「データ漏えいの大半は、PCI DSSのような基本的対策で回避できる」－Verizon Business

グローバルサービス本部長のヴェニュ・サティラジュ氏

漏えいデータの大半はハッキングとマルウェアによるもの

犯人の一番の狙いはクレジットカード情報

多くが第三者からの通知や連絡によって発見

　Verizon Businessは4月23日、データ漏えい/侵害調査報告書に関する記者説明会を開催。グローバルサービス本部長のヴェニュ・サティラジュ氏が、「2008年に漏えいしたデータは過去4年間の合計よりも多く、漏えいの90％に何らかの犯罪組織/グループが関与している」など主な分析結果を解説した。

　2008年にVerizon Businessが取り扱った90件のデータ漏えい/侵害事件、および2億8500万件に上る被害データを分析したもの。漏えいデータの数は、2004年から2007年までに調査した2億3000万件を大きく上回るもので、侵害の増加を示された。

　業種としては小売り業（31％）、金融業（30％）に被害が多く、特に金融業はこれまでの2倍と、最も増加が著しかった。被害データ数が急増したのも、「標的を絞った攻撃が2倍に増えており、特に多くの機密情報を持つ金融業界が多く狙われたため」（サティラジュ氏）という。国別で見ると、3分の1が米国以外の地域での事例で、企業の規模にかかわらず被害が発生している。

　被害原因としては、外部からの攻撃が74％と、内部（20％）・パートナー経由（32％）を大きく上回り、「特に驚くべきことに、漏えいデータの90％以上に何らかの犯罪組織が関係していた」（同氏）という。FBIをはじめとする各国の捜査機関や、Verizon Businessが保有するインテリジェントネットワークの情報から判明した。

　攻撃手法としては、ハッキングとマルウェアが突出しており、被害データ数における割合として前者が94％、後者が90％を占めた。これだけでも合計すると184％となることから、「攻撃が複数の手法を組み合わせた複雑なものになっていることが分かる」（同氏）。

　被害データの種別で見ると、「ほぼすべてがオンライン上の資産だった。一般的には、デスクトップや携帯機器、ポータブルメディアなどからのデータ漏えいが懸念されているが、実際は被害データの99％がサーバーとアプリケーションから漏えいしたものだった。特に、USBメモリをはじめとするポータブルメディアからの漏えいは1件のみで、USBメモリ混入マルウェアが騒がれているほどには大きなリスクとなっていなかった」（同氏）。

　具体的に狙われているのはクレジットカード情報で、全体の81％を占めた。特に暗証番号（PIN）に関連した情報が標的となっており、「PINで操作できる金額が大きくなったことで、犯罪者はこの貴重な商品を盗むためにプロセスを再構築し、新しいツールを次々と開発している」（同氏）という。

　漏えいの事実を自ら発見した例は少なく、多くが第三者からの通知や連絡によって発見された。ログやイベントの監視により発見できた例もあるが、わずかに6％。とはいえ、この対策が役立たずなわけではなく、システムを設置しただけであとは放置してしまっているケースが多いのだという。同氏は「監視のプロセスを見直し、自社では手に余るようならアウトソースしてでも、この部分を強化すべき」と述べた。

　多くの漏えいが発生した2008年だったが、これらデータ漏えいの大半（10件のうち9件）は、基本的な対策で回避できたという。「複雑で高額な対策が必要なものではなく、過失や問題の見落としがセキュリティ対策の妨げになっている。高度なものではなく、基本的なセキュリティの構築が求められている」（同氏）。

　具体的には、デフォルトの認証情報を変更すること、認証情報を複数の管理者で共有しないこと、ユーザーアカウントを見直すことなどを挙げる。「特にシステムや対策を導入しても、ベンダーのデフォルト設定を利用していることで被害につながることが多い。また、退職者のアカウントは即座に削除するほか、企業内では、“疑わしいもの”と“異常なもの”をより明確に切り分けて分析しなければならない」（同氏）。

　こうした基本的なセキュリティとしては、PCI DSSが非常に有効だと同氏。「被害にあった企業・団体のうちPCI DSSの対象となるものの実に81％が、事件発生時に未準拠であったことが確認されている」とした。

　しかし今回の調査にはPCI DSSに準拠・申請中だった例も19％含まれている。こうした準拠・申請中の企業は何が問題だったのかについては、「準拠企業でも12の要件のうち3分の1しか満たしていないところがあった。またすべてを満たしていても、企業内に未知のデータが存在し、監査で見過ごされたケースもある。例えばセンシティブデータを誰かがコピーし、そのままどこかに放置されたりするのだが、こうした未知のデータが大きなリスクとなっていて、今回の調査でも、被害データのうち3分の2がこうした未知のデータだった。漏えいを防ぐためには、未知のデータを洗い出すことが急務。また、PCI DSSでは外部からの審査が行われるのだが、企業内をくまなく診断しようとするとあまりにコストがかかるため、サンプルのみの審査など妥協してしまう側面もある」（同氏）とした。

PCI DSS準拠・申請中の企業も19％含まれていた	未知のデータがリスクに