ボットネット急増中!大規模なコンピュータ感染とデータ漏えいの把握 パート2 (その2 全4回)
本稿の筆者は、必ずしもACFE、その理事会、あるいは職員と見解を同じくするものではない。
FRAUDマガジン編集部
HOLTFRETER/HARRINGTON 情報漏えい分類モデル(HOLTFRETER/HARRINGTON DATA BREACH CLASSIFICATION MODEL)
以前セントラル・ワシントン大学の私の不正検査クラスの学生であったエイドリアン・ハリントン(Adrian Harrington)に手伝ってもらい、2011年に情報漏えいと関連する漏えいされたデータを9つの内部および外部の原因となる要素(すなわち、カテゴリー)、5つの一般的な業界カテゴリー・セクターと18の関連する下位の産業セクターに分ける新しい拡張した分類モデルを構築した。
我々はこの方法論を2005年から2010年までのPRCHのデータの要因分析に基づいて構築した。2013年には、2005年から2012年までの8年間にPRCHが報告した3,546件の情報漏えいと約7億6,100万個の漏えいデータの分析から、このモデルと関連統計値を更新した(PRCH理事長のベス・ギブンス(Beth Givens)が、この研究推進のためにこれらのデータ使用を許可してくれた)。その結果は、情報漏えいの原因となる要素のタイプに変化がないことを示している。
内部の情報漏えいは組織内に端を発するか、または原因がある。一方で、外部情報漏えいは組織の外部の原因によって引き起こされる、もしくは端を発するものであることは察しがつくであろう。情報漏えいモデルを内部と外部の原因となる要素に基づいて作り上げることは重要である。なぜなら、メディアの報道によって一般市民は外部のハッカーが大半の情報漏えいの張本人であると信じているが、我々の分析では、それは真実からかけ離れていることが示されたからだ。
我々の研究で特定された漏えいデータにつながる情報漏えいの原因となる要素の類型は以下のようになる。
内部漏えい:
・IIPD:データの不適切な保護と取扱い
・ITF:絶対的なまたは高い確率で不正目的をもつ、現在のまたは元従業員によるデータの窃盗
・ITNF:不正目的を持つ確率が低いまたは持たない、現在のまたは元従業員によるデータの窃盗
・IH:現在のまたは元従業員によるネットワークへの不正侵入またはハッキング
・IL:データの紛失
外部漏えい:
・XP:不適切な露出、または取扱いによるパートナー・第三者のデータ窃盗、または紛失
・XTF:絶対的な、または高い確率で不正目的をもつ従業員以外の者によるデータの窃盗
・XTNF:不正目的を持つ確率が低い、または持たない従業員以外の者によるデータの窃盗
・XH:従業員以外の者によるネットワークへの不正侵入、またはハッキング
・NA:内部、または外部による情報漏えいと特定できないケース(追跡不可能)
ハッカーはえり好みしない (HACKERS DON’T DISCRIMINATE)
我々の発見によれば、公共団体であろうと私企業であろうと、ハッカーから安全である組織などない。我々の分析は5つの一般産業や部門のカテゴリー、つまり、企業、政府、教育機関、医療機関、非営利団体および、それに関連する18のサブカテゴリーを特定した。
我々は、前述の内部と外部の情報漏えいについての9つのカテゴリーとそれに対応する漏えいデータについて分析した。
8年間にわたりPRCHが報告した3,545件の情報漏えいの事例のうち、779件、21.9%が外部からのハッカー侵入であることが示されている。
8年間のPRCH報告7億6,400万個のうち、5億1,600万個の漏えいデータ(驚くべきことに67.6%)が外部ハッカー侵入によるものである。この基礎データが表しているのは、外部ハッカー侵入は情報漏えい事件全体の21.9%の割合であるが、漏えいデータ全体の個数の3分の2も占めるという、とてつもなく大きな数字になっていることである。同様に、外部ハッカー侵入は情報漏えい事件1件当たり平均663,261個の漏えいデータをもたらしている。これは、外部のハッカー達は組織のネットワークに侵入するのみならず、一度内部に入れば最大のデータを持つデータベースを標的とすることにも非常に熟達しているとことを示している。別の言い方をすれば、外部のハッカー達は自らの支出に勝るものを手に入れていることになる。
(PRCHが報告した漏えいデータの総数は実態よりも少ない。なぜなら、多くの場合、情報漏えいが何個の漏えいデータを伴っているものか分からないからである。)
企業部門が情報漏えい全体の半数以上(53.7%)を占め、ハッカー達にとっては魅力的なターゲットであることが明らかである。これに続くのは、教育機関の約28.9%、政府、11.4%、医療機関4.2%、そして非営利団体ではわずか1.8%であった。
企業部門が最大の標的を背負っていることが明らかである。外部の原因によって5億個に近い、つまり全体の96.2%のデータが漏えいされている。教育機関、政府、医療機関や非営利団体はそれに遠く及ばない、それぞれ2%かそれ以下がハッカー達の標的であった。
企業部門が外部ハッカー侵入による情報漏えい全体の53.7%を占め、96.2%もの圧倒的な量のデータが外部からの侵入によって漏えいさせられたということである。これは外部情報漏えい事例の28.9%を占めるが漏えいデータの数ではわずか1.5%である教育部門とは明確な対照をなしている。生の数値データで言うと、情報漏えい1件当たりでもたらされる漏えいデータは企業部門では1,188,584個であるのに対し、教育部門では33,269個である。
(その3に続く)
---------------------------------------
初出:FRAUDマガジン45号(2015年8月1日発行)
