標的型攻撃、内部情報漏えいの実際――近年の事例から脅威を振り返る
石津氏は、直近の具体的な事例から近年の脅威を振り返る。言わずもがなであるが、一度企業が事故を起こすと、その後の信頼回復は相当困難となる。事故が情報流出となるとなおさら深刻である。一度流出した情報は追跡して消すことができないからだ。
事例1:小売り大手のPOSネットワーク攻撃
2013年12月には米国小売大手企業が攻撃されクレジットカード情報など7千万件の顧客情報が流出、2014年9月には同じ手法で別の米国小売大手企業が攻撃され最大6千万件の顧客情報が流出した。いずれも使われたのは「BlackPOS」というマルウェアの亜種。
一般的にマルウェアにはアンチウィルスソフトで検知するものの、対応の要となるパターンファイルは過去事例の蓄積であるため、新種や亜種に即応できない。もし攻撃先が1社に限られていれば、そこで発見されない限りパターンファイルに盛り込まれることはなく、半永久的に気づかないということも起こりうる。
事例2:インターネットバンキング不正送金
近年特に被害額が増えているのがマルウェアによりブラウザが乗っ取られ、インターネットバンキングで不正な宛先に送金されてしまうケース。警視庁の発表によると2014年度上半期の被害額は18億5200万円であり、被害の30.9%が法人口座とある。被害は個人だけではないのだ。
マルウェアによるブラウザ乗っ取りなのでMITB(Man in the Browser)攻撃と呼ばれている。このケースの難しさは通信を監視していても、通信相手が正規の銀行なので異常と検知しにくいことだ。また最近はマルウェアを実行させるための巧妙な「やりとり型攻撃」も出てきている。
事例3:内部の人間による情報流出
2014年7月、教育大手企業にてデータベース管理を委託されていたエンジニアが顧客情報を持ち出した。データが流出したことはしばらく気づかれず、その間にエンジニアから名簿屋に売り渡され、ダイレクトメールで利用されたことで情報流出が発覚した。被害者からの指摘で発覚するという、企業としては致命的な事態を引き起こした。流出した情報は名前や住所など2895万件、対応費用は200億円と言われ、社会事件へと発展した。
データはスマートフォンへのデータコピーという形で持ち出された。USB経由への書き出し対策に不備があったと指摘されている。また大量データの書き出しに警告がないことやアクセスログのチェックが不十分であることなどが、長期の未検出につながった。
ほかにも2014年3月には半導体大手で機密がUSBメモリから不正持ち出しされ、競合他社に漏えいする事件が起きた。損害は1千億円以上と言われている。
事例1と2は標的型攻撃、事例3は内部情報漏えいとなる。どちらも一般的な対策はあるものの、完全に防ぐのは難しい。標的型攻撃はマルウェアが利用されることが多いため、対策としてよく言われているのはOSのアップデート、アンチウィルス、侵入検知システム、統合脅威管理など、セキュリティに関するソフトウェアを最新版にすることだ。ただし事例に見るようにこれでは新しい脅威には対応できない。
内部情報漏洩えいは、力ずくで守る方法もあるにはある。データを暗号化する、端末の持ち出しを一切禁止する、ログをリアルタイムに全てチェックするなどだ。ただし、やり過ぎては利便性を犠牲にしかねない。費用もばかにならない。人間への対策もある。例えば不正行為について周知徹底する。就業規則で誓約書を書かせる、罰則規定を設けることで従業員や関係者に圧力をかけるなど。
「どれも抑止にはなりうるが、やはりそれでは防げない」と石津氏は言う。
