• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

セキュリティー対策はコストではない

米国で起きた「ターゲットの悲劇」の教訓

2014年6月9日(月)

  • TalknoteTalknote
  • チャットワークチャットワーク
  • Facebook messengerFacebook messenger
  • PocketPocket
  • YammerYammer

※ 灰色文字になっているものは会員限定機能となります

無料会員登録

close

 日本の経営者は米国で起きた「ターゲットの悲劇」をご存じだろうか。米国でもハッカーなどによる個人情報流出などは毎日のように起きているから、関係者も交通事故のように受け止め、やや感覚が麻痺していた。ところが、「情報セキュリティーのリスクも、ここまできたか」と経営者を最も震え上がらせた事件、それが米小売大手ターゲットが巻き込まれた深刻な事件だ。

ハッカー攻撃が原因でトップ解任

 ターゲットと言っても、日本では馴染みがないかもしれないが、売り上げ規模が全米5位という大手流通企業だ。その著名企業のCEOが今年5月、取締役会によって解任された。2008年からCEOを務めていたグレッグ・スタインハーフェルがその人だ。

 ハッカーによる攻撃で膨大な顧客の個人情報が流出して巨額の損失を出したことと、情報開示が遅れたことが解任の理由だった。

 ハッカーによる攻撃によって顧客データが流出し、情報開示が遅れ、事件が昨年12月に明らかになると同時に株価が下落するなど企業の信用が大きく毀損され、トップが解任されるという展開は、米国の有力企業ではたぶん初めてのことだと思う。

 報道では10代のロシア人が作成したとされるが、高校生でも作ることが可能な簡単なマルウエア(悪意のあるソフト)が、ターゲットの店舗にあるPOSデータに侵入して、顧客のクレジットカード情報を盗み出した事件だ。年末商戦を狙ったこともあり、4000万件のクレジットカードおよびデビットカード番号と、住所、電話番号など他の顧客情報7000万件も流出していた。

 ターゲットのケースでは、マルウエアは直接、ターゲットのシステムに侵入したのではなく、それとつながっていた空調会社のコンピュータシステムを経由して侵入している。なぜターゲットのシステムと空調会社のシステムがつながっていたのか。

空調会社の従業員にフィッシング・メール

 大手流通業ではコスト削減のため、各店舗の電力消費と室内温度を常時モニターしている。ターゲットの場合、ファジオ・メカニカル・サービスという空調会社にモニターを委託していた。そして、ターゲットはウェブサイトで取引会社の1社としてファジオの社名を公開していた。それが致命傷だった。結果的にハッカーに「ここから入って」と言わんばかりの余計な情報開示だった。

 ハッカーはまず、ファジオの従業員にマルウエアを仕込んだフィッシング・メールを送りつけた。ファジオのセキュリティーは脆弱だった。同社では企業向けのセキュリティーソフトは使わず、個人用のフリーソフトを使用していた。

 ハッカーはターゲットのネットワークへ侵入できる暗証番号を盗んで、マルウエアをターゲットのシステムに忍び込ませた。昨年11月15日のことだ。

 システムのセキュリティーを常時監視していたのは、米ファイア・アイのインド、バンガロールチームで、11月30日、ターゲットのミネアポリス本社のネットワークに何者かが侵入していると警告を発した。

 12月2日、ファイア・アイは再びターゲットに警告を発している。ファイア・アイのセキュリティー・システムには、マルウエアを発見次第、自動的に除去するというオプションがあったが、ターゲットはその契約をしていなかった。だから、手動で除去することになったのだが、ターゲットはすぐに行動に移さなかった。ぐずぐずしているうちに顧客データはどんどん盗まれ、外部へ流出した。

