海の向こうの“セキュリティ”

攻撃側も人材不足/大企業の社員のセキュリティ意識 ほか

Akamaiの2015年第4四半期レポート

 Akamaiは、DDoS攻撃などに関する調査結果を四半期ごとにまとめた「インターネットの現状」報告書の2015年第4四半期版を公開しました。

 DDoS攻撃に関するポイントは以下の5点。

  • 1年前と比較してDDoS攻撃は149%の増加
  • 攻撃の継続時間は短くなっているが、頻度は増加
  • 反復攻撃が普通のことに(攻撃対象サイトあたり平均24回の攻撃)
  • リフレクション攻撃の割合は46%、複数ベクトルの攻撃の割合は56%
  • 100Gbpsを超える攻撃は5回

 まず、DDoS攻撃の内訳の変遷を四半期ごとにまとめたのが以下の図です。

 2014年から2015年にかけて目立っていた「SSDP(Simple Service Discovery Protocol)」を使ったリフレクション攻撃が、2015年第1四半期をピークに減少傾向にあり、第4四半期には8.02%にまで下がっているのが目を引きます。その一方で、リフレクション攻撃に悪用される「定番」のDNSとNTPは増加傾向にあります。

 また、DDoS攻撃の攻撃元トップ5の変遷を四半期ごとにまとめたのが以下の図です。

 「常連」である中国と米国はともかく、これまで登場したことのなかったトルコが初めてランクインし、2位に着けています。ちなみに前四半期に1位だった英国は9位に後退していますが、実は英国からの攻撃トラフィック自体は全体として減っておらず、中国、トルコ、米国のトラッフィクが増加したために相対的に順位を下げたのだそうです。

 次にウェブアプリケーションに対する攻撃について紹介します。まず、攻撃手法をまとめたのが以下の図です。

 HTTP、HTTPSともに、LFI(Local File Inclusion)、SQLi(SQL injection)が上位を占めています。ちなみに、2014年9月に明らかになったShellshockの脆弱性を使った攻撃は、前四半期に比べて31%減少していますが、それでもまだ一部では行われているようです。

 攻撃元を国や地域別にまとめたのが以下の図です。

 米国が半数以上で他を圧倒していますが、日本もわずかながら含まれています。一方、攻撃対象をまとめたのが以下の図です。

 米国が8割近くを占めていますが、これに関して報告書では、多くの企業が本社やITインフラを米国内に置いているためとしています。

 さらに、ウェブアプリケーションに対する攻撃を業種別でまとめたのが以下の図です。

 小売業界が半数以上を占めていますが、これは攻撃者にとって価値のある情報を多数保有しているためとしています。

 今回のAkamaiの報告書の内容は、それ自体に特筆すべき結果は含まれていませんでしたが、DDoS攻撃やウェブアプリケーションに対する攻撃といったAkamaiならではの観点で定期的に統計データをまとめている「インターネットの現状」報告書は、報告書ごとに単独で読むのではなく、その内容の変遷を見ることが大事なのではないかと考えます。DDoS対策を担う事業者だけでなく、広くセキュリティにかかわる人であれば、継続して目を通しておくべき資料でしょう。

攻撃側も人材不足

 セキュリティ人材の不足が謳われるようになって久しいですが、この場合の「セキュリティ人材」は当然ながら防御側の人材です。しかし、人材不足は防御側だけでなく、攻撃側も深刻であるとのレポートがセキュリティ企業の英Digital Shadowsから公開されました。

 攻撃側で組織化・分業化が進んでいるのはよく知られていますが、そのような中で技術者を採用することは、攻撃側にとっても難しいようです。そもそも卓越した能力を持つ人材自体が限られており、その中で「信用できる(仲間を裏切らない)」人物で、かつ「法を犯す」というハードルを越えられる者となると、さらに一部に限られます。また、人材募集広告をはじめとする採用活動自体が司法機関などに犯罪グループに関する情報を与えてしまうリスクもあります。例えば、募集する人材に関する技術的要件を具体的に示してしまうと、犯罪グループの持つ技術レベルを知られてしまう可能性もあるわけです。そのため、最も見つけやすい(採用しやすい)、簡単なツールや攻撃手法しか使えない初心者レベルの攻撃者が多くなってしまうのだそうです。もちろん、ツール自体の機能や性能が向上しているため、それらのツールを使うだけでも、それなりに「成果」を上げることができてしまうのも問題でしょう。

 一方、採用にあたってはTorのような匿名ネットワーク上でSkypeを使った「面接」が行われることが多いそうですが、カメラはオフ、声もマスクされた状態で行われるようです。また、グループによっては「試用期間」を設け、例えば「3カ月以内にウェブサイトに侵入しろ」といった課題をクリアできなければ不採用というケースもあるようですが、クリアできても採用の保証はないとしています。

 攻撃側の力を削ぐ方法の1つとして、彼らの採用活動を今以上に難しくすることは有効です。そのためには、彼らの採用活動や彼らの求めるスキルが何かを継続して監視していく必要があります。また、攻撃側の採用関連情報は、手法をはじめとする攻撃に関する情報に繋がることから、防御側にとっても有益な情報と言えるでしょう。

大企業の社員のセキュリティ意識

 米SailPointは、世界6カ国(米英独仏蘭豪)の社員数1000人以上の企業に勤める会社員、計1000人に対してセキュリティ意識に関するインタビュー調査を実施した結果を公開しました。

 報告書によると、6カ国の平均で20%が、業務で使用するパスワードを外部に売る可能性あると回答し、中でも米国では27%と際立って高い数字を示しています。また、売ると回答した人のうち、$1000以下の金額で売るとした従業員の割合は平均で44%、中には$100以下でも売ると回答した人もいたそうです。

 次に、すべてのアプリケーションで同じパスワードを使い回しているのは平均で65%、同僚とパスワードを共有しているのは32%との結果が出ています。

 ちなみに、ここまでの結果は、1年前の調査結果と比較して、かなり「悪化」しているそうです。

 他にも、離職後も会社のアカウントやデータにアクセスできたと回答したのは平均で42%に上り、さらに、IT部門を経ずにSaaSアプリケーションを購入したことがあると回答したのは平均で33%、その理由は「IT部門を経ない方が速いから」(49%)、「IT部門がプロセスを加えすぎるから」(40%)、「IT部門が単なる購入を複雑にしすぎるから」(21%)となっています。

 また、4人に1人が機密文書をクラウドにアップロードしたことがあるとし、その70%が定期的に行っているとしています。

 今回の結果に衝撃を受けた人も少なくないと思いますが、そもそも全員が正直に答えているとは限らないと考えれば、実際はもっと酷い可能性は否定できません。一方、今回の調査結果の中には、国によって数字にばらつきがあるものもあり、同様の調査を日本企業で実施した場合には異なった結果が出る可能性もあります。

 いずれにせよ、今回の調査結果が示すのは、企業のセキュリティ対策は「社員のセキュリティ意識は基本的に低い」という前提で行わなければならないということでしょう。今回の調査では、すでに社内で行われているであろう教育・啓発の効果や影響がどれくらいあるのか、またはないのかについては曖昧で、その一方で教育・啓発の必要性を謳うなど、調査に詰めの甘さは感じます。それでも、かねてより指摘されていた「意識の低さ」を具体的に示すものとして興味深い調査結果ではあります。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。