シェアオフィスの環境下における、セキュリティの注意点

こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します

・今回の解説ニュース
・広く普及しているシステムほど不正アクセスの標的となりやすい？
・シェアオフィスの環境下における、セキュリティの注意点

今回の解説ニュース

南海電鉄運営のシェアオフィス「Lieffice」公式サイトへの不正アクセス、顧客情報DBへ到達は不可能なため漏えいはないと判断 | ScanNetSecurity

ホームページに不正アクセスがあり、改ざんされてしまったということです。広く普及しているシステムが攻撃されるセキュリティリスクや、シェアオフィスを利用する際に気を付けるべきポイントについて説明します。

今回のインシデントは、公式ウェブサイトに外部から不正アクセスがあり、HTMLファイルの情報が書き換えられたことで、無関係のウェブサイトに自動転送される状態になっていたというものです。

原因として以下の２点が挙げられています。
・CMSの管理者アカウントのID及びパスワード設定が簡易であったため、比較的容易に不正アクセスできる状態になっていたこと
・広く普及しているCMSを利用していたため攻撃対象になりやすかったこと

対策として、当該サイトのメンテナンスを実施しましたが、公式ウェブサイトと顧客情報データベースはシステムの構造上分離しており、公式ウェブサイトへの不正アクセスでは顧客情報データベースに到達することは不可能なため、情報は漏えいしていないと判断されています。

再発防止策として、CMSを安全性が十分に確認されたソフトウェアに変更するとともに、パスワードを複雑化、加えて公式ウェブサイトに対し第三者による脆弱性診断を実施し、指摘のあった箇所については改修を実施したということです。

広く普及しているシステムほど不正アクセスの標的となりやすい？

広く普及しているシステムはサイバー攻撃を受ける可能性は高くなりますが、脆弱性の有無やセキュリティリスクとは比例関係にはないと考えます。

WordPressやEC-CUBEなど、広く普及しているシステムは、世界中で発生しているサイバー攻撃の分母が変わらないことを前提に考えると、インターネットに存在しているシステムの分子の内、多くを占めるシステムがサイバー攻撃を受ける確率は、必然的に高くなります。

ただし、システムに脆弱性が存在するか否かは別問題です。サイバー攻撃にさらされる結果、脆弱性が顕在化しやすい傾向にはあるものの、脆弱性の存在を知られることなく悪用される可能性も鑑みた場合、システムが抱えるセキュリティリスクとは比例関係にないと考えます。

その他のトピック

シェアオフィスの環境下における、セキュリティの注意点
(全文はこちら)

Voicyで毎週ニュース解説を配信中！