米Verizonは毎年、世界各地のデータ侵害事件を分析した実態調査報告書「Data Breach Investigations Report」を発表している。同社日本法人のベライゾンジャパンが6月12日に同報告書の日本語版を公開した。報告書執筆メンバーの米Verizon RISKチーム ディレクター、ブライアン・サーティン氏がデータ侵害の最新動向を解説している。
この報告書は2008年から毎年公開され、英語による最新版は4月に米国で発表された。今回は95カ国で起きた6万3437件のセキュリティインシデントや1367件のデータ侵害/漏えい事案などについて分析している。
2013年の概要は既報の通りだが、サーティン氏は過去10年間に発生した4217件の事案についての分析結果を紹介した。
それによると、データ侵害を実行する人間は、「組織外部」「組織内部」「パートナー」に大別される。事案全体に占めるそれぞれの割合は、2004~2008年まで大きな差がみられないものの、2009年から組織外部の占める割合が拡大。組織外部の人間データを侵害する動機は「金銭目的」が主流であるが、その割合は年々低下する一方で、2010年から「スパイ活動」の割合が高まり続けている。
機密情報を狙うスパイ行為
データ侵害の手法は、2010年からハッキング、マルウェア、ソーシャルエンジニアリングの3つの台頭が著しい。サーティン氏は、「水飲み場型攻撃」と「スピアフィッシング」の組み合わせが増えていると解説する。
「水飲み場型攻撃」とは、趣味や仕事など特定の目的を持ったユーザーがアクセスするWebサイトを改ざんし、閲覧者をマルウェアに感染させることを狙う攻撃。水飲み場に集まってくる動物を狙って猛獣が攻撃を仕掛ける様に例えた言葉だ。「スピアフィッシング」とは、ごく少数の標的をだます手法の総称。槍(スピア)の鋭い先端で標的を突く様になぞられたものである。
「犯罪者は、まずシステムの脆弱性を攻撃して30分程度で突破できなければ、次に人間の脆弱性を狙う。実際にはその方が簡単だからだ。スピアフィッシングのメール(標的型攻撃メール)を3つの組織に送れば、90%くらいの確率で成功する」(サーティン氏)
つまり、「水飲み場型攻撃」を仕掛けることで、犯罪者の狙う属性を持った人間のコンピュータにマルウェアを感染させることができる。犯罪者は、マルウェアやその他の手段を使ってあらゆる情報を収集し、本当の標的とする人間に近付くためのスピアフィッシングのような手法を実行する。こうして標的を絞りこんでいき、最終目標の情報を盗み出すというわけだ。
2008年の脅威再び
また過去5年間の動向でみると、2008年に脅威トップ5に入った「RAMスクレーパー」が、2013年に“復活”した。2009~2012年はランク外にあった。
RAMスクレーパーは、システムのメモリ領域に格納されたりや転送されたりしているデータを盗み出す不正プログラム。データベースなどにあるデータは暗号化されている場合が多く、犯罪者が盗み取っても悪用できないことがほとんど。しかし、メモリ上などのデータは処理のために暗号化されておらず、犯罪者はここを狙ってデータを盗む。
サーティン氏によれば、特に小売業などペイメントカード(クレジットカードやデビッドカードなど)情報の取り扱いが多いPOSシステムが狙われる。
脅威の92%は9つのパターンで分類可能
は、過去10年間の脅威を整理すると92%は9つの基本パターンで説明することができ、パターンの傾向を業界別に読み解くことで、実践的なセキュリティ対策を検討するためのヒントが得られると説明する。
例えば、ホテル業界での脅威の75%は「POSへの侵入」で、10%の「DoS(サービス妨害)攻撃」が続く。小売業での脅威はDoS(サービス妨害)攻撃が33%、POSへの侵入が31%という具合だ。このほかにも、医療業界では「盗難・紛失」(46%)が多く、情報産業では「Webアプリへの攻撃」(41%)や「クライムウェア」(31%)といった業界別の違いがみられる。また、脅威別では特に「国家のスパイ活動」が製造業と鉱業、専門サービス業、運輸業で20%以上にもなっている。
