-
ベライゾンのデータ漏洩/侵害調査報告書(DBIR)を毎回お読になっている方であれば、なぜ弊社が予定にはない臨時の報告書を発行しているのか不思議に思われるかもしれません。弊社は原則として、何らかの事象が発生した時点でその事象に関して報告を行うのではなく、全てのデータを受け取り、その分析が済んだ時点でサイバー犯罪のトレンドに関する年次報告書として、それらの分析結果を発表しています。
しかし、私たちは前例のない時代を生きており、多くの事象がこれまでにないスピードで発生しています。弊社のチームは、読者やパートナーの皆様から、COVID-19がデータ漏洩/侵害の状況に与える影響について多くの質問を受けています。
今、産業界および社会全体の両方で起こっている変化は重大でその量は膨大です。そのため弊社は、私たちが直面している課題とその潜在的な結果を分析するために、次号の年次報告書まで待つことなく、このような記事の形式でこの問題を取り扱うことにしました。
今、産業界および社会全体の両方で起こっている変化は重大でその量は膨大です。そのため弊社は、私たちが直面している課題とその潜在的な結果を分析するために、次号の年次報告書まで待つことなく、このような記事の形式でこの問題を取り扱うことにしました。
方法論
ここでは、弊社が提示している結論にいかにしてたどり着いたのかについて、また、それらの結論がどの程度のデータ量に基づいているのかについて、短く説明することにします。弊社は、その目的を達成するために、DBIRの貢献者である2社の企業(Recorded FutureおよびKnowBe4)から非インシデントデータを収集したほか、Vocabulary for Event Recording and Incident Sharing(VERIS )Community Database (VCDB )プロジェクト向けに収集された35件の公開インシデントデータを入手しました。
2020年3月1日から2020年6月1日までの期間に、474件のデータ漏洩/侵害記録をコード化すべきものとしてVCDBリポジトリの問題リストに追加しました。それらの中から、36件のインシデントがCOVID-19パンデミックに直接関連しているものとして特定されました。1件(詳細が十分でないもの)を除く全てのインシデントをコード化した結果、本分析で使用するためのインシデントデータセットを構成することができました。
完全にデータドリブン型のDBIRとは異なり、この記事はデータのみに基づくものではなく、弊社が利用しているデータは比較的小さなデータセットからのものであることを明確にしておきたいと思います(これは、この事象の新しさを考えるなら当然のことです)。
弊社は、長年の経験と利用できるその他の事例情報源から引き出した独自の所見を追加しました。読者の皆様が本記事でご覧になる情報が有効であり、かつ支持できるものであると思いますが、その情報が完全なデータドリブン型ではないことをご了承ください。
COVID-19は産業界にとって何を意味するか
COVID-19パンデミックは、一時的にそしておそらく永遠にビジネスへの見方とそのやり方を変えてしまいました。それが生み出した大規模な混乱に加えて、何が安全で何が安全でないかについて非常に多くの不明点が存在しています。そのため消費者は店舗に物理的に立ち入ることで曝露のリスクを冒すのではなく、電子商取引やその他のオンラインへと一斉に移行することになりました。
このような移行の結果、より高い需要に応えるために、小売業や外食産業、ヘルスケア業界さえも含むほとんどの業界の企業や組織はオンライン上のプレゼンスへの依存を高めるとともに、多くのSaaS(Software-as-a-Service)ソリューション、クラウドベースのストレージ増強、サードパーティベンダーの利用などを推進しています。しかもそれらを非常に迅速な方法で実施しなければなりません。
変化があるときにはいつでも、混乱、不備、間違いが生じる可能性があります。サイバー犯罪者はこのことを認識しており、自分たちに与えられた機会を最大限に利用しようとします。ただし、上述したSaaSソリューションやクラウド自体が本質的に安全でないと言うつもりはないことをご承知おきください。
むしろ、今回のパンデミックの影響により、ほとんどの企業や組織が急遽SaaSを導入しているという事実から懸念が広がっています。多くの場合、より少ない人員と収益でSaaS導入をしなければならないからです。
デジタルトランスフォーメーションという危険な「混合物」に、大規模な在宅勤務を可能にするという追加要素が加わった場合、それはいとも簡単に大惨事を引き起こす可能性があります。
注意すべきトレンド
電子犯罪の新しく革新的なアプローチが使われるのではなく、すでに見てきたような違法行為が増加すると予想しています。これらの戦術はCOVID-19以前にも有効であったこと、そしてパンデミックの結果、意図せずにより広大なアタックサーフェスを提供していることを考慮すると、攻撃者が新たな犯罪を実行するために新しい戦略や戦術をひねり出す必要性はあまりないと考えられます。
