DZoneに過去10年間の5つの、防げたはずのサイバーセキュリティインシデント事例が掲載されていました。
dzone.com
※機械翻訳なので文章が少し読みづらいのはご容赦ください。
1.Equifaxにはサイバーレスポンスプランがなく、1億4800万人のユーザーが料金を支払う
歴史的な2017年のEquifaxデータ侵害は、 1億4800万人のユーザーに影響を及ぼしました。米国下院監視委員会の報告書によると、それは「完全に予防可能」でもありました。
何よりもまず、会社のIT部門内での通信ミスにより、300のセキュリティ証明書が見過ごされてしまい、Equifaxは暗号化されたネットワークトラフィックを監視できませんでした。
第二に、 重要な脆弱性は、パッチ管理の内部問題のために145日間修正されずに残っていました。この脆弱性により、攻撃者は境界を突破することができましたが、19か月間有効期限が切れたセキュリティ証明書は、検出されずにデータを盗みました。
Equifaxのみが適切なデータ衛生を実践し、セキュリティ違反への対応手順を実施していれば、このすべてを防ぐことができました。代わりに、同社は2016年に侵害を発見した後でも、何もしないことを選択したと言われています。
後で1億4800万件のレコードが盗まれたため、ユーザーは数年前に簡単に防ぐことができたサイバーセキュリティスキャンダルの代価を支払わなければなりませんでした。
キタきつね補足
Apache Struts2の脆弱性、日本ではGMO-PGやぴあ他、様々な企業が影響を受けましたが、米国ではEquifaxが最大の被害を受けました。とは言え、GMO-PGよりも侵害を受けた時期は遅く、パッチ当て(最新化)があまりにも遅かった事から被害が拡大したのは間違いありません。
Equifax事件は、やらないCEOへの警鐘 - Fox on Security
2.マリオットは何年もデータ侵害を無視し、5億人の個人情報が盗まれます
2018年11月30日、マリオットはそのスターウッドホテル予約データベースの違反についての彼らの顧客に警告し始めました。データベースから盗まれたデータには、5億人以上のゲストの名前、電話番号、電子メールアドレス、生年月日、パスポート情報が含まれていました。
Marriottによると、攻撃は2014年に開始され、2018年9月まで検出されず、攻撃者にデータをサイフォンで送信するまでに少なくとも1441日を与えました。その間ずっと、Marriotは顧客に警告し始めるまで2か月以上この情報を利用していました。
サイバーセキュリティの専門家によると、これはすべて回避できたはずです。マリオットは、スターウッドのPOSシステムにマルウェアを仕掛けてクレジットカードデータを盗んだのと同じ攻撃者による小さな侵害を報告した2015年以降、攻撃について知っていた可能性があります。
会社がもう少し綿密で、独自のサイバーセキュリティレポートをフォローしていた場合、犯罪者は2015年に巻き戻された可能性があります。残念ながら、5億人にとってはそうではありませんでした。
キタきつね補足
企業買収があった際には、買収される企業のセキュリティ状況まで調査対象にするべきである、この事件の後、そう言われるようになった気がします。(買収によりシステム統合が発生する場合は、統合される側のセキュリティ体制が脆弱=あまり投資されなくなる、のも原因かも知れません)
マリオットホテルの事件の4Qコストは31億円 - Fox on Security
マリオットが1億ドル訴えられる - Fox on Security
3. Facebookはユーザーパスワードの暗号化を忘れ、6億人を危険にさらす
別の月、別の回避可能なFacebookサイバーセキュリティスキャンダル。しかし、この特定の事件は信じられないほど思われるかもしれません。どうやら、Facebookは 何億ものユーザーパスワードをプレーンテキストで Amazonクラウドサーバーに保存 していたようです。長年。パスワードをプレーンテキストで保持し、サーバーにアクセスできるすべてのユーザーが読み取れるようにすることは、現在のユーザー資格情報を保存するための恥ずかしいほど安全ではない方法です。
