【ネット】企業サイトはハッカー天国…問題の本質は企業上層部の認識不足、「泥棒に入られたことがないからドアを開けておくようなもの」
ソニーのCEO(最高経営責任者)、ハワード・ストリンガー氏は今週、東京で開かれた年次株主総会で、ハッカーの攻撃を受けた
ことについて謝罪した。攻撃の影響もあってソニー株は過去3カ月間で24%下落し、ストリンガー氏の報酬は16%削減されることに
なった。一方で、犯人たちは陽気に船出していった。
■姿くらますハッカー集団
「良い旅を、と言う時が来た。我々が計画した50日間のクルーズは終わった」。ソニーやシティグループ、任天堂、米中央情報局
(CIA)、セキュリティー企業HBゲーリーフェデラルなどが運営するウェブサイトを攻撃した6人のハッカー集団「ラルズセキュリティー
(通称ラルズセック)」はこう書いた。
姿を消したのは賢明かもしれない。何しろ、ラルズセックと接点がある19歳の少年はロンドンでハッカー攻撃に関して告発され、
米連邦捜査局(FBI)はラルズセックの米国のメンバーを突き止めようとしている。
ラルズセックは単に楽しんでいるだけだと主張している。同グループは以前、サイト上に掲載したコメントで、「ここはインターネット、
達成感の刺激を求めて互いにだまし合う場所だ」と書いている。
■最小限の防御を突く若者たち
ハッカー攻撃に対するソニーの防衛はお粗末だった。4月以降、同社が運営する約20のサイトが侵害され、「プレイステーション・
ネットワーク(PSN)」は数週間にわたって閉鎖を余儀なくされた。被害額はおよそ1億7000万ドル。評判を落としたコストはもっと大きく、
優雅な引退を望むストリンガー氏の計画を遅らせることになった。
だが、ほかの企業もソニーと同様に、膨大な量の貴重な顧客データをオンラインデータベースに蓄積し、ウェブアプリケーションを
通じて外部と接触する世界への準備ができていない。各社はハッカー攻撃に対して以前よりずっと脆弱で、深刻な打撃を受けやすく
なっているのに、最小限の防御策しか講じていないのだ。
大半の攻撃を仕掛けているのは、クレジットカード番号を探す東欧のギャング集団でもなければ、米国の軍事請負会社に侵入
しようとする政府の支援を受けた中国人ハッカーでもなく、逮捕された男性のような青年だ。こうした若者は、先端的とされる企業の
防御を簡単に突破するという強迫観念にとりつかれている。
例えばHBゲーリーフェデラルやソニーのウェブサイトの欠陥を突いた攻撃「SQLインジェクション」とは、このようなものだ。ウェブサイトで
顧客が名前を記入するのに使うような標準的な入力枠に、ソフトウエアのコマンドを意味する文字列をハッカーが書き込むと、背後に
あるデータベースから情報を引き出せるのだ。
■「手を洗わない医者のよう」
これはロケット科学のような難解な技術からほど遠い。米国土安全保障省が今週出したセキュリティーの欠陥に関するガイダンス
では、「容易に検出可能」で安価に修復できる欠陥と評価されたほどだ。だが、企業サイトはこうした穴に満ちている。ハッカーは
ソフトウエアを使って一度に何千ものサイトをスキャンし、こうした穴を特定できる。
ガイダンスを共同執筆したハイテク企業サンズ・インスティチュートの調査担当ディレクター、アラン・ポーラー氏によれば、これらは
「極めて単純なプログラムエラーで、医者が手を洗わずに感染を広げるようなものだ」。
ソニーが気づかされたように、過去のソフトウエアのエラーを除去する作業は時間がかかり厄介だが、どれも企業の力が及ばない
ほどではない。
問題は意志の欠如、あるいは自社のソフトウエアにこれほど大きな穴があることに対する企業上層部の認識不足だ。「泥棒に
入られたことがないから、ドアを開けておくようなものだ。泥棒に入られて、ようやくカギをかけることを学ぶ」。ハッカーの標的にされた
ある企業は今週、筆者にこう話してくれた。
(以下略。全文はソース元でどうぞ)
ソース(日本経済新聞、2011年6月30日付 英フィナンシャル・タイムズ紙)
http://www.nikkei.com/news/category/article/g=96958A9C9381959FE1E2E2E19D8DE1E2E2E4E0E2E3E3E2E2E2E2E2E2;at=DGXZZO0195570008122009000000
