サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

日テレ個人情報漏洩事件から考える<未知の脆弱性への対抗策とは>

  • LINEで送る


画像:日本テレビHPより

日本テレビは2016年4月21日、同社のWebサイトが何者かによって不正アクセスを受け、最大で43万件の個人情報が流出したと発表しました

事件の経緯

img_12081_1

日本テレビによると、4月20日13時ごろに同社がWebのモバイルサイトで利用しているケータイキットと呼ばれるソフトウェアが不正アクセスによる攻撃を受けたとのことです。

この不正アクセスの結果、最大で43万件におよぶ個人情報(氏名、住所や電話番号など)が外部に流出した可能性が高いとのことです。

同社では翌21日の未明までに速やかに不正アクセスが行われる原因となった脆弱性のあるソフトウェアを削除して利用できなくするとともに、個人情報などのデータを別の安全な場所に移すといった対策を取ったとのことです。

併せて、被害を受けた関係者に対して連絡を取るほか外部の専門家による調査委員会を設置してさらなる原因の究明と再発防止策の実施に努めるとしています。

事件の原因(問題点)

この事件の原因としては日本テレビがモバイルサイトで利用していたケータイキットと呼ばれるソフトウェアに存在していた脆弱性です。

具体的には、「OSコマンド・インジェクション」と呼ばれるもので、閲覧者からの入力や操作が出来るWebサイトで、OSに対して操作できるような命令文を入れ込んで、不正な攻撃を加えるものです。例えば、Webサイトの閲覧者がリモートでサーバを操作するコマンドを入力し、サーバを乗っ取ってしまうような事例がそれです。

今回のケースでは、このOSコマンド・インジェクション攻撃の結果、ケータイキット上に不正な遠隔操作プログラムが設置され、それを利用してシステム内部を捜索し不正に情報が取得されています。まとめると今回のケースの問題点は以下の3つであると考えられます。

  1. ソフトウェアに存在した未知の脆弱性(ソフトウェアは最新版のv1.641)だった
  2. ソフトウェアがIPAに示されている安全なセキュリティ対策に基づいたものではなかった
  3. 不正な攻撃を防ぐことが出来なかった内部システムの防御態勢の問題

あらためて原因を考えてみると、ソフトウェアが十分なセキュリティ対策を講じていなかったこと、そして、内部情報にアクセスできないようにする十分な侵入防御の仕組みが十分にとられていなかった可能性が高いと考えられます。

漏洩した情報は何か

今回の事故の結果として外部に流出してしまった情報は、日本テレビの番組の視聴者がプレゼントやテーマ募集などに応募した際の下記個人情報です。

  • 氏名
  • 住所
  • 電話番号
  • メールアドレス

流出総数は最大で約43万件とのことです。

事件後の対応はどうだったのか

日本テレビは事件発覚後、すぐに問題のあるソフトウェアの利用の停止と削除を実施、および個人情報データを別のサーバに移動しています。併せて、個人情報の流出の可能性がある利用者への連絡を行うとともに、今後専門家による調査委員会を設置し、原因の究明と対策を進めていくとの方針を発表しています。

この結果は7月14日付で公表され、事件の詳細な経緯と原因、そして再発防止策について詳細な報告がなされています。

まとめ(筆者所感)

本件では、日本テレビがモバイルサイトで利用していたケータイキットと呼ばれるソフトウェアに含まれていた脆弱性が原因であると発表されています。

また、不正な攻撃を許してしまったネットワークの防御体制にも問題があったのではないかと考えられます。

事件が発生した原因としては、脆弱性を不正に悪用した「OSコマンド・インジェクション」と呼ばれる攻撃でケータイキットの未知の脆弱性が悪用されて、PCが遠隔操作されたことが挙げられます。

しかし、そもそも未知の脆弱性に対する防御が出来るようになっていれば、こういった事件は起こりえませんでした。やはり根本的な原因としては、未知の脆弱性が悪用された場合への対策が十分でなかったことではないでしょうか。

今回のケースに限らず、多くのセキュリティ事故について言えることですが、既知の脆弱性に対応するのはある程度対策をしっかりと行うことで可能ですが、未知の脆弱性に対応するのは難しい面があります。

しかし、不審な動きをするアクセスを遮断するなど、しかるべき対策を行うことで、こういった未知の脆弱性を利用した攻撃も確実に防いでいくことが必要です。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。