本日の記事では、2013年に発生した最も深刻なデータ漏えいのトップ10を要約し、攻撃者がいかに様々な実証済みの手段を用いて企業環境への侵入に成功しているかを説明することを目的としています。このような状況は、それに対抗するセキュリティ防御技術を生み出すと同時に、新たな攻撃手段を防御に成功させるためのコストを増加させる可能性があります。
ハッカーがサイバーセキュリティ防御ソリューションの技術革新に影響
革新的なサイバーセキュリティ製品は、組織に迫る重大なセキュリティ問題を解決するために設計されていますが、その技術革新のペースに影響を与える要因はさまざまです。組織は、技術チームの開発決定を支援し、導くことができます。また、コンプライアンス要件は、常に新しい技術の推進力となっています。ホワイト・ハッカーは、セキュリティの脆弱性を調査・探索するために懸命に働き、サイバー犯罪者は、防御を弱体化させるために働きますが、どちらも何らかの形でセキュリティ製品のライフサイクルに貢献しています。
本日の記事では、2013年に発生した最も深刻なデータ漏えいのトップ10を要約し、攻撃者がいかに様々な実証済みの手段を用いて企業環境への侵入に成功しているかを説明することを目的としています。このような状況は、それに対抗するセキュリティ防御技術を生み出すと同時に、新たな攻撃手段を防御に成功させるためのコストを増加させる可能性があります。
10.ゼンデスクのデータ流出
Zendesk は、さまざまなオンラインビジネス向けにカスタマーサポートポータルを提供する専門企業です。同社によると、今回のセキュリティ侵害により、Twitter、Tumblr、Pinterestのユーザー数千人にメールアドレスとサポート情報の流出が発生しました。
昨年2月に発生したとされるこのインシデントは、当初はサードパーティ・ベンダーのエラーによって引き起こされましたが、すぐに波及し、同社はユーザーに対し、メールアドレスや特定の個人データが危険にさらされる可能性があることを警告するに至りました。セキュリティ専門家によると、このデータは悪意のある人々によって、無防備なフィッシング攻撃を組織するために使用される可能性があるとのことです。
[]
9.CorporateCarOnline違反
リムジン・レンタル予約ソフトのメーカーであるCorporateCarOnline社は、昨年9月に深刻なシステム侵害に見舞われ、その結果、8500万人以上の顧客の個人情報が流出しました。この侵害により、有名人を含む数千人のクレジットカード情報も流出しました。この事件はまた、特定の非構造化データの機密性を浮き彫りにし、個人の行動や日常生活が攻撃者に悪用される可能性があることを顧客に警告しました。
攻撃者は、Adobe ColdFusion のセキュリティ脆弱性を悪用してデータにアクセスしました。この事件は、機密データを処理するためにサードパーティ・ベンダーと協力することに伴う潜在的なリスクを示すとともに、システムを常に保守し、最新のセキュリティ・パッチでアップデートする必要性を再認識させるものです。
8.フェイスブックのデータ流出
昨年6月、フェイスブックは約600万人のユーザーが、ソフトウェアのバグによりメールアドレスと個人電話番号の漏えいをうっかり受けていたことを明らかにしました。同社は、情報漏洩が発生してからソフトウェアコードのバグが最終的に修正されるまでに1年の空白期間があったと主張。
友達リストから連絡先データをダウンロードしたフェイスブックのユーザーは、本来そこにあるはずのない余分な情報を得ることになる、と同社は説明しています。このセキュリティ問題が発見されると、フェイスブックは24時間以内に修正を完了しました。
同社はまた、社内のセキュリティ・インシデントにも見舞われています。昨年2月、フェイスブックは複数の従業員のノートパソコンからマルウェア感染を検出しました。これは、危険なモバイル開発者向けウェブサイトを閲覧したソフトウェア開発者を特に狙った卑劣な攻撃でした。
7.Drupal.Orgデータ侵害
オープンソースのコンテンツ管理システムとして人気のあるDrupalは、自社サーバーでのデータセキュリティ侵害が発覚した後、Drupal.orgウェブサイトの全ユーザーのパスワードをリセットすることを決定しました。 Drupalは、何千ものブログやウェブサイトをサポートするバックエンドプラットフォームです。
同社によると、攻撃者はDrupal.orgのサーバーインフラにインストールされたサードパーティソフトウェアのセキュリティ脆弱性を狙いました。漏洩したデータには、ユーザー名、電子メールアドレス、国情報、ハッシュ化されたパスワードが含まれていました。この事件は昨年5月に発表され、影響を受けたアカウント保持者の数は数百万人に上る可能性があります。同社は、この事件を受けてセキュリティ対策を更新し、Apache Webサーバーの保護を改善したと述べています。
6.リビングソーシャルのデータ流出
eコマースの新興企業であるLivingSocialは、昨年4月、5000万人のユーザーに影響を与えるデータ漏洩に見舞われたと発表しました。攻撃者は、ユーザー名、パスワード、電子メールアドレス、アカウント所有者の誕生日などのデータにアクセスすることができました。
セキュリティの専門家は、今回のLivingSocialのデータ流出が業界全体に対する警鐘であると警告しています。新興企業は資金が限られているため、効果的な防御メカニズムを組織できないことが多く、このことがもたらす潜在的なリスクはセキュリティ担当者の共通認識となっています。ほとんどの企業は、中核となる製品の開発、マーケティング活動への投資、そして最後にセキュリティに存在する可能性のあるギャップや欠点への対処という順番で業務に優先順位をつけています。幸いなことに、同社は、クレジットカード・データの処理に使用されるトランザクション決済システムをサポートするために分離されたネットワークを利用しながら、PCI準拠を維持しています。
