意を持った強盗集団があなたの家に押しかけたとき、絶対に家の中に侵入されない自信はありますか?
今回のハッキングで使われた手口は、SQLインジェクションなどの基本的な攻撃手法ですが、これは膨大なプログラムの一カ所でも穴があると機密情報を盗まれてしまう可能性のある(巨大な豪邸で一カ所でも鍵を忘れると家中に侵入を許してしまう)手口です。
いかに悪意のある攻撃から防ぐのが難しいか、お分かりになると思います。
2.防げない攻撃もあることを認識する
上記を出来る限り潰したところで、DDoS攻撃のように外部からサービス提供不能に陥らせる方法もあります。
家中を完全防備にしたとしても、外部からの甚大な脅威(大地震や大津波など)は防げないのと似ています。
DDoS攻撃からサーバを守る研究が進められていたり、大規模なサイバー攻撃を牽制・規制する動きもありますが、それでも攻撃がゼロになるとは考えにくいです。
そのほか、ソフトウェア自身の新しいセキュリティホールも年中見つかっていますし、開発元が対策プログラムを提供するよりも早くその脆弱性を突く攻撃(ゼロデイ攻撃)などもあります。(これは一般のユーザー企業では防ぎようがありません。)
これらは、リスクマネジメントというより、クライシスマネジメントとして考えるべきところかもしれません。
3.被害を拡大させない努力は自分でもできる
1つのサイトで情報漏洩が発生すると、攻撃者は別のサイトにも同じIDとパスワードでログインして、さらに被害にあうケースもあります。
多くのサイトで同じパスワードを使い回していませんか?
同じパスワードを長年使い続けていませんか?
自分のPCにはセキュリティソフトを入れて最新の更新状態で、ソフトウェアにはセキュリティアップデートを心がけ、対策は万全でしょうか?
基本的な対策方法は知ってはいても、簡単には実行に移せない、それがセキュリティ対策の難しさでもあります。
恐れすぎる必要はありませんが、最低限、何をしたら危ないとか、こうやったら被害を最小限にできるとか、知識を持っておくことは必要ですね。
コメント
シングルサインオンが便利だと思っていましたが、敵にとっては、一つのカギで色々な部屋を物色できると考えると怖い話ですね。
身近に出来る事として、こまめなパスワード変更を心掛けたいと思います。