2024.12.10
“放置系”なのにサイバー攻撃を監視・検知、「統合ログ管理ツール」とは 最先端のログ管理体制を実現する方法
How the Massive Equifax Data Breach Happened(全1記事)
リンクをコピー
記事をブックマーク
ハンク・グリーン氏:以前、情報漏えいに関する別のニュースをお届けしました。しかし今回ご紹介する事例は、関わった企業はあなたの信用情報を監視する立場にあったのです。さらにハッキングが企業の深刻な怠慢によって引き起こされた面もあります。
Equifaxはアメリカの3大信用機関の1つであり、ローンの組みやすさの判定に使われるクレジットスコアの計算を行っています。
ハッキングされたニュースは耳にされているかもしれませんが、1億4300万人もの顧客の社会保障番号や誕生日といったプライベートデータに、犯罪者集団からアクセスされてしまったのです。その中には20万9千人分のクレジットカード情報も含まれています。
信用機関は、アメリカ全土のほぼ全員の支払いや収入といった信用情報を、クレジットヒストリーとあわせて収集しています。Equifaxを利用して支払いをしたことがなかったとしても、アメリカで成人しているなら何らかの影響を受けるでしょう。
さらにハッカーは、Equifaxが長年修正する機会があった脆弱性を利用したこともわかりました。なんというか、実に残念ですね。
EquifaxのWebサイトは、Apache Strutsと呼ばれるフレームワークを利用していました。このフレームワークは、企業が膨大なデータをオンラインで管理するプログラムを作る用途として広く利用されています。
3月にStrutsを監督しているApache財団は、CVE-2017-5638と名付けられたソフトウェアの脆弱性を発表しました。これが悪さをしたのです。
商品を注文したり、アカウントを作ったり、カスタマーサービスに連絡したりといった具合に、私たちはフォームへの入力を何度も行っています。ところがStrutsがフォームに入力されたデータを扱う際に関係していたそのバグによって、ハッカーはデータを扱っているサーバーに悪意のあるコードを送ることでそのデータを覗き見ることできたのです。これは「リモートでコードが実行される脆弱性(RCE)」と呼ばれています。
通常であれば、プログラマはサーバーに送信相手がコンピューターコードではないことを確認させています。ところがこの脆弱性によって、ハッカーはこのエラーをきっかけにしてサーバーがエラーの種類を検出しようとしている隙に、埋め込んだコードを実行させるのです。
とても深刻なバグですが、Apache財団はバグの存在を発表すると同時に修正パッチを配布しています。スマホのアップデートのように簡単にダウンロードして済むものではないので、こうした修正には時間がかかります。たった1社であったとしても、Strutsのプラットフォーム上にある膨大な数のソフトを1つ1つアップデートして再構成しなければならないのです。
ですが、Equifaxのシステムからのこの脆弱性を利用した漏洩は5月中頃に始まりました。脆弱性が発表されてから2ヶ月も経っています。
なぜEquifaxはその間にシステムアップデートを行っていなかったのでしょうか? その理由は誰にもわかりません。
30件以上の訴えがなされ、FBIとFTCが調査に乗り出し、さらに国会議員が公聴会も計画しているのでさらに数か月もすれば詳細が明らかになるでしょう。その間の2週間ほど前に、Apache財団はStrutsの別の脆弱性の原因となるRCEバグを公表し、修正パッチも同時に配布しました。Equifaxが今回は迅速に適用することを願っています。
このハッキングのニュースでテンションが下がったとしても、次のエピソードなら多少気が紛れるかもしれません。ただし現在の話ではなく5億5千万年前の話なので、個人には直接関係のない話ですけどね。
それぐらい大昔の地球の海には、今とは違った生物が暮らしていました。科学者たちは今まで、当時生息していたものが動物なのか、それとも真菌や地衣類のようなものなのかわかりませんでした。
「Proceedings of the Royal Society B(英国王立協会紀要)」誌に先週発表された論文では、考古学者たちが動物であると結論づけていました。さらに彼らの発見によって、生物すべての起源に関する新しい知見も得られたのです。
ディッキンソニアについての最も古い記述は1947年ですが、当時この平らで楕円形の不思議な生物が一体何なのか、よくわかっていませんでした。
両側が同じ形の線対称であり、あばらのような形をした「ユニット」と呼ばれる部位が中心軸に連なっていました。ほとんどのディッキンソニアは片側が三角状になっていたため、そちらが頭と考えられていました。発見した最初の研究者はクラゲのような動物ではないかと考えましたが、ワームのような単純な生物と比べてみると、どうやら動物ではなさそうでした。
最初に見つかった化石は、5億4100万年前から6億3500万年前のエディアカランという時代のものでした。当時の地球の海は軟体生物が主に生息して、現代とは何もかもが違っていたため、どのように分類するかは考古学における難題でした。
この新しい研究の執筆者は、系統樹のどこに分類するかを決めるために、オーストラリア南部で見つかったディッキンソニアの幼体と生態の化石を比較しました。標本が持つユニットの数を数え、長さを測定し、ユニットの年齢とその成長度合いを記していきました。
すると、ディッキンソニアの成長方法には、ユニットを増やす方法と既存のユニットを大きくする方法の2種類があったのです。
寿命が近くなると2つ目の、「インフレーション」という成長方法に移行していくようです。
研究者チームはさらに、これは大方の予想通りでしたが、ディッキンソニアが「頭部」側から成長し、反対側の小さなユニット側からではないことも突き止めました。
こうした結果をすでに知られている他の生物の成長や発達方法と比べることで、ディッキンソニアが間違いなく動物であり、おそらくは平板動物門に属するだろうとわかったのです。
さらに、よく似た動物から推測すれば、1ヶ所に定着する海綿体やサンゴとは違っておそらく海底に生息しながら動くことができたと考えられます。
長年に渡って考古学者たちは、ディッキンソニアの繁栄から数百年後、5億4100万年前に起こったカンブリア爆発と呼ばれる時期の、より複雑で多様性のある動物の起源に興味を引かれてきました。
ところがエディアカランにおける生物も実際に動物であったなら、現在の動物との関連性がこれまで考えていたより昔であることを示す相次ぐ証拠の1つになるでしょう。
関連タグ:
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
2024.12.09
10点満点中7点の部下に言うべきこと 部下を育成できない上司の特徴トップ5
2024.12.09
国内の有名ホテルでは、マグロ丼がなんと1杯「24,000円」 「良いものをより安く」を追いすぎた日本にとって値上げが重要な理由
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.12.10
職場であえて「不機嫌」を出したほうがいいタイプ NOと言えない人のための人間関係をラクにするヒント
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.06
嫌いな相手の行動が気になって仕方ない… 臨床心理士が教える、人間関係のストレスを軽くする知恵
PR | 2024.11.26
なぜ電話営業はなくならない?その要因は「属人化」 通話内容をデータ化するZoomのクラウドサービス活用術
2024.12.11
大企業への転職前に感じた、「なんか違うかも」の違和感の正体 「親が喜ぶ」「モテそう」ではない、自分の判断基準を持つカギ
PR | 2024.11.22
「闇雲なAI導入」から脱却せよ Zoom・パーソル・THE GUILD幹部が語る、従業員と顧客体験を高めるAI戦略の要諦