インターネットでの犯罪は、今までは無差別的にターゲットを決めて悪意のあるプログラムを送信するのが主流で、セキュリティホールを対策していないデバイスや人為的な不注意による被害が多いです。一度侵入されると、ユーザは知らずに内部情報を外部へ漏洩し続けることになりますが、直近2年間ではターゲットを絞った脅迫行為(標的型ランサムウェア)が増えています。その動機は大まかに政治活動(民族主義や政治への不満)、経済的要因になります。
ここからはインシデントと情報漏洩を論じるため、まずはインシデントとデータブリーチ(侵害)の違いを定義したいと思います。
インシデント vs ブリーチ
インシデント(Incident):情報資産の完全性、機密性、可用性が損害されるセキュリティ事件
ブリーチ(Breach):未許可でデータが公開される(潜在的に漏洩リスクに留まらない)事件
今までのランサムウェアはローカルファイルを暗号化しているだけなので、被害者はPCをリセットして身代金を支払わない選択もできましたが、近年はデータ自体を窃取して身代金を支払わなければ情報を公開すると脅迫するケースが増えています。
標的型ランサムウェアの特徴として、侵入や潜伏にAPT (Advanced Persistent Threat )を利用することがあります。長期的・組織的に潜伏する場合、ほとんどの動機は経済的なものと政治的な活動に由来します。愉快犯的な破壊行動はほとんど見かけなくなりました。
標的型ランサムウェアはさらに攻撃前にターゲットの組織に合わせて攻撃行為を調整する傾向があります。ターゲット組織の環境を研究して、パッチ更新漏れなどのセキュリティホールやターゲティングメールの実行状況を把握して、保護の薄い箇所を狙って悪意あるプログラムを侵入させます。
データ漏洩は不注意なミスでも十分に起こりえる上、その結果として個人情報(PII)の不法売買、知的財産や営業情報漏えいによる損害は計り知れません。
データ漏洩は内部脅威と外部攻撃のどちらが多い?
この部分は数々の専門家の統計でも異なる結果が出ていて、なかなかまとまった答えがありません。これは現在の侵入と情報窃取手法によるものが大きいかもしれません。旧来のセキュリティ保護は外部からの侵入検知に特化して、フロントのファイアウォールや侵入検知システムで察知する件数は多いが、逆に内部活動への検知は多少おざなりになっています。内部によるデータ漏洩が検知しにくいので、統計では外部脅威が多いように見えます。
もうひとつの理由は、内部脅威(潜伏しているものも含む)の技法が迅速に進化し続けていることです。新しい技法はセキュリティシステムで検知しにくいので、自ずと統計にカウントされません。組織内データを窃取するのは外国政府・犯罪組織・イデオロギーに動かされる個人などがあります。これらの人達がすでにターゲットの組織に入り込んでいる可能性もあるので、技術が進歩しても最初から意図してデータを窃取する内部メンバーを検知して取り締まることが難しいです。
企業の規模産業別とインシデントの関連度合い
侵入者はどういう業種を好んで攻撃するのか?ターゲットを絞って巧妙かつ手間のかかる攻撃手段を構築する以上、それに見合うターゲットを慎重に選ぶのも自然です。そこで第一候補はまず資産価値や市場価値の高い産業が選ばれます。この2つの要素をある程度備えている企業は被害に受けやすいです。例としてはハイテク産業・金融業・年収数十億超えや規模が大きく象徴的な組織(経産省など)です。
台湾の中小企業は全企業の97%を占めていて、たまに巻き添えを食らうことはあっても、理論上は前述のターゲットには選ばれにくいです。ただインシデントの被害者があまりにも著名な企業ばかりで、どうしてもそこに関心を寄せてしまいますが、実際に一般企業が外部侵入による被害を受ける確率はかなり低いです。無作為的にターゲットを選ぶ攻撃もまだ存在していますが、APTによる侵入はしないので検知もしやすいです。
前述の最も大きい外部攻撃を排除すると、中小企業にとっては内部メンバーによる漏洩こそ一番の脅威です。内部による意図的データ漏洩は能動的に認識したり予防することが難しく、このリスクを意識していても一般的なファイアウォールや侵入検知システムとは全く別領域の話になるので、解決案に悩む企業や組織も決して少なくありません。
社内外によらず、対策すべきはデータの窃取と紛失
前述を見れば分かりますが、現状の漏洩対策はもはや社内外の区別が難しく、単一の技術で解決できるものでもありません。そのため、保護するのはターゲット自身に戻るのが得策と言えるでしょう。保護対象は具体的にはデータの使用・移動・保存に関する保護になります。
データ紛失・窃取のタイプと対策
- デバイスの紛失:
デバイスが紛失した後はすぐに破棄登録をして、中身も自動削除されるなどの仕組みを用意します。内部保存データが認証されていない限り、他のプラットフォームからのアクセスをブロックします。 - 転送行為:
不必要なネットワーク転送を制限します。具体的にはメール・FTP・インスタントメッセンジャー・クラウドアクセス等の転送です。必要であればログにも記録して、いざという時の追跡検証に使用します。 - 外部記憶デバイス:
不必要なアクセスを禁止するか、出力制御や暗号化制御の仕組みを導入します。 - 資産の更新と管理:
侵入の踏み台にされないために資産状態を把握して、パッチを定期的に更新します。 - ユーザの行動:
ユーザのファイル操作・OSのイベント・プロセスの活動など、データアクセスに関連するログを記録します。 - 第三者によるアクセス:
あらゆる対策で内部データの安全性を確保したとしても、外部委託した第三者を経由して侵入され漏洩する可能性があります。ソフトウェアベンダーのパッチが利用される前例もあるので、第三者によるアクセスは慎重に取り扱わなければなりません。