2005年も情報セキュリティに関する話題には事欠かない1年だった。2005年のキーワードとしては,「情報漏えい」「SQLインジェクション」「フィッシング」「ボット(ボットネット)」「スパイウエア(キーロガー)」---などが挙げられるだろう。本稿では月ごとの「セキュリティ関連記事ヒット数ランキング」をもとに,2005年のセキュリティを振り返った。
1月のトップ5 ボット登場
1位 インターネット上の新たな脅威「ボット(bot)」に気をつけろ!
2位 今年もだまされないようにしよう
3位 情報漏えい事件で最も多い原因は?
4位 Microsoft,スパイウエア対策ソフトのベータ版を公開
5位 MSが無償のウイルス駆除ツールを公開,Windows Updateから利用できる
 ボットネットの概要 [画像のクリックで引用記事へジャンプ] |
2月のトップ5 巧妙化するフィッシング
1位 米Microsoftのセキュリティ・ソフト,その実力は?
2位 pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?
3位 Windowsなどに危険なセキュリティ・ホールが多数,早急にパッチの適用を
4位 フィッシング詐欺とカード偽造事件
5位 国内のWebサーバーがフィッシングに悪用される,関係者は「全く気付かなかった」
 UFJ銀行をかたる偽メール [画像のクリックで引用記事へジャンプ] |
国内ユーザーを狙うフィッシングも出回り始めた。国内企業をかたった日本語の偽メールが多数確認されるようになった。国内サイトが乗っ取られて,フィッシング用の偽サイトが知らない間に構築されるケースも増えている。セキュリティの甘いサイトを狙って不正侵入し,ディレクトリの一つに偽サイト用コンテンツを置く。
セキュリティ・インシデントに関する日本の窓口となっているJPCERTコーディネーションセンター(JPCERT/CC)には,海外のセキュリティ組織や企業から「偽サイトが日本のサーバーで運用されているので閉鎖してほしい」という連絡が頻繁に寄せられているという。
3月のトップ5 今さらながらの事件が相次ぐ
1位 「paypаl.com」と「paypal.com」,違いが分かりますか?---IDNによるURL偽装問題
2位 大事な情報を“公開”していませんか?
3位 新潟大の成績情報流出,PDFファイルが検索サイトのキャッシュに
4位 メール・マガジンの運用は甘くない
5位 UFJ銀行をかたったフィッシング・メールが出回る
3月は,「大事な情報を公開サーバーに置いていたために検索サイトに“拾われた”」「ウイルスを添付したメール・マガジンを送ってしまった」---といった,今さらながらの事件が相次いだ。こういった事件を起こすと,当事者(顧客など)に被害を与えることはもちろん,その企業/組織のセキュリティ意識の低さを広く知らしめることになる。ネットでビジネスを展開している企業にとっては致命傷になりかねない。高価なセキュリティ装置の導入を検討するのも結構だが,その前に今一度,公開用サーバーやメール・マガジンなどの運用状況や手順を確認すべきだ。
4月のトップ5 ウイルス対策ソフトで障害
1位 トレンドマイクロ事件、7時間超のロングラン会見も「テスト漏れ原因は不明」
2位 Windows Updateの偽サイト出現、フィッシングの可能性
3位 トレンドマイクロが24日に再び緊急会見,「XP SP2環境ではテストせず」
4位 トレンドマイクロのチェン社長,「給与を594円にして責任を取る」
5位 「ウイルスバスター」のパターン・ファイルに不具合、大規模パソコン障害が発生
 トレンドマイクロの記者会見の模様 [画像のクリックで引用記事へジャンプ] |
5月のトップ5 SQLインジェクションが“大流行”
1位 カカクコムは情報をきちんと公開すべきだ
2位 価格.comがハッキングで閉鎖、閲覧者にウイルス感染の可能性も
3位 修正しているそばから改ざん、価格.comが生々しく状況説明
4位 「トレンドマイクロ事件」で考えたこと
5位 カカクコムがサイト閉鎖の経緯を説明,「当初は対策ソフトの多くが未対応,ウイルスを確認できず」
 カカクコムの記者会見の模様 [画像のクリックで引用記事へジャンプ] |
SQLインジェクション攻撃は“ピンキリ”で,高度なものになると専門家でも防ぎきれない場合があるという。企業や組織としては,できる限りのセキュリティ対策を施すことはもちろんだが,万全を期しているつもりでも侵入を許す可能性がある。このため侵入されないための対策だけではなく,適切な事後対応が企業や組織には求められる。