5.エバーノートのデータ流出
モバイル・データ・ストレージ企業のエバーノートは、昨年3月、システム侵害が発覚した後、5,000万人のユーザーのパスワードをリセットしました。同社はまた、強力なパスワード以外の方法でユーザーを認証できるように設計された二要素認証サポートプログラムの導入に着手しました。
同社によると、セキュリティチームは、制限された企業ネットワークにアクセスしようとする包括的な手段を用いた攻撃活動を検知したとのことです。セキュリティの専門家は、Evernoteの強力なインシデント対応能力を、同社が常に侵害状況に備えて万全を期していることの証明として指摘しています。幸いなことに、エバーノートは一方向暗号化、ハッシュ化、ソルト化などのメカニズムを使ってパスワードを保護しているため、コンテンツのクラックはさらに困難になっています。
セキュリティの専門家は、企業はパスワードの漏洩が起こりうる事態であることをもっと認識すべきであり、ユーザーに強力なパスワードを採用し、パスワード管理ソリューションの利用を検討するよう促すべきだと警告しています。
[]
4.MongoHQデータ侵害
MongoHQのデータセキュリティ侵害は、数百のクラウド契約者に直接影響を与え、間接的に影響を受けた契約者の数は数万になる可能性があります。同社は、MongoDB NoSQLデータベース管理システムのためのデータベース・アズ・ア・プラットフォーム・サービスの販売を専門としています。漏洩したデータには、メールアドレス、ハッシュ化されたパスワード、その他の顧客アカウント情報が含まれていました。
しかし、この情報漏洩の核心は、攻撃者が被害者の Amazon Web Services S3 ストレージアカウントを侵害し、MongoHQ の顧客データベースの一部にアクセスできたという事実です。昨年10月に正式に発覚したこのデータ漏洩は、同社の内部サポートアプリケーションに関連するセキュリティ管理の失敗が原因で発生しました。同社によると、この問題は、ある従業員が漏洩した個人アカウントにパスワードを入力した際に発生したとのこと。セキュリティの専門家が繰り返し警告しているように、セキュリティ機器の設定ミスや基本的なセキュリティ機構の不備は、深刻な情報漏えいにつながる可能性があります。
3.ターゲット社のクレジットカード情報流出
捜査当局は、ターゲット社のクレジットカード情報流出の実際の範囲をまだ特定しようとしています。この情報流出により、少なくとも4000万枚のクレジットカードとデビットカードが流出しました。攻撃者は、ホリデーショッピングシーズンが始まって以来活動しており、その手口は、2007年のTJX流出事件、ハートランド・ペイメント・システム、スーパーマーケットチェーンのハンナフォード・ブラザーズなど、過去のクレジットカード流出事件を彷彿とさせます。これらの侵害の中心で、攻撃者は最も基本的なセキュリティの脆弱性を悪用しました。
攻撃者がどのようにアクセスしたかを推測するのに十分な詳細はまだありませんが、この事件は、ペイメントカード業界とそのデータセキュリティ基準に再び注目が集まりました。セキュリティの専門家は、PCI-DSSは特定の業界が効果的に独自の調整を行うための指針となる標準化されたモデルになっていると指摘しています。この一連の基準は、機密性の高い決済システムを保護するために従わなければならない一連の最小限の実施手順を強調しています。この基準は、個々のペイメントブランドによってさまざまな方法で実施されています。今回の違反が、より厳格な実施基準や違反に対する罰則を検討するきっかけになるかどうかは、まだわかりません。
[]
2.ニューヨーク・タイムズのデータ流出
昨年、ニューヨーク・タイムズ紙は内部システムの侵害に見舞われ、ハッカーに継続的なアクセスをコントロールされました。インタビューによると、コンピュータ・フォレンジック調査官は、サイバー犯罪者はカスタムツールを使用して一連の攻撃を行ったと述べています。捜査当局は現在、2人のジャーナリストに最大の注意を向けています。
この事件により、政府主導のサイバースパイ活動の謎が正式に解明され、その結果、ハッキング集団の背後にあるリソースの供給がより複雑になりました。これに加えて、この事件は、積極的なネットワーク監視の必要性、強力なパスワードの重要性、機密データを保護するために隔離されたシステムを使用することの価値など、重要なセキュリティのベストプラクティスのいくつかに、より直接的に焦点を当てるのに役立ちました。攻撃者は、包括的な侵入を実行し、すべてのニューヨーク・タイムズ社員のハッシュ化されたパスワードのデータベースを保持するドメイン・コントローラにそれをプッシュするために、数十のカスタムマルウェアを使用しました。
[]
1.ブーズ・アレン・ハミルトン - NSAデータ漏洩事件
エドワード・スノーデン元政府職員による国家安全保障局(NSA)の監視プログラムに関する情報流出は、重要なシステムやプロセスの保守を担当する従業員の厳格な審査が、データの安全性を確保する上で重要であることを証明するものであると、セキュリティ専門家は述べています。スノーデン氏は、高度に機密化されたセキュリティ・クリアランスに関わる約50万人の請負業者の従業員の一人でした。彼は、履歴書にいくつかの問題があったにもかかわらず、最終的にブーズ・アレン・ハミルトンに採用されました。彼はハワイにある国家安全保障局での仕事に対し、年間12万2000ドルの報酬を得ていました。
