同社対策チームが手がけた典型的/重大な事故事例をまとめた「Data Breach Digest」
実例に基づく「18の情報漏洩シナリオ」、ベライゾンが報告書公開
2016年04月13日 07時00分更新
ベライゾンジャパンは4月12日、同社が実施したデータ漏洩/侵害事故調査の中から、18件の典型的または重大なインシデントの実例をまとめた「Data Breach Digest」を発表した。サイバー攻撃の「シナリオ」をわかりやすく見せることで、企業のCxOや一般社員など、セキュリティ担当者以外にもサイバー攻撃のリスクやそのための備えを理解しやすくする試み。
ベライゾンが公開した「Data Breach Digest」表紙。同社サイトからPDFがダウンロードできる
シンガポールからテレカンファレンスで説明を行った、ベライゾン 調査対応担当マネージングプリンシパルのアシシュ・ターパル(Ashish Thapar)氏
ベライゾンでは、2008年から毎年「データ漏洩/侵害調査報告書(DBIR)」を発行している。これは実際に発生した世界のデータ漏洩/侵害事故について、主に“データ”の視点からまとめているレポートで、たとえば2015年版のDBIRでは、61カ国で発生した標的型攻撃に関わる7万9790件のインシデントから2122件について、原因や損失額などの分析を行っている(DBIR 2016年版は近日公開予定)。
一方、今回発表したData Breach Digest(DBD)は“シナリオ”という別の視点から、サイバー攻撃と被害の実態をまとめたレポートである。具体的には、インシデント調査/対応サービスを提供するベライゾンのRISKチームが手がけた案件から、全体の60%以上を占める「典型的な事例」12件と危険度の高い「重大な事例」6件の、合計18件の事例が提示されている。
18の具体的な“脅威シナリオ”に基づいてインシデント事例が紹介されている
各事例については、攻撃の発生状況や発生頻度、巧妙さの度合い、関与している脅威実行者や主要な攻撃元国、使われた攻撃手法、推奨される対応策など、詳細な分析結果を1枚の“カード”形式にまとめている。そのうえで、実際に起きたインシデントの発覚から対応、調査、被害回復までの一連のシナリオや、取るべき対策/留意点などを具体的に(企業名などは伏せた形で)記している。
Data Breach Digestの内容例。CMSの脆弱性を悪用された海運会社の事例だ
たとえば「CMS(コンテンツ管理システム)からの情報漏洩」シナリオでは、ある国際的な海運会社が受けた被害が紹介されている。同社の船が武装した海賊に襲撃された際、海賊は宝石類の入った価値の高い積荷だけをすぐに特定し、盗み出したという。不審に思った同社がベライゾンに調査を依頼した結果、同社が使っていたCMSの脆弱性を突いて攻撃者がサーバーに侵入し、積荷の内容が記された船荷証券を不正にダウンロードしていたことがわかったという。
そのほかにも「ソーシャルエンジニアリング」「インサイダー脅威」「デジタル恐喝」「DNSトンネリング」「ランサムウェア」など、人的要素から設定改竄、不正なソフトウェアなど広範な脅威シナリオが紹介されている。
業種別に、発生する攻撃手法の頻度と、参照すべきシナリオの番号も一覧で記されている
記者向けに説明を行ったベライゾンのアシシュ・ターパル氏は、データ中心のDBIRとは別に、攻撃/被害シナリオを紹介するDBDを発行した理由について、「DBIRで明らかにしている“数字の向こう側”でどんなことが起きているかを知ってほしいと考えたからだ」と説明した。
「セキュリティエンジニアだけでなく、企業のCxO(経営層)や一般社員にもぜひ読んでいただければ。こうしたインシデントにおいて、自分たちも関与する可能性があることを自覚して、自らの立場からリスク評価や対策の検討をしてほしい。こうした“シナリオ”を知ることで、自社にもリスクがあることに気づき、対応を取ったという事例もある」(ターパル氏)
なお、現在公開されているレポートPDFは英語版となる。ベライゾンジャパンによれば、日本語版の発行については「調整中」とのことだが、ぜひとも発行を期待したいところだ。
