情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年2月16日号
***************************************************************
現実となったハッキング依頼。該当企業で不正アクセス被害発生‼
***************************************************************
先月1月25日中国ブラックマーケットに【日本のサイトハッキングを依頼】と言う掲示があり、当日
弊社ホームページ上にも注意喚起を行い、1月29日の【SIPSセキュリティレポート】でもその内容を
記載したレポートを発信していたが、情報掲示者が指定したサイトの一つである“マイナビ”が不正
アクセスを受けたというニュースが流れた。
内容は不正取得したパスワードを使いなりすましログインで、2000年から現在までの「マイナビ転職」
登録者のうち、212,816名分の
Web履歴書が流出した可能性があるという。
マイナビではサイト上に強固なセキュリティ対策として「128bitSSL」「ファイアウォール」「不正アクセス
遮断」などのセキュリティ対策を徹底的に強化しているとあるが、これらセキュリティソリューション群も
サイバー攻撃者にとっては【無用の長物】であった。
中国ブラックマーケットではハッキングにより搾取した情報の売買を行っているだけではなく、セキュリティ
ソリューションの検知を無効にする手法や技術なども情報共有されたり売買されたりしている。
つまりこれらの情報を利用し主要なベンダーのセキュリティ機器は回避し侵入することが可能になる。
ファイアウォール、アンチウイルス、IPS、WAFなどがそれに当たる。
セキュリティソリューションを回避したら、次はメインのサーバにログインし自由に内部情報を搾取する。
登録ユーザのID/パスワードがあれば、それを使いなりすましも安易な作業となる。
今回被害に遭ったマイナビは、システムやセキュリティ機器に問題があったのだろうか?
同社は個人情報を扱う企業として、情報セキュリティに関する資格なども取得するなどしている企業
であることから、いい加減な対策と運用はしていなかったと考えられる。
つまり悪意のハッカーによるサイバー攻撃はそれ以上であるという事である。
そこで問われるのは【攻撃されることを前提にしたセキュリティ対策】いわゆるゼロトラストというセキュリ
ティ概念である。今のサイバー攻撃者に強固なセキュリティ技術は通用しないのである。
時代の流れは、【ハッキングされないセキュリティ対策】から【攻撃されることを前提にしたセキュリティ
対策】に変わってきている。
攻撃された時にどうするか?ハッキング被害をどれだけ最小化するか?が重要になるのである。
マイナビが、事前に攻撃予告の情報を得て攻撃に備えていれば、21万件もの情報流出は発生
していただろうか?
個人情報を主に扱う企業として、この量の情報流出は企業のダメージが大きく、間接的な被害が
発生してくると考えられる。
しかしそれだけではない。
流出した情報は次のサイバー犯罪に利用されるのである。
これは企業に直接被害を与えることはなく、流出した個人情報の本人が様々な被害を受けること
になる。どこから情報が流出したか分からない個人は泣き寝入りするしかない。
2月4日中国ブラックマーケットに【日本の電子メールのデータ3億個を販売】という掲示を確認した。
日本の人口は今年1月1日時点で1億2557万人であり、メールを主に利用するだろう15~64歳
の人口は約7500万人である。※総務省統計局データ
電子メールアドレスと言っても「会社のアドレス」「フリーメールアドレス」「自宅のメールアドレス」「携帯
電話のメールアドレス」などがあり、人によって各種メールアドレスの利用数は異なるが、仮に平均4個
のメールアドレスを保有しているとしたら、7500万(人)×4(個)=3億となる。
つまり、日本人のメールアドレスは全てサイバー攻撃者に流出しているという計算になる。
2月2日の読売新聞に「偽造在留カード」に関する記事が出ていたが、中国ブラックマーケットでは
日本人の「免許証」「パスポート」「マイナンバー」「日本国民の情報」など写真付きで数年前から
販売されている事を大量に確認していて、この記事を見た時には「やっぱりなぁ」と驚きもしなかった。
サイバー犯罪者はこれらの情報をデジタル加工すれば簡単にできる偽造カードであり、今では見た
目だけではなく、カード内部のデジタル情報まで全て精巧に作り上げる。
このような個人情報の流出もほとんどの人の情報が流出していると考えられる。
既に自分の名前や住所などの個人情報が全く同じ別人が、この世の中には存在するのかもしれない。
様々な個人情報の流出があり、そこにクレジットカード情報や銀行情報の流出があれば、誰でも
任意の人になりすまして金銭も搾取できる。
恐ろしい時代になって来ているが、一人一人の考え方や企業の考え方が変われば、少しでも被害を
最小化にすることができることを忘れてはならない。
サイトハッキングの依頼は、今回のマイナビだけが対象ではなく他のサイトにも予告がある。
公的機関のハローワークもその一つである。
もっと言えば全ての企業・団体が狙われているのである。
優秀な経営者とは、如何にリスク回避をして投資、回収するかではないだろうか?
過信せずもう一度冷静にゼロトラストの概念を考えてみてほしい。
---------------------------------------------------------------------------------
<参考URL>
マイナビ:2021/2/12
「マイナビ転職」への不正ログイン発生に関するお詫びとお願い
https://www.mynavi.jp/topics/post_29797.html
★SouthPlumeニュース:2021/1/25
日本の複数サイトに対するハッキング依頼発生‼
http://www.southplume.com/news20210125.html
読売新聞:2021/2/2
【独自】偽造在留カードの8割、「正規」の番号記載…国の照会サイトすり抜け
https://www.yomiuri.co.jp/national/20210202-OYT1T50146/?fbclid=IwAR3ui4UhSC2jAtGlkoe6gKGZm0ndKTGrL6N9iLhsmLocxcVlguvlruG46X4
ScanNetSecurity:2021/2/15
LINEお問い合わせフォームに複数の不正ログイン試行を確認
https://scan.netsecurity.ne.jp/article/2021/02/15/45185.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved