Agile Cat — in the cloud

Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?

Posted in On Monday, Security by agilecat.cloud on May 18, 2015
Security: Low Technology Tools Highly Effective for Hacking Businesses
By Dick Weisinger – May 11th, 2015
http://formtek.com/blog/security-low-technology-tools-highly-effective-for-hacking-businesses/
_ formtek
While businesses increasingly are beefing up security controls to prevent hackers from the outside from penetrating their computer systems, they often overlook their vulnerability from within their organization.  Low-tech hacking techniques for gaining access to systems can be very effective.
 
それぞれの企業が、自身のコンピュータ・システムに対して、ハッカーたちが外部から侵入しようとするのを防ぐために、セキュリティ・コントロールに邁進しているが、多くのケースにおいて、組織内からの攻撃に脆弱性をさらけ出している。そして、残念なことに、それらのシステムに対するアクセスを得る上で、ローテクのハッキング・テクノロジーが、きわめて有効に機能してしまうのだ。
 
Seurat_23M recently conducted an experiment with the Ponemon Institute to uncover security vulnerabilities due to human factors.  It turns out that people within an organization provide a variety of easy vulnerabilities for hackers to exploit.  In the experiment, white cover hackers were sent undercover as a temporary or part-time worker into businesses.  After only two hours of being on site, in 88 percent of the trials, the hackers successfully obtained sensitive information.  Researchers wandered the area and were able to take pictures of computer screens and pick up and take document that were marked as “confidential”.
 
最近のことだが、3M の Ponemon Institute が、人的要因が引き起こすセキュリティ上の脆弱性を、明らかにするための実験を行なった。そして、組織内の人々がハッカーたちに対して、脆弱性を助長する多様な切り口を、きわめて容易に提供してしまうことが判明した。この実験は、ダミーのハッカーたちを、それぞれの企業のパートタイム労働者として送り込むところから開始されている。あるサイトでは、実験がスタートして僅か2時間後に、ハッカーたちが機密情報の 88% を入手するという結果を引き起こしている。ダミー・ハッカーである研究者たちは、対象となるエリアを動き回り、コンピュータ・スクリーンをキャプチャした後に、「confidential」と記載されているドキュメントを取得した。
 
In 45 percent of the cases it took researchers only 15 minutes to gain access to sensitive information and in 63 percent of the cases it is less than half an hour.  An average of five pieces of information were hacked per trial, information that included employee contact information, customer information, corporate financial information, and employee access and login information.
 
そして研究者たちは 、45% のケースにおいて 15分足らずで、また、63% のケースでは 30分以内で、機密情報にアクセスしている。ちなみに、この実験においてアクセスした内容には、employee contact information/customer information/corporate financial information/employee access/login information という、5種類の機密情報が含まれている。
 
In one case, the researcher even opened an Excel spreadsheet on a computer and started taking pictures of it on their cellphone, but no nearby workers said anything.  No one questioned what the researcher was doing.
 
あるケースでは、研究者たちは Excel のスプレッドシートをオープンし、そのスクリーンを自分のスマホで撮影したが、そばに居た従業員たちは何も言わなかったそうだ。 つまり、ダミー・ハッカーたちが行なっていることに、誰も疑問を持たなかったことになる。
 
Larry Ponemon, chairman and founder of Ponemon Institute, said that “in today’s world of spear phishing, it is important for data security professionals not to ignore low-tech threats, such as visual hacking.  A hacker often only needs one piece of valuable information to unlock a large-scale data breach. This study exposes both how simple it is for a hacker to obtain sensitive data using only visual means, as well as employee carelessness with company information and lack of awareness to data security threats.”
 
Ponemon Institute の Chairman and Founder である Larry Ponemon は、「 先鋭なフィッシング行為が蔓延する今日の世界では、このビジュアル・ハッキングに例えられるローテクの脅威を無視しないという、データ・セキュリティの専門家たちの姿勢が重要になってくる。多くのケースにおいて、ハッカーは一片の情報を手にするだけでロックを解除し、大規模なデータ侵害を成功させてしまう。今回の調査では、ハッカーたちがビジュアルな手段を用いるだけで、機密データを容易に取得できることが明らかになった。 それだけではなく、企業情報やデータ・セキュリティの脅威に対して、従業員たちの注意が足らず、意識が欠如しているという側面も明らかになった」と述べている。
 
ーーーーー
On Mondayなんという、怖ろしい破壊力なのでしょうか。 たしか、昨年末に Sony Pictures が侵害された件も、ハッカーが物理的に侵入した結果だと言われていました。 以前に、Hybrid の調査: 企業データを分析すると、20-60-20 の 仕分けシナリオが見えてくる という抄訳をポストしていますが、まずは、クラウドとオンプレミスに置くべき情報の仕分けが必須なのでしょう。 そして、たとえばパートタイム従業員が入っていくようなオフィスからは、クラウドのみが参照できるというような、なんらかの制約が必要なのかもしれませんね。_AC Stamp
ーーーーー
<関連>
Microservices の調査:Amazon.com におけるマイクロサービス・アーキテクチャとは?
Cloud Developer の調査: あなたは DevOp 派? Coder 派? それとも RAD 派?
Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!
IoT の調査:Verizon レポート:すでに 10億個以上の、B2B IoT デバイスが機能している
IoT の調査: セキュリティとスケールのために、新たな IDoT を考えるべきと Gartner が発言

Comments Off on Security の調査: ハッカーが物理的に侵入すると、大半の企業は数時間で丸裸にされる?

%d bloggers like this: