「データ漏えい」とは、「データが外部に流出する」ということを意味し、特に企業や組織内のデータが管理者に気づかれずに外部に流出してしまう場合に、このような言い方をします。あるいは、文字どおり「データ流出」や「情報流出」という言い方をする場合もあります。なお、「情報漏えい」も同じような意味に相当しますが、ここでは「情報漏えい」という言い方に関しては、「マルウェアによる情報収集」に限定することにします。

「データ漏えい」において流出するデータとは、企業や組織で運営しているシステムやネットワーク内で「慎重に扱うべき独自情報」として保存されているものであり、ほとんどの場合、「企業や組織にとっての機密情報」として位置づけられています。具体的には、個人情報や顧客情報、取引上の機密事項などであり、こうしたデータが流出して最終的に部外者の手に渡ることは、多くの企業や組織にとっては「致命的な損害」を意味します。

そして、こうした「データ漏えい」は、不正な攻撃者によって引き起こされることもあれば、純粋に事故として発生する場合もあります。

「データ漏えい」はどのように起こりますか?

外部からの不正な攻撃者によって「データ漏えい」が引き起こされる場合は、まずその攻撃者による「ターゲットの選定」から始まります。攻撃者とはサイバー犯罪者のことであり、その動機は、迷惑をかけて喜ぶというような愉快犯であったり、実質的な損害の伴なう迷惑行為や破壊行為であったり、あるいは金儲けを目的として犯罪であったりと様々ですが、いずれの場合も、通常は、以下のような手順により引き起こされます。
  1. 事前調査:標的となる企業や組織を選定した後、サイバー犯罪は、まずその組織や企業に関連する人物やシステム、ネットワークなどに関して、何らかの弱点や盲点がないかを探るための「事前調査」を行ないます。この場合、ターゲットとなった企業の従業員や社内インフラなどが徹底的に調べ上げられます。

  2. 攻撃:サイバー犯罪者は、実際の攻撃行為に際しては、ネットワークを上の盲点を利用して行なう場合や、その他のソーシャルエンジニアリングの手口などを駆使して行なう場合とがあります。

  3. ネットワークを介した攻撃:この場合、サイバー犯罪者は、ターゲットとなった企業の社内インフラ、システム、アプリケーション等の弱点を突いて社内ネットワークに侵入する場合や、SQLインジェクションや、脆弱性利用、セッションハイジャックなどの手法を駆使してターゲット企業の社内ネットワーク内に侵入する場合などがあります。

    ソーシャルエンジニアリングを駆使した攻撃:この場合は、フィッシングサイトに誘導するためのメールを送信したり、マルウェアが添付されたスパムメールを送信したりといった典型的な手口が用いられます。また、場合によっては、オフィスの清掃員などに変装してターゲットとなる企業の敷地内に侵入するという直接的な方法が用いられる場合もあります。「怪しまれないように相手を油断させる」という意味では、これも、ソーシャルエンジニアリングと似た手口ともいえるでしょう。

  4. データの入手:ターゲットの企業から収集されたデータがサイバー犯罪者の手に渡った段階です。収集されたデータは、その企業独自の機密情報であり、サイバー犯罪者は、多くの場合、このデータを別の攻撃のために活用したり、ターゲット企業のネットワークのさらに深い部分へ侵入するために利用したりします。
サイバー犯罪者は、こうした攻撃を継続して何度も実行し、十分な質と量のデータが入手できるまで繰り返します。さらにこうした中、ターゲット企業のシステム内にしっかりと基盤を築き、今後も引き続きデータ収集ができる体制をも確立します。

今日の脅威状況において「データ漏えい」は、どのような位置づけにあるといえるでしょうか?

「データ漏えい」に関して調整している「DATALSSdb」が公開したレポートによると、これまでに発生した「最も大規模なデータ漏えい事例」のトップ20件のうち、その3件までが2011年に発生したものであると伝えています。まだ2011年下半期なかばというこの時期において、全20件のうちの3件までがこの年に発生したという事実は、「データ漏えい」そのものの件数が急激な増加傾向にあるということを如実に物語っています。こうした状況の中、トレンドマイクロの専門家は、急増傾向をしっかりと把握し、企業レベルおよび個人ユーザレベルにおけてどのように被害を阻止することができるかについて、以下のように述べています。

