infoMode

情報セキュリティからテクノロジー、お役立ち情報などを発信します。

情報セキュリティ会社アークンから情報漏えい、浮かびあがるセキュリティ対策の難しさ

情報セキュリティ会社から情報漏えい

マルウェア検知データベースなどを統合して高レベルな情報セキュリティ対策を施すソリューションを提供する、株式会社Ahkun(アークン)から4000社弱の顧客情報が漏洩したとのニュースが駆け巡っています。

スポンサーリンク

 

アークンは社外データセンターへの不正アクセスを認める公式文書を出し、盗み出された情報と引き換えに金銭を要求されていることを明かしました。漏れたのは会社名、担当者、メールアドレス、電話番号、住所という比較的オープンな内容ではあるようです。しかし、“このセキュリティベンダーを使っている”という情報も同時に漏れたことにもなります。

情報セキュリティソリューションを提供している会社が、不正アクセス被害?

まず理解すべきこととして、情報には多くの場合機密レベルがあります。例えば顧客のメールアドレスなどよりも、顧客との契約書などといった文書の方が機密性は高くなります。そういった意味で、情報セキュリティベンダーとはいえ“全ての情報に対して”厳重なセキュリティ対策を施していたかどうかは疑問が残ります。

しかしながら取引先情報というのはこの手のベンダーにとっては非常に重要度の高いものでもあります。それは例えば競合相手のベンダーだったり、取引先同士での競り合いだったり、使い道がないことはありません。

そうした情報を漏らしてしまったのは、一般の会社においても大きな不祥事ですし、情報セキュリティ対策を推奨、製品を提供する企業としては致命的ともいえるでしょう。会社のサービスに疑問符がつきかねません。

どのようにして起きたの?

公開されている文書からは推測することしかできませんが、インターネットからの不正アクセスとだけ発表されています。また、恐喝を受けていることから典型的なサイバー攻撃を受けたものだと推測されます。

つまり、スパムメールなどから不正なウェブサイトに飛んだ、添付をクリックしたなどという単純で人為的なミスから流出したわけではないのでしょう。

しかしながら1箇所抜け穴があれば複数あってもおかしくないのがセキュリティの常であり、しかも今回は脅迫文書を受け取るまで会社が不正アクセスの痕跡に気づかなかったということが公開文書からは読み取れます。

サイバー攻撃を防げなかったことはまだしも、不正アクセスの痕跡に気づかなかったというのはまずいでしょう。もし脅迫文書の代わりに、内部システムにバックドアが仕掛けられたりしていたら。更なる被害を出すような種がまかれていたとしたら。そしてそれらに気づかないままだったら。

情報は漏れるために存在する

もちろん、情報セキュリティソリューションを提供する企業の全従業員がスペシャリストかといえばそうではありません。しかし、一般の会社と比べてより高いセキュリティ意識が求められても仕方はないでしょう。

このニュースを目にした私達が強く意識すべきことは、“いかなる形であれ情報は流出できる”ことです。情報は生成された瞬間利用できる形になるわけで、その瞬間から漏洩のリスクに晒され続けます。やりとりできる情報である以上は絶対に漏洩しないと言い切れないのです。

もちろんこの漏洩事件がアークンの提供するソリューションの信頼性に大きく傷をつけることになるとは思えません。しかし、私達はいかなるセキュリティソフトやITソリューションサービスも“絶対の信頼”を置くことはできないと強く認識する必要があります。

セキュリティ対策も、サイバー攻撃の多様性についていけないことも当然あります。公開されていない、知られていない未知の脆弱性などあちこちに溢れており、いつゼロデイ攻撃されるか分からない状態にあるためです。どうしても対応が後手になってしまいがちなのが難しいところです。

まとめ

情報セキュリティ対策はすさまじく難しいものです。ありとあらゆるソフトやハードの脆弱性を知り尽くし、全ての侵入経路を把握し対策を講じることは現実的ではありません。

私達個人が理解しておくべきことは、たとえセキュリティサービスを提供する企業であっても顧客情報を漏洩させてしまうことを意識し、常に情報セキュリティ意識を高く持ち続けることです。

“私は大丈夫”というのは今時通用しません。漏洩してしまっては困るようなデータは全てハードコピーに移して保管などの対処をとるようにして、基本的にネットと繋ぐ機器には“中身が全て漏れても問題ない”ぐらいの対策をとるほうが安心できます。

流出を防ぐことができないのであれば、“流出してはまずい”情報を限りなく減らすことが早道です。この事件をきっかけに、より多くの人の情報セキュリティ意識が向上することを願います。

合わせて読みたい

スポンサーリンク