調査官に聞く、不正アクセス攻撃の今とは？（前編）：カスタムマルウェアが狙う企業情報（1/2 ページ）

不正アクセス事件は年々巧妙化し、RAMスクレーパーという新手のマルウェアによる攻撃も登場した。近年の傾向と対策を米Verizon Businessで事件調査を担当するブライアン・サーティン氏らが紹介してくれた。

[國谷武史，ITmedia]

サーティン氏

　企業での情報漏えい事件が後を絶たない昨今、発生要因には個人の過失や内部犯行、外部からの不正アクセスといったさまざまなものがある。特に不正アクセス攻撃は、年々その手法が巧妙化しており、企業での対策も困難化しつつある。

　近年の攻撃手法にはどのような特徴があり、どのような対策を講じればいいか。米Verizon Businessで企業の情報漏えい事件調査を指揮するブライアン・サーティン氏とマーク・ゴウディ氏が明かしてくれた。

　同社は4月に2008年に取り扱った事件の傾向を分析したリポートを公開。リポートを執筆したサーティン氏によれば、個々の事件については守秘義務から詳細を明かせないとしつつ、「報道で伝えられるのはごく一部であり、企業の情報セキュリティ担当者は限られた情報から対策を講じなければならない。リポートをぜひ役立てていただきたい」と話している。

第3国から攻撃を仕掛ける犯罪者

　Verizon Businessは、企業や警察機関などからの委託を受けて、年間200件以上の情報漏えいに関する調査を行っているという。2008年は90件が刑事事件につながり、数百万件以上の個人情報などが漏えいする大規模事件が多発したことで、漏えい件数は過去最高の2億8500万件に上った。

　調査では「フォレンジック」という科学調査（複数の調査手法の総称）を用いて、漏えい原因を追究する。漏えい経路や手順、データに対する犯罪者の行為内容などの事実を、PCやサーバ、ネットワーク機器に残された痕跡から捜索する。攻撃者が抹消した痕跡であっても専用ツールを用いることで復元でき、漏えいに至るまでの過程が詳細に分かるという。

　調査した90件の事件の原因別の内訳は、組織外部が75％、組織内部が20％、業務委託先などのパートナー企業が32％だった（原因が複数の場合もあり、合計は100％にならない）。

　サーティン氏によれば、特に2005年以降パートナー企業が関与するケースが増えている。こうした企業は、例えばコールセンターやサポートサービス、システム管理といったサービスの必要性から情報漏えい元の企業とネットワークで接続されている場合が多く、攻撃者が侵入経路として標的にしやすい。

　「組織内部が原因となる場合も含め、対象となるデータへのアクセス権限を持つ業務担当者やIT管理者が関与しているケースが多い。1つのIDとパスワードを何百人もの従業員が共用しており、誰かが第三者に提供すれば容易に侵入されてしまう」（サーティン氏）

ゴウディ氏

　2008年は金融危機に伴う急激な景気悪化で企業のリストラが加速し、解雇や退職に追い込まれた従業員が悪意を持って行ったり、第三者が犯罪へ勧誘したりすることも多い。ゴウディ氏は、「パートナー企業を疑うということではなく、セキュリティ面における関係が適切に築かれているかを再確認すべきだ」と指摘する。

　調査から不正アクセスを行った犯罪者の地域は、東欧やアジアである場合が多く、クレジットカードなどの偽造を目的とした攻撃元は東欧に集中していた。一方、ボットネットといったコンピュータの乗っ取りを目的とした攻撃は、アジアに集中していた。

　2008年は、Webサーバに存在するSQLインジェクションの脆弱性を悪用する不正アクセス攻撃が多発した。国内のある企業では、十数カ所のインターネット接続部でファイアウォールなどの一般的な不正侵入対策を実施していたが、Webサーバの脆弱性を突かれてデータベースに侵入された。Verizon Businessがバックボーン回線を含めて侵入経路を調査したところ、犯罪者は欧州から北米のサーバを経由し、複数の経路で企業に不正アクセスしていることが分かった。

　「大抵の場合、警察機関は国や地域単位で対処するので、攻撃者は複数の国や地域を跨ぐ形で捜査から逃れようとする。フォレンジック技術の進化で、IPアドレスから攻撃者の所在を数百メートルの範囲まで絞れるようになったが、すでに攻撃者はこうした捜査手法から逃れる術を講じているだろう」（サーティン氏）