 |
 |
記事検索 |
最新ニュース |
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
個人情報保護対策と実際の業務とのギャップが漏洩の原因~ISS |
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
||||||||||||
|
インターネットセキュリティシステムズ(ISS)は24日、個人情報保護法施行後の問題点と、ボットネットの新たな動向に関する記者懇談会を開催した。 ● 保護対策にはリアリティが欠けているのではないか
一方で、Winnyを通じて情報が漏洩する事件が後を絶たないとして、内部資料や個人情報などのほか、原子力発電所に関する情報などの流出も確認されており、今後さらに重要な機密情報が漏洩する可能性もあると危惧した。 高橋氏はこうした漏洩の背後には、「企業が導入したとする個人情報保護対策と、実際の業務にギャップが生じていることが多いのではないか」と分析。「例えばノートパソコンの持ち出しを禁止しても、業務内容や体制が変わっていなければ結局データを家に持ち帰って作業をしなければならず、そこから漏洩する。個人情報保護対策が実際の業務内容を反映していない、リアリティのないものになっているケースが多い」と指摘した。 また、個人情報保護法対策を進める上での問題点としては、企業の総務・企画などの部署と技術者の間にセキュリティコントロールのギャップが生じていることが多いと指摘。双方の部署が「技術のことはわからない」「法律的な問題はわからない」と言い合っている限りは対策に空白部分が残るとして、問題意識や対策に対する意識の共有が必要であると訴えた。 ● サーバーを狙うボットネットも出現、活動はさらに潜伏化
守屋氏は、4月に発生したアクセスログ解析ソフト「AWStats」を狙った攻撃と、10月に発生したPHPのXML-RPCの脆弱性を狙った攻撃を紹介。いずれも、外部から任意のコマンドが実行可能となる脆弱性で、これによりサーバー上で動作するボット用のプログラムをダウンロードさせ、サーバーマシンをボットとして悪用しようというものだ。 ISSの調査では日本でも多くの感染が確認され、全世界の感染数のうち、AWStatsを狙ったボットでは10%、XML-RPCを狙ったボットでは13%を日本が占めていたという。 また、特定の国を対象とした攻撃として、韓国製の掲示板ソフト「ZeroBoard」の脆弱性を狙ったボットの例を紹介。手口は前述の2件と同様に、脆弱性を利用してボット用のプログラムをダウンロードさせるもので、特徴としては9月8日~9日の2日間しか攻撃が検知されず、短期的に特定の対象を狙った攻撃と考えられると分析している。 守屋氏は、「依然としてWindowsを狙ったボットネットが多いが、一方では常に稼動しているサーバーを狙うことで、確実に感染を拡げようとするボットネットも今後増えてくると考えられる。また、ボットネットは数百台も感染すれば攻撃力として十分であるので、従来のウイルスのように大量に感染させようとすることが無くなっている」として、ボットネットはさらに潜伏化し、発見が困難になっていくのではないかと予測した。 関連情報 ■URL インターネットセキュリティシステムズ http://www.isskk.co.jp/ ■関連記事 ・ 金融庁、顧客情報紛失のみちのく銀行に是正勧告~個人情報保護法で初の勧告(2005/05/20) ・ 287の金融機関で672万件の個人情報を紛失~金融庁とりまとめ(2005/07/22)
( 三柳英樹 )
- ページの先頭へ-
|
