aratana_6858

もはやセキュリティ事故・事件は他人事ではない「敵を知り、己を知れば、百戦危うからず」

  • このエントリーをはてなブックマークに追加

by [2014年10月20日]

 自分のサイトに合わせて柔軟なカスタマイズが可能なネットショップ構築プラットフォーム「カゴラボ」、商品ページやバナーを誰でも簡単に、プロレベルの仕上がりで作成できるツール「SketchPage」などで知られる株式会社アラタナは、2014年10月9日に渋谷ヒカリエで「アラタナカンファレンス」を開催した。
 このカンファレンスでは、ECで用いられる最新テクノロジーについて様々な講演がなされたが、今回はその中から、アラタナの最高情報セキュリティ責任者(CISO)松野真一氏の講演「敵を知り、己を知れば、百戦危うからず。セキュリティ対策基礎知識」のダイジェストをお送りする。

松野真一氏 株式会社アラタナ最高情報セキュリティ責任者(CISO)

 「セキュリティは重要です。皆さん気をつけましょう」と言っても、どこか他人事のように考えている方が多いと思います。
 まずは最近のセキュリティ事情を数字を出しながら振り返り、セキュリティ事故・事件の重大さを示し、その後、私が用意したデモでハッキングを身近に感じて頂きます。これによりセキュリティをおろそかしていては危険なことがご理解頂けるでしょう。

数字で振り返るセキュリティ

 1億2810万。日本の人口よりも若干多いくらいのこの数字は、実は情報漏えい事故一件あたりの想定損害賠償額です。おそらく、皆さんの想像より大きな数字ではないでしょうか?
 こちらは、日本ネットワークセキュリティ協会が発表している、2005年から2012年までの情報漏えいの想定損害賠償総額と漏えい人数の推移のデータです。年々、個人情報の価値が増えていることが数字に表れています。

 
 9割。これは、ある特定のコンピュータウイルスが攻撃対象としている国々における日本の比率です。
 攻撃となると中国、アメリカという話は聞きますので、なかなか身近に感じられないかもしれませんが、実際にデータとして出ています。ウィルスの感染経路は、オンラインショッピングサイトや旅行代理店のウェブサイトからでした。口座情報、クレジットカード情報が盗み出されるのですが、こうしたサイトが媒介していることもあるのです。

 ≠(ノットイコール)ECサイトの売り上げと攻撃を受ける確率はイコールになりません。「ネットショップを始めたばかりだし売り上げもそれほど無い」と思っても、私どもが分析した結果、売り上げや知名度と攻撃を受ける確率に関係は認められませんでした。
 こちらは私どもが運用しているネットショップを対象に、実際の攻撃の件数を調べたものです。標準で攻撃を防御する仕組みを各ネットショップに導入しているのですが、それらが検知した数をグラフにしました。特徴的なのは12月をピークに下降しており、現在は落ち着いています。私どものカゴラボはWAF(ウェブアプリケーションファイアウォール)を標準搭載する等、基本的なセキュリティ対策を行っているため、攻撃者が攻撃を諦めた傾向が数字に表れているのかもしれません。

(合法に)ハッキングデモ

 ここからは、グーグルハッキングという手法を使って、合法かつ痕跡を残さずにハッキング、もしくはハッキングに関する予備調査を行なうデモになります。
 通常グーグルは、検索キーワードを入力して目的のサイトを探すことに使われています。ネットショップを運営されている方であれば、SEOの観点から、よりインデックスされ検索結果の上位に表示されるよう努力していることでしょう。
 実は、クラッカー達が狙っているのはそこなのです。

 一般にはあまり知られていないと思いますが、グーグルには特殊な検索をする(具体的には検索キーワードの工夫)ことで、既知のセキュリティホールが放置されているネットショップやWebサイトを探すことができます。エラーメッセージに内部の機密情報を露出していたり、本来非公開であるデータが公開されているといったケースです。またこの手法ではサイトへ直接アクセスしないため調査の痕跡が残りません。

(カンファレンスではハッキングの実演が行なわれたのだが、この場でその手法を公開するのは適切ではないと判断した。どうしてもその方法が気になる方は、関連リンクに貼ってあるITproの記事、その他を参照して欲しい)

管理画面へのアクセス
 Webサイトには管理者にしか見られない情報があります。まずは、そこへのアクセスができるか実際にやってみます。グーグルの通常の検索画面で、検索ボックス内に特定のワードを入れて検索すると、管理画面へのアクセスができる一覧ページが出てきます。もし、ID、パスワードが簡単なものであった場合、管理画面にログインできてしまうのです。そのアカウントがネットショップの運営者なら顧客や売り上げの情報が盗まれてしまうことでしょう。

ネットワークカメラの盗聴
 先ほどと同じように検索すると、URLのところにIPアドレスがそのまま出てきてしまいます。ドメイン名がついていないことから、公開の意図はなくとも何らかの形でグーグルにインデックスされてしまったものと推測されます。このままクリックするとプライベートな映像が出てきてしまいます。今回は特定のネットカメラに対して行ったのですが、433件の特定のネットワークカメラがインターネットに不適切に公開されています。これが監視カメラとなると重要機関を監視するべきところがこういう状態になっていたということも事例としてあるのです。

「アラタナは、EC業界セキュリティNo.1企業を目指しています」

 いかがでしたでしょうか?(上記のようなことは容易に起こることなので)ぜひ他人事だとは思わないでください。
 自社のネットショップやシステムのセキュリティが大事だというところをみなさんの会社の共通認識として頂ければと思います。

▼関連・参考リンク
アラタナカンファレンス
slideshare『アラタナカンファレンス アラタナCISO松野講演資料【敵を知り、己を知れば、百戦危うからず。セキュリティ対策基礎知識】』
株式会社アラタナ: ネットショップの今と未来をアツくする
NPO日本ネットワークセキュリティ協会
ITpro『進化するサイバー攻撃 [3]検索一発で3分ハッキング』

コメントは受け付けていません。

PageTopへ