検索
話題のトピック
トップ
速報アクセスランキングトピック一覧人事おくやみプレスリリースビジュアルデータ写真映像社説経済指標・統計
話題のトピック物流2024年問題イスラエル・ガザ情勢Google公取委 攻防小林製薬「紅麹」問題日米首脳会談自民政治資金問題賃上げ2024米大統領選2024私の履歴書日経スクープ基礎から日経
速報
人事おくやみプレスリリース
ビジネス
スタートアップ電機法務ガバナンス機械小売り自動車外食エンタメ金融機関サービス資源エネルギー商社・卸売り素材専門店・EC情報通信・ネット生活・日用品医薬品・医療介護食品建設・不動産企業業績・財務物流・運輸
コラム仕事人秘録消費を斬る池上彰法務インサイド就活ヒットのクスリ食の進化論事業承継DXTRENDビッグBiz解剖しごと進化論BizランキングNEXT Company値札の経済学そこが知りたい経営の視点未来面
マーケット
株式ランキング企業業績・財務投資信託為替・金利世界の市況商品企業IR海外
コラムMarket BeatForesightスクランブルスクランブル・フラッシュポジションマーケットα記者の目価格は語るマネー底流潮流日経ヴェリタスUp & DownESG光と影Tech×Market
経済
経済金融政策
コラム底流経済教室やさしい経済学霞が関エックス線Angle霞が関ノート
国際
中国・台湾北米朝鮮半島中南米東南アジアNikkei Asia南西ア・オセアニアFTヨーロッパThe Economist中東・アフリカアジアBiz
コラム習政権ウオッチAsia Analysis朝鮮半島ファイルグローバルViewsStep up English
オピニオン
社説3Graphics春秋エコノミスト360°視点Deep InsightグローバルオピニオンNikkei ViewsAsiaを読む経済教室デンシバSpotlightやさしい経済学私見卓見核心COMEMO中外時評FT時論・創論・複眼The Economistニッキィの大疑問
政治アカデメイア本社コメンテーターFT commentators編集委員
政治
政治風見鶏外交・安全保障政界Zoom世論調査永田町・動画リポート選挙
コラム参議院選挙2022岸田政権衆院選2021吉野直也のAngle防衛を考える安保3文書きょうの一言憲法のトリセツ首相動静政治資金問題の視座
金融
金融機関金融政策フィンテックESGアセットマネジメント取引所地域金融
コラム日銀ウオッチ中銀ウオッチ金融PLUS金融を問うFTモラル・マネーポジション金融最前線解剖フィンテックイチからわかる金融
マネーのまなび
増やす学ぶ貯める得する借りる備える
コラムマッスルマネーお金のトリセツお金を殖やすツボとドツボみんなのESG20代からのマイホーム考日経マネー特集プロの羅針盤家計の法律クリニック人生100年こわくない統計の森を歩く投資つれづれ草マネーの本棚マネーのとびらマネー手帳
テック
サイエンスモバイル・テレコムカーボンゼロサイバーセキュリティー半導体SNSAI
コラムスタートアップGlobeCBインサイツ36KrDealStreetAsiaモバイルの達人教えて山本さん!日経サイエンス
スポーツ
プロ野球MLBサッカーゴルフフィギュアラグビー相撲競馬高校野球格闘技その他スポーツコラム
社会・調査
事件・司法教育調査報道災害・気象
コラム揺れた天秤Answersドキュメント日本風紋名前フロンティアウェザープラス
地域
文化
カバーストーリー私の履歴書文化往来美の十選交遊抄アートレビュー読書囲碁・将棋エッセー諸田玲子「登山大名」朝井リョウ「イン・ザ・メガチャーチ」上村以和於「歌舞伎 幕あい余話」今野真二「日本語日記」
ライフスタイル
生活The STYLEダイバーシティ健康・医療グルメ&トラベル学んでお得ワークスタイル子育てトレンド
コラム何でもランキングMy Story人間発見東京ふしぎ探検隊追想録私のリーダー論くらしの数字考鉄道の達人令和なコトバナショナル ジオグラフィック
朝刊・夕刊LIVEMyニュース日経会社情報人事ウオッチ
NIKKEI Prime

