• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

三輪信雄「ここが変だよみんなの対策」

基本的な対策を見直そう

三輪 信雄=S&Jコンサルティング代表取締役 2011/05/10 PC Online

 ソニー・コンピュータエンタテインメントのゲーム機向けオンラインサービス「PlayStation Network(PSN;プレイステーション・ネットワーク)」および映画・音楽配信サービス「Qriocity」の情報漏洩に続き、米ソニー・オンライン・エンタテインメント(SOE)が管理・運営しているシステムの情報漏洩が問題となりましたが、7日には新たにソニーの米国子会社ソニー・エレクトロニクスのWebサイトから約2500人分の個人情報が漏洩したと報じられました。報道によると、5日の午後にハッカー交流サイトで指摘されていることを発見して削除したとのことですが、実際に個人情報の入ったExcelファイルが削除されたのは、私の知る限りでは6日になってからです。

 この報道でハッカー交流サイトとされる掲示板が最初にこの問題を指摘したのではなく、Twitterで情報セキュリティの専門家が5日の夕方に指摘した、ある脆弱性が掲示板に転載されたのがきっかけでした。その脆弱性は、Webアプリケーションのソースコードが丸見えになっているというものでした。Webアプリケーションのソースコードが見えなくするのは基本的な設定作業で、必ず実施するものです。なぜなら、ソースコードが見えてしまうと、データベースへのアクセス方法や場合によってはパスワードまでもが露呈してしまい、泥棒に金庫の場所とアクセスコードを渡すようなものです。

 Twitterでつぶやかれたすぐ後には、掲示板にそのWebアプリケーションへのURLが掲載されました。そのURLをクリックすると誰でもソースコードを見ることができました。するとたちまちそのソースコードが解析されてしまい、そのソースコードの中に問題のExcelファイルの名称があったのです。そのExcelファイルへの直接のURLが掲示板に掲載され、6日未明には海外のハッカー情報サイトに掲載されました。それから間もなく、リンク先のWebアプリケーションとExcelファイルはサーバーから削除されました。プレイステーション関連では、2000年にもWebサイトから情報が漏洩しています。このときも初歩的な脆弱性を突かれ、誰でも他人のデータを閲覧できるようになっていました。

 さらに、7日夕方には、前述の掲示板で海外のソニー関連サイトのXSS(クロスサイトスクリプティング)の脆弱性が公開されました。XSSへの対策は、入力値や出力値のチェックを行えばいいのですが、これは今ではWebアプリケーションを開発する上では基本であるとされています。高度なテクニックではなく、特に大企業や大手通販サイトでは常識とされるレベルです。その他にも様々な脆弱性が情報セキュリティ専門家らの手によって発見されて情報処理推進機構(IPA)などの機関に報告されているようです。

 5月1日には1週間後をめどにPSNとQriocityの一部のサービスを再開するとしていましたが、7日には延期が発表されました。ここ数日間の動きから、これからも脆弱性が指摘されたり情報漏洩につながる攻撃が行われたりすることが想定されたためでしょう。早急に建て直しを図り、日本を代表する企業として、これ以上の日本ブランドの失墜を避けるという意味でも、基本的な対策はもちろん、期待されるレベル以上のセキュリティ対策を講じて頂きたいと思います。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【波乱のエネルギーIT】

    RPAにすがりたい電力業界、膨らむ事務処理に機運高まる

     銀行や製造業などで導入が相次ぐソフトウェアロボット「RPA」。中国電力IT子会社のエネコムがRPAのクラウドサービスの提供を開始した。RPAツールの導入支援を手がけるシステムインテグレーターやコンサルティング会社は増えているが、クラウドサービスは珍しい。実は、電気事業とソフトウェアロボットは相性が…

  • 【NRI楠真 強いITはココが違う】

    ハイタッチからノータッチへ、変わるIT営業

     年末年始と挨拶まわりに忙しい季節です。日本の企業文化に根付いている年始の挨拶まわりは、トップ営業にとって重要なタイミングです。ところが、あるITベンダーの営業がこんなことを言っていました。「米国の本社からは、ハイタッチどころかノータッチで営業しろって言われているんですよ」

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る