世界で起きた漏えい事件の「事例集」をベライゾンが公開「なぜ漏れた?」を実例を基に紹介

ベライゾンジャパンは、情報漏えい事件のトレンドをまとめた年次レポート「データ漏えい/侵害調査報告書(DBIR)」に加え、発生頻度の高い事例をまとめた「Data Breach Digest」(DBD)を発表した。

» 2016年04月13日 16時55分 公開
[高橋睦美@IT]

 ベライゾンジャパンは2016年4月12日、「Data Breach Digest」(DBD)を発表した。世界各地で発生したセキュリティインシデントの中から典型的な手法や危険性、発生頻度の高い事例をピックアップし、原因や対策とともにまとめたドキュメントだ(現時点では英語版のみの提供)。

 同社は2008年以降、年次レポート「データ漏えい/侵害調査報告書(DBIR)」を発行してきた。その年に世界各国で発生したデータ漏えい/侵害事件の原因と流出した情報の件数、影響などをまとめたレポートで、最新版となる2016年版も近々公開予定という。

 このDBIRが統計的な情報を提供し、全体のトレンドを俯瞰するのに役立つ一方、新たに作成されたDBDは、データ漏えいの「事例集」という位置付けだ。実際に発生したセキュリティインシデント18件を取り上げ、センシティブな情報は省いた上で、攻撃頻度や巧妙さ、攻撃手法、実行者の動機、対策などとともに紹介している。

アシシュ・ターパル氏 シンガポールからテレビ会議経由で説明を行ったベライゾンのマネージング プリンシパル、アシシュ・ターパル氏

 DBDで取り上げた18の事例のうち12件のシナリオは、同社が調査した1175件に上るインシデント案件のうち60%を超えるほど「典型的」なパターンだという。ベライゾンのマネージング プリンシパル、アシシュ・ターパル氏は「これまで見たこともない高度な攻撃に直面するケースはまれだ」と指摘。セキュリティ担当者はもちろん、それ以外のCxOクラスにDBDを通じて典型的な事例を知ってもらうことにより、「こうしたインシデントは人ごとではないことを理解し、リスク評価や対応を検討してほしい」と述べた。

 同時に、頻度は少ないものの、危険性が非常に高い事例も紹介している。例えばある水道会社では、決済用アプリケーションが侵害を受けた結果、顧客の個人情報が漏えいしたのみならず、AS400で運用していたインフラの運用システムにも侵入され、バルブやダクトなどの動きを制御されてしまった。「ITシステムへの侵害が、物理的な破壊や人命に関わるクリティカルな問題を引き起こす恐れがあることを示している」(ターパル氏)

 別のシナリオでは、海運会社が独自に開発したCMS(コンテンツマネジメントシステム)の脆弱(ぜいじゃく)性を突かれてバックドアが設置され、積み荷に関する情報を盗み出されてしまった。これらの情報は、現実世界で海賊がピンポイントで貴重品を略奪するのに悪用されていたという。これも、ITインシデントと物理的な攻撃を組み合わせたものといえるだろう。

 ターパル氏はこうした事例を踏まえ、「サードパーティーも含めた従業員のモニタリング」や「システム環境の把握と不必要なデバイスの排除」「適切な設定」といった対処法を検討してほしいと呼び掛けた。さらに「セキュリティに完璧はなく、万能薬もない。予防や監視に加え、インシデントレスポンス計画を立て、いざというときにどうするかという戦略を考えてほしい」(同氏)としている。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。