AG-TECH CORPAG-TECH CORP

ENGLISH

2019年の情報漏洩:なぜハッカーが勝ってしまうのか、そして私たちには何ができるのか

 

今ハッカーが優位に立っています。 Information Ageによると、情報漏洩の報告は過去2年間で75パーセント増加しています。この増加の要因の1つに、新たな法と情報開示要件が関連しています。技術系のトップ記事を見れば、企業ネットワークとアプリケーション、またはデータを保護する戦いにおいて、ハッカーの方が優位に立っていることは一目瞭然です。

 

しかしこれは、まったくもって悪いニュースというわけではありません。重要な資産を守るために、現在の侵害状況についての知識と、重要な資産を保護するための実用的な洞察を備えれば、組織はハッカーとの戦いにおいて引き分けまで持っていけるどころかハッカーを攻撃から守りに追い込ませることができます。これから説明することはそのために知っておくべきことです。

情報漏洩の簡単な歴史

2018年には多くの情報漏洩が起こりました。5月に、ソーシャルプラットフォームのTwitterは、内部システムにプレーンテキストでパスワードを保存してしまうという技術的なミスによって、3億3300万個のレコードが漏洩したと報告しました。その前の月には、Facebookが悪意のあるサードパーティーのスクレイパーが、ユーザーデータを取り込み、2900万個の記録が漏洩したことを報告しました。

 

事態はさらに悪化します。テキサス州では2018年8月、一つのファイルが安全でないサーバーにパスワードなしで保管されていたことにより、1480万個の投票者の記録が公開される事態が発生しました。名前、住所、そして投票履歴と性別のデータが漏洩していました。12月にはマリオットホテルが、複数のホテルチェーンで5億件の顧客記録が侵害されたと報告し、その漏洩は2014年に始まっていたことが報告されました。これらの脅威に関しては言葉もありません。

 

ここで述べる価値があるかどうかはわかりませんが、恐らくセキュリティーパッチが適切に適用されていなかったことが原因で、Equifaxの大規模な漏洩によって去年約1億5千万個のアメリカ人の信用情報が流出しました。

 

これらの事例を一見しても、大企業がより大きな情報漏洩に遭っていることは明確です。そして、多くの場合、ハッカーたちはあまり労力をかけずにそれをやってのけます。どうすればこれを断ち切れるのでしょうか?

共通ソース

なぜハッカーたちはITチームたちの苦労をよそにハッキングを成功させることができるのでしょうか。マルウェアの能力が上がっていることが一つの懸案事項となっています。 IT Pro Portalで述べられているように、2019年は“サービスとしてのマルウェア”が増加する可能性があります。それはあまりスキルのない攻撃者がダークウェブでツールやキットを購入し、更にカスタマーサービスのメールや現在行われているサポートを通して得られる情報によって、マルウェアとしての力を得ると予想されます。

 

しかし、サイバー犯罪が起こってしまう理由としては、ハッカーの知識やマルウェア市場の成長に関わらず、社内のITソースに起因するものが大部分を占めます。次のような原因が考えられます。

1.人的問題

Information Ageの記事によると、多くの漏洩報告は人為的ミスを指しており、悪意のある行為ではありません。最も懸念される点としては、メールの誤送信や従業員による物理データの誤った配置などが挙げられます。また、従業員はフィッシング詐欺の判別と対策に苦労しています。昨年は、76%の組織が悪意のあるメール詐欺の標的になったと回答しています。

2.パッチのプレッシャー

基本的なパッチング無しではシステムとネットワークは脆弱になります。Equifaxには実際にそれが起こりました。彼らはCVE-2017-5638に対抗するために必要なApache Strutsのアップデートをインストールしないまま使用したことによって、ハッカーたちに企業システムへのアクセスを許してしまいました。Equifaxの前任のCEOは匿名のITスタッフをパッチのダウンロードと適用を怠ったとして非難しましたが、ここでの大きな問題点はパッチ管理の不十分な構造がハッカーたちに侵入を許してしまったのということです。

3.不十分なテスト

ハッカーたちはネットワークを危険にさらすために脆弱性を探しています。これには、周辺のサービスへの横のアクセスを可能にする代わりに、より重要度の高いアプリケーションへの経路をつないでしまうリスクがある、というあまり一般的でない弱点も含まれています。組織が直面している最も大きい問題は不十分なテストです。企業は彼らが予測できる範囲内で脆弱性のテストを行い、そこで出た問題を全て解決し、ハッカーたちはこれを上回ってこないだろうと思っていることでしょう。もしくは、最新のセキュリティーツールが重要な資産を守ってくれるだろうという考えから、テストを全く行わないかもしれません。

4.アプリケーションの経路

アプリケーションは世界を席捲しており、これはハッカーたちにとっては好都合です。もし悪意のある攻撃者がアプリケーションの実行時に、リバースエンジニアリングコードや、アプリケーションのセッションをハイジャックするコマンドを挿入できると、企業ネットワークに素早く密かに侵入できてしまう恐れがあります。

5.多様な可視性

マリオットホテルはどの記録が漏れて、どの種類のデータが侵害されたかを把握しましたが、Bloomberg は“この漏洩の原因が分かる情報は何一つない”ことを指摘しています。情報漏洩後の可視化は可能ですが、その原因についての洞察がないというのはどの企業でも頭を悩ませている事実です。

フィールドの平準化

ハッカーたちが常にITのセキュリティーの限界を超えようとしているのならば、企業が彼らと同等の立場に立ち、次なるハッキングを防ぐことは可能です。

 

最善の方法としては、まず信頼できる第三者を使用して通常の侵入テストを実行することです。社内のテスターは通常安全であると報告されている多くの伝統的な方法を選びがちなため、これにより、従来の常識を破るような攻撃に対して無意識にバイアスをかけてしまう事を回避できます。次に、自動パッチポリシーを有効または展開して、最新のアプリケーションとOSのアップデートが重要なシステムに適用されるようにします。パッチ適用が適切にスケジューリングされていない場合や、予想外の問題に遭遇するなど生産性が失われる可能性はありますが、Equirfaxのように何もしないよりは良いはずです。

 

最後に大事な話になりますが、ご自身のスマホのアプリとクライアントサーバーのアプリケーションを保護してください。ハッカーたちは、これらのアプリケーションや、IoTのアプリケーションの中からどれでもハッキングすることができます。たった一つのアプリケーションでもリバースエンジニアリングされたり特権の昇格された状態であれば、ネットワークが完全に侵害される可能性があります。そして、次の3つのアプリケーション強化法を導入しましょう。

  1. IPを保護し、潜在的な脆弱性を隠すためのコード難読化
  2. 貴重なデータの暗号化
  3. デバッガやエミュレータの使用、インジェクション攻撃などハッカーが使用するツールやテクニックを察知し、防ぐための実行時のアプリケーションの自己保護

今、ハッカーたちは情報漏洩の戦いにおいて優位に立っています。しかし、戦いはまだ終わってはいません。戦術的に優位に立つためには、彼らの手口を知り、一般的なリスクを理解し、明解な戦略を立てることが重要です。

 

https://www.preemptive.com/blog/article/1089-data-breaches-in-2019-why-the-h

(January 9, 2019 Gabriel Torok 著)

一覧に戻る

Contactお問い合わせ

お気軽にお問い合わせください。

お問い合わせ

    必須会社名

    個人のお客様は「個人」と入力してください。

    必須お名前
    必須メールアドレス
    必須メールアドレス(確認)
    必須ライセンス ありなし
    ダウンロード目的