人気飲食店のホームページ改ざん被害、「不正アクセス」の定義とは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月24日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・一口に「不正アクセス」というが、そもそも不正アクセスは何を指すのか?
・不正遷移が行われるよう仕組まれたプログラム、その異常に気付くには
今回の解説ニュース
不正アクセスにより、ホームページが改ざんされてしまったということです。不正アクセスの定義や、ホームページが不正に改ざんされた際に気が付く方法について説明します。
今回のインシデントでは、アクセス時に不正なリダイレクトが行われ、正常に閲覧出来ない状態となっていました。原因として、各ブランドサイトへの不正アクセスが挙げられています。
対策として、サーバ内にあった不正プログラムを全て削除しています。再発防止策として、今後、セキュリティ対策を講じ、安心して利用できるよう努めるということです。
一口に「不正アクセス」というが、そもそも不正アクセスは何を指すのか?
不正アクセスとは、本来は権限を持たない人が、システムへアクセスする行為です。システムに放置された脆弱性や設定ミスが原因で、ホームページ改ざんやシステム停止、情報漏えいや踏み台行為に利用されることで、被害を受けた組織のブランドが棄損されることがあります。
例えば、Aさんが偶然、Bさんが使っているパスワードを知ったとします。Aさんが興味本位でそのパスワードを試してみたら、システムにログインすることができました。仮に、Aさんがすぐログアウトして、改ざんや削除など、一切何もしていなかったとしても、本来アクセス権限を持たないAさんがBさんのアカウントでログインをしていますので、立派な不正アクセスとなります。
不正アクセス行為の禁止等に関する法律、いわゆる不正アクセス禁止法では「何人も、不正アクセス行為をしてはならない」としており「これに違反した者は、3年以下の懲役又は100万円以下の罰金に処せられる」としています。また、他人のパスワード等を不正に取得する行為や不正アクセス行為を助長する行為なども禁止されています。
かつて、Webアプリケーションの脆弱性を利用してWebサーバのファイルへ不正にアクセスしたとして、脆弱性を指摘した元研究員が不正アクセス禁止法違反で起訴されています。元研究員は「Webアプリケーションにはアクセス制御機能がなく、不正アクセスにはあたらない。」と主張しましたが、管理者の想定している通常のアクセス行為とは異なるとして、有罪の判決が下されています。
その他のトピック