PR

 2011年に漏洩したレコード数は、2004年からのデータの中では2番目に多い約1億7000万レコードでした(この場合のレコード数とは、ファイルやカード番号といった侵害されたデータを指します)。2004年から2008年までは、右肩上がりに漏洩レコード数が増え、2008年には過去最高の約3億6000万レコードが流出しています。しかしその後、漏洩レコード数は減少し、2010年は過去最低の約380万レコードになりました。

図1●毎年の漏洩レコード数の推移(本報告書シリーズの全事例データ)

 これに対して、データ漏洩/侵害のインシデント数を見ると、近年激増しています。2004年から2009年までは年200件程度でしたが、2010年は765件、2011年が855件です。興味深いのは2010年です。漏洩レコード数は過去最低ですが、インシデント数は2009年までの約4倍に跳ね上がっています。このことから、漏洩レコード数は必ずしもインシデント数に比例するわけではないことが分かります。

 実はこの背景には、ある出来事があります。2008年に、大規模流出事件を起こしたグループのリーダーだったアルバート・ゴンザレスが逮捕・起訴されたことです。これにより犯罪者グループは、大規模な漏洩事件を起こすと逮捕される可能性が高まることを学びました。そのため2009年以降、金銭を目的とした犯罪グループの動向が変わりました。逮捕されるリスクを小さくするために、小規模な組織からデータを盗むようになったわけです。

 2011年もこの傾向は変わっていません。このことは、規模別のデータ漏洩侵害事例の数からうかがえます。この数字を見ると、11~100人規模の企業の被害が570件と突出しています。ただし、2011年は漏洩レコード数もインシデント数も多く、2010年とはまた傾向が違っています。これは、金銭を目的としたグループの代わりに、ハクティビズムによる大規模流出が起きていることが原因です。2012年も同様の傾向が続いています。

図2●規模(従業員数)別のデータ漏洩/侵害事例の数
図2●規模(従業員数)別のデータ漏洩/侵害事例の数

漏洩/侵害の対象となった資産
 漏洩/侵害の対象となったリソースを分類してみると、最も対象にされたのはサーバーで、次に多いのがユーザー機器(端末)です。しかも、ユーザー機器から情報が漏れているケースは60%で、サーバーからの漏洩と4%しか差がありません。サーバーは企業や組織の様々なデータを保存するために使われますから、サーバーからの流出が多いのは容易に想像がつくでしょう。しかし、ユーザー機器からの情報漏洩が多いのは、どういうことでしょうか。

 実は、日本で我々が扱った案件では、ユーザー機器が対象になることは決して多くありませんでした。ただ海外では事情が違います。といっても、スマートフォンやタブレット端末からの情報漏洩ではありません。トップ3は、POS端末の35%、デスクトップパソコンの18%、ATMの8%です。

図3●漏洩/侵害の対象となった試算のカテゴリーで分類した場合のデータ漏洩/侵害事例の割合と侵害レコード数の割合
図3●漏洩/侵害の対象となった試算のカテゴリーで分類した場合のデータ漏洩/侵害事例の割合と侵害レコード数の割合

 POS端末が35%を占めているのは、米国や欧州で、中小規模の小売り業やレストランでPOS端末を標的にした攻撃が盛んに起こっているからです。日本ではPOS端末からの漏洩事故の調査は実施していませんが、例えばオーストラリアでは2011年に初めてPOS端末からの漏洩事故が発生しています。こうしたことから考えると、アジア太平洋地域でも今後、同様の攻撃が増えていく可能性があります。これもまた、金銭目的で中小規模の企業を狙う攻撃の一つです。中小規模の企業は、今後も金銭目的の犯罪グループの標的にされる可能性が高いと考えていいでしょう。

 こうした企業に、特に注意してほしいのが、サーバーのリモートアクセスサービスです。我々の統計では、システムをハッキングされてデータを盗まれた事例のうち89%で、リモートアクセス/デスクトップサービスに原因があったことが分かっています。ユーザーは、必ずしも意図してサーバーのリモートアクセスサービスを動作させていたわけではありません。知らずに動作させていた機能を悪用されているのです。リモートアクセスが必要ないのなら、サーバーのリモートアクセスサービスは確実に無効化すべきです。またリモートアクセスが必要な場合は、特定の条件下から、特定の端末だけが接続できる、ホワイトリスト方式にするほうがよいでしょう。

図図4●ハッキングの経路で分類した場合のデータ漏洩/侵害事例の割合(ハッキングによるデータ漏洩/侵害のみ)
図4●ハッキングの経路で分類した場合のデータ漏洩/侵害事例の割合(ハッキングによるデータ漏洩/侵害のみ)
■変更履歴
当初、記事の冒頭に余分な文章が入り、読みづらい内容になっていましたので、削除しました。お詫びいたします。(編集部) [2012/10/03 18:50]

鵜沢 裕一 ベライゾンジャパン シニアコンサルタント フォレンジック調査対応部