常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなるとさらに難しくなります。ジョーシスでは数々のIT用語を三段階で説明します。
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
その名の通り「特権的」な操作を行うことができるアカウントを指す。OS(基本ソフト)や様々なシステムの管理者に与えられる「特権アカウント」は、システムの構築や運用のための設定や構成の変更、データの更新や変更、削除、システムの再起動や停止が行える。
このアカウントの情報が、何らかの理由で流出し、悪意を持った攻撃者に使われると、データの改ざんや消去、システムの強制停止や破壊など、企業にとっては大きなセキュリティ上の脅威になる。
また、特権アカウントは正規アカウントのため、通常のセキュリティ対策では全く検知することができない。こうした特性から管理の仕方次第ではセキュリティや内部統制の大きなリスクにつながるため、慎重な管理が必要になる。
最近では、そのリスクを低減するため、特権アカウントを使ってのシステムにログイン時に、別の管理者の承認を必要とする仕組みや、特権アカウントの権限を細分化し、1つの特権アカウントが実行できる権限に制限を設ける「特権アカウントの分散」、ログ監査の強化、IDを知っていてもログインできないようにするためのワンタイムパスワードの導入などの管理方法が考えられている。
社長の会社には情報システム担当者はいますか? え、いらっしゃる。その情報システム担当者がシステムを管理するために使うアカウントが「特権アカウント」です。
実は、この特権アカウントを悪用したセキュリティ事件は数多く起きており、9割以上のサイバー攻撃が何らかの形で特権アカウントを利用しているといわれています。
コンピューターで使われるOS(基本ソフト)でいうと、Windowsでは「Administrator」、LinuxやUNIXとは「root」と呼ばれるユーザーIDが特権アカウントになります。
これらのユーザーIDはよく知られているため、攻撃者は「総当たり攻撃」と呼ばれる、パスワード辞書ツールを使って片っ端からログインを試す方法で攻撃されることが少なくありません。だから、簡単なパスワードを設定していると、攻撃者に侵入を許してしまいます。
特権アカウントを悪用したケースでは、大手教育サービス会社で、約2000万人分の顧客情報が不正に持ち出され名簿業者に販売された事件がありました。事件の犯人は、この企業に派遣されていた外部システム会社の元担当者。顧客のデータベースにアクセスできる特権アカウントを利用してデータの持ち出したのです。
最近ではIoT(モノのインターネット)機器の特権アカウントを使ったセキュリティ攻撃も行われています。
その1つに、マルウェア「mirai(ミライ)」があります。このマルウェアは、WebカメラやDVDレコーダーなどのネットワークに接続された機器でよく使われている特権アカウントのIDとパスワードを辞書に持ち、この辞書を使ってログインに成功すると、マルウェアを送り込み、特定のサーバーを攻撃するDDoS攻撃を行います。
このように、特権アカウントはさまざまなセキュリティ問題の危険性を持っています。社長も情報システム担当者と連絡を密にして、これまで以上に慎重な管理をしてください。
みなさんや、みなさんのまわりでも、最近スマートフォン(スマホ)を使っている人はたくさんいると思います。
そして、みなさんはスマホを使うときに暗証番号を入れたり、最近だと指紋を使ってロックを解除したりしますね。この暗唱番号などを「アカウント」といいます。パソコンなどでは、「ID(名前)」と「パスワード」を組み合わせて使います。
そして、大きなコンピューターのシステムになると、そのシステムを正しく使えるように設定したり、使い続けられるよう管理したりする「管理者」という人がいます。この管理者の人たちが使うアカウントを「特権(とっけん)アカウント」といいます。
特権アカウントを持った管理者は、システムを使えるようにしたり、逆にいらなくなったシステムを使えなくするようにしたりと、まるで「神様」のようにいろいろ変えることができます。だから、特権アカウントは「神アカ(神アカウント)」といえるでしょう。
ただ、この「神アカ」が悪い人に知られたらどうなるでしょう?
悪い人は、システムを止めたり、使えなくしたりして、使っている人に迷惑をかけようときっとするでしょう。また、中に入っているデータ(情報)を見せたくない人にも公開したり、壊したりもするでしょう。
みなさんも、仲のいい友達とだけやり取りしてる内緒のメールとかメッセージがありますよね?
もし「神アカ」である「特権アカウント」を悪い人に勝手に使われたら、みなさんが知らない間に内緒のやり取りをみんなに知らされてしまうかもしれません。だから「特権アカウント」は大切に守らないといけないのです。
この記事は株式会社パシフィックネットが運営していたWebメディア「ジョーシス」に 掲載されていた記事を転載したものです。
2017年4月6日掲載