翻訳にかかる時間を待っていては当然に防げないし、時差などで認知が遅れることも許されないのが「ゼロデイ攻撃」の怖さだ。この事例の場合、企業側は、IDS(不正侵入検知システム)や各種のセキュリティ対策を講じていても、不正アクセスの可能性を認知し、調査を開始したときには情報流出が完了してしまうという課題が生じる。
また、こうした不正アクセスが行われた可能性に対して、それを検知する対策をより完全に実施している企業ほど早く認識し、公表することになる。確かにそれによる風評等のインパクトは大きいが、再発防止の観点から、速やかに対処することが最優先事項であるため、公表によるインパクトはやむを得ないといえるだろう。
一方で、「自身の会社は大丈夫」と高をくくり、セキュリティ対策が甘くなればどうなるか。攻撃が開始されてから数カ月後に、セキュリティ監査等で不正アクセスによる情報流出が判明して公表に至り、恥ずかしい実態をさらす羽目になるのだ。
巧妙な攻撃者のやり口
詳細調査行わず二次被害も
攻撃者は、ゼロデイ攻撃を行う他、トラフィック量の異常検出を少しでも回避し、短時間で全量のデータを外部のサーバーに送信するためファイルを圧縮化し、Exitの際にはそのログを消し去るという離れ業を行う。そのため、簡易の調査では実際にデータが流出したのかどうかや、流出したとしてどの程度のボリュームのデータが流出したのか判断しづらい。
これを支援する調査が専門家による「フォレンジック調査」であるが、こうした調査によって機密情報や個人情報データを管理するサーバー内に全件取得を行うセレクト文を示すコーディング残渣などから、全量流出の事実が判明することも少なくない。
しかし、現実の有事の場面では、こうしたフォレンジック調査を実施せず、「情報流出の可能性」までで調査を終了し、その後、具体的な二次被害が発生して情報主体や取引先などに影響が出てしまう残念な事態も散見される。
