閉じる
閉じる
閉じる
  1. のれん償却を再導入せず:IASB予備的見解
  2. 顧問契約解除で報酬を請求し税理士が勝訴した事例
  3. クラウドサービス初年度利用料が高く設定されている場合の税務上の取扱いは…
  4. 有給休暇5日はいつまでに取得しなければならない?
  5. 個人の青色申告特別控除が55万円に引き下げー65万円の控除を維持するに…
  6. 消費税増税施行日をまたぐ適用税率ー間違いやすい3つのポイントとは?
  7. 開示規制違反に関する課徴金納付命令は過去5年で最多
  8. 連結納税制度がグループ通算制度へーシンプルな制度に期待
  9. 「中小企業金融円滑化法」(モラトリアム法)が19年3月で実質終了ーその…
  10. 監査法人の継続監査期間開示、早期適用は83社
閉じる

出る杭はもっと出ろ!

上場企業の5割にサイバー脆弱性?-FACTA2014年11月号より

FACTA2014年11月号に”上場企業5割に「サイバー脆弱性」”という興味深い記事が掲載されいました。

同誌がサイバーセキュリティ・ラボのスパラウト社に依頼して東証一部上場100社(TOPIX Core30 + Large70)が公開するコーポレートサイトとネットワークを対象に実際にハッキングができるかどうかを試したとのことです。

なお、この調査は「企業経営者や担当者にサイバーセキュリティ意識を高めてもらうことを狙いとしたもので、当然ながら悪意ある攻撃をあおるものではない」ため、「調査方法と掲載方法については、事前にインターネットに詳しい弁護士に入念に相談したうえで行っている」とのことです。また、この調査で把握された脆弱性については、この記事掲載前に該当企業に通知し、記事公開前に脆弱性の対応を要請したとされています。

さて、気になる結果ですが、以下のようになっています。

ハイリスク 19社
ミディアムリスク 24社
ローリスク 12社

合計で55社が何らかの問題を抱えていたという結果が示されています。

「ハイリスク」とはどのようなものに対する脆弱性なのかですが、以下の四つが取り上げれています。

1.SQLインジェクション

データーベースと連動したウェブサイトにおいて、本来プログラムが想定していないパラメーターを送ることで、データを不正に抜き出したり、改ざんしたりする攻撃方法。

これに対して脆弱性を有すると、第三者が企業のウェブサイトにマルウェアを埋め込むことが可能で、そのサイトを訪れた一般利用者がマルウェアに感染する可能性があるとされています。

ハイリスクの中で一番多く検知されたもので、19社中12社(複数該当あり)でこの脆弱性が検知されています。

信じ難いのは、「過去に取材した企業や今回の100社の中には「データベースに重要な情報が入っているわけではないから、多少の脆弱性はしょうがない」という認識の企業もあった」ということです。

2.Dos攻撃

ウェブサーバーに特定のパケットを送ることで、負荷を高めサービスを停止させてしまう攻撃のこと。

今回見つかったのは、「2011年にハイリスクの脆弱性として大きな問題となった「Apache Killer」と呼ばれるもの」です。超有名企業でもこのような脆弱性が放置されているというのは意外です。

ちなみにDos攻撃が検知されたのは19社中7社(複数該当あり)となっています。

3.ディレクトリトラバーサル

本来アクセス権のないディレクトリやファイルの内容を取得する攻撃手法。

この脆弱性がある状態で、プレスリリースなどを発表前にサーバーに置いていた場合、不正に盗み読みされる可能性もある」とのことです。

この脆弱性が検出されたのは19社中3社(複数該当あり)となっています。

4.XSS(クロスサイト・スクリプティング)

この脆弱性をつかれると、「ウェブサイトにアクセスしてきた利用者のクッキー情報を盗まれたり、不正なマルウェアが実行されるウェブサイトに誘導される恐れがある。」とのことです。

この脆弱性が検出されたのも19社中3社(複数該当あり)となっています。

ハイリスクの脆弱性が検出されたといっても、それが事実なのかが問題となりますが、ハイリスクのある企業に内容を通知した結果、「旭化成、デンソー、スズキ、ファナック、京セラ、NTTドコモ、イオン、三菱地所からはすぐに脆弱性を確認し対策を講じたとの回答があった」とのことですので、そのような脆弱性が存在したというのは事実のようです。

ただし、一方で「東レ、富士通は社内調査を行ったが、指摘した箇所に問題はなかったと答えた」とされており、どちらが正しいのかは判別できませんが、19社の約半分が事実だとすると約1割の企業がハイリスクの脆弱性を抱えている可能性があるということになります。

「対策を行ったかも含め回答できない」とした企業や「なしのつぶてだった」企業のサイトには当面近づかないようにしようと思います。

日々成長

関連記事

  1. 2013年1月の金融円滑化法利用後倒産は37件-帝国データバンク…

  2. 「業務会費」約8億円の未納って・・・

  3. LEAN IN(シェリル・サンドバーグ)を読んで

  4. 「日本式モノづくりの敗戦」(野口悠紀雄著)

  5. 上場基準の情報漏洩で野村証券に改善命令が出されるそうです

  6. 「スターバックスCEOだった私が社員に贈り続けた31の言葉」とは…

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

カテゴリー



ブログ統計情報

  • 8,568,448 アクセス
ページ上部へ戻る