2011年12月30日(金)記
今日の読売新聞朝刊によれば、
文部科学省は28日、「学技術週間」ウェブサイトがサイバー攻撃を受け、1031人分のメールアドレスなど個人情報が流出していたと発表した。と報じています。
文部科学省の "科学技術週間ウェブサイトの不正アクセスについて" とする報道発表によれば、原因は、
システムの一部に脆弱性があり、SQLインジェクションにより行事情報データベースにアクセスし、そこから管理者画面に進入しデータがダウンロードされた。
としています。
しかし、SQLインジェクションなどと言う古典的な手法で管理者権限を奪取されるとは、まったくもって、あきれ返る次第です。
このサイトは、本年12月19日にコンテンツの改ざんが発覚し、サイトの運用を停止したうえで、他に被害が無かったか調査していたところでした。
サイトの改ざんは、見た目にすぐ判る事象ですがデータの不正アクセス、ダウンロードの発見は困難が伴います。
いかに、日ごろからセキュリティ対策をきめ細かく行うことが重要か思い知らされる事件です。また、日々、ログの解析も重要な事と考える次第です。
少しでも、気を抜けば、それは無防備で飢えたオオカミの前に身をさらすもの。と思うべきでしょう。
言い換えれば、この科学文部省の「科学技術週間」サイトは、今までどのような、セキュリティ対策を講じていたのでしょうか?
つまり、原因の最も大きな部分は、何もセキュリティ対策を行っていなかった事。いや、ここまで決めつけるのは可哀そうかも知れませんが、SQLインジェクションなどと言う、あまりにも古典的な手法でデータを持って行かれたのであれば、そのように言われてもやむを得ないでしょう。
この部分(即ち、適切なセキュリティ対策が十分になされていなかった事)にほおかむりをして、あたかも攻撃があったから仕方ない。と思わせる事だけを原因として取り上げる事は考えるべきでしょう。
適切なセキュリティ対策が十分になされていなかった事。これが主たる原因ではありませんか。
このブログで2011年11月25日付けでお伝えした "総務省 電波利用 電子申請・届出システム Lite" の総務省ですら、セキュリティとは何かを考えず危険な状態を2年も放置していた通り、日本のセキュリティ事情はまだ夜明け前、これが実態のようです。