深刻化しているセキュリティ事故、注目を集めているセキュリティニュースのベスト3を取りまとめました!

 

f:id:PentaSecurity:20170809142545j:plain

 

皆さん、こんにちは。

今回のペンタストーリーでは最近話題になっている「セキュリティ事故」について、そしてその対策についてセキュリティ専門家ペンタセキュリティが解説いたします。

 

今年は特にセキュリティ事故が多かったのですが、その中でも注目を浴びた最新のセキュリティニュースを紹介します。

 最大15万5000件の不正アクセス被害で、

クレジットカード決済を中止させたB.LEAGUE



(▲ B.LEAGUEの事件報告)


一番目は、ぴあが運営する「B.LEAGUEジャパン・プロフェッショナル・バスケットボールリーグ)」の不正アクセス事件です。4月25日、ぴあは不正アクセスがあったことを公表し、最大約15万5000件の個人情報と約3万2000件のクレジットカード情報が流出したとお伝えしました。その後、カード番号が悪用され、不正な利用被害を受けたユーザーは約197件で、被害金額は630万円だったそうです。

外部調査機関へ事件を依頼したところ、3月7日から15日間、ウェブサーバーやデータベースサーバへの不正アクセスの痕跡を検知したという報告がありました。また、この事件は、アプリケーションフレームワークである「Apache Struts2」の脆弱性を悪用したと言われています。ウェブサイトの脆弱性を狙ったとても恐ろしい事件でした。

ぴあは、その後、クレジットカード情報の非保持化セキュリティ対策である「ウェブアプリケーションファイアウォールWAF)」を設置し、24時間体制のシステム監視システムを導入したそうです。また不正に使われた金額やクレジットカード再発行はぴあから補償を実施しました。

マネースクウェア・ジャパン

顧客情報約11万件の流出

 

f:id:PentaSecurity:20170809091554p:plain

引き続き、最近話題になった不正アクセス事件です。

外国為替取引サービス企業である「マネースクウェア・ジャパン」は、7月17日、外部からの不正アクセスが発生した可能性をお知らせしましたが、その後、追加調査を行い、一年前から断続的にその被害を受けていたことが明らかになりました。また、口座開設当時の初期パスワードが漏洩した可能性もあることをお知らせしました。

現在、不正アクセス対策としてマネースクウェア脆弱性対策の強化、定期的なアクセスログのモニタリング方法の見直し、また情報セキュリティに対する教育を実施する予定だそうです。

 

総務省、情報セキュリティ専門政策局の新設

 

f:id:PentaSecurity:20170809094353g:plain


最後のセキュリティニュースは、総務省サイバー攻撃対応強化の政策です。

来年の春、「情報セキュリティ政策局」を開設される予定です。8月1日、行われた会見によると、統計やマイナンバーなど総務省内の情報システム部門を一つにするという計画があると発表しました。

今まで総務省は、多くのインターネットユーザーのため、セキュリティに対する認識を高める対案を実施してきましたが、今回新設される情報セキュリティ局によりに、その体制を強化する予定だそうです。

 

上記のセキュリティニュースは全部、7月以来のニュースです。日々ハッキング手口は高度化され、その対策を講じるのは今にも続いています。どう解決すればいいのでしょうか。どうすれば、日々深刻化しているサイバー攻撃から抜け出すことができるでしょうか。

 

答えは「WAF」です。

見覚えがある単語だと思いましたか?セキュリティニュースの一番目で紹介した、ぴあの対策案の一つです。WAFは、ウェブアプリケーション脆弱性を悪用した攻撃からウェブアプリケーションを保護するソフトウェアまたはハードウェアです。外部から行われる攻撃を事前に遮断し、マルウェア防止やウェブが持つ脆弱性を防御します。

WAFは最新の攻撃パターンを分析し、それに対する適切な処理を行います。不正ログインやWebサイトの偽・変造防止、また情報流出防止など、セキュリティの全般的な役割を担当します。

 

最近は、低費用・短期間導入ができる「クラウド型WAFが大人気です。企業や行政機関などで社内システムをクラウドに転換している中、クラウド型WAFハードウェア購入とかサーバ構築が必要ないため、負担を減少することができるのです。 

 

ペンタセキュリティが提供する「クラウドブリック(Cloudbric)」は、ウェブサイトに対するセキュリティ対策を統合したクラウド型WAFサービスです。グローバルからその技術力を認められたクラウドブリックは、1)アカウント生成 ▶ 2)ドメイン入力 ▶ 3)DNS設定 三つの段階だけて運用できるセキュリティ初心者にやさしいサービスです。

 

もし、プロセスが簡単だからといって、完璧にサイバー攻撃を遮断できないのではないかと疑問を持っているのであれば、ご安心ください。クラウドブリックは、ペンタセキュリティが独自開発した論理演算検知エンジンを活用しているので、知らされている攻撃パターンや未知の攻撃パターンも知能的に遮断します。

 

 

益々深刻化しているサイバー攻撃

事前に対策を準備して、ウェブサイトを安全に保護しましょう。

 

 

クラウドブリックの詳しい情報はこちらから確認できます。