• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

齋藤 ウィリアム 浩幸(さいとう・うぃりあむ・ひろゆき)

起業家。インテカー代表取締役。内閣府本府参与科学技術・IT戦略担当

齋藤 ウィリアム 浩幸

1971年ロサンゼルス生まれ。カリフォルニア大学ロサンゼルス校(UCLA)医学部卒業。高校時代に友人と始めたI/Oソフトウェアをその後、生体認証暗号システムの大手企業に育て、マイクロソフトに売却。日本に拠点を移し、ベンチャー育成などを手掛けている。

◇主な著書
ザ・チーム』(日経BP) 2012
その考え方は、「世界標準」ですか? ~失敗をチャンスに変えていく5つの力』(大和書房) 2013
An Unprogrammed Life: Adventures of an Incurable Entrepreneur 』(Wiley) 2012

※このプロフィールは、著者が日経ビジネスオンラインに記事を最後に執筆した時点のものです。

経営者のための情報セキュリティー超入門

セキュリティー対策はコストではない

2014年6月9日(月)

 日本の経営者は米国で起きた「ターゲットの悲劇」をご存じだろうか。米国でもハッカーなどによる個人情報流出などは毎日のように起きているから、関係者も交通事故のように受け止め、やや感覚が麻痺していた。ところが、「情報セキュリティーのリスクも、ここまできたか」と経営者を最も震え上がらせた事件、それが米小売大手ターゲットが巻き込まれた深刻な事件だ。

ハッカー攻撃が原因でトップ解任

 ターゲットと言っても、日本では馴染みがないかもしれないが、売り上げ規模が全米5位という大手流通企業だ。その著名企業のCEOが今年5月、取締役会によって解任された。2008年からCEOを務めていたグレッグ・スタインハーフェルがその人だ。

 ハッカーによる攻撃で膨大な顧客の個人情報が流出して巨額の損失を出したことと、情報開示が遅れたことが解任の理由だった。

 ハッカーによる攻撃によって顧客データが流出し、情報開示が遅れ、事件が昨年12月に明らかになると同時に株価が下落するなど企業の信用が大きく毀損され、トップが解任されるという展開は、米国の有力企業ではたぶん初めてのことだと思う。

 報道では10代のロシア人が作成したとされるが、高校生でも作ることが可能な簡単なマルウエア(悪意のあるソフト)が、ターゲットの店舗にあるPOSデータに侵入して、顧客のクレジットカード情報を盗み出した事件だ。年末商戦を狙ったこともあり、4000万件のクレジットカードおよびデビットカード番号と、住所、電話番号など他の顧客情報7000万件も流出していた。

 ターゲットのケースでは、マルウエアは直接、ターゲットのシステムに侵入したのではなく、それとつながっていた空調会社のコンピュータシステムを経由して侵入している。なぜターゲットのシステムと空調会社のシステムがつながっていたのか。

空調会社の従業員にフィッシング・メール

 大手流通業ではコスト削減のため、各店舗の電力消費と室内温度を常時モニターしている。ターゲットの場合、ファジオ・メカニカル・サービスという空調会社にモニターを委託していた。そして、ターゲットはウェブサイトで取引会社の1社としてファジオの社名を公開していた。それが致命傷だった。結果的にハッカーに「ここから入って」と言わんばかりの余計な情報開示だった。

 ハッカーはまず、ファジオの従業員にマルウエアを仕込んだフィッシング・メールを送りつけた。ファジオのセキュリティーは脆弱だった。同社では企業向けのセキュリティーソフトは使わず、個人用のフリーソフトを使用していた。

 ハッカーはターゲットのネットワークへ侵入できる暗証番号を盗んで、マルウエアをターゲットのシステムに忍び込ませた。昨年11月15日のことだ。

 システムのセキュリティーを常時監視していたのは、米ファイア・アイのインド、バンガロールチームで、11月30日、ターゲットのミネアポリス本社のネットワークに何者かが侵入していると警告を発した。

 12月2日、ファイア・アイは再びターゲットに警告を発している。ファイア・アイのセキュリティー・システムには、マルウエアを発見次第、自動的に除去するというオプションがあったが、ターゲットはその契約をしていなかった。だから、手動で除去することになったのだが、ターゲットはすぐに行動に移さなかった。ぐずぐずしているうちに顧客データはどんどん盗まれ、外部へ流出した。

続きを読む

著者記事一覧

もっと見る

ビジネストレンド

ビジネストレンド一覧