レコーデッド・フューチャーは、ロシア語を話すハッカー「ラスプーチン」が60の大学と政府機関を標的にしたと発表しました。同社によると、ラスプーチンは多くの人気ウェブサイトでよく見られる脆弱性であるSQLインジェクションを悪用し、個人情報を盗み出そうとした可能性が高いとのことです。
Recorded Future がこれらの犠牲者の間の点と点を結び付けた方法は次の通りです。
EACデータベースへの侵害は、技術的には容易ですが防御コストが高い攻撃であるSQLインジェクション(SQLi)によるものでした。Recorded Futureは、現在特定の業種を順次標的にしているRasputinの攻撃キャンペーンの監視を継続しています。これらの攻撃は、組織のセキュリティ対策への投資と侵害されたデータの価値に基づいて意図的に選択されたものです。さらに、これらのデータベースには、膨大な数のユーザーと、関連する可能性のある個人識別情報(PII)が含まれている可能性があります。
Recorded Futureによると、SQLi攻撃は「データベースがインターネットに初めて登場して以来存在していた」が、「コーディングのベストプラクティスによって簡単に防ぐことができる」という。問題は、YahooやLinkedInといったテクノロジー企業から、本報告書で言及されている大学や政府機関に至るまで、多くの組織がこれらの攻撃に対する防御を怠っていることだ。これは、夜間にドアに鍵をかけないのと同じような、いわばデジタル版と言える。
では、この問題はどのように解決されるのでしょうか?Recorded Futureにはいくつかのアイデアがあります。
法人税の一部減免をオプトインで受けられるプログラムは、出発点として考えられます。プログラムへの参加には、承認されたベンダーによる四半期ごとのコード監査の実施が必須です。堅牢なガバナンス、リスク、コンプライアンス(GRC)プログラム(金融サービス企業など)では、既に定期的なコードレビューが義務付けられていますが、業界固有の規制に関わらず、あらゆる業種において何らかのインセンティブが必要です。残念ながら、コード監査を優先する唯一のインセンティブは、政府からの罰金や訴訟による損失といったものかもしれません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
この問題は、モノのインターネット(IoT)デバイスに見られる多くのセキュリティ脆弱性と重なります。メーカーはこれらのデバイスを安全に保つ方法、あるいは少なくとも侵害リスクを軽減する方法を知っていますが、金銭的なインセンティブがないため、それを実行できていません。人々はSQLi攻撃に対して脆弱なサイトに個人情報を提供し続けるのと同じように、IoT製品を買い続けるでしょう。政府の規制は、この問題の解決策となる可能性があります。
Recorded Futureは、これらの大学や政府機関への攻撃でどのような情報が漏洩した可能性があるかを明らかにしていないが、これらの機関が保有する個人データの量を考えると、Recorded Futureが金銭目的だと述べているハッキングを行ったラスプーチンが、探していたものを手に入れた可能性は高い。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
