企業データを狙う15の手口、Verizonが紹介

米Verizon Businessは、企業のデータ侵害事件の実態調査で明らかになった15種類の手口を紹介した。データ保護対策の参考にしてほしいと説明している。

[ITmedia]

　米Verizon Businessは12月9日、企業のデータ侵害事件にみられる15種類の特徴的な攻撃の手口を発表した。データ保護対策の参考にしてほしいと説明している。

　同社では、情報漏えいをはじめとする企業でデータ侵害事件の調査を手掛けており、これらの攻撃手法は実際に悪用されたものから一般的な特徴を割り出し、順位付けをしたという。

順位	手口	内容
1	キーロギングとスパイウェア	システムユーザーの動作を密かに収集し、監視し、記録するように特別に設計されたマルウェア
2	バックドアまたはコマンド／コントロール	感染システムへのリモートアクセスまたは制御、あるいはその両方を可能にし、密かにシステムを実行できるように設計されたツール
3	SQLインジェクション投入	Webページがバックエンドのデータベースと通信する方法を悪用するために使用される攻撃テクニック
4	システムアクセス／権限の乱用	企業が個人に付与したリソース、アクセス、または権限を、意図的かつ悪意をもって乱用すること
5	デフォルトの信用証明による不正アクセス	攻撃者が標準のユーザー名とパスワードを使用して、保護されたシステムまたはデバイスにアクセスすること
6	許容用途およびそのほかのポリシー違反	許容用途に関するポリシーを偶然または意図的に無視すること
7	アクセス制御リスト（ACL）の脆弱性またはミス設定を利用した不正アクセス	ACLに脆弱性またはミス設定があると、攻撃者はリソースにアクセスし、被害者が意図しない動作を実行できる
8	パケットスニファー	ネットワークを行き来するデータを監視し、取り込む
9	盗んだ信用証明による不正アクセス	攻撃者が有効な信用証明を盗み、保護されたシステムまたはデバイスへのアクセスを取得すること
10	プリテキスティングまたはソーシャルエンジニアリング	ソーシャルエンジニアリングテクニックでは、攻撃者はターゲットを促したり、操ったり、またはだましたりして、何らかの行為や情報漏えいをさせるシナリオを考案する
11	認証迂回	通常の認証メカニズムを迂回して、システムへの不正アクセスを取得する
12	資産の物理的盗難	資産を物理的に盗むこと
13	ブルートフォースアタック	実存するユーザー名／パスワードの組み合わせを見つけ出すまで、繰り返し行われる自動プロセス
14	RAMスクレーパー	システム内のRAMからデータを取り組むよう設計された、比較的新しいタイプのマルウェア
15	フィッシング（「〜ishing」型）	不正な電子的コミュニケーション（多くの場合は電子メール）を使用して、受信者をだまし、情報を漏えいさせるソーシャルエンジニアリング的方法

　同社では、企業から数千件以上の攻撃に関する問い合わせがあり、特徴を紹介することで企業がデータ侵害の構造やサイバー犯罪の仕組みを理解し、より適切に保護できるようになることを期待したいと説明している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

不正アクセス | マルウェア | 情報漏洩