朝夕刊や電子版ではお伝えしきれない情報をお届けします。今後も様々な切り口でサービスを開始予定です。

サービス紹介へ
メディア一覧
検索
話題のトピック
トップ
速報アクセスランキングトピック一覧人事おくやみプレスリリースビジュアルデータ写真映像社説経済指標・統計
話題のトピック物流2024年問題イスラエル・ガザ情勢Google公取委 攻防小林製薬「紅麹」問題日米首脳会談自民政治資金問題賃上げ2024米大統領選2024私の履歴書日経スクープ基礎から日経
速報
人事おくやみプレスリリース
ビジネス
スタートアップ電機法務ガバナンス機械小売り自動車外食エンタメ金融機関サービス資源エネルギー商社・卸売り素材専門店・EC情報通信・ネット生活・日用品医薬品・医療介護食品建設・不動産企業業績・財務物流・運輸
コラム仕事人秘録消費を斬る池上彰法務インサイド就活ヒットのクスリ食の進化論事業承継DXTRENDビッグBiz解剖しごと進化論BizランキングNEXT Company値札の経済学そこが知りたい経営の視点未来面
マーケット
株式ランキング企業業績・財務投資信託為替・金利世界の市況商品企業IR海外
コラムMarket BeatForesightスクランブルスクランブル・フラッシュポジションマーケットα記者の目価格は語るマネー底流潮流日経ヴェリタスUp & DownESG光と影Tech×Market
経済
経済金融政策
コラム底流経済教室やさしい経済学霞が関エックス線Angle霞が関ノート
国際
中国・台湾北米朝鮮半島中南米東南アジアNikkei Asia南西ア・オセアニアFTヨーロッパThe Economist中東・アフリカアジアBiz
コラム習政権ウオッチAsia Analysis朝鮮半島ファイルグローバルViewsStep up English
オピニオン
社説3Graphics春秋エコノミスト360°視点Deep InsightグローバルオピニオンNikkei ViewsAsiaを読む経済教室デンシバSpotlightやさしい経済学私見卓見核心COMEMO中外時評FT時論・創論・複眼The Economistニッキィの大疑問
政治アカデメイア本社コメンテーターFT commentators編集委員
政治
政治風見鶏外交・安全保障政界Zoom世論調査永田町・動画リポート選挙
コラム参議院選挙2022岸田政権衆院選2021吉野直也のAngle防衛を考える安保3文書きょうの一言憲法のトリセツ首相動静政治資金問題の視座
金融
金融機関金融政策フィンテックESGアセットマネジメント取引所地域金融
コラム日銀ウオッチ中銀ウオッチ金融PLUS金融を問うFTモラル・マネーポジション金融最前線解剖フィンテックイチからわかる金融
マネーのまなび
増やす学ぶ貯める得する借りる備える
コラムマッスルマネーお金のトリセツお金を殖やすツボとドツボみんなのESG20代からのマイホーム考日経マネー特集プロの羅針盤家計の法律クリニック人生100年こわくない統計の森を歩く投資つれづれ草マネーの本棚マネーのとびらマネー手帳
テック
サイエンスモバイル・テレコムカーボンゼロサイバーセキュリティー半導体SNSAI
コラムスタートアップGlobeCBインサイツ36KrDealStreetAsiaモバイルの達人教えて山本さん!日経サイエンス
スポーツ
プロ野球MLBサッカーゴルフフィギュアラグビー相撲競馬高校野球格闘技その他スポーツコラム
社会・調査
事件・司法教育調査報道災害・気象
コラム揺れた天秤Answersドキュメント日本風紋名前フロンティアウェザープラス
地域
文化
カバーストーリー私の履歴書文化往来美の十選交遊抄アートレビュー読書囲碁・将棋エッセー諸田玲子「登山大名」朝井リョウ「イン・ザ・メガチャーチ」上村以和於「歌舞伎 幕あい余話」今野真二「日本語日記」
ライフスタイル
生活The STYLEダイバーシティ健康・医療グルメ&トラベル学んでお得ワークスタイル子育てトレンド
コラム何でもランキングMy Story人間発見東京ふしぎ探検隊追想録私のリーダー論くらしの数字考鉄道の達人令和なコトバナショナル ジオグラフィック
朝刊・夕刊LIVEMyニュース日経会社情報人事ウオッチ
NIKKEI Prime