これらのパスワードを最新の暗号化プロトコルで保護することにより、不正な攻撃者がAmazonクラウドサーバーにアクセスした場合でも、Facebookはユーザーの資格情報が侵害されないようにすることができました。残念ながら、大規模な監視という特殊なケースでは、Facebookが基本的なサイバーセキュリティプロトコルの遵守を拒否した結果、ソーシャルメディアの巨人にとっては別のスキャンダルが発生しました。
キタきつね補足
クラウドの意図しない情報公開、AWSが多いのですが、一昨年辺りから多くの事件が報じられています。Facebookですらセキュリティ対策が出来てない(パスワードの平文保存)のだから、最近勢いがあるFinTech企業やユニコーン企業も潜在的に危ないと言えるかも知れません。
AWSサービスの進化 - Fox on Security
AWSは以前から警告を発している - Fox on Security
4. Bodybuilding.comの従業員がフィッシングメールに応答し、最大900万のアカウントがハッキングされる
結局のところ、どの組織のサイバーセキュリティ防御も、テクノロジーに精通していない従業員のものと同程度にしか強力ではありません。企業の大規模なサイバーセキュリティスキャンダルを解き放つデータ侵害は、クリックするだけです。
適切なケース:2018年7月にBodybuilding.comのスタッフに送信された単一のフィッシングメール。少なくとも1人のチームメンバが感染したメッセージで倒れ、最大で900万件のアカウントレコードが盗まれた可能性があります。
繰り返しますが、これは発生する必要はありませんでした。このような見落としはママとポップショップにとっては許されるかもしれませんが、2019年のオンライン企業にとって潜在的なサイバーセキュリティの脅威について従業員を教育しないことは考えられません。また、トップ企業がマルウェア攻撃に費やす平均コストが240万ドルであることを考慮すると、サイバーセキュリティトレーニングも経済的に実行可能な選択肢です。
キタきつね補足
この事件は知りませんでしたが、フィットネスとボディビルダーの方のオンラインサイトでの2019年4月のデータ侵害事件の様です。従業員が450人だった事を考えると従業員教育にもっと力を入れていれば(安く)防げた可能性が高いですし、そもそもフィッシングで大量の機密データを窃取できてしまうセキュリティ体制自体にも問題があったと思います。
Bodybuilding.com Breach: Proof That An Organization's Biggest Cyber Risk Is Its People
5.世界はソフトウェアの更新を忘れ、攻撃者はそのデバイスの身代金を握る
2017年5月12日に、無数の政府職員を含む世界中の何十万人もの人々がコンピューターの電源を入れましたが、ビットコインで300ドルを要求する身代金メモは、無反応の画面から彼らを見つめています。
その理由は、すべての被害者がオペレーティングシステムを最新の状態に保っていなかったためです。その結果、既存のセキュリティパッチによって自動的に撃退されるべき攻撃は、そのデジタルペイロードを何十万ものデバイスに配信しました。
悪名高いWannaCryランサムウェア攻撃が示したように、「明日を思い出させる」ボタンを頻繁にクリックすると、(ハードドライブに保存されているすべてのデータとともに)誰かのデバイスが今日ハイジャックされる可能性があります。実際、ソフトウェアの更新が延期されるたびに、攻撃者は脆弱性を特定して利用するためにさらに24時間の猶予があります。
キタきつね補足
最後はWannaCryです。古いOSやソフトウェアの脆弱性を攻撃者は常に狙っている。そう考えてパッチ当て(最新化)を常に心がける事の重要性は改めて言うまでもありませんが、パッチを当てられないシステムに対して、例え閉域網であったとしても、攻撃を受ける事を想定して対応を考えておくべきと、WannaCry(その後の亜種も含め)は教えてくれた気がします。
日立のWannaCry被害を改めて考えてみた。 - Fox on Security
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴
