データ侵害とは?定義、発生理由、防止策について解説 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > データ侵害とは?定義、発生理由、防止策について解説

Threat Report

Cyber Intelligence

Flashpoint

Intelligence

データ侵害とは?定義、発生理由、防止策について解説

佐々山 Tacos

佐々山 Tacos

2023.03.14

データ侵害は、脅威アクターの目的や動機を理解する上で非常に貴重な事象です。金銭的利益の獲得を動機とする場合が多い悪質なアクターや高度持続型脅威(APT)は、フィッシング脆弱性の悪用など、様々な卑怯な策略を駆使して組織に不正にアクセスするために何でもしてきます。

 

侵害の事象を研究することは、傾向を調べたり、今後起こり得る攻撃が組織に与える影響を推定したりすることにつながるので、CISOやその他のセキュリティチームがインシデントへの対応プロセスを改善するのに役立ちます。

 

さらに、データ侵害がどのように、そしてどこで発生するのかを理解することで、セキュリティチームとインテリジェンスチームは自組織のリスク特性への理解を深め、発生を未然に防止できる可能性を高めることができます。

 

この記事では、以下の事柄について解説します:

✔️「データ侵害」という言葉の定義

✔️データ侵害はどのように発生するか

✔️脅威アクターはどのように活動し、どのような情報やアクセスを探しているのか

✔️公表されている大規模なデータ侵害の事例

✔️サイバー攻撃への防衛と、対応計画の準備方法

 

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2022年12月5日付)を翻訳したものです。

データ侵害とは?

データ侵害は、機微データが意図せずに漏洩した際や、権限を持たないアクターが機微データをリークしたり盗んだりした際などに発生します。侵害は、偶然や過失により起こることもあるほか、標的型攻撃によって発生することもあります。侵害インシデントで漏洩するデータの量は、レコード1件で済む場合もあれば、100万件以上に及ぶ可能性もあります。しかしここ数年では、侵害事象によって、機微データや顧客情報を含む数十億件のレコードが漏洩するようになってきています。

データ侵害はどのように発生するのか?

「ハッキング」、つまりシステムやサービスへの不正アクセスは、報告される侵害事象数を増加させる要素となっており、ここ10年間で最も多く報告されている侵害の種類です。悪質なアクターは、組織のネットワークに不正にアクセスするために脆弱性を悪用するするだけでなく、ソーシャルエンジニアリング技術を複合的に使います。

 

しかし、影響を受けた組織の大半が「複雑なサイバー攻撃」の被害者になったと短絡的に主張する一方、研究により、侵害の大部分は人的エラーによるもの(セキュリティ管理の不備やパッチの当てられていないシステムの脆弱性に起因するもの)であることが示されています。

 

セキュリティ管理策の不備により数十億件のレコードが流出

2021年、データベースの設定ミスや脆弱なセキュリティのベストプラクティスが原因で、198億1,000万件のレコードが流出しました。脅威アクターは、検索エンジンや一般向けのページを通じて誰もが利用可能な公開状態のデータベースを探し、常時インターネットをスキャンしています。こういったデータベースではパスワードの安全性が低いか、2要素認証が適用されていないことが多いため、結果としてセキュリティ研究者や脅威アクターに見つかってしまいます。脅威アクターはその後、不法フォーラム上で上記のようなデータベースの存在を宣伝します。

 

脅威アクターは違法アクセスを取得するために脆弱性を悪用

一方で、悪質なアクターは被害対象となりうるネットワークをスキャンして脆弱な資産を探すこともしています。そして、それらの情報をうまく活用して脆弱性を武器化します。一度侵害すると、脅威アクターは当該システム内でラテラルムーブメントをするか、ランサムウェアをインストールしデータを盗むかのどちらかを選択することができます。

 

このように、脆弱性管理プロセスは脆弱性インテリジェンスに左右されるため、脆弱性インテリジェンスはリスクを軽減するためには極めて重要となります。しかし組織は、一般的に利用可能なCVEやNVDなどの情報源に頼り切ることができません。なぜならそれらの情報源では、既知のリスクの3分の1近くについて一切把握できないからです(※)。「Dark Reading」によると、ほぼすべてのアプリケーションに少なくとも1つの脆弱性や設定ミスがあり、それが何らかの形でセキュリティ侵害につながってしまうと言われています。だからこそ、セキュリティチームには、効果的に修正措置を行うために、包括的な脆弱性インテリジェンスの情報源が必要となります。

※詳しくはこちらの記事をご覧ください:CVEとNVDだけに頼った脆弱性管理に潜む問題

ハッカーはどのような種類のデータを盗むのか?

どのようなプライベートデータもデータ侵害に巻き込まれる可能性がありますが、脅威アクターらは個人を識別できる情報(PII)を求めることが多いです。というのも、PIIは違法マーケットプレイス上で売れやすいためです。多くの場合、侵害されるPIIには以下のような情報が含まれます。

 

・名前

・メールアドレス

・パスワード

・住所

・生年月日

・社会保障番号

・運転免許証番号

クレジットカード情報とその他の金銭関連のデータ

 

また、PIIが主な標的ではない場合もあります。このようなシナリオでは、攻撃者がAPTやハクティビスト、あるいは特定の情報を狙う他の高度な技術を有する脅威アクターであると発覚するケースがほとんどです。上記のような攻撃者が狙う情報には、以下が含まれます。

 

・政府の機密文書または通信

・営業秘密などの内部業務情報

・専有ソースコード

・インフラデータ

 

これまでで最も大規模な侵害は?

