頻発するインターネット漏洩の背後にあるのは、セキュリティ投資がIT業界のわずか1%を占めていることだ

最近、Dianping.com（Weibo）上の消費者のアカウント残高が盗まれたが、アカウントに紐付けられた携帯電話番号とメールアドレスには関連する通知が届かなかったというメディア報道がありました。

これに対し、Dianping.comは中国ビジネスニュースに対し、すでに警察に事件を報告しており、当初は会員のアカウントとパスワードのセキュリティ設定が低かったことが原因ではないかと疑っていたが、具体的な原因は技術部門によるさらなる調査を待たなければならないと語った。

「当社は会員に対し、パスワード再設定のSMSとメールリマインダーを送信しました。当社は会員の関連損失の回復に全力を尽くし、会員がアカウントとパスワード情報を変更できるよう支援します。」同社の関連担当者は、まだパスワードを再設定していないユーザーや、再設定パスワードが簡単すぎるユーザーがおり、アカウント盗難のリスクが高まっていると述べた。

CSDN（微博）の漏洩事件から、電子商取引サイトでのアカウント情報の頻繁な盗難、そして今年の3.15ガラで銀行員が顧客情報を有料で販売していたことが暴露された事件まで、一連の事件が情報セキュリティに対する警鐘を鳴らしている。業界団体の関係者によると、我が国の現在の情報セキュリティ投資はIT業界全体の投資のわずか1％程度に過ぎず、欧米諸国の8％～12％のレベルを大きく下回っているという。

同社は従業員情報の漏洩を否定したと述べた。

Dianping.com では通常、ユーザーに携帯電話番号をアカウントにバインドすることを推奨しており、購入のたびにリマインダーが電子メールで送信されます。 9月2日朝、ある消費者が自分のメールにログインした際に消費記録があり、関連口座から100元以上が引き落とされていることに気づいた。

「盗まれた残高は110元とそれほど多くはないが、それでもかなり奇妙だと感じている」と消費者は語った。携帯電話をバインドしていたため、過去の購入後にテキストメッセージのリマインダーが届くが、最近メールにログインしたところ、口座残高が消去され、知らない消費記録があったことに気付いたという。

さらに、ハッカーは口座の全額を盗むために、消費資金を前借りするだろうと指摘する消費者もおり、まさに手段を選ばない泥棒と言える。

Dianping.comは記者団に対し、「この事件はまれな現象だ。具体的な数字はまだ調査中だ。原因は、同じアカウントとパスワードが他のウェブサイトでも使われていたためかもしれない」と語った。

内部の従業員が情報を漏らしたかどうかという質問については、Dianpingはそれを否定したと述べた。 「現在、技術部門はリスクがある可能性のあるアカウントを調査中であり、結果は2日以内に発表される予定です。」

昨年10月、Dianping.comは未知のソースからの悪意のある攻撃を受け、一部のユーザーがウェブサイトに正常にアクセスできなくなりました。

情報セキュリティ投資は欧米に比べて遅れている

近年、情報セキュリティ漏洩事件が多数発生しています。

2011年末のCSDN漏洩事件では、公開チャネルを通じて26件のデータベースが漏洩したと疑われ、2億7800万件のアカウントとパスワードが含まれた。これは「中国インターネット史上最大の漏洩」と呼ばれた。今年の3.15ガラでは、銀行員が顧客情報を犯罪者に売って被害者が3000万元以上を失ったことが明らかになった。

「実は、インターネットにログオンした瞬間から、個人情報がさらされている。個人も企業も大きなリスクに直面している」と業界団体の関係者は記者団に語った。わが国の現在の情報セキュリティ投資はIT投資全体の約1％に過ぎず、欧米諸国の8％から12％のレベルに大きく遅れをとっている。全体的な投資不足により、国内の多くの部門や企業の情報が脆弱な立場に置かれている。

業界関係者は記者に対し、多くの企業が情報セキュリティへの投資に非常に慎重だと語った。中小企業の平均投資額は数万元から数十万元に過ぎないかもしれない。「彼らにとって、この問題は保険を買うのと同じだ。もし何かが起これば考えるだろうが、起こらなければ考えないかもしれない」

イントラネットのセキュリティ管理にいち早く取り組んだ易欣科技の任波総経理は記者に対し、電子商取引企業として、情報漏洩は基本的に外部原因と内部原因に分けられると語った。ハッカー、トロイの木馬、ウイルスなどの外部要因は、ファイアウォールの強化、ウイルス対策ソフトのアップグレードなどで防御できる。現在、外部ネットワーク防御のこの分野の技術製品は比較的成熟している。内部漏洩は、一般的に社内従業員が誤って情報を漏洩することと、「インサイダー」が故意に機密情報を盗むことが含まれる。企業の怠慢と社内従業員の機密情報に対する理解とその保管場所の明確さにより、ひとたび漏洩が発生すると、会社に大きな損害、さらには致命的な打撃を与えることになる。

Zecurionによれば、2011年には世界中で合計819件の情報漏洩事件が記録され、総損失額は200億ドルを超え、漏洩事件1件当たりの損失額は244万2000ドルに達した。国家安全省の統計によると、わが国の企業ユーザーの63.6%が「高リスク」レベルにあり、ネットワーク漏洩による経済的損失は毎年数百億ドルに上ります。

現在、深刻化する個人情報漏洩事件を受けて、国も犯罪取り締まりを強化している。公安部は20以上の省で全面的な取り締まりを開始しただけでなく、「個人情報保護ガイドライン」などの政策も導入し、指導を行っている。

「しかし、人的要因を無視することはできません。」前述の業界関係者は、技術管理とプロセス最適化を強化する過程で、どのようなセキュリティ管理措置を講じても、関連する情報データにアクセスし、操作、伝送、処理する人員が必要であるが、人は生きており、その行動を情報構成要素のように設定することはできないため、これは解決が非常に難しい問題であると述べた。

同氏は、安全管理における人間化で最も重要なことは、単にやり方を教えるのではなく、なぜそれが安全なのかを人々に理解させることだと述べた。これは、モバイルインターネットやソーシャルネットワークが広く普及し、情報の伝達が極めて便利で高速な今日では特に当てはまる。

原題: 頻発するインターネット漏洩の背後にあるもの: セキュリティ投資は IT 業界のわずか 1% を占める

キーワード: インターネット、ネットワーク漏洩、頻繁な秘密、セキュリティ、投資、説明のみ、最近、メディア、レポート、消費、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、金儲け