公共機関ＨＰへ「サイバー攻撃」改ざん、サミット前に厳重警戒の記事に思う

開催が迫ってきたサミットに伴い、公共機関のホームページ改ざんが全国で発生しているとのことです。（ソース：読売新聞）攻撃手段は、相変わらず「SQLインジェクション」による攻撃だとの事。

こういう記事を読むたびに思うのは、公の機関の情報セキュリティに関する対応の甘さです。ホームページに対する改ざんなどの事件は、過去より数々行われてきて散々被害にあっており情報は認識しているはずです。
また、IPAの「情報セキュリティ白書2008」にも、インターネットに関する１０大脅威として「SQLインジェクション」についての記載もあります。
そのようなことにも関わらず、このような事件が後を絶たないのは「自分のところのホームページが改ざんの標的になるわけない」と、公共機関のシステム担当者が、他人事のように思っているのではないか、と思われることです。

国のホームページについては、２～３年前に改ざん攻撃を受けたため、現在ではセキュリティ対策を講じているようですが、地方自治体、それも市区町村レベルにまでなってくると、まず自分の市（や町、村）のホームページが標的になることはないだろう、と思っているのではないでしょうか？

また、県、政令指定都市レベルでは情報システム部門があるかもしくは担当者がいるとは思いますが、町や村の末端になるとそのような人材が不足しているのではないか、とも思われます。
さらには、地方と都市圏での格差もあるのではないでしょうか？

よく新聞やＴＶ等でクローズアップされるのは、医療格差などがありますが、IT人材についても格差があるのではないかと感じています。末端までのセキュリティレベルを上げていくことは難しいとは思いますが、少なくとも危機意識を持つことで、何かしらの対策は打てるはずです。（年に１回、サイトのセキュリティ監査を受けるだけでも効果はあると思います。）

インターネットが当たり前の世の中になった今、もう一度、セキュリティについて考えてみる必要があるように思います。

-----[2008/07/02 18:20追記]-----

ホームページ改ざんに関してインターネットで情報を集めていたところ、ITProで「第1回　急増するWebサイト改ざん事件」（URL：ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080624/309301/?ST=web_threat）という記事で連載がありました。この記事の中で、ホームページの改ざんの目的が昔と異なるという事が書かれています。

すなわち、昔のホームページ改ざんはどちらかというと政治的な思想や技術力誇示が最終目的だったのですが、最近では改ざんした際にマルウェアを仕込むことで、ホームページを訪れた人がページを閲覧等する事により、悪意のあるコードが実行され、マルウェアが起動される、いわゆる「二次災害」までをはらんでいるという点です。

ここまでくると、単に「ホームページ」の改ざんというだけは済みませんので、改ざんにあったサイトは徹底的にセキュリティチェックを専門の業者に実施してもらう必要があるでしょう。

タグ：情報セキュリティ セキュリティ サミット 日記