ロイヤルホームセンター公式サイトに不正アクセス、サーバ入れ替え 12/1 復旧
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」12月6日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・不正アクセス被害時に情報漏洩を少しでも減らすには
・不測の事態に備える為の「ディザスタリカバリ」という概念
ニュース解説
企業の公式Webサイトが不正アクセスの被害にあった経緯について発表されています。不正アクセスなど、不測の事態で被害を最小限に抑える対策について説明します。
今回のインシデントは、Webサイトの管理を委託する事業者から不正アクセスの疑いについて報告があり、専門会社が調査を行ったところ、何者かがWebサーバに侵入したことが判明したということです。インシデントの原因として、システム上の脆弱性を悪用されたことが挙げられていますが、具体的な脆弱性の内容については公表されていません。また、対策として、Webサイトを停止して外部からのアクセスを全て遮断したということです。
再発防止策として、継続的に専門事業者のアドバイスを受ける等して、セキュリティ対策及び監視体制を強化すると発表されています。なお、12月1日にWebサイトの運用は再開されています。
不正アクセス被害時に情報漏洩を少しでも減らすには
不正アクセスがあった際に、情報漏洩を少しでも減らす方法として、不要な情報は持たせないことと、要件の異なるシステムと切り分けることが考えられます。それぞれについて説明します。
不正アクセスの被害にあってしまった場合、そのサーバに保存されているファイルはすべて閲覧されてしまう可能性があります。Webサーバであれば、Webアプリケーションのソースコードに書かれた内容はすべて読み取られてしまうと考えた方がよいでしょう。その際に、ソースコードに不要な情報が書かれていると、そこから情報が漏えいしてしまう可能性があります。例えば、ソースコードのコメントには、開発者が残した様々な情報が書かれています。コメントは開発者が情報共有するために必要な機能ですが、不要な機密情報が残されていると、そこから情報が漏洩してしまい、そのような事例が実際に発生しています。
また、不正アクセスの被害にあったシステムと要件の異なるシステムがすべて同じサーバ上に構築されていた場合、脆弱性が存在していないシステムも不正アクセスの被害を受けてしまう可能性があります。具体的には、公式Webサイトと会員サイトが同じサーバ上に構築されていた場合、公式Webサイトに個人情報がなかったとしても、同じサーバ上に構築された会員サイトから個人情報が漏洩してしまう可能性があります。
今回のインシデントを例にとると、個人情報を保持するWebサイトは別のシステムを使用していたので、今回の影響はないと発表されています。
その他のトピック
不測の事態に備える為の「ディザスタリカバリ」という概念
不正アクセスだけでなく、自然災害など不測の事態に備えるために、ディザスタリカバリという概念があります。ディザスタリカバリについて説明します。(全文はこちら)