Verizon、実際に起きたデータ漏洩／侵害の典型的・致命的な事例を紹介したレポート

　米Verizon Enterprise Solutionsは、セキュリティに関するレポート「Data Breach Digest（データ漏洩／侵害概要：DBD）」を、3月の「RSA Conference USA 2016」で発表し、インターネットで公開した。この「DBD」について、ベライゾンジャパンが4月12日、報道関係者向けに説明会を開催した。

　DBDは、2008年から年次で公開しているレポート「データ漏洩／侵害調査報告書（Data Breach Investigations Report：DBIR）」の調査がもとになっている。「DBIR」では、10年以上にわたる漏洩／侵害データ、2122件に上る確認住みのデータ漏洩／侵害、8万件弱のセキュリティインシデントを分析している。この情報から、DBIRではデータやトレンドをレポートしているのに対し、DBDでは実際のデータ漏洩／侵害の18件の典型的事例を取り上げて分析している。なお、企業名や機密情報は伏せられている。

　DBDを作成した理由について、「より多くの企業に、あるいはCxOやセキュリティエンジニアだけでなく一般の社員にも、漏洩／侵害に自分たちがかかわる可能性があるということを自覚してもらうため」と、VerizonのRISK（Research Investigations Solutions Knowledge）チームのマネージングプリンシパルであるアシシュ・ターパル氏が、シンガポールからビデオ会議経由で説明した。

　「18件のうち12件が、RISKチームが調査した1175件の60％超をカバーする、よく見られる典型例だ。残りの6件がそれほど一般的ではないが危険度が高い（lethal）ものだ。このような共通の手口を把握することが防御の鍵となる。」（ターパル氏）

　ターパル氏は、18件の事例の中からいくつかを解説した。「今、日本で直面しているシナリオ」として紹介されたのが「8. ハクティビストの攻撃」だ。これは水道会社の事例で、ハクティビスト（社会的主張によるサーバー攻撃者）により水道のオペレーションのシステムまで操作されてしまったというものだ。「どうしても説明できないバルブやダクトの動きが見つかって発覚した。課金システムから侵入されて、水道のオペレーションもコントロールされていた。これにより、顧客のPII（個人情報）が漏洩していたことが分かった。ただし、人命にはつながらなかった。こうしたクリティカルインフラを攻撃されると、人命にかかわる恐れがある」（ターパル氏）。

　なお、各事例については、頻度やインシデントパターン、発見に要した時間、攻撃実行者と攻撃元の国、標的とされた企業や組織などが「攻防カード」としてまとめられている。

　また、「今、世界で1日に3〜4件が発見されている」として紹介されたのが「15. ランサムウェア」だ。ユーザーが、自分のファイルが勝手に暗号化されて見えなくなっていることに気付き、戻したければBitcoinを払えと脅迫してくるものだ。なお、この事例では、Flashの脆弱性を突かれたという。「自分で復号しようとしても不可能なことが多く、金を払ってもデータが返ってくるとは限らない。唯一の対策はバックアップだ」とターパル氏は語る。

　サイバー攻撃と実世界の攻撃が組み合わさったケースが「12. CMSからの情報漏洩」、別名「知りすぎていた海賊の事例」だ。この事例では、海賊により、海運会社の積荷のうち高価なものが特定されて奪われる事件が起こった。調査に当たったVerizonのRISKチームは、すべての積荷がCMSで管理されていることを聞きとり、ネットワークトラフィックを監視して、CMSの脆弱性を突いて積荷情報が盗まれたことを突きとめた。

　最後にターパル氏は漏洩／侵害への対策のヒントとして、人的要素、不正デバイス、設定の改ざん、悪意のあるソフトウェアといった攻撃ごとの対処法を概説。その上で「覚えておきたい最も重要なことは、起こったらどうするか計画しておくこと。そのために、Verizonなどインシデントレスポンスプロバイダーというプロを利用してほしい」と語った。