退職者アカウントが確実に削除されていないとの英国調査結果　ほか

退職者アカウントが確実に削除されていないとの英国調査結果

　退職した従業員のアカウントを削除せずに残しておくことがセキュリティ上の問題に繋がることは、少なくとも専門家の間では常識です。ところが、そのような常識が受け入れられていない現実を示す調査結果が公開されました。なお、今回の調査結果はExcel形式（.xlsx）のデータで公開されています。

　英国で従業員1000人以上のさまざまな業種の企業のIT専門家（IT Decision Maker、意思決定者）100人に対して行ったオンライン調査によると、その49％が前職のネットワークへのアクセス権を残したままにしたことがあると回答しました。また、17％がアクセス権を残したままにしたかどうか分からないとしています。つまり、アクセス権を退職時に確実に削除しているのは、残り34％に過ぎないということになります。

　内訳は以下のようになっています。

　従業員数3000人以上の大企業に勤める専門家のほうが「良い」ように見えますが、離職後1カ月に限れば、むしろ「悪い」結果になっていますし、根本的に違うとまでは言えないでしょう。また、業種別にまとめた結果（以下の表）については、IT系の企業で「分からない（確認したことがない）」とした者の割合が40％と多かった一方で「そのようなことはない」の割合が10％と少なかった点を除けば、全体の傾向として業種による違いはさほど見られず、どの業種でも40％から60％が前職のアクセス権を残したままにした経験があるとしています。

（*）BPS：Business and professional services

　この調査ではさらに踏み込んだ内容も調べています。アクセス権を残したことがあると回答した者（全回答者の49％）のうち、その権限がユーザーレベルだったのが65％、管理者権限だったのが22％となっています。つまり回答者全体で見れば、約1割が管理者権限を退職後も持ち続けていたことになります。

　また、アクセス権を残したことがあると回答した者のうち、76％がその権限を実際に使ったことがあり、6割以上が複数回の使用を認めています。

　さらに驚くべきことに、アクセス権を実際に使ったことがあると回答した者のうち、前職の雇用主が退職者のアクセスに気付いてアクセス権を削除したのは16％に過ぎず、57％は気付いても削除しなかったのだそうです。

　一方、従業員に支給されていたハードウェア（ノートPCや携帯電話など）の返却を、退職時に全く求められることがなかったというケースが1割もあったようです。

　今回の調査結果に対して「英国の企業はなんてゆるいんだ」と思う人も少なくないと思いますが、このような残念な状況は必ずしも英国に限った話ではないでしょう。どんなに堅牢に守っているシステムであっても、元従業員のアクセス権が残っている状態は「バックドア」が設置されているのも同然。文字通り「頭隠して尻隠さず」の状態です。退職者のアクセス権について、その実態だけでなく、削除手順についても改めて確認してみるとよいかもしれません。

Akamaiの第1四半期レポート、減少傾向に見えたShellshockへの攻撃が増加

　Akamaiは、DDoS攻撃などに関する調査結果を四半期ごとにまとめた「インターネットの現状」報告書の2016年第1四半期版を公開しました。

　ポイントは以下の通りで、全体として「悪化」している状況が見て取れます。

2015年第1四半期との比較

• DDoS攻撃全体は125.36％の増加
• インフラ層（第3、4層）の攻撃が142.14％の増加
• 平均攻撃継続時間は34.98％の減少（24.82時間から16.14時間に）
• 100Gbpsを超える攻撃は137.5％の増加（8件から19件に）

2015年第4四半期との比較

• DDoS攻撃全体は22.47％の増加
• インフラ層（第3、4層）の攻撃が23.17％の増加
• 平均攻撃継続時間は7.96％の増加（14.95時間から16.14時間に）
• 100Gbpsを超える攻撃は280％の増加（5件から19件に）

ウェブアプリ攻撃の2015年第4四半期との比較

• ウェブアプリ攻撃全体は25.52％の増加
• HTTP上のウェブアプリ攻撃は1.77％の減少
• HTTPS上のウェブアプリ攻撃は235.99％の増加
• SQLi攻撃は87.32％の増加

　細かく見ていくと、まずDDoS攻撃としては、インフラ層の攻撃が大多数（97.44％）で、中でも「UDP Fragment」が圧倒的に多い（27.35％）ことが分かります。

（Akamai「Q1 2016 State of the Internet / Security Report」より）

　四半期ごとの推移を見ると、UDP Fragmentの増加以外にも、SSDPの減少やDNSの増加が目を引きます。

（Akamai「Q1 2016 State of the Internet / Security Report」より）

　また、単一の攻撃ではなく、複数の攻撃の組み合わせが増えてきている状況も見えています。

（Akamai「Q1 2016 State of the Internet / Security Report」より）

　攻撃元ではトップ10に日本が入っています。また、トップ5の推移を見ると、中国と米国が安定して上位を占めていることが分かります。

（Akamai「Q1 2016 State of the Internet / Security Report」より）

（Akamai「Q1 2016 State of the Internet / Security Report」より）

　次にウェブアプリ攻撃としては、SQLi（SQL injection）とLFI（Local File Inclusion）が大多数を占めていることが分かります。その一方で、注目すべきは2014年秋に公開されたShellshockの脆弱性を狙った攻撃が未だに続いており、中でもHTTPSでは2割以上を占めている点でしょう。

（Akamai「Q1 2016 State of the Internet / Security Report」より）

（Akamai「Q1 2016 State of the Internet / Security Report」より）

　ウェブアプリ攻撃の攻撃元IPアドレスを国別でまとめると、トップはいつも通りに米国ですが、占める割合は前四半期の56％から43％に減っています。

（Akamai「Q1 2016 State of the Internet / Security Report」より）

　攻撃先を国別でまとめると、日本もわずかではありますが、トップ10に入っています。

（Akamai「Q1 2016 State of the Internet / Security Report」より）

　攻撃先を業種別でまとめると、小売業界が全体の4割以上を占め、他を圧倒しています。

（Akamai「Q1 2016 State of the Internet / Security Report」より）

　本連載の4月5日付記事で紹介した前四半期の報告書の内容と比較すると、「悪化」はしているものの、全体の傾向として大きく変わる結果ではありません。

　それでも、前四半期では減少傾向に見えたShellshockの脆弱性を狙った攻撃が第1四半期では増えているという点には注意が必要です。そもそも非常に攻撃しやすい脆弱性ではありますが、2014年秋に公開された脆弱性が未だに狙われている、それも、いったんは減少傾向にあったものが増えているということは、世の中に未対策のものが我々の想像以上に多く残されているためかもしれません。改めて未対策のものがないか、確認する必要があるでしょう。