2億3000万件の被害レコードに基づきデータ漏えいの課題を公表――Verizon Business：AdminIT Daily News

金融、ハイテク、小売、食品／飲料の各業種で発生したデータ漏えい事故に関する所見を米Verizon Businessが公表。調査に使用した被害レコード数は約2億3000万件。「型どおりのアプローチには優れたセキュリティ効果を期待できない」としている。

[ITmedia]

　米Verizon Businessは、企業がデータ漏えいに関し抱える課題を検証。10月2日に業種ごとの所見を公開した。

　この研究は、6月発行の「2008年データ漏えい／侵害調査報告書」に基づくもの。4年間にわたり、総被害レコード数2億3000万件におよぶ、500件以上の科学捜査についてデータ侵害を分析した調査研究だという。

　本分析は、Verizon Businessのセキュリティエキスパートが、オリジナルデータを使用して、主要4業種（金融サービス、ハイテク、小売、食品／飲料）間の攻撃の相違点と共通点について所見を導いたもの。Verizon Businessは、この4業種について「独立したデータ分析として十分なサンプル数が得られている」としている。

　Verizon Business 情報研究担当バイスプレジデント Peter Tippett氏は「今回の追加リポートは、データ漏えい／侵害の本質について踏み込んだ考察を提供しており、型どおりのアプローチには優れたセキュリティ効果を期待できないことを浮き彫りにしている。データが侵害された時、何が起こるのかを理解しておくことは、積極的な防御に欠かせない」とコメントしている。

　各業種に対する所見は次の通り（米Verizon Businessによる発表を一部編集し掲載）。

金融サービス

分析したほかの業種では、パートナー企業が主たるリスクの根源だが、金融サービスでは内部関係者によるリスクがより大きい。また金融サービスへはさまざまな攻撃が行なわれており、最も一般的なものは「詐欺と過失」である。おおむね、攻撃は比較的長期にわたる高度なものである。金融サービス機関は一般的にほかの機関よりも侵害の発見が早いが、時には発見に数週間を要することもある。またほかの業種に比べ、金融機関には資産に対する意識の高さが見られる。正体不明の、あるいは消失したシステム、データ、接続、権限に付随する侵害が発生する頻度は、はるかに低かった。

ハイテクサービス

様相は複雑である。ほかのどの業種よりも「エラー」に起因することが多く、攻撃はなかなか高度。テクノロジーに詳しいはずの業種だが、情報資産とシステム構成の追跡に苦慮していた。また悪意ある内部関係者が大きな問題になっている。内部関係者による悪用とは、許可されたリソースまたは権限、あるいはその両方を不正目的に使用することであり、ハイテク業界ではるかに多い。従業員が多数のシステムに高位のアクセス権を持つ企業文化の中で、こうした行為を管理することは本質的に困難だ。そしてクラッキングが深刻。ハイテク企業では、基本システムやアプリケーション構成が優れていることが多いため、攻撃者は脆弱性を利用してシステムを侵害することになる。パッチ適用のための一貫性ある包括的なアプローチが欠落していることが多い。そしてWebアプリケーションへの攻撃が、最も一般的な侵入手段になっている。さらにハイテク業界では、知財が侵害を被る比率が高い。

小売業

分析したデータ漏えいの事例に対し、小売が占める比率が最も高い。多くの攻撃はリモートからのアクセス接続を悪用しているが、Webアプリケーションも高頻度で標的とされている。ワイヤレスネットワークへの攻撃が増えており、ほかの業界よりもかなり多い。また侵害の検出を第三者機関に大きく頼っている。通常、侵害の検出は食品／飲料業よりは早いが、金融とハイテク業よりも遅い。概して、小売業に対する攻撃は詐欺目的に容易に利用できる。データで素早く稼ごうとする、短絡的なものが大半である。

食品／飲料

大半の攻撃は外部ソースに起因する。ただし、決済カードのデータを保存するオンラインリポジトリへの侵入口として、パートナー企業の信頼できるリモートアクセス接続を悪用している。こうした攻撃は、アプリケーションやソフトウェアの脆弱性よりも、セキュリティ構成の貧弱さに起因しており、実行の速度や反復率も高い。多くの攻撃がPOSシステムを悪用していた。犯罪者はPOSシステムを次の攻撃の足場とし、マルウェア（不正ソフトウェア）を食品・飲料の流通経路全域にばらまく。また攻撃発見に多大な時間を要している。発見の大半は、第三者機関による。