Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

サイバー攻撃はヒューマンエラーが呼び込んでいる

 財経新聞の4月7日記事に、IBMのサイバーセキュリティへの脅威に関するレポートが取り上げられていました。

www.zaikei.co.jp

公式資料のダウンロードIBM/英語)

この記事の内容は、毎年出ている、「IBM X-Force Threat Intelligence Index」の2018版の概要発表のようです。残念ながらまだ、日本のIBMサイトには2018年版の翻訳版は出てないようです。(2017年版は下記から申し込みできます)

www-03.ibm.com

 

◆キタきつねの所感

全世界でサイバーセキュリティと戦っているIBMさんだけあって、統計的な資料としてはグローバルの動向が良く出ており、日本のユーザにも参考になる部分が多いレポートですが、以下の様な内容が報告されているようです。

・2017年の情報漏えい件数は約25%減少(40億件→29億件)

サイバー攻撃ランサムウェア攻撃に重点が移ってきている

・情報漏えいの原因はヒューマン・エラーが多数を占める

 (クラウドインフラでのヒューマンエラー・設定不備が漏えい原因の約70%)

・フィッシング攻撃による被害は未だに多い

サイバー攻撃は特に金融サービス業界をターゲットにしている

 

漏えい事件が減少している理由として、個人情報窃取よりもランサムでの暗号化を図っている攻撃が多くなったからと分析されています。ランサムは一度、組織内のネットワークに入り込んでしまえば勝手に増殖する(タイプもある)ので、楽に、そしてビジネスへの影響を考えて組織から金銭を搾取できる可能性が高いランサムにシフトしただけなのだと思います。

言い方を変えれば、情報漏えい件数が減ったのは企業の防衛側が効果を上げているという訳でないという事なのだと思います。

特にIBMのレポートで注目すべきだと思うのは、「漏えいしたデータの2/3がヒューマン・エラー」を原因としていると分析している所で、Amazon S3等のクラウドインフラの設定ミスなどの、セキュリティ違反が前年比400%以上の増加率となっており、企業や組織にとって便利なクラウド環境であっても、セキュリティの全てをクラウド事業者が担当している訳ではない事を、ユーザ組織側が理解しきれてない事を示唆しています。

IaaSやSaaSの仕組みの部分まではサービス提供事業者の責任においてセキュリティ対策が提供されるとしても、企業側が設定すべきセキュリティ要件までサービス提供者が担保できないという事をよく理解しておかないと、公開設定をミスして、秘匿な内部資料が全世界にオープンになってました・・・といった事件は今後も出てきてしまう事を予感させます。

金融業界が攻められるのは、銀行やカード会社、当たり前の話を何故いまさら?と思ったのですが、

- 金融サービス業界は再び最も攻撃の被害を受けた業界となり、すべての業界にわたる攻撃件数の27%を占めています。

表現が少しひっかかったのが、「金融サービス業界」と、わざわざサービスを付加している所。最近はFinTech企業なども増えてきていますが、この定義の中に含まれているのかもしれません。

最後のポイントは、フィッシングメール。標的型攻撃にしても、ランサムにしても犯罪の最初の攻撃がメールベースである事は未だに多い事を示唆している気がします。IBMの定義とは違いますが、ここも考え方によっては「ヒューマン・エラー」(例:不正なリンクを踏んだり、添付ファイルをクリックしてしまう)を攻撃者は期待している所でもあります。

スパムメール攻撃に対しては、色々な防衛ツール・ソリューションが出てきてはいますが、イタチゴッコな部分があります。とはいえエンドユーザへの啓蒙によって「ある程度」リスクは軽減される効果が期待できるので、バランス良く両方を追っかけていくのが、今も重要なのかも知れません。

 

IBMの今回のレポートに関して、まだ内容をあまり把握してないのですが、また時間が取れたらじっくり読んでみたいと思います。

 

ブルースクリーンのイラスト

 

更新履歴

  • 2018年4月21日PM(予約投稿)