Lessons Learned from Another Big Breach

もう 1 つの大規模なデータ漏えい事件から学んだ教訓

Web Security Products VP、Josh Shaul へのインタビュー

まず、消費者のデータ漏えい問題の背景から始めましょう。

これは極めて大きな問題です。今年になって、現在までに十億件を超える記録が盗まれたのを見てきました。これは前例がないわけではありません。ニュースになるのは、ほとんどの場合、ハッカーが大手小売企業などからユーザー名やパスワードを盗む大規模な攻撃です。最終的な目的はお金を稼ぐことです。ほとんどの場合、その手段として、ブラックマーケットで販売できる物品を不正に購入します。このような詐欺行為の危険性は、データが漏えいした企業だけでなく、他のオンラインビジネスにも拡大します。

では、どのようにして他のビジネスに波及するのでしょうか。ハッカーはパスワードそのものを盗むのではありません。盗むのは、暗号化、つまりハッシュ化されて 1 と 0 で表されているパスワードです。それらを復号して実際のパスワードを特定することはできませんが、組織がパスワードを保護するために使用しているハッシュ化アルゴリズムは既知のものです。そのためハッカー達は、パスワードや、パスワードがハッシュ化される前に追加された何らかの情報を推測できます。次に、それらに同じアルゴリズムを適用すると、一致が得られる場合があります。つまり、1 と 0 の同じ組み合わせや並び方です。

そして、ほとんどのユーザーが複数のアカウントでユーザー名やパスワードを使い回すか、少し変えるだけだという事実を利用します。攻撃者は、大量のユーザー名とパスワードを使って攻撃を始めます。資格情報を検証する目的で、密かにウェブサイトからウェブサイトへ分散的に移動します。大手の小売企業のサイトへ行って、そこで使えるアカウントを大量に見つけたら、次にバンキングサイトへ行って、そこで使えるアカウントを見つけます。そしてまた、E コマースサイトへ行き、同じことを繰り返します。

このような検証済みの資格情報には価値があります。そして詐欺師(通常は別人)がそれらの資格情報を買って、アカウントにアクセスし、金銭を入手します。個人にとって最も痛手なのは、詐欺師が小売企業のアカウントにアクセスするだけではなく、オンラインバンキングや個人のメールアカウントにもアクセスすることです。メールアカウントは、王国に入るための鍵になり得ます。例えば、さまざまなアカウントのオンラインパスワードは通常、メールでリセットできるからです。

つまり、これが大きな問題と言えるのは、攻撃者や詐欺師は頭が切れ、狡猾で、組織化され、自動化されているからです。大規模なデータ漏えいは、彼らの目的の原材料となるのです。

Equifax のデータ漏えいにおいて、特異な点は何ですか?

Equifax のデータ漏えいで盗まれたデータは、私が今説明したプロセスで使用できますが、それは問題の始まりでしかありません。この事件では、ユーザー名とパスワードだけではなく、詳細な個人情報が盗まれました。名前、住所、生年月日、そして最も重要なのは社会保障番号です。このレベルの情報を使用すると、詐欺師は直接新しいアカウントにサインアップできます。つまり新しい銀行口座の開設、新しいローンの契約、新しいペイデイローンの契約などが可能なだけではなく、品物やサービスを購入するための新しいアカウントも開設できます。これまで見たことがないような、個人情報盗用の波が押し寄せる危険性があります。

これに類似した最も大規模なデータ盗用の例としては、数年前の米国人事管理局の事件があります。この事件では、2,150 万人分の人事管理局職員と請負業者の詳細な個人情報が盗まれました。興味深いことに、それに続いて起きる個人情報盗用の広がりについて、私たちはあまり知識がありませんでした。この事件については、統計を確認することができません。なぜなら、事件の公表を強制されない組織に発生したデータ漏えいだからです。影響を受けた多くの個人は、ほぼ確実に、リスクを軽減しようと Equifax などのクレジットモニタリングサービスにサインアップしたことでしょう。そして、その個人の多くは、振り出しに戻ってもう一度自分のデータが盗まれるという経験をしました。

エンタープライズは、どのようなことになるでしょうか?

オンラインで消費者と取引するすべての組織は、これらの顧客を保護し、事件の当事者になることを回避しようとしていますが、意図せずに不正なトランザクションを行ってしまう場合があります。これらのトランザクションでは、盗まれた物品、サービス、金銭などの直接的なコストだけでなく、損失の穴埋めや顧客アカウントの回復などにかかる管理コストも発生します。財政的被害は莫大です。

Equifax のデータ漏えいをきっかけとして、エンタープライズ組織は、特に個人情報の窃盗に関連して、セキュリティ上の新たなレベルの懸念に直面することになりました。顧客の個人情報が、もはや秘密ではなくなった場合は、ビジネスや顧客をどのようにして保護すればよいのでしょうか。そして、これまで顧客の個人情報の検証に使用していた方法が、犯罪者に知られていることがわかったら、どうすればよいでしょうか。

