米国司法省は28日、マイアミの男であるアルバート・ゴンザレス(Albert Gonzalez)を最大の身元盗難訴追で記録したと発表した。ゴンザレス氏は、ハートランド・ペイメント・システムズと7-Elevenを含む様々なターゲットから1億3千万ものクレジットカードとデビットカードのアカウントを妥協させている、ロシアの共犯者2人と一緒に非難されている。
司法省ゴンザレスの捜査と起訴の成功のために賞賛されるべきであるが、逮捕はすでに妥協して闇市場で入手可能な口座を「破棄しない」ことはない。理想的な世界では、逮捕は将来の個人情報の盗難を阻止するだろうが、そうは考えにくい。これは、依然として殆ど完全に匿名の犯罪であり、多額の収入を生み出す可能性があり、身分証明書の窃盗犯は、Gonzalezよりもスマートで良いと考える傾向があります。彼は間違いを犯しましたが、捕まえられないでしょう。
司法省への称賛ですが、あなたの背中を見守って、同様の攻撃からあなたのネットワークとデータを保護する必要があります。
[詳しい情報:Windows PCからマルウェアを削除する方法]1. ワイヤレスセキュリティ。今日、ほとんどの企業にワイヤレスネットワークが存在しています。ワイヤレスネットワークに関することは、従業員が移動してネットワークに接続したままにすることができるということですが、ワイヤレスアクセスポイントの範囲内にある権限のないユーザーにもアクセスできる機会を提供します。 TJXとLowesのデータ侵害は、弱いまたは存在しない無線ネットワークセキュリティによって可能になった。
追加の保護層を提供するために、無線ネットワークをプライマリネットワークから分離する必要がある。ワイヤレス接続は、最低でもWPAまたはWPA2暗号化で保護する必要があります。ワイヤレスネットワークにアクセスするために他の形式の認証が使用される場合はさらに優れています。許可されていない無線ネットワークを設定し、不正なネットワークが存在しないことを保証するための期間スキャンも行うべきである。
2. 準拠。クレジットカードの取引データを承認、処理、送信、または保存することにより、これらの攻撃で侵害された組織は、PCI DSS(Payment Card Industry Data Security Standards)の要件に該当します。 PCI DSSは、クレジットカード業界が開発し、機密性の高いクレジットカード情報を取り扱う企業に、セキュリティ要件のベースラインを提供しています。
企業の多くは、SOX(サーベンス・オクスリー法)やGramm-Leach -Bliley Act(GLBA)。企業がコンプライアンス要件の趣旨と遵守の声明を尊重することが重要です。チェックリストの記入や監査の受け渡しはコンプライアンスの目標ではありません。重要なデータとネットワークリソースを保護することが目標です。コンプライアンス監査で掻き集めるための最小限の努力は、企業の評判を怒らせ、しばしばコンプライアンスよりもはるかにコストがかかるデータ妥協につながる可能性のある弱点を残す可能性があります。
3. Diligence これは大きなものです。セキュリティは24/7/365フルタイムの仕事です。無線ネットワークをロックダウンし、不正なネットワークを禁止するポリシーを策定することは素晴らしいことですが、誰かがこのポリシーに違反し、来週不正な無線ネットワークを展開するとどうなりますか? PCI DSS準拠監査に合格することは素晴らしいですが、従業員が出入りし、コンピュータシステムがプロビジョニングされ、廃止され、新しいテクノロジがネットワークに導入されます。監査の時点でネットワークが準拠しているという理由だけでも、1ヵ月後には準拠することを意味するわけではありません。
攻撃者はネットワーク防御の弱点を明らかにするために絶えず努力しています。ネットワークとセキュリティ管理者は、攻撃のテクニックと対策についていくだけで勤勉である必要があります。さらに重要なことは、侵入検知と防御システムのアクティビティ、ファイアウォールログ、およびその他のデータを監視して、侵害の兆候や疑わしいアクティビティに注意を払う必要があることです。先に攻撃を特定して停止することができれば、データの損失が少なくなり、ゼロの代わりにヒーローになることが増えます。
Tony Bradleyは、10年以上の企業IT経験を持つ情報セキュリティと統一コミュニケーションの専門家です。彼は @PCSecurityNews としてつぶやき、 tonybradley.com で彼のサイトに情報セキュリティと統一コミュニケーション技術に関するヒント、アドバイス、レビューを提供します。