ベライゾンジャパンは2010年9月17日、2009年の1年間に発生したデータ侵害事件に関する説明会を開催。米Verizon Business 調査対応チーム ディレクターのブライアン・サーティン氏(写真)が、米国時間7月28日に発表した調査レポート「2010年データ漏洩/侵害調査報告書」の結果を元に、データ侵害被害のトレンドと有効な対策について解説した。
「2010年データ漏洩/侵害調査報告書」はVerizon Businessの調査対応チームがUSSS(United States Secret Service)の協力をうけて、2009年に世界で発生したデータ侵害事件の原因、攻撃手法、有効な対策などを調査、分析したレポート。Verizon Businessの調査対応チームが有するデータ侵害の事例データと、USSSから提供されたデータ侵害事件の情報を使用した。2組織のデータを合わせると、調査対象の事例数は約930件、侵害コードは9億以上になる。
レポートによると、2009年に発生したデータ侵害事件のうち、外部の第三者による犯行は62%、自社の従業員による内部犯行は46%、パートナー企業経由のデータ漏えいが10%を占めた。2009年は、前年調査では17%だった内部犯行の件数が大幅に増加した。サーティン氏は、「内部犯行の実行者のうち、50%は30日以内に退職していた。つまり、内部犯行の半数は、解雇された従業員による犯行だ」と説明する。
また、解雇者が犯行におよんだ事例の多くで、解雇者の社内ネットワークへのアクセスが退職後即シャットダウンされていなかったことも明らかになった。「部外者の社内へのアクセスを禁止する基本的なセキュリティポリシーが厳守されていれば、内部犯行の50%は回避できただろう」(サーティン氏)。
パートナー経由でのデータ漏えい事件をパートナーの機能別に見ると、システムをリモート管理/サポートする組織による犯行が最も多くなっている。サーティン氏は、「システム管理/保守業務のためには社内システムへのアクセスが必要だが、パートナーが常時アクセス可能な状態にあるのは大きな問題である」と指摘した。セキュリティポリシーではパートナーの常時アクセスを制限していても、実際の運用ではいつでもアクセスできるようになっているケースが多いという。
外部の犯罪組織や犯罪者による社内システムへの不正アクセスの手法として最も多かったのは、盗んだ認証情報を使った手口だった。特に、VPNなどのリモートアクセスの仕組みを悪用した不正アクセスが増加している。認証情報の盗難手口は、キーロガーやSQLインジェクションなどが多く、IDとパスワードのセットは闇市場で高値で取引されているという。「認証情報を盗まれないためには、ログイン情報を収集するようなマルウエアへの感染に注意する。盗まれた認証情報でのアクセスを防ぐためには、2ファクター認証をほどこす、システムの使用時間を制限するなど、昔から言われているようなクラシックなセキュリティ対策を強化することが有効だ」(サーティン氏)。
