こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
ディップ株式会社は1月31日、同社が運営する求人情報サイト「バイトル」への不正ログインについて発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】管理画面への不正アクセスにより、個人情報が漏洩してしまったということです。今回は、不正アクセスから管理画面を保護するための方法や、パスワードの設定で気を付けるべきポイントについて説明します。
今回のインシデントは、求人情報サイトに登録された応募者情報の一部と、管理画面へのアクセスに使用したID・パスワードを、第三者が管理画面のメール送信機能を利用して送信したというものです。メールを受信した応募者からの問い合わせで発覚しました。原因として、求人情報サイトに掲載している企業のID・パスワードを取得した第三者が応募者を管理する管理画面に不正ログインしたことが挙げられています。対策として、当該アカウントの停止や該当者への謝罪と案内、送信されたメールの削除依頼を行っています。また、個人情報保護委員会への報告と、麻布警察署への報告および協力を行っています。再発防止策は、本事象に関するログの調査や、不正ログインした第三者に関する調査を実施することで、事実の確認と適切な対応に努めるということです。
管理画面が狙われたのか、不正アクセスに利用されたID・パスワードが結果的に管理画面のものであったかは不明ですが、管理画面を保護するためには、ID・パスワード以外にも追加で、セキュリティ対策を検討することが求められます。
まず、ID・パスワードの組み合わせが、第三者にとって推測できるものであれば、不正アクセスをした結果、管理画面から個人情報を閲覧することができたことが考えられます。しかし、第三者が管理画面に偽せたフィッシングサイトを使って、企業の担当者からID・パスワードを窃取した場合は、管理画面であることを知った上でサイバー攻撃を行ったことになります。
運営側の観点から、管理画面のセキュリティ対策として、アクセス制限や多要素認証の機能を提供することが挙げられます。
ID・パスワードは先ほど説明した通り、様々な方法で窃取される可能性があります。仮に、ID・パスワードが窃取されたとしてもアカウントを保護するために、多層防御の手段を提供することが求められます。
まず、管理画面へのアクセスを特定のIPアドレスに制限したり、電子証明書を利用して特定のパソコンに制限したりして、アクセス制限を行えるようにしましょう。管理画面のIDが複数人で共有されることが想定される場合は、退職者などに悪用されることから保護するために、パスワードを定期的に変更させることも有効です。
また、パスワードに加えて、ワンタイムパスワードやSMS認証などの多要素認証を導入することも有効です。ID・パスワードが不正に利用された際、SMSなどで本人に通知が行くことで、不正アクセスされていることに気が付くこともできます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