"メガハック"の時代に迫る危機–企業に何ができるか
今回は「"メガハック"の時代に迫る危機–企業に何ができるか」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
今や私たちは「メガハック」の時代に生きている。高度な技術を持ったハッカーが、ソフトウェアが抱える脆弱性を悪用し、それらを利用して多数の組織のコンピューターシステムに1度に侵入できる攻撃を行う事例が増えている。
Microsoftの「Exchange Server」に新たに発見された脆弱性は、攻撃の進化を示す好例になった。Exchange Serverの脆弱性は(おそらく中国政府の支援を受けた)ハッカーによる新たなネットワーク攻撃手法に利用され、広範囲に渡る攻撃が行われて、何万ものシステムが侵害を受けたとみられている。その他にも少なくとも10のグループが同じエクスプロイトを利用しようとしており、今では、最初の攻撃に便乗して、サイバー犯罪者らがランサムウェアを送り込もうとしているという。
どんなに根絶しようとしても、ソフトウェアが存在する限りバグはなくならない。私たちが今目にしているのは、これらのバグを攻撃に利用しようとするハッカーの能力と欲望の拡大だ。最近では、世界中の企業が同じアプリケーションやツールを使うことが増えている。企業によっては、自らが依存しているソフトウェアのコードさえ把握していない。それがテクノロジー製品が相互に依存し合った世界だ。また使っているソフトウェアは把握していても、脆弱性に関する警告が公表されたソフトウェアをアップデートし切れていない企業も多い。
ハッキング集団が活動する動機はグループによって異なる。国家の支援を受けたハッカーは、戦略的な価値がある標的(諜報活動の情報源、ほかのシステムを侵害するための足がかりなど)を決定する前に、できるだけ多くのシステムへのアクセスを得ようとする。またサイバー犯罪者は、データを盗んだり、金銭を得るためのランサムウェアを送り込んだりしようと、侵入できる場所を探している。いずれにせよ、今や脅威アクターは、これまでにないほど素早く弱点を突く高度な力を持つようになった。これは、誰にとってもよくないことだ。
1つのソフトウェアの脆弱性は、1つの企業だけに影響を与えるのではなく、何千、何万の企業をリスクに晒す。これは、ハッキング集団が新しいバグを手に入れると、それを素早く悪用し、パッチが作成されて適用されるまでに、できる限り多くのシステムに侵入しようとするからだ。これまで一部の企業は、自分の会社は規模が小さいので標的にはならないと考えていた。しかしそれらの企業は、悪者は身代金が得られるチャンスを求めてそうした企業にも攻撃を仕掛け、それによってビジネスが破綻することもあると身をもって学ぶことになる。また、ソフトウェアの脆弱性を放置することによる費用削減は、(控えめな表現で言えば)経済的に割に合わないことを学ぶ企業もあるだろう。
では、この問題に対して何ができるのだろうか。まず、プログラミング言語や、ソフトウェアアプリケーションの基盤になっている基本的なコード(多くの場合はオープンソース)を手始めとして、あらゆるもののバグを修正することを目指すプロジェクトがスタート地点になるだろう。安全なコードの利用を標準にすることは必要不可欠だ。また企業は、レガシーシステムには脆弱性が存在する可能性があり、それを修正することは必須であることを理解する必要がある。長期的には、ランサムウェアの脅威を解決し、国家が支援するハッキングに関する国際ルールを整備する必要がある。これらはどちらも簡単な問題ではない。
そして今は何よりも、急速に危険が大きくなっていることを全員が理解する必要があるだろう。
NTT西日本 | セキュリティ対策ツール サポート情報
2021.03.05 Windows セキュリティ対策ツール 脆弱性対応について New 2021.03.03 Android 「hello」という通知タイトルのプッシュ通知の誤送信について 2021.02.12 Mac セキュリティ対策ツール for Mac ( Ver.3 ) の脆弱性対応について 2021.01.18 Windows サーバーメンテナンスのお知らせ( 2021/01/26 20:00 ~ 2021/01/27 08:00 ...
安心安全情報のセキュリティ産業新聞社
セキュリティ産業新聞は、防犯・防災・情報分野の総合紙。防犯設計・映像・出入管理など最新機器・危機管理・テロや地震対策、子どもの安全など官民学の情報を紹介します。
24時間365日セキュリティ運用|情報セキュリティ株式会社
情報セキュリティ株式会社(iSEC)は、関西圏で数少ない、制御システム運用に対応したセキュリティ専門会社です。重要インフラ、IoTデバイスのセキュリティ対策はおまかせください。「将来の課題を見据えた、一歩先のソリューション」を提案します。
情報セキュリティ対策支援サイト| 情報処理推進機構 - IPA
複雑・膨大化する情報社会システムの安全性・信頼性の確保による“頼れるIT社会”の実現に向け、IT施策の一端を担う政策実施機関として、情報セキュリティ、ソフトウェア高信頼化、IT人材育成等の施策を展開します。
カードキー|ケイデン|株式会社Keiden
カードキー、キーボックスのオリジナル防犯機器メーカー。 2021/01/20 「Fe-Lock Light watch type」販売開始のお知らせ 2020/09/04 「キースイッチ取替型 SS-Reader2」販売開始のお知らせ 2020/09/01 新社長就任のお知らせ 2019/12 ...
セキュリティパターンの種類 - - 無線LANのセキュリティ設定 ...
セキュリティパターンの種類 ユーザー認証方式と通信データの暗号化方式の組み合せによって、次のようなセキュリティのパターンがあります。それぞれのセキュリティパターンの特長と認証の流れを説明します。 IEEE 802.1X+EAP-TLS
PC版LINEのセキュリティ強化のため「認証番号」の入力が必要 ...
いつもLINEをご利用いただきありがとうございます。 最近増加しているLINEへの不正ログイン対策強化の1つとして、PC(パソコン)版LINEのセキュリティを強化しました。ご利用中のパソコンでLINEにログインする際の初回ログイン時のみ、4桁の「認証番号」をスマートフォン版
警察庁 @police
警察庁によるセキュリティ情報提供サイト。サイバー犯罪・サイバーテロの未然防止及び被害の拡大防止を図るべく、ネットワークセキュリティに関する様々な情報を提供します。
