[エンタープライズセキュリティを実現する3つの条件、全方位から迫る攻撃による情報漏洩を防ぐ]

【条件3】顧客およびサービスインフラへの攻撃を防ぐ

2015年8月5日(水)相原敬雄（ジェムアルト IDP事業部メジャーアカウントセールス担当ディレクター）

リスト

サイバー攻撃の対象は企業内のシステムだけにとどまらない。既に、顧客や顧客にサービスを提供するためのサービスインフラまでもが対象になっている。クラウドやモバイル、IoT（Internet of Things:モノのインターネット）といった新しいテクノロジーやコネクテッドサービスが生まれ、データ量の爆発的な増加や環境の複雑化に伴い、セキュリティホールや脆弱性も増える。エンタープライズセキュリティの第3の条件は、顧客およびサービスインフラへの攻撃を防ぐことである。

　サイバー犯罪者は、企業のWebサイトを乗っ取るために容赦なく執拗な攻撃を仕掛けてくる。悪意あるソフトウェアを埋め込み、常にセキュリティの抜け穴を探っている。まずは、顧客やサービスインフラへの攻撃とは何を指しているのかを理解いただくために、いくつかの実例を紹介する。

実例1＝一般的なゲームサイトや人気のあるWebサイトへの攻撃

　オンラインゲームサイトは、マルウェアの感染を狙うハッカーによく利用されており、プレーヤーにはリスクが高い場所だ。マルウェアは、ブラウザや基本ソフト（OS）の様々な脆弱性を突き、従来のセキュリティソフトウェアやファイアウォールを回避し、悪意あるダウンロードを実行させたりクリック広告に感染させたりする。

　プレーヤーが、これらのリンクをクリックすれば、ハッカーはプレーヤーの認証情報を盗み、仮想通貨やポイントを不正に現金化するだけでなく、機密データを含むネットワークへ完全に侵入できるようになる。ゲームサイトを運営している企業は、不正ログインやアカウントの乗っ取り、不正な現金化といった行為に対する予防措置を講じなければならない。

　人気のあるWebサイトも、ゲームサイト同様にマルウェアの感染に利用される。例えば先頃、米Forbesのサイトで発生した「Thought of the Day」のリンクを通じたハッキングがその1例だ（関連記事）。専門家によれば、Forbesサイトへの標的型攻撃は、米国内の防衛および金融業界のネットワークへのアクセスが目的である。

この記事の続きをお読みいただくには、
会員登録（無料）が必要です