どの組織も、規模や業界に関わらずデータ侵害発生の危険にさらされています。以下は、これまでに判明している最大規模の侵害トップ3です。

 

1. FSB Markets, Inc.

オンライン為替ブローカーのFBS Markets Inc.では、名前、メールアドレスおよび住所、パスポート番号、本人確認書類、取引履歴などを含む、およそ160億件分のレコードが公開状態となりました。

同データは保護されていないデータベースの中に放置され、その後ネット上に流出しました。この侵害は2020年に発見されましたが、FBS Markets, Inc.は、2021年3月までこのインシデントについて公に報告しませんでした。

 

2. CAM4

データベースの設定ミスにより、109億件分のレコードが公開状態となりました。これにより、名前、メールアドレス、IPアドレス、ペイメントログ、およびCAM4(素人がWebカメラで撮影した動画を専門とするアダルト配信サイト)ユーザーのチャット記録が流出した可能性があります。

 

3. Le Group Figaro

フランスの新聞会社「Le Figaro」が、保護されていないデータベースにおいて、74億件近くのレコードを公開状態にしていました。同データベースは、従業員情報、購読者の住所、IPアドレスなどを含んでいました。

組織はどうすればデータ侵害を予防できるのか

「システムを強化するための包括的で繰り返し実践可能なプロセスと、管理策の定期的な監査を組み合わせることで、大規模なデータ漏洩が発生する可能性を大幅に低減させることができます。」 – Flashpointのレポート「STATE OF DATA BREACH INTELLIGENCE」より

 

データ侵害は、予防ができればそれがどの組織にとっても理想的です。人的エラーが絡む侵害(設定ミスやソーシャル・エンジニアリングキャンペーンによるものなど)の場合は、職員・従業員を教育し、セキュリティのベストプラクティスを実施することが有効です。

 

また、セキュリティチームは定期的な脆弱性へのパッチ適用を確実に実施する必要があり、特に機微データを格納している使用可能状態にある資産に焦点を当てねばなりません。脆弱性管理チームには、資産に対するリスクを文脈的に把握するための詳細なインテリジェンスが求められるため、「VulnDB」のような、脆弱性インテリジェンスの包括的な情報源を持つことは重要です。加えて、VulnDBを利用することで、セキュリティチームは将来起こり得るランサムウェア攻撃でどの脆弱性が使用される可能性があるかを予測できるようになり、脅威アクターらによる侵害を阻止する能力を身につけられます。

 

さらに、企業はサードパーティベンダーのセキュリティも評価・改善すべきです。これにより、自社のサプライチェーンに関わるすべての人々がセキュリティに真剣に取り組んでいるという状態を確保する必要があります。今日のビジネスシーンにおいて、データは複数の組織の間で共有されることが多く、最近のサイバー攻撃からは、デジタルサプライチェーン内の貧弱な箇所が検出や対処が困難なリスクを生み出し得ることが示されています。

サプライチェーンリスクについては、こちらの記事もご覧ください:​サプライチェーンリスクとは 直近の国内事例から考える

インシデント対応の重要性

しかし、企業のリーダーは先手の対策ばかりに気を取られてはいけません。レジリエンスを備えることと、よく練られたインシデント対応策を用意しておくことも同様に重要です。組織は、自らが侵害されたことに気づいたら、脅威を封じ込め、迅速に対応する必要があります。効果的な封じ込め・対応戦略には、以下のようなものがあります。

 

影響を受けたシステムの位置確認、修復、安全確保

・規制当局への侵害の報告

・影響を受ける人々への通知

・サイバーセキュリティとデジタルフォレンジックの専門家に適切な脅威インテリジェンスの収集を依頼し、システムがどのように侵害されたかをより深く理解する

・今後の攻撃を防ぐためにセキュリティプロセスを改善する

 

インシデント対応については、こちらの記事もご覧ください:インシデント対応の4ステップとは?初動から事後までの流れをわかりやすく解説!

Flashpointでデータ侵害を防止し、対応しましょう

データ侵害は、どの組織にも深刻な影響を及ぼす可能性があります。またデータにより、誰もが将来の被害者になり得ることが示されています。Flashpoint Professional Services(FPS)は、企業がランサムウェアやサイバー恐喝攻撃に対応する準備を支援をするための、脅威への対応と準備に関するサブスクリプションを提供します。ランサムウェアの事象に先手を打とうとしているセキュリティチームがあなたの組織になければ、当社の新たに導入したランサムウェア予測モデルは組織に大きなメリットをもたらすでしょう。このモデルは、30万件以上の脆弱性に対応し、ランサムウェアによる攻撃可能性を評価したスコアを提供します。お問い合わせ、無料体験のお申し込みはこちらから(※)。

 

※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

詳しくは以下のフォームからお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