海の向こうの“セキュリティ”

第80回

「データ侵害は内部犯行によるものが多い」説は現代の神話 ほか

 4月は国内外問わず、連日のようにサイバー攻撃と見られるインシデントによる被害が報道され、それらの情報を追いかけるだけでも大変という状況でした。中には乗っ取られたアカウントによる嘘の情報発信で株価に影響が出る事態も発生しました。

 他にも、米国では「CISPA(Cyber Intelligence Sharing and Protection Act)」が下院を通過したとの話題や、日本国内では匿名化ネットワークシステム「Tor」からのアクセスを遮断するように警察庁が国内ISPなどに対して「自主的な取り組みを促す」ことになったとの報道がありました。

 今回はセキュリティ関連企業が定期的に公開しているレポートを紹介します。

「データ侵害は内部犯行によるものが多い」説は現代の神話

 Verizonは4月23日、2012年のデータ侵害に関する調査結果をまとめた報告書「The 2013 Data Breach Investigations Report」を公開しました。これは同社が毎年発表している「データ漏洩/侵害調査報告書」の最新版です。

 今回のレポートは、世界中の公的機関などとの協力の下、昨年の6組織の3倍以上となる19の組織(Verizon含む)から集められた、4万7000件以上のインシデント報告と、データ侵害であると確認された621件の事象に基づいています。

 今年も非常に盛りだくさんな内容で読み応えがあり、重要なポイントだけでも、そのすべてを紹介するのは難しいので、今回は見落とされがちなポイントなど、気になった点のみを紹介します。

 今回公開されたレポートでメディアが大きく取り上げているのは、諜報活動によるデータ侵害の96%に中国が関与しているとの指摘です。ところが本稿執筆時点で公開されている英語版「Executive Summary」では「China」とは一言も書かれておらず、レポート本文の中でさらっと触れられているだけで、Verizonとしてこの点を強くアピールするつもりはなかったようです。そもそも、本文中でも国家的関与といった具体的なことは何も書かれておらず、漠然と「起因している(attributed to threat actors in China)」と表現しているだけですし、Verizonの上級アナリストであるジェイ・ジェイコブズ氏もメディアのインタビューに対し、

“It just so happens that the data we were able to collect for 2012 reflected more Chinese actors than from anywhere else.”

と(当然ながら)述べています。ですので、メディアの取り上げ方は若干誇張気味にも見えるのですが、96%という極端に大きな数字で、しかも中国であることから注目されたようです。なお、残りの4%についてはいずれもどこの国・地域に起因しているのか「不明(unknown)」であり、これは中国以外のグループが身元を分からないようにしている、つまり逆に言うと、中国のグループは身元を隠そうとしていないことを意味しています。この点についてはトレンドマイクロが昨年公開したレポート「ピョートル大帝 vs. 孫子(Peter the Great Versus Sun Tzu)」で指摘されている内容とも合致しています(下記関連記事「東欧と東アジアの攻撃者およびその攻撃手法の比較」参照)。

 ちなみに、諜報活動に限らず、データ侵害全体における「外部に起因する」事象について、その起因となっている人物やグループがいる(とされる)国・地域別にまとめたのが次の図です。

外部に起因するデータ侵害事象で、起因となっている人物・グループがいる国・地域

 諜報活動では中国が他を圧倒、金銭目的ではルーマニア、米国、ブルガリア、ロシアの順となっています。

 次に今回のレポートで注目されているのは、内部犯行の割合です。昨年のレポートでは、データ侵害の98%が外部からの攻撃で、内部の者が関係しているのは4%にとどまっているというものでしたが、今回は92%が外部からの攻撃、内部が関与しているものが14%となっています。内部の関与が昨年より10%も増えていますが、それでも世間一般の「データ侵害は内部犯行によるものが多い」というイメージとは違った結果になっており、この点が強調される形で報道されています。この点について、昨年はレポート本文で、

“We hypothesize that many insider crimes go unreported because the organization is unaware of them, or because they decide for political reasons to handle it internally.”

のように説明されていましたが、今回はニュアンスがかなり違います。まず、Executive Summaryの中でVerizon自ら、

“Contrary to popular belief, 86% of attacks do not involve employees or other insiders at all”

と明記しており、このため、メディアもそのまま「世間一般のイメージとは違う」という観点で報道しているようです。一方、レポート本文内では「内部犯行の方が多いはず」との意見に対して、

“Perhaps they're right.”

と否定はしておらず、

“But our findings consistently show―at least by sheer volume of breaches investigated by or reported to outside parties―that external actors rule.”

