こんばんは。今回は日本経済新聞での情報漏洩事故について書いてみることにします。こちらは朝日新聞の記事からです。
一連の経過が詳しく書かれています。自組織のことを客観的に書くことは難しいのではないか?という判断で、ここでは日本経済新聞の記事は除外しました。<(_ _)>
この記事にもあるように、標的型攻撃だったということのようです。8日の時点でウイルスが仕込まれていた添付ファイルが含まれるメールを受信したということだそうです。ウイルス感染したPCから12,000名強の個人情報が漏洩したとありますが、メール受信者はうっかり開いてしまったということになります。よく言われる「怪しいメールは開かないように」という台詞ですが、それだけ巧妙に書かれたメールだったということなのでしょう。そして、メールサーバなり、PCのウイルス対策ソフトで検知出来なかったというのは、従来の定義ファイルにはない新種のウイルスだったということなのでしょうか。(このへんはこの記事だけでは判断出来ませんが)
この記事からすると、「12,000人の個人情報は漏洩したが、管理職やシステム管理者までは突き止めることは出来なかった(または、分かったんだけど、次の攻撃を仕掛ける前に対策を打たれた)」という風に読めました。
社内LAN自体はトラステッドだと考えられているケースが多いです。「内部の端末やサーバは信頼する」という思想が根底にあります。現実問題、そこはある意味やむなしな面はあります。(そうしないと業務が回らないということは容易に想像がつきます)
問題はそこから先で「攻撃を受けてしまうことを前提に考える」ということですね。昨今、攻撃を受けることは避けられないので、「受けてしまったとして、どうやって漏らさないようにするか」「怪しい兆候を如何にして早く気付けるか」「仮に漏れてしまったとして、傷を最小限に抑えるにはどうすればいいか?」というあたりを意識したネットワーク設計にしておくことが重要であることが分かります。
「攻撃されないように鉄壁を構築する」ではなく、「攻撃されてるのは仕方ないので、その後の対応を迅速かつ的確に行うこと」の方が重要だという事例ですね。