【日刊】忙しい人のためのセキュリティニュース(2017/10/08) ドミノ・ピザの顧客情報流出ーニュージーランド/Webサイトでマイニングスクリプトの是非/BYODほどセキュリティ管理者を悩ませるものはない 他
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- ドミノ・ピザの顧客情報流出ーニュージーランド
- Webサイトでマイニングスクリプトの是非
- BYODほどセキュリティ管理者を悩ませるものはない
- ”マスメディアこそセキュリティ意識を高めるべき”ーCisco
- CaaS被害増加ー零細企業が被害最多
それでは早速、参りましょう!
ドミノ・ピザの顧客情報流出ーニュージーランド
ニュージーランドのドミノ・ピザのシステムから顧客のEメールアドレスや過去の注文履歴等の情報が流出した恐れがある。
攻撃手法等の詳細は明らかにされていないが、顧客の住所などを保管するデータベース等から情報が漏れた形跡などは無く、別ルートから顧客のメールアドレスが漏れたようだ。
ドミノ・ピザは専用のカスタマーサポートを設置して、顧客からの質問や相談に応えている。
Webサイトでマイニングスクリプトの是非
http://www.bbc.com/news/technology-41518351
このブログで何度も紹介してきたマイニングスクリプトに関するニュース。
Coinhiveが公開しているMoneroのマイニングスクリプトが埋め込まれたウェブサイトが増加の一途を辿っている事を述べる。
私はこのマイニングスクリプトに関するニュースが出始めた当初は、悪意のあるコードとして見てきたが最近は「使い方次第」じゃないかと考えている。
サイトやブログを見ていて、自分が見たくない広告を嫌々見せられた経験はインターネットユーザーの誰しもあると思う。
AdBlock等の拡張機能が広まってユーザーとしては広告を非表示に出来るようになったが、今度はサイト運営者の収益源がなくなってしまった。
そうした運営者達に広告を表示せずに利益をもたらすのがマイニングスクリプトとなるのである。
だから、このマイニングスクリプトは、嫌な広告を見たくないユーザーが多く存在するウェブサイト運営者がサイトに埋め込めば良いのでは無いだろうか。
もちろんユーザー端末のリソースを大きく使ってしまうので、ページ遷移時にアラートメッセージを出せる設定になっていればいいと思う。
もう一つ言うと、リソースを提供するユーザーにもインセンティブを与えられると良いと思う。
そうすればサイト運営者も気兼ねなくマイニングスクリプトを組み込んだウェブサイトを運営できるようになるのではないだろうか。
BYODほどセキュリティ管理者を悩ませるものはない
社員が使う端末を会社が提供せずに、各社員が好きな端末を使って業務を行うBYOD(Bring Your Own Device)という言葉が広まってから久しい。
個人的に、BYODのメリットは社員が一番使いやすい端末を使える事と、会社が端末代金を負担しなくて良くなる2つくらいしかないと思う。
BYODをするとハードウェアとOSの両方の違いを考慮せねばならず、更に外部ネットワークに普段接続された端末を会社用イントラに接続する事になるので、社員がどんなウイルスを社用イントラに持ち込むかわからない。
更に、クライアント情報等の持ち出し、PCの紛失、セキュリティパッチ当てや定期的なアップデートの徹底、社用システムとの互換性対応等、挙げたらキリがないほどBYODのデメリットは存在すると思う。
”マスメディアこそセキュリティ意識を高めるべき”ーCisco
一度に大人数の接続が予想されるストリーミング再生サービス等、メディアプラットフォームの提供者がセキュリティの関心を高めるべきだと述べている。
オリンピック等の国際大会は特に世界各国からのアクセスが見込まれることから、攻撃の標的になりやすい。
例えば世界中が見守るマラソンのストリーミング中にDDoS状態に陥ったり、Webサイト改ざんが行われて政治的メッセージにすり替えられたら一度に多くの人々に対して影響を与える事ができるようになってしまうのだ。
CaaS被害増加ー零細企業が被害最多
SaaS(ソフトウェア・アズ・ア・サーヴィス)がIT業界のデフォルトとなっている裏でCaaS(クライム・アズ・ア・サーヴィス)の被害に合う人が増加している。
CaaSは、既に完成したマルウェアや文面まで書かれたフィッシングメールのキット等、購入者に合わせた『サイバー攻撃キット』のことである。そしてそれらは主にダークウェブで売買される。
CaaSの被害に合う多くは個人事業主か小規模企業で、日に日に進歩するサイバー攻撃のレベルに追いつけていない事が原因の1つだ。
セキュリティは最早ビジネスを行う上で必須となるコストなので、個人事業主や小規模企業経営者にはトレンドを押さえて適切なセキュリティ対策を行なって頂きたい。