サイバー犯罪はお手軽志向へ、脆弱性のある企業がたまたま狙われるケース増
2011 Data Breach Investigations Report |
米Verizon Communicationsの一事業部門であるVerizon Businessは19日、同社が2010年に調査したデータ漏えい/侵害事件をまとめた報告書「2011 Data Breach Investigations Report」を発表した。2010年に新たに報告された事件は761件と前年から増加したが、それらの事件で漏えいしたデータの数は、前年の約1億4400万件から、今回は400万件以下へ激減した。
この報告書は2008年版から毎年発行しているもので、今回が4年目。2009年版まではVerizon Businessで調査したケースのみをベースにしていたが、2010年版からは米国シークレットサービスから提供を受けた金融犯罪の被害データも追加。さらに今回の2011年版では、オランダ警察庁の国家ハイテク犯罪対策局も報告書作成に参加した。
報告書によると、漏えいしたデータ数は、2004年に1148万8000件だったのが、2005年に1億432万1000件、2006年に1億2423万5000件、2007年に1億7107万7984件と増加した後、2008年には3億6083万4871件へと一気に倍増した。しかし2009年には1億4364万3022件へと半分以下に減少し、さらに2010年になって387万8370件に激減している。
攻撃が巧妙化し、検知されにくくなったことも事実だというが、Verizon Businessでは、それだけではこの激減を説明できないと指摘する。すなわち、データ漏えい事件の件数自体は増加していることから、サイバー犯罪者の心理が変化してきた結果だとみている。2009年、2010年と立て続けに犯罪グループのリーダー的存在が逮捕・起訴されたことを目の当たりにしたことで、犯罪者は、大規模な攻撃を仕掛けて捕まるよりも小規模の攻撃を数多く行うようになったという。
データ漏えい/侵害事件数の推移 |
こうした変化について、ベライゾンビジネスのフォレンジック調査対応部シニアコンサルタントの鵜沢裕一氏は、「侵入しやすいサイトを探して手軽に盗んでいくケースが増え、逆に特定の企業を狙ってごっそり持っていくケースは減った」と説明。犯罪者の意識が、リスクの少ないお手軽志向になってきていると表現する。
761件の事件のうち、そのターゲットを本当に狙っていたケースは17%にとどまり、漏えいしたデータ数でみても全体の10%に過ぎなかった。残りの83%の事件は、自動化された攻撃ツールなどを用いて「たまたま」攻撃可能なサーバーを見つけて侵入したらデータを盗めてしまったという、不特定型の攻撃だったと分類している。
これらは比較的単純な手法で侵入に成功しており、実際のところ、複雑で高額な防御策が必要だったケースはわずか3%だったという。また、クレジットカードの情報セキュリティ基準「PCIDSS」に準拠していた企業は、今回報告された被害企業のうち11%にとどまっている。こうしたことから、大半の事件は、PCIDSSに準拠するといった基本的な対応を徹底することで防げた可能性が高いことも示しているという。
一方で、最初からその企業を狙ってデータを盗んだケースでは、知的財産や機密情報に的を絞る傾向になってきているという。この点も、個人情報を盗むケースと比べ、漏えいデータの数が減少していることにつながっている。
侵入からデータ漏えい/侵害まで、発見まで、封じ込めまでの時間 |
犯罪者のお手軽志向は、セキュリティホールを見つけて侵入してからデータを盗むまでの時間が短縮傾向にあることからもうかがえるという。2010年夏ごろまでは、じっくり1カ月かけるようなケースも見られたというが、今回報告された事件のうち、それが数分のものが33%、数時間が14%、数日が44%、数週間が5%、数カ月が4%、数年または攻撃していないケースが1%未満となっており、数日以内で90%以上を占めている。
データを盗まれてから被害者がそれを把握するまでの時間は、数分以内が1%未満、数時間が4%、数日が17%、数週間が38%、数カ月が36%、数年または気付いていないケースが5%だった。自社で発見できずに、外部からの指摘でようやく把握していることが多いことを示しているという。
鵜沢氏は、攻撃のお手軽志向の結果、これまで狙われていなかったような業種の企業が狙われるケースも今後増えると思われると述べ、注意を呼びかけた。
報告書は現在、英語版をVerizon Businessのサイトよりダウンロードできる。日本語版も後日公開予定。
■日本で扱った事件は、SQLインジェクションがほとんど
761件の事件を攻撃元で分類すると、外部が92%、内部が17%、パートナーが1%(いずれも疑いがあるものを含む)。内部は前年には50%近くを占めたが、今回はその比率が下がっている。ただし、事件の絶対数は減っておらず、外部が大きく増加したために相対的に内部の比率が下がっただけだ。
ベライゾンビジネスのフォレンジック調査対応部シニアコンサルタントの鵜沢裕一氏 |
また、漏えい元となった機器による分類では、サーバーからの事件が76%(漏えいデータ数では全体の57%)、ユーザーデバイスが56%(同22%)と多いが、前年と比較するとサーバーの割合が減ってユーザーデバイスが増加した。ユーザーデバイスとしてはデスクトップ/ラップトップPCなどがもちろん含まれるが、POS端末やATMもこのカテゴリーとなり、それらが今回は非常に多かったという。
手口としては、「マルウェア」が使われた事件が49%(漏えいデータ数では全体の79%)、「ハッキング」が50%(同89%)で多いが、次いで「物理的な攻撃」が29%(同10%)に上った。このほかは、不正使用が17%(同1%)、ソーシャルエンジニアリングが11%(同1%)など。
具体的な手口を事件数ベースで見ると、最多は、外部サイトなどにデータを送信するタイプのマルウェアの297件で、次いでバックドアタイプのマルウェアが294件、バックドアまたはコマンドアンドコントロールチャンネルによるハッキングが279件、デフォルトパスワードまたは類推パスワードによるハッキングが257件、キーロガータイプのマルウェアが250件、物理的な攻撃が216件、総当たり攻撃/辞書攻撃が200件など。
SQLインジェクションによるハッキングは54件で16位だった。依然として上位に顔を出しているものの、前年からは減少したという。
ただし、鵜沢氏が担当した日本のケースにおいては、マルウェアやバックドアもあったものの、そのほとんどがSQLインジェクションだったとしている。
同時に、中小企業のケースが多く、ウェブ作成やデータベース構築業務を外部に丸投げしていることでセキュリティ対策の意識がおろそかになっていると指摘する。本来であればそうした業務の委託先だけでなく別の企業による外部チェックも必要だと強調するが、中小企業ではコスト面でなかなか手が回らないのも実情だ。
そこで、自社で保管しておく必要のないデータは削除するといった対応も有効になるという。ビジネス上必要なのかどうかきちんと議論がなされないまま、便利だからという理由でクレジットカード情報などを自社で保管している事例も多いと鵜沢氏は指摘。そのデータを保持する必要性を検討するとともに、必要である場合にもウェブサーバーには決して置かないなどの対応をとるべきとしている。
物理的な攻撃は前年から倍増しており、これにはPOS端末やATM、ガソリンスタンドの決済機などにおけるクレジットカードの不正操作などが含まれるが、日本ではほとんど報告されていないという。レストランやホテル、小売業など、やはり情報セキュリティにコストをかけられない中小企業が多い業種が被害に遭っており、特にPOS端末については、デフォルトのIDとパスワードが地下市場で出回ってしまった製品もあったという。ただし、これも日本では、導入されるPOS端末が国内ベンダーのものがほとんどであるせいか、こうしたトラブルはないとしている。