サイバー攻撃のパターンはわずか9つだけ?!　Verizonが調査報告書を公開

　米Verizon Communicationsは12日、サイバー攻撃に関する調査報告書「2014年度データ漏えい／侵害調査報告書」の日本語要約版（エグゼクティブサマリー）を公開した。攻撃方法が多様化する一方、侵入を発見するまでのスピードが改善されていないなど、さまざまなセキュリティの傾向が分かったという。なお、6月下旬には、報告書の日本語完全版も公開する予定。

　報告書のとりまとめにあたって、Verizonでは世界各国のセキュリティ企業や法執行機関など50団体と協力した。調査対象となるのは6万3437件におよぶセキュリティインシデントで、このうち1367件で実際にデータ漏えいや侵害が確認された。

　報告書の著者の1人であるブライアン・サーティン氏（Verizon RISKチームディレクター）は、12日に都内で開催された記者向けイベント「IT Roundtable」（株式会社経済産業新報社主催）のプレミアムプレゼンテーションに登壇。報告書で注目すべきポイントを、過去10年分のデータと比較しながら解説した。

攻撃されても気付けない?!

　サーティン氏に寄せられる報告書関連の質問のうち、最もポピュラーなものが「サイバー攻撃の実行者は誰なのか」だという。調査によれば、最も割合が多いのが「外部」の攻撃者。「内部」や「パートナー」は少数派だ。

　サーティン氏は「サイバー攻撃といえば企業内部の関係者を想像しがちだが、件数はずっと少ない。ただ、内部からの攻撃者は（機密情報などをそもそも知っているため）被害規模が大きくなりやすい」と説明。件数と被害規模の双方を意識する必要があるとした。

　サイバー攻撃の大半を占める「外部の実行者」は、多くの場合、金銭目的であることが報告書でも言及されているが、その割合は年々減少。対して、国家によるスパイ活動とみられる事案が増えている。また、サーティン氏は「（政治目的のハッキング行為である）ハクティビスムもここ2年ほど増えている」と補足した。

　データ漏えい／侵害が実際に発生した場合の手口として、最も多いのが「ハッキング」。以下「マルウェア」「ソーシャル」「物理的」「人的ミス」が続いた。近年は、これらの手法を複合的に組み合わせる事例も増加。「攻撃者は、まず15分くらいシステムの脆弱性を探し、見つからなかったら（特定ユーザーを狙い撃ちしてIDやパスワードを詐取する）スピアフィッシングを試す。まるで（ボクシングの）ワンツーパンチだ」（サーティン氏）。

　また、攻撃の手法は年々変化するものだが、サーティン氏はフィッシングとキーロガーという、いわば定番的な攻撃が近年になっても使われ続けていることに注目。一方、暗号化データがメモリ上などで瞬間的に平文になったことを検知する「RAMスクレーパー」については、それほど知られた手法ではないものの、2009年以降使われ続けており、警戒が必要とした。

　サイバー攻撃による被害を受けてから、実際に発見するまでの時間が長いのも大きな問題。サーティン氏によれば「侵害があってから実際に気付くまで、平均で7カ月近くかかる」という。被害があったことを企業（内部）自ら発見する割合自体そもそも低く、法執行機関や第三者に指摘されて気付くケースも多い。

攻撃パターンは9種類、そのうち3種類を業種に応じて優先対策

　今回Verizonが発表した2014年度版報告書では、過去10年分のインシデントの詳細分析を実施した。結果、その92％において、攻撃の形態を9つに分類できることが分かった。具体的な分類は、1）POS（レジ）への侵入、2）ウェブアプリケーション攻撃、3）内部者による不正使用、4）物理的窃取／損失、5）人的ミス、6）クライムウェア、7）カードスキミング、8）DoS攻撃、9）国家スパイ活動となっている。

　また、何らかの攻撃の痕跡が見つかる「インシデント」の発生件数と、実際のデータ漏えいが発生してしまう比率は必ずしも一致しない。例えば、2013年の全インシデント数は6万3437件で、そのうち国家スパイ活動関連のインシデントは1％。しかし、データ漏えい件数1367件に対しては、国家スパイ活動関連が22％を占める。逆に、人的ミスは全インシデントの25％だが、すべての漏えい事例に対する割合は2％にとどまる。

　加えて、被害の事例を業種別に分析したところ、ほぼすべての業界で、9つの事例パターンのうち上位3種類が発生インシデントの50以上％を占めていた。一例として、金融業で確認された全インシデントの75％が、ウェブアプリケーション攻撃、DoS攻撃、カードスキミングのいずれかだった。つまり、金融業では、これら3つについての対策を人的ミス対策などよりも優先した方が、費用対効果が高くなる。

　サーティン氏は「報告書を活用すれば、サイバー攻撃に対するイメージが本当に正しいかどうか、把握することができる。また、対策予算をむやみに使うのではなく、前もって“レシピ”を組み立ててから実行すれば、効果は上がるだろう」と説明した。

　最後にサーティン氏は、インシデントの早期発見が重要であることを改めて指摘。「実際に攻撃されたことを数分単位の遅れで検知できるようになれば、セキュリティの概念はまた変わってくるだろう」と将来を展望していた。