攻撃者が組織のネットワークから情報を盗み出す手口として最も多いのはハッキング、次がマルウエアです(図1)。ハッキングは、例えばSQLインジェクションによりWebサイト経由で情報を盗み出すケースです。マルウエアは、不正プログラムを仕込んで、情報を取得し、外部に送らせる手法です。ソーシャルエンジニアリングや物理的な侵入など、ほかの手口に比べると、この2種類が圧倒的多数です。
これだけなら、あまり意外な印象はないかもしれません。ただ、マルウエアを感染経路で分類してみると、情報漏洩事件に悪用されたマルウエアの95%は攻撃者がリモートからインストールしたものだと聞いたら、どうでしょう。あくまでも情報漏洩事件に関連しているケースという条件がつきますが、よく騒がれる電子メールによる感染は実は1%しかありません。大企業の事例だけに絞ってみても18%くらいの割合です。
攻撃者がマルウエアをインストールするということは、攻撃者がシステムに侵入した後にインストールをしていることを意味します。このことから、情報漏洩対策として侵入防御だけではなくログをチェックする体制やログを管理・解析するノウハウを組織内に設けることがいかに重要かが分かります。
もう少し詳しく見てみましょう。攻撃者がリモートからマルウエアをインストールするケースは、2009年は全データ漏洩/侵害の半分強、2010年は約80%、2011年は95%で、この数年間、増加傾向にあります。これは、システムへのアクセス後も攻撃者がシステムを継続的にコントロールでき、同時に、リモートアクセスサービスを介して多数の標的に自動化した攻撃を仕掛けられることが理由だと考えられます。
対象を大規模の企業・組織に限って傾向を見てみると、電子メール経由、Web/インターネット経由の割合は高くなります(図2)。これは攻撃者が、大規模の企業・組織を真っ向から攻撃して防御を破るより、従業員にマルウエアをインストールさせるほうが簡単と考えているためだと考えられます。それでも、リモートからのインストールが電子メールやWeb経由よりも圧倒的に多いことに変わりはありません。
つまり、セキュリティ強化策として、例えば電子メールやWebでのマルウエア対策にばかり注力しても効果は薄いということになります。とはいえ、すべての脅威に対する対策を実施することは、時間と費用面から考えて決して現実的とは言えません。そこで重要なのが、優先順位をつけて対応していくことです。前述の傾向から考えると、まず、リモートからの侵入を防ぐことが重要と言えます。データ漏洩・侵害調査報告書にあるチャートなどを参考に、攻撃者の傾向を踏まえ、効率的に対策を講じることが重要です。
ベライゾンジャパン
シニアコンサルタント
フォレンジック調査対応部
