インターネットセキュリティシステムズ(ISS)は24日、個人情報保護法施行後の問題点と、ボットネットの新たな動向に関する記者懇談会を開催した。
● 保護対策にはリアリティが欠けているのではないか
|
ISSの最高技術責任者を務める高橋正和氏
|
ISSの最高技術責任者を務める高橋正和氏は、2005年4月に個人情報保護法が全面施行されて以降の状況を説明した。5月には個人情報保護法に基づく行政処分として、金融庁がみちのく銀行に対して個人情報の取り扱いに関する是正措置を勧告。また、金融庁では全国の金融機関に対して個人情報管理体制の一斉点検を求め、26.8%の金融機関で個人情報の紛失などが発覚したという。高橋氏はこれらの事案については「CD-ROMなどの紛失や誤って廃棄したとされるもので、むしろ金融機関であるがゆえに紛失していることが判明したのではないか」とした。
一方で、Winnyを通じて情報が漏洩する事件が後を絶たないとして、内部資料や個人情報などのほか、原子力発電所に関する情報などの流出も確認されており、今後さらに重要な機密情報が漏洩する可能性もあると危惧した。
高橋氏はこうした漏洩の背後には、「企業が導入したとする個人情報保護対策と、実際の業務にギャップが生じていることが多いのではないか」と分析。「例えばノートパソコンの持ち出しを禁止しても、業務内容や体制が変わっていなければ結局データを家に持ち帰って作業をしなければならず、そこから漏洩する。個人情報保護対策が実際の業務内容を反映していない、リアリティのないものになっているケースが多い」と指摘した。
また、個人情報保護法対策を進める上での問題点としては、企業の総務・企画などの部署と技術者の間にセキュリティコントロールのギャップが生じていることが多いと指摘。双方の部署が「技術のことはわからない」「法律的な問題はわからない」と言い合っている限りは対策に空白部分が残るとして、問題意識や対策に対する意識の共有が必要であると訴えた。
● サーバーを狙うボットネットも出現、活動はさらに潜伏化
|
ISSのシニア・セキュリティ・エンジニアの守屋英一氏
|
シニア・セキュリティ・エンジニアの守屋英一氏は、サーバーを狙った新たなボットネットの動向について説明を行なった。現状では、多くのボットネットがWindowsを対象としており、Windowsの脆弱性を利用して感染を拡げようとしているが、最近の新たな傾向としてはWebサーバーなどを狙ったものが確認されているという。
守屋氏は、4月に発生したアクセスログ解析ソフト「AWStats」を狙った攻撃と、10月に発生したPHPのXML-RPCの脆弱性を狙った攻撃を紹介。いずれも、外部から任意のコマンドが実行可能となる脆弱性で、これによりサーバー上で動作するボット用のプログラムをダウンロードさせ、サーバーマシンをボットとして悪用しようというものだ。
ISSの調査では日本でも多くの感染が確認され、全世界の感染数のうち、AWStatsを狙ったボットでは10%、XML-RPCを狙ったボットでは13%を日本が占めていたという。
また、特定の国を対象とした攻撃として、韓国製の掲示板ソフト「ZeroBoard」の脆弱性を狙ったボットの例を紹介。手口は前述の2件と同様に、脆弱性を利用してボット用のプログラムをダウンロードさせるもので、特徴としては9月8日~9日の2日間しか攻撃が検知されず、短期的に特定の対象を狙った攻撃と考えられると分析している。
守屋氏は、「依然としてWindowsを狙ったボットネットが多いが、一方では常に稼動しているサーバーを狙うことで、確実に感染を拡げようとするボットネットも今後増えてくると考えられる。また、ボットネットは数百台も感染すれば攻撃力として十分であるので、従来のウイルスのように大量に感染させようとすることが無くなっている」として、ボットネットはさらに潜伏化し、発見が困難になっていくのではないかと予測した。
関連情報
■URL
インターネットセキュリティシステムズ
http://www.isskk.co.jp/
■関連記事
・ 金融庁、顧客情報紛失のみちのく銀行に是正勧告~個人情報保護法で初の勧告(2005/05/20)
・ 287の金融機関で672万件の個人情報を紛失~金融庁とりまとめ(2005/07/22)
( 三柳英樹 )
2005/11/24 19:12
- ページの先頭へ-
|