コメント1件コメント/レビュー

ITセキュリティーはセキュリティーソフトを導入すれば、それで大丈夫とは言えない状況は正に「鼬ごっこ」と言える。セキュリティーソフトを売っている会社は、若しかしたら、売上げを伸ばす為に影でハッカーにサイバーテロを委託しているかも知れない、と勘ぐる位でないとITセキュリティーは守れない。この状態から抜け出すには、情報の重要度をランク付けし、最重要の情報については、ネットワークから完全に遮断する仕組みも考慮せざるを得ないと思う。当然、その事により利用者にとっては「不便」になる。然し、その利用者が自分の端末からマルウェアが侵入した事にすら気付かないのだから、仕方ない。顧客情報を例にとると、ネットワーク上は「顧客番号」だけで注文情報等との結び付けを行い、出荷の時には閉ざされた「重要DB」から一方通行で住所等を含む出荷伝票を発行する。顧客一覧の様な情報は、社内でも一般端末からはアクセス出来ず、ネットワークから遮断された部屋のダム端末でのみ照会出来る。紙への印刷は勿論、記憶端末へのコピーも出来ず、部屋への出入りは第三者による身体検査も含めて、厳重に管理される。こんなSFみたいな対策をしないと、「早期発見、早期対策」しかなくなる。この方法も有効ではあるが、テロリストから目を付けられたら、頻繁にシステムをダウンさせる事になり兼ねず、業務そのものが動かなくなってしまう。便利さだけを追求している限り、サーバーテロの危険から逃れる事は「不可能」だと考えるべきではないだろうか。(2014/06/09)

「経営者のための情報セキュリティー超入門」のバックナンバー

一覧

「セキュリティー対策はコストではない」の著者

齋藤ウィリアム

齋藤ウィリアム(さいとう・うぃりあむ・ひろゆき)

インテカー代表取締役

起業家。インテカー代表取締役。内閣府本府参与科学技術・IT戦略担当。1971年ロサンゼルス生まれ。カリフォルニア大学ロサンゼルス校(UCLA)医学部卒業。ベンチャー育成、政府のIT戦略などに関わる。

※このプロフィールは、著者が日経ビジネスオンラインに記事を最後に執筆した時点のものです。

日経ビジネスオンラインのトップページへ

記事のレビュー・コメント

いただいたコメント

ITセキュリティーはセキュリティーソフトを導入すれば、それで大丈夫とは言えない状況は正に「鼬ごっこ」と言える。セキュリティーソフトを売っている会社は、若しかしたら、売上げを伸ばす為に影でハッカーにサイバーテロを委託しているかも知れない、と勘ぐる位でないとITセキュリティーは守れない。この状態から抜け出すには、情報の重要度をランク付けし、最重要の情報については、ネットワークから完全に遮断する仕組みも考慮せざるを得ないと思う。当然、その事により利用者にとっては「不便」になる。然し、その利用者が自分の端末からマルウェアが侵入した事にすら気付かないのだから、仕方ない。顧客情報を例にとると、ネットワーク上は「顧客番号」だけで注文情報等との結び付けを行い、出荷の時には閉ざされた「重要DB」から一方通行で住所等を含む出荷伝票を発行する。顧客一覧の様な情報は、社内でも一般端末からはアクセス出来ず、ネットワークから遮断された部屋のダム端末でのみ照会出来る。紙への印刷は勿論、記憶端末へのコピーも出来ず、部屋への出入りは第三者による身体検査も含めて、厳重に管理される。こんなSFみたいな対策をしないと、「早期発見、早期対策」しかなくなる。この方法も有効ではあるが、テロリストから目を付けられたら、頻繁にシステムをダウンさせる事になり兼ねず、業務そのものが動かなくなってしまう。便利さだけを追求している限り、サーバーテロの危険から逃れる事は「不可能」だと考えるべきではないだろうか。(2014/06/09)

ビジネストレンド

ビジネストレンド一覧

閉じる

いいねして最新記事をチェック

閉じる

日経ビジネスオンライン

広告をスキップ

名言~日経ビジネス語録

夢の実現にあたっては強く「念ずる」。そうした心構えを支えにビジネスの世界の荒波を渡ってきました。

後藤 忠治 セントラルスポーツ会長