2014,04,25

サイバー攻撃 深刻化/既存の脆弱性 対応遅れ




 サイバー攻撃をめぐる問題が深刻化する中、企業や官庁など自己防衛が欠かせない。 サイバー攻撃の多くは既存の脆弱性 (ソフトのセキュリティー上の欠陥) を突いてくるため、最新のソフトに最新パッチを当てれば防げるはず。 だが 「ストラッツ1」 のようにサポート切れの製品では、その脆弱性が修正されない。 




 企業などの対応が後手に回ることも多い。 情報処理推進機構 (IPA) が2008年から2013年までに届出を受けた、脆弱性のあるウェブサイトを調べたところ、ウェブサイトの構築でよく使われるプログラミング 「PHP」 では8割がサポート切れのバージョンのパソコンを使っていた。




 最新のパッチをあてていたのはわずか34%。 更新したくても開発当時の資料がないなどの理由で、ほとんど作り直しになる場合があるという。




 世界のサイトで暗号化に広く使われ、今月7日に脆弱性が明らかになった 「オープンSSL」 の場合、被害の広がりは早かった。 警視庁は8日に欠陥部分を攻撃するプログラムの作成方法をネット上で発見。 一方、これを利用した攻撃が9日から発生し、16日昼までに約5万4千巻を感知した。




 クレジットカード大手の三菱東京UFJニコスから個人情報が漏洩したと見られるなど、被害も発生。 海外では、カナダ歳入庁が情報を盗み出され、同国連邦警察が男性を逮捕した。(日経流通新聞)



   

ツイートこの記事をつぶやく