情報漏えいの統計は減少していますが、保護が不十分なデータベース、アプリケーション、エンドポイントからデータは依然として深刻なリスクにさらされています。
2013年のデータ漏えいのトレンドは、多くの指標から見て、効果的に抑制されており、セキュリティ業界にとっては朗報です。過去4~5年とは異なり、今年の記録には、大規模なデータベース侵害によって流出した数千万ドル規模の個人識別情報はもはや残っていません。プライバシー権クリアリングハウスによると、今年、公に報告された情報漏えいの件数と文書化された情報漏えいの件数はともに減少しました。昨年の同時期、文書化された情報漏えいの件数は約278万件に達し、情報漏えいの報告件数は637件でした。今年に入り、文書化された違反件数は約107万件、脆弱性報告件数は483件となっています。これは、セキュリティ業界がコンプライアンスとセキュリティのベストプラクティスの面で進歩したことの証ですが、それでも理想にはほど遠いのが現状です。
累計の数字を比較すると、記録された情報漏えいの件数は61.7%と大幅に減少していますが、報告された情報漏えいの件数は24.2%しか減少していません。このことは、漏えいが依然として急速なペースで発生していることを示唆しています。ただし、犯罪活動や漏えいが集中するのではなく、拡散していることを除いては。セキュリティ関係者によると、侵害の規模は小さくなり、そのような悪意のある活動の標的はより広くなっています。現在、犯罪者はより多くのIPやその他のデジタル資産を盗んでおり、その被害は顧客記録そのものよりも深刻なものになる可能性があります。
2013年の実績は、貴重なデータベースがいまだに保護・暗号化されていないこと、アプリケーションにセキュリティ・ホールが多数存在すること、ユーザーが機密データベースから大量の情報をダウンロードし、無防備なエンドポイントに保存できることを証明しています。このようなセキュリティの現状をよりよくご理解いただくために、代表的な事例をいくつかご紹介します。
会社名:CorporateCarOnline.com
流出統計:85万件の記録が盗まれました
詳細:全米で最も知名度の高いプロスポーツ、エンターテイメント、フォーチュン500企業であるCorporateCarOnline.comは、ユーザーに関する膨大な量の個人データ、クレジットカード番号、その他個人を特定できる情報を保有していますが、これらの情報をすべてプレーンテキストで保存する高級車レンタルのグローバルSaaSデータベースソリューションを開発したため、犯罪者の所有物となっています。リストには世界の大物が含まれています。このリストには、トム・ハンクス、トム・ダッシュル、ドナルド・トランプをはじめとする大物が名を連ねています。
教訓:最も重要な教訓は、貴重な金融情報やソーシャル・エンジニアリング情報を前にして、攻撃者は恐るべき技術力を持っているという現実を認識することです。KrebsOnSecurity.comによると、侵入されたアメリカン・エキスプレスのカードの4分の1は高額カード、あるいは無制限カードであり、これは企業のスパイやタブロイド紙のジャーナリストが貴重な調査結果を得るために採掘したいと思うような個人情報です。その一方で、同社は情報のセキュリティにまったく無関心なまま出納を管理しており、最も基本的な暗号化対策すら実施しようとしていません。
会社:アドビ
情報漏洩の統計: 約300万件の個人識別情報、1億5,000万件以上のユーザー名とパスワードの組み合わせ、Adobe Acrobat、ColdFusion、ColdFusion Builder、およびその他の特定できない製品のソースコードが盗まれました。
インシデントの詳細: 最初の侵害以来、1カ月以上にわたって追加攻撃が続き、今回の重大インシデントに至りました。現在、アドビは盗まれた大量のログイン認証情報、さらに驚くべきことに製品のソースコードの復旧に苦慮していることが明らかになっています。
教訓: 世界を震撼させたアドビへの攻撃は、攻撃者が組織のネットワークに足がかりを築き、あらゆるビジネス資産を掌握した場合に起こりうる被害を示すだけでなく、ソフトウェアのサプライチェーンにベンダーを導入することを検討し、セキュリティの分野でどのようなエコシステムが構築されているかを検証することを教えてくれます。この侵害の結果、潜在的な影響は長期に及ぶ可能性があります。
会社: 米国エネルギー省
情報漏洩の統計:53,000人の元DOE職員と現職職員が個人を特定できる情報を盗まれました。
インシデントの詳細: 攻撃者は、ColdFusion を使用して構築された DOEInfo(CFO(最高財務責任者)オフィスの放置されたパブリック・アクセス・システム)を標的としていました。DOE職員によると、侵入されたのは内部の従業員の個人を特定できる情報に限定されたとのこと。
教訓:この件から学ぶべきことは主に2つあります。第一に、パッチのインストールは、過去も現在も、そして今後も最も重要なセキュリティ作業であること。第二に、機密性の高いデータベースとのインターフェイスを持つシステムを再検討し、必要不可欠なサイトのみを一般に公開するようにすることで、攻撃対象領域を最小限に抑える必要があります。
会社: アドボケート・メディカル・グループ
情報漏えいの統計: 400万件の患者記録が盗まれる
詳細: 最終的に400万人分の患者記録が流出したのは、オフィスから会社所有のコンピューター4台が犯罪者によって盗まれたことにすぎず、同社関係者は、2009年に保健省がセキュリティ・インシデントの通知を義務付けて以来、米国で2番目に大きな医療情報流出と呼んでいます。
教訓:2013年に公表された情報漏えい事件では、医療業界のものが上位を占めていますが、今回の事件は特にひどいものでした。1990年代から現在に至るまでの患者記録の漏洩につながる1台の物理的なコンピューティング・デバイスの盗難は、物理的なセキュリティ、エンドポイントのセキュリティ、暗号化、データ保護など、あらゆる面で同社の失敗を露呈しました。エンドポイントの盗難や紛失は、医療業界では日常茶飯事であることを強調しておきます。このような組織は、中央データベースからどれだけの情報をエンドポイントデバイスにダウンロードし、保存できるかについて、早急に考える必要があるでしょう。