朝夕刊や電子版ではお伝えしきれない情報をお届けします。今後も様々な切り口でサービスを開始予定です。

サービス紹介へ
メディア一覧
検索
話題のトピック
トップ
速報アクセスランキングトピック一覧人事おくやみプレスリリースビジュアルデータ写真映像社説経済指標・統計
話題のトピック物流2024年問題イスラエル・ガザ情勢Google公取委 攻防小林製薬「紅麹」問題日米首脳会談自民政治資金問題賃上げ2024米大統領選2024私の履歴書日経スクープ基礎から日経
速報
人事おくやみプレスリリース
ビジネス
スタートアップ電機法務ガバナンス機械小売り自動車外食エンタメ金融機関サービス資源エネルギー商社・卸売り素材専門店・EC情報通信・ネット生活・日用品医薬品・医療介護食品建設・不動産企業業績・財務物流・運輸
コラム仕事人秘録消費を斬る池上彰法務インサイド就活ヒットのクスリ食の進化論事業承継DXTRENDビッグBiz解剖しごと進化論BizランキングNEXT Company値札の経済学そこが知りたい経営の視点未来面
マーケット
株式ランキング企業業績・財務投資信託為替・金利世界の市況商品企業IR海外
コラムMarket BeatForesightスクランブルスクランブル・フラッシュポジションマーケットα記者の目価格は語るマネー底流潮流日経ヴェリタスUp & DownESG光と影Tech×Market
経済
経済金融政策
コラム底流経済教室やさしい経済学霞が関エックス線Angle霞が関ノート
国際
中国・台湾北米朝鮮半島中南米東南アジアNikkei Asia南西ア・オセアニアFTヨーロッパThe Economist中東・アフリカアジアBiz
コラム習政権ウオッチAsia Analysis朝鮮半島ファイルグローバルViewsStep up English
オピニオン
社説3Graphics春秋エコノミスト360°視点Deep InsightグローバルオピニオンNikkei ViewsAsiaを読む経済教室デンシバSpotlightやさしい経済学私見卓見核心COMEMO中外時評FT時論・創論・複眼The Economistニッキィの大疑問
政治アカデメイア本社コメンテーターFT commentators編集委員
政治
政治風見鶏外交・安全保障政界Zoom世論調査永田町・動画リポート選挙
コラム参議院選挙2022岸田政権衆院選2021吉野直也のAngle防衛を考える安保3文書きょうの一言憲法のトリセツ首相動静政治資金問題の視座
金融
金融機関金融政策フィンテックESGアセットマネジメント取引所地域金融
コラム日銀ウオッチ中銀ウオッチ金融PLUS金融を問うFTモラル・マネーポジション金融最前線解剖フィンテックイチからわかる金融
マネーのまなび
増やす学ぶ貯める得する借りる備える
コラムマッスルマネーお金のトリセツお金を殖やすツボとドツボみんなのESG20代からのマイホーム考日経マネー特集プロの羅針盤家計の法律クリニック人生100年こわくない統計の森を歩く投資つれづれ草マネーの本棚マネーのとびらマネー手帳
テック
サイエンスモバイル・テレコムカーボンゼロサイバーセキュリティー半導体SNSAI
コラムスタートアップGlobeCBインサイツ36KrDealStreetAsiaモバイルの達人教えて山本さん!日経サイエンス
スポーツ
プロ野球MLBサッカーゴルフフィギュアラグビー相撲競馬高校野球格闘技その他スポーツコラム
社会・調査
事件・司法教育調査報道災害・気象
コラム揺れた天秤Answersドキュメント日本風紋名前フロンティアウェザープラス
地域
文化
カバーストーリー私の履歴書文化往来美の十選交遊抄アートレビュー読書囲碁・将棋エッセー諸田玲子「登山大名」朝井リョウ「イン・ザ・メガチャーチ」上村以和於「歌舞伎 幕あい余話」今野真二「日本語日記」
ライフスタイル
生活The STYLEダイバーシティ健康・医療グルメ&トラベル学んでお得ワークスタイル子育てトレンド
コラム何でもランキングMy Story人間発見東京ふしぎ探検隊追想録私のリーダー論くらしの数字考鉄道の達人令和なコトバナショナル ジオグラフィック
朝刊・夕刊LIVEMyニュース日経会社情報人事ウオッチ
NIKKEI Prime

朝夕刊や電子版ではお伝えしきれない情報をお届けします。今後も様々な切り口でサービスを開始予定です。

サービス紹介へ
メディア一覧
電子版を検索会社情報を検索
朝刊・夕刊
LIVE
Myニュース
日経会社情報
人事ウオッチ
NIKKEI Prime
メディア一覧

NIKKEI Primeについて

朝夕刊や電子版ではお伝えしきれない情報をお届けします。今後も様々な切り口でサービスを開始予定です。

サービス紹介へ
/

フリーパスでやりたい放題 ネットの新たな脅威

コラム(ビジネス)