弊社は決して予知能力を持っているなどと主張しているわけではありません。しかし、この記事の残りの部分全体を通じて弊社が想定している攻撃のタイプに関しては、ある程度の自信を持っています。
エラーの増加
今年度のDBIRで何度も述べたように、あまりにも頻繁に発生するアクションの1つとしてヒューマンエラーが挙げられます。エラーを「不正確にまたは不注意に実施された(あるいは実施されないまま放置された)ことを含むもの」として定義しています。エラーは、記入漏れやプログラミングのミスから、失敗や情報漏れに至るまで多岐にわたります。しかし、最近最も頻繁に見てきた(そして今後も増加が予想される)エラーとしては、設定ミス(新しいクラウドストレージのバケットに適切なデータセキュリティ管理 を追加するのを忘れるなど)、誤配信(電子ファイルや印刷された文書を許可されていない相手や不正な相手に送信すること)、公開エラー(意図したものとは異なる対象者、またはより多くの人にアクセスを許可すること)が挙げられます。
同時に、これらの企業や組織では、迅速に導入する必要のある新しく馴染みのないソリューションに大きく依存することで、異常に重いワークロードを経験していることがよくあります。また、在宅勤務を行う場合、子供を含む家族と一緒にいる場所で仕事をするので気が散ることが増えます。その中で、もしエラーが劇的に増加しないとしたらそれは驚くべきことです。
窃取された認証情報に関連するハッキング
DBIRによると、ハッキングカテゴリ内の侵害の80%以上は、窃取された認証情報またはブルートフォース攻撃で抜き取られた認証情報によって引き起こされていることが判明しています。その大半は、Webアプリケーションやクラウドを介して発生しています。今や企業は、インターネットが Al Goreによって発明されて以来、かつてないほどにSaaSプラットフォームへ過度に依存しています。このため、この依存度の高まりにより、窃取された認証情報やブルートフォース攻撃で抜き取られた認証情報を狙う悪意ある攻撃者にとってのアタックサーフェスが大幅に拡大すると予想しています。結局、かつてないほどに、これらの認証情報を利用する場所が増えることになるでしょう。
組織において、非常に効果的で包括的なパッチプロセスをすでに導入している企業や組織はそれほど多くないはずです。すでに導入している企業があればそれは称賛に値するものですが、多くの企業にとって、企業が所有する全ての資産に対して迅速かつ一貫してパッチを確実に実施することは、現在の環境下では過去に比べて困難になっている可能性があります。弊社の調査によると、脆弱性を突いたエクスプロイト攻撃が漏洩/侵害に占める割合は比較的少ないものの、ハッキングの種類としては2番目に多いという結果が出ています。
しかし、多くの従業員に在宅勤務が奨励されている(または義務付けられている)現在の状況を考慮すると、リモートアクセス用に新しい外部ワークステーションを維持することは、たちまち大きな問題となります。ワークステーションにおけるパッチの実施や資産管理は、ワークステーションが全て社内に配置されている場合であってもすでに十分に困難であるということに、おそらく全ての人が同意するでしょう。また、パッチが適用されていない状態で、お好みのゼロトラスト型の手法を採用して、これらの資産を保護し、従業員による企業ネットワークへのアクセスを禁止することは、最も成熟した組織にとっても非常に困難であることが判明するでしょう。
ランサムウェアが増加する見込み
ランサムウェアは従来、DBIRデータセットでは漏洩/侵害としてカウントされません。なぜなら、ランサムウェアの場合、通常、データの機密性が確認された侵害が存在しないためです。ただし、COVID-19関連の漏洩/侵害データセットには、ランサムウェアグループが暗号化を開始する前にデータのコピーを取得し、任意のWebサイトにデータを(部分的または全体)ポストしたことが確認されたインシデントがいくつか含まれています。
COVID-19データセットに含まれている9件のマルウェアインシデントのうち、7件は確認された漏洩/侵害でした。方法論のセクションで説明したVCDBデータセット全体では、全474件のインシデントのうち128件のマルウェアインシデントがあり、そのうち34件が確認されたランサムウェアによる侵害でした。
フィッシング領域に対する影響
先述したように、窃取された認証情報を不正利用するためには、攻撃者はまず認証情報を入手しなければなりません。これには様々な方法がありますが、最もシンプルで効果的な方法は、フィッシングなどのソーシャル攻撃を利用してそれらを取得することです。騙されて悪意あるリンクをクリックしたか、または感染した添付ファイルを開いた従業員はシステムへの初期アクセス権を攻撃者に提供することになります。
