ハッカーの攻撃対象になるプログラムのバグ、不具合(2)プログラムの弱点を狙い撃ちするハッカー

●セキュリティホールからハッカーが攻撃

このところ、プログラムのバグ、セキュリティホールからハッカーが攻撃して、極秘情報に不正にアクセスする事件が相次いでいる。3月24日には、ジョージア州のGeorgia Technology Authorityで、セキュリティソフトのバグを利用してハッカーが侵入。データベースの57万件以上の個人情報にアクセスしたと発表があった。

事件が起こったのは2月21日から23日の間だという。犯人は最新のハッキングツールを用いて、構築していた複数のセキュリティをくぐり抜けたということだ。そしてソフトウェアの欠点からデータベースをホスティングしているサーバーにアクセスしている。

Georgia Technology Authorityでは、どのセキュリティソフトを用いていたのか、ベンダー名を出すことは「現在、調査中の事件である」を理由に拒否している。また、バグについては事件前に既にベンダー側から発表があったものだった。

「ベンダーが発表した欠点を修正中だったが、ハッカーはGeorgia Technology Authorityの作業が終了する前に侵入した」とGeorgia Technology Authorityのスポークスパーソンは説明する。修正処理が間に合わなかったということのようだ。

攻撃を受けたサーバーには、

・従業員の退職金システム
・ジョージア州確定拠出型年金
・公立高校職員退職金プラン
・高等裁判所裁判官・判事退職金
・ジョージア州軍の軍人恩給
・地域の検事向け退職金

をはじめ、ジョージア州が管理する8つの年金、退職金についての情報が保存されていた。

侵入を受けたデータベースには、氏名、社会保険番号、銀行口座情報などが入っていたが、Georgia Technology Authorityの発表では現在のところ、不正に使用された形跡はない。しかし、ハッカーが情報にアクセスした可能性がある中で、現住所がわかっている18万人に対して事件から約1ヵ月後に通知を行った。

残りの37万人については、事件の報道を見て、当人から連絡してくるのを待つほか、Georgia Technology Authorityでも連絡先の調査中だ。またジョージア州捜査局とFBIが事件について調べている。

Georgia Technology Authorityでは、昨年4月にも、スタッフが健康保険に関するデータベースを不正にダウンロードするという事件があった。そのため、ファイヤーウォールや、侵入防止・探知システムの強化、外部のセキュリティ・アドバイザーに依頼して、総括的なセキュリティのチェックなどを行っていた。それにも関わらず起こった事件ということで、関係者にショックを与えている。

【執筆：バンクーバー新報　西川桂子】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm