データベース セキュリティ・コンソーシアム (DBSC)
DataBase Security Consortium 
第4回 |
2012/12/03 |
|
DBSC運営委員 北野 晴人 日本オラクル株式会社 1)感染・遠隔操作に至ったPCの1つは、ある企業の社内PCであり、攻撃者には会社名と個人名もわかっている。 2)このバージョンからファイル転送の機能が付いたため(ちゃんとバージョンアップして機能追加している)攻撃者は社内用のファイルをいくつか持ち出して読んでいる。 今回のケースでは、この業務用ファイルやパソコン内の他の企業情報に攻撃者が関心を持たなかったので事なきを得ていますが、そうでなければ企業情報の漏洩事件に発展していた可能性があるということです。 また「ダウンロードしたファイルからマルウエアに感染し、本人の知らない間にパソコンが遠隔操作されて、別の不正行為の踏み台となっている」という方法は、近年話題の標的型攻撃と同じ図式だとも言えます。標的型攻撃というとメールを思い浮かべる方が多いと思いますが、侵入方法はUSBメモリやダウンロードファイルなど様々なものがあり、実際に海外では「フリーソフトをダウンロードして使ったらマルウエアに感染、社内に広がり、外部から侵入されて数千万人分の個人情報を盗まれた」とされる事例が報告されています。 こうした問題が起きた場合、攻撃者が「盗みたい」情報はどこにあるのでしょうか?盗みたい情報とはすなわち価値のある情報(お金に換算できるものと、できないものがあるでしょう)ということになりますが、概ね2つの形態、文書などのファイルとして保管されているか、構造化された大量のデータとしてデータベースに格納されているか、のどちらかではないでしょうか。 したがって標的型攻撃であろうと、遠隔操作ウイルスであろうと、企業の内部ネットワーク側に侵入し、外部から制御可能になったとしたら、それを足がかりにデータベースのデータ・ファイル(暗号化されていなければ解析できる)をごっそり持って行かれる可能性があります。また何らかの形で認証情報を盗まれ、データベースにログインされてSQLを使って情報を盗まれることも十分考えられます。 こうした事態は報道されないだけで、既に水面下で起きているかもしれないと、データベースのセキュリティを考えている我々は危惧しています。 標的型攻撃で被害を受けた、ほとんどのケースでは何らかの管理者権限を奪われていました。だからこそ、万一侵入されて内部ネットワーク側から攻撃されても情報を守れるようにデータ・ファイルを暗号化し、アクセス制御を厳密に行うことをお勧めしているのです。 もしもいずれかのパソコン、サーバなどの管理者権限を奪われたとしても、データベースサーバにこれらの対策をしっかりと実施してあれば、かなりの確率で機密情報を守りきることができると考えています。 |
| ■DBSCについて | ||||||||||||||||||
|
||||||||||||||||||
| ■DBSCからの情報発信 | ||||||||||||||||||
|
||||||||||||||||||
| ■ワーキンググループについて | ||||||||||||||||||
|
||||||||||||||||||
| ■各種案内 | ||||||||||||||||||
| ||||||||||||||||||
| ■会員専用ページ | ||||||||||||||||||
|
||||||||||||||||||
| ■入会案内 | ||||||||||||||||||
|
||||||||||||||||||
| ■事務局連絡先 | ||||||||||||||||||
DBSC事務局 |
||||||||||||||||||
|
Copyright(C),2004-2013 DataBase Security Consortium