Comments
Description
Transcript
「2013年度データ漏洩侵害 年度データ漏洩侵害 年度データ漏洩侵害/調査報
「2013年度データ漏洩侵害 年度データ漏洩侵害/ 年度データ漏洩侵害/調査報告 書」から、データ漏洩の傾向と対策 書」から、データ漏洩の傾向と対策 ベライゾンジャパン合同会社 グローバル調査対応 プリンシパル コンサルタント 鵜沢 裕一 PID# Confidential and proprietary materials for authorized Verizon personnel and outside agencies only. Use, disclosure or distribution of this material is not permitted to any unauthorized persons or third parties except by written agreement. 著作権および使用条件 本文書および添付資料は、ベライゾンの著作権に属するものであり、ベライゾンのサービ ス評価以外の目的で使用することは禁止されています。 本文書および添付資料は、企業の中でその内容を必要としない従業員に対して、または、 ベライゾンから書面による許可を得ることなく第三者に対して開示、配布、または譲渡す ることはできません。 © 2013 Verizon. All Rights Reserved. ベライゾンのプロダクトおよびサービスを示すベライゾンの名称およびロゴ、その他の名称、ロゴ、スローガン等は、Verizon Trademark Services LLCまたは米国もしくはその他 の国における同社関連会社の商標、標章、もしくは登録商標、標章です。 © 2013 Verizon. All Rights Reserved. 22 データ漏洩/侵害調査報告書 (DBIR) ` データ漏洩/侵害の調査で得ら れたフォレンジック結果をもとに いかに機密データが盗まれたか、 実行者は誰か、動機は何かに ついて分析を行っており、 また、どのようにしてデータ 漏洩/侵害を防止できるかに ついても考察しています 「データ漏洩/ データ漏洩/侵害調査報告書」日本語完全 侵害調査報告書」日本語完全版 完全版ダウンロード: ダウンロード: https://eentry11.securesites.net/verizon_security/contact01/index.html © 2013 Verizon. All Rights Reserved. 3 データ漏洩/侵害調査報告書 (DBIR) DBIR) ― 『2013年度データ漏洩 2013年度データ漏洩/ 年度データ漏洩/侵害調査報告書』 侵害調査報告書』 ― 世界19 世界19の機関・組織が協力 19の機関・組織が協力 4万7千件を超えるセキュリティインシデント 621件の確認されたデータ漏洩 621件の確認されたデータ漏洩/ 件の確認されたデータ漏洩/侵害 ベライゾンRISKチームによるグローバルな研究調査 ・ 協力機関・組織一覧 © 2013 Verizon. All Rights Reserved. 4 VERIS は 、 共 通 用 語 や 基 準 を 使 っ て 、 セ キ ュ リ テ ィ インシデント(脅威)を一定の形式で記録できるフレームワークです (VERISは公開されており、無料で使用できます) 外部1 ウェブサーバー2 整合性2 実行者 属性 資産 マルウェア2 機密性1 アクション ソーシャル1 ハッキング3 実行者-誰がデータ漏洩/侵害を実行したか? アクション - どの様な方法で実行したか? 資産 - 何が侵害されたか? 属性 - どの様に影響を受けたか? http://www.veriscommunity.net © 2013 Verizon. All Rights Reserved. 5 図10: 10: 脅威実行者別のデータ 脅威実行者別のデータ漏洩 のデータ漏洩/ 漏洩/侵害事例の 侵害事例の割合 脅威実行者 全体 外部 内部 パートナー 金銭 目的 国家スパイ 活動 その他 図9: 脅威実行者別のデータ 脅威実行者別のデータ漏洩 のデータ漏洩/ 漏洩/侵害事例の 侵害事例の割合と 割合と推移 外部 © 2013 Verizon. All Rights Reserved. 