2010年後半のDB情報漏洩事故の教訓

USでの最近の5件のDB情報漏洩事故の概要と、それらからの教訓。
Lessons Learned From Five Big Database Breaches In 2010 – Darkreading
1.コロラド州メサ郡保安官事務所

  • 事故内容: ITスタッフが誤って情報提供者DBのファイルをFTPサーバーに置いてしまった。情報20万件。Google検索でクロールされて露出。
  • DBセキュリティの教訓: DBの所在(テストDB含む)と構成について把握しておくことが重要。
    これは特にひどい事例、といっている。

egregious
[形]((通例限定))((形式))((悪い意味の言葉を伴って))とんでもない,とてもひどい
http://dic.search.yahoo.co.jp/search?p=egregious&r_dtype=all&aq=0&oq=egre&ei=UTF-8
2.オハイオ州立大学

  • 事故内容: 学生などの情報76万件が保存されたDBサーバーが攻撃された。情報にはアクセスされず、他の企業攻撃の踏み台にされたということだが、情報の該当者に1年間の情報モニターサービスを提供。
  • DBセキュリティの教訓: 発覚まで数可決感攻撃されていたらしい。早期発見と攻撃内容分析のためにサーバーとDBの監視をしっかり実装するべき。

3.Gawker (ゴシップ系ニュースサイト等を運営するウェブ企業)

  • 事故内容: Gawkerに恨みを持つハッカーたちによってWebアプリケーションが攻撃され、130万ユーザーのログイン情報が流出。
  • DBセキュリティの教訓: 数々の不充分なセキュリティ対策が教訓となる。パッチ管理の不在、不適切な機密情報管理、内部ユーザーのパスワードポリシーがなかったこと。最も目立つのは、パスワードの暗号化に時代遅れのDESを使っていたことで、容易に解読された。

grudge
[名](…に対する)恨み,遺恨,怨恨(えんこん);悪意((against …))
http://dic.search.yahoo.co.jp/search?p=grudge&r_dtype=all&aq=-1&oq=&ei=UTF-8
4. Silverpop Systems (電子メールマーケティングサービス)

  • 事故内容: 外注していたDBサーバーがハックされ、契約先であるマクドナルドなどの顧客情報が流出した疑い。
  • DBセキュリティの教訓: 攻撃の内容は未公表だが、第三者にデータを預ける際に、相手のDBや機密情報の取り扱いに関する検査をしっかり行うことが重要。

5. Triple-S Management (保険会社)

  • 事故内容: 従業員が40万件以上の顧客情報を競合企業に提供した。従業員は何らかの方法でDBのIDとパスワードを入手していた。
  • DBセキュリティの教訓: たとえ外部からの攻撃対策に投資したとしていても、ID管理とアクセス制御がまずいとアキレスの踵となる。パスワード共有の禁止、退職従業員のID停止、通常と異なる操作の監視などが必要。


クラウド セキュリティ&プライバシー ―リスクとコンプライアンスに対する企業の視点
Tim Mather (著), Subra Kumaraswamy (著), Shahed Latif (著), 下道 高志(監訳) (翻訳), 笹井 崇司 (翻訳)
# 大型本: 314ページ
# 出版社: オライリージャパン (2010/6/12)
# 言語 日本語
# ISBN-10: 4873114586
# ISBN-13: 978-4873114583
# 発売日: 2010/6/12