(写真:123RF)
本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。
特集
動かないコンピュータ14連発
目次
-
Strutsの脆弱性でサイト閉鎖が続出、「サポート切れ」の危うさを振り返る
大型連休を目前にした2014年4月28日、情報処理推進機構(IPA)は4月29、30日に予定していたITパスポート試験の中止を決めた。オープンソースソフトウエア(OSS)の開発フレームワークである「Apache Struts 1」に、脆弱性が見つかったのがきっかけだ。
-
バーコード決済に潜むワナ、いま参考にすべきdポイント不正利用事件
NTTドコモの共通ポイント「dポイント」で不正利用が発覚した。2018年8月のことである。加盟店サイトが不正アクセスを受け、dポイントのポイント残高が盗み見られた。残高の大きなdポイントカード番号が狙われ、商品の購入に使われた。NTTドコモは9月10日に同番号約3万5000件の利用を停止した。
-
7pay問題に揺れるセブン&アイ、6年前にも情報流出を引き起こしていた
セブンネットショッピングは2013年10月、同社のEC(電子商取引)サイトがなりすましによる不正アクセスを受け、最大15万件のクレジットカード情報が流出した恐れがあると発表した。被害ユーザーを特定できなかったことから、約150万人のユーザーに警告を出す事態となった。
-
IT試験の受験者情報が漏れた昨年の事件、排他制御をかけ忘れた理由
情報処理推進機構が主催するIT試験の会員サイトから個人情報が漏洩した。団体受験した企業が自社の受験者リストをダウンロードすると、他社の受験者情報が混入するトラブルが起こった。排他制御をかけ忘れるという初歩的なミスがあった。複数の企業がほぼ同時に操作した時に限って表面化するバグが原因だった。
-
情報漏洩の公表まで5カ月かかった国立大学の謎、2年前の事件を検証
大阪大学で不正アクセスによる個人情報の漏洩が発生した。攻撃者は学内システムの管理者権限を奪って7万人の個人情報を盗み、さらに盗んだ情報でメールシステムに不正ログインした。事態の判明から5カ月経って公表した対応スピードに批判の声が上がった。
-
「Struts2」の脆弱性を突かれた2年前の事件、日本中で情報流出相次ぐ
JavaのWebアプリケーションフレームワーク「Apache Struts2」に2017年3月6日、外部から不正にサーバーを操れる脆弱性が見つかり、7日には攻撃が始まった。開発元の米アパッチソフトウエア財団は8日、脆弱性を解消した最新版の公式提供を開始。だが東京都と住宅金融支援機構から合計で約72…
-
仮想通貨の採掘ソフトを仕込まれ、Web予約が2カ月停止したトラブル
九州商船がWeb予約システムを2カ月にわたり停止した。原因はシステムへの不正アクセスだ。攻撃者はサーバーの脆弱性を突いて仮想通貨の採掘ソフトを埋め込んだ。その結果、CPUの負荷が100%に高まりサービスを提供できなくなった。詳細な調査結果を速やかに公開するなど事後対応には評価できる面があった。
-
不正アクセスで第三者が勝手にポイント交換、3年前の電力会社事件の全貌
東北電力の顧客向け会員制Webサービス「よりそうeねっと」で不正アクセス被害が発覚。14万人いる会員のうち1956人のIDへ何者かがログインし、540人の同サービスのポイントが勝手に交換された。
-
不正送金で2000億円被害、世界が震撼した7年前の事件を検証
メガバンクなど国内3行のインターネットバンキングで2012年10月から11月にかけ、総額420万円が不正に引き出される事件が発生した。欧米では似た手口で既に2000億円規模の被害を出した。正規の銀行サイトで発生した事件を前に、金融機関各社の対策は急務だ。
-
「通信の秘密」を侵害された8年前のスマホ大障害、携帯大手の誤算
NTTドコモが大規模な通信トラブルを2カ月に二度発生させた。音声通話やデータ通信が利用できなくなる障害では252万人に、メールアドレスが他人のものと入れ替わる障害は約1万8000人に影響した。スマートフォンの急速な普及にシステムや組織体制が追いついていなかった。
-
2012年のキャッシュカード偽造事件、ITベンダーが突かれた盲点とは
NTTデータが運営する「地銀共同センター」で2012年に起きた、キャッシュカード偽造事件の詳細が判明した。逮捕されたSEはNTTデータの業務委託先社員だった。2006年に発生した類似の事件を受け、セキュリティを強化してきたが、内部事情に詳しいSEに不備を突かれた。
-
標的型攻撃で125万件の年金情報が流出、知っておきたい4年前の事件
日本年金機構は2015年6月1日、少なくとも125万件の年金情報が流出したと公表した。直接の原因は標的型攻撃を受けたことだ。ウイルス付き偽装メールが開封され、ネットワークを通じてウイルスが拡散した。旧社会保険庁時代から続く情報共有の仕組みが被害を広げる一因となった。
-
空前の2300万件漏洩、いま教訓にすべき2014年の「内部犯行事件」
ベネッセホールディングスは2014年7月、会員の個人情報が流出したと発表した。「こどもちゃれんじ」や「進研ゼミ」を利用する、子供の氏名や生年月日が外部に漏洩。アンケートなどで取得した非会員の情報を含めると、流出件数は2300万件に達する。
-
他人のメールが丸見え、恐るべき7年前の不具合を振り返る
他人の電子メールが読めてしまう―。NTTコミュニケーションズ(NTTコム)は2月10日、インターネット接続サービス「OCN」に不具合があったと発表した。