内部 パートナー 6 図12: 12: 外部実行者の 外部実行者の種類で 種類で分類した 分類した場合 した場合のデータ 場合のデータ漏洩 のデータ漏洩/ 漏洩/侵害の 侵害の割合 全体 脅威実行者 組織犯罪グループ 国家関係者(組織) 不明 独立系 活動家グループ 元従業員 図 13: 13: 外部実行者の 外部実行者の国(上位10 上位10位 10位) 中国 ルーマニア 米国 ブルガリア ロシア オランダ アルメニア ドイツ コロンビア 金銭 目的 国家スパイ 活動 その他 ブラジル © 2013 Verizon. All Rights Reserved. 7 © 2013 Verizon. All Rights Reserved. 合計 不明 公的部門 公的部門( (92 92) ) その その他 他サービス サービス業 業(81 81) ) 飲食業 飲食業( (722 722) ) ホテル ホテル業 業(721 721) ) 娯楽業 娯楽業( (71 71) ) 医療 医療((62 62) ) 教育産業 教育産業((61 61) ) ビジネスサービス ビジネスサービス業 業(56 56) ) 持株会社 持株会社( (55 55) ) 専門 専門サービス サービス サービス業 業(54 54) ) 不動 不動産業 産業 産業( (53 53) ) 金融業 金融業( (52 52) ) 情報 情報((51 51) ) 運輸業 運輸業( (48 48) ) 小売業 小売業( (44 44) ) 卸売業 卸売業(42 (42 (42) ) 製造業 製造業( (31 31) ) 建設業 建設業(23 (23 (23) ) 公益事業 公益事業(22 (22 (22) ) 鉱業 鉱業((21 21) ) 農業 農業(11) (11) 図2:データ漏洩/侵害事例を企業・組織の 従業員数と業界を基準に分類* 1-100人 101-1,000人 1,001-10,000人 10,001-10,000人 100,000人超 不明 合計 *NAICSによる分類 8 ハッキングのタイプ 図23: 23:ハッキングのタイプ 全体 盗んだ認証情報の使用 バックドアまたはC2の使用 ブルートフォース 不明 SQLi その他 フットプリンティング 機能の不正使用 MitM バッファオーバーフロー 金銭目的 © 2013 Verizon. All Rights Reserved. 国家スパイ 活動 アクティビスト その他 9 脅威アクション ユーザーがクリックする ユーザーがクリックする確率 (最初のクリック のクリック) 図28: 28: 「クリック」 クリック」 は不可避? 不可避? 送信したフィッシングメールの数 © 2013 Verizon. All Rights Reserved. 10 攻撃の標的選定 図38: 38:攻撃の 攻撃の標的選定 全体 大規模の企業・組織 中小規模の企業・組織 オポチュニスティック型 完全単一 一標的型 金銭 目的 © 2013 Verizon. All Rights Reserved. 国家 スパイ 活動 その他 11 属性 - データ窃盗と動機 図35: 35: 侵害されたデータのタイプと 侵害されたデータのタイプと脅威実行者 されたデータのタイプと脅威実行者の 脅威実行者の動機で 動機で 分類したデータ 分類したデータ漏洩 したデータ漏洩/ 漏洩/侵害の 侵害の数 金銭目的 国家スパイ 活動 アクティビスト © 2013 Verizon. All Rights Reserved. 不明 その他 企業秘密 内部情報 システム情報 著作権付き 機密情報 医療記録 個人情報 認証情報 銀行口座情報 ペイメントカード 情報 その他 12 攻撃の難しさ 図39: 39:攻撃の 攻撃の難しさ 全体 極低 低 中 高 金銭目的 国家スパイ 活動 その他 図40: 40:後続の 後続の攻撃の 攻撃の難しさ 全体 極低 低 中 高 金銭目的 © 2013 Verizon. All Rights Reserved. 国家スパイ 活動 その他 13 事例– DDoS / データ漏洩 米系被害企業のUDP トラフィック © 2013 Verizon. All Rights Reserved. 14 事例– DDoS / データ漏洩 IP攻撃 IP攻撃 IPコマンドとコントロール 依頼元 被害企業のIP 調査中に判明した別企業 のIPに対する攻撃 © 2013 Verizon. All Rights Reserved. 