今回の年金機構の漏洩問題、 標的型攻撃というタイプの攻撃だったんです。
標的型攻撃の目標となってしまってはセキュリティのプロである私でもいつかは引っかかってしまうと思います。
記者会見の場面で気になったのが
「内規ではファイルはパスワード保護を掛けることになっているのだけど守られていなかった」
ということ。
経験的に 内規やルールによる保護というのは全くあてになりませんし、うっかりなのか故意なのかはともかく
漏洩してしまえば経営に関するインパクトは同じなんです。
標的型攻撃とゼロデイ攻撃とを合わせて攻撃されてはITに詳しくない年金機構の職員ならひとたまりもないでしょうね。
こういう時には 人間系に頼らないセキュリティ対策が必要です。
例えば 今回の場合、感染したPCは外部から自由に操作できるような状態にされていました。
なので ネットワーク的に防御できたのではないかと考えます。
現在 年金機構がインターネットとの接続を遮断しているのはインターネットとの接続点を強化したいという思いがあるのかなと
思います。
いずれにしても
操作する人が何もしなくてもファイルを暗号化したり
外部からの操作を自動検知して遮断する
というような仕掛けが必要なんですね。
大企業ならこんな投資なんて簡単ですけど うちは規模が小さいからなぁ。という方、
また、マイナンバーの配布まで僅かになりました。これも取り扱いに注意が必要です。
ご相談ください。
コメント