情報漏えいは内部犯行よりパートナー企業によるものが多い

米Verizon Business
調査対応チームディレクター
ブライアン・サーティン氏

ITpro

2010.03.12

　米Verizon Businessの調査対応チームは、2008年6月から企業における情報漏えいとデータ侵害の事例を調査・分析し、「データ漏洩／侵害調査報告書（DBIR）」というレポートを作成している。2008年は、2億8500万件の被害レコードを調査し、その分析結果を「2009年データ漏洩／侵害調査報告書」（2009年4月発表）および「2009年データ漏洩／侵害調査報告書（補足版）―データ漏洩／侵害の分析」（2009年12月発表）にまとめた。現在、同社は2009年の調査結果をまとめたレポートを作成中である。調査対応チームディレクターのブライアン・サーティン氏に、2008年および2009年のデータ漏えい／侵害の動向について話を聞いた。

写真●米Verizon Business 調査対応チームディレクターのブライアン・サーティン氏

[画像のクリックで拡大表示]

データ漏洩／侵害調査報告書（DBIR）はどのようなレポートか。

　DBIRは、セキュリティの専門家からなる当社の調査対応チームが、世界各国のデータ漏えい／侵害事件をフォレンジング調査した結果を分析したものだ。事件の因果関係を明らかにするとともに、企業の経営責任者やIT担当者に対して、当社が推奨するセキュリティ対策のレシピを提供する。特徴は、調査対象に被害企業やメディアが公表していない非開示事件のデータも含んでいる点だ。

　サイバー犯罪の調査に日々従事している我々からみると、被害企業やメディアから公表されたデータ漏えい／侵害事件の情報は正確ではない。公表された情報が、実際に起こったことと180度違う場合もある。企業のトップは、このような間違った情報を元に経営の意思決定をしなくてはならない。一方、DBIRは当社の調査対応チームが現場から収集したデータを分析したものであり、より事実に即した情報を提供する。DBIRを通じて、経営責任者やIT担当者に、正確で有益なインテリジェンスを提供したいというのが我々の思いだ。

　2009年4月に発表した2009年版DBIR「2009年データ漏洩／侵害調査報告書」では、2008年の1年間に世界各地で発生した90件のデータ漏えい／侵害事件を調査対象として、1事件につき、被害企業の従業員数、所在地、漏えいしたデータの種類、犯罪組織との関連の有無など190項目のデータを収集した。また、12月にはDBIRの補足版として、「2009年データ漏洩／侵害調査報告書（補足版）―データ漏洩／侵害の分析」を発行した。補足版は、本編に対してユーザーから寄せられた要望を反映し、情報を追加したものだ。データ漏えい／侵害事件に使われた攻撃手法について最も一般的な攻撃を特定し、その特徴と効果的な対抗措置を具体的にまとめた。さらに、当社レポートの信頼性を証明するために、公表された情報と当社レポートの情報を比較した結果も掲載した。

2009年版DBIRおよび補足版で、2008年のデータ漏えい／侵害事件についてどのようなことが分かったか。

　データ漏えい／侵害事件の原因について興味深い見識を得た。情報漏えい事件は企業内部の人間による犯行が多いと思われているが、実はそうではない。当社の調査により、内部犯行よりも、被害企業と業務提携関係にあるパートナー企業による犯行の方が多いことがわかった。

　2008年のデータ漏えい／侵害事件の原因として最も多かったのは、ハッカーや犯罪組織によるデータ盗難、自然災害によるデータ破損など、被害企業と直接関係のない外部要因によるものだった。外部犯行による事件は、全体の74％を占めた。その次に多かったのがパートナーによる犯行で、全体の32％に上った。それに対して、内部犯行による事件は20％程度だった。

　全体に占める外部、パートナー、内部のパーセンテージを合計すると100％を超えるが、これは、一つの事件に複数の原因が関係しているケースがあるためだ。言い換えると、外部による犯行を、パートナー企業や企業内部の人間が支援している場合があるということだ。調査の結果、データ漏えい／侵害の原因が外部のみだった事件は全体の43％、複数原因による事件は39％だった。

2008年の調査対象に、日本の企業は含まれているか。また、日本におけるデータ漏えい／侵害の傾向は、グローバルと同様か。

　具体的な割合は非公開だが、もちろん、2008年の調査対象に日本企業で発生した事件も含まれている。日本においても、データ漏えい／侵害の原因のトップは外部犯行、2番目に多いのはパートナーの犯行という傾向は同じだ。

　また、現在取りまとめ中の2010年版DBIR（調査期間は2009年の1年間）では、日本企業の割合が大幅に増加する。それは、2009年後半にアメリカで大規模なデータ盗難事件、いわゆる「アルバード・ゴンザレス事件」が訴追されたことに伴い、米国のサイバー犯罪増加率が一時的に減少したためだ。

2009年の調査では、データ漏えい／侵害にどのような傾向があったか。

　2010年版DBIRは現在取りまとめ中であり、詳しいことはレポートの発行を待たれたい。目立った傾向としては、中国、北朝鮮、インドネシアからの攻撃が増えていることが挙げられる。データ漏えい／侵害の2分の1から3分の2は、これらの国から行われている。そして、その脅威の影響を最も多く受けているのは、日本、アメリカ、イギリスだ。

　中国、北朝鮮、インドネシアからの攻撃には、政府の支援や政治的な意図が働いているようにみえる。クレジットカード番号などの消費者データではなく、企業機密を狙っている場合が多い。

日本でも、データ漏えい／侵害事件の半数以上が中国、北朝鮮、インドネシアからの攻撃なのか。

　その通りだ。日本に限らず、アメリカやイギリスでも近隣諸国から攻撃されることは多い。また、政治的意図がある攻撃は、皆さんが想像しているよりも広い範囲で行われている。