企業での記事共有や会議資料への転載・複製、注文印刷などをご希望の方は、リンク先をご覧ください。

詳しくはこちら

米マイクロソフト(MS)のサーバー用基本ソフト(OS)「ウィンドウズサーバー2003」のサポート終了まで半年を切った。終了後はセキュリティー上の欠陥(脆弱性)があっても修正パッチが配布されない。しかし、ソフトウエアというのは一般の人が考えるほど完璧な製品ではない。時に未知の脆弱性が発見される。その一例が、MSが2014年11月に公表したサーバー用ソフトの脆弱性だ。

チケットを盗み「黄金色」に書き換えてしまう

赤枠部分の有効期限など、チケットの権限内容を書き換えて偽造できる

MSは昨年11月、認証サーバー用の権限管理ソフト「アクティブディレクトリー」の脆弱性を公表した。当初はあまり話題とならなかったが、実は重大なリスクが潜んでいた。脆弱性を悪用し、情報セキュリティー関係者の間で「ゴールデンチケット」と呼ばれる攻撃を仕掛ければ、企業内の全てのパソコンを乗っ取ることもできるものだったのだ。企業が持つあらゆる情報が筒抜けになる可能性があり、関係機関は注意を呼びかけている。

アクティブディレクトリーはサーバー内にある社員のIDやパスワードなどの重要な情報を一元管理している。認証を受けて権限を与えられた人しか、サーバーやパソコンにアクセスできない仕組みだ。

例えば、一般社員がパスワードとIDなどを打ち込んで社内パソコンを立ち上げる場合や、システム管理者が一般社員それぞれのパソコンの設定を遠隔で変更する作業などで使用される。

問題となったのは「ケルベロス認証」と呼ばれる機能。その脆弱性を突けば、誰でもシステム管理者になりすまして、社内システムに自由に出入りできた。

攻撃のやり方は比較的単純だ。アクティブディレクトリーには、サーバーやパソコンにアクセスできる権限が記されたチケットを配る機能がある。まず攻撃者は標的型サイバー攻撃などで一般社員のパソコンを乗っ取り、そこからチケットを入手する。あとはチケットの権限内容を書き換えれば、システム管理者並みの権限を持てる。

問題の脆弱性は、いったんチケットを発行してしまうとその内容を再確認する機能が用意されていなかったことだ。攻撃者がシステム管理者と同じ権限の偽造チケットを保有していれば、何をやってもチケットを持っているという事実だけで見逃され、攻撃が止められない危険があった。チケットは発行後、有効期限が10時間しかない仕様になっていたが、期限を書き換えて「100年間有効」としてしまえば、半永久的にサーバーに入り込める。

権限内容を偽装して上位のシステム管理者になりすませば、ログ(動作記録)の保管期間も操作できる。全くログを残さない設定にしてしまえば、攻撃者に入り込まれたことすらわからない。

情報セキュリティー関係者はこの「フリーパスチケット」について、ハリウッド映画の「チャーリーとチョコレート工場」で描かれる工場見学の特別チケットになぞらえ、「ゴールデンチケット」と呼んでいる。

国内のセキュリティー組織、JPCERTコーディネーションセンターは昨年12月、この脆弱性を突いて機密情報を盗み出す「標的型サイバー攻撃」が複数発見されたと緊急の注意喚起をした。社内ネットワークに侵入して長期間にわたって潜伏し、情報を盗んでいた可能性がある。

MSは同11月中に修正パッチを緊急配布している。パッチを適用すればチケットの真偽を検証し、書き換えも見つけ出せるという。

昨年見つかった最悪の脆弱性との指摘

ただシステム管理者のパソコンが乗っ取られていれば、攻撃者はチケットを偽造するまでもなく全てのシステムにアクセスできてしまうため、修正パッチを当てても意味がない。JPCERTはパスワードの変更や無駄な管理者アカウントの削除などの対策が必要だと呼びかけている。

この脆弱性についてソフトバンク・テクノロジーの辻伸弘氏と泉田幸宏氏が解析し、サイバー攻撃の対策法をリポートでまとめた。辻氏は「14年に見つかった最悪の脆弱性」と指摘する。