詐欺師は、何千ものビジネスにおいて何百万というアカウントの新規開設を試みるソフトウェアを作ることができます。成功するのは、その中の数パーセントにすぎませんが、それでも多額の金銭を手に入れることができます。また、企業のコールセンターに電話してすべての正しい情報を提示するという従来の方法で、アカウントにアクセスしたり、アカウントを変更したりする方法も試すでしょう。これは解決するのがさらに困難で、より多くの認証が必要になります。しかしそれと同時に、攻撃者にとってもさらにコストがかかる方法です。元は十分に取れるものの、本人に声がよく似た誰かに電話で話をさせるという手間もかかります。カスタマーサポート担当者のうち何人ぐらいが、電話の相手が詐欺師かもしれないというわずかな兆候に気づくでしょうか。また、そういった可能性について考えるように指示された経験があるでしょうか。

個人の財務情報に触れるインターネットベースのサービスを提供している組織の CEO や CIO は、漏えいされたデータがローンの契約やメリットの提供、税金の払い戻しなどに使用されたり、本来は入手できないものを誰かに販売するために使用されたりなど、組織が個人情報盗用の媒体に変わることがないように対策を真剣に考えなければなりません。

エンタープライズは自社と顧客を保護するために何をすべきでしょうか?

Equifax のデータ漏えい以来、オンラインで顧客に接触する企業は、ユーザーからの電話による申込みであっても、新しいアカウントの開設や、アカウントとパスワードの変更について、より一層警戒するようになっています。さらなる認証手順が課せられても、賢明な消費者はそれらの手順を不便なものと捉えるのではなく、予防措置であると認識するでしょう。

ほとんどのエンタープライズは、ユーザー名やパスワードを推測しようとするハッカーの攻撃を察知する能力を高める必要があります。何を検出すべきかがわかっていれば、たとえ小規模な攻撃であっても気づくことができます。また、人間とロボットを識別できるようになる必要もあります。そのログイン失敗は、人間のタイプミスによるものでしょうか、ボットの推測によるものでしょうか。新しいアカウントにオンラインでサインアップしたユーザーは、その個人情報を持つ本人でしょうか、それとも盗んだ情報を使用したボットでしょうか。

それがボットであれば、正しい動作をしたでしょうか。ウェブサイトに必要なボットもあります。例えば、財務情報のアグリゲーターとして顧客が Mint や Yodlee を使用し、それらのサービスが自分のアカウントにアクセスするのを許可する場合があります。ボットの動作に怪しい点がある場合、ボットにドアを開いてしまうのか、あるいは、迷路にボットを導き入れ、そこでボットを混乱させてセキュリティスタッフが目的を診断するのでしょうか。

さらに根本的なことを言うと、多くのエンタープライズは、自社のオンライン環境を包み込むセキュリティレイヤーを追加すべきだということです。このラッパーは、企業にどんな資産があるかを知る必要はありません。このラッパーに必要なのは、企業のアドレスに何がやってくるかを綿密に監視し、最新の脅威は何であるかを詳細に認識することです。

これは、よく取り上げられる話ではありませんが、極めて重要なことです。Equifax は、自社のシステムに脆弱性があることを見つけたと発表しました。システムの脆弱性がある部分すべてにパッチを適用したと思っていましたが、1 か所だけ見落としがありました。それがすべての原因でした。攻撃者は、最終的にその弱点を見つけて悪用しました。

ここから得られる教訓は、システムの脆弱性を特定して、できるだけ迅速に修正することに励んでも、何かを見落とすことがあるということです。間違いが起こる可能性は、常にあります。企業の財産目録に含まれない脆弱なシステムがネットワーク上にあって、それを企業が知らないこともあります。そして、パッチの適用には時間がかかります。そのソフトウェアの展開にかかる時間が数分なのか、数日なのかは不明です。攻撃者は、最新の脆弱性に注意を払っているため、パッチを適用する作業が終わらないうちに攻撃が始まる可能性もあります。

これらすべてのケースで、2 つ目のセキュリティレイヤーがあれば、たとえ何かミスがあっても保護されるため、安全が保証されます。Equifax は、問題を修正したと思っていましたが、それは間違いでした。

ほかにどのような種類の組織が顧客データ窃盗攻撃のターゲットになると考えられますか?

まず、サイバー攻撃の影響を受けない組織はありません。したがって、オンラインでビジネスを展開して、顧客データを保管しているすべての企業は攻撃対象にされやすいです。サイバー犯罪者は、潜在的に価値のあるデータが大量にある場所をターゲットにします。それは、信用調査会社、大手クレジットカード会社、そして LifeLock のように、大々的に広告を展開し、最近のデータ漏えい事件の後に顧客が増加した、個人情報を盗難から保護している企業などです。Equifax のデータは漏えいしましたが、このような組織は「軍隊級」のセキュリティ対策を施していることを期待されます。

サイバー犯罪者は名うての銀行強盗のように、金銭が集まる場所に行きたがります。しかし、大手財務サービス組織は、軍隊級のセキュリティを維持するために大規模に投資しています。そのようにして、資産、運営、高価値の企業顧客や個人顧客を保護しています。通常の小売企業の顧客は、講じられているセキュリティの水準によって恩恵を受けます。

