囲碁SNS goxi

日経新聞の情報ですが、社員個人を特定狙い撃ちする手口ですと、ネットが苦手の社員も居て情報対策の困難度は、非常に増すでしょうね。
イントラネットによるセキュリティ対策も、インターネットを併用する便利さとの兼ね合いで、こう言う穴が出来てしまうのでしょう。
原発ではありませんが、費用と安全のいたちごっこですね。





ソニー情報流出　侵入手口２つの可能性
「サーバー欠陥突く」「社員のパソコン乗っ取り」 （
　ソニーが運営するインターネット配信サービスにハッカーが侵入した。約7700万人と過去最大規模の個人情報が外部に流出した恐れがある。具体的な被害状況や侵入手口は不明だが、ネットワーク事業を核に据えて高い技術力を持つソニーが被害を受けたことは、ハッカーの手法が一段と高度化していることを示す。ネットを活用するあらゆる企業が個人情報保護対策の練り直しを迫られそうだ。




　ソニーグループでゲームを配信するプレイステーション・ネットワーク（ＰＳＮ）と、映画・音楽配信サービス「キュリオシティ」の登録会員全員で、最悪の場合7700万件の情報が流出した可能性がある。ネット配信サービスは米子会社ソニー・ネットワークエンタテインメントのサーバーで運用している。

　提供するサービスは無料やプリペイド（前払い）方式も多い。クレジットカードの情報を登録している会員は全体の半分以下とみられる。

　ソニーは21日に障害を把握してサービスを停止し、27日に情報を外部に公表した。公開に時間がかかった点についてソニーでは「膨大なデータを慎重に分析したため」としている。

　ＩＴ（情報技術）業界では「ソニーの安全対策が他社より特に劣っているとは考えにくい」との見方が強い。背景にはハッカーの侵入手法が一段と高度化していることがある。

　ソニーは詳細は不明としているが、専門家によると、侵入手法には大きく２つの可能性が考えられるという。

　１つはサーバーの欠陥を突いて外からカード情報などを引き出すケース。2009年に芸能事務所大手のアミューズが運営する通販サイトから３万件以上のクレジットカード情報が漏洩したのが典型例だ。被害は中小の通販サイトなどで多い。

　手口は巧妙になっているが、最近は米国のクレジットカード会社が漏洩を防止する手法を公表し、安全性が飛躍的に高まった。大手企業では対応が進みつつある。

■交流サイト悪用


特定の企業や組織を狙う標的型攻撃の例 発覚日時 攻撃対象
内 容
2010年
１月 米グーグルやヤフーなど
複数の手法を併用して攻撃。攻撃段階では知られていなかった欠陥などを利用した
６月 イランの原子力発電所
ＵＳＢメモリーなど使って感染を広げるウイルスを使って攻撃を試みた
11月 経済産業省
「大臣と外国要人の会談内容」と称するメールが約20人に届く
11年 
３月 未公表（複数の国内企業）
福島原発事故の情報を装った書類にウイルスを埋め込んでメールで送付
　もう一つは、サーバーを運営する社員のパソコンを狙い撃ちして「乗っ取り」、いわば内部から情報を盗んだ可能性だ。

　ハッカーはフェイスブックなどの交流サイトをもとに特定企業に勤める個人を割り出す。業務に関連する内容を装ったメールを送り、添付したウイルスを開かせ、感染させる。感染すればハッカーは外部からパソコンを自由に操れるようになり、社員の権限を使って社内情報を引き出すことができる。「標的型」とよばれる手法で、最近急激に増えているとされる。

　昨年１月には米グーグルなどがこの手法を使って中国から大規模なサイバー攻撃を受けた。企業内の個人を狙い、社内の機密情報を盗み出す「産業スパイ」の目的だったといわれる。「攻撃は確実に増えている」（トレンドマイクロの原良輔リージョナルトレンドラボ課長）が、特定の数人を対象にするため発覚しにくいのが特徴だ。

　米国では特定の社会・産業インフラを狙う「サイバー兵器」がすでに数千種類存在するとみられている。イランの原子力発電所が昨年、「スタクスネット」と呼ばれる特殊なウイルスでサイバー攻撃を受けた事件では、「大惨事に至る可能性があった」（ロシア当局者）という。

　米国は官民を挙げてネットセキュリティー（安全性）確保に向けた技術開発や監視活動に乗り出している。米軍が昨年発足したサイバー司令部の初代司令官、キース・アレクサンダー大将は「壁を作って守るという発想では、もはや守れない」と警告する。今回の事件を期に、日本企業は社内の情報保護対策の見直しが必要になりそうだ。