さらに、従業員が複数のポータルで同一のパスワードを使用している場合、攻撃者はそれらを利用して攻撃を拡大できます。パンデミックによるリモートワークの急増により、携帯電話やタブレットへの依存度が高まる可能性があります。昨年の報告書における調査では、多くの従業員がデスクトップやラップトップよりもモバイルデバイスを使用している場合、悪意あるリンクをクリックする可能性が高いことが示されています。本書では、フィッシングについてより詳しく説明しています。
トピック分析
フィッシングの基礎的な構造をよりよく理解するために、特にCOVID-19に関連する攻撃について、InfoSecコミュニティで共有されているさまざまな指標を調べることにしました。また、対比を提供するために、2018年まで遡って、非COVID-19に関する同様のデータを収集しました。
フィッシング攻撃におけるルアー(疑似餌)を作成する場合、攻撃者が正当性を装うために使用できる主な方法の1つとして、(信頼できる人物を経由してメールを送信することとは別に)信頼できるソースに類似したドメインを利用することが挙げられます。弊社が分析した通常の脅威情報データでは、このようなタイプの置き換えを見つけることができますが、COVID-19特有のデータでは多くのインスタンスを見つけることができませんでした。見つけたのは、図1に示すように、「マスク(mask)」、「検査(test)」、「隔離(quarantine)」、「ワクチン(vaccine)」などの特定の用語が、「COVID」や「CORONAVIRUS」と組み合わせて根拠なく使用されていることでした。
-
ドメインに関するもう1つの注目すべき単純な事象として、トップレベルドメイン(TLD)が挙げられます。.govや.eduのような特定のTLDは管理されているとはいうものの、TLDは、それ自体ではいかなるレベルの信頼も伝えません。しかし、ユーザーがそのような事実を認識しているとは限りません。COVIDのデータでは、登録されたドメインの80%以上が.comのTLDを使用していることが分かりましたが、これは、以前の脅威情報データで見つかった悪意あるドメインのデータの割合(41%)の約2倍でした。.comドメインは通常、登録に関連したコストがかかるため、これにより、攻撃者はドメインがもたらす正統性の印象を利用することに非常にこだわっていたことが分かります。
ドメイン名はユーザーが見て理解できる文字列により構成されていますが、コンピュータはそのようなドメイン名を実際のマルウェアやフィッシングページがホスティングされているIPアドレスへと変換します。COVID-19のデータを注視することで、ホスティングの集中化が進んでおり、単一のIPが多数の悪質なドメインをホスティングしていることを発見しました。今回のケースでは、上位100までのIPが全ドメインの53%以上をホスティングしており、その一方で、73%以上のIPが1つのドメインのみをホスティングしていました。非COVID-19データとの比較では、トップ100のIPは、弊社が収集した悪意あるドメインの23%しかホスティングしていませんでした。また、これらの悪意あるドメインを詳細に調査した結果、発見までの期間の中央値(登録からデータとして表示されるまでの期間の差)がCOVID-19のデータでは約12日であるのに対して、非COVID-19では284日であることが分かりました。
心理戦
明らかに、COVID-19に関連する用語が脅威指標に現れています。しかし、人々がそれらの用語にどれだけ影響を受けやすいかは今もなお未解決の問題です。その答えを出すために、DBIRの貢献企業から提供されたフィッシングのシミュレーションデータを調べてみました。COVID-19に関連する用語(COVID、コロナ、パンデミック、武漢、SARSなど)を含むメールとそうでないメールとを比較しました。
図2はその結果を示しています。大半が似たような結果になっていることが分かりますが、COVID-19に関連のないフィッシングメールのクリック率はやや低い傾向にあります(中央値は3.1%です)。COVID-19に関連したフィッシングメールでは、中央値が4.1%とやや高く、クリック率が50%を超えている組織が多く見られました。COVID-19に関連する用語が含まれている場合に、感情的な反応の高まり(行動学的なセキュリティに関心を持っている方はご存知でしょうが、これは別名「扁桃体のハイジャック(amygdala hijacking)」と呼ばれる現象でもあります)が起きることは理解できます。
-
もう1社のDBIRの貢献企業は、今年3月下旬(米国の多くの州でロックダウンが開始されてから数週間後)に、約16,000人を対象としてフィッシングのシミュレーションに関するデータを公開しました。その結果、昨年末のCOVID-19以前のテストに比べて、約3倍の人がフィッシングリンクをクリックしただけでなく、模造されたログインページに自分の認証情報を提供していることが分かりました。
これは驚くべき結果ですが、全員がどれだけ多くの認知的負荷を受けているかを認識すると、理解できる結果だと思います。実際の病気による痛みや苦しみに加えて、多くはフルタイムの仕事と子供たちの自宅学習を両立しなければならず、しかもこれらの事態は全て、何の警告もなし起こってしまったのです。ここでの結論は、フィッシング攻撃は、そのルアー(疑似餌)に関わらず、この時期においては通常よりも成功する可能性が高いということです。
