【解説】
ネットワーク・セキュリティ――最新の脅威とその対策

巧妙化が極まるクラッキング、増え続ける攻撃の手口

（2008年08月22日）

　図1は企業や官公庁などの組織において発生した情報セキュリティ事故について種別ごとの割合を示したものである。2006年と2007年に発生した事件・事故を対象に、当事者となった組織がWebに公開した情報と複数のメディアの報道から集計した。対象が公開情報に限定されるため、必ずしも情報セキュリティの全体的な傾向を示しているとは言えないが、情報セキュリティの脅威を把握するための参考とすることができるだろう。

図1：報道された情報セキュリティ事故種別の割合

　2007年に報道された情報セキュリティ事件・事故のうち、最も多かったのが「Winny/Shareなどの匿名ファイル共有ソフトを介した情報漏洩」である。これは2006年の49.5％から若干の減少が見られるものの、2007年も43.8％と変わらず大きな割合を占めている。

　次いで多かったのは「不正アクセス」で、全体の12.5％を占めた。前年（2.8％・9位）から大きく順位が上がったが、これは2007年後半から2008年にかけて大手企業などのWebサイトが改竄されて不正プログラムが混入するといった事件が増加したためと思われる。これについては次章で詳しく解説する。

　3番目に多かったのが「情報紛失・盗難（10.4％）」。重要な情報を格納したPCやハードディスク、USBメモリなどを紛失した、あるいは盗まれたというケースである。これは2006年の3位（7.9％）と変わらず上位にランクインしている。そのほか「設定ミス（6.9％）」が4位、「内部犯行（4.2％）」が6位と続いた。

　冒頭でも触れたように、実際、企業のセキュリティ担当者へのヒアリングでも「ファイル共有ソフトでの情報漏洩」、「設定ミスや業務ミス」、「PC等の盗難・紛失」などが組織の気になる脅威として認識されている。2006年の時点においては、不正アクセスやウイルス／ワーム感染といった悪意を持つハッカー／クラッカーによる意図的な攻撃よりも、職員やスタッフによるミスが脅威の大半を占めていたが、2007年では不正アクセスや内部犯行といった意図的な脅威が割合を伸ばしており、営利目的化する脅威という傾向と一致している。ただし実際の状況は、「企業の内部情報を狙う悪意を持ったハッカーが社内ネットワークに侵入してくる」といったステレオタイプな攻撃とは事情が異なるので注意が必要だ。この辺りの状況については次節以降で詳しく解説する。

前のページへ < ｜1｜2｜3｜4｜5｜6｜7｜8｜9｜ > 次のページへ