2016年も折り返し地点を過ぎました。サイバーセキュリティの観点では、見たところ落ち着いていたような気がします。DROWNやいくつかのAPTを除けば、今のところ、大ニュースとなった事件はそれほど多くありません。しかし、詳しく見ていくと、2016年前半には重大な(というよりも、極めて大規模な)データ流出がやたらと発生していることがわかります。私たちが注目したのは、SNS認証情報の大売り出しなどの事件(データがいつ、どのように盗まれたかは不明なもの)を除く、「本当の」流出事件です。
今回のまとめ記事では、そのうち5件とそこから得られる教訓を取り上げます。
2016年のデータ流出事件、(ここまでの)トップ5 #2016leaks
Tweet
第5位:Time Warner Cable(被害者数32万人)
今年初め、Time Warner Cableは顧客32万人に対し、メールのパスワードを変更するよう警告を発しました(英語記事)。ハッカーがパスワード情報にアクセスした可能性があるためです。
Time Warnerによると、「フィッシング攻撃中にダウンロードされたマルウェアを介して、またはTime Warner Cableの顧客情報(メールアドレスなど)を保存している他社への不正アクセスによって間接的に」データが流出した可能性があります。
後にTime Warner Cableは、同社のシステムが不正アクセスされた形跡はないと発表しました。
ところが、しばらくしてから、Time Warner CableのWebメールポータルであるRoadrunnerのメールアカウント、つまり「rr.com」のアドレスを持つ顧客が、この事件に巻き込まれたとみられることが明らかになりました。
教訓:
- 顧客が弱点となる可能性があります。ですから、フィッシングなどの危険性を顧客に周知徹底しましょう。アンチスパムやアンチフィッシングの機能を備えたセキュリティ製品を勧めることも、検討に値します。なお、カスペルスキーの個人向け製品および法人向け製品には、アンチフィッシング技術が備わっています。
- 顧客情報を他社(パートナー、サプライヤー、協力会社など)で保存している可能性がある場合は、それらの企業が情報をどのように格納し、処理しているのか調査することをお勧めします。必要に応じて、パートナー企業には本格的な保護対策を実装できるようにしてもらいましょう。もしも相手が渋るようなら、新しいパートナーの探しどきかもしれません。
第4位:Centene(推定被害者数95万)
今年初め、約95万人の医療データの入ったハードディスク6台が行方不明になったことが報道されました。
このハードディスクは、Centene Corporationというヘルスケア企業の資産であり、2009年から2015年の間に同社の臨床検査サービスを受けた人のデータ(名前、住所、生年月日、社会保障番号、会員ID、医療情報)が保存されていました。金融情報や決済情報は、このディスクに含まれていませんでした。
Centeneは、データが不正利用された痕跡はなかったが、状況は深刻であると見て、被害を受けた顧客とメディアに知らせるべきと判断したとしています。
教訓:
- サイバーセキュリティに加えて、データ記憶装置を物理的に保護することも重要です。重要情報の入ったハードディスク数台をみすみす失うことは、「1234」をパスワードに使うのと同じくらい、あってはならないことです。
- サイバー空間における安全対策やセキュリティの文化が形成されるまでは、試行錯誤(というより、錯誤とそれに伴う被害)を繰り返さなければならないかもしれません。当社のKaspersky Security Awarenessプログラムは、その名前が示すとおり、啓発を促す内容であると同時に、実用的な性質も備えた企業向けトレーニングプログラムです。詳細については、こちらをご覧ください。
第3位:Verizon(顧客150万人に被害)
報道によると、Verizon Enterpriseの顧客150万人の情報がサイバー犯罪者の地下フォーラムで売り出されました(英語記事)。売り主はかなりの高値をつけており、データベース全体の価格は10万ドル。この価格には、Verizonサイトのセキュリティ脆弱性に関する情報も含まれていたそうです。
Verizonはその後、不正アクセスの原因となった脆弱性にパッチを適用しました。流出したのは名前やメールアドレスなど、基本的な連絡先情報だけでした。
教訓:
- 超大手の企業でさえ、フロントエンドネットワークや企業ネットワークの欠陥を見逃すことがあります。こういった欠陥が攻撃の侵入口となる恐れがありますから、自分の公開Webサイトの安全性をチェックするだけでなく、侵入テストも試しておくといいでしょう。
第2位:21st Century Oncology Holdings(盗まれたレコード数220万件)
フロリダを拠点とするがん医療施設は220万人の患者に対し、コンピューターネットワークから少なくとも医療データの一部と社会保障番号が盗まれたことを警告しました(英語記事)。
実際の犯行は2015年10月に行われました。同社は即座にFBIとデジタルフォレンジック会社に届け出ましたが、FBIから公式発表を遅らせるようにとの要請を受けました。
21st Century Oncologyは患者のデータ保護を怠ったということで、後日厳しい批判に晒されました。同社は攻撃について詳しく語らず、攻撃の詳細は明らかになっていません。明らかにされたのは、将来似たような事件の発生を防ぐべく、「これまで実施されていた」セキュリティ対策に加えて「内部セキュリティプロトコルを強化するための追加措置」をとった、ということのみです。
教訓:
- デジタルフォレンジックは、不正アクセスの詳細を理解するのに役立ちますが、侵入される前にエキスパートにインフラを見てもらう方が賢明です。カスペルスキー セキュリティインテリジェンスサービスに含まれる各種サービスの中でも、顧客ごとの脅威インテリジェンスレポートは、外部から利用できるネットワーク上の重要コンポーネントの特定に役立ちます。
さて、データ流出事件の栄えある第1位は…、
第1位:米国保健福祉省(500万レコード)
米国保健福祉省(HHS)は、500万人もの被害者を出した大規模な医療データの流出事件を事後報告し、厳しい批判にさらされました。
この侵害をめぐる状況は常軌を逸しています(英語記事)。これはサイバー攻撃でも何でもありません。ごく普通の窃盗です。報道によれば、強盗団はワシントン州オリンピアにある養育費履行強制庁に押し入り、500万件もの名前と社会保障番号が保存されていたノートパソコンを奪いました。
2016年、ここまでのデータ流出事件の第1位は… #2016leaks
Tweet
この事件は2月に起きましたが、HHSが公にしたのは3月後半でした。
その後、この強盗事件で2人が逮捕されましたが、ノートパソコンが発見されたかどうか、そして盗まれたデータが最終的にどうなったかは明らかになっていません。
教訓:
「モバイル」というくらいですから、モバイルデバイス(ノートパソコンを含む)、ひいてはそこに格納されているデータを持ち去るのは難しくありません。ラップトップを盗まれるかもという不安は常にありますが、少なくとも、データの安全性に関する心配を減らす方法はあります。暗号化です。個人の特定が可能なデータは高額で取引され、ラップトップの価格をはるかに上回ることになりがちです。しかし、データを暗号化して保存しておけば、情報が漏れることはありません。
ヒント