潜行するサイバー攻撃(第5回)「史上最悪」の情報漏えい事件が残した教訓

脅威・サイバー攻撃

公開日:2018.03.20

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 年々被害が深刻化するサイバー攻撃。2017年に米国の信用情報会社で発生した事件では1億人を超える顧客情報が流出、経営トップ辞任という事態に発展した。この事件は、サイバー攻撃の脅威に対する私たちの心構えを、あらためて考える契機になっている。

 2017年9月、米国の大手信用情報会社エクイファックスから「サイバー攻撃により1億4000万件以上の個人情報が流出した可能性がある」との発表が行われた。流出が疑われたのは顧客の氏名・住所をはじめ、クレジットカード番号、社会保障番号、さらには運転免許証番号など極めて多岐にわたる。その規模と深刻さから「史上最悪レベル」と呼ばれるものとなった。

 事件の引き金になったのは、同年3月に見つかった「Apache Struts2」の脆弱性だった。このソフトはWebアプリケーションを開発するためのフレームワーク(仕組み)だ。無償かつ自由に利用可能なことから広く使われる。半面、以前からたびたびセキュリティの脆弱性が指摘されていた

 問題となった脆弱性(CVE-2017-5638)は、リモートで任意のコードが実行される恐れがあるというもの。3月7日に公開された後、わが国でもIPA(情報処理推進機構)が3月9日に注意喚起を行った。しかし、この脆弱性を悪用したサイバー攻撃は、数日間で一気に広がり、世界各国から不正アクセスの被害が報告される事態となる。日本でも東京都の都税支払いサイトやJETRO(日本貿易振興機構)、日本郵便のサイトなどが攻撃を受けた。

 ところが、エクイファックスは脆弱性対策に必要なパッチ(修正プログラム)処理をすぐに行わなかった。7月末になってようやく対策に乗り出す。しかし、その時点ですでに膨大な個人情報が流出していた。同社の前CEOは、遅れの原因について「人為的、技術的ミスが重なった」と説明したものの、貴重な信用情報を扱う企業としてはあまりにずさんな対応だとして批判を浴びた。

被害の実態はさらに深刻?…

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆=林 達哉

【MT】

あわせて読みたい記事

  • 「情報漏えい、当社に関係なし」の嘘(第7回)

    ぴあですら個人情報流出の可能性。守りは急務

    脅威・サイバー攻撃

    2017.05.12

  • 加害者にならないためのサイバー攻撃防止法(第1回)

    「ついうっかり」が命取り。今こそ社員の意識改革

    脅威・サイバー攻撃 雇用・研修

    2015.09.16

  • 人手が足りない会社の業務効率処方箋(第1回)

    アウトソーシング活用で「ひとり情シス」問題を解決

    ITアウトソーシング

    2015.07.29

「脅威・サイバー攻撃」人気記事ランキング

連載バックナンバー

無料!おすすめのダウンロード資料

  • 企業の情報セキュリティリスク認知調査2023

    企業の情報セキュリティリスク認知調査2023

    テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。

  • 情報セキュリティ対策意識調査2022

    情報セキュリティ対策意識調査2022

    DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。

  • その対策は効果ナシ!セキュリティの常識を検証する

    その対策は効果ナシ!セキュリティの常識を検証する

    サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。

オンラインセミナー動画

  • 新着記事

配信日時

2024年5月29日(水)①14時00分〜15時00分 ②18時00分~19時00分

セキュリティ関連

セキュリティコンサルタントが解説! いま企業がとるべきサイバー攻撃対策とは

人気

配信期間

配信期間:2023年9月15日(金)~2024年8月30日(金)

セキュリティ関連

【経済産業省サイバーセキュリティ課登壇】 サイバー攻撃に対して中小企業が取るべき対策とは