ことについて謝罪した。攻撃の影響もあってソニー株は過去3カ月間で24%下落し、ストリンガー氏の報酬は16%削減されることに
なった。一方で、犯人たちは陽気に船出していった。
■姿くらますハッカー集団
「良い旅を、と言う時が来た。我々が計画した50日間のクルーズは終わった」。ソニーやシティグループ、任天堂、米中央情報局
(CIA)、セキュリティー企業HBゲーリーフェデラルなどが運営するウェブサイトを攻撃した6人のハッカー集団「ラルズセキュリティー
(通称ラルズセック)」はこう書いた。
姿を消したのは賢明かもしれない。何しろ、ラルズセックと接点がある19歳の少年はロンドンでハッカー攻撃に関して告発され、
米連邦捜査局(FBI)はラルズセックの米国のメンバーを突き止めようとしている。
ラルズセックは単に楽しんでいるだけだと主張している。同グループは以前、サイト上に掲載したコメントで、「ここはインターネット、
達成感の刺激を求めて互いにだまし合う場所だ」と書いている。
■最小限の防御を突く若者たち
ハッカー攻撃に対するソニーの防衛はお粗末だった。4月以降、同社が運営する約20のサイトが侵害され、「プレイステーション・
ネットワーク(PSN)」は数週間にわたって閉鎖を余儀なくされた。被害額はおよそ1億7000万ドル。評判を落としたコストはもっと大きく、
優雅な引退を望むストリンガー氏の計画を遅らせることになった。
だが、ほかの企業もソニーと同様に、膨大な量の貴重な顧客データをオンラインデータベースに蓄積し、ウェブアプリケーションを
通じて外部と接触する世界への準備ができていない。各社はハッカー攻撃に対して以前よりずっと脆弱で、深刻な打撃を受けやすく
なっているのに、最小限の防御策しか講じていないのだ。
大半の攻撃を仕掛けているのは、クレジットカード番号を探す東欧のギャング集団でもなければ、米国の軍事請負会社に侵入
しようとする政府の支援を受けた中国人ハッカーでもなく、逮捕された男性のような青年だ。こうした若者は、先端的とされる企業の
防御を簡単に突破するという強迫観念にとりつかれている。
例えばHBゲーリーフェデラルやソニーのウェブサイトの欠陥を突いた攻撃「SQLインジェクション」とは、このようなものだ。ウェブサイトで
顧客が名前を記入するのに使うような標準的な入力枠に、ソフトウエアのコマンドを意味する文字列をハッカーが書き込むと、背後に
あるデータベースから情報を引き出せるのだ。
■「手を洗わない医者のよう」
これはロケット科学のような難解な技術からほど遠い。米国土安全保障省が今週出したセキュリティーの欠陥に関するガイダンス
では、「容易に検出可能」で安価に修復できる欠陥と評価されたほどだ。だが、企業サイトはこうした穴に満ちている。ハッカーは
ソフトウエアを使って一度に何千ものサイトをスキャンし、こうした穴を特定できる。
ガイダンスを共同執筆したハイテク企業サンズ・インスティチュートの調査担当ディレクター、アラン・ポーラー氏によれば、これらは
「極めて単純なプログラムエラーで、医者が手を洗わずに感染を広げるようなものだ」。
ソニーが気づかされたように、過去のソフトウエアのエラーを除去する作業は時間がかかり厄介だが、どれも企業の力が及ばない
ほどではない。
問題は意志の欠如、あるいは自社のソフトウエアにこれほど大きな穴があることに対する企業上層部の認識不足だ。「泥棒に
入られたことがないから、ドアを開けておくようなものだ。泥棒に入られて、ようやくカギをかけることを学ぶ」。ハッカーの標的にされた
ある企業は今週、筆者にこう話してくれた。
(以下略。全文はソース元でどうぞ)
ソース(日本経済新聞、2011年6月30日付 英フィナンシャル・タイムズ紙)
http://www.nikkei.com/news/category/article/g=96958A9C9381959FE1E2E2E19D8DE1E2E2E4E0E2E3E3E2E2E2E2E2E2;at=DGXZZO0195570008122009000000
|
|
|
2 :名前をあたえないでください:2011/07/03(日) 14:18:04.34 ID:+VwQJyss
てすと
>>2
てすと
てすと