備えはありますか? 情報漏えいという名のリスク

第2回「かくして機密情報は漏えいする:攻撃編」

 

TREND MICRO newsletter DIRECTION Vol.02 2008 January

情報漏えいにおける「攻撃」が増えた背景

一口に情報漏えい事故といっても、さまざまな種類があります。前回の当コラムでは情報漏えいについて、その要因や手口から以下の2つに大きく分けられることをご説明しました。

  1. 明示的な「攻撃」によってインターネットから内部を狙うもの
  2. 「事故によって」インターネットに情報が流出してしまうもの
 

今回は、そのうちの「攻撃」について取り上げてみたいと思います。

主な「攻撃」としては、悪意ある者がインターネット経由で内部のネットワークに侵入する「不正アクセス」、外部からPCに送り込まれて自由にPCを操作したり、情報を盗み出したりする「ボット」「トロイの木馬」といった不正プログラム、攻撃対象を騙して自ら情報を入力するように仕向ける「ソーシャル・エンジニアリング」などが挙げられます。依然としてメディアを騒がせている暴露ウイルスによる情報漏えいも、元はといえば情報漏えいを目的としてWinnyネットワークなどに仕込まれた不正プログラムをユーザがダウンロードし、感染したことに端を発していることから「攻撃」に分類されます。

このような「攻撃」とその被害が増加した背景には、インターネットが一般的になったことに加え、ブロードバンドの普及によって通信速度が飛躍的に向上したこと、ノートPCなど携帯端末を使ったビジネススタイルが定着したことなどがあります。さらにさまざまな通信サービスが充実し、専用線の代わりにインターネットを利用するケースが増えたため、社内ネットワークをインターネットにつなげるケースが増え、結果、内部の機密情報がネットワークを通じて外部の空間とつながるようになりました。ゆえに、十分な対策がとられていない場合、ひとたび攻撃を受けると、企業が抱えている膨大な量の情報が危険に晒されるようになったのです。また一般家庭における側面を見た場合、初心者や子どもなど、ITリテラシーの低いユーザがPCを常用するようになったため、適切なセキュリティ対策がなされなかったり、脅威に直面したときに正しい判断ができないことで、被害に遭うケースが増えています。

「攻撃」自体の性格も変化しており、かつてはセキュリティを破る腕試しや害のないジョークプログラムなど愉快犯的な攻撃が多かったのですが、現在ではオンラインバンキングやクレジットカード番号、顧客リスト等の機密情報を奪ったり、ボットネットを構築し、売買、貸し借りして迷惑メールを配信するなど、攻撃が金銭的な利益につながるようになってきており、”ビジネス”として攻撃を行う例が急増しています。このような理由により、攻撃の量と質が大幅に増えたことが、対応をいっそう難しくしているといえるでしょう。

さまざまな「攻撃」のメカニズム

それでは、「攻撃」のメカニズムを種類別に紹介していきましょう。

不正アクセスは、OSやアプリケーションの穴(セキュリティホール)を突いて侵入を図る攻撃と、他人のIDやパスワードを入手し、その人になりすまして侵入しようとする攻撃の2種類に分けることができます。例えるなら前者は裏口や窓を破って入り込み、後者は偽造したIDカードを付けて正面玄関から堂々と乗り込む手口です。実際にあった例でいうと、前者は地方自治体や大学、オンラインゲームなどのサーバが不正侵入を許し、データベースから数万人規模の個人情報が漏えいしたケース、後者は企業の社員が上司のIDを盗んで社内サーバにアクセスし、機密情報を盗んだケースなどが報告されています。後者はIDとパスワードさえあれば、与えられた権限のもとで自由に行動できてしまうため、特に注意が必要です。対策としては、OSやアプリケーションのバージョンを常に最新に保つこと、IDやパスワードの管理を厳重に管理することが考えられます。

不正プログラムによる攻撃については、かつてのようにあからさまなものは減り、感染したことをユーザに悟られないよう、こっそりと裏で活動する「ボット」や「トロイの木馬」が増えています。また感染させるテクニックも単純にプログラムを実行させようというのではなく、別の形式のファイル、例えば動画や音楽、文書ファイルに偽装し、クリックさせるケースが増えています。実際に企業が遭った被害では、差出人を顧客と偽ったメールに添付されていた画像ファイルに見せかけたファイルにスパイウェア(キーロガー)が仕込まれており、オンラインバンキングの情報が盗まれて、不正送金されてしまった例があります。対策としては、ウイルス対策をはじめとしたセキュリティシステムの社内全体への導入や社員へのセキュリティに関する意識の徹底(不審なファイルは実行しない)などがあります。

メディアで情報漏えい事故のニュースを見ない日はありませんが、その原因の多くとされているのが暴露ウイルス。これをダウンロードするなどしてひとたび感染すると、PC内に保管されているデータの一部、あるいは全てが共有ネットワーク上にアップロードされてしまいます。こうなると、流出した情報の回収はまず不可能です。対策としては、社員にP2Pソフトを使わせないことはもちろん、社内のデータを持ち出し禁止にする対応が必要です。

 

「攻撃」による情報漏えい事故は3割

以上、さまざまな「攻撃」の種類があることはご理解いただけたかと思います。しかし実は、「攻撃」が情報漏えい事故の原因に占める割合は3割程度であり、圧倒的に「事故によるもの」の方が多いことはご存じでしょうか。どちらかというと、報道などで騒がれているのは「攻撃」の場合が多いので、実感がわかない方も多いかもしれませんね。

次回は「事故による情報漏えい」について、その実態をご紹介しましょう。

 

バックナンバー

メールマガジン「Direction」特集記事の一覧と、メールマガジンのバックナンバー一覧がご覧いただけます。