調査

サイバー犯罪者は脆弱な社員を狙う--人が影響するセキュリティの実態

國谷武史 (編集部)

2017-07-18 18:07

 2016年に企業や組織で発生したデータ漏えい/侵害事件を分析した Verizonによれば、企業が直面する深刻な脅威がフィッシング攻撃であるという。従業員の14人に1人の割合でフィッシングに引っかかり、そのうち4分の1が何度もだまされてしまう実態が分かった。

 同社のサイバーセキュリティ グローバル本部で戦略およびマーケティングを担当するJohn Loveland氏は、「現在のフィッシング詐欺は、ソーシャルメディアに公開された情報などを利用して非常な洗練された内容のメールを送り付けてくる」と解説する。

フィッシングで狙われる従業員は、技術的な対策を講じにくい弱点になってしまう''
フィッシングで狙われる従業員は、技術的な対策を講じにくい弱点になってしまう

 Loveland氏は、特に繰り返しだまされてしまう従業員が一定数存在する状況を懸念すべきだと指摘している。近年は、巧妙な内容のメールが標的型攻撃での侵入手口に利用されており、従業員が攻撃メールに慣れて脅威に気が付けるようにすることを目的にした訓練サービスが各所で行われている。

 「こうした訓練は攻撃メールの開封率を下げる点で一定の効果を得られる。ただし継続しなければ意味がなく、ある企業では訓練をやめた結果、4%に低下した開封率が38%に急上昇してしまった」(Loveland氏)

 攻撃者がフィッシングを仕掛ける主な狙いは、情報システムなどへ侵入するための正規のユーザーのIDやパスワードを搾取するためだとされる。Verizonの分析では、データ漏えいインシデントの50%以上で盗まれたパスワード、あるいは容易に推測できるパスワードが悪用されていた。

 「企業や組織は基本的なセキュリティ対策を実行していると思いがちだが、攻撃者が脆弱なシステムを狙うだけでなく、脆弱な人間も狙うことを理解すべきだ」とLoveland氏は、警鐘を鳴らす。

人に起因するインシデントの特徴

 Verizonが毎年公開しているデータ漏えい/侵害調査報告書(DBIR)によれば、同社が分析した4万2068件のインシデントの98%が、9つのパターンに分類される。このパターンと業種の相関性をみると、例えば、ホテル業界では販売時点(POS)システムへの侵入が突出して多く、金融業界ではオンラインバンキングのウェブアプリケーション攻撃やサービス妨害(DoS)攻撃が目立つといった傾向が見えてくるという。


インシデントパターン別の業種ごとの発生件数

 Loveland氏は、「金融業界ではデータ侵害の94%が外部脅威に起因する。長年に渡って内部関係者の不正対策に取り組んできたことから、外部脅威への対策が課題だ。これに対し医療業界ではデータ侵害の68%が内部脅威に起因しており、内部不正への対策が喫緊の課題になっていることが分かる」と話す。

 金融業界では、漏えいしたデータの71%が認証情報であり、攻撃者の目的の96%は金銭だった。一方、医療業界では69%が診療記録などの医療情報で、64%が金銭狙いだった。主な攻撃手法は、金融業界ではDoSやウェブアプリケーション、カード情報の不正な読み取り、医療業界では特権の不正使用や物理的な窃取・紛失となっている。

 Loveland氏は、外部脅威の中でも、特にサイバースパイによる被害が教育機関や製造業で目立つと指摘する。サイバースパイ攻撃の主な目的は、大学やメーカーなどが持つ先端技術といった知的財産であり、攻撃者は先述のフィッシングからマルウェアを送り込み、侵入範囲を徐々に広げながら、知的財産を盗み出す。

 「ライバル企業あるいは国家が持つ知的財産は、膨大な金銭を生み出す可能性を持つ。攻撃者はこの目的にかなうデータを探すために長い間潜伏する。やはり継続的な訓練によって従業員の意識を高め、怪しい兆候を報告できる文化を築くことが大切だ」(Loveland氏)

 また内部脅威では、あるガス会社が合弁事業を推進する際に雇用したインターンによって機密情報が盗み出される被害を経験した。Loveland氏は、組織関係者による不正行為への対策として、正規の権限を悪用させない制限や行為の監視と記録などを挙げている。

 Verizonのレポートからは、セキュリティの脅威が高度なマルウェアによる攻撃といったテクニカルな面だけでなく、人間に深く関係することも分かる。Loveland氏は、継続的な訓練によるセキュリティ意識の絶え間ない向上に加え、多要素認証の導入や平時とは異なる兆候の検知、ログなどによるユーザー行動の監視や追跡といった技術的対策を効果的に組み合わせるべきだとアドバイスする。

 「特にログなどによる監視は、権限の不正使用だけでなく、承認されたアクセスなどに対しても行うようにしなければ、深刻な被害につながる脅威を見つけることはできない」(Loveland氏)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]