Vol.111 【米ヤフー・30億以上のアカウント情報流出事故とサイバー攻撃手口】

【米ヤフー・30億以上のアカウント情報流出事故とサイバー攻撃手口】

先月の初旬に「米ヤフー、30億以上のアカウント情報流出が明らかに!」というタイトルの記事がさまざまなメディアに掲載されました。この史上最大規模の個人情報流出事件の発端は、2013年8月に遡ります。この時に受けたサイバー攻撃被害について、外部専門機関の協力による分析の結果、被害は当時の米ヤフーが保有していた全アカウント=30億以上に及ぶ可能性があることを明らかにした、というものです。米ヤフーはこの攻撃について、「仕掛けた人物や組織を特定できてない!」としていますが、2014年にもサイバー攻撃を受け、少なくとも5億人分の個人情報が流出したことを公表しています。この事件については、米司法省がロシア情報機関の職員2人と実行役のハッカー2人を起訴しています。

個人情報の漏洩事故は、多額の賠償金支払いやサービスへの信用の失墜など企業に与えるダメージは計り知れず、米ヤフーの様な巨大サイトともなれば、相当に堅牢な情報セキュリティ対策を行っていることは容易に想像できます。にも関わらず、なぜこのような大規模情報漏洩事故は後を絶たないのでしょうか。
そもそもサイバー攻撃とは、攻撃対象となるサーバやシステムに対して、ネットワークを通じてデータの窃取や改ざん・破壊などを行う活動を指します。その攻撃の手口はますます多様化し、高度化しているからです。特定のWebサイトや企業・個人を標的にするケースもあれば、無差別に攻撃を仕掛けるケースもあり、データの窃取、改ざんや破壊を目的としたもの、金銭を目的としたものもあれば、ただの愉快犯である場合もあり厄介です。「情報セキュリティ」に関する情報は、過去にも幾度となく公開していますが、今日は「サイバー攻撃」に特化して、その主な種類(手法)をご紹介します。

■BOF(バッファオーバーフロー)攻撃
プログラムの脆弱性を突いて、コンピュータに不正アクセスし、データの窃取や改ざんを行う攻撃を指します。管理者権限を乗っ取り、管理者にしかアクセスできない情報を盗むケースが多発しています。

■Dos攻撃/ DDoS攻撃
複数のサーバ・PCから、標的となるにサーバ・PCに対して大量のデータを送り続けて、機能を麻痺させる攻撃を「Dos攻撃(Denial of Services:サービス妨害)」と言います。これはストーカーの嫌がらせと同じ行為で容易に実行することができますが、証拠が残りやすいという攻撃者側のデメリットがあります。
これに対して、「踏み台」と呼ばれるサーバを多数使用する攻撃が「DDoS攻撃(Distributed Denial of Service:分散サービス妨害)」です。攻撃者の特定が容易でない他、まったく関係のないDDoS攻撃に自社のサーバが「踏み台」として使われてしまうケースもあります。さらにDDoS攻撃の方法はすぐに世界中で情報共有されまるため、初めての攻撃方法ならまだしも、既知の方法で自社のサーバが踏み台になったとしたら、「対策不十分」として社会的な責任が問われたりすることも考えられます。

■標的型メール攻撃
情報の窃取や業務妨害などの目的で、特定の標的にメールを送信し、添付ファイルや本文内のURLをクリックさせ、それをきっかけにしてマルウェア(不正プログラム)を攻撃先に送り込む手口です。

これ以外にもさまざまな攻撃方法や種類があり、日々進化しているため「100%安全」と言える状況は不可能と言えます。企業として、「サーバのセキュリティ対策」と「個々のPCに対するセキュリティ対策」は必要最低限の対策と言えるでしょう。オリックス・レンテックの玉手箱でもご紹介しておりますので、ご興味をお持ちの方はぜひご覧ください。

■オリックス・レンテック玉手箱:サイバー攻撃への対策は、 まず「プログラムの脆弱性」について知ることから
http://www.orixrentec.jp/helpful_info/detail.html?id=24

ページトップへ