-
COVID-19と犯罪地下組織
-
弊社がCOVID-19の影響を確認できるかもしれないと考えた場所が犯罪マーケットプレースや犯罪地下組織のチャット、およびセキュリティフォーラムにおける会話でした。図3(左上)に示したように、COVID-19に関連するいくつかの用語への言及が明らかに増加しています。この増加は、3月から5月にかけて特に顕著でした。
しかし、同じチャートを拡大し、同じフォーラムやマーケットプレースにおける「カード(card)」(クレジットカード(credit card)のような)という用語を含めると(図4、右上)、COVID-19に関連した用語は俗に言う「大海の一滴」に過ぎないことが分かります。もちろん、このような見解には多くの議論すべき点が含まれています。例えば、それがフィッシングやドメインで使われていたとしても、犯罪者はCOVID-19に言及するでしょうか?クレジットカード関連のスレッドは、自分たちの「商品」の知名度を上げるために、より頻繁に投稿されるのでしょうか?一概には言えませんが、発生頻度の違いは無視できません。
ここでの結論は、社会でどんな出来事が起きているかに関わらず、フィッシング攻撃を仕掛けてくる犯罪者にとっては、単に利益を得るための手段になるということかもしれません。本稿執筆時点で、米国および海外の両方でBlack Lives Matterの抗議活動が大きく報道されているため、今後数週間から数ヶ月以内に読者がこれらの名称を含むフィッシングルアーを目にするようになると予想しています。
データをより深く掘り下げる
「方法論」のセクションで説明したVCDBデータの詳細をご覧になりたい方のために、下記に追加の詳細情報を記載します。474個の記録からなるデータセット全体をコード化する時間はありませんでしたが、コード化するリストに追加する際に記録内にある同情報を収集したため、全てのデータセットのVERISアクションを集計することができました。図5に、それらの内訳を示します。
-
VERISアクションはアクションを1つに限定するものではないため、合計が474件にはならないことに注意してください。複数のアクション(最も一般的なものは、ハッキングとマルウェア)が提示された記録も多数存在しています。興味深いことに、本稿執筆期間中に、滅多に起こらない「環境」データ侵害(COVID-19関連の侵害としてフラグが立てられたものではありませんが)を確認しました。それは、竜巻が医療記録サービスプロバイダーを襲ったことが原因で発生したものでした。「環境」に関連するデータ漏洩/侵害の事例は非常に稀であり、15,701件の記録(コード化されているか否かを問わず)からなるVCDBリポジトリ全体でわずか4件しかないため、これには言及する価値があります。
対照的に、COVID-19パンデミックに直接関連していることが特定されたインシデントを図6に示します。このVCDBにおける分析のために何を選択したかについては、(https://github.com/vz-risk/VCDB/issues?q=label%3ACovid-19-Supplemental-2020)でご覧になれます。
-
最後に、図7に、漏洩/侵害の内訳をそれぞれのパターンに分けて示します。サンプル数が少ないため、統計的信頼度が十分であると言うには順位が近すぎます。それでも、上位3つのパターンは、本文書の冒頭に示した解説とよく相関しています。
-
結論
DBIRの読者の皆様はお気付きかもしれませんが、弊社は、2020年版の報告書において、CIS(Center for Internet Security)の「Critical Security Controls(CSC)」と整合性をとった形で、調査結果を掲載することにしました。弊社は、読者や貢献企業の皆様に、確認している脅威を皆様の継続的なセキュリティ対策とマッチングさせるために分かりやすい方法を提供することを目的として、これを実施しました。本書で主に取り上げている脅威(エラー、フィッシング、ランサムウェア)については、下記に示すCISコントロールを詳細にご覧になることをお勧めします。
- CSC 12:境界防御
- CSC 9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
- CSC 16:アカウントの監視およびコントロール
最後になりましたが、今回のコロナ危機の中でよく耳にする「We are all in this together(みんなで一丸となって乗り切ろう)」という合言葉は、効果的なマーケティングスローガンであるだけでなく、図らずも真実となることがあります。ある意味では、地図に載っていない未知の海域を航海しています。しかし、これまで自らが通って来た道のりを振り返ることで、今後向かう道のりをより生産的なものにすることができると強く感じています。