“Pro-insider majoritists may see some justification in the results for all security incidents(rather than just confirmed data breaches), as insiders take the lead in that dataset.”

のように、少なくともデータ侵害であることが(外部機関によって)確認できた事象に関しては、内部が関与しているものが少ないという「事実」を強調した上で、セキュリティインシデント全体では内部が関与している割合が高いので、データ侵害のインシデントでもそう思われるのだろうとしています。基本的には昨年と同じことを言っているようにも見えますが、今回のレポート内の他の部分では、データ侵害においても内部の関与が多いとの考えは、ビッグフットやネッシー同様、誰も確認していない(unconfirmed)「現代の神話(modern myths)」であるとし、その上で、そもそも内部が関与しているインシデントのほとんどは悪意に基づくものではなく、不注意によるものであるとしています。

 「誰も確認できていないんだから分からない」のは当然のことなのですが、この手のレポートでここまではっきりと書いているのは珍しく、なかなかインパクトがあります。

 最後にもう1点、このレポートで注目して欲しいのは、データ侵害の多くが顧客や法執行機関を含めた外部によって発見されており、被害企業や組織が自ら発見することはごくまれであるという点です。しかも、外部の無関係の第三者によるものが多く、このことからも、そのような外部からの連絡・通報を受け付ける窓口を設けることが重要であることが分かります。これはセキュリティ業界の中ではすでに「常識」とされているものですが、改めてこのレポートの結果をもって強くアピールしたいポイントです。そして、そのような窓口としての機能は、CSIRT(シーサート、Computer Security Inchident Response Team)の重要な役割の1つであることもあわせて強調しておきます。

マルウェア感染率、「リアルタイム保護」の有無で5.5倍の開き

 Microsoftは4月17日、半期に1回公開している「マイクロソフトセキュリティインテリジェンスレポート」(以降、SIRと略)の2012年下半期を対象とした第14版を公開しました。

 今回のレポートで最も注目されている点は、マルウェア対策製品による「リアルタイム保護」がなされていないコンピューターのマルウェア感染率は、保護されているものの5倍以上になるという結果でしょう。マルウェア対策製品で防ぎ切れないものが増えて来ているとは言え、それでもやはり、入れておいた方が安全であるということです。リアルタイム保護を有効にした方が安全なのは当たり前ですが、それでも5.5倍という具体的な数字が示されると説得力があります。

 リアルタイム保護の有無による感染率の違いをOS別にまとめたのが次の図です。

リアルタイム保護の有無によるOS別の感染率の違い

 新しいOSの方が、リアルタイム保護の有効性が高い(有効/無効の差が大きい)結果になっていますが、最も感染率が高いのが「リアルタイム保護されていない32bit版Windows 7 RTM」であるというのが気になるところ。恐らくこれが(調査時点で)一番「狙われている」OSなのでしょう。

 ところで、SIRの特徴は国や地域ごとに詳細にデータをまとめている点です。今回も国や地域ごとの違いに着目していくつか紹介します。

 まずマルウェア感染率の特に高い3つの国、パキスタン、グルジア、韓国の感染率の推移を示したのが次の図です。

パキスタン、グルジア、韓国の感染率の推移

 パキスタンとグルジアについては、リアルタイム保護が有効か無効かで10倍もの差が見られますが、韓国については1.6倍と、さほど大きな差がありません。また、韓国の高感染率の原因は、主に韓国で感染を広めた「Onescan」という韓国語表示の「偽セキュリティソフト」によるもので、これはリアルタイム保護では防ぎ切れなかったようです。なお、Onescanが検知されたのは98%以上が韓国内ですが、ごく一部、日本でも検知されています。

「Onescan」検知数の多い5地域

 ちなみに感染率の特に低い国として、日本、フィンランド、デンマークの感染率の推移についても紹介されています。

日本、フィンランド、デンマークの感染率の推移

 日本の場合はリアルタイム保護が有効か否かで感染率に10.4倍の違いがあり、世界平均の5.5よりも倍近い差があります。一方、フィンランドは8.6倍、デンマークは9.3倍です。また、リアルタイム保護されていないコンピューターの割合は、日本が23.2%であるのに対し、フィンランドは14.6%、デンマークは19.8%で、日本はこの2カ国に比べて少々多めです。一応、世界平均の約24%よりは少ないですが、ほぼ平均並。日本全体の感染率が非常に低いのはいいのですが、リアルタイム保護が有効になっていないコンピューターの割合が世界平均並というのは気になるところです。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。