POSシステム狙うRAMスクレイパーが増加、Verizonがデータ漏洩／侵害の年次報告書

　4月にはいくつかのセキュリティベンダーから2014年の状況をまとめた報告書が公開されましたが、その中で今回は、Verizonが毎年提供している「データ漏洩／侵害調査報告書（Data Beach Investigations Report、以降DBIRと略）」の2015年版を紹介します。

　DBIRは、セキュリティベンダーとしてのVerizonが自社のみならず、世界各国のセキュリティ関連企業やCSIRT、政府機関などから集めたインシデント情報を分析した結果をまとめた資料で、日本からはJPCERT/CCも協力しています。今回の報告書は、計70の組織から集められた7万9790件のインシデント、およびそのうちデータ侵害であると確認された2122件の情報に基づいており、調査対象となった国や地域は61となっています。

　ちなみに、DBIRに情報を提供する組織は毎年増えており、調査対象となったインシデントの件数も増えています。具体的には、一昨年は19組織でインシデントは4万7000件以上（うち621件がデータ侵害）、昨年は50組織で6万3437件（うち1367件がデータ侵害）でした。

　セキュリティベンダーが公開する調査報告書の多くが一般的にそれぞれの企業の顧客の情報のみに基づいているのに対し、DBIRはその調査対象の広さが特徴と言えます。しかしながら、今回の調査対象となった7万9790件のインシデントのうち、5万315件が公的機関で起きたインシデントであり、またデータ侵害についても全2122件のうち、公的機関が303件を占めるなど、かなり偏りがあるように見えます。この点について報告書では、情報提供元に政府系のCSIRTが多く含まれていることに加え、公的機関の場合はインシデントの発生について報告・届出の義務があることが原因としています。

　なお、公的機関に続いて多いのは「情報系（Information）」と「金融系（Financial Services）」の業界であり、これら上位3つは昨年と同じ結果となっています。その一方で報告書では、セキュリティの問題に無縁の業界はなく、「自分のところは○○（適当な理由）だから、そんなことは起きないだろう」などと油断してはいけないと強調しています。

1）侵害の傾向

　脅威に関与している者（Threat Actor）の割合の変遷を示したのが図3です。若干「パートナー」が増えて来ていますが、全体として大きな変化は見られません。その一方で、複数の動機がある複合的な攻撃を詳細に調査した結果、興味深い点が見つかったとしています。実は今回の調査対象となった攻撃のうち、動機が分かっているものの70％近くに、踏み台化、つまり本来の攻撃対象ではない二次的な（secondary）被害があるのだそうです。これらの踏み台化が行なわれた攻撃の大多数は、諜報活動ではなく、DDoS攻撃やマルウェア配布、フィッシングに使われていたようですが、この事実は、たとえ自社サイトに攻撃者に狙われるような情報がなくても、脆弱な状態であれば、第三者に対する攻撃の踏み台として悪用されることがあるということを具体的に示すものと言えます。

図3

　脅威の種類の変遷を示したのが図4です。かつては多くを占めていたスパイウェアおよびキーロガーが減る一方、主にPOSシステムを狙うRAMスクレイパーが2012年以降急増し、2014年にはフィッシングとともに最大の脅威となっています。

図4

　侵害にかかる時間と検知にかかる時間についてまとめたのが図5です。オレンジの点線は、攻撃者が数日以内で侵入できた割合で、深緑の点線は同じ時間枠で侵入を検知できた割合を示しています。その差が開いていく傾向がないだけ「マシ」ですが、それでも差は歴然。この差をいかに縮められるかがセキュリティ業界の課題でしょう。ちなみに、侵入が数分以内で成功しているケースは60％だそうです。

図5

2）フィッシング

　RAMスクレイパーと並んで2014年の最大の脅威とされたフィッシングですが、攻撃者にとっていまだに有効な攻撃手法であることを示す結果が出ています。報告書によれば、フィッシングメールを受信した人のうち23％がメールを開き、11％が添付ファイルを開いてしまうのだそうです。また、これとは別に、Verizonらがいわゆる「予防接種」と呼ばれる標的型攻撃予防訓練のようなテストを行なった結果では、ユーザーの50％近くが受信から1時間以内にメールを開いてフィッシングリンクをクリックしているそうです。

3）脆弱性

　2014年に攻撃に悪用された脆弱性を、その公開年ごとにまとめたのが図10です。1999年に公開された脆弱性が未だに悪用されているのは驚きですが、攻撃に悪用された脆弱性の99.9％が公開されてから1年以上が経っているものなのだそうです。つまり、今でもパッチ適用がセキュリティ対策として非常に有効なものであることが分かります。

図10

　また、2014年に確認された攻撃手法やツールの97％が特定の10種類の脆弱性のいずれかを使用している点も注目すべき点でしょう。さらに、2014年に悪用された脆弱性の約半分が公開から1カ月以内に悪用され始めている点にも注意が必要です。

図12

　攻撃に悪用された脆弱性と、脆弱性の深刻度を示す指標であるCVSS（http://www.ipa.go.jp/security/vuln/CVSS.html）の関係をまとめたのが図13です。これによれば、CVSS基本値（大きいほど深刻）の値そのものも、ある程度の「悪用のされやすさ」を示していると言えますが、それ以上に、CVSS基本値の評価項目であるC-I-A（機密性、完全性、可用性）それぞれに対する影響の高いもの（Complete ＞ Partial ＞ None）が悪用されやすい傾向が明らかに見えています。特に公開から1カ月以内で攻撃に悪用され始めるような「Critical」な脆弱性には、この傾向が顕著に現れています。

図13

　公開されたパッチを通常のスケジュールで適用するか、すぐに適用するかはセキュリティ担当者の悩みどころではありますが、CVSS基本値だけでなく、C-I-Aへの影響度も判断の材料に加えるのが良いかもしれません。

4）モバイル

　携帯端末について報告書では、データ侵害に関してはスマートフォンなどの携帯端末（およびその脆弱性）がデータ侵害に悪用されることはあまりないと結論付けています。ただし、これはDBIRが企業や組織にとってのインシデント、特にデータ侵害に着目しているからで、個人が保有するプライベートな情報が窃取される可能性について言及するつもりがないという点に注意しなくてはいけません。また、今後はどうなるのかも分かりませんし、あくまで2014年時点での傾向と捉える必要があるでしょう。

　今回紹介したもののほかに、本報告書では、被害を受けた業界ごとにまとめた分析結果やデータ侵害による損失額の見積、インシデントの分類など、数多くの情報が紹介されています。全69ページという文量のため、気楽に目を通すとはいかないかもしれませんが、冒頭で述べたようにさまざまな企業や組織から集められた情報に基づいている本報告書は比較的中立で信頼度の高いものとなっています。時間のある時にでも一読をお勧めします。