より脆弱性が高いのは、大規模な小売企業のように、大量の顧客データを抱えていても、利益幅や財源が大きくない(または保護するという意欲がまだ強くない)ために、追加できたはずの保護手段を導入できない場合です。保護すべきデータの価値と、セキュリティにかけられる費用とが、一致していないのです。これらの組織は、Equifax のデータ漏えい事件で流出し、不正利用された顧客データの数を踏まえて、セキュリティに対する姿勢と戦略を再検討する必要があります。

政府機関では、おそらく IRS が最大のターゲットになるでしょう。ここにはすべての人の情報があり、詐欺師が欲しがる情報のすべてが大量にあります。もちろんこの機関は、データ保護についても、個人情報窃盗の検知についても、堅固なセキュリティが施されているのは事実です。しかし、それでも完璧ではありません。詐欺の防止よりデータ保護に長けているように見える Medicare などの機関では、詐欺犯罪がさまざまな形で行われるという事実から、課題が複雑になっています。

むずかしい立場にある業種としては、ヘルスケアがあります。医療供給者機関や医療保険取引所の電子健康記録には、臨床情報の他に、膨大な量の個人情報が含まれています。このような機関では、HIPAA の指示によって患者の個人データを保護する義務があります。しかしまた、臨床に関する支出とその他の支出との間に、根本的な緊張関係もあります。医師と医療提供組織は、患者の治療結果に重点を置いています。また、それが彼らの関わり方でもあります。このため、彼らは情報技術やセキュリティ技術より、臨床技術に出費したいと考えます。大手メディカルセンターの CIO と興味深い話をしたことがあります。その CIO は、「私の最大の懸念は、誰かが病気になって私の病院に来て、健康になって帰って行ったのに、彼らのデータに何かが発生して、さらに悪化した状態でここに来ることです」。

サイバー犯罪のことをビジネスであるかのように話しますね。

まさにそのとおりです。サイバー犯罪は、別のビジネスモデルによるビッグビジネスなのです。国家が関与する多くの攻撃を含めて、サイバー犯罪の一部は、要するに産業スパイです。攻撃者の目的は、技術データを盗んで秘密情報を売買したり、企業や政府機関に固有のその他の情報を盗んだりすることです。また、まったく別種の攻撃として、サーバー、ネットワーク、ウェブサイトをダウンさせて、業務を中断させるものもあります。これらの多くは、「ハクティビスト」とも、不平分子とも呼ばれる人々の仕業です。

今日取り上げているサイバー犯罪は、大量の個人消費者に関するデータを盗むことから始まりますが、それらはすべて確実に金銭が目的です。業務への悪影響やセキュリティ侵害された企業の評判の低下などは副産物です。このようなサイバー犯罪ビジネスには、それ独自のマーケットやサプライチェーンがあります。
  • ハッカーは、企業システムの脆弱性を見つけて不正利用し、個人に関する大量のデータを盗んで販売します。
  • 仲介人はデータを大量購入して、消費者の資格情報のテストや検証を行うために人員とソフトウェアを投入するか、個人情報の窃盗に必要なデータを完成させます。つまり、データを抜粋したり、価値を追加したりするのです。
  • 専門の詐欺師が、検証済みのデータを購入し、小売企業からの窃盗、金融詐欺、政府機関からの給付金や税金詐欺など、さまざまな経路を通じて収益化します。
このサプライチェーンは、全体的なエコシステムによってサポートされています。取引用のツールを作るソフトウェア開発者や、雇用するハッカーがいます。また、盗んだデータを金銭に換えるサービス、盗んだ物品を金銭に換えるサービス、ハッキング行為を隠蔽するサービスなどもあります。そして、このエコシステムには、ビットコインという通貨の選択肢があります。

また、サイバー犯罪は年中無休のビジネスであることも忘れてはなりません。ハッカーは絶えず働いていますが、その働きには 2 つのテンポがあります。彼らは特定のエンタープライズをターゲットにし、新しく発見された脆弱性にパッチが適用される前に、それらを不正に利用しようとします。ハッカーは、水中銃を手にして大物の魚を探している漁師なのです。しかしまた、彼らはバックグラウンドで常に働き続けてもいます。大きな網を投げ、辛抱強く魚が水面に上がってくるのを待ちます。適切にパッチが適用されていない古い脆弱性も、これに含まれます。

Equifax のデータ漏えい事件後、CEO、CIO、CSO、そしてビジネスエグゼクティブにとって最も重要な点は、この部分でしょう。敵を知る必要があります。個別のハッカーを相手にしているのではなく、組織的で資金力のあるサイバー犯罪者を相手にしているという認識を持たなくてはなりません。彼らは、個人に詐欺行為をはたらくビジネスに従事し、自分たちの役に立つ組織に携わっているのです。そして、彼らの業種は成長産業です。彼らの能力や資金力、そして、いつ、どこで、どのようにして価値のあるデータを盗むかについて臨機応変の才があることを侮ってはなりません。

関連する CIO のコンテンツ