なお、これらの業界分類は米国を基準にしたものだが、日本企業にも参考になりそうだ。また、各業界における脅威はそれぞれのパターンが組み合わさり、データ侵害につながっているという。「金銭狙いの場合、犯罪者はネットワークやシステムに痕跡を残すまいとする。逆にスパイ行為ではあらゆる経路から侵入が試み、侵入後も長期間潜伏活動を展開する」(サーティン氏)
同氏は、報告書を通じて「自社の環境に即した脅威の理解と対策指針に役立ててほしい」と語った。
クラウドやスマートフォンアプリを利用すれば、営業車・タクシー・バスなどの位置情報サービスを簡単に実現できる。ありそうでなかったサービスをAPPS JAPAN(Interop併催)で発見した。ケイ・シー・シーという会社が提供している「知らせてビューアー」という地図アプリだ。
他の写真を見る
例えば、路線バスの運行状況を把握するにはGPSと、バスと運行センター・バス停などを結ぶネットワークなどインフラ構築が伴うのが一般的だ。「知らせてビューアー」は事業者が月1000円で1 IDを登録し、ドライバーのスマートフォンにインストールしたアプリを運行開始時に起動する。登録されたIDの位置情報が随時ケイ・シー・シーのクラウドに送信される。利用者は、対応する利用者アプリをダウンロード(無料)してインストールしておけば、必要なときに指定したID(バス)の位置をアプリの地図上で確認できる。
移動体(スマートフォン)ごとにIDと対応させるため、都市部の路線バスなど台数が多かったり、同じ路線に同時に何台も運行していると管理が大変だが、コミュニティバス、営業車、移動販売車、保育園等の送迎バス、引っ越しトラックなどと対応させることで、B向け、C向けの位置情報サービスを安価に構築できる。ただし、スマートフォンのGPSや通常のモバイル回線を利用するため、位置情報の精度などはそれなりとなる。
マカフィーは6月12日、ウェブページを検索する際、ウィルスやマルウェアの感染リスクがあると考えられるサッカー選手の調査結果を発表した。W杯 ブラジル大会に出場予定である選手のうち感染リスクが高い上位11人を「レッドカードクラブ」と名付け、検索時に注意するよう促している。
マカフィーによると、サイバー犯罪者は、世界で人気の高いスポーツや文化イベントへの関心の高さを利用し、消費者をマルウェアが仕込まれたウェブサイトに誘い込もうとする。同社は今回の調査で、ウェブサイトの安全性を評価する「McAfee SiteAdvisor(マカフィー サイトアドバイザー)」の機能を活用して、“動画”や“画像”などの頻出検索ワードとサッカー選手名とを組み合わせて検索した場合に危険なサイトを判断し、総合的な危険率を算出した。
調査結果によると、サイバー犯罪者が、ポルトガルのCristiano Ronaldo選手を使い、マルウェアの感染を目的としたウェブページに訪問者をおびき寄せる例が最も多いという。
Ronaldo選手に次いでリスクが高いのは、2位がアルゼンチンのLionel Messi選手、3位がスペインのIker Casillas選手、4位がブラジルのNeymar選手、5位がアルジェリアのKarim Ziani選手、6位がフランスのKarim Benzema選手、7位がブラジルのPaulinho選手、8位がウルグアイのEdinson Cavani選手、9位がスペインのFernando Torres選手、10位がベルギーのEden Hazard選手、11位がスペインのGerard Pique選手。
日本人サッカー選手で最も上位にランクインしたのは、50位の香川真司選手。次いで、本田圭佑選手が54位、柿谷曜一朗選手が75位、長友佑都選手が100位、清武弘嗣選手が107位、岡崎慎司選手が108位。
マカフィーでは、スクリーンセーバのダウンロードや、選手の“神業的な技術”を紹介するビデオが視聴できるとうたっているサイトを訪問した場合に、ファンたちは最も大きな危険を冒していると説明する。たとえば、Cristiano Ronaldo選手の最新コンテンツをインターネットで検索すると、3.7%以上の確率で、スパイウェアやアドウェア、スパム、フィッシング、ウイルスなどが存在すると判定されたウェブサイトにたどり着くという。
