インターネット上には、企業ネットワークから機密データを盗むことを人生の目標に掲げる無数のハッカーたちが溢れている。これは誰もが知る現状です。しかし、システムやネットワークへの多様な侵入方法については数多くの研究論文が去れていますが、データを盗み出す具体的な方法についてはあまり知られていません。
当然ながら、その方法は極めて論理的です。まず、攻撃者は不正に改ざんされたPDFまたはWordファイルを添付したフィッシングメールを通じてネットワークに入り込みます。これがネットワーク上のシステムへの足がかりとなります。次に、他のぜい弱性を見つけてシステム間を渡り歩き、スプレッドシート、文書、財務情報、その他で攻撃者が有益と思えるものを含む、重要なデータを検索します。
データが見つかったら、続いてエクスポート作業に移ります。エクスポートするには作業する場所が必要です。そこで攻撃者は、一般的にサーバーではなく、ネットワーク上のデスクトップシステムをその場所として選びます。この理由について、情報セキュリティ会社Mandiant社のRyan Kazanciyan氏とSean Coyne氏は、ほとんどのユーザーは利用するコンピューターのメモリがどれだけ使われているかなど気にも留めませんが、(理想的に)ネットワーク管理者はこうした変化に対して敏感で、サーバーのメモリの使用率が上がるとすぐに気付く可能性があるからだと述べています。
攻撃者によっては、不正利用しているコンピューター上で盗み出すデータをまとめたうえで、一挙にエクスポートします。しかし、一般的には、リスクがより高くなるものの、少しずつデータを送り出す方法がとられます。このほか、特定のデータを盗むハッカーがいる一方で、手に入るものはすべて根こそぎ持っていくハッカーもいます。後者の場合、膨大な情報の中から重要なデータのみ抜き出すだけのマンパワーがある、大規模な組織が裏に存在しています。
ハッカーへの対処法は、不正利用されたらすぐにぜい弱性を修正するというのではなく、こうした被害に遭わないよう、事前にできる限りネットワークを保護するという事前対策が重要です。
Coyne 氏は、次のように述べています。「ほとんどのデータはその価値が明確に定義されていないため、盗難の影響を測るのは難しい状況です。これまで携わってきた案件の多くでは、数か月または数年もの間、攻撃者がネットワーク内に潜んでいました。つまり、ぜい弱性の修正に注力したとしても、それはわずかな対策にしかならず、遅きに失するということです」