11月17日に開催されたTrend Micro DIRECTIONの「情報セキュリティカンファレンス」に参加してきました。
本記事では聞いた講演で、特に印象に残ったものを紹介したいと思います。
講演「ゼロデイ攻撃からクラウド上のWEBサイトを守るには?」より
法人組織を標的とした公開サーバへの攻撃は2017年の上半期だけで31件被害事例が報道され、240万件の重要情報が侵害されている。
31件中の22件、全体の7割以上が脆弱性を利用した攻撃を受けている。
31件中9件がApache Struts2の脆弱性を利用して攻撃を受けた。
2017年上半期での被害が…といわれてもピンと来ないですが、2016年の1年間で公表された情報漏えい被害のおよそ7割に半年で達している計算になるそうです。また、公表されてない被害はもっと多いと推定できます。
今年3月にはApache Struts2の脆弱性で大規模な情報漏えいが発生し、ある企業では72万件のカード情報を含む個人情報が漏えいした。その事業損失がおよそ2億7千万円、再開まで44日間業務停止をしていた。このようにゼロデイ攻撃によるビジネスリスクは常に存在している。
ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから開発者によって対策される間の時間差を利用した攻撃のことです。
この講演の最後に、トレンドマイクロではこのような未知の脅威にも対応したセキュリティソフトウェア「Trend Micro Deep Security」をリリースしていると紹介がありました。
この講演の内容は、サーバに対する攻撃がたくさん起きていて被害額もすごいから対策をしましょう…と言ったものでしたが、「世の企業はどれくらいサイバー攻撃を受けているんだろう?」「情報が漏えいしたってニュースは聞くけど、その企業はその後どうなるんだろう?」という、お客様が興味を抱きやすい疑問に対しても具体的に発表を行っておりました。
弊社のお客様はもちろん問題ありませんが、セキュリティ対策が不十分な企業様は一刻も早い対応を強くお勧めいたします。