2007年11月09日(金) 12時56分
salesforce.com、顧客データの流出による被害を防ぐため大わらわ(japan.internet.com)
Symantec が、3億5000万ドルを費やしてデータ漏洩防止ソフトウェア開発の Vontu を買収する理由とは何だろう。salesforce.com は最近、その理由を痛感したばかりだ。
salesforce.com のある経験の浅い従業員がフィッシングに騙され、不注意にも同社の顧客リストを流出させてしまった。同社は現在、その対応に追われている。そして顧客データを入手した攻撃者は、salesforce.con の顧客を狙ったフィッシングを展開している。
salesforce.com が6日付けで顧客に送り、同社の Web サイトにも掲載した文書のなかで、同社副社長 Parker Harris 氏は顧客に対し、顧客リストを流出させてしまった salesforce.com の従業員は、フィッシング詐欺の被害者との見方を示した。
「明確にしておきたいことは、あるフィッシング詐欺犯が、ある人物を騙してパスワードを手に入れたが、これは当社のアプリケーションあるいはデータベースのセキュリティ上の欠陥によるものではない」と Harris 氏は記している。なおこの種のデータ流出の原因として最も多いのはユーザー (従業員) の不注意で、salesforce.com の事例も例外ではなかったようだ。
フィッシング詐欺犯は、salesforce.com の顧客のフルネーム、社名、Eメールアドレス、電話番号、およびこれに付随する同社の管理情報を入手した。
その結果、これらの顧客に salesforce.com のインボイスを装った偽の Eメールが送りつけられる事態となった。特定の対象を狙い撃ちにすることから、セキュリティ専門家はこのような行為を「スピア フィッシング」(銛突き漁に例えた表現) と呼んでいる。salesforce.com はフィッシングの攻撃対象を明らかにしていないが、『Washington Post』紙の報道によると、攻撃対象の中には SunTrust Bank や 米給与計算サービス最大手の一角 Automatic Data Processing (ADP) が入っているという。
salesforce.com はこの問題に対処するため、アクセスログの監視と分析を行ない、影響を受けた顧客に警告するほか、セキュリティ対策業者へのコンサルティング依頼、詐欺サイトの追跡、社内におけるセキュリティ教育の見直しとアクセス規則の厳格化、そして新しいセキュリティ技術の検討など、様々な対策をとっている。
■関連キーワード
Vontu を買収
■関連記事
Symantec、データ漏洩防止ソフトウェア開発の Vontu を買収
salesforce が Google の『OpenSocial』に参加
IBM、セキュリティ関連の新製品を多数発表
salesforce.com、新プラットフォーム『Force.com』を発表
http://headlines.yahoo.co.jp/hl?a=20071109-00000011-inet-sci