シンガポールのビジネス情報サイト AsiaXビジネスTOPなぜ大規模な情報漏洩が起きたのか?

企業IT・システム相談

2011年6月6日

Q.なぜ大規模な情報漏洩が起きたのか?

Webサイトのセキュリティ、ソニーからの大規模個人情報の漏洩、自社のサイトは大丈夫?

背景にはハッカーとの確執等が語られるが、基本的にはオンラインゲームおよび関連する会員管理等を行うWebアプリケーションを動作させるための基本ソフト(オペレーティングシステムおよびWebサーバソフト、データベース)の一部にある脆弱性を突かれ、管理者権限でシステムに入り込まれたことによる。これらの脆弱性に対する修正プログラムはリリースされていた。なぜ、適応されなかったのか。

 

オンラインゲームのような大規模Webアプリケーションでは、修正プログラムの適応により、Webアプリケーションに不具合が発生することがある。そのため、Webアプリケーションを提供しているところでは、修正プログラムを適応しても問題がないかどうかをテスト環境でチェックし、問題が無いことを確認した後、実際に稼働しているシステムに適応する。Windowsでは、修正プログラムのリリースは基本的に月1回、すべてのマイクロソフト製品についてまとめて行われる。一方、Linux環境では、オープンソースの性格上、各コンポーネントの修正プログラムは、ばらばらにリリースされる。リリースされる毎にテストしていると大幅なコストアップになってしまう。ある程度まとめてテストを行うことになる。いずれにせよテストから実サーバへの適応まである期間危険な状態になる。

 

Q.  オンラインゲーム特有の状況と言えるのか?

オンラインゲーム特有の状況ではない。クラウドシステム上でWebアプリケーションを提供しているところも同様の問題を抱えている。オンラインショッピングやその他の個人情報の登録を求めるサイトも安全性に問題のあるところが多い。完全に安全だと言えるサイトは存在しない。サイトを運用する側も利用する側もその点を考慮しておく必要がある。

Q.  自社サイトでは顧客情報等の登録を求めているが注意すべき点は?

サーバおよびサーバにアクセスして管理を行うクライアントPCのセキュリティ管理をしっかり行うことが重要。クライアントPCからサーバにアクセスするためのパスワードが流出することもある。Webサーバ上に個人情報、クレジット情報等を置かないのが一番だ。置く必要がある場合は暗号化を行う。

 

自社サーバではなく、外部のホスティング会社を利用している場合はより注意が必要。シンガポール内のほとんどのサイトは、セキュリティについてホスティング会社まかせだ。Webサイトの作成会社とWebサイトの運営会社が異なる場合は尚更注意が必要。セキュリティ確保には両社の連携が重要となる。

Q.  自社Webサーバが安全かどうかを調べることはできるか?

ある程度の目安は簡単に得られる。「Netcraft Uptime Survey」よりサーバで使用されているOSの種類、Webホスティングで使用されているソフトの種類、バージョンを調べることができる。

 

あるサイトを調べると、OS はLinux、WebサーバソフトはApache/2.2.3と出てくる。Apacheの最新版は2.2.18だ。2.2.15から2.2.18間でもセキュリティに関する修正は10件以上。2.2.3のリリース時期は2006年7月なのでホスティング会社は何もしていないと思われる。Windows系のサイトでも、すでにマイクロソフトがサポートを終了しているWindows 2000が使われているようなサイトは危険だ。個人情報等を登録するようなサイトを持つ会社は、定期的に点検すべきだ。登録するユーザ側でも登録前にチェックしてみると良いだろう。

 

Webサイトの脆弱性は、情報の漏洩のみならず、サイトに悪さをするマルウェアを埋め込まれたり、詐欺サイトへのリンクを仕込まれたりする危険もある。Webサイトを作成する場合は、Webアプリケーションのみならず、その動作環境についても、セキュリティへの配慮が必要だ。

この記事は、シンガポールの日本語フリーペーパー「AsiaX Vol.190(2011年06月06日発行)」に掲載されたものです。
取材協力=Huminte Pte Ltd 川田 康廣
本記事は一般的情報の提供のみを目的として作成されており、個別ケースについて、正式な助言なく、本情報のみに依存された場合は責任を負いかねます。

おすすめ・関連記事

シンガポールのビジネス情報サイト AsiaXビジネスTOPなぜ大規模な情報漏洩が起きたのか?