外部の攻撃者によるデータ漏洩/侵害事件は、年々増えています。2011年に発生したデータ漏洩/侵害事件は2010年の約10%増です。そして、これらの攻撃の96%は、金銭または攻撃者にとっての個人的利益を目的としたものです。

 ただ、ユーザーの属性を勘案すると、実は傾向に違いがあることが分かります。典型的な例が、大規模な企業と、中堅中小企業の違いです。もう少し具体的に言うと、大規模企業が受ける外部からのデータ漏洩/侵害攻撃に関しては、金銭目的のものが減り、“意見の相違または抗議”や“遊び、好奇心、プライド”という理由による攻撃が増えているのです。これは「ハクティビズム」という、社会的・政治的な主張の下に行うハッキング活動です。2011年の1年間だけで、それまでの4年間の合計を超える件数が報告されています。

 ベライゾン・ジャパンでは6月初旬、2012年度版のデータ漏洩/侵害調査報告書(DBIR)の日本語版をリリースしました。今回から、ベライゾンだけでなく、米国シークレットサービス、オランダの国家ハイテックユニット、アイルランドのレポート アンド インフォメーション セキュリティサービス、ロンドン警視庁サイバー犯罪合同捜査本部とオーストラリア連邦警察の6企業・組織がそれぞれ2011年に調査した、合計855件のケースに基づいて統計情報を作成しているのですが、もう一つ例年と違った点があります。新たに、大規模企業だけの統計情報を抽出するようにした点です。ここで言う大規模企業は、従業員が1000人以上の企業/組織です。この結果から、前述したように、大規模企業向けには過去4年分を超える件数のハクティビズム攻撃が発生していることが分かりました。

図1●各脅威因子のデータ漏洩/侵害件数の推移
[画像のクリックで拡大表示]

図2●外部因子の動機で分類した場合のデータ漏洩/侵害の割合(外部因子によるデータ漏洩/侵害事例のみ)
[画像のクリックで拡大表示]

 過去においてハクティビズムは、DDoS(分散型サービス妨害)やWebページ改ざんといった攻撃に見られるものでした。これに対して2011 年は、ハクティビズムによって世界中の大規模企業・組織に攻撃が仕掛けられ、データを盗まれる事故が起こっています。

防御の基本はログイン情報の保護

 ただハクティビズム攻撃と言っても、最初の攻撃は金銭目的の場合と同様に、認証システムを突破することや、バックドアを仕掛けることです。実際、DBIRのデータを引用すると、よく見られる攻撃の第2位はパスワード破りなど「デフォルトまたは推測可能な認証情報の悪用」、第3位は「盗んだログイン情報の使用」です。これらの攻撃が、次の、情報を盗み出す攻撃への足がかりになっています。

図3●脅威アクションのタイプ(上位10位)で分類した場合のデータ漏洩/侵害件数と侵害レコード数
[画像のクリックで拡大表示]

 当然、対策の第一歩は、パスワードの強化です。推測が容易なパスワードやデフォルトパスワードを避ける、定期的にパスワードを変えるなどの運用を徹底することで、多くの攻撃を防げます。

 もう一方のログイン情報を盗む手法としてすぐに思いつくのは、認証情報を格納したファイルを盗みとって解析する方法や、ソーシャルエンジニアリングを使用した方法でしょう。 ほかには、サーバーのsshプログラムを改変し、ログインに成功したユーザー IDとパスワードをテキストファイルに書き込んでサーバー内に保存する方法があります。この方法では、ハッシュされたパスワードを解析する必要がないため、パスワードを複雑にし、強度を上げていても容易にパスワードを攻略されてしまいます。そして、各サーバー群が同一のネットワークドメインに配置され、ユーザーIDとパスワードのみでアクセス制御されていた場合、他のサーバーにも容易なアクセスを許すことになります。攻撃者が求める情報がそこにあれば、簡単に情報が流出していく可能性があるわけです。これを防ぐには、ユーザーIDとパスワード以外の認証キーを使う、同じパスワードを複数認証時に使用しない、といったことを考慮すべきです。

 また、いったん組織内への侵入を許すと、攻撃者はその後、時間をかけて内部ネットワークを解析し、求める情報を探し、アクセスします。このため、侵入防止策だけでなく、侵入された後にネットワーク/システム構成をすぐに理解させないための配慮が必要です。さらに、権限を持つ人だけが、許可されている経路からしか情報資産にアクセスできないように、ネットワーク内の情報資産へのアクセス権限やネットワークセグメントを設計・構築します。本国内だけでなく、企業内ネットワークでつながっている海外拠点についても、IT基盤の脆弱性の定期的な見直し、情報漏洩後の対応策の決定、万が一事故が発生した際の活動支援のための準備が最も重要です。


鵜沢 裕一
ベライゾンジャパン
シニアコンサルタント
フォレンジック調査対応部