まず、攻撃に利用できる範囲の拡大に伴い、サイバー犯罪者たちも攻撃の機会をより多くかつ容易に見つけることができるようになったということが言えます。昨今のテクノロジーの発展に伴い、ネットワーク上のコミュニケーションも多様化し、様々なソフトウェアやモバイル機器が登場し、必然的にビジネスでも大いに活用されるようになってきています。こうした中、サイバー犯罪者側が攻撃を遂行する機会も、これまで以上に頻繁化してきたということでもあります。サイバー犯罪者からすれば、たった1つでも利用できる弱点が見つかれば、それを最大限に活かして攻撃を遂行することができたわけです。そうした弱点や脆弱性が多数存在する今日の状況において、サイバー犯罪者による攻撃の遂行は、これまで以上に容易になったと言うことができます。

さらに言えば、「コンシューマライゼーション」がこうした状況を助長しているともいえます。「コンシューマライゼーション」とは、一般ユーザたちが個人的に利用しているモバイル機器などがそのまま彼らのビジネスでも活用され、IT機器の活用においてプライベートと仕事との境界が曖昧になる状況のことですが、スマートフォンなどの導入にもあるように、企業側もこうした「コンシューマライゼーション」の流れを許容する方向に進んでいます。そうした中、企業でデータをトータルに管理する方法は、これまで以上に困難を極めることになります。

そしてそうしたモバイル機器を利用して社外で活動する社員に関して、彼らがそれぞれのモバイル機器に保持する企業のデータをいかに防御・管理するかという点も、大きな課題となってきています。

こうした中、人的要因がやはり大きな鍵となります。たった一人の社員による不注意が原因となり、セキュリティが侵害され、企業の利益に関わる大きな被害が発生する可能性があるわけですから。

そしてその意味では、「信頼関係や好奇心につけ込む」という人の弱点を巧みに利用するソーシャルエンジニアリングの手口にも、しっかりと注意を払うべきだということが分かります。セキュリティ上のインフラがどれだけ強固に構築されていても、それを運用・管理する人間が最大の脆弱性となるということは、過去の多くの事例からも明らかです。

企業のデータがあらゆる場所で活用され、様々なIT機器を通してアクセスされるという今日の状況では、「企業の外枠を囲む」という従来のセキュリティ対策では、もはや不十分であることも分かります。新たに求められる「データ保護のためのセキュリティ」 とは、まさしく「あらゆる場所で様々なIT機器を通してアクセスされる、このデータ・アクセス自体に注目したテクノロジー」であるといえます。

いわば「セキュリティにおける根本的な発想の転換」こそが必要となります。「外部からの侵入に対して企業のネットワークを何層もの防御壁で守る」という発想からの対策は、たとえそれがしっかりと導入されていたとしても、これだけでは既に不十分だという状況となっています。いま必要とされるのは、「企業のネットワークに接続されたデータ(そのデータは企業の内外に存在する)そのものを攻撃から守る」という発想からの対策です。社員へのセキュリティ教育と共に、こうした「総合的なアプローチ」こそ、今日の脅威状況において確実に企業全体のセキュリティを強化する方法であるといえるでしょう。

「データ漏えい」が発生する原因としては、どのようなものがあげられますか?

意図的な場合もそうでない場合も含めて、社内的な原因としては、以下のようなものがあげれらます。
  • 悪意をもった社員:自分が勤務する企業に対して恨みなどを抱き、企業へ損害を及ぼすことを意図して、重要なデータを持ち出し、何らかの不正行為などに悪用するという場合。
  • 紛失や盗難:仕事で使用しているノート型パソコンやモバイル機器が紛失したり盗難に見舞われたりした場合、その中に保存されている重要なデータも結果的に外部へ漏えいすることになります。
  • マルウェアの感染:社員が使用しているコンピュータやモバイル機器、リムーバブルドライブ等が、情報収集型のマルウェアに感染し、それらから企業のネットワークへの侵入が発生した場合、結果的に企業の重要データが漏えいしてしまうことになります。
  • 誤って共有してしまう:社員がちょっとした会話などで自身が勤務している企業の重要情報を漏らしてしまうという場合。もしくは、そうした情報が含まれた所持品を公共の場に置き忘れてしまうという場合。また、こうした会話や置き忘れは、ソーシャルネットワーキングサイト上のページなどでも発生する可能性もあります。
実際に発生した「データ漏えい」の事例としては、どのようなものがありますか?

