調査

サイバー犯罪者は脆弱な社員を狙う--人が影響するセキュリティの実態

國谷武史 (編集部) 2017年07月18日 18時07分

  • このエントリーをはてなブックマークに追加

 2016年に企業や組織で発生したデータ漏えい/侵害事件を分析した Verizonによれば、企業が直面する深刻な脅威がフィッシング攻撃であるという。従業員の14人に1人の割合でフィッシングに引っかかり、そのうち4分の1が何度もだまされてしまう実態が分かった。

 同社のサイバーセキュリティ グローバル本部で戦略およびマーケティングを担当するJohn Loveland氏は、「現在のフィッシング詐欺は、ソーシャルメディアに公開された情報などを利用して非常な洗練された内容のメールを送り付けてくる」と解説する。

フィッシングで狙われる従業員は、技術的な対策を講じにくい弱点になってしまう''
フィッシングで狙われる従業員は、技術的な対策を講じにくい弱点になってしまう

 Loveland氏は、特に繰り返しだまされてしまう従業員が一定数存在する状況を懸念すべきだと指摘している。近年は、巧妙な内容のメールが標的型攻撃での侵入手口に利用されており、従業員が攻撃メールに慣れて脅威に気が付けるようにすることを目的にした訓練サービスが各所で行われている。

 「こうした訓練は攻撃メールの開封率を下げる点で一定の効果を得られる。ただし継続しなければ意味がなく、ある企業では訓練をやめた結果、4%に低下した開封率が38%に急上昇してしまった」(Loveland氏)

 攻撃者がフィッシングを仕掛ける主な狙いは、情報システムなどへ侵入するための正規のユーザーのIDやパスワードを搾取するためだとされる。Verizonの分析では、データ漏えいインシデントの50%以上で盗まれたパスワード、あるいは容易に推測できるパスワードが悪用されていた。

 「企業や組織は基本的なセキュリティ対策を実行していると思いがちだが、攻撃者が脆弱なシステムを狙うだけでなく、脆弱な人間も狙うことを理解すべきだ」とLoveland氏は、警鐘を鳴らす。

人に起因するインシデントの特徴

 Verizonが毎年公開しているデータ漏えい/侵害調査報告書(DBIR)によれば、同社が分析した4万2068件のインシデントの98%が、9つのパターンに分類される。このパターンと業種の相関性をみると、例えば、ホテル業界では販売時点(POS)システムへの侵入が突出して多く、金融業界ではオンラインバンキングのウェブアプリケーション攻撃やサービス妨害(DoS)攻撃が目立つといった傾向が見えてくるという。


インシデントパターン別の業種ごとの発生件数

 Loveland氏は、「金融業界ではデータ侵害の94%が外部脅威に起因する。長年に渡って内部関係者の不正対策に取り組んできたことから、外部脅威への対策が課題だ。これに対し医療業界ではデータ侵害の68%が内部脅威に起因しており、内部不正への対策が喫緊の課題になっていることが分かる」と話す。

 金融業界では、漏えいしたデータの71%が認証情報であり、攻撃者の目的の96%は金銭だった。一方、医療業界では69%が診療記録などの医療情報で、64%が金銭狙いだった。主な攻撃手法は、金融業界ではDoSやウェブアプリケーション、カード情報の不正な読み取り、医療業界では特権の不正使用や物理的な窃取・紛失となっている。

 Loveland氏は、外部脅威の中でも、特にサイバースパイによる被害が教育機関や製造業で目立つと指摘する。サイバースパイ攻撃の主な目的は、大学やメーカーなどが持つ先端技術といった知的財産であり、攻撃者は先述のフィッシングからマルウェアを送り込み、侵入範囲を徐々に広げながら、知的財産を盗み出す。

 「ライバル企業あるいは国家が持つ知的財産は、膨大な金銭を生み出す可能性を持つ。攻撃者はこの目的にかなうデータを探すために長い間潜伏する。やはり継続的な訓練によって従業員の意識を高め、怪しい兆候を報告できる文化を築くことが大切だ」(Loveland氏)

 また内部脅威では、あるガス会社が合弁事業を推進する際に雇用したインターンによって機密情報が盗み出される被害を経験した。Loveland氏は、組織関係者による不正行為への対策として、正規の権限を悪用させない制限や行為の監視と記録などを挙げている。

 Verizonのレポートからは、セキュリティの脅威が高度なマルウェアによる攻撃といったテクニカルな面だけでなく、人間に深く関係することも分かる。Loveland氏は、継続的な訓練によるセキュリティ意識の絶え間ない向上に加え、多要素認証の導入や平時とは異なる兆候の検知、ログなどによるユーザー行動の監視や追跡といった技術的対策を効果的に組み合わせるべきだとアドバイスする。

 「特にログなどによる監視は、権限の不正使用だけでなく、承認されたアクセスなどに対しても行うようにしなければ、深刻な被害につながる脅威を見つけることはできない」(Loveland氏)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

SpecialPR

連載

CIO
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算