標的型メールを3つの組織に送れば成功率は9割以上、人の脆弱性を狙う

Verizonが毎年発表しているデータ侵害の分析調査の最新版によれば、セキュリティインシデントの92%は、9種類のサイバー攻撃パターンに分類できるという。

» 2014年06月13日 12時24分 公開
[國谷武史,ITmedia]

 米Verizonは毎年、世界各地のデータ侵害事件を分析した実態調査報告書「Data Breach Investigations Report」を発表している。同社日本法人のベライゾンジャパンが6月12日に同報告書の日本語版を公開した。報告書執筆メンバーの米Verizon RISKチーム ディレクター、ブライアン・サーティン氏がデータ侵害の最新動向を解説している。

 この報告書は2008年から毎年公開され、英語による最新版は4月に米国で発表された。今回は95カ国で起きた6万3437件のセキュリティインシデントや1367件のデータ侵害/漏えい事案などについて分析している。

脅威実行者別のデータ漏えい/侵害事案の件数と推移(出典:Verizon)

 2013年の概要は既報の通りだが、サーティン氏は過去10年間に発生した4217件の事案についての分析結果を紹介した。

 それによると、データ侵害を実行する人間は、「組織外部」「組織内部」「パートナー」に大別される。事案全体に占めるそれぞれの割合は、2004〜2008年まで大きな差がみられないものの、2009年から組織外部の占める割合が拡大。組織外部の人間データを侵害する動機は「金銭目的」が主流であるが、その割合は年々低下する一方で、2010年から「スパイ活動」の割合が高まり続けている。

機密情報を狙うスパイ行為

 データ侵害の手法は、2010年からハッキング、マルウェア、ソーシャルエンジニアリングの3つの台頭が著しい。サーティン氏は、「水飲み場型攻撃」と「スピアフィッシング」の組み合わせが増えていると解説する。

 「水飲み場型攻撃」とは、趣味や仕事など特定の目的を持ったユーザーがアクセスするWebサイトを改ざんし、閲覧者をマルウェアに感染させることを狙う攻撃。水飲み場に集まってくる動物を狙って猛獣が攻撃を仕掛ける様に例えた言葉だ。「スピアフィッシング」とは、ごく少数の標的をだます手法の総称。槍(スピア)の鋭い先端で標的を突く様になぞられたものである。

ブライアン・サーティン氏

 「犯罪者は、まずシステムの脆弱性を攻撃して30分程度で突破できなければ、次に人間の脆弱性を狙う。実際にはその方が簡単だからだ。スピアフィッシングのメール(標的型攻撃メール)を3つの組織に送れば、90%くらいの確率で成功する」(サーティン氏)

 つまり、「水飲み場型攻撃」を仕掛けることで、犯罪者の狙う属性を持った人間のコンピュータにマルウェアを感染させることができる。犯罪者は、マルウェアやその他の手段を使ってあらゆる情報を収集し、本当の標的とする人間に近付くためのスピアフィッシングのような手法を実行する。こうして標的を絞りこんでいき、最終目標の情報を盗み出すというわけだ。

2008年の脅威再び

 また過去5年間の動向でみると、2008年に脅威トップ5に入った「RAMスクレーパー」が、2013年に“復活”した。2009〜2012年はランク外にあった。

 RAMスクレーパーは、システムのメモリ領域に格納されたりや転送されたりしているデータを盗み出す不正プログラム。データベースなどにあるデータは暗号化されている場合が多く、犯罪者が盗み取っても悪用できないことがほとんど。しかし、メモリ上などのデータは処理のために暗号化されておらず、犯罪者はここを狙ってデータを盗む。

 サーティン氏によれば、特に小売業などペイメントカード(クレジットカードやデビッドカードなど)情報の取り扱いが多いPOSシステムが狙われる。

脅威の92%は9つのパターンで分類可能

 は、過去10年間の脅威を整理すると92%は9つの基本パターンで説明することができ、パターンの傾向を業界別に読み解くことで、実践的なセキュリティ対策を検討するためのヒントが得られると説明する。

脅威パターンの発生頻度(同)

 例えば、ホテル業界での脅威の75%は「POSへの侵入」で、10%の「DoS(サービス妨害)攻撃」が続く。小売業での脅威はDoS(サービス妨害)攻撃が33%、POSへの侵入が31%という具合だ。このほかにも、医療業界では「盗難・紛失」(46%)が多く、情報産業では「Webアプリへの攻撃」(41%)や「クライムウェア」(31%)といった業界別の違いがみられる。また、脅威別では特に「国家のスパイ活動」が製造業と鉱業、専門サービス業、運輸業で20%以上にもなっている。

 なお、これらの業界分類は米国を基準にしたものだが、日本企業にも参考になりそうだ。また、各業界における脅威はそれぞれのパターンが組み合わさり、データ侵害につながっているという。「金銭狙いの場合、犯罪者はネットワークやシステムに痕跡を残すまいとする。逆にスパイ行為ではあらゆる経路から侵入が試み、侵入後も長期間潜伏活動を展開する」(サーティン氏)

 同氏は、報告書を通じて「自社の環境に即した脅威の理解と対策指針に役立ててほしい」と語った。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