ヤフーは5月17日、最大2200万件のIDが流出した可能性があると公表した。JR東日本、NTT東日本、カルチュア・コンビニエンス・クラブ、ポータルサイト「goo」のNTTレゾナント、「JINS」ブランドの眼鏡を製造・販売するジェイアイエヌなどが、この3月以降にサイバー攻撃の被害に遭った。

 巧妙さを増すサイバー攻撃を、完全に防ぐ手立ては存在しない。今や常識は一変した。「サイバー攻撃は防げない」ことを前提に、1分、1秒でも早く被害の拡大を食い止める「事後対応」の力を高めることが求められている。

(浅川 直輝)

◆三つの新常識で被害を最小化
◆失敗しない体制作りの勘所

【無料】特別編集版(電子版)を差し上げます 本記事は日経コンピュータ5月30日号からの抜粋です。そのため図や表が一部割愛されていることをあらかじめご了承ください。本「特集」の全文は、日経BPストアの【無料】特別編集版(電子版)で、PCやスマートフォンにて、6月5日よりお読みいただけます。なお本号のご購入はバックナンバーをご利用ください。

三つの新常識で被害を最小化

 ログインの失敗件数がいつもより多いな――。2013年4月1日夜、ポータルサイト「goo」を運営するNTTレゾナントの運用担当者が、ユーザー認証に使われるgooIDの異常に気がついた。不正なログイン要求は日常的に起きているのだが、「今回はその規模が大きすぎた」(NTTレゾナントの空一弘危機管理室長)。

 システム部門がアクセスログを分析したところ、特定のIPアドレスから1秒当たり30件を超す機械的なログイン要求があったことを確認。「サイバー攻撃のターゲットにされていることは明らかだった」(同)。

 それから30分後の同日12時には、空室長が「危機管理体制」の立ち上げを宣言。社長や役員のほか、広報、法務、サービス担当、カスタマーサポート担当、渉外担当などを招集した。

 そして、危機管理チームは異例の決断をする。攻撃の手口や影響範囲が分からない状態だったが、アカウントのロックや攻撃を受けていることの公表に踏み切ったのだ。「原因究明を待っていたら被害は拡大する。ユーザーを保護できることは、少しでも早く実施すべきと判断した」(空氏)。

 3日18時には、不正ログインが疑われる3万1372のアカウントをロック、19時には不正アクセスを受けたことを広く公表した。翌4日17時に、gooIDユーザー全員に対して、パスワード変更依頼のメールを送信。9日には、4月3日以降にパスワード変更をしていない全アカウント(約1800万ID)をロックし、パスワードを変更しないとサービスを利用できない処置を講じた。

 こうした対策を打った結果、「個人情報の漏洩や金銭的被害などは確認できていない」(NTTレゾナント広報)という。同社は「セキュリティ事故は防げない」という前提で、危機管理体制を用意していた。もし、それがなかったとしたら、問題はもっと深刻化していただろう。

続発するサイバー攻撃

 サイバー攻撃の脅威が急拡大している。2013年3月以降だけで、サイバー攻撃や不正アクセスといった「インシデント(セキュリティ関連の問題)」が国内外で10件以上も起きた()。

表●2013年3月以降に発生した主なサイバー攻撃/不正アクセス問題
[画像のクリックで拡大表示]
表●2013年3月以降に発生した主なサイバー攻撃/不正アクセス問題

 ヤフーは5月17日、最大2200万件のIDが漏れた可能性があると公表した。その1カ月ほど前には、流出はしなかったもののパスワードなど約127万件が抽出されるインシデントが起きていた。

 「JINS」ブランドでメガネを製造・販売するジェイアイエヌは、通販サイトが改ざんされ、2059人のクレジットカード情報などが漏洩した。ディノスの通販サイトでは、約1万5000アカウントで不正ログインが発生した。

 これらの企業の多くは、セキュリティ対策を疎かにしていたわけではない。それでもサイバー攻撃や不正アクセスにより、事業に多大なダメージを受けてしまった。

 サイバー攻撃による被害を抑えるために有効な策を素早く講じるには、私たちはサイバー攻撃に対する認識を根本から改める必要があるといえる。

 これまでのサイバー攻撃対策の常識は、「水際で完全に防ぐ」「被害を受けた攻撃の手口は企業秘密」「被害範囲などが分かってから顧客に伝達」というのが常識だった。だが、今は違う。ユーザー企業やセキュリティベンダーなどの取材から浮かびあがってきたのが、三つの「新常識」だ。

続きは日経コンピュータ5月30日号をお読み下さい。この号のご購入はバックナンバーをご利用ください。