［第1回］SNSで公開した情報が企業からのデータ漏洩のきっかけに

　フォレンジック調査対応部では、データ漏洩事故が起こったシステムを調査し、（1）侵入者や侵入経路と、（2）流出したデータ範囲を特定し、顧客に報告します。ベライゾンでは、自社で調査を行い実際にデータ侵害を受けたケースだけを集めて統計情報を作成し、データ漏洩/侵害調査報告書として2008年から毎年無料で配布しています。

　データ漏洩侵害報告書では、データ漏洩が起きた事件を4種類の因子に基づいて分析します。それぞれの因子は、脅威因子（誰が資産を侵害したか）、脅威のアクション（どのように侵害されたか）、資産（どの資産が侵害されたか）、属性（何が影響を受けたか）です。今回は、このうちの脅威のアクションについて、2011年に対応したデータ侵害事件から興味深い事象を説明します。

　近年、Facebook、LinkdIn、Mixiなどに代表されるSNS（Social Networking Service）が人気を集めています。オンラインで手軽に人間関係を築けることが人気の理由だと考えられますが、良いことばかりではありません。中には、不用意にプライベートの情報を登録してしまい、その情報が流出してしまうケースがあります。

　個人に関する情報とはいえ、情報を開示しすぎると、そこがその個人が所属する団体や企業のセキュリティホールになる可能性があります。例えばSNSをはじめとするサービスにユーザー登録する際、パスワードリセット時の質問とその回答を登録することがよくあります。この質問と回答として、母親の旧姓やペットの名前を使った経験はないでしょうか。この場合、もしも母親が別のSNSで登録しておりチャット上で旧姓を使っていたら、あるいは自分自身がSNSでペットの話をしたら、第三者によるパスワードリセットが可能になってしまいます。アカウントを乗っ取られる危険性もあります。

　このようにSNSが広く使われるようになったことで、攻撃者にとってはターゲットとしている人物の情報を以前よりも容易に収集できるようになっています。例えば本名と会社名が開示されていると、その人物のメールアドレスをある程度推測できます。また、その人物が自分の趣味や悩等をオンラインで公開していたことにより、ターゲットとなった人物が好みそうなメールを作成し、添付ファイルを開かせるように趣向を凝らしてきます。自分は気をつけているから大丈夫と考える読者多いかもしれませんが、実はベライゾンが対応した上記のケースでは、ある企業のセキュリティ啓蒙の担当者が起点となり漏洩事故が起きたことがありました。

　最初に攻撃者が浸入したシステムからは、Emailアドレス、個人名と部署名しか手に入りませんでした。しかし、攻撃者は部署名から攻撃対象者を絞り、SNSに個人情報を載せている人物をみつけその情報を基に悪意のあるプログラム（マルウエア）を添付したメールをその担当者に送りました。 その人物は被害にあった企業の従業員に対して、セキュリティ啓蒙を行う立場の人です。普段、従業員に対し「身に覚えのない差出人のメールを不用意に開かない」「添付ファイルは不用意に開かない」など、セキュリティ教育を全社員に行っていました。しかし、ご自身はその添付ファイルを思わず開いてしまい、マルウエアがインストールされてしまったのです。そしてそのマルウエアが原因となり、データ漏洩が発生しました。

　2011年のデータ漏洩/侵害調査報告書では、マルウエアが原因でデータが漏洩したケースは49％、漏洩したデータ全体の79％を占めています。そのうち、電子メールを介してマルウエアがインストールされたケースは4％だけ。統計上の数字を見る限りでは割合が少ないですが、ターゲットとなる人物の情報が明確になればなるほど、攻撃者にとっては効果的に攻撃できることになります。ターゲットとなった人物が疑うことなく開いてしまうようなメールを作成し送ることで、攻撃者に特定の企業内部に入り込まれてしまうケースが目立ってきています。

図1●脅威アクションのカテゴリー別のデータ漏洩/侵害事件の割合と侵害レコード数の割合

[画像のクリックで拡大表示]

図2●マルウエアの感染経路で分類した場合のデータ漏洩/侵害事例の割合（マルウエアによるデータ漏洩/侵害のみ）

[画像のクリックで拡大表示]

　また2011年のデータ漏洩/侵害調査報告書では、2010年にマルウエアによりデータ流出が起こった調査のうち63％のケースで、ウイルス対策ソフトでは検知できないよう改変されたマルウエアが使用されていたことが分かっています。つまり、ウイルス対策ソフトだけでマルウエアの侵入を防ぐことは、現時点ではかなり難しくなってきているのです。

図3●カスタマイズされたマルウエアによるデータ漏洩/侵害事例（割合）の推移

右図はカスタマイズの程度の分布。

[画像のクリックで拡大表示]

　こうした事故への防衛策は、ウイルス対策ソフトのインストールとパターンファイル更新を確実に行い、従業員へのセキュリティ啓蒙活動を継続し、できる限り対策を施すとともに、インターネットと企業ネットワークとの境目において内向き、外向きの双方向のトラフィックを監視することがますます重要になってきます。そのうえで、データ漏洩の兆候をいかに早くとらえ、迅速に対応できる体制を構築・維持していくことが肝要です。