米ベライゾンの年次報告書が明らかにする、データ漏えいの原因とは:継続的なモニタリングを推奨
ベライゾンジャパンは2015年6月10日、2014年に世界で発生したセキュリティインシデントやデータ侵害(漏えい)事件を分析した「2015年度データ漏えい/侵害調査報告書」(Data Breach Investigations Report:DBIR)に関する説明会を開催。侵害の原因などを解説した。
「侵害事件では、最初の侵入にはフィッシングメールなどのシンプルな手法が使われることが多い。一方、いったん侵入した後に使われるマルウエアはカスタマイズされ、検出しにくく、時にはゼロデイ脆弱(ぜいじゃく)性を狙うなど巧妙なものとなっている。こうした侵害を見つけ出すには、ユーザーやデバイス、ネットワークの状況を常時モニタリングし、普段とは異なる振る舞いに着目していく必要があるだろう」——。
米ベライゾンのグローバルセキュリティソリューション担当ディレクター、ジョナサン・グエン-ユイ氏米ベライゾンのグローバルセキュリティソリューション担当ディレクター、ジョナサン・グエン-ユイ氏は2015年6月10日、2014年に世界で発生したセキュリティインシデントやデータ侵害(漏えい)事件を分析した「2015年度データ漏えい/侵害調査報告書」(Data Breach Investigations Report:DBIR)に関する説明会の中でこのように述べ、モニタリングの重要性を強調した。
DBIRは、2014年に発生した約8万件に上るセキュリティインシデントと2100件以上のデータ漏えい/侵害事件の手法や影響についてまとめたものだ。世界61カ国にまたがり、ベライゾン自身も含む70の企業や組織の調査を得て分析を行ったという。なお、DBIRが発行されるのは今回で8年目。同社はこれまで10年以上に渡って発生した8000件以上のデータ侵害、約19万5000件のセキュリティインシデントを記録してきたという。
2015年度の調査では、全インシデントの96%が9種類の攻撃パターンに起因することが明らかになった。中でも「POSへの侵入」「クライムウエア」「サイバースパイ活動」「内部者による不正使用」「Webアプリケーション攻撃」という上位5つのパターンだけでも全体の85%を占めることから「この部分にフォーカスしてリソースや人を投入することを推奨したい」とグエン-ユイ氏は言う。
また、侵入の糸口の一つとなる攻撃コード(Exploit)が狙う脆弱性を調査したところ、既知の10個の脆弱性が全体の97%を占める結果となった。その中には「CVE-1999-0517」の他、2002年に公になった脆弱性が複数含まれている。「脆弱性に関する情報はあっても、パッチを当てていないことが原因の一つになっている」とグエン-ユイ氏は述べている。
さらに、「フィッシングメール(なりすましメール)を開かないようにする」という対策が困難であることも明らかになった。同社では約15万通のフィッシングメールを分析したが、「平均して8〜9通のフィッシングメールを送り続けると、9割方は引っかかってメールを開いてしまったり、添付ファイルをクリックしてしまい、組織内に侵入されてしまう」(グエン-ユイ氏)。
国内では標的型攻撃による国民年金機構からの情報漏洩事件が耳目を集めている。グエン-ユイ氏は、「米国の政府機関などは、スキャンをはじめとする攻撃に常にさらされていることを認識し、たとえさまざまなセキュリティ対策を講じても『侵入されている可能性はある』という前提に立って絶えず監視を行い、何か起こったら早めにその芽を摘むようにしている。人体が多数の病原菌を持っていても病気にならないよう気をつけるのと同じことだ」(同氏)。
一連の傾向を踏まえて同氏が推奨する対策は、「警戒を怠らず、継続的なモニタリングを行うことだ」という。ただ、闇雲にシステム内の全ての挙動を監視するのは非現実的だ。「まずはアセスメントを通じて、自社にとって何が大切なのかを明らかにし、それをモニタリングしていくことをお勧めしたい」(グエン-ユイ氏)。なお同氏によると、データ侵害の証拠のうち97%は、Webアプリケーションサーバーやデータベースのログに残っているという。これらの監視、分析も、通常とは異なる振る舞いを判別する手助けになるという。
同時に、「継続的にコントロール(統制)を実施していくこと」も重要だ。中でも、掛ける手間の割に効果が大きくお勧めなのが、「二要素認証の利用」と「Webアプリケーションセキュリティ」という。そして、こうしたコントロールを実施すると同時に、いざという時に備えた計画を立てておき、深刻な場合はすぐに専門家に相談できる体制を整えてほしいとした。
2015年のDBIRの日本語版エグゼクティブサマリーはベライゾンジャパンのWebサイトで公開されており、上記の調査結果に加え、侵害を受けた場合のコストを推定する評価モデルなどが含まれている。完全版の日本語訳は2015年7月中旬に公開される予定という。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。