Tweet

推測しやすいパスワードが攻撃の糸口に

犯罪グループの狙いは「ローリスク」型に、米ベライゾン調査

2011/04/20

　米ベライゾンは4月20日、「2011年度データ漏えい／侵害調査報告書」を発表した。同社および米国シークレットサービスの調査を基に、2010年に発生したデータ漏えい／侵害事件の傾向をまとめたレポートだ。

　これによると、2010年に発生したデータ漏えい／侵害事件は761件。しかし侵害を受けたデータの件数は、2009年の1億4400万件から大幅に減少し、わずか400万件程度にとどまった。

　ベライゾンビジネスのフォレンジック調査対応部 シニアコンサルタント 鵜沢裕一氏は、大規模な漏えい事件が減った背景について、「犯罪グループのリーダーが逮捕、起訴されたこともあって、大きい獲物よりもローリスクを狙う心理が働いているのではないか」と述べた。また侵害の対象が、件数の多い個人情報／クレジットカード情報から、企業の知的財産や機密情報にシフトする傾向も見られるとした。

　侵入経路としては、内部関係者による攻撃件数も多いものの、それ以上に外部からの攻撃が増加し全体の92％を占めた。具体的な手法を見ると、バックドアやキーロガーといった外部にデータを転送するマルウェアによるものが49％、ハッキングによるものが50％。ハッキングでは、デフォルトのままのパスワード、あるいは推測しやすいパスワードを悪用したり、ブルートフォース攻撃を受けたりと、脆弱な「認証」を突かれるケースが多かった。

　鵜沢氏は、「2010年は、これまでのようにターゲットを絞る攻撃が減り、代わりに無作為に入りやすいサイトを探して侵入するケースが多かった」と指摘。「これまで被害を受けていないから大丈夫」と思っている企業も攻撃の対象になる可能性があると警告した。たとえ中小企業であってもセキュリティ対策に力を入れ、PCI DSSへの準拠や外部のベンダによる脆弱性検査などを受けるべきだという。

　とはいえ、セキュリティ予算が限られている企業は少なくない。その場合も、所有するデータを最小限にとどめるといった対策は可能だろうと鵜沢氏は述べた。「そもそもデータを持たなければ被害には遭わない。必要なデータは仕方ないとしても、ビジネス上必要のないデータまでも、きちんと議論しないまま『便利だから』と持っているケースが多い」（同氏）。必要なデータについても、Webサーバと連動したデータベースに置くのではなく、別の強固な手法で保管するといった手を取るべきだという。

　なお鵜沢氏は、夏場に予想される電力不足を踏まえ、自宅から作業する場合が増えるだろうが、その場合もユーザーの「うっかり」を防ぐ仕組みをシステム側に用意しておくべきだとも述べた。例えば機密データを扱う際には、なるべくデータをPCに保存しない、外部メディアに書き込まないようなプロテクションをかけ、ヒューマンエラーの発生を避ける工夫が必要だという。

　また、ある企業の侵害事件では、PCI DSSに準拠した対策を取っていたにもかかわらず、CTOがPCI DSSのスコープから外れる「自分専用VPN」を構築してしまった。悪いことにCTOの自宅PCが侵入を受け、そこからVPNを介して企業ネットワークに侵入され、情報流出につながったという。こういったケースを他山の石とし、「たとえ上位者でもポリシーをゆるめない」「VPNを接続したままにしない」といった事柄に留意すべきとした。