調査中に判明した別企業 のIPに対する攻撃 15 事例– DDoS / データ漏洩 米系被害企業のUDP トラフィック © 2013 Verizon. All Rights Reserved. 16 図33: 33: 侵害された 侵害された情報資産 された情報資産のタイプ 情報資産のタイプ 全体 侵害された情報資産のタイプ 小中規模の企業・組織 大規模の企業・組織 ATM (ユーザー機器) デスクトップ (ユーザー機器) ファイル (サーバー) ノートブック (ユーザー機器) その他/不明 (サーバー) その他/不明 (人間) メール (サーバー) ディレクトリ (サーバー) POSコントローラー (サーバー) POS端末 (ユーザー機器) ウェブアプリケーション (サーバー) データベース (サーバー) ペイメントカード (メディア) エンドユーザー (人間) 経営幹部 (人間) 管理職 (人間) 元従業員 (人間) 不明 レジ係 (人間) 財務担当者 (人間) 金銭目的 © 2013 Verizon. All Rights Reserved. 国家スパイ 活動 その他 17 データ侵害の時間的段階 封じ込め (n=49) 発見 発見(n=221) (n=221) データの データの取 取り出し (n=39) 最初 最初の の侵害 (n=180) 全体 数秒 数分 数時間 金銭目的 © 2013 Verizon. All Rights Reserved. 数日 国家スパイ 活動 数週間 数か月 数年 その他 18 データ侵害の発見方法 図44: 44: データ侵害 データ侵害の 侵害の発見方法 全体 小中規模の企業・組織 大規模の企業・組織 無関係の第三者(外部) 詐欺行為を発見(外部) 顧客(外部) 法執行機関(外部) 犯人が公表(外部) 不明 ユーザーが報告(内部) 財務監査(内部) NIDS(内部) ログのレビュー(内部) 詐欺行為を発見(内部) HIDS(内部) インシデント対応(内部) IT監査(内部) 監視サービス(外部) 金銭目的 © 2013 Verizon. All Rights Reserved. 国家スパイ 活動 その他 19 推奨事項 • 全社的に 全社的にセキュリティに取り組む。従業員は最大 最大の資産 最大の資産にも、 の資産 時には最大の弱点にもなりうる • 人、プロセス、テクノロジの連携を通じて、より良く、より速い検知 検知手段を確立 検知 • 攻撃者の執念を甘く見てはならない 攻撃者の執念 • 貴社独自の脅威の様態を評価し、サイバー対策の優先付けを行う • 「2013年度データ侵害/漏洩調査 2013年度データ侵害/漏洩調査報告書」を 年度データ侵害/漏洩調査報告書」を ダウンロードして、社内・取引先への情報共有を ダウンロードして 行い、組織全体及び関係者の知識・意識向上を 図る VERIZONENTERPRISE.COM/DBIR/2013 © 2013 Verizon. All Rights Reserved. 20 推奨事項 図46: 46: CCAの CCAの20の 20の重要セキュリティ 重要セキュリティ対策 セキュリティ対策と 対策とVERISの VERISの主要脅威アクションの 主要脅威アクションの対応関係 アクションの対応関係 VERIS VERISの の主要脅威 主要脅威アクション アクション 20の 20の重要な 重要なセキュリティ対策 タンパリング スパイウェア バックドア** エクスポートデータ 盗んだ認証情報の使用 保存データの捕捉 フィッシング C2 ダウンローダー ブルートフォース **. このバックドアには、バックドアとC2(マルウェア)、およびバックドアとC2の使用(ハッキング)の 両方が含まれます。 © 2013 Verizon. All Rights Reserved. 21 質疑応答 「データ漏洩/侵害調査報告書」日本語完全版 ダウンロードはこちら https://eentry11.securesites.net/verizon_security/contact01/index.html お問い合わせ先: ベライゾンジャパン合同会社 マーケティング部 J[email protected] © 2013 Verizon. All Rights Reserved. 22