最近の事例としては、「RSAセキュリティ」が被害を受けたケースがあげられます。これも、最近の攻撃における特徴を含んだ典型的な事例だといえます。

RSAセキュリティにおけるデータ漏えい
マサチューセッツ州に本社を置くセキュリティーソフトウェア開発会社であるRSAセキュリティが被害を受けたこの事例は、Uri Rivner氏の「Anatomy of an Attack」というレポートによると、特に「情報収集を目的としたソーシャルエンジニアリングの手口」が使用されたといいます。この攻撃では、まず、二種類のフィッシングメールが、RSA社員の2つの小グループに向けて2日続けて送信され、いずれのメールも、件名は「2011 Recruitment Plan(2011年採用計画)」と記されていたそうです。

二種類のフィッシングメールは、すべて「迷惑メール」と判断され、自動的に迷惑メールのフォルダに分類されていたようですが、このフィッシングメールを受信していた社員の一人が(恐らく件名から重要なメールだと誤解したのか)その迷惑メール・フォルダからメールを取り出し、件名と同じ名称が記されてあった添付ファイルを開いてしまったそうです。添付ファイルは、(当時は修正パッチが公開されていなかった)ゼロデイ攻撃の脆弱性「CVE-2011-0609」を利用するマルウェアでした。これは、「TROJ_ADOBFP.SM」として検出されるバックドア型のマルウェアであり、これに感染すると、その感染コンピュータを介して不正リモートユーザが企業ネットワークの深部にまでアクセスし、必要な情報を収集するまで自由にアクセスできる状態になっていたといいます。

この攻撃に伴う被害総額は、修復に費やしたコストも合わせて、6600万米ドルに達したといいます。RSAセキュリティの取締役副社長であるDavid Goluden氏によると、この費用には、「企業全体のシステムに関するセキュリティ強化」や「顧客向け提供した改善策に関する各種プログラム」などに関するコストも含まれていたとのことです。

「データ漏えい」を防ぐためには、各企業は、どのような対策を講じるべきでしょうか?

「データ漏えい」関連の攻撃においてサイバー犯罪者たちが駆使する手口に基づけば、「安全にコンピュータの扱うための様々な注意事項」に始まり、企業においても多数の対策を講じるべきということが理解できます。むろん、「これだけをしておけば絶対に大丈夫である」という1つだけの確実な方法などは存在しませんが、様々な対策を抜かりなくしっかりと講じておくことで、企業のネットワークを安全に保つことは可能だといえます。
  • パッチ処理と更新:企業で使用している全てのソフトウェアおよびハードウェアについてパッチ処理と更新を確実に行っておくこと。これは、オペレーティングシステムに限らず、企業で使用している全てのソフトウェアやアプリケーション、そして全てのコンピュータに関して言えることです。
  • 社員教育:巧妙なソーシャルエンジニアリングの手口の被害に見舞われないためにも、社員への教育は徹底しておくことです。「データ漏えい」などの攻撃に際しては、「狙われない社員などいない」という点も肝に銘じておくべきです。
  • セキュリティ対策:厳格なセキュリティ対策を導入し、常にその更新を怠らないこと。こうした対策を利用して、企業内ネットワークのどこに脆弱性が存在するか、どの部分が攻撃されやすいかなどをチェックするプロセスを構築すること。セキュリティに関する監査を定期的に実施し、企業内ネットワークに接続するすべてのコンピュータをチェックしておくこと。特にセキュリティに関しては、「各箇所に必要以上のアクセス権限は付与しない」という「最小権限の原則」を導入すること。規模の大きな企業の場合は、専属のセキュリティ部門を設置することも有効となります。規模の小さい企業であるため、専属部門の設置や維持がコスト的にも難しい場合は、外部への委託サービスも考慮すべきでしょう。実際にセキュリティ侵害やデータ流出の被害を受けた場合の損害を考えれば、こうした投資を惜しむべきではありません。
  • 監視体制の導入:セキュリティ侵害の検知や防止を行なうシステムによる監視体制を導入すること。ファイアウォールを構築して、こうした監視体制下でログなどのモニタリングを行ない、何か異常があれば直ぐに察知できるスタッフも養成しておくこと。
  • 障害復旧体制の構築:万が一に備えて、データ漏えいの被害に見舞われた際の連絡先や、担当者、周知手続き、緩和措置などを設定しておくこと。これにより、混乱を最小限に食い止めることができます。また、データ漏えいが発生した場合の対応方法を社員に教育しておくことも不可欠です。
  • 「総合的なアプローチ」の導入:上述のとおり、「外部からの侵入を多層的な防壁で守る」という発想からのウイルス対策だけでは不十分であり、そうしたネットワークを取り囲む各層への防御だけでなく、(企業の内外に存在する)データそのものを確実に守ることができるアクセス管理や暗号化、セキュリティポリシーの施行といった対策の導入が必要となります。
被害に見舞われる企業の顧客は、どのような対策を講じるべきでしょうか?

