カーネギーメロン大学のコンピュータ緊急対策チーム(CERT)は,内部関係者(insider)がもたらす脅威に関する研究報告書を公開した。研究グループは1996~2002年に発生した49件の内部犯による攻撃を分析し,攻撃そのものや攻撃者について結論をいくつか導き出した。報告書では,こうした攻撃が広まっていることについては触れておらず,個々の攻撃を詳細に説明している。
報告書の内容は分かり切ったことばかりなので,ざっと目を通せば十分だろう。ただし,調査方法が偏っているために,攻撃の一面しか説明できていない。
今回の研究では,情報システムに対する内部攻撃だけに焦点を当てており,情報システムを使った攻撃についてはあまり調べていない。そのため,調査対象は破壊的な攻撃事例が主となっている。当然,こうした攻撃の大きな動機は,雇用主に対する仕返しである。
私がみる限り,今回の報告書は,利益目的で情報システムを悪用する攻撃を考慮していない。利益目的の攻撃の一つとしては,横領(着服)が挙げられる。横領の事例は仕返しよりもはるかに多いと考えられる。
しかも報告書は,発覚した攻撃のみを調査対象にしていることに気付いていないようだ。「攻撃者のほとんどが捕まった」などという事実には驚かされない。なぜなら,発覚した攻撃だけを対象にしているからだ。この調査結果は,「ネットワークの破壊行為は,窃盗よりもずっと目立っている」といった偏見を強めてしまう。
破壊行為は気にかかる脅威ではあるが,ほとんど表ざたにならない内部犯による攻撃の方がずっと心配だ。
雇用主への仕返し目的で情報システムを悪用した人について,興味深い統計結果がある。事例の62%は「職場での望ましくない出来事が内部攻撃の主な原因」だという。勤務先を攻撃した人の82%には,攻撃に先立って職場で異常な振る舞いがみられた。攻撃の84%は報復が目的で,攻撃者の85%は不満を雇用主や同僚に文書で伝えていた。内部犯の96%が男性で,30%に逮捕歴があった。逮捕の理由は,暴行が18%,麻薬やアルコールに関する犯罪が11%,金銭以外の詐欺に関係した窃盗が11%だった。
<http://blogs.washingtonpost.com/securityfix/2005/05/...>
問題の研究報告書:
<http://www.secretservice.gov/ntac/its_report_050516.pdf>(PDF形式)
Copyright (c) 2005 by Bruce Schneier.
◆オリジナル記事「Insider Attacks」
◆「CRYPTO-GRAM June 15, 2005」
◆「CRYPTO-GRAM June 15, 2005」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
