Yahoo!で10億人分のデータ流出――米国はいつになったらサイバー防衛に本腰を入れるのか:Gartner Insights Pickup(7)
米Yahoo!は、約10億人分の個人情報が流出していたことが分かったと、2016年12月に発表した。この深刻な事件から、私たちは何を読み取ればいいのだろうか。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
米Yahoo!が2016年12月中旬に発表した10億人分のユーザーデータ流出はショッキングだった。この事件は以下の疑問を投げ掛ける。
「盗まれたデータはどこへ行ったのか」「これだけ多くのIDが侵害されてきたのに、なぜわれわれは無一文にならずに済んでいるのか」
米国の州税務当局に尋ねたところ、米国人のIDの半数以上が侵害されているとのことだった。一部のメガバンクの幹部はさらに厳しい認識を示し、「ほぼ全ての」米国人のIDが侵害されていると語った。一見すると、こうした盗まれたIDは、われわれの敵に不正な方法で使われてはいないように見えるが、実は使われているのだろうか。
実は私は、盗まれたIDレコードは全て、1つまたは複数の敵によって使われていると考えている。
盗まれたデータは切り分けられ、以後示すような攻撃者全て(主にサービス妨害を行い、通常は資産を盗まないハクティビストを除く)に販売、再販される。このデータはサイバー犯罪者によって金銭的利益のために使われる(消費者はすぐに気付く。銀行口座残高が減ってしまうからだ)が、さらに不気味なことに、国家(ロシア、中国など)によっても使われる。こうした国家は盗まれたデータを使って、われわれの政治的および経済的プロセスを操作し、あるいは知的財産など、サイバー空間で手に入るものを何でも盗む。
敵対国は盗まれたデータをどう使うか
- 敵対国は、できるだけ多くの個人(米国などの国の在住者)に関するデータベースを構築する。インテリジェンス(諜報活動)はデータマイニングを駆使して行われるようになっており、特定の人口層についてより多くの情報を持つほど、攻撃者にとって、標的に潜入して所期の成果を挙げることが容易になる。それが知的財産の窃盗か、民主政治プロセスへの介入かにかかわらず。
- 例えば、こうした攻撃者が、防衛関連の契約業者のシステムに侵入し、最新のレーダーシステムの青写真を盗みたい場合、まずその業者のユーザー(この例では、エンジニア)を特定しようと考えるだろう。攻撃を仕掛けて青写真を盗む目的で利用するためだ。
- 攻撃はほぼ常に、特定された個人に対するソーシャルエンジニアリングによって開始される。ソーシャルエンジニアリングの狙いは、特定された個人のアカウントを乗っ取り、最終的な目的のために利用できるようにすることだ。攻撃者としては、ソーシャルエンジニアリングを成功させるために、前もって知っておきたい情報がある。例えば、「標的のエンジニアがどこに住んでいるか」「子どもが何人いるか」「子どもがどこの学校に通っているか」「子どもの先生は誰か」といったことだ。
- こうした情報が手に入れば、攻撃者はエンジニアに、エンジニアの子どもの先生からの電子メールを装った、もっともらしいフィッシングメールを送信できる(このメールは、その先生の乗っ取られたメールアカウントから実際に送信されることもある)。メールには、例えば、「お子さんについて深刻な苦情が寄せられており、説明したいので学校に来ていただきたい」といった内容が書かれており、苦情についてまとめたとされる報告書が添付されている。
- エンジニアが報告書のファイルを開く(この場合、親なら誰でもそうするだろう)と、たちまちマルウェアがエンジニアのデスクトップにインストールされ、計算された一連のステップにより、最終的にレーダーの青写真を見つけ出してしまう。
“人々のデータベース”とその利用
私がこうした“人々のデータベース”について初めて知ったのは、2004年のことだった。連邦法執行機関の幹部から、「犯罪者が、盗まれたデータを集めて包括的なID情報ポートフォリオを構築している」という話を聞いたからだ。このID情報ポートフォリオには、電子メールアドレス、ユーザーID、パスワード、銀行口座、クレジットカード、社会保障番号、運転免許、パスポート、年金口座など、犯罪者が集められるだけ集めた膨大な個人データが含まれるとのことだった。「こうした情報は、いずれは敵対国によって使用され、重大な結果につながる恐れがある」と彼は危惧していた。私は、その日彼に言われたことと向き合い、「そうしたデータが具体的にどのように使われて米国が打撃を受けるのか」を理解しようと努めたことを覚えている。
12年後の今、われわれが、エスカレートしている深刻な国家的サイバー戦争のただ中にあることは明白だと私は考えている。だが、われわれは概して、この戦争への備えができていない。Yahoo!など、個々の企業のセキュリティの甘さを責めるのは簡単だ。だが率直に言って、現在のサイバー脅威の広がりと規模はあまりにも大きく、1社が自力で解決することはできない。サイバーセキュリティ対策や、優秀なパートナーおよびITサプライヤーの支援サービスに費用を掛けられるとしても。
敵対国やサイバースパイは、データを盗むだけでなく、セキュリティ企業やインフラ企業の社員としてスパイを潜り込ませているといわれている。こうした企業のハードウェアやソフトウェアにバックドアを作らせるためだ。この戦術は、米国のインテリジェンス当局でかつて広く使用されていたが、当時はこの目的でスパイを潜入させる必要はなかった。
敵対国は、サイバーセキュリティ対策費用に糸目を付けない組織のシステムに侵入することに成功している。例えば、米国の送電網(Ted Koppelの書籍「Lights Out」で取り上げられている)や、国家安全保障局(NSA)のようなインテリジェンス当局、原子力発電所(イランなどの施設。ただし、この場合は“友好国”による)などのシステムが破られている。もっと対策が手薄な他の組織が、こうした脅威を自力で跳ね返すことを、どうすれば期待できるだろうか(あるいは、期待すべきだろうか)。また、サイバー脅威による危機が国家的な規模に拡大している中で、個々の企業や組織が個別の対策のみを続けることは、理にかなっているだろうか。
国家的な対応
国家的なサイバー防衛システムを整備すべきときが来ている。このシステムにより、米国の防衛当局が国の資産や組織を攻撃から守り、害を及ぼす脅威者を無力にすることが求められている。
われわれは海、陸、空を担当する軍を持っているが、サイバー空間については、適正な規模の軍備が整っていない。そこでは、米国の全国民の保護を強化することが望ましい。しかし、この軍備増強の見通しは、控えめに言っても、あまり芳しくないようだ。
差し当たってわれわれにできることは何か。基本的には、「パスワードを変更」し、幸運を祈ることしかできない。これは決して好ましい戦略ではない。
出典:Yahoobreach! How many more Billions of Stolen User Records will it take for the U.S. to Respond?(Gartner Blog Network)
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。