salesforce.com、顧客データの流出による被害を防ぐため大わらわ

この記事のURLhttp://japan.internet.com/webtech/20071109/12.html

Symantec が、3億5000万ドルを費やしてデータ漏洩防止ソフトウェア開発の Vontu を買収する理由とは何だろう。salesforce.com は最近、その理由を痛感したばかりだ。

salesforce.com のある経験の浅い従業員がフィッシングに騙され、不注意にも同社の顧客リストを流出させてしまった。同社は現在、その対応に追われている。そして顧客データを入手した攻撃者は、salesforce.con の顧客を狙ったフィッシングを展開している。

salesforce.com が6日付けで顧客に送り、同社の Web サイトにも掲載した文書のなかで、同社副社長 Parker Harris 氏は顧客に対し、顧客リストを流出させてしまった salesforce.com の従業員は、フィッシング詐欺の被害者との見方を示した。

「明確にしておきたいことは、あるフィッシング詐欺犯が、ある人物を騙してパスワードを手に入れたが、これは当社のアプリケーションあるいはデータベースのセキュリティ上の欠陥によるものではない」と Harris 氏は記している。なおこの種のデータ流出の原因として最も多いのはユーザー (従業員) の不注意で、salesforce.com の事例も例外ではなかったようだ。

フィッシング詐欺犯は、salesforce.com の顧客のフルネーム、社名、Eメールアドレス、電話番号、およびこれに付随する同社の管理情報を入手した。

その結果、これらの顧客に salesforce.com のインボイスを装った偽の Eメールが送りつけられる事態となった。特定の対象を狙い撃ちにすることから、セキュリティ専門家はこのような行為を「スピア フィッシング」(銛突き漁に例えた表現) と呼んでいる。salesforce.com はフィッシングの攻撃対象を明らかにしていないが、『Washington Post』紙の報道によると、攻撃対象の中には SunTrust Bank や 米給与計算サービス最大手の一角 Automatic Data Processing (ADP) が入っているという。

salesforce.com はこの問題に対処するため、アクセスログの監視と分析を行ない、影響を受けた顧客に警告するほか、セキュリティ対策業者へのコンサルティング依頼、詐欺サイトの追跡、社内におけるセキュリティ教育の見直しとアクセス規則の厳格化、そして新しいセキュリティ技術の検討など、様々な対策をとっている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。