MSの閲覧ソフト「インターネットエクスプローラー(IE)」や暗号化ソフト「オープンSSL」など、14年は「脆弱性の凶年」(IT大手)と言われている。

だが今回は、アクティブディレクトリーを組み込んだサーバーを持つ企業のパソコン全部を乗っ取って情報を盗める脆弱性であるため、「企業に対する影響は甚大なもの」(辻氏)と指摘する。

時にこうした事態が起こりうるというのが情報セキュリティー分野の「常識」だ。これに対して、ユーザーである国内企業の危機意識は高くはない。

国内セキュリティー大手のトレンドマイクロは1月15日、サポート終了が近づく「ウィンドウズサーバー2003」に関する調査結果をまとめた。サポート終了後も「2003」を使い続けると答えた国内企業は全体の5割を占めた。また、サポート終了後にサーバー用のセキュリティー対策を施すと答えた企業は16%にとどまったという。修正パッチが配布されない古いOSを使い続ければ、当然、攻撃のリスクは高まる。

ITの導入によって企業経営は格段に進歩した。しかし、それと同時に新たなリスクも高まっていることを十分に認識する必要がある。

(浅山亮)

アプリで開く

春割ですべての記事が読み放題
有料会員が2カ月無料

春割で無料体験するログインする
有料会員限定
キーワード登録であなたの
重要なニュースを
ハイライト
登録したキーワードに該当する記事が紙面ビューアー上で赤い線に囲まれて表示されている画面例
日経電子版 紙面ビューアー
詳しく見る

企業での記事共有や会議資料への転載・複製、注文印刷などをご希望の方は、リンク先をご覧ください。

詳しくはこちら

関連記事

関連企業・業界

企業:

関連キーワード

経営者の習慣 「一人合宿」の効果

NIKKEIリスキリング
経営者の習慣 「一人合宿」の効果

全国で使えるシェアオフィス

PRNIKKEI OFFICE PASS
全国で使えるシェアオフィス

生成AI、既存産業と組み合わせ勝負

BizGate
生成AI、既存産業と組み合わせ勝負

ChatGPT時代の新・仕事術とは

PRスキルアップ
ChatGPT時代の新・仕事術とは

同世代の年収っていくらぐらい?

PR日経転職版
同世代の年収っていくらぐらい?

2024年注目の物件を一挙にご紹介

PR世界の高級不動産
2024年注目の物件を一挙にご紹介

燕市の老舗メーカー製多機能爪ヤスリ

PR未来ショッピング
燕市の老舗メーカー製多機能爪ヤスリ

スーツの着こなし、これでバッチリ!

THE NIKKEI MAGAZINE
スーツの着こなし、これでバッチリ!

セレクション

未来面「未来の子どもたちのために何ができますか?」読者のアイデアと大和ハウス工業の講評日経優秀製品・サービス賞2023素材けん引 「コロナ後」対応 35点を紹介NIKKEI ニュースレター日経電子版が提供するニュースレターサービス「NIKKEI Briefing」などのご登録はこちらBSテレ東「日経ニュース プラス9」「NIKKEI 日曜サロン」論説フェローや記者が出演

トレンドウオッチ

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

日経ビジネス

日経クロステック

NIKKEI Prime

日経BizGate

NIKKEIリスキリング

日経ウーマノミクス

NIKKEI Smart Work

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
春割で無料体験するログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
春割で無料体験するログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
春割で無料体験するログイン
図表を保存する
有料会員の方のみご利用になれます。保存した図表はスマホやタブレットでもご覧いただけます。
春割で無料体験するログイン

権限不足のため、フォローできません

ニュースレターを登録すると続きが読めます(無料)

ご登録いただいたメールアドレス宛てにニュースレターの配信と日経電子版のキャンペーン情報などをお送りします(登録後の配信解除も可能です)。これらメール配信の目的に限りメールアドレスを利用します。日経IDなどその他のサービスに自動で登録されることはありません。

ご登録ありがとうございました。

入力いただいたメールアドレスにメールを送付しました。メールのリンクをクリックすると記事全文をお読みいただけます。

登録できませんでした。

エラーが発生し、登録できませんでした。

登録できませんでした。

ニュースレターの登録に失敗しました。ご覧頂いている記事は、対象外になっています。

登録済みです。

入力いただきましたメールアドレスは既に登録済みとなっております。ニュースレターの配信をお待ち下さい。

_

_

_