「データ漏えい」への対策を講じるべきは、企業だけではありません。そうした企業が提供するサービスを利用している顧客も深刻な影響を受けるからです。顧客情報などのデータや提供しているサービスという観点からみれば、企業自体は「顧客によって成り立っている組織」だという見なすことができ、まさしく顧客各自がどのような対策を講じるべきかが、非常に重要なポイントとなります。顧客が講じるべき対策としては、以下のようなものがあげられます。
  • 支払い明細等の確認:銀行口座の明細や請求書等は必ず定期的に確認すること。万が一、見覚えのない処理や変更等を確認した場合は、直ちに該当の銀行に問い合わせること。
  • セキュリティソフトのインストール:ご使用のコンピュータに関しては、ファイアウォールを有効化し、必ずセキュリティソフトをインストールしておくこと。また、インストールしたセキュリティソフトは忘れずに更新しておくこと。
  • 自動更新の有効化:ご使用のすべてのソフトウェアに関しては、常に最新のセキュリティパッチが施されている状態にしておくこと。そうしたソフトウェアの中には、自動更新機能が備わっているものもあるので、その場合は、必ずその機能を有効化しておくこと。たとえば、Windows Update の自動更新機能の場合、この機能を有効化しておけば、セキュリティ上の更新があった際、直ちに自動的に更新が実施されます。また、手動でしか更新できないソフトウェアの場合も、どのソフトウェアがそうであるかを確認しておき、必ず定期的にそのソフトウェア提供元のサイトを確認し、更新関連のリリースがされていないかとチェックしておくこと。
  • 異なったユーザID・パスワードの利用:複数のアカウントをご使用の場合、それぞれに応じて異なったユーザID・パスワードを作成したり、異なった組み合わせ利用したりすること。全てのアカウントに同一のユーザID・パスワードを利用していると、万が一、この情報がサイバー犯罪者の手に渡った場合、全てのアカウントが一度に被害を受けてしまう恐れがあるからです。こうした工夫により被害を最小に抑えることができると共に、万が一の場合も、全てのアカウントのユーザID・パスワードを一度に変更しなければらないという事態を避けることもできます。
  • 送信元を信用しないこと:いかなるメールに関しても、その送信元を安易に信用しないことです。標的型のフィッシングメールの場合、信頼のおける送信元を装うことが往々にしてあるからです。受信したメールに関して、少しでも不審な点を感じたら、そのメール内のリンクは絶対にクリックしないことです。また、添付ファイルがある場合も、絶対に開かないことです。どうしてもリンクをクリックしたり添付ファイルを開いたりする必要がある場合は、送信元に直接確認してからにすること。
  • 最新の脅威状況に精通しておくこと:こうした点に関する知識を深めておくことは、「データを確実に守る」という点からも非常に重要なポイントとなります。どのような手口が使われ、どのような事例が発生しているか等、常に最新の脅威状況に精通しておき、コンピュータを安全に利用するための対策を怠らないようにしなければなりません。
専門家のコメント

Paul Fergusonは「Highly Targeted Attacks and the Weakest Links」で以下のように述べています。
「標的型攻撃の中でも、効果的なものほど、その被害は後を絶ちませんが、いずれの場合も手口自体は変わることはありません。ほとんどの場合、ユーザの心理を突くソーシャルエンジニアリングの手法が駆使されています。」

Nart Villeneuveは「How Sophisticated Are Targeted Malware Attacks?」で以下のように述べています。
「これらの攻撃に際して、効果的にターゲットを定めてレベルの高い標的型攻撃が実行された場合、そのレベルの高さ自体は、何よりも攻撃者による事前調査の成果であり、攻撃で利用されたツールや手法が、必ずも技術的に高度であったからというわけではないようです。」

Raimund Genesは「What We Can Learn From Recent Hacks」で以下のように述べています。
「こういった全ての事例から分かることは、外部からの侵入を守るというセキュリティの発想はもはや通用しなくなったということです。(企業の内外に存在してどこからもアクセスされる)データのコントロールやアクセスに着目するテクノロジーこそにが、いま必要とされているのでしょう。」

関連マルウェア