このところ色々な国のサーバーから情報流出の記事が多いですが・・・・。今日もありました。
以下Yahooの記事より・・・
宇宙航空研究開発機構(JAXA)は23日、国際宇宙ステーションの日本実験棟「きぼう」の情報が入ったコンピューターに何者かが侵入し、19件の情報が流出したと発表した。
JAXAによると、流出したのは「きぼう」の電気系や冷却系、通信系の説明図のほか、運用に関わる職員やメーカーの社員らが業務連絡に使っているメーリングリストのメール、参加者のアドレスなど19件。
JAXAが筑波宇宙センターのサーバーコンピューターの通信記録の定期確認をしたところ、17日深夜に不自然なIPアドレス(ネット上の住所)からアクセスされた跡が見つかった。職員のIDとパスワードが使われていた。どこかで漏れたらしい。
どうみても普通にサーバーを攻撃しているのではなく、ピンポイントで職員IDとパスワードを使い、表玄関より侵入しているということです。
これは、いくらサーバー管理者が裏口からのポートを閉じて、logで改竄など無いか管理をしていても、無くなるという事は無さそうです。というのも、表玄関から普通に職員IDとパスワードで侵入したという事はIDとパスワードが盗まれているからに他なりません。
これは、職員の方々のセキュリティに関する知識を向上させるしかありません。
推測ですが、外部からのメールに悪意のある添付ファイルでIDとパスワードが盗まれたという事ではないでしょうか。会社でもPCに疎い人が沢山いますが、きっと、このセンターにもそのような方がいらっしゃるのではないですかね。
分かっていても、知人、取引先などを語ったメールであれば開けてしまう恐れがありますが、中の文章でおかしい、怪しい、何言ってんだ?みたいな勘が働いて、添付ファイルを開く前に削除するのが基本かと思います。
それに、不自然なIPアドレスとありますが、不自然と思われるIP帯(お隣赤い国など)は初めから遮断しておけばいいんです。もしくは、使うIPだけ許可するように、面倒ですがしておけば良いと思います。パスワードもネットバンクのようにワンタイムの物にするとか対処はまだまだあるはずです。通信記録(system log)の定期確認って、毎日、サーバー管理者がやっているものかと思いましたが違うのですかね。定期って一週間に一度とか、1ヶ月に一度とかだったら意味ないですからね。直接的な攻撃は無くても、nmapで開いているポートを調べていたり、メールサーバーに一回だけアクセスしてみたりと、目立たない工作が事前にあると思います。
あとは、使用者側の意識が高くならないと、いつまで経っても、このような事故は起きる可能性が高いと思います。